Угрозы, возникающие при подключении к открытой сети Wi-Fi

Безопасность при использовании сетей Wi-Fi

Наличие в каждом ноутбуке и нетбуке беспроводной сетевой карты Wi-Fi и довольно демо­кратичные цены на соответствующие точки доступа и маршрутизаторы привели к тому, что многие общественные заведения: кафе, гостиницы, аэропорты и даже торговые центры — стали предоставлять посетителям бесплатный доступ к Интернету в качестве дополнитель­ной услуги или как средство привлечения клиентов. Эта тенденция не могла пройти неза­меченной мимо людей, имеющих возможность часто посещать такие заведения.

Разумеется, очень приятно пользоваться услугами, в данном случае, подключения к Интер­нету, за чужой счет, но, тем не менее, не следует забывать об опасности, которую такой «сыр» таит. А именно — все данные, передаваемые через Интернет с вашего (и на ваш) компьютер или мобильное устройство, легко могут быть перехвачены злоумышленниками, подключившимися к той же сети Wi-Fi. Особенно это касается незашифрованных данных, передаваемых, к примеру, такими программами, как WhatsApp. Сети Wi-Fi по своей приро­де уязвимы для взлома и «прослушки», однако на них вполне можно полагаться, если при­менить необходимые меры безопасности.

Какие могут быть угрозы?

Злоумышленники, подключаясь к открытой или даже вашей (слабо защищенной) сети, мо­гут выполнять следующие действия:

♦ захватывать параметры соединения— с помощью специальных приложений (про­граммных сетевых сканеров), установленных на смартфоне, планшете или ноутбуке, посторонние могут без особых усилий собирать разнообразную информацию об активных точках доступа, их названиях, используемых базовых станциях, типе шифрования, под­ключенных устройствах и просматриваемых на них сайтах, определять, открыт ли на устройствах общий доступ к файлам, и т. п. Эти сведения в комплексе могут использо­ваться для планирования целенаправленных атак, подобных тем, что описаны далее.

Полностью обезопасить себя от сбора информации сетевыми сканерами невозможно — разве что отказаться от пользования точками беспроводного доступа или, хотя бы, включать адаптер Wi-Fi на своем устройстве только тогда, когда он действительно нужен;

♦ считывать трафик — при установке с устройством соединения Wi-Fi передача пакетов данных осуществляется на соответствующий IP-адрес. Если в точке доступа зарегистри­ровано несколько устройств, то они игнорируют пакеты данных, предназначенные для других получателей, — так предотвращается хаос в сети Wi-Fi и поддерживается высо­кая скорость работы. Однако, имея подходящее программное обеспечение, можно «вну­шить» адаптеру Wi-Fi, что он должен принимать все пакеты вне зависимости от указанных в сетевых пакетах IP-адресов. В этом случае злоумышленник может считывать весь трафик, проходящий через точку доступа, при этом оставаясь в тени, т. к. сам ничего не передает. Затем с помощью фильтров он может найти в записанных сведениях нужную информацию — например, изображения или адреса веб-сайтов.

Для защиты от такого считывания следует избегать точек доступа без парольной защи­ты. Хотя это и не панацея, но тогда злоумышленнику надо будет как минимум знать па­роль к точке доступа. Кроме того, на всех сайтах, где нужно проходить авторизацию и передавать персональные данные, следует использовать только защищенное соединение через протокол HTTPS , а не HTTP, и не заходить на сайты, не поддерживающие шифрование. Осторожность также необхо­дима при работе с мобильными приложениями, т. к. в этом случае пользователь практи­чески не имеет доступа к тонким настройкам. Например, клиент Facebook шифрует только авторизацию, после чего передача данных производится в незащищенном виде.

И хотя злоумышленник и не увидит вашего пароля, он сможет читать ваши статусные сообщения и переписку. Поэтому от использования таких приложений при подключении к публичной точке доступа следует полностью отказаться. Альтернативой может слу­жить технология VPN, с помощью которой для вашего интернет-соединения создается защищенный туннель. В этом случае, если злоумышленник перехватит переданный с вашего устройства сетевой пакет, он получит просто беспорядочный набор данных.

Для создания VPN-туннелей вы можете использовать утилиты наподобие Hotspot Shield, доступные и для мобильных устройств;

Обязательна ли идентификация в общественных сетях Wi-Fi?

Радость от возможности бесплатного и бесконтрольного подключения к общественным се­тям Wi-Fi несколько скрадывает введенное летом 2014 года постановлением правительст­ва РФ № 758 требование обязательной идентификации подключающегося к публичному Интернету пользователя по его удостоверению личности. Согласно документу, оператор связи перед разрешением кому-либо доступа в общественный Интернет обязан потребо­вать у него ввести номер мобильного телефона, на который отправляется код для под­тверждения идентификационных данных.

♦ захватывать cookie-файлы для авторизации в аккаунтах— с помощью соответст­вующего программного обеспечения злоумышленник может организовать сетевую атаку с использованием протокола ARP (т. н. ARP-спуфинг) и легко перехватить сеансовые cookie-файлы, которые идентифицируют участника социальной сети (например, Facebook) после успешной в ней авторизации. Благодаря таким cookie-файлам вам не требуется вводить пароль каждый раз, когда вы хотите авторизоваться на сайте Facebook. Специальные программы извлекают из трафика все сеансовые cookie-файлы и выводят их на экран в виде списка, после чего одним касанием злоумышленник может войти в ваши текущие сеансы Facebook, Twitter или eBay, после чего весь обмен данны­ми проходит через устройство злоумышленника.

Для защиты от перехвата сеансовых cookie-файлов также можно использовать VPN-туннели;

♦ подменять точки доступа — как вы могли обнаружить, по умолчанию после однократ­ного входа в какую-либо беспроводную сеть устройство автоматически подключается к ней снова, если оказывается в зоне действия сети Wi-Fi с таким же именем. Простейший сценарий атаки выглядит так: из любого смартфона, планшета или ноутбука без особых усилий и дополнительных приложений злоумышленник может сделать точку доступа Wi-Fi с любым именем, после чего сможет считывать в своей поддельной сети все пере­даваемые данные. Для защиты от таких атак следует удалять сохраненные сети Wi-Fi из списка в настройках устройства, оставляя там только домашние и рабочие;

♦ взламывать механизмы шифрования — злоумышленники, желая получить доступ к важным сведениям (таким как банковские реквизиты, регистрационные данные PayPal или пароли к почте и веб-сервисам), делают ставку на различные уязвимости в реализа­ции механизма шифрования и на промахи пользователей. Например, они могут попы­таться перенаправить пакеты информации с помощью ложной точки доступа. А когда пользователь заходит через такую точку на защищенный сайт, злоумышленник может попробовать перенаправить его на незащищенную версию, чтобы узнать пароль или прослушать весь трафик. Распространены и атаки с применением фальшивых сертифи­катов. В этом случае мошенник использует защищенное соединение как с веб-сервисом, так и, с другой стороны, с пользователем точки доступа. Но вследствие того, что SSL- сертификаты сфальсифицированы, прослушивание трафика не составляет труда.

Если бы веб-сервисы полностью шифровали весь трафик, то у злоумышленников не бы­ло бы возможности использовать прием с перенаправлением пользователей на незащи­щенные веб-сайты. Однако SSL-соединение пока не получило повсеместного распро­странения, хотя крупные сервисы и предлагают его по выбору. Поэтому необходимо всегда самим выбирать SSL-соединение, а также проверять, чтобы в адресной строке браузера указывалась информация о защищенном соединении. К сожалению, при работе с мобильными приложениями тип соединения часто не настраивается и не определяется. В этом случае нужно предварительно уточнить наличие таких возможностей в том или ином приложении у его разработчиков. О надежности соединения также свидетельству­ет соответствующее указание в адресной строке браузера и наличие сертификата. С дру­гой стороны, и это не является стопроцентной гарантией, т. к. можно столкнуться с фальшивыми сертификатами.

Для обеспечения безопасности устройств под управлением операционных систем Android, iOS и Windows Phone необходима регулярная установка системных и программных обнов­лений. Кроме того, на них обязательно наличие антивирусной программы — к примеру, Kaspersky Internet Security для Android или Kaspersky Safe Browser. He допускайте также автоматического подключения устройства к сетям Wi-Fi без вашего ведома и, по возможно­сти, используйте VPN-туннели для передачи данных.

На компьютерах под управлением операционной системы Windows и OS X следует отклю­чить общий доступ к файлам и обязательно держать включенным брандмауэр.

Проверить соответствующие настройки можно в Windows так:

Панель управления | Брандмауэр

Windows (Control Panel | Windows Firewall)

и в OS X так: Системные настройки | Безо­пасность | Брандмауэр (System Preference | Security & Privacy | Firewall).

Здесь также необ­ходимо установить антивирусное программное обеспечение и своевременно обновлять сис­тему и программы.

Кроме того, пользуйтесь исключительно сервисами, которые шифруют авторизацию и передачу данных посредством протокола SSL.

Обратите внимание, что такие надстройки, как HTTPS Finder или HTTPS Everywhere для Firefox и Chrome, задействуют этот протокол по умолчанию. И, по возможности, также используйте для передачи данных VPN-туннели.