Безопасность при использовании сетей Wi-Fi

• 

Рейтинг:   / 0

ПлохоОтлично 

Подробности

Категория: Статьи

Опубликовано 15.12.2016 03:19

Автор: liccilip

Просмотров: 1898

Наличие в каждом ноутбуке и нетбуке беспроводной сетевой карты Wi-Fi и довольно демократичные цены на соответствующие точки доступа и маршрутизаторы привели к тому, что многие общественные заведения: кафе, гостиницы, аэропорты и даже торговые центры - стали предоставлять посетителям бесплатный доступ к Интернету в качестве дополнительной услуги или как средство привлечения клиентов. Эта тенденция не могла пройти незамеченной мимо людей, имеющих возможность часто посещать такие заведения.

Разумеется, очень приятно пользоваться услугами, в данном случае, подключения к Интернету, за чужой счет, но, тем не менее, не следует забывать об опасности, которую такой «сыр» таит. А именно — все данные, передаваемые через Интернет с вашего (и на ваш) компьютер или мобильное устройство, легко могут быть перехвачены злоумышленниками, подключившимися к той же сети Wi-Fi. Особенно это касается незашифрованных данных, передаваемых, к примеру, такими программами, как WhatsApp. Сети Wi-Fi по своей природе уязвимы для взлома и «прослушки», однако на них вполне можно полагаться, если применить необходимые меры безопасности.

Угрозы, возникающие при подключении к открытой сети Wi-Fi

Злоумышленники, подключаясь к открытой или даже вашей (слабо защищенной) сети, Могут выполнять следующие действия:

♦ захватывать параметры соединения — с помощью специальных приложений (программных сетевых сканеров), установленных на смартфоне, планшете или ноутбуке, посторонние могут без особых усилий собирать разнообразную информацию об активных точках доступа, их названиях, используемых базовых станциях, типе шифрования, подключенных устройствах и просматриваемых на них сайтах, определять, открыт ли на устройствах общий доступ к файлам, и т.п. Эти сведения в комплексе могут использоваться для планирования целенаправленных атак, подобных тем, что описаны далее.

Полностью обезопасить себя от сбора информации сетевыми сканерами невозможно — разве что отказаться от пользования точками беспроводного доступа или, хотя бы. включать адаптер Wi-Fi на своем устройстве только тогда, когда он действительно нужен;

♦    считывать трафик — при установке с устройством соединения Wi-Fi передача пакетов данных осуществляется на соответствующий IP-адрес. Если в точке доступа зарегистрировано несколько устройств, то они игнорируют пакеты данных, предназначенные для других получателей, — так предотвращается хаос в сети Wi-Fi и поддерживается высокая скорость работы. Однако, имея подходящее программное обеспечение, можно «внушить» адаптеру Wi-Fi, что он должен принимать все пакеты вне зависимости от указанных в сетевых пакетах IP-адресов. В этом случае злоумышленник может считывать весь трафик, проходящий через точку доступа, при этом оставаясь в тени, т.к. сам ничего не передает. Затем с помощью фильтров он может найти в записанных сведениях нужную информацию — например, изображения или адреса веб-сайтов.

Для защиты от такого считывания следует избегать точек доступа без парольной защиты. Хотя это и не панацея , но тогда злоумышленнику надо будет как минимум знать пароль к точке доступа. Кроме того, на всех сайтах, где нужно проходить авторизацию и передавать персональные данные, следует использовать только защищенное соединение через протокол HTTPS (см. разд. «Использование протокола HTTPS»), а не HTTP, и не заходить на сайты, не поддерживающие шифрование. Осторожность также необходима при работе с мобильными приложениями, т.к. в этом случае пользователь практически не имеет доступа к тонким настройкам. Например, клиент Facebook шифрует только авторизацию, после чего передача данных производится в незащищенном виде. И хотя злоумышленник и не увидит вашего пароля, он сможет читать ваши статусные сообщения и переписку. Поэтому от использования таких приложений при подключении к публичной точке доступа следует полностью отказаться. Альтернативой может служить технология VPN, с помощью которой для вашего интернет-соединения создается защищенный туннель. В этом случае, если злоумышленник перехватит переданный с вашего устройства сетевой пакет, он получит просто беспорядочный набор данных. Для создания VPN-туннелей вы можете использовать утилиты наподобие Hotspot Shield, доступные и для мобильных устройств;

ОБЯЗАТЕЛЬНА ЛИ ИДЕНТИФИКАЦИЯ В ОБЩЕСТВЕННЫХ СЕТЯХ WI-FI ?
Радость от возможности бесплатного и бесконтрольного подключения к общественным сетям Wi-Fi несколько скрадывает введенное летом 2014 года постановлением правительства РФ № 758 требование обязательной идентификации подключающегося к публичному Интернету пользователя по его удостоверению личности. Согласно документу, оператор связи перед разрешением кому-либо доступа в общественный Интернет обязан потребовать у него ввести номер мобильного телефона, на который отправляется код для подтверждения идентификационных данных.

♦    захватывать cookie-файлы для авторизации в аккаунтах — с помощью соответствующего программного обеспечения злоумышленник может организовать сетевую атаку с использованием протокола ARP (т.н. ARP-спуфинг) и легко перехватить сеансовые cookie-файлы, которые идентифицируют участника социальной сети (например,   Facebook) после успешной в ней авторизации. Благодаря таким cookie-файлам вам не требуется вводить пароль каждый раз, когда вы хотите авторизоваться на сайте Facebook. Специальные программы извлекают из трафика все сеансовые cookie-файлы и выводят их на экран в виде списка, после чего одним касанием злоумышленник может войти в ваши текущие сеансы Facebook, Twitter или eBay, после чего весь обмен данными проходит через устройство злоумышленника.

Для защиты от перехвата сеансовых cookie-файлов также можно использовать VPN-туннели;

♦    подменять точки доступа — как вы могли обнаружить, по умолчанию после однократного входа в какую-либо беспроводную сеть устройство автоматически подключается к ней снова, если оказывается в зоне действия сети Wi-Fi с таким же именем. Простейший сценарий атаки выглядит так: из любого смартфона, планшета или ноутбука без особых усилий и дополнительных приложений злоумышленник может сделать точку доступа Wi-Fi с любым именем, после чего сможет считывать в своей поддельной сети все передаваемые данные. Для защиты от таких атак следует удалять сохраненные сети Wi-Fi из списка в настройках устройства, оставляя там только домашние и рабочие;

♦    взламывать механизмы шифрования — злоумышленники, желая получить доступ к важным сведениям (таким как банковские реквизиты, регистрационные данные PayPal или пароли к почте и веб-сервисам), делают ставку на различные уязвимости в реализации механизма шифрования и на промахи пользователей. Например, они могут попытаться перенаправить пакеты информации с помощью ложной точки доступа. А когда пользователь заходит через такую точку на защищенный сайт, злоумышленник может попробовать перенаправить его на незащищенную версию, чтобы узнать пароль или прослушать весь трафик. Распространены и атаки с применением фальшивых сертификатов. В этом случае мошенник использует защищенное соединение как с веб-сервисом, так и, с другой стороны, с пользователем точки доступа. Но вследствие того, что SSL- сертификаты сфальсифицированы, прослушивание трафика не составляет труда.

Если бы веб-сервисы полностью шифровали весь трафик, то у злоумышленников не было бы возможности использовать прием с перенаправлением пользователей на незащищенные веб-сайты. Однако SSL-соединение пока не получило повсеместного распространения, хотя крупные сервисы и предлагают его по выбору. Поэтому необходимо всегда самим выбирать SSL-соединение, а также проверять, чтобы в адресной строке браузера указывалась информация о защищенном соединении. К сожалению, при работе с мобильными приложениями тип соединения часто не настраивается и не определяется. В этом случае нужно предварительно уточнить наличие таких возможностей в том или ином приложении у его разработчиков. О надежности соединения также свидетельствует соответствующее указание в адресной строке браузера и наличие сертификата. С другой стороны, и это не является стопроцентной гарантией, т.к. можно столкнуться с фальшивыми сертификатами. Для обеспечения безопасности устройств под управлением операционных систем Android, iOS и Windows Phone необходима регулярная установка системных и программных обновлений. Кроме того, на них обязательно наличие антивирусной программы — к примеру, Kaspersky Internet Security для Android или Kaspersky Safe Browser. He допускайте также автоматического подключения устройства к сетям Wi-Fi без вашего ведома и, по возможности, используйте VPN-туннели для передачи данных.

На компьютерах под управлением операционной системы Windows и OS X следует отключить общий доступ к файлам и обязательно держать включенным брандмауэр. Проверить соответствующие настройки можно в Windows так: Панель управления | Брандмауэр Windows (Control Panel | Windows Firewall) и в OS X так: Системные настройки | Безо-пасность | Брандмауэр (System Preference | Security & Privacy | Firewall). Здесь также необходимо установить антивирусное программное обеспечение и своевременно обновлять систему и программы. Кроме того, пользуйтесь исключительно сервисами, которые шифруют авторизацию и передачу данных посредством протокола SSL. Обратите внимание, что такие надстройки, как HTTPS Finder или HTTPS Everywhere для Firefox и Chrome, задействуют этот протокол по умолчанию. И, по возможности, также используйте для передачи данных VPN-туннели.

 еще ... Защита собственной сети Wi-Fi

Комментарии для сайта Cackle