Вы можете запросто погореть на любимом Wi-Fi
Wi-Fi стало много. Дома, в аэропортах, в общественном транспорте. Эта беспроводная сеть, в отличие от мобильного интернета, меньше сажает батарею смартфона и позволяет комфортно валяться на диване с планшетом в руках. Банки.ру решил выяснить, настолько ли Wi-Fi безопасен, насколько удобен.
Взлом чайников
Печально, но, как показывает практика, большинство пользователей беспроводных маршрутизаторов и гаджетов с поддержкой Wi-Fi — враги сами себе. Согласно исследованиям, проводимым различными компаниями, работающими в сфере сетевой безопасности, ситуация, мягко говоря, грустная. Подавляющее большинство домашних беспроводных сетей не защищены, а многие пользователи не утруждают себя даже сменой стандартных логина и пароля, открывающих доступ к настройкам маршрутизатора.
Но даже те, кто озаботился хотя бы минимальными мерами безопасности, часто забывают, что подключаемые к домашнему Wi-Fi устройства тоже требуют внимания. К чему приводит игнорирование этого правила, недавно показал Кен Манро из Pen Test Partners, взломавший беспроводной чайник iKettle. Эта «умная» кухонная утварь может подключаться к беспроводной сети и оповещать о закипании воды с помощью приложения для смартфона. Манро обнаружил, что, заставив чайник подключиться к фальшивой точке доступа, из него можно «вытащить» информацию для доступа к домашней сети.
Что в трафике твоем
Что можно сделать, получив доступ к чужой беспроводной сети? Программа минимум — кража трафика, за который платите вы. Максимум — доступ к данным, хранящимся на ваших устройствах (в общих папках, на сетевых хранилищах), перехват паролей от различных сервисов и получение доступа к почте. Руководитель аналитического центра Zecurion Владимир Ульянов подтверждает: при наличии доступа к беспроводной сети в руки злоумышленника попадут все данные, проходящие через точку доступа.
Самое печальное, что для осуществления атаки специальное оборудование не нужно. Весь необходимый софт находится в открытом доступе, что сильно снижает планку входа для новых «игроков»: часто угроза может исходить не от профессионала, целенаправленно пытающегося добраться до ваших секретов, а от школьника, решившего попробовать свои силы «в хакерстве».
Погода в доме
Угроза может исходить не только от соседа-хакера. «Вирусная лаборатория ESET обнаружила версию известного вируса Sality, которая использует специальный модуль для изменения DNS-записи роутеров. Программа модифицировала DNS-записи роутеров таким образом, что при поиске в Google пользователь перенаправлялся на фальшивую копию поисковика, которая показывала вредоносные ссылки», — рассказывает ведущий вирусный аналитик ESET Russia Артем Баранов. Еще один сценарий, основанный на том же принципе, — фишинговая атака. Когда жертве подсовывают поддельные страницы платежных, почтовых и банковских сервисов.
Даже шифрование сети может не выручить, считает исследователь безопасности Digital Security Владислав Воронков: «Если вы настраиваете защищенную Wi-Fi-сеть, следует использовать только стандарт WPA2 с шифрованием CCMP (иногда его называют AES). Однако не все идеально и с WPA2. Хотя хакер, который не знает пароль, фактически не способен никак вам серьезно навредить, он может перехватить данные в момент подключения вашего устройства к точке доступа. И, путем перебора, восстановить ваш пароль из них. Это достаточно долгий процесс. Если у вас задан надежный пароль с использованием спецсимволов, атакующему проще попробовать взломать другую точку, так как на вашу уйдут годы».
Работа на публике
Публичные точки доступа доставляют наибольшее количество проблем. По оценкам производителя сетевого оборудования Extreme Networks, атаки в открытых сетях происходят ежесекундно. И это еще самый оптимистичный прогноз: некоторые аналитики считают, что в мире, в сетях общего доступа, за секунду совершается несколько тысяч атак.
«Открытый Wi-Fi в публичных местах зачастую раздается без всякого шифрования трафика. Использование Интернета через открытые точки доступа подобно общению посредством крика через открытую форточку: не стоит удивляться тому, что все вокруг «услышат» ваши данные, — говорит Воронков. — К счастью, многие, особенно крупные, сайты используют шифрование HTTPS, которое оставляет злоумышленникам лишь набор нерасшифровываемого мусора. Однако немало и таких ресурсов, которые до сих пор применяют незащищенный протокол HTTP. Он позволит любому, кто находится в пределах радиуса Wi-Fi-точки, например, перехватить пароли от сайтов, которые посещает определенный пользователь, и качать те же файлы, что качает он».
Главное правило, которое необходимо запомнить раз и навсегда, — никогда и ни при каких обстоятельствах нельзя работать с банковскими сервисами, если у вас выход в Сеть через публичный Wi-Fi.
Первая проблема: отсутствие шифрования. Не стоит утешать себя тем, что вы хотите зайти лишь на один сайт, поддерживающий шифрование. На многих ресурсах шифруется только этап аутентификации. Но даже если Wi-Fi защищен паролем, ключ для доступа (выдаваемый, например, официантом в кафе) меняется редко. Узнать его злоумышленнику не составит труда.
Вторая проблема: сохранение имени сети. Функция, призванная избавить пользователя от необходимости каждый раз вручную подключаться к точке доступа, может сыграть злую шутку: злоумышленник создает сеть, название которой дублирует имя популярной публичной сети. После чего смартфоны жертв, «знакомые» с этой сетью, автоматически подключатся к ней.
«Даже если пользователь ни разу не подключался к наиболее известным открытым сетям, опасность все равно существует: смартфон периодически пытается соединиться с сетями из списка запомненных, отправляя их названия «по воздуху»; существуют специальные программы, которые создают точки доступа с именами, посланными смартфоном. И если среди них окажется хотя бы одна открытая, то вы автоматически подключитесь к сети злоумышленника», — предупреждает Владислав Воронков.
Третья проблема: открытая сеть. Атака, как и в предыдущем случае, строится на знании имени сети, но производится «на месте». Поддельная точка доступа дублирует название сети, но при этом обладает гораздо более мощным сигналом. С большой долей вероятности подключенные устройства переключатся на сеть с хорошим сигналом.
Что делать
Сразу после того, как вы создали беспроводную сеть у себя дома, воспользуйтесь нашими простыми советами, которые помогут избежать неприятностей.
Задайте надежный пароль для точки доступа. Аналогичным образом поступите с паролем для беспроводной сети. Чем сложнее — тем лучше. Не используйте простые варианты. При подборе пароля используются специальные словари, содержащие миллионы «простых» вариантов.
Скройте имя сети: после настройки всех домашних устройств на работу с Wi-Fi скройте имя сети (SSID). Несмотря на то что ее все равно можно будет обнаружить с помощью специального ПО, она хотя бы не будет привлекать внимание.
Отключите WPS: эта функция позволяет быстро добавить устройство к сети с помощью ПИН-кода. Однако, чтобы его подобрать, требуется несколько часов.
Включите шифрование: выберите тип шифрования WPA2, если в настройках роутера активировано другое.
Обновите прошивку: это первое, что нужно сделать после приобретения нового маршрутизатора. Новые версии микропрограмм редко добавляют новые функции, но зато содержат «заплаты», закрывающие важные уязвимости в защите устройства.
Включите гостевой Wi-Fi. Чтобы предоставить гостям возможность подключиться к Интернету, включите гостевую сеть в настройках роутера. Даже получив доступ к ней, злоумышленник не сможет «достучаться» до других ваших устройств и перехватить их трафик.
С публичными сетями все обстоит гораздо сложнее. Даже их владелец, имеющий доступ к настройкам роутера, не может гарантировать безопасность. Поэтому не работайте с критически важными данными, выходя в Интернет с помощью публичных сетей.
Выключите автоматическое подключение к Wi-Fi. Таким образом вы убережете свой смартфон или ноутбук от подключения к фальшивой точке доступа.
Используйте VPN. Если вам приходится часто работать в разъездах и при этом использовать публичный Wi-Fi, VPN — самый надежный способ обезопасить себя. Однако ввиду того, что это платная услуга, подойдет она не всем.
Работайте с защищенными приложениями. Зашифровать передаваемые данные помогут специальные версии браузеров. Самый простой и доступный в освоении вариант — «Яндекс.Браузер». При работе в беспроводной сети, не имеющей шифрования, он переключится на работу через дополнительный узел — прокси-сервер, шифруя при этом соединение. Также можно использовать протокол Tor. Tor-браузер работает через зашифрованное соединение, что поможет избежать перехвата данных.
Обмен сообщениями лучше возложить на плечи защищенных мессенджеров. Таких как Telegram. Для полной безопасности Владимир Ульянов предлагает использовать веб-версию Telegram, на сайт которой нужно зайти с помощью Tor.
Павел ШОШИН,