Для «прослушивания» и перехвата незашифрованного или плохо зашифрованного трафика злоумышленникам достаточно находиться рядом с точками доступа. Дальнейший анализ пакетов позволяет перехватить все конфиденциальные данные, которые пользователь вводит в это время. В первую очередь это логины и пароли от соцсетей или почты: тут достаточно даже простого смартфона с установленной на него программой DroidSheep.
Вернее, в случае с соцсетями перехватывается не сам пароль, а «идентификатор сессии» (cookie-файл), который нужен, чтобы оставаться залогиненным, а не вводить пароль после каждого клика. Этот идентификатор сессии будет принят сервером от любого компьютера в той же беспроводной сети, что и жертва.
Хакер легко входит в чужую учетную запись и может от имени жертвы сделать все, что угодно - хоть спам друзьям разослать, хоть вообще удалить аккаунт.
А если вы будете оплачивать что-то с помощью банковской карты, то у вас могут украсть ее данные, включая CVC-код. Обычно платежные операции производятся по защищенному протоколу HTTPS, однако он относительно легко взламывается, например, с помощью подмены ключей.
Фото: Nana B Agyei / Flickr / CC BY 2.0
Опасность №2: фейковые сети
Злоумышленнику достаточно установить в общественном месте ноутбук с запущенной на нем точкой доступа с распространенным именем. Например, «Free Wi-Fi»: к ней наверняка многие захотят подключиться.
Также часто используются названия популярных бесплатных сетей в том или ином городе. Так, например, если в Москве назвать сеть «Beeline_WiFi_Free» или «Mosmetro_free», к ним тут же начнут подключаться все заинтересованные в бесплатном интернете прохожие. Они сразу полезут в почту и соцсети, а значит, все логины и пароли автоматически окажутся в руках вероятного противника.
Кроме того, фейковая сеть - просто рай для любителей фишинга, ведь в ней можно «поднять» DNS-сервер, который будет переадресовывать всех подключившихся к ней на подставные сайты банков и прочих сервисов, а значит, выудить персональные данные будет очень просто.
Все это, естественно, происходит автоматически при помощи специальным образом настроенного ПО: на выходе получается удобная база данных с логинами, паролями, номерами и т.п.
Как это вообще возможно
Как правило, бесплатные точки доступа Wi-Fi не используют шифрование - то есть, они не запароленные. Даже если какая-то авторизация используется в дальнейшем (например, вам нужно вводить пароль на лендинг-странице, открывающейся в браузере, или подтверждать свой номер телефона (без этого, кстати, в России нельзя), то данные между вашим смартфоном, планшетом или ноутбуком и точкой доступа передаются без какого-либо шифрования, в открытом виде, а это является излюбленной мишенью для хакеров.
Чаще всего они орудуют в местах скопления большого количества потенциальных жертв - например, возле популярных достопримечательностей или в общественном транспорте, включая аэропорты и вокзалы. Жертвами обычно становятся туристы: дорогой data-роуминг вынуждает их искать бесплатные точки. Ну, а в местах с плохим покрытием сотовых сетей, например, в метро, атакуют и местных.
Если точка доступа не зашифрована, то киберпреступник с легкостью может получить доступ к данным, передаваемым по этим сетям. По данным «Лаборатории Касперского», в Москве таких точек 16%.Решение проблемы
Некоторые «специалисты», конечно, советуют вообще не пользоваться открытыми сетями Wi-Fi. На самом деле решение есть – это VPN: «виртуальная частная сеть», туннель до надежного узла со стойким шифрованием. Перехватить и расшифровать трафик при его использовании практически невозможно. Любой современный гаджет поддерживает VPN, нужно только его настроить.
Продвинутый пользователь, имеющий дома внешний IP-адрес (эта услуга у разных провайдеров, в зависимости от тарифа, предоставляется бесплатно или стоит не дороже 150-300 рублей в месяц) и не самый старый роутер (например, у Asus функция есть даже в самых дешевых моделях), может включить VPN и пользоваться им без каких-либо ограничений по скорости и трафику. В роутере задается логин и пароль, а в мобильном устройстве - логин, пароль и домашний IP-адрес.
Если вы пользуетесь общественным Wi-Fi редко, подойдут и бесплатные сервисы. Например, Cloud VPN существует в виде приложения для смартфона, чтобы не надо было ничего настраивать, а Browsec - это не только приложение, но еще и плагины для популярных браузеров.
Мне приходится подключаться к публичным Wi-Fi-сетям, но в таких случаях я обязательно использую виртуальную частную сеть (VPN). Это отличный способ обезопасить себя, который я смело могу рекомендовать. Но и VPN не гарантирует 100% защиты, поэтому необходимо использовать качественное антивирусное ПО и своевременно обновлять все установленные программы.
Евгений Касперский
В закладки
IT-специалисты коворкинга DI Telegraph проанализировали для TJournal, чем может быть опасна работа в кофейне или аэропорту через незащищённый Wi-Fi, и предложили в целях безопасности использовать VPN и сети с разграничением доступа. Конечно, только тем, кто волнуется о безопасности: для работы из общедоступных сетей Wi-Fi специалисты коворкинга подготовили восемь советов.
Кофейня Starbucks
Работа в кофейне - как в стеклянном офисе: все видят ваши документы, пароли и личные данные. Ни один профессиональный IT-шник не станет даже включать вайфай на своем устройстве в таком месте. Не проходит и месяца, чтобы в лентах новостей не появилась новость, как кредитки туристов обчистили после того, как они воспользовались публичным хотспотом в аэропорту. А все айтишники знают, что нет места опаснее, чем публичный Wi-Fi в аэропорту: кофейни тут удерживают лишь второе место.
Подключаясь к вайфаю в кафе, вы де-факто выставляете напоказ весь свой трафик. Есть такая технология - снифинг. В одной локальной сети все пакеты данных рассылаются всем машинам. То есть ваши пакеты получают также все, кто подключился к той же сети. В итоге простенькая программа может перехватить все, что передает ноутбук за соседним столиком.
Хуже того: обычно устройства автоматически подключаются к первому попавшемуся незапароленному вайфаю и начинают синхронизацию почты и соцсетей, передавая в эфир логины и пароли. Никогда не позволяйте устройству делать это без вашего разрешения: оно может подключиться к сети злоумышленников, специально созданной для сбора конфиденциальных данных.
Но даже наличие пароля у сети - лишь формальность. Обычно используется шифрование паролей WEP, взломать которое можно сейчас даже на телефоне, настолько оно примитивно. Короче, всё обстоит точно так, как себе представляли киберпреступность в 80-х.
Иллюстрация из книги Нила Ардли «Школа, работа и отдых», 1981 год
Спасти от этого может только шифрование VPN. Если вы не подключаетесь через шифрованный канал, ваши данные ничем не защищены. Присаживайся рядом да скачивай.
К сожалению, поделать с этим ничего нельзя - так уж устроены протоколы передачи данных. Поэтому борьба идет за разграничение доступа. Для гостей выделяется отдельная беспарольная сеть, а для сотрудников - запароленная. Между ними - огненная стена файервола.
Это простое, но эффективное и популярное решение. Например, у нас в коворкинге весь интернет разделен на три зоны - офис Dream Industries, рабочая зона коворкинга и гостевая зона конференц-зала. Но как заставить пользователей пользоваться нужной сетью?
Для посетителей коворкинга всегда доступно две сети - Coworking и DI Telegraph. Первая для резидентов, под паролем и с самым сильным шифрованием - WPA2-PSK. Вторая сеть - для гостей, и к ней можно подключиться без пароля, просто приняв условия обслуживания. В таком случае гость получает еще и бесплатный доступ к сервисам Bookmate и Zvooq.
Коворкинг DI Telegraph
1. Отключите автоматическое подключение устройства к Wi-Fi-точкам. Осуществляйте выбор Wi-Fi-сети вручную.
2. Исследуйте всех доступных провайдеров, которые предлагают услуги Wi-Fi, чтобы выбрать того, кто использует надежные параметры настроек безопасности.
3. Избегайте подключения к точкам доступа с подозрительными именами (например, FreeInternet, FreeWiFi) и отключённым шифрованием.
4. Выбирайте точки доступа с включенным WPA/WPA2-шифрованием (пароль всегда можно узнать у владельца общественной точки доступа).
Что представляет себе человек, когда говорит об интернет-соединении? Толстый кабель, подключаемый к компьютеру? Скорее всего, именно так и есть. Отчасти они правы, поскольку без «классических» проводов никакие телекоммуникационные технологии попросту невозможны. Но вот сам интернет сегодня стал в буквальном смысле вездесущим. Другими словами, к нему можно подключиться без всевозможных проводных соединений. И всё это благодаря Wi-Fi. Причём если несколько лет назад сети Wi-Fi были лишь приятным дополнением обычного домашнего интернета, то сейчас в любом относительно крупном городе насчитывается немалое количество общественных, то есть совершенно бесплатных точек доступа Wi-i. Подобные точки бесплатного интернета можно обнаружить в кафе, ресторанах, торговых комплексах и даже просто на улице. Чтобы понять масштаб их использования, стоит хотя бы вспомнить о том, что через коллективные точки доступа Wi-Fi изо дня в день проходят тысячи мобильных устройств. А это автоматически означает возникновение некоторых рисков.
Казалось бы, какие вообще опасности могут подстерегать пользователя смартфона или планшета, когда он всего лишь подключается к очередной бесплатной сети? На самом деле, опасностей очень много. Самая основная из них – так называемый перехват сетевого трафика. Его последствиями обычно становятся блокировка аккаунтов и кража всевозможных паролей, начиная социальными сетями и заканчивая банковскими картами и другими данными. А это, в свою очередь, чревато пропажей денег со счетов. Но бояться бесплатных точек Wi-Fi и обходить их стороной не стоит. Необходимо просто придерживаться некоторых способов защиты.
Начать стоит с отключения в настройках мобильного устройства или ноутбука функции общего доступа к файлам и автоматического подключения к обнаруженным сетям Wi-Fi. Это позволит избежать неконтролируемых соединений и, следовательно, исключить вероятность сканирования трафика. По этой же причине лучше не подключаться к совершенно неизвестным публичным сетям. Также нелишним будет уточнять у сотрудников различных заведений называния соответствующих точек доступа, поскольку некоторые злоумышленники специально разворачивают бесплатные Wi-Fi зоны для своих корыстных целей.
Но на этом меры предосторожности не заканчиваются. Дополнительную безопасность при использовании открытых беспроводных соединений может обеспечить регулярно обновляющийся антивирус и фаервол. Кроме этого, во время сёрфинга интернета через бесплатную Wi-Fi точку рекомендуется заходить только на те сайты, которые поддерживают передачу данных по безопасному протоколу HTTPS и имеют двухэтапную систему авторизации. Её смысл заключается в том, что помимо обычного ввода логина/пароля она запрашивает уникальный код, отправляемый на номер мобильного телефона посредством SMS сообщения. Это гарантирует то, что даже если злоумышленник перехватит учётные данные пользователя, он всё равно не сможет войти в аккаунт.
Подключаясь к Интеренету через бесплатную точку Wi-Fi доступа Вы рискуете лишиться всех ваших паролей и приватных данных, т.к. весь ваш трафик может быть отслежен как через "эфир" так и на роутере (компьютере через который вы подключаетесь в Интернет). Т.е. все ваши логины, пароли, номера кредитных карт, ваша переписка и места веб-серфинга могут стать достоянием хакеров или не добросовестных администраторов точки доступа.
Black Hat: хотспоты гарантируют кражу приватных данных
Хотспоты – точки общего доступа к Wi-Fi – практически все представляют угрозу утечки реквизитов, заявил на конференции Black Hat в Лас-Вегасе Роб Грэм (Rob Gram), исполнительный директор Errata Security.
Для кражи реквизитов достаточно использовать простейший снифер – программу для записи сетевого трафика, проходящего через сетевой интерфейс. Грэм показал собравшимся куки к учётной записи Gmail одного из присутствующих, «пойманные» снифером. Куки используются почтовыми сайтами для хранения идентификатора сессии, выдаваемого после ввода верных реквизитов доступа. Используя этот идентификатор, атакующий может выдать себя за другого пользователя. «Веб 2.0 взломан у основания», - заключил Грэм, подразумевая, что любой сетевой снифер в Wi-Fi-сети может получить все требуемые реквизиты.
До сих пор считалось, что доступа по шифрованному протоколу SSL (URL с приставкой https://) достаточно, чтобы посторонние не смогли «подсмотреть» трафик. Однако популярные почтовые сервисы по умолчанию шифруют трафик не на всех этапах. Что же касается времени доступа с использованием похищенных куки, то некоторые действительны годами. Единственный способ защиты, по мнению Грэма, – настроить доступ к веб-сервисам так, чтобы связь с сервером шифровалась полностью.
Наши комментарии по безопасности использования Wi-Fi
Все описанные опасности абсолютно реальны, но все эти проблемы решаются простым использованием шифрованного VPN соединения, работающего поверх Wi-Fi . Поэтому мы настоятельно рекомендуем вам использовать только шифрованный VPN доступ для работы с в Интерет через бесплатные и даже платные Wi-Fi точка доступа.
Если вы планируете при поездке на отдых или в командировку использовать Wi-Fi интернет, мы рекомендуем вам предварительно купить у нас и настроить доступ к VPN сервису. Это гарантирует вам безопасность ваших логинов, паролей и данных во время путешествий, а значит хорошее настроение и сэкономленные нервные клетки.
Срочно понадобился интернет в пути? Бесплатная общественная сеть Wi-Fi является одним из тех маленьких элементов роскоши, которые могут облегчить путешествие, но вы должны проявлять осторожность в том, как вы его используете.
Вот несколько советов о том, на что нужно обратить внимание при использовании общественного Wi-Fi, используете ли ноутбук, смартфон или планшет.
Выбирайте сеть осознанно.
Испытываете искушение подключиться к открытой точке с названием "Бесплатный Wi-Fi"? Стоит проделать нектороую подготовительную работу, прежде чем выбрать любую не знакомую вам сеть. Например, если вы находитесь в кафе или кинотеатре проверьте имя сети или обратите внимание на обозначении перед подключением.Для тех, кто хочет перехватить ваши данные атакой по методу человек-в-середине, довольно легко создать сеть под названием "Бесплатный Wi-Fi", или как-то похоже, имя так же может содержать наименование места вашего нахождения, чтобы заставить вас думать, что это легальный источник.
При подключении с помощью Windows, выключите общий доступ к файлам и пометьте сеть Wi-Fi как публичную сеть. Вы можете найти эту опцию в настройках "Панель управления > Центр управления сетями и общим доступом > Изменить дополнительные параметры общего доступа". Под заголовком "Общий", отключите общий доступ к файлам. Вы также можете включить брандмауэр Windows при подключении к сети общего пользования, если он ещё не активирован. Эти параметры также находятся в "Панель управления> Брандмауэр Windows".
На Маке откройте Системные настройки и выберите значок "Общий доступ". Здесь снимите галочку рядом с общим доступом к файлам.
Используйте VPN.
Создание виртуальной частной сети (VPN) является одним из лучших способов сохранить свой сеанс просмотра в тайне. Клиент VPN шифрует трафик между вашим устройством и сервером VPN, а значит, гораздо сложнее для потенциального нарушителя узнать ваши данные.Если вы ещё не настроили VPN через своего работодателя или на рабочем месте, есть и другие варианты. Бесплатная версия SecurityKISS предлагает свободный от рекламы доступ VPN с ограничением по объёму передачи данных до 300МБ/день. Этого достаточно для проверки электронной почты, просмотра карты и другого простого использования Wi-Fi.
Существует специальный клиент для Windows, но для устройств на iOS и Андроиде, вы можете зарегистрировать бесплатный аккаунт, который будет генерировать уникальное имя пользователя и пароль. Вам будет отправлен список серверов, адреса которых можно ввести вручную в устройстве, чтобы правильно настроить VPN.
Подробные инструкции о том, как настроить VPN на устройстве iOS и на Андроиде .
Есть много других доступных сервисов VPN, в том числе платных и бесплатных. Вам стоит самому провести некоторое исследование, чтобы выяснить, какие из них лучше подходят для ваших потребностей, особенно если вы часто используете интернет.
Disconnect.me помогает защитить от "кражи сессии" через расширения браузера для Хром, Опера и Сафари, но он также предлагает автономное Андроид-приложение под названием Secure Wireless с предустановленным VPN, который автоматически обнаруживает незащищённый Wi-Fi и активирует VPN, где это необходимо.
Проверьте HTTPS.
Как говорится в старой поговорке, проверьте замок в вашем браузере, чтобы убедиться в безопасности. Один из способов заставить ваш браузер использовать HTTPS - через расширения, такие как HTTPS Everywhere. Эта функция доступна для Хрома, Фаерфокса, Фаерфокса для Андроида и Оперы.Важно отметить, что HTTPS Everywhere работает методом активации шифрования на всех поддерживаемых разделах сайта. Как указано в его FAQ:
"HTTPS Everywhere полностью зависит от функций безопасности отдельных веб-сайтов, которые вы используете. Он активирует эти функции безопасности, но он не может создать их сам, если их не существует. Если вы используете сайт не поддерживающий HTTPS Everywhere или сайт, который предоставляет информацию в небезопасном виде, HTTPS Everywhere не может обеспечить дополнительную защиту по использованию этого сайта".
Проверьте свои приложения на актуальные заплатки (патчи) безопасности.
Пора приступить к формированию хороших привычек ставить патчи. Держите ваш браузер и интернет-устройства в постоянном обновлении, но делайте это в доверенной домашней или рабочей сети, а не в общественной сети Wi-Fi.Были случаи, когда пользователя застигали врасплох при подключении к общественной или гостиничной сети Wi-Fi и обманом вынуждали их обновить программное обеспечение. И если пользователь соглашался, на компьютер устанавливалась вредоносная программа.
Кроме того, если вы выходите в сеть с мобильного устройства, не думайте, что ваши приложения автоматически безопасны или с используют HTTPS. Если это явно не указано разработчиком приложений, лучше предположить, что приложение не соблюдает режим безопасности. В этом случае, вы должны использовать свой браузер, чтобы войти на сервис и проверить, статус HTTPS в строке состояния.
Включение двухфакторной аутентификации.
Хорошей практикой является включение двухфакторной аутентификации на различных сервисах, которые её поддерживают, это: Гмаил, Твиттер и Фейсбук. Таким образом, даже если кто-то всё же смог вынюхать пароль, когда вы были подключены к общественной сети Wi-Fi, у вас есть дополнительный уровень защиты.Что касается паролей, старайтесь не использовать один и тот же пароль на нескольких сервисах. Есть много менеджеров паролей, чтобы упростить работу с ними.
Удаляйте сети.
После того как вы сделали всё нужное на своей веб-странице, убедитесь, что вы вышли из любых сервиов, в которые только-что входили. Затем, заставьте ваше устройство "забыть" сеть. Это означает, что ваш телефон или ПК в следующий раз не будет подключаться к сети автоматически, если вы находитесь в зоне её действия.В Windows, вы можете убрать галочку с "Подключиться автоматически" рядом с названием сети или перейти в "Панель управления> Центр управления сетями и общим доступом" и нажать на название сети. Нажмите на "Управление беспроводными сетями", а затем снимите галочку "Подключаться автоматически, если сеть в радиусе действия".
На Маке войдите в Системные настройки, выберите "Сеть" и в разделе Wi-Fi нажмите кнопку "Дополнительно". Тут снимите галочку "Помнить сети, к которым подключался этот компьютер". Вы можете также по отдельности удалять сети, выбирая их имя и нажимая кнопку минус.
В Андроиде, вы можете сделать это, войдя в список сетей Wi-Fi, нажать и удерживать на имени сети и выберать "Удалить эту сеть". В iOS войдите в настройки, выберите Wi-Fi сети, имя сети и выберите "Удалить эту сеть". В качестве дополнительной меры предосторожности, вы можете также включить параметр "Подтверждать подключение", который также находится в меню Wi-Fi сетей.
Наконец, будьте очень осторожны с тем, что вы делаете в общественной небезопасной сети Wi-Fi. Сессию интернет-банка лучше сохранить до того времени, когда вы сможете подключиться через сотовый интернет или в защищённой сети.
