10.8.2018 09:04 | Rozhovory

Top Bezplatné Wi-Fi na dovolenke? Prečo ho radšej nevyužiť a ak áno, ako sa chrániť

ilustračná snímka
WPA3 zvýši bezpečnosť na otvorených sieťach. Zdroj: iStock

Rozhovor: Bezplatný internet v zahraničí môže byť zradný. Wi-Fi totiž nie je práve najbezpečnejšia technológia.

Letné výlety a dovolenky často lákajú na využívanie verejných Wi-Fi sietí. A to najmä v zahraničí, nakoľko sme boli mimo Slovenska dlhé roky zvyknutí na predraženú cenu mobilných dát.

Verejne dostupné hotspoty, hotelové Wi-Fi či bezplatný internet v kaviarni však so sebou prinášajú bezpečnostné riziká. Sú totiž ľahkým terčom hackerov, ktorí sa vďaka nim môžu dostať k vašim dátam.

O konkrétnych rizikách a spôsoboch, ako sa ochrániť, sme sa rozprávali s Janom Kopřivom, koordinátorom bezpečnostného tímu CSIRT z firmy Alef Distribution SK.

Ako sa všeobecne pozeráte na bezpečnosť Wi-Fi sietí?

Je rozdiel medzi bezpečnosťou technológie ako takej a tým, a ako s ňou pracujú ľudia. Pretože Wi-Fi môže byť nakonfigurovaná tak, že sa dá ľahko prelomiť a veľa verejných Wi-Fi sietí býva nešifrovaných – či už v meste, hoteli či MHD. Vtedy čokoľvek, čo cez ňu posielate, môže byť odchytené.

To je však dlhodobo známy problém. Keď je sieť napríklad v hoteli zašifrovaná modernými algoritmami a útočník si vytvorí Wi-Fi sieť s rovnakým názvom, ako zareaguje počítač pri opätovnom pripájaní? Hľadá sieť podľa jej mena, nejakého ID a pripojí sa k správnemu hotspotu, alebo sa môže aj k tomu záškodníckemu?

Tieto útoky sa nazývajú „evil twin“ (diabolské dvojča, pozn. redakcie), čiže vytvorenie prístupového bodu (access pointu) s rovnakým SSID, čiže rovnakým názvom, ako má zvyšok siete. Záleží na konkrétnom zariadení, ktoré sa má pripojiť. Existuje možnosť či už automaticky alebo ručne donútiť používateľa, aby sa pripojil k môjmu AP, ale väčšina zariadení je dostatočne inteligentná, aby rozpoznala, že to nie je legitímny prístupový bod. A preto sa k nemu pripájať nebudem, respektíve pripojenie zlyhá. Zvlášť v prípadoch, keď je využité šifrovanie a autentifikácia heslom.

Ak sa pripojím do Wi-Fi hotela a nastavím, že je pre mňa dôveryhodné, v tej chvíli som prehral.

Lenže útočník môže svoje Wi-Fi nastaviť tak, aby prijímala akékoľvek heslo.

Samozrejme. A donútiť používateľa, aby sa pripojil k inej Wi-Fi sieti, ktorá ani nemusí byť rovnakého mena, sa dá jednoducho. Budem ho odpájať od tej siete, kde bol pripojený. V momente, keď to robím 10 minút a požívateľ sa stále nemôže pripojiť, skúsi alternatívu.

Hlavne keď to Wi-Fi nesie názov kaviarne alebo susedného hotela.

Presne tak. Ak to vyzerá legitímne, týchto útokov sa dá robiť veľa. Plus, hoci dnes už to býva štandardne vypnuté, niektoré zariadenia sa stále ešte automaticky pripoja k otvoreným Wi-Fi sieťam v dosahu, čo môže byť tiež vhodné na útok.

Čiže napríklad staré systémy typu XP?

To určite tiež, ale nečudoval by som sa, keby to išlo zapnúť napríklad aj na moderných smartfónoch. Ale priznám sa, že toto som neskúmal.

Keď teda vieme, že technológia Wi-Fi nie je bezpečná, je vôbec rozumné ju používať, napríklad na cestách pri používaní Internet Bankingu alebo práci s citlivými dátami?

Rozumné to určite je. Ale nikdy by som sa nepripojil k akejkoľvek cudzej sieti alebo takej, ktorej skrátka neverím, bez použitia VPN. V momente, ako aktivujem VPN, zaistím, že cez Wi-Fi by nikto nemal odchytiť moje informácie. Vidí len, že som sa pripojil k VPN, ale nie, čo nasledovalo ďalej.

Niektorí ľudia sa chránia surfovaním len cez HTTPS.

Nejakú úroveň bezpečnosti poskytujú aj HTTPS pripojenia bez VPN. No na tieto spojenia taktiež existujú určité typy útokov, preto nie sú zďaleka tak bezpečné, ako použiť VPN.

Wi-Fi bude bezpečnejšia, prvé zariadenia s WPA3 zatiaľ neboli ohlásené. fotogaléria / 4
Wi-Fi bude bezpečnejšia, prvé zariadenia s WPA3 zatiaľ neboli ohlásené. Zdroj: iStock

Čiže bez VPN je lepšie Wi-Fi nepoužívať vôbec?

Všeobecne, keby som nemal VPN a potreboval by som sa pripojiť k stránke alebo preniesť dáta cez verejnú Wi-Fi, rozhodne by som to nerobil, pokiaľ tie dáta považujem za citlivé.

Ako sa komunita pozerá na VPN, ktoré sú zdarma alebo s veľkou zľavou od nejakých nerenomovaných poskytovateľov?

Nechcem všetky hádzať do jedného vreca, pretože som presvedčený, že sú aj kvalitné VPN, ktoré sú zdarma. Ale boli prípady, kedy prevádzkovateľ bezplatnej VPN vkladal niečo škodlivé do dát, ktoré tiekli medzi klientom a serverom. Čiže sám by som na počítači, na ktorom nechcem nič chytiť, takúto službu nevyužil.

Keď teda nemáte k dispozícii VPN, spoliehate sa skôr na mobilné pripojenie?

Presne tak. V momente, keď som v otvorenej sieti a nemôžem si zaktivovať VPN, alebo napríklad nemám klienta s VPN, rozhodne radšej volím mobilnú sieť. V nej dáta teoreticky môže zachytiť operátor, ale jemu verím viac, ako prevádzkovateľovi miestneho Wi-Fi.

Nikdy by som sa nepripojil k akejkoľvek cudzej sieti bez použitia VPN.

Keby som však bol veľmi paranoidný, môžem si myslieť, že v okolí niekto vytvoril falošnú BTS a donúti klienta sa na ňu pripojiť.

To je pravda, aj preto si stojím za tým, že VPN by mala byť používaná vždy, aj keď ide o mobilné pripojenie. Na druhú stranu, tento typ útoku je sofistikovanejší než vytvorenie Wi-Fi. A tu prichádzame k základom bezpečnosti – zhodnotiť, aké je riziko, že budú problémy a či je pre mňa prijateľné. Ja osobne sa útoku cez falošnú BTS až tak nebojím, preto používanie internetu alebo prenos dát na ňom pre mňa nie je až tak rizikový. No ak by som sa mal pripojiť k niečomu citlivému cez HTTP, napríklad k internetovému bankovníctvu, neurobil by som to ani cez mobil. Pretože tú sieť nepovažujem za bezpečnú a toto riziko už vnímam ako priveľké.

Vráťme sa ešte k Wi-Fi. Niekto je pripojený na legitímnu hotelovú sieť, predpokladajme, že mu hotel dá presné SSID, heslo a ďalšie údaje, ktoré útočník až tak ľahko neskopíruje. Ale v tej sieti sú aj ďalší používatelia. Pomôže vypnutie zdieľania súborov či aktivovanie verejného profilu pre danú sieť vo Windows, alebo existujú nejaké zero-day zraniteľnosti, cez ktoré sa dá dostať do PC a spraviť škodu?

Nejaké zraniteľnosti tam určite budú a teoreticky by cez ne išlo urobiť veľkú neplechu, ale v praxi opäť hodnotím riziko. Nepredpokladám, že by takýto spôsob využil útočník, ktorý bude so mnou na hoteli. Pretože toto sú útoky, ktoré používajú skúsenejší aktéri k náročnejším útokom, ktorých cieľom je vyšší zisk. Takže tohto by som sa ako bežný používateľ nebál, ak mám aktualizovaný počítač. No ak sa pripojím do Wi-Fi siete hotela a nastavím si, že je pre mňa dôveryhodná – domáca, v tej chvíli som, samozrejme, prehral.

To je amatérska chyba. Ako pootvorené dvere.

Presne tak.

Ilustračná snímka (zdroj: Shutterstock.com) fotogaléria / 4
Dôležité sú aj aktualizácie (Ilustračná snímka). Zdroj: Shutterstock‎

A ak si nastavím, že sieť je verejná, a teda nedôveryhodná?

Ak stroj nie je priebežne aktualizovaný, išlo by to často veľmi ľahko. Ak má nainštalované záplaty, vyžaduje to pomerne zložité techniky útoku, ktoré u útočníka neočakávam. Ale nič nie je stopercentné, takže ani bezpečnosť.

A ako chrániť kritické dáta pre vyššiu bezpečnosť?

Pokiaľ ide o ochranu našich dát, keď ich nemám v priečinku, ktorý na tom stroji nejakou chybou zdieľa, a z tej siete nemám povolený port 445 (SMB, Active Directory) s minimálnou autentizáciou, tak by som sa o tie dáta až tak nebál.

Ale máte pravdu. Ak by som bol zamestnanec štátu či organizácie s extrémne citlivými dátami, ku ktorým sa nikto nesmie dostať, rozhodne by som ich so sebou ani nenosil. Mal by som ich na stroji, ktorý sa v živote k Wi-Fi sieti nepripojí. A naopak, mal ešte sekundárny počítač na iné účely, ktorý sa zase nikdy nepripojí k firemnej sieti.

A čo mať ich na zašifrovanom disku a odpojiť ho pred prvým použitím Wi-Fi?

To je tiež možnosť. Ale lepšie ich nemať, hlavne ak človek navštevuje krajiny, v ktorých hrozí, že môže dôjsť k nejakému útoku. Alebo ak idem na nejakú hackerskú konferenciu, vezmem úplne iný stroj, ktorý používam počas tej konferencie a následne mu sformátujem disk a nainštalujem si ho znovu, pretože rozhodne by som so sebou nevzal počítač s dátami organizácie.

Na článku spolupracoval Martin Hodás

Diskusia 25 Príspevkov