Czy publiczne Wi-Fi jest bezpieczne?
Na to pytanie trudno jest odpowiedzieć jednoznacznie. Jeśli jednak miałbym wybrać odpowiedź, która będzie najbliższa prawdy dla przeciętnego użytkownika Internetu, to rzekłbym „nie, nie jest bezpieczne”. A na pewno nie na tyle bezpieczne, byśmy beztrosko mogli z niego korzystać.
Piszę to mając świadomość, iż koledzy po fachu czasami są innego zdania. Często słyszy się, że przecież dzisiaj cały ruch idzie po HTTPS, jest więc szyfrowany i niemożliwy do podsłuchania lub zmanipulowania. Jest jednak kilka aspektów, które warto wziąć pod uwagę omawiając bezpieczeństwo publicznych sieci Wi-Fi. I nimi chciałbym się zająć w niniejszym tekście.
Bezpieczeństwo publicznych sieci Wi-Fi a szyfrowanie HTTPS
Uogólnieniem i to dużym jest twierdzenie, że dziś cały ruch szyfruje się za pomocą protokołu HTTPS. Jest to być może punkt widzenia specjalistów od bezpieczeństwa, którzy nie wyobrażają sobie by mogło być inaczej. Konfiguracją usług sieciowych nie zawsze jednak zajmują się fachowcy znający się na bezpieczeństwie. W jedną chwilę można znaleźć w Internecie całą masę formularzy logowania dostępnych po http. Poniżej kilka przykładów (celowo nie linkuję):
- http://spjvs.uwm.edu.pl/index/login
- http://www.wisemed.cn/demo/index.php/index/login_c.html
- http://www.twobirdoutdoors.com/login
- http://www.testyou.in/Login.aspx
- http://lifeclivut.treedb.eu/login.php
- http://alocs.com/auth/login.php
- http://klienci.kapured.pl/
- http://phone.agentsupport.net/
Mamy więc przedstawicieli mniejszego i większego biznesu, e-commerce, służby zdrowia, edukacji. Zarówno krajowych jak i zagranicznych. Ich znalezienie zajęło mi dosłownie chwilę, a to tylko kilka pierwszych pozycji z wyszukiwania, które zwróciło miliony wyników.
Użytkownicy tych wszystkich systemów mogliby się czuć zawiedzeni po tym gdy skorzystali z publicznej sieci słysząc, że przecież jest bezpieczna.
Nie samym WWW Internet żyje
Załóżmy jednak, że nasz użytkownik jest nieco bardziej rozgarnięty i wie, że nie powinien się logować na stronie bez „kłódeczki”. Czy wówczas możemy założyć, że publiczna sieć Wi-Fi będzie bezpieczna? Niestety nie. Pamiętajmy, że Internet to również cała masa innych niż www usług i protokołów sieciowych. Niektórych z nich nie jesteśmy nawet świadomi. Na naszych komputerach i smartfonach zainstalowanych jest sporo usług i aplikacji, które w tle komunikują się z chmurą, synchronizują, wykonują kopie bezpieczeństwa itd. Czy przeciętny użytkownik komputera lub telefonu może z całą pewnością stwierdzić, że wszystkie te usługi komunikują się w bezpieczny sposób? Zdecydowanie nie. A jeśli komuś wydaje się, że jest inaczej to proponuję następujący test:
- uruchom polecenie 'netstat -p tcp’ oraz 'netstat -p udp’ (w przypadku Linuksa 'netstat -t -u’)
- przejrzyj listę aktywnych sesji oraz otwartych portów tcp/udp
- spróbuj odpowiedzieć na pytanie z jakich aplikacji one pochodzą i czy masz pewność, że są szyfrowane
Nawet jeśli komuś się to uda (gratuluję) to nieuzasadnionym byłoby zakładać, że tak samo będzie w przypadku każdego użytkownika Internetu.
Wielokrotnie spotykam firmy, które w ramach współpracy ze swoimi kontrahentami wymieniają się danymi za pomocą zwykłego FTP-a. Co gdy pracownik takiej firmy pojedzie w delegację i popracuje trochę na hotelowym Wi-Fi? Przecież przeczytał w Internecie, że to bezpieczne…
Załóżmy jednak, że mamy tę idealną sytuację – jesteśmy pewni, że wszystkie używane na naszym urządzeniu usługi komunikują się wyłącznie w bezpieczny, szyfrowany sposób. Czy wówczas możemy założyć, że korzystanie z publicznego Wi-Fi jest bezpieczne? Nie. Dlaczego? Ponieważ…
To nie publiczne sieci są zagrożeniem, a pojawiający się w nich intruzi
Sieć sama z siebie krzywdy nam oczywiście nie zrobi. Ale pamiętajmy, że Wi-Fi jest medium, do którego dostęp może mieć każdy, kto znajdzie się w jego zasięgu. I nawet jeśli nie jest to sieć typu open, to w kwestii bezpieczeństwa niewiele zmienia fakt, że będzie ona zabezpieczona hasłem. W końcu jeśli to sieć publiczna to hasło będzie gdzieś udostępnione.
Jeśli więc do takiej sieci dostęp może mieć ktoś o złych zamiarach, czego wykluczyć nie możemy, to pod uwagę musimy wziąć również popularne ataki, które może on zastosować. A tutaj intruzi mają spore pole do popisu. Nawet haker amator będzie w stanie przeprowadzić atak typu man in the middle zatruwając tablice ARP użytkowników sieci lub wykorzystując mechanizm WPAD.
No dobra, ale co komuś da przechwycenie ruchu, który jest zaszyfrowany? To już zależy od jego kreatywności i znajomości charakterystyki różnych protokołów. Może któraś z ofiar będzie używała do połączenia z serwerem pocztowym metody STARTTLS (przecież to bezpieczne, szyfrowane połączenie). Jeśli tak, to 1:0 dla intruza, bo STARTTLS nie jest tak bezpieczne jak by się mogło wydawać.
Przy odrobinie szczęścia znajdzie się zapewne odsetek użytkowników, którzy zaakceptują w połączeniu podmieniony, lewy certyfikat (bo admin w firmie pokazał jak dodać wyjątek łącząc się z jakimś lokalnym systemem).
Kolejne zagrożenie, które należy wziąć pod uwagę to możliwośc fałszowania odpowiedzi z serwerów DNS. Intruz może nas przekierować do fałszywego Faecbooka, Gmiala czy banku Milleinum. Będzie nawet kłódeczka w pasku przeglądarki bo pewnie część osób nie zauważyła literówek w słowach Facebook, Gmail i Millenium w poprzednim zdaniu.
Mało? To może warto dodać jeszcze atak typu responder i przechwycenie hashy NTLM z Windowsów? Albo fałszywy captive portal wymagający logowania przez FB?
Ale to nadal nie wszystkie zagrożenia.
Bezpieczeństwo to nie tylko kwestia bezpiecznego ruchu
Zakładając, że znajdziemy się w jednej sieci z intruzem musimy wziąć pod uwagę również inne zagrożenia niż tylko przechwycenie ruchu sieciowego. Co z podatnościami w systemach i aplikacjach? Co jeśli do publicznej sieci dołączymy urządzenie, które z jakiegoś powodu nie miało zaaplikowanej którejś z krytycznych aktualizacji? W firmie bronił go firewall, ale gdy znajdzie się w kawiarni, w której ktoś przeprowadza niezamówione testy bezpieczeństwa sprawy mogą się skomplikować.
A może na komputerze uruchomiona jest usługa zdalnego pulpitu? A polityka AD wymusza co miesiąc nowe hasło składające się z dużych i małych liter, cyfr i znaków specjalnych (Grazynka1! , Wiosna2022! itd.). To również warto wziąć pod uwagę.
Czy publiczne Wi-Fi jest bezpieczne? – Wnioski
Bezpieczeństwo publicznych sieci Wi-Fi należy moim zdaniem rozważać w kontekście wszystkich zagrożeń, które mogą się w takich sieciach pojawić. Jeśli do swojej firmowej bądź domowej sieci nie wpuścilibyśmy przypadkowej osoby to dlaczego za bezpieczną mielibyśmy uważać pracę z przypadkowymi osobami w sieci publicznej?
Można oczywiście optymistycznie założyć, że prawdopodobieństwo trafienia na osobę o złych zamiarach jest niewielkie. Muszę Was jednak zmartwić. Publiczne sieci Wi-Fi to poligon doświadczalny dla domorosłych hakerów. A w dużym hotelu nietrudno jest trafić np. na pentestera, który podczas delegacji rozwija swoje umiejętności. Przy odrobinie szczęścia możecie nawet trafić na wojny hakerów 🙂 – zerknijcie na poniższy wpis pochodzący z profilu FB Piotrka Koniecznego z Niebezpiecznika.
Biorąc pod uwagę to wszystko nie mógłbym twierdząco odpowiedzieć na pytanie czy publiczne Wi-Fi jest bezpieczne. Dlaczego więc takie opinie się pojawiają? Prawdopodobnie wynika to z faktu, że część osób rozważa to w kontekście tylko najbardziej oczywistych zagrożeń (np. podsłuchania ruchu HTTP). Albo ocenia bezpieczeństwo dzisiejszych sieci przez pryzmat tego, co było kiedyś. Tutaj rzeczywiście nastąpił duży progres bo proste podsłuchiwanie haseł czy przechwytywanie ciasteczek i kluczy sesyjnych nie jest już możliwe. Nadal jednak intruz, który wie co robić będzie w stanie zaszkodzić nieświadomym użytkownikom takiej sieci.
A może zanim komuś doradzimy warto przeprowadzić prostą analizę ryzyka? Prawdopodobieństwo wystąpienia zagrożenia nie jest znikome. Rzekłbym nawet, że jest znaczne (choć w dużej mierze zależne od okoliczności – konfiguracja urządzenia, aktualizacje, świadomość użytkownika). Skutki jego wystąpienia zależą m.in. od krytyczności skompromitowanych danych, ale mogą być co najmniej znaczące. Ryzyko (prawdopodobieństwo pomnożone przez skutki) jest zatem zauważalne. Mamy do wyboru dwie drogi: zaakceptować ryzyko i powiedzieć użytkownikom, że mogą spokojnie korzystać z publicznych sieci Wi-Fi lub zminimalizować ryzyko sugerując by tych sieci unikali. Drugie podejście mało, że jest bezpieczniejsze to nie wymaga wielkich nakładów finansowych. Dzisiaj nawet w tanich abonamentach telefonii komórkowej dostępne są pakiety Internetu.
A co mogę zrobić by być bezpieczniejszym korzystając z publicznego Wi-Fi?
Jeśli już nie mamy wyjścia i z publicznego Wi-Fi musimy skorzystać, to sugerowałbym następujące kroki:
- Jeśli to możliwe skorzystajmy z VPN-a. W ten sposób zaszyfrujemy całość komunikacji i utrudnimy intruzowi ingerencję w nasz ruch sieciowy. Oczywiście ten ruch i tak na drugim końcu tunelu zostanie rozszyfrowany, ale można założyć, że brama VPN pracuje w nieco bezpieczniejszym i mniej dostępnym dla przypadkowych intruzów środowisku. Jeśli korzystamy z VPN-a firmowego, to warto się zawczasu dowiedzieć, czy szyfruje on całość ruchu wychodzącego do Internetu z naszego komputera, czy wyłącznie połączenia z systemami firmowymi.
- Aby uniknąć manipulacji na poziomie zapytań DNS warto się przyjrzeć mechanizmowi DNS over HTTPS (DoH). Obsługuje go każda z popularnych przeglądarek internetowych.
- Przed połączeniem z publiczną siecią Wi-Fi warto wyłączyć wszystkie aplikacje i usługi, z których nie musimy korzystać, a które mogą się w jakiś sposób komunikować z siecią.
- Warto (i to zawsze) upewnić się, że korzystamy ze zaktualizowanego systemu i najnowszej wersji przeglądarki
Na koniec jeszcze jedno ostrzeżenie. Pamiętajcie, że z siecią Wi-Fi, w której występuje zagrożenie możecie się również połączyć w sposób niekontrolowany. Więcej na ten temat przeczytacie w tekście WiFi Pineapple – złowrogi access point.
Jeśli chcielibyście coś dodać od siebie – zachęcam do komentowania. Poniżej natomiast możecie obejrzeć film, w którym od 36 minuty prezentuję w jaki sposób korzystając ze wspomnianych w artykule ataków (MITM ARP poisoning + DNS spoofing) intruz może przekierować użytkownika publicznej sieci do podstawionego formularza phishingowego, nawet jeśli docelowa strona jest serwowana po HTTPS:
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
Warto by w końcowych radach dodać:
Łącz się do internetu przez tethering czyli wifi hotspot na smartfonie
To miałem na myśli pisząc kawałek wyżej „Dzisiaj nawet w tanich abonamentach telefonii komórkowej dostępne są pakiety Internetu.”