Teraz má mnoho hotelov a barov bezplatnú Wi-Fi sieť a mnoho návštevníkov láka pracovať pri šálke kávy alebo jednoducho kontrolovať e-maily, uverejňovať niečo na twitteri alebo facebooku. Aké veľké je pokušenie, je aj pravdepodobnosť, že k vám môžu prísť „nepozvaní hostia“.
Podľa nižšie uvedených tipov môžete používať verejné siete Wi-Fi a zostať v bezpečí.
Vypnite zdieľanie súborov
Keď pracujete doma so sieťou Wi-Fi, môžete jednoducho zdieľať súbory vo svojom počítači a zdieľať tlačiareň s počítačmi, ktoré sú vo vašej sieti. Na verejných miestach je lepšie túto možnosť vypnúť.
Windows: Otvorte Ovládací panel, potom prejdite na Siete a internet – Centrum sietí a potom kliknite na Vybrať domácu skupinu a nastavenia zdieľania – Zmeniť rozšírené nastavenia zdieľania. Tu musíte vypnúť prístup k súborom a tlačiarňam, zakázať vyhľadávanie v sieti a prístup k zdieľaným priečinkom. Niektoré z týchto operácií systém Windows vykoná automaticky, ak túto mriežku označíte ako verejnú.
MacOS X: Prejdite na Predvoľby systému a uistite sa, že všetky políčka nie sú začiarknuté. Musíte tam ísť aj vtedy, ak chcete zakázať vyhľadávanie siete. Po týchto krokoch nebude váš počítač viditeľný v sieti. V systéme Windows to bude len ďalšia značka v rozšírených nastaveniach prístupu. V systéme Mac OS X by sa to označovalo ako „skrytý režim“, ktorý sa nachádza v nastaveniach brány firewall.
Nastavenia brány firewall
Teraz sa takmer všetky operačné systémy dodávajú s aspoň najjednoduchším firewallom, takže ho nastavte tak, aby sa do vášho počítača nedostal nikto zvonku. Nastavenia zabezpečenia možno v zásade konfigurovať automaticky, ale stále sa oplatí skontrolovať. Cesta v systéme Windows: Ovládací panel - Systém a zabezpečenie - Brána firewall systému Windows; na Macu: Predvoľby systému - Zabezpečenie - Firewall. Firewall môžete tiež nakonfigurovať tak, aby určité programy alebo aktualizácie mali otvorený prístup k vášmu počítaču, kliknutím na „povoliť program cez bránu firewall“ vo Windows, v OS X musíte prejsť do pokročilých nastavení.
Používajte protokol SSL vždy, keď je to možné
Výmena návštevnosti so stránkami cez HTTP nie je šifrovaná a ak máte určité schopnosti, ľahko si môžete kúsok ukradnúť. Ak sú to jednoduché informácie, ktoré sú verejne dostupné, je to v poriadku. Oveľa horšie, keď ide o vaše heslá a kľúče. Pomocou HTTPS (na návštevu webových stránok) alebo SSL (keď používate aplikácie, ktoré potrebujú prístup na internet, ako je poštový klient) sú šifrované údaje, ktoré prechádzajú medzi vaším počítačom a touto webovou službou.
Niektoré stránky to robia automaticky, ale najlepšie je sledovať riadok s adresou a uistiť sa, že písmeno „s“ v „https“ je tam vždy, keď si vymieňate informácie. Ak zmizla, je lepšie sa okamžite odhlásiť. Iné stránky predvolene používajú HTTP, ale HTTPS môžete zadať manuálne.
Ak používate e-mailových klientov ako Outlook alebo Mail.app, uistite sa, že váš účet je šifrovaný pomocou SSL. Ak nie, ostatní ľudia si budú môcť jednoducho prečítať vaše listy, zistiť vaše používateľské meno a heslo a oveľa viac. Preto je nevyhnutné, aby ste sa uistili, že e-mailový program, ktorý používate, podporuje protokol SSL, ak nie, je lepšie ho nepoužívať vo verejných sieťach.
Použitie virtuálnej privátnej siete
Bohužiaľ, nie všetky stránky ponúkajú použitie SSL. A ak stále potrebujete navštíviť takéto stránky, je lepšie použiť pripojenie cez VPN alebo virtuálnu privátnu sieť. Tieto služby vám umožňujú pracovať vo verejnej sieti Wi-Fi, ako keby ste boli v súkromnej sieti.
Vypnite prístup k sieti, keď na nej nepracujete
Ak chcete byť v bezpečí, keď internet nepoužívate, je najlepšie sa zatiaľ odpojiť od verejnej siete Wi-Fi. Je to veľmi jednoduché na systémoch Windows aj Mac. Na počítači Mac jednoducho kliknite na ikonu Wi-Fi a vyberte „vypnúť možnosti AirPort“. V systéme Windows stačí kliknúť pravým tlačidlom myši na ikonu bezdrôtového pripojenia a vypnúť ho.
Ako automatizovať nastavenia zabezpečenia vašej verejnej siete Wi-Fi
Ak sa vám nechce zakaždým manuálne konfigurovať zabezpečenie siete Wi-Fi, môžete ich nastaviť automaticky.
V systéme Windows
Keď sa budete chcieť pripojiť k akejkoľvek sieti vo Windowse, či už ste doma, v práci alebo v kaviarni, aj tak sa vás opýtajú na nastavenia. Pre každé z týchto miest sa vám ponúkne zoznam nastavení. Všeobecné nastavenia vám poskytnú maximálnu bezpečnosť. Pre miesta, kde najčastejšie používate zdieľanú sieť Wi-Fi, môžete manuálne nakonfigurovať všetky potrebné podnastavenia. Ak to chcete urobiť, musíte otvoriť Ovládací panel - Sieť a internet - Vyberte domácu skupinu a možnosti zdieľania. Odtiaľ môžete povoliť alebo zakázať zisťovanie siete, zdieľanie súborov a verejný prístup k priečinkom a tlačiarňam pre rôzne profily.
V tomto prípade môžete použiť program NetSetMen.
V systéme Mac OS X
Nemáte tu veľa možností pre automatické nastavenie siete, ale AirPort Location robí všetko, čo chcete, a ešte viac. Pomocou neho môžete zapnúť bránu firewall, vypnúť poštu SMPT, pripojiť sa k sieti VPN a mnoho ďalších možností v závislosti od siete, ku ktorej sa chcete pripojiť. Môžete dokonca zmeniť pozadie pracovnej plochy v závislosti od siete, ku ktorej ste pripojení.
Vo svojom prehliadači
Rozšírenie FireFox HTTPS Everywhere automaticky vyberá zabezpečenie HTTPS pre väčšinu populárnych stránok vrátane New York Times, Facebooku, Google Search a ďalších. Môžete dokonca pridať svoju vlastnú konfiguráciu XML. Toto rozšírenie funguje na Windows, Mac a Linux.
Niekedy sa naliehavo potrebujeme pripojiť k internetu. Na tento účel môžete použiť kartu SIM s pripojenou službou mobilného internetu alebo sieť Wi-Fi. Čo robiť, ak služba "mobilný internet" nie je pripojená, ale existuje možnosť prístupu k bezplatnej sieti Wi-Fi? Túto službu samozrejme využijeme. Navyše rýchlosť internetového pripojenia s takýmto pripojením je niekoľkonásobne vyššia ako pri prístupe na World Wide Web pomocou SIM karty.
Navigácia
Čo je zlé na otvorených sieťach Wi-Fi?
Siete Wi-Fi, ku ktorým sa môžete pripojiť, sú verejné alebo vytvorené vašimi susedmi, ale zabudli ste ich chrániť heslom. Pripojenie k takejto sieti je veľmi jednoduché. Ale po prvé, nie je to fér. Ak niekto hlúpo alebo zabudnute nechal svoju sieť otvorenú, neznamená to, že sa k nej musíte pripojiť. A po druhé, nie je to bezpečné. Kde je záruka, že takúto sieť nevytvoril útočník?
Kyberzločinci využívajú rôzne triky, aby sa stali vlastníkmi vašich prihlasovacích údajov a hesiel. Prečo si myslíš, že WiFi je "anna_home" nevytvorili oni? Samozrejme, riziko pádu na takéto spojenie z domu je malé. Len málo kyberzločincov si vytvorí Wi-Fi sieť vo vchode do vášho domu. Je to pre nich jednoduchšie a jednoduchšie v obchodných centrách, kaviarňach, mestských parkoch a iných preplnených miestach.
Takéto siete môžu pomôcť kyberzločincom zistiť vaše prihlasovacie údaje a heslá na sociálnych sieťach, rôznych portáloch a webových stránkach. Pomocou falošných sietí Wi-Fi môžu útočníci získať číslo vašej bankovej karty a ďalšie dôležité finančné informácie.
Prečo by ste si inak mali dávať pozor na otvorené WI-Fi siete?
Okrem krádeže osobných údajov môžu otvorené siete Wi-Fi infikovať zariadenie, s ktorým pristupujete na internet, vírusmi. Aj keď sieť nevytvoril útočník, ale váš zábudlivý sused, potom by ju kyberzločinec, ktorý ju našiel skôr ako vy alebo iný sused s infikovaným zariadením, mohol odmeniť vírusom.
Všetko je ako v skutočnom živote. Používanie promiskuitných spojení - musíte sa chrániť.
Ale aj keď otvorená sieť WI-Fi vášho suseda nie je infikovaná a vaše zariadenie je chránené pred vírusmi, neznamená to, že by sa takáto sieť mala používať na vaše vlastné účely. Napríklad chcete sledovať novú epizódu svojho obľúbeného seriálu alebo futbalový zápas a sused, ktorý vlastní takúto sieť, stiahne veľké množstvo informácií. Je nepravdepodobné, že rýchlosť takejto siete vám umožní sledovať video bez zamrznutia.
Pomocou takejto siete budete rýchlosť zdieľať so všetkými zariadeniami fungujúcimi v sieti. Ak váš sused používa stolný počítač, notebook a ďalšie zariadenia a do jeho siete sa pripojí ďalší šikovný chlap, rýchlosť pripojenia bude minimálna.
Čo môžu útočníci ukradnúť cez falošnú Wi-Fi sieť?
Vaše mobilné zariadenia, ktoré sa pripájajú k sieťam Wi-Fi, budú pravdepodobne obsahovať rodinné fotografie, korešpondenciu s priateľmi a kolegami v práci, dôležité obchodné informácie a pracovné súbory. Všetky sa dajú ľahko „stratiť“ pomocou takýchto falošných sietí.
Ak však väčšina tu uvedených súborov nemá veľkú hodnotu, finančné informácie (prístupové kódy k bankovým účtom, čísla kariet a ďalšie informácie) by mali byť dodatočne chránené. A je lepšie ho vôbec ukladať na zariadeniach, ktoré nejdú na World Wide Web.
Bezpečnostné pravidlá používania otvorených sietí Wi-Fi
- Ak potrebujete otvoriť siete Wi-Fi, musíte pri takomto „bezohľadnom“ čine dodržiavať určité pravidlá. Pomôžu minimalizovať (určite nie úplne) riziko spojené s takýmto spojením.
- Zakázať automatické pripojenie Wi-Fi. Ak to urobíte, ušetríte nielen výdrž batérie, ale aj ochránite svoje dáta pred votrelcami. Kyberzločinci často vytvárajú falošné siete, klony známych verejných sietí, aby ukradli vaše údaje. Ak nevypnete automatické pripojenie, váš smartfón sa automaticky pripojí k takýmto sieťam bez vášho vedomia a útočníci rýchlo ukradnú všetky informácie, ktoré potrebujú
- Okrem krádeže vašich údajov tieto siete používajú obchodníci na to, aby vás „špinili“. Použijú váš smartfón pripojený k Wi-Fi sieti nákupného centra, aby sa dozvedeli o vašich záujmoch a použili vaše zariadenie na odosielanie spamových ponúk.
- Na prístup k bankovým a platobným údajom nepoužívajte otvorené siete Wi-Fi. Ak chcete platiť účty na World Wide Web, použite zabezpečenú domácu sieť alebo mobilný internet
- Povoliť v nastaveniach "Vždy používať zabezpečené pripojenie" služby, ktoré sú pre vás dôležité. Môžete tiež povoliť v nastaveniach zariadenia VPN(virtuálna súkromná sieť). Nie všetky zariadenia však podporujú túto ochranu údajov
- Pre mobilné prehliadače Google Chrome, Firefox alebo Opera si stiahnite a nainštalujte špeciálny doplnok, ktorý vám poskytne bezpečnejší internet. Napríklad, HTTPS Everywhere od Electronic Frontier Foundation (EFF). Pridajte do jeho nastavení stránky, pomocou ktorých chcete zabezpečiť svoje pripojenie
- Nainštalujte si dobrý antivírus na svoje zariadenie, z ktorého pristupujete na internet. Dôležité informácie (vrátane prihlasovacích údajov, hesiel, platobných údajov atď.) môžete chrániť pomocou antivírusu Kaspersky Internet Security
- Je dôležité pochopiť riziká, ktoré podstupujete pri používaní verejných sietí Wi-Fi na prístup na internet. Ale aj zabezpečené siete môžu útočníci použiť na ukradnutie vašich údajov. Preto by ste mali byť vždy v strehu. Najmä ak platíte online za nákupy a spravujete svoje bankové účty
Video. Nebezpečenstvo verejných WiFi sietí
Mnohí používatelia sú oboznámení s túžbou, ktorá vzniká pri čakaní na let na letisku alebo na obed v reštaurácii - použiť prístupový bod poskytnutý inštitúciou a ísť online. Prax bezplatného Wi-Fi na verejných miestach je dnes bežná. Prístupový bod sa stal súčasťou marketingovej kampane tak organizácií, ktoré chcú zaujať návštevníka, ako aj operátorov, ktorí poskytujú prístup na internet bez hesla na preplnených miestach, čím chcú opäť demonštrovať kvalitu svojich služieb.
Táto služba je veľmi populárna po celom svete. V skutočnosti mnohí obyvatelia moderného mesta majú zlú predstavu o obede bez toho, aby si skontrolovali svoju stránku na sociálnych sieťach. Zároveň sa však na podvedomej úrovni mnohí návštevníci reštaurácií, kaviarní, letísk neodvážia obrátiť na svoje online bankovníctvo a oprávnene neveria verejnému prístupovému bodu k internetu. Môže to byť teda skutočne nebezpečné pre osobné informácie? A je rovnako nebezpečné používať verejnú Wi-Fi pre všetky služby alebo len tie so slabou ochranou?
Hlavnými problémami úzko súvisiacimi s používaním verejného prístupového bodu je nemožnosť uistiť sa, že všetky zariadenia používajú túto sieť a že samotný bod nie je škodlivý. Hlavným nebezpečenstvom je, že pri používaní verejnej siete nie je vaša prevádzka chránená, čo znamená, že je ľahké ju sledovať pripojením k rovnakému bodu. Vaša domáca sieť je zvyčajne šifrovaná. To je dôvod, prečo sused, ktorý používa vašu Wi-Fi, nebude môcť vidieť vašu históriu prehliadania ani to, čo je momentálne na vašej obrazovke. Informácie zostávajú medzi smerovačom a vaším zariadením, pomocou ktorého pristupujete na internet.
Keď hovoríme o verejnom hotspote, zvyčajne to znamená žiadne šifrovanie, pretože vo väčšine prípadov na pripojenie nemusíte zadávať heslo. Členovia siete tak môžu vidieť, ktoré stránky navštevujete a dokonca aké údaje na nich zadávate. Na to, aby ste videli premávku niekoho iného, existujú rôzne prostriedky. Napríklad program Firesheep sa pomerne ľahko používa a ukazuje, aké zraniteľné sú vaše údaje na verejných miestach.
Potenciálne nebezpečenstvo sledovania všetkých akcií, ktoré vykonávate na webe, však neznamená, že neexistujú prostriedky na ochranu pred ním. Musíte pochopiť, že napriek všeobecnej zraniteľnosti vášho pripojenia k nešifrovanému prístupovému bodu existujú stránky, ktoré majú ochranu ako také. Mimochodom, väčšina online bankovníctva je šifrovaná. Existuje rozšírenie prehliadača „The HTTPS Everywhere“, ktoré vám umožňuje pripojiť sa iba k zabezpečeným stránkam. Ak sa často pripájate k verejným prístupovým bodom, možno by ste sa mali pozrieť na služby VPN. Vo vnútri hlavnej siete vytvárajú akýsi tunel. Používatelia sa zvyčajne pomocou týchto služieb vyhnú obmedzeniam prístupu k určitým zdrojom a súborom na internete, ktoré nie sú dostupné v žiadnej krajine, no v opísanej situácii sa môžu stať ochranou pred zvedavými očami. S pomocou VPN totiž záujemcovia vidia len to, že ste pripojení k sieti, no nepochopia, čo presne robíte.
Môžete sa tiež chrániť pred prítomnosťou infikovaných zariadení v sieti. Ak to chcete urobiť, pri prvom pripojení vyberte v automaticky vyskakovacom menu položku „Verejná sieť“ a nie „Domáca“ alebo „Firemná sieť“. To zaručuje určitú bezpečnosť, pretože operačný systém sa z nejakého dôvodu zaujíma o povahu nového prístupového bodu. Výber verejnej siete pomôže zabrániť vášmu zariadeniu zdieľať súbory alebo iné citlivé informácie s inými počítačmi. Je tiež dôležité mať najnovší softvér a používať firewall.
Najväčšia hrozba spočíva v tých prístupových bodoch, ktoré sa zámerne používajú ako návnada pre používateľov, ktorí potrebujú prístup na internet na kontrolu bankového účtu alebo niečoho nemenej dôležitého. Podvodníci môžu konať rôznymi spôsobmi. Existuje napríklad špeciálny softvér „Sslstrip“, ktorý používateľa presmeruje na iné domény, ktorých názvy sú podobné, ale obsahujú odlišné znaky. Pri použití verejného hotspotu si teda možno nevšimnete, ako poskytujete osobné informácie nepriateľskému zdroju podobnému tomu, ktorý poznáte. Existujú aj špeciálne zariadenia, ktoré umožňujú takmer automatické nastavenie takýchto útokov. Napríklad „WiFi Ananás“. Uchrániť sa pred ľuďmi účelovo loviacimi heslá z internetovej banky je pomerne ťažké. Vždy, keď je to možné, by ste sa preto mali vyhýbať kontrole osobných údajov vo verejných sieťach. Ak však v takýchto situáciách stále musíte často pristupovať k svojmu účtu, mali by ste premýšľať o pripojení VPN.
Nastavenie VPN je celkom jednoduché. Najprv by ste mali vybrať poskytovateľa a potom v systéme Windows v ovládacom paneli prejdite na kartu „Sieťové pripojenia“ a nastavte nové pripojenie výberom položky „Pripojenie k virtuálnej súkromnej sieti“, kde do príslušných polí zadajte adresu servera poskytovateľa. Existujú aj skúšobné, bezplatné verzie. Napríklad „Itshidden“, „SecurityKiSS“ a množstvo ďalších. Funkčnosť takýchto verejných verzií je spravidla o niečo znížená v porovnaní s úplnými verziami. Poskytujú prístup k obmedzenému množstvu premávky za deň. Ale aspoň pochopíte, či sa vám oplatí kúpiť plnú verziu a ochrániť sa v rámci verejnej siete.
Publikácie na tému legislatívy a „papierovej“ bezpečnosti mi veľmi nejdú, tak sa skúsim v inom žánri – povedzme o praktickej bezpečnosti. Témou dnešného príspevku bude nebezpečenstvo používania sietí Wi-Fi iných ľudí.
Myslím, že mnohí odborníci už túto tému poznajú, no možno nájdu aj niečo nové v tomto článku.
Začnime rozhovor s otvorenými sieťami Wi-Fi, ktoré mnohí milujú pre absenciu hesiel, dostupnosť na mnohých verejných miestach a zvyčajne dobrú rýchlosť internetu (v porovnaní s prístupom cez mobilné siete). Otvorené siete sú však spojené s veľmi veľkým nebezpečenstvom - všetka prevádzka je doslova "vo vzduchu", žiadne šifrovanie a ochrana proti odpočúvaniu. Každý používateľ bez špeciálnych znalostí môže pomocou hotových programov zachytiť a analyzovať všetku vašu návštevnosť.
Pozrime sa, ako sa to stane - kvôli demonštrácii som dal môj domáci hotspot do režimu otvorenej siete:
Potom som sa k tejto sieti pripojil z notebooku a z Android tabletu som si do tabletu nainštaloval aplikáciu Intercepter-NG, ktorá je dostupná aj pod Windows. Aplikácia vyžaduje práva superužívateľa, po spustení vás úvodné okno vyzve na skenovanie počítačov dostupných v zóne viditeľnosti:
Po označení môjho notebooku (IP 192.168.0.101) prejdem na ďalšiu obrazovku a začnem zachytávať pakety. Potom otvorím Yandex na svojom notebooku:
Sniffer s istotou zachytil otvorenie stránok a ak prejdete na kartu s obrázkom cookie, môžete si pozrieť aj zoznam všetkých mojich súborov cookie, ktoré môj prehliadač na prenosnom počítači odoslal a prijal pri prehliadaní stránok. Súčasne kliknutím na ktorýkoľvek z riadkov Intercepter-NG otvorí prehliadač a nahradí zachytené súbory cookie, takže bez toho, aby ste zachytili moment autorizácie obete na stránke záujmu, môžete vstúpiť do jeho otvorenej relácie. Tento typ útoku sa nazýva „session hijacking“ – „únos“ relácie.
V praxi som teda ukázal, že v otvorenej sieti Wi-Fi v zásade neexistuje žiadna ochrana. Ale názov tohto príspevku hovorí o „zahraničných“ sieťach Wi-Fi, nie o „otvorených“. Prejdime k ďalšiemu aspektu bezdrôtovej bezpečnosti – k odpočúvaniu prevádzky v rámci uzavretej siete. Prekonfiguroval som smerovač povolením WPA2 pomocou vopred zdieľaného kľúča (tento typ ochrany siete Wi-Fi sa používa v 80 % prístupových bodov):
Znovu sa pripojím k sieti z notebooku a tabletu a reštartujem Intercepter-NG - pri skenovaní znova vidí notebook - vyberiem ho a začnem zachytávať prevádzku, paralelne z notebooku idem na niekoľko stránok s HTTP-Basic autorizáciou a toto vidím na tablete:
Prevádzka bola úspešne zachytená - "votrelec" teraz pozná moje heslo do webového rozhrania smerovača a inej stránky. Okrem toho funguje aj únos relácie – všetka prevádzka je zachytená.
V prípade použitia WEP a WPA je všetko veľmi jednoduché, na šifrovanie rôznych zariadení v rovnakej sieti sa používajú rovnaké kľúče. Keďže „votrelec“ pozná aj tento kľúč a sedí v tej istej sieti, stále zachytáva všetku komunikáciu a dešifruje ju známym kľúčom.
Použil som WPA2, v ktorom bol tento problém vyriešený a klienti používajú rôzne šifrovacie kľúče, je však v ňom vážna zraniteľnosť a pri znalosti autorizačného kľúča a zachytení určitej sady paketov môžete odhaliť takzvaný Pairwise Transient Key - kľúč, ktorý šifruje prevádzku pre klienta, ktorý nás zaujíma.
Ako ukázala prax, problém možno čiastočne vyriešiť povolením možnosti AP Isolation, ktorú podporuje väčšina moderných smerovačov Wi-Fi:
Nie je to však všeliek, možnosť odpočúvania pomocou Intercepter-NG pre Android zmizne, no funkčnejšie utility, ako napríklad Airodump-ng, naďalej fungujú. Rozdiel v fungovaní týchto utilít a dôvody nefunkčnosti Intercepter-NG som podrobnejšie neštudoval s odložením tejto témy na neskôr Okrem toho nie je možné zistiť, či je povolená izolácia v sieti, kde ste pripojiť (napríklad v kaviarni alebo na akcii) bez praktického overenia.
Zistili sme nebezpečenstvo používania sietí Wi-Fi iných ľudí, zostáva otázka ochrany. Spôsobov je veľa, hlavnou myšlienkou je dodatočné šifrovanie všetkej prevádzky a postačujú spôsoby implementácie - prísne používanie SSL všade tam, kde je to možné (HTTPS, SSH, SFTP, SSL-POP, IMAP4-SSL atď.), pripojenie cez VPN, používanie distribuovanej šifrovacej siete ako TOR atď. Táto téma je pomerne rozsiahla a oplatí sa jej venovať samostatný vstup.
Wi-Fi dnes pevne zaujalo svoje miesto v našich životoch a zmenilo sa z novej technológie na každodenný život. Keď si išli vypiť kávu do kaviarne alebo si sadli na lavičku v parku, mnohí začnú hľadať najbližší prístupový bod bez toho, aby vôbec premýšľali o bezpečnostných otázkach. Prax ukázala, že nielen používatelia, ale aj mnohí správcovia zle chápu hrozby v bezdrôtových sieťach, čím vystavujú podnikové systémy vážnym rizikám.
Prečo Wi-Fi? Prečo je táto technológia pre útočníka taká atraktívna? Aby sme odpovedali na túto otázku, spomeňme si, ako fungujú káblové siete. Základom moderných sietí sú prepínače (switche), ktoré posielajú pakety iba na prijímací port, s vylúčením prístupu iných hostiteľov k nim.
Na zachytenie cudzej prevádzky sa útočník musí nielen fyzicky pripojiť k sieti, čo je samo o sebe problematické, ale musí sa zapojiť aj do reťazca prenosu paketov. Aj keď sa útočník pripojí k voľnému portu prepínača, nebude môcť zachytiť alebo počúvať premávku niekoho iného. Na vykonanie takéhoto útoku potrebujete fyzický prístup k sieťovému zariadeniu a administrátorské práva, čo je takmer nemožné.
Poznámka. Zámerne neberieme do úvahy situácie so zavádzaním rôznych druhov malvéru do perimetra siete, získavaním neoprávneného prístupu k aktívnym sieťovým zariadeniam a pod., pretože to presahuje rámec tohto článku.
Bezdrôtové siete vzhľadom na povahu prenosového média nemôžu poskytovať riadenie prístupu k údajom, pakety prenášané klientom alebo prístupovým bodom môže prijímať akékoľvek zariadenie v oblasti pokrytia siete.
V normálnom režime sieťové zariadenia prijímajú pakety určené len pre neho, existuje však špecializovaný a ľahko dostupný softvér, ktorý vám umožňuje zachytiť a analyzovať všetku sieťovú prevádzku.
Aj keď je to vaša hosťovská Wi-Fi a je bezpečne izolovaná od podnikovej siete, stále je vystavená rovnakým hrozbám, najmä ak ju vaši zamestnanci používajú z osobných zariadení a ak stále pristupujú k podnikovým službám, riziká sa zvyšujú. mnohonásobne viac.
Nebudeme dávať hotové mechanizmy na útoky na otvorené siete, len povieme, že dostupnosť vhodného softvéru a návodov sprístupňuje túto úlohu aj nudiacim sa školákom.
Okrem toho odporúčame považovať za otvorené aj siete s WEP šifrovaním, ak je v sieti sieťová aktivita, jej hacknutie trvá 5-10 minút, a to automaticky špecializovaný softvér a nevyžaduje žiadne špeciálne znalosti útočník.
Pri sieťach WPA / WPA2 je situácia oveľa lepšia, pri výbere spoľahlivého kľúča a opustení kompromitovanej technológie TKIP (v prospech AES) je takmer nemožné takéto siete hacknúť bez použitia špeciálnych nástrojov a hlbokých znalostí. Opäť nezabúdajme na zabezpečené siete, ktorých kľúč pozná útočník, napríklad sieť v reštaurácii, kde kľúč dáva čašník spolu s objednávkou.
Existuje softvér ako napr CommView pre WiFi, ktorý umožňuje zachytávať a dešifrovať pakety aj v uzavretých sieťach. Za otvorené by sa preto mali považovať aj zabezpečené siete, ktorých kľúč je širokej verejnosti známy, so všetkými z toho vyplývajúcimi opatreniami.
Hlavnou hrozbou pre otvorené siete je zachytenie a analýza vašej prevádzky. Preto, keď si sadnete na lavičku v parku a objavíte otvorenú sieť, neponáhľajte sa k nej pripojiť, ale premýšľajte o tom, komu by mohla patriť.
Pokojne sa môže stať, že ten chlapík s okuliarmi na neďalekej lavičke je útočník, ktorý pomocou notebooku a 3G modemu zdvihol prístupový bod, zbieral heslá, cookies a iné „zaujímavé“ informácie z prechádzajúcej premávky.
Berte to preto ako axiómu, pomocou otvorených sietí sa neprihlasujte do žiadnych zdrojov, ktoré prenášajú autorizačné údaje v čistom texte. Útočník nepotrebuje ani vaše heslo, ktoré môže byť prenášané v zašifrovanej podobe, stačí zachytenie cookie, po ktorom bude bez problémov autorizovaný pod vaším účtom.
Ak sa stále potrebujete prihlásiť, potom sa uistite, že stránka podporuje SSL a certifikát skutočne patrí tejto stránke. Zároveň sa vyhnite pripájaniu k zdrojom s certifikátom s vlastným podpisom, ktorého pravosť nemôžete overiť. Budeme o tom hovoriť podrobnejšie.
Vyhnite sa tiež, a čo je najlepšie, nikdy nepoužívajte otvorené siete na prístup k finančným informáciám alebo uskutočňovanie platieb.
Ďalšie nebezpečenstvo na nás číha tam, kde sa zdá, že vlastníctvo prístupového bodu je známe. Útočník môže využiť ďalšiu vlastnosť Wi-Fi sietí – ak je v sieti viacero prístupových bodov, automaticky sa prepne na ten s najlepším signálom.
Schéma útoku je extrémne jednoduchá, útočník vytvorí prístupový bod s rovnakým SSID ako existujúca sieť, po ktorom sa všetci klienti v okolí automaticky prepnú na útočníkov bod bez toho, aby mali podozrenie, že ich prevádzka je zachytená. Výsledkom je, že stretnutia s tabletom vo vašej obľúbenej kaviarni môžu skončiť veľmi smutne a je ešte lepšie, ak utrpia osobné informácie a podrobnosti o prístupe k podnikovej sieti sa nestratia.
Tu sa objavuje problém bezpečného prístupu k podnikovým zdrojom, aj keď vaša organizácia nepoužíva Wi-Fi. Kde je záruka, že zamestnanec sediaci v parku alebo kaviarni sa nerozhodne kontrolovať firemnú poštu?
Ale aj keď ste presvedčení, že existuje len jeden prístupový bod a patrí tomu, kto ho potrebuje, neponáhľajte sa radovať. Existuje druh útoku ARP spoofing, ktorý dokáže smerovať vašu komunikáciu cez zariadenie útočníka.
Nakoniec môže útočník jednoducho zhromažďovať a analyzovať prevádzku Wi-Fi bez toho, aby zasahoval do prevádzky bezdrôtovej siete, a to prepnutím svojho adaptéra Wi-Fi do režimu monitorovania.
Je jasné, že možnosť zachytávania paketov vo Wi-Fi sieťach vzhľadom na charakter distribučného prostredia nevieme ovplyvniť. Nepoužívanie Wi-Fi vo vašej organizácii tiež nijako nezabezpečí vašu infraštruktúru. Každému zamestnancovi nemôžete prideliť strážcu a nemôžete zakázať používanie podnikových zdrojov prostredníctvom otvorených sietí.
Čo robiť? Úplne opustite nešifrované kanály na prístup k údajom. Tam, kde je to možné, používajte SSL, kde to nie je možné – VPN. Ďalší bod súvisí s certifikátmi s vlastným podpisom. Môžete ich použiť iba vo vnútri bezpečnostného perimetra, ale je lepšie ich nepoužívať vôbec. Ak vás znepokojuje otázka bezpečnosti – získajte normálny certifikát, neučte zamestnancov ignorovať bezpečnostné upozornenia.
V opačnom prípade sa môžete stať obeťou útoku typu man-in-the-middle. Jeho význam sa scvrkáva na skutočnosť, že pri pripojení k zabezpečenému hostiteľovi útočník nezávisle získa certifikát od hostiteľa a odovzdá svoj vlastný certifikát klientovi.
Je pochopiteľné, že prehliadač na takýto zásah zareaguje bezpečnostným upozornením.
Ak ste však svojich zamestnancov naučili ignorovať toto varovanie pomocou certifikátu s vlastným podpisom, potom, ako sa hovorí, si rozdiel nevšimnú a teraz ho bezpečne ignorujú.
Preto, ak používate certifikáty s vlastným podpisom, nezabudnite nainštalovať koreňový certifikát na každé zariadenie, aby ste sa vyhli tomuto varovaniu, čo vám pomôže vyhnúť sa zvyku ho ignorovať.
Z rovnakého dôvodu neodporúčame používať technológiu ssl-bump, ktorá je určená na filtrovanie SSL prevádzky na bráne. Túžba filtrovať prevádzku je pochopiteľná, ale bezpečnosť je drahšia, navyše, ak je brána ohrozená, vy sami vykonáte útok typu man-in-the-middle na vašu organizáciu.
Značky:
Zlaté čísla Ako predať krásne telefónne číslo
Ťažba kryptomeny: čo to je jednoduchými slovami
Najlepší operačný systém pre laptop: Kompletná recenzia
Programy na sťahovanie hudby od spolužiakov Stiahnite si smutnú pesničku od spolužiakov zo sociálnej siete
Mobilná verzia prehliadača Yandex