Опасные Wi fi сети, или береги пароли смолоду. Опасность пользования чужими Wi-Fi сетями

Для «прослушивания» и перехвата незашифрованного или плохо зашифрованного трафика злоумышленникам достаточно находиться рядом с точками доступа. Дальнейший анализ пакетов позволяет перехватить все конфиденциальные данные, которые пользователь вводит в это время. В первую очередь это логины и пароли от соцсетей или почты: тут достаточно даже простого смартфона с установленной на него программой DroidSheep.

Вернее, в случае с соцсетями перехватывается не сам пароль, а «идентификатор сессии» (cookie-файл), который нужен, чтобы оставаться залогиненным, а не вводить пароль после каждого клика. Этот идентификатор сессии будет принят сервером от любого компьютера в той же беспроводной сети, что и жертва.

Хакер легко входит в чужую учетную запись и может от имени жертвы сделать все, что угодно - хоть спам друзьям разослать, хоть вообще удалить аккаунт.

А если вы будете оплачивать что-то с помощью банковской карты, то у вас могут украсть ее данные, включая CVC-код. Обычно платежные операции производятся по защищенному протоколу HTTPS, однако он относительно легко взламывается, например, с помощью подмены ключей.

Фото: Nana B Agyei / Flickr / CC BY 2.0

Опасность №2: фейковые сети

Злоумышленнику достаточно установить в общественном месте ноутбук с запущенной на нем точкой доступа с распространенным именем. Например, «Free Wi-Fi»: к ней наверняка многие захотят подключиться.

Также часто используются названия популярных бесплатных сетей в том или ином городе. Так, например, если в Москве назвать сеть «Beeline_WiFi_Free» или «Mosmetro_free», к ним тут же начнут подключаться все заинтересованные в бесплатном интернете прохожие. Они сразу полезут в почту и соцсети, а значит, все логины и пароли автоматически окажутся в руках вероятного противника.

Кроме того, фейковая сеть - просто рай для любителей фишинга, ведь в ней можно «поднять» DNS-сервер, который будет переадресовывать всех подключившихся к ней на подставные сайты банков и прочих сервисов, а значит, выудить персональные данные будет очень просто.

Все это, естественно, происходит автоматически при помощи специальным образом настроенного ПО: на выходе получается удобная база данных с логинами, паролями, номерами и т.п.

Как это вообще возможно

Как правило, бесплатные точки доступа Wi-Fi не используют шифрование - то есть, они не запароленные. Даже если какая-то авторизация используется в дальнейшем (например, вам нужно вводить пароль на лендинг-странице, открывающейся в браузере, или подтверждать свой номер телефона (без этого, кстати, в России нельзя), то данные между вашим смартфоном, планшетом или ноутбуком и точкой доступа передаются без какого-либо шифрования, в открытом виде, а это является излюбленной мишенью для хакеров.

Чаще всего они орудуют в местах скопления большого количества потенциальных жертв - например, возле популярных достопримечательностей или в общественном транспорте, включая аэропорты и вокзалы. Жертвами обычно становятся туристы: дорогой data-роуминг вынуждает их искать бесплатные точки. Ну, а в местах с плохим покрытием сотовых сетей, например, в метро, атакуют и местных.

Решение проблемы

Некоторые «специалисты», конечно, советуют вообще не пользоваться открытыми сетями Wi-Fi. На самом деле решение есть – это VPN: «виртуальная частная сеть», туннель до надежного узла со стойким шифрованием. Перехватить и расшифровать трафик при его использовании практически невозможно. Любой современный гаджет поддерживает VPN, нужно только его настроить.

Продвинутый пользователь, имеющий дома внешний IP-адрес (эта услуга у разных провайдеров, в зависимости от тарифа, предоставляется бесплатно или стоит не дороже 150-300 рублей в месяц) и не самый старый роутер (например, у Asus функция есть даже в самых дешевых моделях), может включить VPN и пользоваться им без каких-либо ограничений по скорости и трафику. В роутере задается логин и пароль, а в мобильном устройстве - логин, пароль и домашний IP-адрес.

Если вы пользуетесь общественным Wi-Fi редко, подойдут и бесплатные сервисы. Например, Cloud VPN существует в виде приложения для смартфона, чтобы не надо было ничего настраивать, а Browsec - это не только приложение, но еще и плагины для популярных браузеров.

Мне приходится подключаться к публичным Wi-Fi-сетям, но в таких случаях я обязательно использую виртуальную частную сеть (VPN). Это отличный способ обезопасить себя, который я смело могу рекомендовать. Но и VPN не гарантирует 100% защиты, поэтому необходимо использовать качественное антивирусное ПО и своевременно обновлять все установленные программы.

Евгений Касперский

"-Зайду в кафешку, кофе попить. Круто! Здесь бесплатный wi fi, можно посидеть в интернете.

Подумал он. Посидев вконтакте купил там пару голосов с карточки чтобы сделать подарок и проверил почту, потом он пошёл по своим делам и не ожидал ничего плохого. Но вдруг пришло сообщение о списании средств которого не должно с банковкой карточки, дома заметил что почта заблокирована за спам, а страничка вконтакте оказалась заморожена за подозрительную активность. "

В наше время практически не один человек не может без интернета. А открытый wi fi так и притягивает к себе любителей посидеть в интернете.

Открытый wifi всегда тянет к себе

Халявный интернет , это так круто. Слава богу, особенно в больших городах полно открытых точек Wi fi. Они могут находиться в кафешках, могут быть открыты в соседней квартире, а сейчас ещё в Московском метро активно развивается Wi Fi доступ к интернету.
И вот любитель халявного интернета с радостью подключается к такой точке и сидит в социальных сетях, и пользуется другими сервисами.
А в этот момент сидит ничем не примечательный паренёк и ждёт когда вы введёте свои пароли.

И получив ваши пароли уходит «Творить» свои темные делишки.

Использование защищенного браузера Tor , про который я писал так же хорошо может вам помочь.
VPN так же идеальное решение. О этом чуде я написал . А и я написал о бесплатных сервисах VPN. Вы можете легко настроить у себя на компьютере или мобильном устройстве. И даже если злоумышленник подключится он не получит ничего кроме шифрованных данных которые он вряд ли расшифрует.
Многие современные роутеры снабжены VPN, что вам можно настроить прямо на нём и все кто подключился будут более спокойны. Конечно от от профессионалов вас врядли что спасёт, но такие полезут к вам если только если знают что их ждёт большой куш, так что сомневаюсь что вы в кафешках на таких наткнётесь.
Напоследок хочу сказать, не брезгуйте защитой, и берегите свои данные.

Ни для кого не секрет, что несмотря на заявленные возможности передачи сигнала Wi-Fi на расстояние до 400 метров в открытом пространстве и до 100 метров в помещении, реальные показатели оказываются значительно ниже.

В чем проблема Wi-Fi

Виной всему являются преграды в виде стен, интерференции с другими беспроводными сетями, которыми кишит современный мир, да и сама мощность беспроводных устройств зачастую ограничена в следствии законодательного нормирования и банальных экономических причин.

В результате многие пользователи сталкиваются с проблемами при беспроводном подключении по Wi-Fi в виде торможений, зависаний и периодического «отваливания» интернета.

Удивительно, но с этим сталкиваются не только владельцы больших усадеб и работники офисов, но и сравнительно небольших квартир, так как сигнал в них часто перебивается наводками от соседних роутеров. Такую картину мне не раз приходилось наблюдать в анализаторе Wi-Fi.

Технология Wi-Fi самого распространенного стандарта 802.11n работает на частоте 2.4 ГГц и предусматривает только 3 неперекрывающихся диапазона. Значит, если беспроводных сетей, которые вы видите на вашем ноутбуке или смартфоне больше, они начинают друг другу мешать. Выходов из этой ситуации несколько.

Переход на частоту 5 ГГц

Этот вариант более радикальный и предусматривает переход на более современный стандарт 802.11ac с частотой 5 ГГц, который предусматривает значительно больше неперекрывающихся диапазонов. Кроме того, эта частота еще не перегружена другими сетями.

Но переход на частоту 5 ГГц имеет и несколько существенных минусов. Прежде всего это необходимость приобретения более дорогого Wi-Fi роутера.

Также вам придется приобрести отдельный адаптер 802.11ac для каждого устройства (компьютера, ноутбука), которое не поддерживает этот стандарт. Это еще немалые дополнительные расходы.

Многие смартфоны и планшеты так и вообще не удастся подключить, так как они не поддерживают частоту 5 ГГц, а подключить к ним адаптер довольно проблематично и неудобно.

Кроме того, Wi-Fi на частоте 5 ГГц значительно менее дальнобойный и больше заглушается препятствиями. Так что в случае даже средней по размеру квартиры, 2-3 стены от роутера могут существенно заглушить сигнал передатчика.

Усиление сигнала 2.4 ГГц

В этом случае все гораздо проще и дешевле, потребуется лишь усилить сигнал в распространенном диапазоне 802.11n, который поддерживается всеми современными устройствами.

Более сильный сигнал будет лучше пробиваться сквозь стены, на большее расстояние и доминировать над конкурирующими сетями, не давая себя заглушить помехами.

Часто для этого достаточно поменять роутер на другой с более мощным передатчиком и антеннами с большим усилением.

Вам не придется приобретать дополнительные адаптеры для других устройств, а смартфоны и планшеты будут подключаться вообще без проблем.

Но и этот способ имеет несколько недостатков. Более мощный роутер будет стоить в 1.5-2 раза дороже обычного. Установив такой роутер, уже вы будете мешать своим соседям и перебивать им Wi-Fi. Кроме того, излишнее излучение в диапазоне 2.4 ГГц не очень хорошо влияет на здоровье.

Установка точки доступа

Самым разумным и правильным вариантом будет установка дополнительной точки доступа, которые бывают как в диапазоне 5 ГГц, так и в старом добром 2.4 ГГц. Этот способ имеет ряд существенных преимуществ.

Точка доступа обычно стоит дешевле аналогичного роутера в том же диапазоне частот и она специально предназначена для ретрансляции сигнала, в то время как не все роутеры умеют работать в режиме моста.

В большом доме или квартире можно установить несколько дополнительных точек доступа, которые обеспечат хорошее покрытие по всему помещению. Они обычно маленькие и их можно повесить куда угодно – на стенку, потолок или просто поставить на тумбочку.

Точка доступа довольно компактна, не требует прокладки информационного кабеля, ей необходима лишь розетка неподалеку или отдельно протянутый кабель питания, а некоторые можно просто воткнуть в розетку.

Мощность точки доступа ограничена стандартными значениями, она не будет мешать вашим соседям, оказывать излишне негативное влияние на здоровье и в тоже время обеспечит надежное подключение ваших устройств к интернету, так как будет просто ближе к ним.

Приобрести точку доступа можно в любом компьютерном магазине. Но, если вас интересует качественное профессиональное оборудование для большого жилого помещения или офиса в Украине, то рекомендуем обратиться на сайт http://www.technotrade.com.ua/catalog-654 , на нем также можно приобрести отдельные мощные антенны для отдаленных районов или сельской местности и самое различное сетевое оборудование.

Сейчас во многих отелях и барах есть бесплатная Wi-Fi сеть и у многих посетителей возникает соблазн поработать, сидя за чашкой кофе, или банально проверить почту, запостить что-то в twitter или facebook. Как велик соблазн, так и вероятность того, что к вам могут нагрянуть «незванные гости».

Следуя приведенным ниже советам вы сможете пользоваться общественными Wi-Fi сетями и при этом оставаться в безопасности.

Выключите раздачу файлов

Когда вы работаете дома с Wi-Fi сетью, вы спокойно можете расшаривать файлы на вашем компьютере и открывать доступ к принтеру для компьютеров, которые находятся в вашей сетке. В публичных местах лучше отключить эту опцию.

Windows : Откройте Панель управления, затем перейдите к Сетям и Интернет — Центр управления сетями и общим доступом, далее кликните на Выбор домашней группы и параметров общего доступа — Изменение дополнительных параметров общего доступа. Здесь вы должны выключить доступ к файлам и принтерам, отключить поиск сети и доступ к общим папкам. Некоторые из этих операций выполняются автоматически Windows, если вы обозначили эту сетку как общественную.

Mac OS X : Заходите в Системные Настройки, убеждаетесь, что все галочки убраны. Туда же нужно заходить, если вы хотите отключить поиск сети. После этих действий ваш компьютер не будет виден в сети. В Windows это будет просто еще одна галочка в дополнительных настройках доступа. В Mac OS X это будет называться «режим стелса», который находится в настройках брандмауэра.

Настройка Брандмауэра

Сейчас практически все ОС идут хотя бы с самым простым брандмауэром, поэтому настроить его так, чтоб никто посторонний не мог влезть в ваш компьютер. В принципе, настройки безопасности могут быть настроены автоматически, но проверить все же стоит. Путь в Windows: Панель управления — Система и Безопасность — Windows Брандмауэр; в Mac: Системные настройки — Безопасность — Брандмауэр. Вы также можете настроить брандмауэр так, чтоб некоторые программы или обновления имели открытый доступ к вашему компьютеру, кликнув на «разрешение запуска программы через брандмауэр» в Windows, в OS X нужно заходить в дополнительные настройки.

Используйте SSL при любой возможности

Обмен трафиком с сайтами через HTTP не зашифрован и если у вас есть определнные навыки, вы легко можете украсть себе кусочек. Если это простая информация, которая общедоступна — ничего страшного. Гораздо хуже, когда это ваши пароли и ключи. Используя HTTPS (для посещения сайтов) или SSL (когда вы используете приложения, которым нужен доступ в интеренет, например, mail client) зашифровывайте данные, которые проходят между вашим компьютером и этим веб сервисом.

Некоторые сайты делают это автоматически, но лучше следить строкой с адресом и быть уверенным, что «s» в «https» всегда там, когда вы обмениваетесь информацией. Если она исчезла, лучше сразу же разлогиниться. В других сайтах по умолчанию стоит HTTP, но вы можете вручную напечатать HTTPS.

Если же вы пользуетесь такимим почтовыми клиентами, как Outlook или Mail.app, убедитесь, что ваш аккаунт зашифрован с помощью SSL. Если нет, то другие люди смогут спокойно читать ваши письма, узнать ваш логин и пароль и много другое. Поэтому нужно обязательно убедиться, что почтовая программа, которой вы пользуетесь, поддерживает SSL, если нет, то лучше не использовать их в сетях с общим доступом.

Используем виртуальную частную сеть

К сожалению, не все сайты предлагают использовать SSL. И если вам все же нужно посетить такие сайты, лучше использовать связь через VPN или виртуальную частную сеть. Эти сервисы позволяют вам работать в общественной Wi-Fi сети так, как будто вы работаете в частной сети.

Выключайте доступ к сети, когда не работаете в ней

Если вы хотите гаранитровать безопасность, когда вы не используете интернет, лучше просто отключиться на это время от общественной Wi-Fi сети. Сделать это очень просто как в Windows, так и в Mac. В Mac просто кликните на иконку Wi-Fi и выберите «выключить опции AirPort». В Windows вам просто нужно кликнуть правой клавишей мышки на иконке беспроводной связи и отключить ее.

Как сделать автоматическими настройки безопасности вашей публичной Wi-Fi сети

Если вам не хочется каждый раз вручную настраивать безопасности вашей Wi-Fi сети, вы можете сделать их автоматическими.

В Windows

Когда вы захотите подсоединиться к любой сети в Windows, будете ли вы находиться дома, на работе или в кафе, в любом случае вас будут спрашивать о настройках. На любое из этих мест вам предложат список настроек. Общие настройки дадут вам наибольшую безопасность. Вы можете вручную настроить все необходимые вам поднастройки для мест, где вы чаще всего используете общую Wi-Fi сеть. Для этого вам нужно открыть Панель управления — Сеть и Интернет — Выбор домашней группы и параметров общего доступа. Оттуда вы можете включить или выключить для различных профилей поиск сети, раздачу файлов и открытый доступ к папкам и принтерам.

В этом случае можно воспользоваться программой NetSetMen .

В Mac OS X

Здесь у вас нет большого количества опций для автоматических настроек сети, но AirPort Loction сделает все, что вы захотите, и даже больше. С его помощью вы можете включить ваш брандмауэр, выключиь вашу SMPT почту, подключиться к VPN и еще много различных вариантов, в зависимости от той сети, к которой вы хотите подключиться. Вы даже можете менять фон своего рабочего стола в зависимости от того, к какой сетке подключены.

В вашем браузере

Расширение FireFox HTTPS Everywhere автоматически выбирает безопасность HTTPS для большинства популярных сайтов, включая New York Times, Facebook, Google Search и т.д. Вы даже можете добавить ваш собственный файл XML config. Это расширение работает в Windows, Mac и Linux.

Сегодня Wi-Fi прочно занял свое место в нашей жизни, превратившись из новой технологии в повседневность. Зайдя выпить кофе в кафе или присев на лавочку в сквере многие начинают искать ближайшую точку доступа, нисколько не задумываясь о вопросах безопасности. Практика показала, что слабое представление об угрозах в беспроводных сетях имеют не только пользователи, но и многие администраторы, подвергая серьезным рискам корпоративные системы.

Почему именно Wi-Fi? Чем данная технология так привлекательна для злоумышленника? Чтобы ответить на этот вопрос, вспомним как работают проводные сети. Основу современных сетей составляют коммутаторы (свичи, switch), которые отправляют пакеты только на порт получателя исключая доступ к ним других хостов.

Чтобы осуществить перехват чужого трафика злоумышленник должен не только физически подключиться к сети, что само по себе проблематично, но и включиться в цепь передачи пакетов. Если даже злоумышленник подключится в свободный порт коммутатора, то перехватить или прослушать чужой трафик он не сможет. Чтобы осуществить такую атаку нужно иметь физический доступ к сетевому оборудованию и административные права, что делает ее практически невозможной.

Примечание. Мы сознательно не рассматриваем ситуации с внедрением в периметр сети разного рода вредоносного ПО, получению несанкционированного доступа к активному сетевому оборудованию и т.п., так как это выходит за рамки данной статьи.

Беспроводные сети в силу особенностей среды передачи не могут обеспечить разграничения доступа к данным, пакеты, передаваемые клиентом или точкой доступа могут быть получены любым устройством в зоне действия сети.

В нормальном режиме сетевое оборудование принимает предназначенные только ему пакеты, однако существует специализированное и легкодоступное ПО, которое позволяет осуществлять перехват и анализ всего сетевого трафика.

Даже если это ваша гостевая Wi-Fi и она надежно изолирована от корпоративной сети, все равно она подвержена тем же угрозам, особенно если ею пользуются ваши сотрудники с персональных устройств, а если они при этом еще обращаются к корпоративным сервисам, то риски возрастают многократно.

Мы не будем давать готовых механизмов атак на открытые сети, скажем только что доступность соответствующего ПО и инструкций делают эту задачу доступной даже для скучающих школьников.

Кроме того, мы советуем также рассматривать сети с шифрованием WEP как открытые, при наличии сетевой активности в сети для ее взлома требуется 5-10 минут, причем делается это специализированным ПО в автоматическом режиме и не требует от злоумышленника никаких специальных знаний.

С WPA / WPA2 сетями ситуация обстоит намного лучше, при выборе надежного ключа и отказе от скомпрометированной технологии TKIP (в пользу AES) взломать такие сети без применения спецсредств и глубоких знаний практически невозможно. Опять-таки не будем забывать о защищенных сетях, ключ которых известен злоумышленнику, например, сеть в ресторане, где ключ выдается официантом вместе с заказом.

Существует ПО, например, CommView for WiFi, которое позволяет осуществлять перехват и расшифровку пакетов даже в закрытых сетях. Поэтому защищенные сети, ключ от которых известен широкому кругу лиц, следует также рассматривать как открытые, со всеми вытекающими из этого мерами предосторожности.

Основная угроза открытых сетей - это перехват и анализ вашего трафика. Поэтому присев в парке на скамейку и обнаружив открытую сеть, не спешите подключаться к ней, а подумайте кому она может принадлежать.

Вполне может быть, что вон тот паренек в очках на соседней лавочке и есть злоумышленник, при помощи ноутбука и 3G модема поднявший точку доступа, собирая из проходящего трафика пароли, cookie и прочую "интересную" информацию.

Поэтому примите как аксиому, используя открытые сети не авторизуйтесь ни на каких ресурсах, передающих авторизационные данные в открытом виде. Злоумышленнику даже не нужен ваш пароль, который может быть передан в зашифрованном виде, вполне достаточно перехватить cookie, после чего он без проблем авторизуется под вашей учетной записью.

Если вам все-таки надо авторизоваться, то убедитесь, что сайт поддерживает SSL и сертификат действительно принадлежит этому сайту. При этом избегайте подключения к ресурсам с самоподписанным сертификатом, подлинность которого вы не можете проверить. Об этом мы еще поговорим более подробно.

Также избегайте, а лучше всего никогда не используйте открытые сети для доступа к финансовой информации или совершения платежей.

Другая опасность подстерегает нас там, где принадлежность точки доступа вроде бы известна. Злоумышленник может использовать еще одно свойство сетей Wi-Fi - при наличии в сети нескольких точек доступа, автоматически переключаться на ту, у которой лучше сигнал.

Схема атаки предельно проста, злоумышленником создается точка доступа с таким же SSID, как у существующей сети, после чего все близко расположенные клиенты автоматически переключатся на точку злоумышленника, даже не подозревая, что их трафик перехватывается. В итоге посиделки с планшетом в любимом кафе могут закончиться очень невесело и хорошо еще если пострадает личная информация, а не будут утрачены реквизиты доступа к корпоративной сети.

Здесь в полный рост встает проблема безопасного доступа к корпоративным ресурсам, даже если в вашей организации не используется Wi-Fi. Где гарантия, что сотрудник сидя в парке или кафе не решит проверить корпоративную почту?

Но даже если вы убедились, что точка доступа одна и принадлежит тому, кому надо, не спешите радоваться. Существует тип атаки ARP-spoofing , который способен направить ваш трафик через устройство злоумышленника.

Наконец злоумышленник может просто собирать и анализировать Wi-Fi трафик не вмешиваясь в работу беспроводной сети, переведя свой Wi-Fi адаптер в режим мониторинга.

Понятно, что повлиять на возможность перехвата пакетов в сетях Wi-Fi мы не можем в силу особенностей среды распространения. Отказ от использования Wi-Fi в организации также никак не обезопасит вашу инфраструктуру. К каждому сотруднику сторожа не приставишь и использовать корпоративные ресурсы через открытые сети не запретишь.

Что делать? Полностью отказаться от незашифрованных каналов доступа к данным. Используйте SSL где это возможно, там, где невозможно - VPN. Еще один момент связан с самоподписанными сертификатами. Использовать их можно исключительно внутри периметра безопасности, а лучше не использовать вообще. Если вас волнует вопрос безопасности - приобретите нормальный сертификат, не приучайте сотрудников игнорировать предупреждения безопасности.

В противном случае вы можете стать жертвой атаки "человек посередине". Смысл ее сводится к тому, что при соединении с защищенным узлом злоумышленник самостоятельно получает сертификат от узла, передавая клиенту собственный сертификат.

Вполне понятно, что браузер отреагирует на такое вмешательство предупреждением безопасности.

Однако если вы приучили своих сотрудников игнорировать данное предупреждение, используя самоподписанный сертификат, то они, как говорится, не заметят разницы и благополучно проигнорируют его и сейчас.

Поэтому если вы все-таки используете самоподписанные сертификаты, то не поленитесь установить на каждое устройство корневой сертификат, чтобы избежать появление данного предупреждения, что поможет избежать появления привычки его игнорировать.

По этой же причине мы не рекомендуем использовать технологию ssl-bump, которая предназначена для фильтрации SSL-трафика на шлюзе. Стремление фильтровать трафик понятно, но безопасность дороже, кроме того, в случае компрометации шлюза вы своими руками выполните атаку "человек посередине" на свою организацию.

• Теги: