Používejte silná hesla, neotevírejte neznámé přílohy a nepřipojujte se k nebezpečným Wi-Fi sítím. To jsou běžně omílaná pravidla bezpečného internetu, která slyší uživatelé už mnoho let. Aby bylo takové pravidlo pochopitelné, musí být velmi jednoduché a přímočaré. Někdy ovšem i takto jednoduché rady dokáží zamotat člověku hlavu, když se jimi snaží skutečně řídit.
Například taková nebezpečná Wi-Fi. Co mi může udělat? Jak se jí můžu vyhnout? Jak ji vůbec poznám? Můžu ji vlastně vůbec poznat?
Co je to ta síť?
Síť je zjednodušeně řečeno soustava zařízení, která jsou mezi sebou propojená a dokáží si předávat data. Těm zařízením říkáme anglicky routery, česky směrovače. Jednomu takovému směrovači předáme svá data a po síti chceme, aby je nějakým způsobem doručil do námi vybraného cíle.
Funguje to vlastně stejně jako posílání papírových dopisů. Přijdeme k nejbližší oranžové schránce, vhodíme do ní dopis s cílovou adresou a ztrácíme nad ním kontrolu. Na poštovní síti pak je, aby dopis několikrát předala a aby v pořádku v rozumné době dorazil tam, kam má.
Šup tam s ním, snad dojde
Nemáme možnost nijak řídit, kudy informace poputují, kdo je bude mít v ruce a ani jak s nimi bude zacházet. Platí to o papírové poště, ale i o datech na internetu. V případě počítačových sítí si ale musíme uvědomit, že je může stavět kdokoliv, kdykoliv a mít nejrůznější úmysly.
Jeho moc nad přenášenými daty je vlastně neomezená, může je zastavit, přesměrovat, zaznamenat nebo libovolně upravovat. Neplatí to navíc jen o nejbližším směrovači v kavárně na rohu, ale o jakémkoliv místě v síti, kudy data poběží. Může to být v nedalekém krajském městě, zapadlé vesnici v sousedním státě nebo třeba na druhé straně planety.
Celá síť, které říkáme internet, staví na velmi jednoduchých principech předávání zpráv a nic nezaručuje. Ani samotné doručení zprávy není nijak garantováno, natož aby se síť zabývala bezpečností. Data prostě proudí různými cestami a dít se může prakticky cokoliv. Jde v principu o nedůvěryhodné prostředí, kterému svěřujeme svá data.
Co je to bezpečná Wi-Fi?
Chodíme na různá místa, pijeme kávu s kamarády, občas musíme na nějaké letiště a všude tam nám nabízejí místní připojení k internetu. Jak tedy v takovém prostředí poznáme, ke které Wi-Fi se můžeme připojit? Odpověď je jednoduchá: nemůžeme to poznat.
Nemáme šanci, protože na každou věc prostě neexistuje jednoduché řešení. Bylo by fajn mít zelené světýlko, které označuje bezpečnou Wi-Fi. Ale nic takového nemáme. Hlavně proto, že se taková věc špatně definuje. Co přesně by mělo znamenat, že je Wi-Fi bezpečná? Zřejmě to, že se chová podle standardů a není u ní nikdo, kdo se snaží s provozem dělat něco nekalého.
Vypadá trochu podezřele, jak si tam v klidu bliká
Tohle ale nemáme šanci nijak odhalit, a i kdyby to platilo právě teď, nikdo nám nezaručí, že se situace za pár okamžiků nezmění. Klidně proto, že někdo odhadl správcovo slabé heslo a ovládl nějaké prvky v síti. Tohle prostě nevíme, nepoznáme to, a proto síti nemůžeme věřit.
Nevěřím nikomu, tak jsem v klidu
Tohle celé zní depresivně a zdálo by se, že internet je nespolehlivá, nebezpečná a nedůvěryhodná věc. Ano! Právě proto můžeme zůstat v klidu a používat ho naprosto bez obav. Ono totiž platí, že přiznáním a pojmenováním problému jsme na poloviční cestě k jeho vyřešení.
O problémech s nedůvěryhodností celé sítě se samozřejmě dávno ví a výsledkem je přístup, kterému anglicky říkáme zero trust networking. Česky bychom řekli komunikace s nulovou důvěrou. Tento princip vychází právě z faktu, že síť samotná je nebezpečná a nedůvěryhodná a nemůžeme počítat s její podporou v otázce bezpečnosti.
Správný přístup tedy je, že jakmile data opouštějí náš počítač, musíme předpokládat problém. Nemělo by tedy platit ani to, že na místní síti jsem v klidu, protože ji mám pod kontrolou. Pokud si manželka nainstalovala na mobil škodlivou aplikaci, nebo si děti s novou hrou stáhly i malware, můžu být v nebezpečí i na místní síti. Doufej v nejlepší, připrav se na nejhorší.
Bezpečná Wi-Fi vs. bezpečné aplikace
V překladu pro běžné uživatele internetu to znamená, že když je dobře naprogramovaná mobilní či jiná webová aplikace, bez obav se s ní můžete připojit i na veřejné Wi-Fi, protože provoz z appky je šifrovaný.
Internet je z principu nezabezpečený → to víme → protože to víme, zabezpečujeme komunikaci jinak → je bezpečné používat internet → je bezpečné používat cizí Wi-Fi, protože je to jedno.
Příklad: S dobře naprogramovanou bankovní aplikací se nemusíte bát připojit na veřejnou Wi-Fi, protože data jsou šifrovaná a případný útočník z této sítě je nemá jak rozšifrovat, a tedy zneužít.
Bezpečnost se přesunula výš
Tohle všechno známe a o tomhle všem dávno víme. Proto se bezpečnost ze síťové vrstvy přesunula úplně jinam – do vrstvy aplikační. To je přesně místo, které naopak máme pod kontrolou. My určujeme, jak se bude která aplikace chovat, jaká data bude posílat a jaká bude považovat za důvěryhodná.
Viditelným příkladem můžou být webové stránky, které tradičně načítáme v prohlížeči. U nich už delší dobu platí, že drtivá většina provozu je šifrovaná. Okolo devadesáti procent webových stránek je dnes načítáno po šifrovaném spojení pomocí HTTPS. Je to naprosto normální, tady na Měšci se samozřejmě šifrování také používá. Je to dokonce tak normální, že některé prohlížeče už o tom ani uživatele viditelně neinformují.
Tohle řešení vás neochrání, ale šifrování ano
Kolem šifrování je celá hromada docela složitých věcí, ale pro nás je podstatné, že to funguje a používáme to naprosto bez nutnosti tomu odborně rozumět. Pokud se chceme spojit třeba s Měšec.cz, náš prohlížeč nejprve naváže bezpečné šifrované spojení s příslušným serverem v pražském datacentru a teprve pak je zahájena komunikace s přenosem dat.
Snad ještě lepší zpráva je, že se za náš server nedokáže nikdo vydávat. Vy jako čtenáři si tedy jste jistí, že komunikujete se správným serverem a čtete si ty články, které pro vás připravil vydavatel. Díky HTTPS tak není možné na úrovni sítě uživatelovo spojení unést a snažit se ho třeba nějakým způsobem podvádět.
V takové situaci nemá útočník ovládající síť možnost do našeho spojení nijak zasáhnout. Nemůže se například dívat, jaké články si čteme nebo jakým heslem se přihlašujeme. Nedokáže rozeznat, jestli jsme právě napsali komentář, nebo si prohlížíme obrázky platebních karet. Nedokáže nám ani do komunikace nic přidat, třeba nějaký nebezpečný kód.
Vidí jen to, že jsme navázali spojení s určitým serverem a posíláme si s ním nějakou komunikaci. Pořád má samozřejmě možnost takovou komunikaci úplně zablokovat a my se prostě nedomluvíme, ale nic víc mu neumožníme a tím jsme v bezpečí. Mimochodem je dokázáno, že šifrování snížilo míru cenzury při přístupu na Wikipedii. Státy totiž nemohou cíleně blokovat jen jednotlivé články, protože do komunikace uživatelů prostě nevidí. Zároveň si netroufnou blokovat encyklopedii jako celek.
Používejte Wi-Fi a buďte v klidu
Takto je dnes zajištěna většina komunikace nejen na webu, ale i v mobilních aplikacích. Šifrování je prostě považováno za naprosto běžný standard, bez kterého se moderní komunikace na internetu neobejde. Pokud tedy používáte třeba bankovní mobilní aplikaci, přenáší se celá vaše komunikace tak, aby nebylo možné s ní manipulovat.
Vyžaduje to samozřejmě zkušeného programátora aplikace, který to musí celé udělat správně. Ovšem i kdyby to správně neudělal a komunikace nebyla zabezpečena dokonale (což se někdy stane), důkladný výběr místní Wi-Fi vás nespasí, protože internet je z principu otevřená síť.
Používejte tedy místní Wi-Fi a nelamte si s tím hlavu. Komunikace je dnes dobře zajištěná na jiné úrovni a počítá se s tím, že by s ní mohl někdo něco zkoušet provádět. V zásadě dnes ale není příliš možností, jak vám významně uškodit. O úspory na účtech nepřijdete jen proto, že jste se neopatrně připojili v oblíbené kavárně.
ČLÁNKY DO MAILU