Для «прослушивания» и перехвата незашифрованного или плохо зашифрованного трафика злоумышленникам достаточно находиться рядом с точками доступа. Дальнейший анализ пакетов позволяет перехватить все конфиденциальные данные, которые пользователь вводит в это время. В первую очередь это логины и пароли от соцсетей или почты: тут достаточно даже простого смартфона с установленной на него программой DroidSheep.
Вернее, в случае с соцсетями перехватывается не сам пароль, а «идентификатор сессии» (cookie-файл), который нужен, чтобы оставаться залогиненным, а не вводить пароль после каждого клика. Этот идентификатор сессии будет принят сервером от любого компьютера в той же беспроводной сети, что и жертва.
Хакер легко входит в чужую учетную запись и может от имени жертвы сделать все, что угодно - хоть спам друзьям разослать, хоть вообще удалить аккаунт.
А если вы будете оплачивать что-то с помощью банковской карты, то у вас могут украсть ее данные, включая CVC-код. Обычно платежные операции производятся по защищенному протоколу HTTPS, однако он относительно легко взламывается, например, с помощью подмены ключей.
Фото: Nana B Agyei / Flickr / CC BY 2.0
Злоумышленнику достаточно установить в общественном месте ноутбук с запущенной на нем точкой доступа с распространенным именем. Например, «Free Wi-Fi»: к ней наверняка многие захотят подключиться.
Также часто используются названия популярных бесплатных сетей в том или ином городе. Так, например, если в Москве назвать сеть «Beeline_WiFi_Free» или «Mosmetro_free», к ним тут же начнут подключаться все заинтересованные в бесплатном интернете прохожие. Они сразу полезут в почту и соцсети, а значит, все логины и пароли автоматически окажутся в руках вероятного противника.
Кроме того, фейковая сеть - просто рай для любителей фишинга, ведь в ней можно «поднять» DNS-сервер, который будет переадресовывать всех подключившихся к ней на подставные сайты банков и прочих сервисов, а значит, выудить персональные данные будет очень просто.
Все это, естественно, происходит автоматически при помощи специальным образом настроенного ПО: на выходе получается удобная база данных с логинами, паролями, номерами и т.п.
Как правило, бесплатные точки доступа Wi-Fi не используют шифрование - то есть, они не запароленные. Даже если какая-то авторизация используется в дальнейшем (например, вам нужно вводить пароль на лендинг-странице, открывающейся в браузере, или подтверждать свой номер телефона (без этого, кстати, в России нельзя), то данные между вашим смартфоном, планшетом или ноутбуком и точкой доступа передаются без какого-либо шифрования, в открытом виде, а это является излюбленной мишенью для хакеров.
Чаще всего они орудуют в местах скопления большого количества потенциальных жертв - например, возле популярных достопримечательностей или в общественном транспорте, включая аэропорты и вокзалы. Жертвами обычно становятся туристы: дорогой data-роуминг вынуждает их искать бесплатные точки. Ну, а в местах с плохим покрытием сотовых сетей, например, в метро, атакуют и местных.
Если точка доступа не зашифрована, то киберпреступник с легкостью может получить доступ к данным, передаваемым по этим сетям. По данным «Лаборатории Касперского», в Москве таких точек 16%.Некоторые «специалисты», конечно, советуют вообще не пользоваться открытыми сетями Wi-Fi. На самом деле решение есть – это VPN: «виртуальная частная сеть», туннель до надежного узла со стойким шифрованием. Перехватить и расшифровать трафик при его использовании практически невозможно. Любой современный гаджет поддерживает VPN, нужно только его настроить.
Продвинутый пользователь, имеющий дома внешний IP-адрес (эта услуга у разных провайдеров, в зависимости от тарифа, предоставляется бесплатно или стоит не дороже 150-300 рублей в месяц) и не самый старый роутер (например, у Asus функция есть даже в самых дешевых моделях), может включить VPN и пользоваться им без каких-либо ограничений по скорости и трафику. В роутере задается логин и пароль, а в мобильном устройстве - логин, пароль и домашний IP-адрес.
Если вы пользуетесь общественным Wi-Fi редко, подойдут и бесплатные сервисы. Например, Cloud VPN существует в виде приложения для смартфона, чтобы не надо было ничего настраивать, а Browsec - это не только приложение, но еще и плагины для популярных браузеров.
Мне приходится подключаться к публичным Wi-Fi-сетям, но в таких случаях я обязательно использую виртуальную частную сеть (VPN). Это отличный способ обезопасить себя, который я смело могу рекомендовать. Но и VPN не гарантирует 100% защиты, поэтому необходимо использовать качественное антивирусное ПО и своевременно обновлять все установленные программы.
Евгений Касперский
Виртуальная частная сеть - это сетевая технология, которая создает безопасное сетевое соединение через публичную сеть, такую как Интернет.
Шифрование - это процесс кодировки данных таким образом, что только компьютер с правильным декодером сможет прочитать их и использовать. В VPN, который мы предоставляем, сообщение или информация, т.е. незашифрованный текст, шифруется с помощью алгоритма шифрования, генерируется зашифрованный текст, который можно будет прочить только после рассшифровки. Существует два вида шифрования - симметрическое и ассиметрическое.
Это самая старая и самая известная технология. Секретный ключ, который может быть числом, словом или просто рядом случайных букв, применяется к тексту сообщения, чтобы поменять содержание определенным способом.
Ассиметрическое шифрование (также называется шифрованием открытыми ключами) - это криптография, в которой используется пара ключей для шифрования и дешифрования сообщения, и поэтому оно поступает в безопасном виде.
TCP (Протокол управления передачей данных) - это требующий соединения протокол, который означает, что соединение будет установлено и продолжено до тех пор, пока прикладные программы на каждой стороне не закончат обмен сообщениями.
UDP (Протокол передачи дейтаграмм) - это протокол передачи данных, который предлагает ограниченное количество действий, когда происходит обмен сообщениями между двумя компьютерами в сети с использованием Интернет-протокола.
Безопасность Интернет-протокола (IPSec) - это инфраструктура открытых стандартов для того, чтобы помочь обеспечить приватное, безопасное соединение через сети Интернет-протокола с использованием средств криптографической защиты. IPsec поддерживает два режима шифрования: транспортный и туннельный. Транспортный режим шифрует только часть данных (полезные данные) каждого пакета, и оставляет заголовок пакета неизмененным. Более защищенный туннельный режим шифрует и заголовок, и полезные данные.
Протокол точка-точка (PPP) - это протокол канала передачи данных, который используется для установления прямого соединения между двумя узлами. С его помощью можно обеспечить аутентификацию соединения, шифрование и сжатие данных.
PPTP (Протокол туннелирования точка-точка) - это протокол, который использует канал управления через туннельные операции TCP и GRE для того, чтобы инкапсулировать PPP пакеты.
Общая инкапсуляция маршрутов (GRE) - это протокол туннелирования, разработанный компанией Cisco Systems, который может инкапсулировать большое количество протоколов сетевого уровня внутри виртуальных узлов точка-точка через объединенную сеть Интернет- протокола.
Протокол безопасного туннелирования сокетов (SSTP) - это форма VPN-туннеля, которая обеспечивает механизм передачи трафика PPP или L2TP через SSL 3.0 канал. SSL обеспечивает безопасность на транспортном уровне с ключевым обменом, шифрованием и проверкой целостности трафика. Использование SSL через TCP порт 443 позволяет SSTP проходить виртуально через все системы сетевой защиты и прокси-сервера, кроме аутентифицированных веб-прокси.
OpenVPN - это общедоступное программное обеспечение, которое запускает механизмы виртуальной частной сети (VPN) для создания безопасного двухпунктового или межсайтового соединения в режиме маршрутизации или в режиме моста и оборудования удаленного доступа.
Прокси или прокси-сервер - это сервер (компьютерная система или приложение), выступающий посредником для запросов от клиентов, которые ищут ресурсы на других серверах. Пользователь подключается к прокси-серверу, запрашивая определенный сервис, такой как файл, соединение, веб-страницу и т.д., которые предоставляются различными серверами, а прокси-сервер проводит анализ сложности запроса, чтобы его упростить и контролировать. VPN-провайдер же шифрует весь Ваш трафик, заменяя Вашего Интернет-провайдера и маршрутизируя весь трафик через VPN-сервер, включая все программы и приложения. Следовательно, VPN - это единственно правильный выбор, если исходить из целей безопасности.
Вам необходимо устанавливать программное обеспечение только, если Вы пользуетесь OpenVPN. Установить его легко..aspx
Да. BoxPN VPN работает с любым Интернет-соединением (кабельным, DSL, модемным, спутниковым, через Wi-Fi и т.д.).
Срочно понадобился интернет в пути? Бесплатная общественная сеть Wi-Fi является одним из тех маленьких элементов роскоши, которые могут облегчить путешествие, но вы должны проявлять осторожность в том, как вы его используете.
Для тех, кто хочет перехватить ваши данные атакой по методу человек-в-середине, довольно легко создать сеть под названием "Бесплатный Wi-Fi", или как-то похоже, имя так же может содержать наименование места вашего нахождения, чтобы заставить вас думать, что это легальный источник.
При подключении с помощью Windows, выключите общий доступ к файлам и пометьте сеть Wi-Fi как публичную сеть. Вы можете найти эту опцию в настройках "Панель управления > Центр управления сетями и общим доступом > Изменить дополнительные параметры общего доступа". Под заголовком "Общий", отключите общий доступ к файлам. Вы также можете включить брандмауэр Windows при подключении к сети общего пользования, если он ещё не активирован. Эти параметры также находятся в "Панель управления> Брандмауэр Windows".
Если вы ещё не настроили VPN через своего работодателя или на рабочем месте, есть и другие варианты. Бесплатная версия SecurityKISS предлагает свободный от рекламы доступ VPN с ограничением по объёму передачи данных до 300МБ/день. Этого достаточно для проверки электронной почты, просмотра карты и другого простого использования Wi-Fi.
Существует специальный клиент для Windows, но для устройств на iOS и Андроиде, вы можете зарегистрировать бесплатный аккаунт, который будет генерировать уникальное имя пользователя и пароль. Вам будет отправлен список серверов, адреса которых можно ввести вручную в устройстве, чтобы правильно настроить VPN.
Подробные инструкции о том, как настроить VPN на устройстве iOS и на Андроиде .
Disconnect.me помогает защитить от "кражи сессии" через расширения браузера для Хром, Опера и Сафари, но он также предлагает автономное Андроид-приложение под названием Secure Wireless с предустановленным VPN, который автоматически обнаруживает незащищённый Wi-Fi и активирует VPN, где это необходимо.
Важно отметить, что HTTPS Everywhere работает методом активации шифрования на всех поддерживаемых разделах сайта. Как указано в его FAQ:
"HTTPS Everywhere полностью зависит от функций безопасности отдельных веб-сайтов, которые вы используете. Он активирует эти функции безопасности, но он не может создать их сам, если их не существует. Если вы используете сайт не поддерживающий HTTPS Everywhere или сайт, который предоставляет информацию в небезопасном виде, HTTPS Everywhere не может обеспечить дополнительную защиту по использованию этого сайта".
Были случаи, когда пользователя застигали врасплох при подключении к общественной или гостиничной сети Wi-Fi и обманом вынуждали их обновить программное обеспечение. И если пользователь соглашался, на компьютер устанавливалась вредоносная программа.
Кроме того, если вы выходите в сеть с мобильного устройства, не думайте, что ваши приложения автоматически безопасны или с используют HTTPS. Если это явно не указано разработчиком приложений, лучше предположить, что приложение не соблюдает режим безопасности. В этом случае, вы должны использовать свой браузер, чтобы войти на сервис и проверить, статус HTTPS в строке состояния.
Что касается паролей, старайтесь не использовать один и тот же пароль на нескольких сервисах. Есть много менеджеров паролей, чтобы упростить работу с ними.
В Windows, вы можете убрать галочку с "Подключиться автоматически" рядом с названием сети или перейти в "Панель управления> Центр управления сетями и общим доступом" и нажать на название сети. Нажмите на "Управление беспроводными сетями", а затем снимите галочку "Подключаться автоматически, если сеть в радиусе действия".
На Маке войдите в Системные настройки, выберите "Сеть" и в разделе Wi-Fi нажмите кнопку "Дополнительно". Тут снимите галочку "Помнить сети, к которым подключался этот компьютер". Вы можете также по отдельности удалять сети, выбирая их имя и нажимая кнопку минус.
Наконец, будьте очень осторожны с тем, что вы делаете в общественной небезопасной сети Wi-Fi. Сессию интернет-банка лучше сохранить до того времени, когда вы сможете подключиться через сотовый интернет или в защищённой сети.
Подключаясь к Интеренету через бесплатную точку Wi-Fi доступа Вы рискуете лишиться всех ваших паролей и приватных данных, т.к. весь ваш трафик может быть отслежен как через "эфир" так и на роутере (компьютере через который вы подключаетесь в Интернет). Т.е. все ваши логины, пароли, номера кредитных карт, ваша переписка и места веб-серфинга могут стать достоянием хакеров или не добросовестных администраторов точки доступа.
Хотспоты – точки общего доступа к Wi-Fi – практически все представляют угрозу утечки реквизитов, заявил на конференции Black Hat в Лас-Вегасе Роб Грэм (Rob Gram), исполнительный директор Errata Security.
Для кражи реквизитов достаточно использовать простейший снифер – программу для записи сетевого трафика, проходящего через сетевой интерфейс. Грэм показал собравшимся куки к учётной записи Gmail одного из присутствующих, «пойманные» снифером. Куки используются почтовыми сайтами для хранения идентификатора сессии, выдаваемого после ввода верных реквизитов доступа. Используя этот идентификатор, атакующий может выдать себя за другого пользователя. «Веб 2.0 взломан у основания», - заключил Грэм, подразумевая, что любой сетевой снифер в Wi-Fi-сети может получить все требуемые реквизиты.
До сих пор считалось, что доступа по шифрованному протоколу SSL (URL с приставкой https://) достаточно, чтобы посторонние не смогли «подсмотреть» трафик. Однако популярные почтовые сервисы по умолчанию шифруют трафик не на всех этапах. Что же касается времени доступа с использованием похищенных куки, то некоторые действительны годами. Единственный способ защиты, по мнению Грэма, – настроить доступ к веб-сервисам так, чтобы связь с сервером шифровалась полностью.
Все описанные опасности абсолютно реальны, но все эти проблемы решаются простым использованием шифрованного VPN соединения, работающего поверх Wi-Fi . Поэтому мы настоятельно рекомендуем вам использовать только шифрованный VPN доступ для работы с в Интерет через бесплатные и даже платные Wi-Fi точка доступа.
Если вы планируете при поездке на отдых или в командировку использовать Wi-Fi интернет, мы рекомендуем вам предварительно купить у нас и настроить доступ к VPN сервису. Это гарантирует вам безопасность ваших логинов, паролей и данных во время путешествий, а значит хорошее настроение и сэкономленные нервные клетки.
Подключаясь к сети Wi-Fi в кафе, гостинице, аэропорту или метро, вы фактически выкладываете свои данные на всеобщее обозрение. Перехватить ваш трафик в публичной сети способен любой школьник. Для этого нужно только скачать в Интернете одну из многочисленных «хакерских» программ и прочитать инструкцию к ней. Вот почему мы настоятельно рекомендуем ознакомиться с правилами безопасного поведения в публичных сетях и, конечно же, следовать им.
В статье мы расскажем об угрозах, подстерегающих вас при использовании публичных сетей, и простых способах защиты.
Существует три основных типа атак, которые злоумышленник может предпринять при использовании общедоступного Wi-Fi. Наиболее простой и распространённый - сниффинг. Открытые точки доступа никак не шифруют пакеты, а потому перехватить их способен любой желающий. Ну а после того как пакеты оказались у хакера, вычленение из них важной информации, вроде данных авторизации, остаётся делом техники. Программ-снифферов существует немало, причём не только для настольных операционных систем, но и для смартфонов под управлением Android.
В разгар президентских выборов в США на съезде республиканской партии в Кливленде сотрудники компании Avast решили проверить, насколько американские политики заботятся о своей безопасности в Интернете. Для этого в месте проведения съезда было размещено несколько открытых точек доступа, а прошедший через них трафик был проанализирован специалистами. Невольными участниками эксперимента стали около 1200 человек. Его результаты красноречивы: Avast удалось раскрыть личность 68,3% пользователей Wi-Fi и узнать, какие приложения они запускали и какие сайты посещали.
Второй возможный вектор - атака MitM (Man in the Middle, «человек посередине »), для чего нередко используется ARP-спуфинг. Протокол ARP предназначен для сопоставления внутри локальной сети IP- и MAC-адресов устройств, и в нём не предусмотрена проверка подлинности пакетов. Это даёт злоумышленнику возможность отправить на атакуемый аппарат и роутер пакеты с подменёнными MAC-адресами. В результате смартфон или ноутбук посчитает, что IP-адресу роутера соответствует MAC-адрес устройства хакера, и будет посылать всю информацию последнему. Роутер также станет отправлять ответы взломщику вместо настоящего клиента.
Третий способ - использование переносной точки доступа (такие устройства обычно делаются компактными и автономными). Если рядом с настоящей точкой доступа появляется вторая с тем же именем сети (SSID), но более сильным сигналом, то окружающие устройства, скорее всего, будут подключаться именно к ней. SSID не всегда делают одинаковым: иногда сеть просто называют похожим образом, рассчитывая на невнимательность пользователей. И хотя второй способ не слишком надёжен и применяется нечасто, мы всё равно советуем в случае малейших сомнений в подлинности найденной вашим гаджетом сети обратиться к персоналу заведения.
В течение прошлого года злоумышленники неоднократно создавали поддельные точки доступа в Московском метрополитене. В результате вместо привычной страницы авторизации пользователи видели на экранах своих устройств нецензурные надписи.
Конечно, существует ещё множество различных типов атак - мы перечислили лишь некоторые. Обычный пользователь едва ли сможет обнаружить прослушку, поэтому о мерах безопасности стоит позаботиться заранее.
В начале статьи мы постарались вас припугнуть, однако на самом деле для сохранения в секрете передаваемой информации достаточно придерживаться ряда несложных правил, а также по возможности пользоваться шифрованными каналами связи. Подробнее об этом мы сейчас и расскажем.
Главное правило, которому необходимо следовать всегда и везде - не передавать данные в недоверенных сетях (да и в доверенных тоже) по небезопасным протоколам. Всё больше сайтов, особенно социальных сетей и различных сервисов, требующих авторизации, переходит на защищённый протокол HTTPS, использующий шифрование по протоколам SSL/TLS. Передаваемые по HTTPS данные шифруются вашим устройством и конечным сервисом, что значительно затрудняет использование перехваченной информации, но не делает его полностью невозможным. Все современные браузеры помечают открытые по HTTPS вкладки особым значком в адресной строке (обычно с использованием зелёного цвета) - на это стоит обращать внимание.
Также будет нелишним воспользоваться расширением , которое доступно для десктопных браузеров Chrome и Opera, а также для Firefox (включая Android-версию). Когда данный плагин работает, все запросы на сайтах с поддержкой HTTPS осуществляются именно по зашифрованному протоколу. Иными словами, расширение позволяет избавиться от ошибок веб-мастеров, которые включают поддержку HTTPS не для всех страниц сайта или размещают на защищённых страницах обычные HTTP-ссылки.
HTTPS помогает сохранить данные в безопасности в большинстве случаев. Однако даже когда вы подключаетесь к сайту по безопасному протоколу, следует использовать двухфакторную аутентификацию - это сведёт к нулю вероятность взлома аккаунта, если ваши данные всё же перехватят и смогут расшифровать. Сейчас двухфакторную аутентификацию поддерживают практически все социальные сети и крупные сервисы.
Несмотря на то что все платёжные системы сейчас тоже применяют HTTPS, мы рекомендуем использовать для онлайн-покупок отдельную дебетовую карту. Деньги на неё стоит переводить с основной непосредственно перед покупкой, чтобы красть было попросту нечего.
Наиболее надёжный способ защиты при использовании публичного Wi-Fi - это VPN-подключение. Здесь важно не совершить ошибку большинства неопытных пользователей и ни в коем случае не задействовать сомнительные программы, десятки которых доступны в магазинах приложений или просто в Интернете. О проблемах с бесплатными VPN-решениями говорили уже давно, но свежее исследование австралийской организации CSIRO дало и вовсе обескураживающие результаты: ряд приложений не шифрует трафик, а множество некоммерческих программ содержит вредоносный код. Если вы всё-таки твёрдо решили использовать бесплатное приложение для VPN-подключения, то применяйте только проверенные варианты, например, Opera VPN .
Если вы готовы немного заплатить за свою безопасность, приобретите подписку на один из надёжных VPN-сервисов. В отличие от некоммерческих программ, платные решения предлагают более высокую скорость, не ведут логов, не имеют ограничений по протоколам и IP-адресам, а также обеспечивают дополнительные опции, например, выбор местоположения выходного сервера. Базовые тарифы таких сервисов стоят $7-10 в месяц - не такая уж и высокая цена за сохранность данных. Подобный вариант подойдёт тем, кто часто пользуется публичными точками доступа с различных устройств.
Если вы редко выходите в Интернет через незащищённые сети и не нуждаетесь в анонимизации, то неплохим решением станет настройка собственного VPN-сервера. Для этого в Сети можно найти множество несложных инструкций, а некоторые роутеры позволяют настроить VPN-сервер и вовсе за пару кликов. Учтите, что тому, кто надумал поступить именно так, потребуется озаботиться наличием «белого» IP-адреса . Некоторые провайдеры предоставляют их безвозмездно, а другие - за небольшую плату.
Взломать конфиденциальные данные британских политиков путём анализа трафика Wi-Fi получилось у компании F-Secure. Используя фейковую точку доступа, исследователи смогли узнать логин и пароль от аккаунтов Gmail и PayPal одного политика, прослушать VoIP-звонок другого и получить доступ к Facebook-аккаунту третьего. В первых двух ситуациях взлом удалось осуществить с помощью сниффинга трафика, а в третьем - посредством внедрения вредоносного кода на веб-страницу. Отметим, что в случае использования шифрованного VPN-канала подобные атаки не увенчались бы успехом.
Наконец, третий способ - ввод учётных данных вручную. Такой метод используется для наиболее распространённых протоколов - PPTP, L2TP и IPSec, поддержка которых встроена в большинство ОС. В Android для подключения к VPN «вручную» необходимо открыть настройки, а затем найти пункт «Другие настройки » в категории «Подключения ». После того как вы перешли в раздел VPN, нажмите «Опции » → «Добавить VPN ». В открывшемся окне вам будет предложено выбрать тип подключения и ввести адрес сервера.
После этого вы можете выбрать в списке только что созданный профиль, единожды ввести логин и пароль и нажать «подключиться». Теперь передаваемые данные хорошо защищены, а в панели уведомлений появилась иконка ключа, показывающая статус соединения.
Не сложнее подключиться к VPN и на iOS-устройстве. В настройках вашего гаджета необходимо перейти в раздел «Основные » → VPN и нажать кнопку «Добавить конфигурацию VPN ».
После ввода необходимых данных и сохранения вы вернётесь в список доступных VPN-подключений, где останется только нажать на кнопку «Статус ». Как и в Android, в статус-баре iOS также появится значок, сообщающий о подключении к VPN-серверу.
Итак, чтобы ваши данные не попали в руки злоумышленников или просто излишне любопытных подростков, соблюдайте пять простых правил.
