Пользователь
0,0
рейтинг
25 июня 2012 в 17:41

Разработка → Инфографика — чем опасны беспроводные сети с точки зрения безопасности

Под катом — инфографика, которая едва ли открывает что-то новое для специалистов. Её основное достоинство — наглядное изображение типичных схем работы с беспроводными сетями, которые могут грозить кражей данных и другими проблемами безопасности. Там же даны и довольно очевидные правила поведения, обеспечивающие сравнительно безопасную работу с Wi-Fi.

Хорошо подходит для распечатки и вывешивания в каком-нибудь офисе.




Найдено здесь.
Евгений @jeston
карма
80,2
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (59)

  • +14
    85% пользователей понимают, что использование функции автоматического подклбючения к любой доступной сети сопряжено с риском.
    Слабо верится…
    • +37
      77% статистики берется с потолка
      • +22
        86,2% людей склонны доверять данным, содержащим дробные числа.
  • +14
    Или используйте VPN в общественных сетях. Например, есть бесплатные совсем. Но это не для рядового пользователя, к сожалению.
    • –10
      Поднимать туннель в общественных местах? Похоже на паранойю.
      • +7
        как и руки мыть перед едой?
    • +4
      Бесплатный VPN для защиты своих аккаунтов?
      • +1
        Очень точно подмечено. :)
    • 0
      Поделитесь, каким пользуетесь вы?
      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Хоть и очень редко да и согласен, что бесплатный VPN — не совсем хорошо, но это лучше, чем ничего. Не так ли? К тому же, кто вам даст гарантию, что платный VPN — такой уж защищенный и секретный? :)
        Я пользуюсь Comodo Free VPN.
    • +2
      Есть и для рядового, но использовать бесплатный VPN — это, на мой взгляд, не намного надежнее, чем подключаться к evil twin.
      Можно воспользоваться Tor, например. Или платным VPN, благо они дешевы. А еще лучше, взять недорогой VPS (~5$ в месяц) и поднять на нем VPN, и пользоваться им.
      • 0
        В последнее время стало трудно найти недорогой VPS, на котором можно поднять VPN для повседневных нужд. Я имею в виду довольно серьезный трафик, например, просмотр youtube, скачку торентов и т.п.

        Да и вообще стало трудно найти VPS, на котором можно VPN запустить — то модулей нужных нет, то юридические проблемы. Правда я не рассматриваю VPN, например, в США. Для безопасности в public Wi-Fi сетях это еще подходит, но, по первому запросу, они сдадут меня американским копирастам, от которых я в основном и прячусь. Но даже с учетом США, задача поиска VPS для VPN за вменяемые деньги просто превращается из нереальной в охрененно трудную.

        Буду очень признателен, если поделитесь ссылкой на VPS хостера, который позволяет организовать VPN в стране, куда еще не добрались копирасты. А если еще и Яндекс.Деньги будет принимать — вообще идеально.
        • 0
          Для таких целей использую virpus.com и chicagovps.net (кстати, весьма неплох за свою цену, нормальный аптайм, отзывчивый саппорт), необходимые модули подключают по запросу. Но они в США. Дают 1TB трафика в месяц, должно хватить.
          Раньше пользовался голландским Prefiber, но он умер (биллинг не работает больше).
          Посмотрите вот тут. К VPS под VPN особых требований, в общем то, нет, насчет необходимых модулей можете спросить в комментариях, но по моему опыту их подключают по первому запросу.
          • 0
            А, с Яндекс.Деньгами все немного сложнее, но PayPal принимают все, можете заказать карту Яндекс.Денег и привязать к PayPal, получится, что платите с Яндекс.Денег.
            • 0
              Яндекс.Деньги это совсем необязательно. Это просто для моей паранойи. У меня уже есть симка, купленная в переходе в метро с рук и 3G-модем, купленный в Таиланде и ни разу не использованный. Этого достаточно для того, чтобы совсем не палясь завести счет на Яндекс.Деньги. А если это позволит оплатить 2-3 VPS и поднять там личную цепочку VPN-тоннелей без логов, то для моей паранойи этого будет более чем достаточно.
              • 0
                Оплачивайте картами, купленными с Яндекс.Денег на plati.ru. Это дороже, но, в принципе, анонимно. Оплату напрямую с карт или с MoneyBookers большинство хостеров поддерживает.
                • 0
                  А вот это очень дельная мысль. Спасибо.
        • 0
          Порекламирую немного сервис prostovpn.ru
          Делался для души и для знакомых, которым нужен vpn. Решил продавать задешево.
      • +1
        легче купить у домашнего прова внешний айпи и поднять vpn на роутере или сервере
        настроил openvpn на домашнем роутере и хожу с андроида через vpn c публичных wifi точек
        • +1
          Точно так же делаю.
  • +2
    Странноватая инфографика. 110% и 130% изображены полукругами, по-моему не совсем логично и не в стиле инфографики. При этом используются одни и те же цвета для изображения разной информации.
  • 0
    Откуда у вас такие данные?
    Да еще и расчет на 4 года вперёд?

    P.S. Нарисовано довольно мило.
    • 0
      Вобщем-то, я нигде не сказал, что я автор, но, думаю, главный акцент можно сделать на нижнюю часть графики, без всяких прогнозов.
    • +2
      А по-моему нарисовано отвратительно. Я правда в дизайне и инфографике не специалист, но не нравится абсолютно.

      P.S. А в чем принципиальная разница sniffing и sidejacking в применении к Wi-Fi сетям?
      • 0
        в том что в первом случае вы получаете логин/пароль в открытом виде, а во втором — только идентификатор сессии
        • +4
          Я почему-то считал, что sniffing — это перехват данных передаваемых по сети. А каких именно данных — на название атаки не влияет. Т.е. я могу cookie перехватить, а могу и пароль с логином и это все равно sniffing. У меня такое подозрение, что sidejacking — это зачем-то выделенный подкласс sniffing'а. Мне лично непонятно зачем.
          • 0
            Разделение по времени. Sniffing здесь, видимо, означает перехват логина/пароля — данных, которые могут быть перехвачены сегодня и использованы, допустим, через неделю. А sidejacking — это перехват данных, которые можно использовать только в ограниченный период времени, но защита которых может оказаться менее очевидной разработчикам.
            • 0
              Может так и есть. Но тогда все равно это подвид sniffing'а и зачем о нем говорить отдельно — непонятно.

              Например, занимаюсь я sniffing'ом и тут приходит пользователь, который уже авторизован на каком-то сервисе. Логин и пароль он вводить не будет, я получу только cookie. Оппа, оказывается я sidejacking'ом занимался. А я и не знал даже.

              Хотя, скорее всего, разница принципиальная. Sniffing — перехват данных. Sidejacking — использование уже украденного идентификатора сессии. И никакого отношения к Wi-Fi или не Wi-Fi сетям он не имеет. Т.е. sidejacking на этой инфографике совершенно лишний и абсолютно ни к селу ни к городу.
    • 0
      Нарисовано совсем не информативно. Например, совсем не наглядно иллюстрируют информацию половинки кругов в самом начале. Где там 100%? Не понятно, где сейчас, а где потом.
      Sidejacking вообще ни о чём не говорит (девушка смотрим на парня сидя в кафе).
      Поле для пароля я узнал только со второй попытки.
  • –1
    По-моему, скоро придет 4г, и проблема с Wi-Fi-ем отпадет сама собой. Ну да, возникнут новые…
    • +1
      Вы забываете что 4G будет платным как и любая услуга у оператора, а тут идет речь о бесплатном Wi-Fi

      Да и скоро будут появлятся новые устройства с новым стандартом Wi-Fi с более большой скоростью и бОльшим радиусом действия
      • 0
        Насчет платности 4G я помню. Тут дело в другом: выбирая между потенциально опасным Wi-Fi и платным, но менее опасным 4г для определенных целей (а, возможно, и для большинства) я выберу именно 4г. Даже сейчас для моего мобильного серфинга мне в общем-то хватает и скорости 3г, и цена меня устраивает. Не хватает только покрытия. Именно это я и имел в виду.

        Это как выбор между бомбилой, официальным такси и путешествий автостопом.
      • 0
        Один хрен на девайсе стоит анлим. Я так не юзаю бесплатный вайфай в кафешках и прочих местах, т.к. в 99% есть 3Г покрытие которое рвет по скорости этот бесплатный вайфай как тузик тряпку. А раз это анлим, то я один фиг за него уже заплатил. Так нафига мне нужен вайфай?
        • 0
          Плохой у вас Wi-Fi значит общественный, да и весьма странно что у вас 3G шустрее чем в Москве (по вашим словам работает)

          Я о скорости 3G в Москве и Wi-Fi в макдональдсе
          • 0
            мегафоновский 3Г мне обычно выдает 2-5 мбит/с, макдоналдский (и прочий общественный) wi-fi выдает совсем непредсказуемые значения от 32 кбит/с до 2-3 мбит/с. А еще частенько и лимит по сессиям (30 минут или типа того) и трафику (10 мегабайт, например). Зачем оно нужно?
            Публичным вайфаем пользуюсь только в роуминге, и то, в основном зарубежном. Да и то, пока не прикуплю локальную симку с 3G.
          • 0
            У нас по всему городу почти нормальное покрытие HSPDA со скоростью прокачки под 1-2 мегабайта в секунду. А Вайфай обычно зверски уныл, повсеместно запаролен и вообще редко встречается.
  • –3
    69% людей в любом предложении найдут скрытый эротический смысл.
  • 0
    Я когда-то по этому поводу статью писал: ko.com.ua/analiz_ugroz_dlya_besprovodnyh_setej_49014
  • 0
    А есть новые стандарты WiFi с уже защищённым каналом?

    А то ведь похоже на то, как раньше передавали пейджерные данные по незащищённому каналу. Помню, используя tv-тюнер и программку, можно было читать все эти сообщения =)

    Неужели не могли сразу сделать wifi защищённым?
    • 0
      А шифрование WEP/WPA — это не защита? Да и стандарт IEEE 802.11i принят еще в 2004 году.
      • 0
        Пожалуйста, не путайте WEP с WPA.
    • 0
      Есть, но речь о публичных бесплатных wi-fi, которые как правило незащищены.
      • 0
        Что печально. И потихоньку отходит в прошлое.
        • +1
          Тут встает вопрос удобства — мне проще озаботиться защитой, чем ловить персонал заведения и выспрашивать ключ от wi-fi.
          • 0
            VPN никто не отменял. Он полезен и удобен. Только неудобно пользоваться им постоянно. Поэтому хочется, чтобы в большинстве мест с бесплатным Wi-Fi не было нужды его использовать.
            А пароль можно писать на чеке, можно вывесить на стене большими буквами и еще куча способов донести его до посетителя. Я уже видел немало мест, в которых бесплатный Wi-Fi был с паролем. И никаких проблем у меня это не вызвало.
            • +1
              А вы считаете, что в сети «с паролем» другой пользователь сети «с паролем» ваши данные не может dump'нуть? Среда-то общая.
              • +1
                Ну вообще говоря протоколы шифрования Wi-Fi создаются в том числе и для того, чтобы авторизованные пользователи не могли перехватить трафик друг друга.

                Другое дело, что в WPA2 найдена уязвимость, которая позволяет авторизованному пользователю перехватывать трафик других пользователей сети. Но это именно уязвимость, а не следствие того, что «среда-то общая».
                • 0
                  Интересно, какая-же? Если вы про Hole196 — это много маркетинга из ничего.
                  • +1
                    Про нее конечно. Насколько я знаю, маркетинг там может и был, но провести ARP spoofing она позволяет.

                    В любом случае это не меняет основной мысли моего комментария — шифрованная беспроводная сеть не позволяет никому перехватывать ваш трафик. Если позволяет — то это следствие уязвимости, а не фундаментальной невозможности обеспечить приватность в беспроводной сети.
                    • +1
                      Я когда-то на это тему писал тут: ko.com.ua/wired_vs_wireless_firewall_56582
                      При правильной настройке беспроводного оборудования — никакого ARP-спуфинга не случится, т.к. ARP в беспроводной сети по-сути не нужен (исключение — всякие VMWare в режиме бриджа, но это их проблемы). Ethernet точно так же уязвим к ARP-спуфингу, и ничего — живут люди без WIPS и не мрут.

                      Шифрованная сеть, на самом деле, не панацея: для того-же WPA2-PSK можно записать трафик в файл (главное, схватить самое начало, где EAPoL Handshake), потом выкрасть каким-нибудь образом PSK — и расшифровать.

                      Но занятие это гесморройное, так что в целом с вами согласен.
              • 0
                Спецификации не читал, но несколько раз видел утверждения, что в WPA сеансовые ключи индивидуальны для каждого подключенного устройства.
                • 0
                  индивидуальные (unicast) — да.
                  броадкастные, по очевидной причине — нет,
                  но тоже подвержены ротации.

                  Вся шумиха вокруг Hole 196 была из-за того, что AirTight прочитала стандарт и на странице 196 увидела, что броадкастные ключи для всех одинаковы! О, Боже! Это ж авторизованный юзер X может читать все броадкасты и даже слать свои всем остальным юзерам! Срочно купите WIPS от AirTight — мы решим эту проблему!
                  О том, что это лечится нормальным файрволлом на точке доступа (http://ko.com.ua/wired_vs_wireless_firewall_56582), предпочли умолчать. Справедливости ради, некоторые «ведущие» вендоры, типа Циски, таковыми файрволлами не обладают по сей день.
            • 0
              От EvilTwin/Honeypot из инфографики это как раз не спасает. Зная пароль, можно поднять свою точку с таким же SSID, паролем, но на другом канале и с другим BSSID. Суть инфографики, как я её понял — слишком много людей доверяют Wi-Fi, стоит только применить хоть какие-то меры защиты, несмотря на то, что этих мер явно недостаточно.
              • 0
                Все верно, от EvilTwin не спасет. Кроме того, сличать BSSID никто в здравом уме не будет. Но если я увижу две точки с одинаковым SSID, я как минимум что-нибудь заподозрю.

                А, вообще говоря, вы также не застрахованы от недобросовестных админов и у настоящей Wi-Fi точки. Так что чужому Wi-Fi доверять вообще нельзя.

                А если идти еще дальше — вы также не можете быть уверены в добросовестности вашего домашнего провайдера. И в добросовестности провайдера VPN.

                Получается, что все в мире следят за мной и единственный выход — SSL.
                • 0
                  Не увидите — узкополосная глушилка на канале «правильной точки», Evil Twin на другом канале, вот и все дела.
                  Единственный реальный выход — аутентификация точки (сертификаты и т.д.), но не на хотспотах (разве что у вас хотспот мобильного оператора для 3G Offliad'а и он вписал свой сертификат в телефон, но я такого продвинутого поведения со стороны операторов пока не видел).
  • +1
    ssh -D 8080 trusted_server, после этого в настройках браузера socks-proxy на localhost:8080, всё, проблема решена.

    Для особо задолбанных wifi — повесить ssh на сервере на 443ий порт, который пропускают.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.