BLOGCZEJNalpha

Wifi - Podstawowe ataki i informacje jak chronić

Wifi ... Kto nie ma, przyznać się? Zapewne każdy z Was używa bezprzewodowego internetu, który rozprowadzany jest radiowo przez routery (głównie). Ale o ile jest to bardzo wygodne (brak kabla) o tyle rozwiązanie to ma w sobie wiele wad. Dzisiaj co nieco opowiemy o atakach na sieci Wifi.

Publiczne Wifi

https://cdn.pixabay.com/photo/2013/07/13/10/42/router-157597_960_720.png

Wifi jest w pociągach, Wifi jest w autokarach, w galeriach, na uczelniach ... Wiele obiektów publicznych nadaje połączenie internetowe. Jest to też dobra okazja dla złodzieja i wykorzystanie ataku MITM. Często atakujący zakłada swoje własne Wifi, do którego nieświadomi ludzie się łączą ... a on zbiera informacje (jak są niezaszyfrowane). Oczywiście coraz więcej stron internetowych i programów używa szyfrowania, więc z czasem możliwe, że taki atak przestanie mieć znaczenie, ale dalej zdarzają się perełki.

Zdarza się, że niektóre komunikatory nie oferują szyfrowania rozmów, a haker jest w stanie czytać na bieżąco co piszemy.

Czy da się przed tym chronić?

  • Jeśli jest to możliwe, możemy kupić serwer z VPNem. Wtedy nasze połączenie internetowe przechodzi do VPNa (jest szyfrowane w międzyczasie) i stamtąd do internetu właściwego. Więc każda komunikacja będzie szyfrowana. Serwery takie są w miarę tanie; na Aruba Cloud za 48zł rocznie (SMSami) możemy postawić serwer OpenVPN, możliwe, że są tańsze.
  • Jeśli nie mamy takich możliwości to możemy wgrać dodatek do przeglądarki - HTTPS Everywhere, który (jeśli strona internetowa obsługuje szyfrowanie) wymusza przejście na HTTPS. Ograniczy to ew. miejsca skąd haker może pobierać dane
  • Ograniczyć korzystanie z nieznanych sieci do niezbędnego minimum

Gdy Wifi jest nie zabezpieczone / słabo zabezpieczone

https://cdn.pixabay.com/photo/2014/08/26/21/29/by-wlodek-428549_960_720.jpg

Zawsze zabezpieczajcie Wifi. Są ludzie, którzy jeżdżą po mieście i zbierają sobie dla zabawy listy sieci Wifi (niezabezpieczonych lub potencjalnie łatwych do złamania). A to oznacza, że ktoś może wejść lub złamać nasze zabezpieczenia i oprócz oczywiście podsłuchów - może nam narobić krzywd, łamiąc na przykład prawo. Wtedy oczywiście policja zapuka do Was, gdyż to z waszej sieci (na wasze nazwisko) zostało popełnione przestępstwo.

Czy da się przed tym chronić?

  • Używaj możliwie najmocniejszego szyfrowania transmisji oferowanej przez router
  • Jeśli umiesz - zrób białą listę adresów MAC, które mogą korzystać z twojej sieci (dość unikalny [ale niestety do zmiany] identyfikator karty sieciowej).
  • (Trochę eksperckie) oblicz maskę podsieci, by mniej komputerów mogło korzystać z sieci.
  • Zawsze aktualizuj oprogramowanie w routerze i na komputerze

Dziury w routerach

https://cdn.pixabay.com/photo/2015/09/17/16/34/electronic-scrap-944452_960_720.jpg

Sprzęt i oprogramowanie jest tworzone przez ludzi, więc zawiera błędy i będzie je zawierać zawsze. Możemy jednak troszkę utrudnić hakerom życie, oto różne porady.

  • Zmień nazwę sieci. Wiedząc, że dany ruter to np. Dlink haker może mieć pod niego dziurę.
  • Zmień hasło domyślne do sprzętu. Często jest ono uniwersalne jak "admin/admin" czy "user/user".
  • Oczywiście aktualizuj oprogramowanie.

A może lepiej przejść na kabel jeśli to możliwe? Transmisja kablowa ma wiele zalet, które wpływają pozytywnie na działanie. Mniejsze opóźnienia, brak możliwości włamania z zewnątrz bezpośrednio, jeśli ktoś wierzy, że Wifi może powodować raka to może używać internetu po kablu, brak problemów z zasięgiem, wyższa wydajność ... Jeśli się da to warto ;)


Warto wspomnieć, że prawie rok temu pojawiła się duża luka w protokole Wifi, która umożliwiała złamanie każdego urządzenia.

KOMENTARZE

  • oszir

    freegifmaker.me_2cQF7.gif ;-D

    A tak przy okazji internet play z puchami i tacką czasami działa szybciej co udowodniłem na filmie <iframe width="560" height="315" src="https://www.youtube.com/embed/p530onQFd7Q" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen></iframe>

    (UWAGA!! Specyficzny montaż filmu... nie dla "wrażliwych")

  • ciapo

    Ja jestem tradycjonalistą i mam kompa podłączonego po kablu ;) ale oczywiście fifirifi tez mam, bo drugi komp tak się łączy, no i zawsze jakieś telefony, czy inne gadżety z niego korzystają. Prawdę mówiąc nie ma sieci idealnie zabezpieczonych, ale można tak jak piszesz nie ułatwiać zadania domorosłym hakierom :) Biała lista adresów MAC jest u mnie podstawowym utrudnieniem od zawsze, bo prosto to zorganizować, a nie tak prosto obejść.

  • anka

    Ty już jak nastraszysz człowieka to, kurde, klękajcie narody! Przez ciebie muszę zmieniać hasło do fifirifi.... ehh. A taka byłam zadowolona i beztroska....

  • alcik

    Jeśli jest to możliwe, możemy kupić serwer z VPNem.

    Można rzeczywiście wykupić serwer i samemu instalować OpenVPN ale można też przecież wykupić gotową usługę - wtedy nie trzeba się znać, wystarczy umieć włączyć VPN po stronie telefonu (są instrukcje albo nawet dedykowane aplikacje). Ciężko będzie wykupić taką usługę VPN, która będzie tańsza od najtańszego serwera w Arubie (tak mi się wydaje bo nie szukałem) ale płaci się za to, żeby nie trzeba było umieć postawić i utrzymywać. Dodatkowo takie usługi w niektórych firmach mają te zalety, że mogą mieć serwer wyjścia w różnych krajach. Więc można omijać cenzurę albo regionalizację. A i czasem ją zmieniać - dziś chodzę po Internecie z UK, jutro z USA a pojutrze z Czech. Oczywiście trzeba wybrać jakiegoś zaufanego dostawcę - w necie są porównania różnych dostawców.

    Jeśli nie mamy takich możliwości to możemy wgrać dodatek do przeglądarki - HTTPS Everywhere, który (jeśli strona internetowa obsługuje szyfrowanie) wymusza przejście na HTTPS.

    To postraszę Was jeszcze bardziej. Można tak przygotować fałszywą publiczną sieć WIFI, że szyfrowanie stron WWW nie wystarczy. Ktoś kto postawił taką fałszywą sieć może postawić serwer udający Twój bank, albo kilka najpopularniejszych banków (taki serwer będzie udostępniał strony wyglądające identycznie jak te w prawdziwych bankach i komunikacja z nimi będzie szyfrowana). Potem już w zależności od zaawansowania tych fałszywych stron banku co najmniej podsłucha Wasz login i hasło, a w bardziej zaawansowanych przypadkach gdybyście chcieli zrobić jakąś operację mógłby nawet próbować w tle automatycznie wyprowadzić Wasze pieniądze (nawet jeśli musicie potwierdzić je kodem czy SMSem - dlatego trzeba zawsze bardzo dokładnie czytać SMSy z banku). Oczywiście taki atak nie jest prosty, jest wiele rzeczy do ogarnięcia (nie będę wchodzić w szczegóły, chyba że Wy tego chcecie?) i żeby do końca się powiódł trzeba trochę szczęścia i odrobinę nieuwagi użytkownika. ale jest jak najbardziej możliwy.

  • ciekawski

    Oczywiście coraz więcej stron internetowych i programów używa szyfrowania, więc z czasem możliwe, że taki atak przestanie mieć znaczenie, ale dalej zdarzają się perełki.

    Nawet przy szyfrowaniu istnieje możliwość ataków MITM, choć oczywiście trudniej je przeprowadzić i zależnie od tego jak są przeprowadzane - łatwiej wykryć przez użytkownika.

    Jeśli umiesz - zrób białą listę adresów MAC, które mogą korzystać z twojej sieci (dość unikalny [ale niestety do zmiany] identyfikator karty sieciowej).

    Średnio rozgarniętego atakującego to nie zatrzyma, z racji na nasłuchiwanie istniejącego ruchu z danym access-pointem w celu sprawdzenia jakie MACi się z nim łączą i następnie spoofing własnego MACa. Jak sam zauważyłeś - jest on do zmiany. :/ Ale to chyba i tak dobra rada dla początkujących.

    Generalnie dobry artykuł, bo mało kto uświadamia Kowalskich na tego typu tematy.

  • wolontariusz

    Pozwolisz, że dodam jedno z podstawowych zabewzpieczeń domowej sieci - Ukryj SSID swojej sieci.

  • zozus234

    Bardzo przydatny post :>