Události #ČT zase opakují, že „odborníci varují před připojování k veřejným Wi-Fi sítím“ a například používání internetového bankovnictví z takové sítě. K _dokonalosti_ ještě chybělo snad jen doporučit použití nějaké komerční VPN.

Možná by víc opravdových odborníků mohlo lidem dostatečně populárně vysvětlovat, že pokud by veřejná Wi-Fi síť dokázala ohrozit použití internetového bankovnictví, pak by nebylo bezpečné používat ho nikde a nikdy.

@Oskar456 Já jsem se o to před časem pokusil.
https://www.mesec.cz/clanky/nemeli-byste-verit-cizi-wi-fi-a-proto-ji-muzete-v-klidu-pouzivat/

@Oskar456 Au... No, nedalo mi to a reportáž jsem si pustil. Musel jsem se nějak ztrestat při neděli. 🙄 🤣

Ale dává to smysl v situaci, kdy přístup k veřejné síti vyžaduje instalaci nějakého profilu, certifikátu, či dokonce aplikace... takové sítě se občas objevují a ne vždy jsou podvodné, ale rozhodně bych je nepovažoval za bezpečné.

EDIT: a zde bych měl uvést, že mi jde o takové certifikáty, které se nainstalují jako CA certifikáty, což při dnešních systémech již ale nebývá nutné!

@paulos instalaci speciálních aplikací či certifikátů vyžaduje snad jedině eduroam 😁
Pokud nainstaluješ do androidu nový kořenový certifikát, objeví se poměrně výrazné varování, které se nedá odstranit.

@Oskar456 Odpornýcy?

@krcmar @Oskar456 Pěkně napsané.

Ještě by mě ale zajímalo - a na to by musel dát odpověď někdo ze zdejších bezpečáků, nejlépe z prostředí banky - zda opravdu vidí napadení telefonů / počítačů přes nezabezpečené sítě a v jakém měřítku. Já vím, že je tady to riziko, že si furt jedou svoji ohranou písničku, ale přece jen si říkám, zda je tam něco, co prostě nevidíme.

@paulos @krcmar @Oskar456 ja som so specialistami z banky riesil vulnerabilitu co som nasiel v casoch, ked este sa este pustali aplety, a mozem prehlasit, ze co som "proste nevidel" bolo, ze sa jedna o bizarny mix idiotov, scammerov a impostorov.

nevidime tam armadu MBA, ktori netusia co robia, su trenovani klamat ludom do oci, a cely den ziju v strachu, zei ch niekto odhali

@Oskar456 I have never let run Eduroam installer on my computer. Sane entities, like #CVUT FEL and CESNET use well established Root CA certificates which are available on every GNU/Linux system which could be selected directly in teh GUI tools or WPA supplicant configuration. Problem si that who is not careful usually does not setup required CA pro authentication and other problem is if

 altsubject_match="DNS:radius.fel.cvut.cz"

is not set. As I understand it, if the radius DNS match and specific CA are not set, then the weak MS-CHAPV2 challenge-response cryptography with MitM is susceptible to brute force attacks. We probably can again tanks to Microsoft for this standard and problem to switch to something better because it would not work with their systems at Eduroam scale.

@ppisa Evidentně jste si přečetl návod a víte, co děláte, takže pro vás není problém vyplnit správně všech cca. 10 konfiguračních parametrů. Vaše heslo pro eduroam je tedy v bezpečí. Myslíte, že to samé platí pro další tisíce uživatelů eduroamu z ČVUT? Konfigurační aplikace je menší zlo, než se pokoušet všechny edukovat. 1/2

@ppisa 2/2 Máte tedy správně nastavený eduroam. Znamená to ale, že můžete každou síť jménem eduroam považovat za bezpečnou? Vůbec ne. Pro vás jako uživatele je síť s názvem eduroam, do které se úspěšně připojíte, úplně stejně důvěryhodná jako jakákoli síť v McDonalds, nebo CD-Wifi - tedy vůbec. Síť eduroam tedy nepřináší žádnou výhodu koncovým uživatelům. Jediní, kdo z ní profitují jsou správci, kteří jsou schopni snadněji dohledat potížisty.

@Oskar456 @ppisa v práci máme taky takovouto WiFi. Naše interní IT mi při pomáhání nastavení řeklo, že CA certifikát nepotřebuji, že to nemám vyplňovat.

Doufám, že profily spravované přes AD mají správný certifikát nastavený.

Samozřejmě, že heslo do této sítě je to stejné, jako do MS AD. Nejezdit na konference a nesledovat osvětu kolem eduroam, asi by mi to taky úplně nedocvaklo.

@ondrejkolin no jo, ono nastavit to správně je často tuna práce, a bohužel ty systémy s tím zrovna dvakrát nepomáhají. Světlou výjimkou budiž iOS/macOS, kde jde snadno přidat profil. @Oskar456 @ppisa

@paulos třeba macOS je u části komunity eduroamu v nelibosti protože při výchozím nastavení nepoužívá anonymní identitu, takže zařízení vytrubuje na potkání celé uživatelské jméno, což bývá obvykle taky e-mailová adresa a často z ní jde odvodit jméno dotyčné osoby.

(V Česku se ovšem anonymní identita moc nepodporuje, takže taková konfigurace je tady běžná i na jiných OS.)

@ondrejkolin @ppisa

@Oskar456 Yes, I am fully aware that there is no additional security when I use Eduroam network and in general that each connection, may it be except my local wired home network behind NAT and with limited external ports open, has to be considered as the wild environment. Eduroam federation and authentication have big advantage, that I can connect at lot of research organizations worldwide without negotiation with local admins. So yes, the referred Czech TV warning and claims are useless. The devices should be updated and do not allow any brute force and malformed packets and connections to go in. For public chargers, the USB-A to C cable with power wires only could be solution for slow but relatively safe charging.