Wifi ... Kto nie ma, przyznać się? Zapewne każdy z Was używa bezprzewodowego internetu, który rozprowadzany jest radiowo przez routery (głównie). Ale o ile jest to bardzo wygodne (brak kabla) o tyle rozwiązanie to ma w sobie wiele wad. Dzisiaj co nieco opowiemy o atakach na sieci Wifi.
Publiczne Wifi
(Image not shown due to low ratings)
(Image not shown due to low ratings)
(Image not shown due to low ratings)
Images were hidden due to low ratings.
Można rzeczywiście wykupić serwer i samemu instalować OpenVPN ale można też przecież wykupić gotową usługę - wtedy nie trzeba się znać, wystarczy umieć włączyć VPN po stronie telefonu (są instrukcje albo nawet dedykowane aplikacje). Ciężko będzie wykupić taką usługę VPN, która będzie tańsza od najtańszego serwera w Arubie (tak mi się wydaje bo nie szukałem) ale płaci się za to, żeby nie trzeba było umieć postawić i utrzymywać. Dodatkowo takie usługi w niektórych firmach mają te zalety, że mogą mieć serwer wyjścia w różnych krajach. Więc można omijać cenzurę albo regionalizację. A i czasem ją zmieniać - dziś chodzę po Internecie z UK, jutro z USA a pojutrze z Czech. Oczywiście trzeba wybrać jakiegoś zaufanego dostawcę - w necie są porównania różnych dostawców.
To postraszę Was jeszcze bardziej. Można tak przygotować fałszywą publiczną sieć WIFI, że szyfrowanie stron WWW nie wystarczy. Ktoś kto postawił taką fałszywą sieć może postawić serwer udający Twój bank, albo kilka najpopularniejszych banków (taki serwer będzie udostępniał strony wyglądające identycznie jak te w prawdziwych bankach i komunikacja z nimi będzie szyfrowana). Potem już w zależności od zaawansowania tych fałszywych stron banku co najmniej podsłucha Wasz login i hasło, a w bardziej zaawansowanych przypadkach gdybyście chcieli zrobić jakąś operację mógłby nawet próbować w tle automatycznie wyprowadzić Wasze pieniądze (nawet jeśli musicie potwierdzić je kodem czy SMSem - dlatego trzeba zawsze bardzo dokładnie czytać SMSy z banku). Oczywiście taki atak nie jest prosty, jest wiele rzeczy do ogarnięcia (nie będę wchodzić w szczegóły, chyba że Wy tego chcecie?) i żeby do końca się powiódł trzeba trochę szczęścia i odrobinę nieuwagi użytkownika. ale jest jak najbardziej możliwy.
Chodzi Ci o wyciek prawdziwego IP? To zupełnie inna rzecz. Nie mówiliśmy tu o ochronie prywatności tylko o ochronie przed dostępem cyberprzestępców do naszych danych płynących przez sieć WIFI. Przed tym dobrze skonfigurowany VPN powinien Cię zabezpieczyć zawsze i skutecznie.
Natomiast co do wycieku prawdziwego IP to jeśli mnie pamięć nie myli to najczęściej mamy do czynienia z dwoma problemami. Pierwszą sprawą są błędy w konfiguracji VPNa. I to dość łatwo rozwiązać - trzeba znaleźć odpowiedni tutorial. Drugim problemem jest przeglądarka. Otóż współczesne przeglądarki mają możliwości nawiązywania bezpośrednich połączeń peer-to-peer. I teraz odpowiednio przygotowanym na stronie JavaScriptem, można przechytrzyć przeglądarkę tak by zdradziła prawdziwy adres IP komputera. Niestety nie pamiętam szczegółów, wiem że częścią problemu były m.in. błędy w obsłudze protokołu WebRTC. Ale było coś jeszcze.
Dodałbym trzeci problem - chęć dzielenia się prawdziwym adresem IP firmy prowadzącej VPNa z odpowiednimi służbami.
Więc tak jak piszesz - w kwestii ochrony przed atakiem lokalnym nie powinniśmy się obawiać, czy dany VPN jest uczciwy itd. Dopiero jeśli chcemy ukryć jakiś ruch np. przed policją, wtedy tak, należy się zastanowić czy dana usługa dostarczania VPNa jest odpowiednia. ;)
Masz rację. Jeśli wybiera się gotową usługę zamiast własnego serwera to trzeba i to wziąć pod uwagę jeśli zależy nam na prywatności. Są zestawienia porównujące usługi VPN nie tylko pod kątem ceny i funkcjonalności ale przede wszystkim prywatności (przechowywanie logów, jurysdykcja <niektóre kraje mają takie przepisy, że nie opłaca się w nich korzystać z takich usług - patrz fourteen eyes>, no i znana historia wycieków i wpadek ze współpracą z władzami).
Jeśli chcesz chronić swoją prywatność za wszelką cenę to tak można. Podobno jednak, dla 100% pewności trzeba umieć używać TORa mądrze - ja niestety tej wiedzy nie posiadam (jeszcze, może kiedyś). Choć cały czas starają się doprowadzić do sytuacji by ta usługa była dostępna dla każdego, bez względu na umiejętności ale NSA i służby innych krajów to utrudniają (część węzłów wyjściowych jest podobno pod ich kontrolą). Jeśli korzystasz z VPNa tylko po to by zabezpieczyć się przed cyberprzestępcami i ciekawością operatorów internetowych - to Ci w zupełności wystarczy (wg. mnie). Nawet z tym wyciekiem IP z przeglądarek można sobie poradzić. Trzeba znaleźć odpowiedni poradnik albo ściągnąć sobie wersję przeglądarki dbającej o naszą prywatność i bezpieczeństwo.
Nawet przy szyfrowaniu istnieje możliwość ataków MITM, choć oczywiście trudniej je przeprowadzić i zależnie od tego jak są przeprowadzane - łatwiej wykryć przez użytkownika.
Średnio rozgarniętego atakującego to nie zatrzyma, z racji na nasłuchiwanie istniejącego ruchu z danym access-pointem w celu sprawdzenia jakie MACi się z nim łączą i następnie spoofing własnego MACa. Jak sam zauważyłeś - jest on do zmiany. :/ Ale to chyba i tak dobra rada dla początkujących.
Generalnie dobry artykuł, bo mało kto uświadamia Kowalskich na tego typu tematy.
Ty już jak nastraszysz człowieka to, kurde, klękajcie narody! Przez ciebie muszę zmieniać hasło do fifirifi.... ehh. A taka byłam zadowolona i beztroska....
Tak trzeba będzie zrobić. I jeszcze zapamiętać :P
Na myśl przychodzi klasyczna antena z opakowania po czipsach typu Pringles. :D
Ja jestem tradycjonalistą i mam kompa podłączonego po kablu ;) ale oczywiście fifirifi tez mam, bo drugi komp tak się łączy, no i zawsze jakieś telefony, czy inne gadżety z niego korzystają. Prawdę mówiąc nie ma sieci idealnie zabezpieczonych, ale można tak jak piszesz nie ułatwiać zadania domorosłym hakierom :) Biała lista adresów MAC jest u mnie podstawowym utrudnieniem od zawsze, bo prosto to zorganizować, a nie tak prosto obejść.
Właśnie względnie prosto, jak na cyberzabezpieczenie. Ale może dla dzieciaków które przeczytały w internecie jak coś zhakierować nie tak prosto - więc rolę swoją spełnia i przed takimi włamywaczami chroni :)
Właśnie, a tego typu h4x0rów jest najwięcej, szczególnie jak się mieszka w bloku ;) Jeśli ktoś na prawdę chciałby się do mnie włamywać to żadne zabezpieczenie nie pomoże :)
Pozwolisz, że dodam jedno z podstawowych zabewzpieczeń domowej sieci - Ukryj SSID swojej sieci.
Oczywiście ale to już wymaga używania oprogramowania w postaci sniffera do "podsłuchania" SSID np. Kismet lub CommView. Na ciekawskich sąsiadów wystarczy. :)
Bardzo przydatny post :>