Инфографика — чем опасны беспроводные сети с точки зрения безопасности

    Под катом — инфографика, которая едва ли открывает что-то новое для специалистов. Её основное достоинство — наглядное изображение типичных схем работы с беспроводными сетями, которые могут грозить кражей данных и другими проблемами безопасности. Там же даны и довольно очевидные правила поведения, обеспечивающие сравнительно безопасную работу с Wi-Fi.

    Хорошо подходит для распечатки и вывешивания в каком-нибудь офисе.




    Найдено здесь.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 59
    • +14
      85% пользователей понимают, что использование функции автоматического подклбючения к любой доступной сети сопряжено с риском.
      Слабо верится…
      • +37
        77% статистики берется с потолка
        • +22
          86,2% людей склонны доверять данным, содержащим дробные числа.
      • +14
        Или используйте VPN в общественных сетях. Например, есть бесплатные совсем. Но это не для рядового пользователя, к сожалению.
        • –10
          Поднимать туннель в общественных местах? Похоже на паранойю.
          • +7
            как и руки мыть перед едой?
          • +4
            Бесплатный VPN для защиты своих аккаунтов?
            • +1
              Очень точно подмечено. :)
            • 0
              Поделитесь, каким пользуетесь вы?
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  Хоть и очень редко да и согласен, что бесплатный VPN — не совсем хорошо, но это лучше, чем ничего. Не так ли? К тому же, кто вам даст гарантию, что платный VPN — такой уж защищенный и секретный? :)
                  Я пользуюсь Comodo Free VPN.
                • +2
                  Есть и для рядового, но использовать бесплатный VPN — это, на мой взгляд, не намного надежнее, чем подключаться к evil twin.
                  Можно воспользоваться Tor, например. Или платным VPN, благо они дешевы. А еще лучше, взять недорогой VPS (~5$ в месяц) и поднять на нем VPN, и пользоваться им.
                  • 0
                    В последнее время стало трудно найти недорогой VPS, на котором можно поднять VPN для повседневных нужд. Я имею в виду довольно серьезный трафик, например, просмотр youtube, скачку торентов и т.п.

                    Да и вообще стало трудно найти VPS, на котором можно VPN запустить — то модулей нужных нет, то юридические проблемы. Правда я не рассматриваю VPN, например, в США. Для безопасности в public Wi-Fi сетях это еще подходит, но, по первому запросу, они сдадут меня американским копирастам, от которых я в основном и прячусь. Но даже с учетом США, задача поиска VPS для VPN за вменяемые деньги просто превращается из нереальной в охрененно трудную.

                    Буду очень признателен, если поделитесь ссылкой на VPS хостера, который позволяет организовать VPN в стране, куда еще не добрались копирасты. А если еще и Яндекс.Деньги будет принимать — вообще идеально.
                    • 0
                      Для таких целей использую virpus.com и chicagovps.net (кстати, весьма неплох за свою цену, нормальный аптайм, отзывчивый саппорт), необходимые модули подключают по запросу. Но они в США. Дают 1TB трафика в месяц, должно хватить.
                      Раньше пользовался голландским Prefiber, но он умер (биллинг не работает больше).
                      Посмотрите вот тут. К VPS под VPN особых требований, в общем то, нет, насчет необходимых модулей можете спросить в комментариях, но по моему опыту их подключают по первому запросу.
                      • 0
                        А, с Яндекс.Деньгами все немного сложнее, но PayPal принимают все, можете заказать карту Яндекс.Денег и привязать к PayPal, получится, что платите с Яндекс.Денег.
                        • 0
                          Яндекс.Деньги это совсем необязательно. Это просто для моей паранойи. У меня уже есть симка, купленная в переходе в метро с рук и 3G-модем, купленный в Таиланде и ни разу не использованный. Этого достаточно для того, чтобы совсем не палясь завести счет на Яндекс.Деньги. А если это позволит оплатить 2-3 VPS и поднять там личную цепочку VPN-тоннелей без логов, то для моей паранойи этого будет более чем достаточно.
                          • 0
                            Оплачивайте картами, купленными с Яндекс.Денег на plati.ru. Это дороже, но, в принципе, анонимно. Оплату напрямую с карт или с MoneyBookers большинство хостеров поддерживает.
                            • 0
                              А вот это очень дельная мысль. Спасибо.
                      • 0
                        Порекламирую немного сервис prostovpn.ru
                        Делался для души и для знакомых, которым нужен vpn. Решил продавать задешево.
                      • +1
                        легче купить у домашнего прова внешний айпи и поднять vpn на роутере или сервере
                        настроил openvpn на домашнем роутере и хожу с андроида через vpn c публичных wifi точек
                        • +1
                          Точно так же делаю.
                    • +2
                      Странноватая инфографика. 110% и 130% изображены полукругами, по-моему не совсем логично и не в стиле инфографики. При этом используются одни и те же цвета для изображения разной информации.
                      • 0
                        Откуда у вас такие данные?
                        Да еще и расчет на 4 года вперёд?

                        P.S. Нарисовано довольно мило.
                        • 0
                          Вобщем-то, я нигде не сказал, что я автор, но, думаю, главный акцент можно сделать на нижнюю часть графики, без всяких прогнозов.
                          • +2
                            А по-моему нарисовано отвратительно. Я правда в дизайне и инфографике не специалист, но не нравится абсолютно.

                            P.S. А в чем принципиальная разница sniffing и sidejacking в применении к Wi-Fi сетям?
                            • 0
                              в том что в первом случае вы получаете логин/пароль в открытом виде, а во втором — только идентификатор сессии
                              • +4
                                Я почему-то считал, что sniffing — это перехват данных передаваемых по сети. А каких именно данных — на название атаки не влияет. Т.е. я могу cookie перехватить, а могу и пароль с логином и это все равно sniffing. У меня такое подозрение, что sidejacking — это зачем-то выделенный подкласс sniffing'а. Мне лично непонятно зачем.
                                • 0
                                  Разделение по времени. Sniffing здесь, видимо, означает перехват логина/пароля — данных, которые могут быть перехвачены сегодня и использованы, допустим, через неделю. А sidejacking — это перехват данных, которые можно использовать только в ограниченный период времени, но защита которых может оказаться менее очевидной разработчикам.
                                  • 0
                                    Может так и есть. Но тогда все равно это подвид sniffing'а и зачем о нем говорить отдельно — непонятно.

                                    Например, занимаюсь я sniffing'ом и тут приходит пользователь, который уже авторизован на каком-то сервисе. Логин и пароль он вводить не будет, я получу только cookie. Оппа, оказывается я sidejacking'ом занимался. А я и не знал даже.

                                    Хотя, скорее всего, разница принципиальная. Sniffing — перехват данных. Sidejacking — использование уже украденного идентификатора сессии. И никакого отношения к Wi-Fi или не Wi-Fi сетям он не имеет. Т.е. sidejacking на этой инфографике совершенно лишний и абсолютно ни к селу ни к городу.
                            • 0
                              Нарисовано совсем не информативно. Например, совсем не наглядно иллюстрируют информацию половинки кругов в самом начале. Где там 100%? Не понятно, где сейчас, а где потом.
                              Sidejacking вообще ни о чём не говорит (девушка смотрим на парня сидя в кафе).
                              Поле для пароля я узнал только со второй попытки.
                            • –1
                              По-моему, скоро придет 4г, и проблема с Wi-Fi-ем отпадет сама собой. Ну да, возникнут новые…
                              • +1
                                Вы забываете что 4G будет платным как и любая услуга у оператора, а тут идет речь о бесплатном Wi-Fi

                                Да и скоро будут появлятся новые устройства с новым стандартом Wi-Fi с более большой скоростью и бОльшим радиусом действия
                                • 0
                                  Насчет платности 4G я помню. Тут дело в другом: выбирая между потенциально опасным Wi-Fi и платным, но менее опасным 4г для определенных целей (а, возможно, и для большинства) я выберу именно 4г. Даже сейчас для моего мобильного серфинга мне в общем-то хватает и скорости 3г, и цена меня устраивает. Не хватает только покрытия. Именно это я и имел в виду.

                                  Это как выбор между бомбилой, официальным такси и путешествий автостопом.
                                  • 0
                                    Один хрен на девайсе стоит анлим. Я так не юзаю бесплатный вайфай в кафешках и прочих местах, т.к. в 99% есть 3Г покрытие которое рвет по скорости этот бесплатный вайфай как тузик тряпку. А раз это анлим, то я один фиг за него уже заплатил. Так нафига мне нужен вайфай?
                                    • 0
                                      Плохой у вас Wi-Fi значит общественный, да и весьма странно что у вас 3G шустрее чем в Москве (по вашим словам работает)

                                      Я о скорости 3G в Москве и Wi-Fi в макдональдсе
                                      • 0
                                        мегафоновский 3Г мне обычно выдает 2-5 мбит/с, макдоналдский (и прочий общественный) wi-fi выдает совсем непредсказуемые значения от 32 кбит/с до 2-3 мбит/с. А еще частенько и лимит по сессиям (30 минут или типа того) и трафику (10 мегабайт, например). Зачем оно нужно?
                                        Публичным вайфаем пользуюсь только в роуминге, и то, в основном зарубежном. Да и то, пока не прикуплю локальную симку с 3G.
                                        • 0
                                          У нас по всему городу почти нормальное покрытие HSPDA со скоростью прокачки под 1-2 мегабайта в секунду. А Вайфай обычно зверски уныл, повсеместно запаролен и вообще редко встречается.
                                  • –3
                                    69% людей в любом предложении найдут скрытый эротический смысл.
                                    • 0
                                      Я когда-то по этому поводу статью писал: ko.com.ua/analiz_ugroz_dlya_besprovodnyh_setej_49014
                                      • 0
                                        А есть новые стандарты WiFi с уже защищённым каналом?

                                        А то ведь похоже на то, как раньше передавали пейджерные данные по незащищённому каналу. Помню, используя tv-тюнер и программку, можно было читать все эти сообщения =)

                                        Неужели не могли сразу сделать wifi защищённым?
                                        • 0
                                          А шифрование WEP/WPA — это не защита? Да и стандарт IEEE 802.11i принят еще в 2004 году.
                                          • 0
                                            Пожалуйста, не путайте WEP с WPA.
                                          • 0
                                            Есть, но речь о публичных бесплатных wi-fi, которые как правило незащищены.
                                            • 0
                                              Что печально. И потихоньку отходит в прошлое.
                                              • +1
                                                Тут встает вопрос удобства — мне проще озаботиться защитой, чем ловить персонал заведения и выспрашивать ключ от wi-fi.
                                                • 0
                                                  VPN никто не отменял. Он полезен и удобен. Только неудобно пользоваться им постоянно. Поэтому хочется, чтобы в большинстве мест с бесплатным Wi-Fi не было нужды его использовать.
                                                  А пароль можно писать на чеке, можно вывесить на стене большими буквами и еще куча способов донести его до посетителя. Я уже видел немало мест, в которых бесплатный Wi-Fi был с паролем. И никаких проблем у меня это не вызвало.
                                                  • +1
                                                    А вы считаете, что в сети «с паролем» другой пользователь сети «с паролем» ваши данные не может dump'нуть? Среда-то общая.
                                                    • +1
                                                      Ну вообще говоря протоколы шифрования Wi-Fi создаются в том числе и для того, чтобы авторизованные пользователи не могли перехватить трафик друг друга.

                                                      Другое дело, что в WPA2 найдена уязвимость, которая позволяет авторизованному пользователю перехватывать трафик других пользователей сети. Но это именно уязвимость, а не следствие того, что «среда-то общая».
                                                      • 0
                                                        Интересно, какая-же? Если вы про Hole196 — это много маркетинга из ничего.
                                                        • +1
                                                          Про нее конечно. Насколько я знаю, маркетинг там может и был, но провести ARP spoofing она позволяет.

                                                          В любом случае это не меняет основной мысли моего комментария — шифрованная беспроводная сеть не позволяет никому перехватывать ваш трафик. Если позволяет — то это следствие уязвимости, а не фундаментальной невозможности обеспечить приватность в беспроводной сети.
                                                          • +1
                                                            Я когда-то на это тему писал тут: ko.com.ua/wired_vs_wireless_firewall_56582
                                                            При правильной настройке беспроводного оборудования — никакого ARP-спуфинга не случится, т.к. ARP в беспроводной сети по-сути не нужен (исключение — всякие VMWare в режиме бриджа, но это их проблемы). Ethernet точно так же уязвим к ARP-спуфингу, и ничего — живут люди без WIPS и не мрут.

                                                            Шифрованная сеть, на самом деле, не панацея: для того-же WPA2-PSK можно записать трафик в файл (главное, схватить самое начало, где EAPoL Handshake), потом выкрасть каким-нибудь образом PSK — и расшифровать.

                                                            Но занятие это гесморройное, так что в целом с вами согласен.
                                                    • 0
                                                      Спецификации не читал, но несколько раз видел утверждения, что в WPA сеансовые ключи индивидуальны для каждого подключенного устройства.
                                                      • 0
                                                        индивидуальные (unicast) — да.
                                                        броадкастные, по очевидной причине — нет,
                                                        но тоже подвержены ротации.

                                                        Вся шумиха вокруг Hole 196 была из-за того, что AirTight прочитала стандарт и на странице 196 увидела, что броадкастные ключи для всех одинаковы! О, Боже! Это ж авторизованный юзер X может читать все броадкасты и даже слать свои всем остальным юзерам! Срочно купите WIPS от AirTight — мы решим эту проблему!
                                                        О том, что это лечится нормальным файрволлом на точке доступа (http://ko.com.ua/wired_vs_wireless_firewall_56582), предпочли умолчать. Справедливости ради, некоторые «ведущие» вендоры, типа Циски, таковыми файрволлами не обладают по сей день.
                                                  • 0
                                                    От EvilTwin/Honeypot из инфографики это как раз не спасает. Зная пароль, можно поднять свою точку с таким же SSID, паролем, но на другом канале и с другим BSSID. Суть инфографики, как я её понял — слишком много людей доверяют Wi-Fi, стоит только применить хоть какие-то меры защиты, несмотря на то, что этих мер явно недостаточно.
                                                    • 0
                                                      Все верно, от EvilTwin не спасет. Кроме того, сличать BSSID никто в здравом уме не будет. Но если я увижу две точки с одинаковым SSID, я как минимум что-нибудь заподозрю.

                                                      А, вообще говоря, вы также не застрахованы от недобросовестных админов и у настоящей Wi-Fi точки. Так что чужому Wi-Fi доверять вообще нельзя.

                                                      А если идти еще дальше — вы также не можете быть уверены в добросовестности вашего домашнего провайдера. И в добросовестности провайдера VPN.

                                                      Получается, что все в мире следят за мной и единственный выход — SSL.
                                                      • 0
                                                        Не увидите — узкополосная глушилка на канале «правильной точки», Evil Twin на другом канале, вот и все дела.
                                                        Единственный реальный выход — аутентификация точки (сертификаты и т.д.), но не на хотспотах (разве что у вас хотспот мобильного оператора для 3G Offliad'а и он вписал свой сертификат в телефон, но я такого продвинутого поведения со стороны операторов пока не видел).
                                          • +1
                                            ssh -D 8080 trusted_server, после этого в настройках браузера socks-proxy на localhost:8080, всё, проблема решена.

                                            Для особо задолбанных wifi — повесить ssh на сервере на 443ий порт, который пропускают.

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.