Názory k článku
O konektivitu se dělit nehodlám

Nelíbí se mi představa, že bych pak policii musel vysvětlovat, že jsem e-mail skutečně neposílal já

Legrační je, že prakticky tentýž argument může být použit i opačně - "ten e-mail jsem neposílal já, provozuji openwifi, tak to mohl udělat kdokoliv", případně "já jsem to neposílal, ale mám tu WIFI, tak se mi do toho možná někdo proboural". Ale popravdě řečeno, při nestrannosti a technických znalostech naší policie a soudů bych na to radši nespoléhal.

Jeden můj kolega se vůbec netají svým kódem na firemní alarm. Jeho vysvětlení je dost podobné: "když všichni ve firmě budou můj kód znát a všichni budou vědět že ho všichni znají, tak až se sem někdo přes něj dostane tak mě nikdo nemůže usvědčit že jsem to byl zrovna já." Bohužel zapomíná že podepsal papír že to číslo nikomu neřekne, takže být jím bych zas tak klidnej nebyl. Ovšem je pravda že u WiFi mě nikdo nenutí používat zabezpečení takže to je jiná situace.

Tak tím, ale maximálně poruší pracovní smlouvu... Ale ne zákon :-)

Přesně tak, a navíc škodu bude hradit v plném rozsahu, kdyby ji způsobil neúmyslně, tak jen do 4,5 násobku platu, ale protože to dělá úmyslně, tak v celém rozsahu, a ani žádné pojištění odpovědnosti mu při úmyslné škodě nepomůže, má bohužel smůlu chlapec :).

Prokazovat, ze heslo nekomu sdelil s umyslem zpusobit skodu... No, prinejmensim to bude hodne pracne. Mnoho stesti u soudu.

Tak pokud to každému říká na potkání, a ještě se chlubí tím, že když heslo znají všichni, on je mimo :).

Jako by jsi neznal pracující, mají zájem dál pracovat na stejném místě, a pokud je někdo natolik hloupý, a dělá tyhle věci, tak věřím, že stačí dva lidé, kteří to dosvědčí u policie a daný člověk je v čudu.

Si nedělej iluze. A už vidím, jak se daný člověk soudí proti velkému podniku, když je jasné, že chyba je na jeho straně, a že si to udělal sám.

Možná to souvisí s hrůzou našich soudců, že by měli někdy v životě pracovat ve skutečné práci ve skutečném podniku, ale soudy zaměstnanec vs. podnik dopadají až překvapivě často ve prospěch zaměstnanců.

Jednou jsem dělal ve firmě, která mě nutila pamatovat si přístupové kódy do dvou počítačů, heslo k jedné databázi, PIN ke vstupním dvřím, PIN na kopírku a ještě cosi (ale už si nemohu vzpomenout co). Navíc jsme občas potřebovali s kolegy sdílet data ... znáte to.

Prostě ta přihlašovací hesla do PC jsem zrušil (sjednotil) hned. Vytvořil jsem tak jednoduchá slova aby je každý hned uhodl a nezapoměl. Navíc jsem je oznámil všem kolegům kteří je potřebovali znát. Později jim vytvořil autoamtické sdílení už se zadaným heslem.
Dveře dlouho netrvaly a přišel bezkontaktní čip. Kdyby nefungoval, PIN jsem dávno zapoměl.
Po té, co jsem byl 14-dní nemocný jsem zapoměl PIN ke kopírce. Nechal jsem vytvořit nový, jednoduchý. A začali jsme ho používat pro celé oddělení. Ať se firma třeba postaví na hlavu. Za dva měsíce už nikdo ani necekl.

Já si prostě takové blbiny pamatovat nebudu. Když chce někdo bezpečnost, tak ať investuje do SMART karet, nebo jakékoliv jiné technologie.

A teď si vemte, já jsem mladej kluk. Ale všichni nad 55-60 let (to ještě byla normální firma, kde vás byl někdo něco schopen naučit) v té firmě neustále hledali papírky kde mají napsaná svá hesla ...

Tak to je jasné, všechno musí být uživatelsky příjemné.

Jasně, v lednu je heslo: leden, v unoru je heslo unor, v breznu je brezen .......

prdlajs zodpovednost (coz je imho velka chyba), resi nedko zavirovany widle, co rozesilaj bordel? neresi, pritom je to prakticky to samy - z vaseho pocitace/ip adresy je odesilan mail a co vim, tak to nikdy nikdo neresil :(

Nikoliv. Provozovatel sítě nenese odpovědnost za přenášená data. Avšak provozovatel veřejné sítě, což otevřená WiFi síť je, má povinnost zaznaménat, která MAC adresa se kdy k síti připojila a kdy odpojila, tyto údaje archivovat a na požádání oprávněných úřadů je v předepsaném tvaru předložit.

Ona existuje "obecna odpovednost za skodu" a "povinnost predchazet skodam". Ani tak ne v trestnim ale v civilnim rizeni.

Zvlast kdyz vetsina soudcu netusi co je WiFi a proti jejich technicky nesmyslnemu rozhodovani neni obrany. Kdyz jim znalec rekne ze IP adresa je jednodnozny identifikator pachatele tak uz nad tim dal nepremysli.

Jééé vy se máte že nemáte limity na data. Toho se u nás na ostrově hned tak nedočkáme. Na ADSL mám limit 5GB (a to mám Profi plan) a na firemním serveru v hostingu máme limit 10GB international traffic :-/

Donedávna jsem doma provozoval open WiFi. Ale jednoho dne se někdo připojil a vycucnul mi za víkend celý měsíční limit. Kdyby nebyl nenažranej mohl mít net zadarmo kdykoliv by si vzpomněl a asi bych si toho ani nevšim. Teď už mám WPA a soused nebo kdo to byl má smůlu. Blbec.

To je drsný příběh z Kuby, nebo o jakém ostrově mluvíš?

Tipnul bych si na Spojené království... za 20 liber (~za 1400 Kč) je 7 Mbit down a 750 kbit up a 20 GB dat, za další 5,10 GBP (~ 160 Kč)

Kdyz uz.. V UK mam za 10 liber, coz je 310kc 7M down 1m up a bez limitu... ADSL od SKY...

Neni ale podminkou mit od SKY jeste TV? Zajimala by me cena cisteho ADSL, TV na nic nepotrebuji.

No pokud jde o UK tak mam tiscali za cca 16£ 4Mbit bez omezeni (a neplatim BT za linku protoze uz je to v tom poplatku tiscali). A me AP vysila freenet vesele do okoli.

Navic pokud nekdo bude chtit pouzit WEP chranenou sit tak ji proste pouzije. Coz treba na ostrovech je porad cca polovina dodavanych apecek nastavena od tele spolecnosti na WEP.

Kdepak Kuba :-) Ten ostrov je Nový Zéland, takže celkem civilizace.

Tady je příklad ceníku na ADSL:
http://slingshot.co.nz/DesktopDefault.aspx?tabid=11&subnav=20

A tady na server hosting:
http://helix.net.nz/colocation.php

Evropě a Americe můžeme "internetový standard" jen tiše závidět :-/

tak nejak..pred casem jsme zprovoznovali pripojeni hotelu na Praze 1. Bylo tam pripravenejch asi 50ks AP, ktere byly puvodne absolutne open, konektivitu platila nadnarodni firma a zrejme nemela problem s tim, ze se par kolemjdoucich ci kolembydlicich sveze na jejich wifi. Jenze se nasel "hacker-debilek", kterej se tam okamzite nakonektil a torrentoval na celejch 8mbit nonstop cca 12 hodin. Tak se spustilo druhy den zabezpeceni pomoci mikrotik hotspot(ne kryptovani ale nutnost prihlaseni jmenem a heslem pred pristupem z wifi do internetu). Ten clovek u toho zrejme sedel nonstop a tak okamzite zacal hledat reseni. Menil mac adresy jak na bezicim pasu, zkousel vsechno mozny..no zhruba po hodine se mu podarilo Mikrotik shodit, cimz mimochodem zpusobil nedostupnost internetu nejen pro sebe, ale i pro onen hotel, protoze ten routerboard zaroven slouzil jako pripoj internetu. No a tak prislo na radu WPA2, kde se klic meni kazdych 5 dni a mac policy. Pro recepci hotelu je to prace navic, musi hostum sdelovat kryptovaci klice a povolovat mac adresy. A pro lidi z okoli je zase o 40 nezabezpecenejch AP mene. Vsechno kvuli jednomu debilkovi :(

To ste ale fakt lamy, ze nedokazete omezit provoz per IP adresa :-)

Toto je ale opravdu "fundovaný" komentář:-)

Je od Trautenberka, takže tím je řečeno vše. Co čekat od tvora, který na cokoli, výhodného pro zákazníky, tvrdí ,,že to nejde"?

Obavam se, ze prectenim jakehokoliv literatury se nic nezmeni na tom, ze omezeni provozu per IP adresa je mozne a bez problemu uplatnovane

A kdyz si nekdo tu IP zmeni?

... bude mit zase jenom megabit :-)

ano bylo by reseni orezat vsechny ip na 1mbit, ale ukolem bylo zajistit hostum hotelu rychly internet na wifi..s "rizikem" ze si na tom budou sousedi surfovat se pocitalo, nepocitalo se s tim ze se najde bezohlednej "hustej hacker" kterej zacne tu nezabezpecenou sit zdimat naplno. A imho i kdybychom omezili per ip na 1mbit, bude dal zdimat ten 1mbit nonstop naplno, coz taky neni reseni(hotel by mel o mbit min nez si plati). Ale jinak diky za napad, omezeni per ip je na nas lamy fakt moc slozity :)

Je to o trivialnim vypoctu, kolik stoji hotel megabit navic a kolik stoji proskoleni personalu a nasrani hoste.

tady jde taky o princip..nekdo se s nekym o neco zadarmo podeli a ten toho zacne zneuzivat jen aby ukazal ze to umi..

Pokud jde o princip, tak se neohanejte tim, ze nejaky uzivatel tu pripojku vyuziva.

Bud to davam zadarmo a pak je mi jedno, kdo to pouziva, nebo to zadarmo nedavam.

me je jedno kdo to pouziva, me vadi akorat kdyz to nekdo pouziva takovym zpusobem, ze se snazi tomu kdo mu to umozni pouzivat skodit, tj nesmyslnym zatezovanim na 100% nonstop. I kdyby to byl muj platici klient, budu si hodne rozmejslet jestli ho neposlu do haje..

To je nejaka nova moda, ze kdyz zakaznik vyuziva neco na 100%, tak skodi?

tohle nebyl zakaznik ale zlodej. Pisu ze bych o tom uvazoval i u platiciho zakaznika..stale mame na tarify uplatnovanou agregaci 1:2, coz predpoklada rozumne chovani, aby se vsichni mohli drzet kolem maximalnich hodnot rychlosti pripojeni. Kdyz nekdo sosa nonstop, jako tohle hovado o kterym jsem psal, vetsinou skonci orezan na polovine rychlosti na niz ma narok..ale takovy hovado jako tenhle zlodej jsme nastesti mezi zakazniky zatim nemeli. Uprimne, kdyz si nekdo koupi vyhrazenou konektivitu, je mi uplne jedno co s ni dela. V okamziku kdy prijde upozorneni na nelegalni cinnost, preposlu mu to upozorneni. A kdyz pak prijde policie se soudnim prikazem, proste ho prasknu. Kdyz mi ty torrenty ale jede na open wifi zlodej, pak policie prijde se soudnim prikazem, musel bych udat jako uzivatele sveho zakaznika, kteremu tu konektivitu krade a toho bych tim dostal do problemu..a mym ukolem je sve poctive ale v IT nevzdelane klienty pred zbytecnymi problemy chranit.

"A kdyz pak prijde policie se soudnim prikazem, proste ho prasknu."

To je panečku loajalita... zákazník nás živí, ale když přijde bouchač od státní mafie, tak zákazníka práskneme. Však on se místo něj najde nějakej jinej vůl, co si u nás tu službu objedná.

Pak to má na tom světě k něčemu vypadat, když spolu lidi nedokáží držet proti grázlům a naopak jim ještě pomáhají. Kanálie. Tfuj. :P

Snad si na to vzpomenete, až jednou přijdou pro vás.

Jedna vec je jestli s politikou autorskych prav souhlasim nebo ne a druha vec je jestli se budu ridit platnymi zakony nebo ne..v podstate kdyz prijdou se soudnim prikazem, mam 2 moznosti:
1) identifikuji uzivatele ktery nelegalni cinnost vyvijel a prasknu ho
2) uzivatele neidentifikuji, nebo ho domitnu prasknout a trestni i majetkovou odpovednost ponesu ja..uz Vas vidim pane Robine Hoode jak na sebe berete odpovednost za nezodpovedne chovani nekoho, kdo Vam plati treba 300 Kc mesicne..
Imho nemusi jit jen o piratstvi ale treba i o sireni spamu nebo detskou pornografii, a tam uz bych se ani necitil nijak provinile ze uzivatele prasknu..

Nevidím důvod, proč nevyužívat linku tak, jak já chci, za předpokladu, že si ji platím. Mám ADSL 2Mb, agregace 1:40, bez FUP a celkem mě nezajímá, jestli někoho blokuji, když stahuji či odesílám a to jen z toho důvodu, že si tu linku PLATÍM já sám. To, že provider dal agregaci 1:40 není můj problém, ale jeho a pokud by jeho klientům (včetně mě) jel internet dlouhodobě pomalu a nespolehlivě, klienti by prostě odešli ke konkurenci. Takže za minulý měsíc mám staženo cca 100 GB dat (pro rejpaly, většina dat je z rádia, 384 kbps prakticky nonstop, dále jsou to videohovory, webové televize etc, žádný warez).

No, také jsem něco podobného pro pár desítek hotelů v České Republice řešil, žádné takové složité zabezpečení nemám a je to zvláštní ale problém není. A jak že se to řeší?
Prostě se může přihlásit kdokoliv, ale aby mohl na internet (do jiných počítačů nemůže nikdy), tak musí zadat heslo (stránka na něj koukne pokaždé, když napíše libovolnou URL a není přihlášen). Toto heslo dostane každý host ke svému klíči, je unikátní a platí po dobu jeho návštěvy. Zároveň se tak dají nabízet služby per host, zároveň si může host objednávat nějaké věci navíc (placené kanály, jídlo na pokoj ...), může si prohlížet svůj účet atd. Recepční přitom nemusí vědět či měnit vůbec nic

Prostě se může přihlásit kdokoliv, ale aby mohl na internet (do jiných počítačů nemůže nikdy), tak musí zadat heslo (stránka na něj koukne pokaždé, když napíše libovolnou URL a není přihlášen).

Že by další, kdo si plete Internet a web?

Vážně? Tak mi vysvětlete, jak na mne "koukne stránka", když "napíšu URL" (?), abych se např. pomocí SSH přihlásil na nějaký stroj. Nebo když zkusím použít jakoukoli jinou službu než web…

a co treba firewall s presmerovanim portu 80 na registracni stranku. a po prihlaseni se povoli ip adresa uzivatele na urcitou dobu.

prasárna na n-tou. nechtějte vědět, co se stane klientovi, když si otevře firefox, který si naposled uložil 50 otevřených tabů a teď se je bude snažit pochopitelně otevřít znovu...

To by mě zajímalo. Když se ten člověk k tomu vašemu AP připojil, obdržel nějaký rozumný vzkaz. Který by ho uklidnil, aby nejančil jako mladej kluk když uvidí první holku, ale nějak rozumně tuto síť využil?

Ono je mezi námi opravdu hodně hloupých lidí. Ti by takový vzkaz asi ani nečetli, ale jen ze zvyku kleply na OK ...
Přesto, pokud ještě někdy - někdo zpřístupníte svou síť, zkuste je trochu vychovat.

... u me doma. kdo mate cestu kolem, klidne si posilejte, co uznate za vhodne. koneckoncu, stejne nejsem nikdy doma, tak je ta linka nevyuzita.

Ja jsem jeden z tech silencu, co nechal svoje pripojeni volne k dispozici. Ale jednak mam omezeni rychlosti, takze 'cizak' mi to nemuze ucpat, po tretim mega spadne na rychlost dial-upu (kdyz se mi ohlasi, posunu omezeni vys), druhak mam domaci segment site uplne izolovany od wifi, tretak presne podle prislusnych zakonu loguji vsechna spojeni ven, takze u pripadneho vtipalka bych lehce vedel dohledat jeho mac-adresu, ja vim, ze ta se taky da podvrhnout, ale lepsi neco, nez nic.

Zatim nejvetsi problem mi vzniknul, kdyz se nekomu zaviroval pocitac a zacal rozesilat spam, to jsem pak byl 24h na blacklistu a od te doby maji wifiste port 25 navenek zavreny, mohou pouzit jedine muj smtp, kde si tyto veci ohlidam.

Myslim, ze sjte kapnul na hlavni duvod proc je ten open siti tak malo. Jejich provozovani totiz klade dalsi naroky na jejich zabezpeceni. Ve vasem pripade ono smtp. Vzato do dusledku, vpodstate je treba vybudovat navstevnickou sit, kde se zarizne co jde, krome nekolika zakladnich sluzeb.

No a pak je tady druhy duvod. V jakykoliv okamzik me muze napadnut, ze si potrebuji neco stahnout. V ten okamzik chci mit celou konektivitu pro sebe. Coz v praxi znamena zavest nejaky traffic shaping.

+1

Většina poskytovatelů pokud ivim ve smlouvách sdílení zakazuje, takže kdybyste to dělal, vás taky jednou pěkně můžou odstřihnout :-)
Ne že by nebyla konkurence, ale sdílet s někym naprosto cizím připojení se mi zdá velmi, ale velmi riskantní. A hlavně, nemám naprosto žádnej důvod to dělat. Jestli někomu nestačí v noťasu rychlost GPRS, kterážto síť brzy stejně nahraní nějaká mnohem rychlejší, tak stahuje kraviny, a na to může sedět doma, a ne na lavičce, dyž se nudí.

A hlavne si ve firme cenim bezpecnosti svych dat... to tu jeste nikdo nerekl...

Tuším, že omezení neplatí na sdílení konektivity jako takové, ale o placené sdílení. Takže v případě že sousedovi řeknete, hele přispěj mi dvě kila měsíčně a já tě k sobě pustím, tak už porušujete smluvní ujednání. To ale neplatí pro otevřenou bezplatnou síť.

No např. UPS si ve smlouvě vymrčuje, kolik počítačů naráz si můžete připojit. U nejnižších tarifů to je jen jeden.

takový tecnický limit ve smlouvě není; počítače mohou být za jedním koncovým zařízením - routerem - a jeho použití pro tento účel UPC doporučuje

Na druhou stranu skutečně platí cituji "Účastník se zavazuje užívat Služby výhradně pro svou vlastní potřebu a umožnit užívání Služby
pouze osobám sdílejícím s účastníkem společnou domácnost. Bez předchozího písemného
souhlasu Poskytovatele nesmí účastník umožnit užití Služeb třetími osobami, a to zdarma ani za
úplatu."

Myslím, že je tam mnoho bezpečnostních faktorů, které nelze podcenit. Nejsem si úplně jistým přímo technickým řešením, ale četl jsem například o technice, kdy si vetřelec do sítě mění mac adresu na tu routeru a nechává přes sebe přeposílat všechna data, tzn. hesla, přihlašovací jména, všechno, ani šifrování nepomůže, protože má přístup ke kompletní komunikaci, včetně šifrovacího klíče. Asi bude způsob jak tomuto předejít, ale já nechci ztrácet čas nějakým zdlouhavým zabezpečováním, aby se mohl připojit támhle šlechetný kolemjdoucí. Prostě mám natvrdo nastavený maclist a nestarám se...

To už je poměrně sofistikovaný útok a mám ten pocit, že šlo o chybu v multicastingu u některých routerů. Nicméně, je-li útočník schopen tohodle, odposlechnout si ze vzduchu MAC adresy a obejít tak Váš MAC list je už oproti tomu hračka.

Když to vezmem kolem a kolem, prolomit WPA2 se dá během několika hodin, max dnů. Jediný skutečný celkem bezpečný řešení je VPNka s ověřováním přes RADIUS, ale to zas má doma asi málo kdo?

Je fakt že většina lidí nesdílí internet právě kvůli různým hovadům co neznají míru a "nabourání se" (jak si oni samy myslí) do otevřené sítě berou za svůj hackerz skillz úspěch a okamžitě škodí jak se dá, aby si dokázali jak jsou neskonale dobří. A nebo prostě typicky českým způsobem "ber dokud jde" (všichni víme jak to vypadá když čech přijde ke švédskému stolu) tahají objemné data dokud jim nikdo nezavře kohoutek.

Možná kdyby se dal za rozumné peníze sehnat detektor, který by učil od kud jde signál tak aby mu člověk mohl lupnout jednu za ucho, tak by se to brzy tihle pubertální lama-hackeři odnaučili.

Tady bych Vas asi opravil v jedne veci. WPA2-PSK se urcite neda prolomit behem par hodin/dnu za predpokladu, ze pouzivate dostatecne kvalitni passphrase (heslo).Alespon jsem o tom neslysel, pokud se mylim tak me nekdo prosim opravte a kdyztak poslete odkaz, kde bych se o tomto utoku docetl vice.

Obávám se, že máte špatný pocit. Váš předřečník má spíše na mysli útok z kategorie ARP spoofing a ten je pochopitelně na otevřené Wi-Fi síti snadno proveditelný - mimo jiné lze například tímto způsobem realizovat některé útoky Man-in-the-middle. Ono v cizí síti můžete být pochopitelně obětí i jiných útoků např. založených na manipulaci DNS, které Vám obvykle servíruje AP (tj. pharming & co.)

Jinak prolomením WPA2 za několik hodin v případě rozumné šifry (AES256) a použití klíčů (nikoli triviálního pre-shared key) bych si nebyl tak jistý.

Pakje tu ještě druhá stránka věci - připojování na cizí AP. Nikdy nevím co všechno si dotyčný loguje, jestli mu tam neběží třeba tcpdump a jakým způsobem pak zneužije nasbíraná data.

No a? ssh domu na server a vymalovano. Pokud si pamatuju identifikaci (proti man-in-the-middle), tak prez to muzu klidne i do banky ...

Jedine, co vi je, ze nekdo s MAC xxxx se prihlasil na IP yyyy, byl tam od nekdy do nekdy a prenesl nejake mnozstvi dat.

Nápad je to zajímavý, ale jedna z nevýhod je vypsána výše a druhá je de facto taková že jde o porušení smlouvy mezi uživatelem a poskytovatelem připojení. Pokud vím tak všichni mě známí poskytovatelé mají ve smluvních podmínkách to není možno veřejně poskytovat jejich připojení bez dovolení(jedná se tedy o veřejné hromadné poskytovatele upc, O2 atd..).

temer vsechny prispevky ve me budi smutek z toho co se tu dokaze predvadet - cechactvi. jak je videt, stale tady plati - kdyz mi chcipla koza, tak paneboze dej, at chcipne i sousedovi. ale aspon trosku optimizmu. dal jsem se k FON (zmyneno u v clanku) a nemam problema. prihlaseni je pres uzivatelske jmeno a heslo, funguje to v poho i venku - zrovna v sobotu jsem si to zkusil v parizi, a u fonu jsou ve statistikach ulozeny udaje o pripojeni mem u cizich i cizich u me. ale pravda, do free bych tady taky rozhodne nesel.

Tady pekne zduvodnuje Bruce Schneier, proc si nechal svoje WiFi otevrene:

http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html

Taky mam svuj AP otevreny bez autentizace. Az mi sit nekdo bude pretezovat v dobe, kdy to ja budu potrebovat, neni problem nekoho ciziho odriznout.

-Yenya, http://www.fi.muni.cz/~kas/blog/