Chappeho telegraf

V roce 1794 přišel francouzský vynálezce Claude Chappe se systémem vizuálních semaforových telegrafů. Pomocí nastavení ohebných ramen umístěných na věži (stožáru) bylo možno zobrazit písmena, čísla i některé speciální znaky, jako například začátek a konec komunikace nebo vymazání posledního znaku při překlepu. V tomto případě spíše „přeohnutí“.

Jednotlivé věže byly od sebe vzdáleny tak, aby bylo z jedné vidět na další. A tak se zpráva mohla šířit z jedné věže na druhou až do cílové destinace. Uvádí se, že rychlost přenosu zprávy byla až 500 km za hodinu.

Ve Francii byla během 19. století vybudována síť Chappeho vizuálních telegrafů pro potřeby státu (a hlavně armády). Například mezi Paříží a Brestem bylo na trase 58 stanic. Běžní občané služby této komunikační sítě ale využít nemohli.

V komunikaci se dokonce používalo end-to-end šifrování. Vzhledem k tomu, že pomocí sítě telegrafů byla přenášena vojenská tajemství, nebylo příliš vhodné, aby si komunikaci mohl číst kdokoliv, kdo měl výhled na telegrafní věž. Odesílatel a příjemce tak měli dohodnutý klíč, pomocí kterého šifrovali své zprávy. Operátoři věží po cestě jen šifrovanou zprávu opakovali znak za znakem aniž by dokázali rozluštit, co je obsahem zprávy. Odesílatel a příjemce zprávy tak měli v roce 1800 více soukromí než uživatelé Facebook Messengeru v roce 2021 (o šifrování messengerů více zde).

François a Louis Blanc

Bratři Blancové obchodovali se státními dluhopisy na burze v Bordeaux. Při takovém obchodování je rychlost informací stěžejní – kdo má rychlejší zprávy z centrálního bodu dění (v tomto případě Paříž), má nad ostatními obchodníky výhodu, protože může lépe předvídat pohyby na burze.

Zprávy z Paříže do Bordeaux byly tradičně posílány dostavníkem, což trvalo pět dní. Někteří obchodníci se snažili zkrátit tuto dobu používáním poštovních holubů nebo najímáním poslů. To bylo sice rychlejší, ale ne nijak výrazně. Bratrům Blancovým to rozhodně nestačilo. Věděli, že existuje výrazně rychlejší způsob komunikace na dlouhé vzdálenosti. Ten byl ale vyhrazen armádě, obchodníci jej využít nemohli. A tak většina obchodníků nadále přemýšlela nad zlepšováním aerodynamiky holuba. Ale bratři Blancové byli hackeři (i když to o sobě na Twitteru podle dostupných zdrojů netvrdili). Takže se myšlenky na využití Chappeho telegrafní sítě nevzdali.

Plán

Operátoři telegrafů nebyli asi nejlépe placení zaměstnanci ve Francii. Takže řešením by mohla být stará dobrá a osvědčená korupce.
Pokud by ale chtěli bratři Blancové posílat zprávy standardním způsobem, museli by podplatit všechny operátory po cestě z Paříže do Bordeaux. Což už by se mohlo prodražit.
Museli tedy přijít na to, jak tuto drahou nepříjemnost vyřešit.
Jak bylo zmíněno výše, systém obsahoval symbol pro vymazání posledního znaku – operátor zapisuje znaky tak, jak je vidí na semaforu a pokud uvidí symbol pro vymazání, prostě poslední znak smaže a pokračuje dál.
Právě toho se rozhodli hackeři využít. Budou posílat tajné zprávy tak, že po „jejich“ znaku vloženém do běžné armádní zprávy pošlou znak pro vymazání. Kdokoliv, kdo vidí semafor tento znak může vidět, ale operátor koncové věže ho z papíru vymaže (případně vůbec nenapíše). Tak bude zpráva předána a zároveň po ní nezůstane písemný důkaz.

Ponožky jako datový nosič

Bylo potřeba ještě vyřešit jeden problém. Po cestě z Paříže do Bordeaux byla ještě věž v Tours (přibližně 200 km od Paříže), kde byly zprávy dekódovány a přeposílány dál bez chyb. Takže zprávy musely být posílány odsud. A musely se do Tours dostat nějak nenápadně.
Naštěstí nebylo potřeba posílat nějaké rozsáhlé romány (to by při tomto scénáři ani nebylo možné), stačilo pár domluvených signálů. A tak byly do Tours z Paříže posílány poštovní balíčky, které obsahovaly oblečení. Druh oblečení (rukavice, ponožky, kravaty), který byl označen v průvodním dopise označoval, zda nějaký titul na burze klesá nebo roste a barva zase výši změny.

Hack

Hackování mohlo začít. Komplic v Paříži podle změn na burze poskládal oblečení do balíku a odeslal do Tours. Tam podplacený operátor telegrafu (dostal jednorázově 1500 franků za zapojení do konspirace, poté každý měsíc 150 franků a navíc ještě bonus 20 franků za každou předanou zprávu) odeslal zprávu s vloženými „chybami“.
U věže poblíž Bordeaux čekal další komplic s dalekohledem, sledoval telegraf a zapisoval znaky, které byly označeny jako chybné. A tím se dostaly zprávy k našim obchodníkům, kteří tak měli před ostatními několik dní náskok.

Odhalení

Systém perfektně fungoval dva roky. Odesláno bylo takto celkem 121 zpráv (a balíků s oblečením). Podezření kupodivu nevzbudilo ani náhlé zbohatnutí operátorů telegrafu (běžná denní mzda operátora činila 1,50 franku).
Pravda vyšla najevo až ve chvíli, kdy jeden z operátorů onemocněl a před smrtí se s celou záležitostí svěřil příteli.
Bratři Blancové ale překvapivě nenesli žádné následky. Francouzská legislativa jednoduše nezakazovala vkládání vlastních zpráv do telegrafního systému. Tehdejší zákonodárce to vůbec nenapadlo.
A tak se z nich později mohli stát úspěšní provozovatelé kasin (včetně kasina Monte Carlo v Monaku).

Jak je vidět už z prvního zdokumentovaného hackerského útoku, nejslabším článkem zabezpečení bývá člověk.

Zdroje:

https://fr.wikipedia.org/wiki/T%C3%A9l%C3%A9graphe_Chappe
https://en.wikipedia.org/wiki/Fran%C3%A7ois_Blanc
https://www.schneier.com/blog/archives/2018/05/1834_the_first_.html
https://gallica.bnf.fr/ark:/12148/bpt6k4393846/f1.item

The post O původu hackerů appeared first on DIGITÁLNÍ SEBEOBRANA.

Útočník navíc nemusel spoléhat na nějaký chybný krok uživatele (například kliknutí na odkaz nebo otevření přílohy), instalace software proběhla poté, co útočník své oběti na WhatsApp zavolal. Uživatel hovor ani nemusel přijmout, škodlivý kód obsahovalo již ono zavolání. Záznam o volání mohl být poté vymazán, takže uživatel zpětně nemá běžným způsobem možnost zjistit, zda se stal obětí takového útoku.

Jak bylo zmíněno výše, chyba je již opravena, proto neváhejte s aktualizací WhatsAppu na nejnovější verzi.
Nebo prostě přejděte na bezpečnejší Signal Messenger

Verze, kterých se zranitelnost týká:

Android: v2.19.134 a nižší, WhatsApp Bussines v2.19.44 a nižší
iOS: v2.19.51 a nižší, WhatsApp Business v2.19.51 a nižší
Windows Phone: v2.18.348 a nižší
Tizen: v2.18.15 a nižší

Jak aktualizovat WhatsApp?

Android:

• Otevřete Google Play
• Otevřete menu v levém horním menu
• Otevřete Moje aplikace a hry
• Pokud nebyl WhatsApp automaticky aktualizován, je u něj tlačítko „Aktualizovat“. V opačném případě nabídka aktualizace chybí, místo něj je pouze tlačítko k otevření.

iOS:

• Otevřete App Store
• Ve spodní části displeje klepněte na „Aktualizace“
• Pokud nebyl WhatsApp automaticky aktualizován, je u něj tlačítko „Aktualizovat“. V opačném případě nabídka aktualizace chybí, místo něj je pouze tlačítko k otevření

The post 0-day zranitelnost ve WhatsApp appeared first on DIGITÁLNÍ SEBEOBRANA.

Co se pod zkratkou VPN skrývá a jak může pomoci nejen při hledání obsahu na Internetu a jak může pomoci ochránit vaši soukromou či firemní komunikaci?

VPN je zkratka pro „Virtual Private Network“ – Virtuální privátní (soukromá) síť. Jednoduše řečeno, pomocí VPN je vaše zařízení připojeno do lokální sítě bez ohledu na to, kde se fyzicky nachází. Můžete tak například bezpečně tisknout na vaší domácí nebo firemní tiskárně umístěné v Praze třeba z New Yorku. A stejně tak se pomocí VPN můžete z Brna dívat na americkou verzi Netflixu (která má jiný obsah a pro uživatele, kteří se připojují z jiných částí světa je „neviditelná“).
Zavedením nových regulací pro poskytovatele internetového obsahu se zvýšila pravděpodobnost, že serverů poskytujících jiný obsah pro státy EU než pro zbytek světa, bude přibývat. Připojení přes VPN tak zůstane jednou z mála možností, jak se dostat i k neregulovanému obsahu.

Jak to celé funguje?

Ve zkratce a zjednodušeně:

Do počítače (či telefonu) si nainstalujete program (tzv. VPN klient), vyberete si cíl (VPN server), který může být kdekoliv na světě a od této chvíle používáte Internet tak, jako kdybyste fyzicky byli v místě VPN serveru. Pokud je VPN server např. v Chicagu, pro webové stránky (a další služby) jste v Chicagu i vy. V podstatě jste se během pár sekund virtuálně teleportovali na druhý konec světa. Můžete tak používat služby, které jsou lokálně omezeny (jako například výše zmíněný Netflix nebo třeba internetové vysílání České Televize, které lze sledovat jen z území České Republiky a na které se z dovolené normálně nepodíváte).
Navíc je vaše komunikace s VPN serverem šifrována a nelze ji jednoduše odposlouchávat (např. pokud jste připojeni na veřejnou Wi-Fi v kavárně).
Nevýhodou může být nižší rychlost připojení přes VPN, závislé na rychlosti serveru a způsobu šifrování. Toto snížení ale v praxi nebývá příliš velké.

Jak získám přístup k VPN?

Existují dvě cesty, obě mají své výhody i nevýhody:

1. Registrace u poskytovatele VPN

Příklad: NordVPN, ProtonVPN, Cryptohippie, VPN.ac.

VPN si můžete jednoduše zaplatit jako službu. Provozovatelů je hodně, liší se cenou, počtem serverů různě po světě, garantovanou rychlostí, mírou anonymity a dalšími parametry.
Jak vybrat toho nejlepšího? Na to neexistuje jednoduchá odpověď. Hodně záleží na tom, k čemu chcete VPN používat. Pokud se potřebujete pouze občas připojit na server v jedné zemi, bude vám stačit levnější služba s méně servery. Pro sledování videí či stahování většího množství dat zase potřebujete větší garantovanou rychlost a neomezené limity pro stahování (či nahrávání).
Mezi provozovatele patří např. NordVPN, ProtonVPN nebo VPN.ac. Jejich aplikace pro připojení k VPN existují pro všechny hlavní operační systémy na počítačích i telefonech a ve světě mají velké množství serverů. ProtonVPN umožňuje používat VPN i zdarma, ale s malým počtem serverů, nižší rychlostí a omezením na jedno zařízení. Výhodou je, že si můžete VPN vyzkoušet před placením.
Existuje mnoho provozovatelů, kteří nabízejí VPN úplně zdarma. Protože však provoz serverů stojí nemalé peníze, často je financován z prodeje dat o uživatelích či přímé zneužívání přenášených dat (provozovatel VPN, na rozdíl od poskytovatele Internetu vaše data „vidí“). Proto se zdá bezpečnější si službu zaplatit. Ale ani to, že si za službu zaplatíte vám nezaručí, že provozovatel vaše data nevytěžuje. Proto je při výběru poskytovatele potřeba vzít v úvahu i jeho důvěryhodnost.
Podrobnou tabulku srovnání různých poskytovatelů VPN můžete nalézt zde.

Výhody: Jednoduchá instalace, velké množství serverů, bezpečnost řeší provozovatel
Nevýhody: provozovatel může vytěžovat vaše data, cena, poskytovatelé různých služeb mohou blokovat IP adresy VPN serverů

2. Vlastní VPN server

Příklad: OpenVPN

VPN můžete provozovat sami na domácím či firemním serveru (s veřejnou IP adresou). Existuje několik možných řešení, ať už komerčních či open source jako je například OpenVPN.
Server si tak můžete nakonfigurovat podle svých potřeb a svá data nesvěřujete žádnému provozovateli a můžete ho použít pro přístup k vaší vnitřní síti zvenku (váš počítač se bude chovat jako byste byli připojeni na domácí či firemní síti). Pokud disponujete dostatečnými znalostmi (nebo vlastním IT oddělením) a VPN potřebujete spíše pro přístup do vlastní sítě než pro přístup ke službám v jiných zemích, je tato varianta pro vás spíše vhodnější.

Výhody: Data nevidí nikdo mimo vaši sít, máte přístup k zařízením ve vaší síti
Nevýhody: Instalace a konfigurace (potřebujete vlastní server a znalosti ke správnému a bezpečnému nastavení), údržba a aktualizace serveru, množství serverů v různých lokalitách je omezen vašimi možnostmi

VPN trochu detailněji

Pro pochopení funkce VPN je potřeba si nejdříve vysvětlit, co se děje, když se připojujete k nějakému serveru na Internetu  – například zadáte do prohlížeče adresu www.netflix.com:

Váš počítač (nebo telefon) Praze nejprve kontaktuje první bod na síti, dnes obvykle Wi-Fi router u vás doma, ve firmě nebo třeba v kavárně. Router se spojí s poskytovatelem Internetu (např. UPC, O2 apod.) a přes různé další servery po cestě se váš požadavek dostane až k serveru, na kterém je umístěna webová stránka Netflixu. Ta vám podle vašeho umístění zobrazí lokální verzi (v našem případě českou). Jak zjistí, kde se nacházíte? Jednoduše podle vaší IP adresy – ty jsou specifické pro různé části světa a lze tak umístění zjistit. Netflix tak vidí, že jste v České Republice a nedovolí vám dívat se na jiné verze.

VPN zamaskuje vaši polohu.

VPN funguje na principu klient – server. To znamená, že ve vašem zařízení je nainstalovaný program, tzv. klient, který se připojí k serveru (např. v New Yorku) a vytvoří jakýsi datový tunel mezi vaším zařízením a oním VPN serverem. Veškerá data, která „tečou“ tímto tunelem jsou zašifrována a nečitelná pro nikoho jiného na síti (ani pro vašeho poskytovatele Internetu).
VPN server se pak připojí k serveru (v našem případě Netflixu), který chcete navštívit pod svojí IP adresou a provozovatel tak nevidí vaše skutečné umístění, ale umístění onoho VPN serveru a podle toho může upravit data, která vám nabídne (americkou verzi).

Domácí nebo firemní síť

Pokud máte vlastní VPN server, po připojení je váš počítač nebo telefon připojen do sítě stejně, jako kdyby byl fyzicky u vás doma nebo ve firmě. Máte tak přístup k ostatním počítačům a zařízením, jako jsou např. tiskárny, sdílené disky, vnitřní firemní systém apod. Spojení je šifrováno, nehrozí tedy (pokud je správně nakonfigurováno), že bude někým odposloucháno.

The post VPN – ochrana vaší komunikace a spása pro evropský Internet? appeared first on DIGITÁLNÍ SEBEOBRANA.

The post Šifrování zpráv – demo appeared first on DIGITÁLNÍ SEBEOBRANA.

Tl;dr? Nepřestalo!

V úterý, 15. 5. 2018 byl na webu https://efail.de zveřejněn podrobný popis zranitelností v implementacích PGP/GPG v rozšířeních emailových klientů. Jedná se o zneužití způsobu, jakým daná rozšíření pracují se zprávami.
To je důležitá zpráva. Způsob šifrování jako takový prolomen nebyl, tudíž lze i nadále považovat PGP/GPG za bezpečné!

---

Útoky

Zveřejněné dokumenty popisují dva druhy útoků, ve zkratce a zjednodušeně se dají popsat takto:

1. “Direct exfiltration”, který využívá způsobu, jakým emailový klient zpracovává zprávy v HTML formátu a jak je zobrazuje uživateli.
Pokud útočník získá zašifrovanou zprávu, která ho zajímá, pošle oběti email, který obsahuje i onu dříve zašifrovanou zprávu. Emailový klient uživateli automaticky zobrazí email celý, včetně jeho vlastní, původně zašifrované zprávy. Začátek emailu pak obsahuje kód (neukončený HTML tag img src="”http://efail.de/" )

2. Druhý útok (The CBC/CFB Gadget Attack) umožňuje změnit zašifrovanou zprávu. Útočník ji tak sice není schopen přečíst, ale je schopen jí změnit a poslat adresátovi vlastní verzi emailu. Standard OpenPGP explicitně nevyžaduje kontrolu integrity zprávy (kontrola toho, zda nebyla zpráva “po cestě” změněna) a navíc i když je zpráva odeslána s touto pojistkou, existují způsoby, jak ji odstranit a někteří emailový klienti sice uživatele upozorní, že testem na integritu zpráva neprošla (a tudíž byla změněna), ale zprávu přesto zobrazí. Pak se opakuje scénář prvního útoku — zobrazená zpráva je zaslána na server útočníka.

---

Jak ochránit svoji komunikaci?

1. Zakázat zobrazení vzdáleného obsahu (např. v Thunderbirdu je to přednastaveno). Emailový klient tak nebude zasílat požadavek na útočníkův server.
2. Vypnout zobrazování a vytváření zpráv v HTML formátu. Zpráva se pak bude zobrazovat jako obyčejný text a nebudou se zpracovávat jakékoliv kódy.

Další možností je používat defaultně šifrovaný ProtonMail. Ten používá PGP jako základ a není objevenými zranitelnostmi zasažen.

A zkušenější uživatelé mohou použít pro (de)šifrování zpráv shell/příkazovou řádku. Návod např. zde: Linux, MacOS, Windows.

The post Přestalo být šifrování emailů pomocí PGP/GPG bezpečné? appeared first on DIGITÁLNÍ SEBEOBRANA.