Y36SPS: Demonstrace útoku Man in the middle

Na cvičení budeme demonstrovat útok MITM (Man in the middle). Předvede cvičící, následovat bude diskuse o možnostech ochrany.

Bodování: Není.

Účast je nepovinná, kdo se nezúčastní, zapláče na zkouškovém testu.

Front line support nám poradil, abychom přeskočili kontrolu certifikátu, pokud máme tu možnost. Po intervenci, že prohlížeč nám hlásí, že spojení může někdo odposlouchávat jsme byli předáni technickému oddělení, pracovník který volal druhý den odpoledne se zeptal zda máme správně nastavené datum a čas, po potvrzení řekl že máme schválit bezpečnostní výjimku a pokračovat, že by se nic nemělo stát.

Front line support nás požádal o e-mailovou adresu, kam nám zašle návod na import certifikátů. Návod nedorazil.

Poznámka: I kdyby dorazil, tak vyměnit po cestě e-mail je ještě triviálnější než realizovat MITM na SSL.

KB nás rovnou předala technickému oddělení, protože jsme citovali hlášku že seriózní banky a e-shopy po nás toto chtít nebudou. Technický pracovník poradil:

1. stáhněte si certifikáty CA z www.mojebanka.cz (zde banka selhává - pokud vlastníme internetové připojení, má oběť smůlu i když by další postup nebyl špatný)
2. naimportujte ve Firefoxu v záložce “Servery” ()
3. píše to furt? Tak pokud tam máte ten certifikát importovaný, tak klikněte “Schválit bezpečnostní výjimku”, tam by neměl být problém

Závěr: žádná z bank nám neporadila, jak se proti útoku bránit. Už chápete, proč Vám to s tím fingerprintem tak moc natloukáme do hlav?