Wifi - Podstawowe ataki i informacje jak chronić
Wifi ... Kto nie ma, przyznać się? Zapewne każdy z Was używa bezprzewodowego internetu, który rozprowadzany jest radiowo przez routery (głównie). Ale o ile jest to bardzo wygodne (brak kabla) o tyle rozwiązanie to ma w sobie wiele wad. Dzisiaj co nieco opowiemy o atakach na sieci Wifi.
Publiczne Wifi
Wifi jest w pociągach, Wifi jest w autokarach, w galeriach, na uczelniach ... Wiele obiektów publicznych nadaje połączenie internetowe. Jest to też dobra okazja dla złodzieja i wykorzystanie ataku MITM. Często atakujący zakłada swoje własne Wifi, do którego nieświadomi ludzie się łączą ... a on zbiera informacje (jak są niezaszyfrowane). Oczywiście coraz więcej stron internetowych i programów używa szyfrowania, więc z czasem możliwe, że taki atak przestanie mieć znaczenie, ale dalej zdarzają się perełki.
Zdarza się, że niektóre komunikatory nie oferują szyfrowania rozmów, a haker jest w stanie czytać na bieżąco co piszemy.
Czy da się przed tym chronić?
- Jeśli jest to możliwe, możemy kupić serwer z VPNem. Wtedy nasze połączenie internetowe przechodzi do VPNa (jest szyfrowane w międzyczasie) i stamtąd do internetu właściwego. Więc każda komunikacja będzie szyfrowana. Serwery takie są w miarę tanie; na Aruba Cloud za 48zł rocznie (SMSami) możemy postawić serwer OpenVPN, możliwe, że są tańsze.
- Jeśli nie mamy takich możliwości to możemy wgrać dodatek do przeglądarki - HTTPS Everywhere, który (jeśli strona internetowa obsługuje szyfrowanie) wymusza przejście na HTTPS. Ograniczy to ew. miejsca skąd haker może pobierać dane
- Ograniczyć korzystanie z nieznanych sieci do niezbędnego minimum
Gdy Wifi jest nie zabezpieczone / słabo zabezpieczone
Zawsze zabezpieczajcie Wifi. Są ludzie, którzy jeżdżą po mieście i zbierają sobie dla zabawy listy sieci Wifi (niezabezpieczonych lub potencjalnie łatwych do złamania). A to oznacza, że ktoś może wejść lub złamać nasze zabezpieczenia i oprócz oczywiście podsłuchów - może nam narobić krzywd, łamiąc na przykład prawo. Wtedy oczywiście policja zapuka do Was, gdyż to z waszej sieci (na wasze nazwisko) zostało popełnione przestępstwo.
Czy da się przed tym chronić?
- Używaj możliwie najmocniejszego szyfrowania transmisji oferowanej przez router
- Jeśli umiesz - zrób białą listę adresów MAC, które mogą korzystać z twojej sieci (dość unikalny [ale niestety do zmiany] identyfikator karty sieciowej).
- (Trochę eksperckie) oblicz maskę podsieci, by mniej komputerów mogło korzystać z sieci.
- Zawsze aktualizuj oprogramowanie w routerze i na komputerze
Dziury w routerach
Sprzęt i oprogramowanie jest tworzone przez ludzi, więc zawiera błędy i będzie je zawierać zawsze. Możemy jednak troszkę utrudnić hakerom życie, oto różne porady.
- Zmień nazwę sieci. Wiedząc, że dany ruter to np. Dlink haker może mieć pod niego dziurę.
- Zmień hasło domyślne do sprzętu. Często jest ono uniwersalne jak "admin/admin" czy "user/user".
- Oczywiście aktualizuj oprogramowanie.
A może lepiej przejść na kabel jeśli to możliwe? Transmisja kablowa ma wiele zalet, które wpływają pozytywnie na działanie. Mniejsze opóźnienia, brak możliwości włamania z zewnątrz bezpośrednio, jeśli ktoś wierzy, że Wifi może powodować raka to może używać internetu po kablu, brak problemów z zasięgiem, wyższa wydajność ... Jeśli się da to warto ;)
Warto wspomnieć, że prawie rok temu pojawiła się duża luka w protokole Wifi, która umożliwiała złamanie każdego urządzenia.
Można rzeczywiście wykupić serwer i samemu instalować OpenVPN ale można też przecież wykupić gotową usługę - wtedy nie trzeba się znać, wystarczy umieć włączyć VPN po stronie telefonu (są instrukcje albo nawet dedykowane aplikacje). Ciężko będzie wykupić taką usługę VPN, która będzie tańsza od najtańszego serwera w Arubie (tak mi się wydaje bo nie szukałem) ale płaci się za to, żeby nie trzeba było umieć postawić i utrzymywać. Dodatkowo takie usługi w niektórych firmach mają te zalety, że mogą mieć serwer wyjścia w różnych krajach. Więc można omijać cenzurę albo regionalizację. A i czasem ją zmieniać - dziś chodzę po Internecie z UK, jutro z USA a pojutrze z Czech. Oczywiście trzeba wybrać jakiegoś zaufanego dostawcę - w necie są porównania różnych dostawców.
To postraszę Was jeszcze bardziej. Można tak przygotować fałszywą publiczną sieć WIFI, że szyfrowanie stron WWW nie wystarczy. Ktoś kto postawił taką fałszywą sieć może postawić serwer udający Twój bank, albo kilka najpopularniejszych banków (taki serwer będzie udostępniał strony wyglądające identycznie jak te w prawdziwych bankach i komunikacja z nimi będzie szyfrowana). Potem już w zależności od zaawansowania tych fałszywych stron banku co najmniej podsłucha Wasz login i hasło, a w bardziej zaawansowanych przypadkach gdybyście chcieli zrobić jakąś operację mógłby nawet próbować w tle automatycznie wyprowadzić Wasze pieniądze (nawet jeśli musicie potwierdzić je kodem czy SMSem - dlatego trzeba zawsze bardzo dokładnie czytać SMSy z banku). Oczywiście taki atak nie jest prosty, jest wiele rzeczy do ogarnięcia (nie będę wchodzić w szczegóły, chyba że Wy tego chcecie?) i żeby do końca się powiódł trzeba trochę szczęścia i odrobinę nieuwagi użytkownika. ale jest jak najbardziej możliwy.
Tylko co jakiś czas się okazuje, że VPN, który miał chronić ... nie robił tego :P
Chodzi Ci o wyciek prawdziwego IP? To zupełnie inna rzecz. Nie mówiliśmy tu o ochronie prywatności tylko o ochronie przed dostępem cyberprzestępców do naszych danych płynących przez sieć WIFI. Przed tym dobrze skonfigurowany VPN powinien Cię zabezpieczyć zawsze i skutecznie.
Natomiast co do wycieku prawdziwego IP to jeśli mnie pamięć nie myli to najczęściej mamy do czynienia z dwoma problemami. Pierwszą sprawą są błędy w konfiguracji VPNa. I to dość łatwo rozwiązać - trzeba znaleźć odpowiedni tutorial. Drugim problemem jest przeglądarka. Otóż współczesne przeglądarki mają możliwości nawiązywania bezpośrednich połączeń peer-to-peer. I teraz odpowiednio przygotowanym na stronie JavaScriptem, można przechytrzyć przeglądarkę tak by zdradziła prawdziwy adres IP komputera. Niestety nie pamiętam szczegółów, wiem że częścią problemu były m.in. błędy w obsłudze protokołu WebRTC. Ale było coś jeszcze.
Dodałbym trzeci problem - chęć dzielenia się prawdziwym adresem IP firmy prowadzącej VPNa z odpowiednimi służbami.
Więc tak jak piszesz - w kwestii ochrony przed atakiem lokalnym nie powinniśmy się obawiać, czy dany VPN jest uczciwy itd. Dopiero jeśli chcemy ukryć jakiś ruch np. przed policją, wtedy tak, należy się zastanowić czy dana usługa dostarczania VPNa jest odpowiednia. ;)
Masz rację. Jeśli wybiera się gotową usługę zamiast własnego serwera to trzeba i to wziąć pod uwagę jeśli zależy nam na prywatności. Są zestawienia porównujące usługi VPN nie tylko pod kątem ceny i funkcjonalności ale przede wszystkim prywatności (przechowywanie logów, jurysdykcja <niektóre kraje mają takie przepisy, że nie opłaca się w nich korzystać z takich usług - patrz fourteen eyes>, no i znana historia wycieków i wpadek ze współpracą z władzami).
No cóż. Ciekawi mnie czy nie przepuszczać ruchu przez TOR po prostu
Jeśli chcesz chronić swoją prywatność za wszelką cenę to tak można. Podobno jednak, dla 100% pewności trzeba umieć używać TORa mądrze - ja niestety tej wiedzy nie posiadam (jeszcze, może kiedyś). Choć cały czas starają się doprowadzić do sytuacji by ta usługa była dostępna dla każdego, bez względu na umiejętności ale NSA i służby innych krajów to utrudniają (część węzłów wyjściowych jest podobno pod ich kontrolą). Jeśli korzystasz z VPNa tylko po to by zabezpieczyć się przed cyberprzestępcami i ciekawością operatorów internetowych - to Ci w zupełności wystarczy (wg. mnie). Nawet z tym wyciekiem IP z przeglądarek można sobie poradzić. Trzeba znaleźć odpowiedni poradnik albo ściągnąć sobie wersję przeglądarki dbającej o naszą prywatność i bezpieczeństwo.
Nawet przy szyfrowaniu istnieje możliwość ataków MITM, choć oczywiście trudniej je przeprowadzić i zależnie od tego jak są przeprowadzane - łatwiej wykryć przez użytkownika.
Średnio rozgarniętego atakującego to nie zatrzyma, z racji na nasłuchiwanie istniejącego ruchu z danym access-pointem w celu sprawdzenia jakie MACi się z nim łączą i następnie spoofing własnego MACa. Jak sam zauważyłeś - jest on do zmiany. :/ Ale to chyba i tak dobra rada dla początkujących.
Generalnie dobry artykuł, bo mało kto uświadamia Kowalskich na tego typu tematy.
Ty już jak nastraszysz człowieka to, kurde, klękajcie narody! Przez ciebie muszę zmieniać hasło do fifirifi.... ehh. A taka byłam zadowolona i beztroska....
Warto by hasło miało duże litery, małe, cyfry - Zawsze mniejsza szansa na atak bruteforce lub słownikiem ;)
Tak trzeba będzie zrobić. I jeszcze zapamiętać :P
Możesz zawsze próbować z technikami mnemotechnicznymi - czyli nie wiem, łączyć imiona zwierząt, miejsc i tak dalej.
A tak przy okazji internet play z puchami i tacką czasami działa szybciej co udowodniłem na filmie
(UWAGA!! Specyficzny montaż filmu... nie dla "wrażliwych")
Jak działa ... ;)
Na myśl przychodzi klasyczna antena z opakowania po czipsach typu Pringles. :D
Ja jestem tradycjonalistą i mam kompa podłączonego po kablu ;) ale oczywiście fifirifi tez mam, bo drugi komp tak się łączy, no i zawsze jakieś telefony, czy inne gadżety z niego korzystają. Prawdę mówiąc nie ma sieci idealnie zabezpieczonych, ale można tak jak piszesz nie ułatwiać zadania domorosłym hakierom :) Biała lista adresów MAC jest u mnie podstawowym utrudnieniem od zawsze, bo prosto to zorganizować, a nie tak prosto obejść.
Sam tak miałem, ale zmieniałem pokój i Wifi muszę mieć. W międzyczasie UPC za darmo podkręciło internet i ... po Wifi tyle nie mam co miałbym po kablu :D
Właśnie względnie prosto, jak na cyberzabezpieczenie. Ale może dla dzieciaków które przeczytały w internecie jak coś zhakierować nie tak prosto - więc rolę swoją spełnia i przed takimi włamywaczami chroni :)
Właśnie, a tego typu h4x0rów jest najwięcej, szczególnie jak się mieszka w bloku ;) Jeśli ktoś na prawdę chciałby się do mnie włamywać to żadne zabezpieczenie nie pomoże :)
Pozwolisz, że dodam jedno z podstawowych zabewzpieczeń domowej sieci - Ukryj SSID swojej sieci.
To ma sens ;) zapomniałem o tym. Natomiast bez tego też da się podłączyć do sieci
Oczywiście ale to już wymaga używania oprogramowania w postaci sniffera do "podsłuchania" SSID np. Kismet lub CommView. Na ciekawskich sąsiadów wystarczy. :)
Bardzo przydatny post :>