Идея для этой статьи родилась у меня во время отдыха в египетском отеле, который входит в крупную международную сеть. На всей его огромной территории для гостей был организован бесплатный Wi-Fi, причем для подключения не требовалось никакого пароля. Как специалист по информационной безопасности, я задумалась: насколько это безопасно? И законно ли? Конечно, это очень удобно для гостей. Но какие риски при этом удобстве возникают для этих же гостей?
В этой статье я хочу поделиться своими размышлениями и разобрать эту ситуацию подробнее: какие угрозы несет такая организация доступа, что говорит об этом законодательство, какие технологии могут компенсировать отсутствие пароля и, самое главное, как обычному пользователю защитить свои данные в таких условиях.
Статья будет посвящена альтернативным способам защиты, исключая VPN, так как тема использования VPN в современных реалиях имеет ряд правовых ограничений.
Название отеля я заменю на условное «Grand Hotel». Все совпадения случайны.
1. Особенности «аутентификации без пароля» и «открытых сетей»
В первую очередь хочу пояснить разницу, чтобы не возникло сомнений и путаницы:
Аутентификация без пароля – это когда после подключения требуется подтвердить, что вы гость (например, ввести номер комнаты или SMS-код). Это нужно, чтобы ограничить доступ только для гостей и соблюсти требования законов.
Открытая сеть – это когда можно подключиться сразу без пароля и без подтверждения.
В моем отеле было как раз вот так. Название сети носило имя отеля «Grand_Hotel». Интернет был доступен на всей огромной территории отеля.
Первый вариант обычно реализуется на Captive Portal ("Портал перехвата") – это технология принудительного перенаправления на страницу аутентификации/согласия при подключении к публичному Wi-Fi.
Вот примеры того, что может встретиться на Captive Portal:
Тип требования |
Примеры |
Цель отеля |
Идентификация |
Номер комнаты + фамилия |
Подтвердить, что вы гость этого отеля |
Верификация |
Ввод SMS-кода |
Собрать номер телефона (требование законодательства в некоторых странах) |
Согласие |
Галочка "Я принимаю правила" |
Фиксация согласия |
Оплата |
Ввод данных карты |
Платный доступ (в бизнес-залах) |
Реклама |
Просмотр промо-ролика |
Монетизация |
2. Риски для пользователей
Расскажу какие риски это потенциально несет пользователям.
Перехват трафика (Sniffing): процесс «прослушивания» данных в локальной сети с помощью специального ПО. Атака возможна, когда трафик не зашифрован: в сетях без пароля или с устаревшим протоколом WEP. Под угрозой оказываются логины и пароли с HTTP-сайтов, переписка из мессенджеров без сквозного шифрования, история посещений, файлы cookie и другие данные.
Атака "Человек посередине" (Man-in-the-Middle, MITM): злоумышленник перехватывает обмен данными между устройством и веб-сайтом или приложением, перенаправляет пользователя на поддельные сайты (банки, соцсети, почта) или внедряет вредоносный код в легитимные страницы. Он может просматривать, изменять или даже красть информацию, включая логины, пароли, данные банковских карт и личные сообщения.
Фишинг в локальной сети: злоумышленник может сам развернуть поддельную сеть с похожим названием ("HotelGrand_Guest_Free"). Пользователь подключается к этой поддельной сети, и весь его трафик проходит через сервер злоумышленника.
Распространение вредоносного ПО через уязвимости в устройствах: происходит из-за встроенного программного обеспечения (прошивки), которое пользователи редко обновляют. Такое ПО часто содержит известные уязвимости, позволяющие злоумышленникам удаленно загружать и запускать вредоносный код. Например, атакующий сканирует устройства в открытой сети, находит уязвимое оборудование (роутер, камеру, принтер) и внедряет троянские программы или подключает устройство к ботнету для организации DDoS-атак, шпионажа и других вредоносных активностей.
Мониторинг активности в открытых сетях: осуществляется путем анализа метаданных HTTPS-соединений. При установке безопасного подключения браузер до начала шифрования передает в открытом виде имя запрашиваемого домена (SNI - Server Name Indication). Это позволяет злоумышленнику видеть, какие сайты вы посещаете. Хотя содержимое страниц и вводимые данные остаются зашифрованными, перехват SNI-запросов раскрывает историю посещений, профиль интересов и используемые сервисы, создавая детальный цифровой портрет пользователя.
Рискам подвергаются все устройства: смартфоны, планшеты, ноутбуки, умные гаджеты — все уязвимы. В путешествии опасность возрастает, потому что люди активнее пользуются банковскими приложениями, ищут экскурсии, вводят данные карт для оплаты — всё это лакомые цели для злоумышленников.
Если говорить кратко и без сложных терминов, то хакер, сидящий в соседнем кресле в фойе отеля, может:
Просканировать ваши устройства на наличие уязвимостей;
Перехватить ваши логины и пароли;
Внедрить вирусы, используя дыры в операционной системе.
Кроме того, если сеть будет скомпрометирована, вы можете невольно стать соучастником, если злоумышленник разошлет спам с вашего IP-адреса или скачает нелегальный контент через ваше подключение.
3. Что пишут на сайте отеля
В первую очередь я зашла на сайт «Grand Hotel», чтобы узнать, как сеть отелей защищает мои данные. И вот что нашла:
«Grand Hotel» серьёзно относится к безопасности данных. Компания принимает строгие меры для защиты информации, в том числе той, которая размещена на её сайте.
Некоторые из мер:
Шифрование SSL. На сайте используются стандартные меры безопасности, которые применяются при проведении транзакций в интернете.
Использование cookies. Эта технология помогает определить, какой сервис и информация поддержки подходят пользователю, и облегчить использование зоны мгновенных транзакций.
Контроль за сторонними сервисами. Grand_Hotel старается следить за тем, чтобы сторонние сервисы строго следовали рекомендациям по защите данных и не использовали их в несанкционированных целях.
«Основная цель сбора личных данных Grand_Hotel — обеспечить безопасный, оптимальный, эффективный и персонализированный опыт».
В общем, эта информация — о защите тех данных, которые обрабатываются на сайте отеля.
В частности, там даже была такая строчка: «По вопросам защиты данных можно связаться с Grand Hotel по электронной почте: dataprivacy@Grand_Hotel.com». На мой запрос о том, могут ли они как-то прокомментировать общедоступный Wi-Fi без защиты паролем на территории отеля, они не ответили.
4. Законодательство
Я решила разобраться в законодательстве страны пребывания. Возможно, по местным нормам о защите данных аутентификация при подключении к публичной точке доступа не является обязательной. А отель, вероятно, использует альтернативные методы защиты, компенсирующие отсутствие аутентификации.
В Египте действует аналог GDPR. Начнём с общих принципов GDPR, а затем рассмотрим конкретные законы об информационной безопасности на территории Египта.
4.1 Требования GDPR к защите данных в общедоступных Wi-Fi сетях
Обеспечение мер защиты для общедоступных Wi-Fi-сетей в рамках регламента GDPR осуществляется косвенно, поскольку сам документ не содержит прямых упоминаний именно о публичных точках доступа. Однако он устанавливает ряд общих требований для всех операторов, обрабатывающих персональные данные, к числу которых могут относиться и провайдеры публичного Wi-Fi. Вот выборка статей из GDPR, касающихся защиты данных пользователей общедоступных сетей:
Статья/источник |
Требования статьи |
Влияние требования на защиту общедоступных Wi-Fi сетей |
|
Принцип "Privacy by Design" (Статья 25) https://gdpr-info.eu/art-25-gdpr/
|
· Интеграция защиты персональных данных в систему и процессы с самого начала. · Внедрение технических и организационных мер для минимизации обработки данных. · Защита данных по умолчанию - обрабатываются только данные, необходимые для целей. · Оператор отвечает за соблюдение, включая выбор поставщиков и технологий. |
Защита данных должна быть встроена в архитектуру публичных Wi-Fi с самого начала. Это значит, что сети должны использовать надежное шифрование (например, WPA3), ограничивать сбор данных, обеспечивать механизмы минимизации, сетевое разделение и автоматическое удаление логов. |
|
Минимизация данных (Статья 5) https://gdpr-info.eu/art-5-gdpr/
|
· Собираются только необходимые, адекватные и релевантные данные. · Обработка ограничивается тем объемом, который нужен для целей. · Обработка данных должна быть законной, справедливой и прозрачной для субъекта данных. · Пользователь должен знать, как и зачем используются его данные. |
Общедоступные Wi-Fi должны собирать только минимально необходимую информацию о пользователях, исключая избыточные персональные данные (например, отказ от сбора геолокации, номера телефона без весомых оснований).
|
|
Информирование пользователей (Статьи 12-14) https://gdpr-info.eu/art-12-gdpr/ |
· Обязательство предоставить прозрачную и четкую информацию о сборе и использовании данных. · Доступно и понятно для пользователей, включая цели и права. |
Пользователи публичных Wi-Fi сетей обязаны получать прозрачную информацию о том, какие данные собираются, с какой целью и как долго они хранятся. В частности, прозрачность обработки данных для Wi-Fi - это обязательное окно с политикой конфиденциальности при подключении и четкое указание: какие данные собираются (MAC-адрес, время сессии), цели сбора (анализ трафика, маркетинг), сроки хранения. |
|
Безопасная обработка (Статья 32) |
· Применение технических и организационных мер для обеспечения конфиденциальности, целостности и доступности данных. · Оценка рисков и адаптация мер безопасности в зависимости от них. |
Оператор обязан принимать соответствующие технические и организационные меры для защиты данных от несанкционированного доступа, изменения или уничтожения. Это включает использование современных протоколов шифрования (например, WPA3), обновление безопасности, мониторинг угроз, внедрение механизмов идентификации и аутентификации пользователей (например, двухфакторной аутентификации). |
|
Ответственность оператора (Статья 24) |
· Оператор обязан демонстрировать соответствие требованиям GDPR. · Внедрение и поддержка мер по защите данных. |
Владельцы общедоступных Wi-Fi несут ответственность за соответствие сети требованиям защиты данных и должны иметь доказательства соблюдения правил. |
|
Право на доступ и удаление данных (Статьи 15 и 17) https://gdpr-info.eu/art-15-gdpr/
|
· Пользователь имеет право запрашивать свои данные и получать их копии. · Право на удаление персональных данных, если отсутствует необходимость в хранении. |
Пользователи должны иметь возможность получить информацию о своих данных, а также запросить их удаление, что накладывает обязательства на провайдеров Wi-Fi вести учет и хранение данных правильно. |
|
Уведомление о нарушениях (Статья 33) |
· При серьезных рисках — уведомлять и субъектов данных. |
В случае утечки или компрометации данных необходимо оперативно уведомлять соответствующие органы и пострадавших пользователей. |
|
Согласие на обработку данных (Статья 6) |
· Обработка возможна при наличии законного основания, одним из которых является явное согласие субъекта. · Согласие должно быть добровольным, конкретным, информированным и однозначным. |
Для сбора и использования персональных данных пользователей Wi-Fi необходимо получать явное согласие, что проявляется через страницы согласия или политики конфиденциальности.
|
Таким образом, GDPR требует от операторов общедоступных Wi-Fi-сетей не только технической защиты (шифрование, аутентификация), но и правовой прозрачности, минимизации данных и ответственности за нарушения. Несоблюдение этих принципов может привести к значительным штрафам и потере доверия пользователей. Требования Регламента вынуждают операторов публичного Wi-Fi реализовывать комплексные меры безопасности и выстраивать сервисы, уважающие приватность и права пользователей, что в итоге значительно повышает общий уровень информационной безопасности.
Примеры мер, соответствующих принципам GDPR при организации Wi-Fi:
Использование современного протокола шифрования (WPA3);
Регулярное обновление прошивок маршрутизаторов;
Изоляция гостевой сети от основной корпоративной инфраструктуры;
Сбор минимально необходимого объёма данных;
Ограничение времени хранения данных (например, удаление по окончании сессии пользователя);
Информирование пользователей о сборе и обработке их данных перед предоставлением доступа к сети.
4.2 Теперь обратимся конкретно к Египетскому законодательству
a) Закон Египта № 151 от 2020 года о защите персональных данных, вступивший в силу в октябре 2022 года (египетский аналог GDPR), содержит следующие требования:
Обязательное получение согласия гостей на обработку персональных данных, в том числе через Wi-Fi-портал.
Требования к шифрованию трафика — использование WPA2 или WPA3 для защиты беспроводных сетей.
Установленные сроки хранения персональных данных, включая MAC-адреса и логи подключения — не более 180 дней, после чего данные должны быть удалены.
Источники:
Подробный анализ системы законодательства Египта в сфере защиты данных, включая требования по согласиям, шифрованию, хранению и уведомлениям:
https://4people.grfc.ru/analytics-and-legislation/international-and-foreign-acts/foreign-acts/egipet/Перевод и полный текст Закона №151:
https://cyrilla.org/ar/entity/gn0ylwx3ufq/metadata?file=16090825800223zpxgi8q1ok.pdf
b) Закон Египта о телекоммуникациях (Law No. 10 of 2003) регламентирует деятельность национального регулятора связи (NTRA), правила оказания телекоммуникационных услуг, права и обязанности операторов, включая требования по регистрации, контролю и хранению данных, например:
Обязательную регистрацию всех точек доступа Wi-Fi в Национальном управлении по регулированию телекоммуникаций Египта (NTRA). Это позволяет контролировать сеть и обеспечивать её соответствие стандартам.
Хранение логов интернет-трафика пользователей в течение 12 месяцев для целей национальной безопасности и возможного расследования инцидентов.
Выводы: Обязан ли отель защищать Wi-Fi?
Для египетских компаний и сервисов GDPR имеет косвенное значение: если они работают с данными граждан ЕС, то должны соблюдать GDPR или обеспечивать эквивалентный уровень защиты. В то же время для местных операций действует именно национальный закон о защите данных.
В Египте действует собственный Закон № 151/2020, интегрирующий многие принципы GDPR. Согласно Закону № 10/2003 и положениям Национального регулятора телекоммуникаций (NTRA), предоставление публичного Wi-Fi без идентификации пользователя действительно запрещено. Владельцы сетей обязаны собирать минимум один из следующих видов данных:
Номер мобильного телефона с обязательной верификацией через SMS;
Данные паспорта для иностранных граждан;
Номер договора для резидентов.
Кроме того, владельцы должны хранить логи трафика (история сессий, IP- и MAC-адреса) не менее 12 месяцев. Авторизация через порталы (hotspot) реализует эти требования, связывая номер телефона с MAC-адресом и обрабатывая подтверждения через SMS или звонки.
5. Компенсирующие меры. Технический анализ: можно ли обойтись без Captive Portal?
Исследуя технологическую сторону вопроса, я задалась целью выяснить: мог ли отель компенсировать отсутствие пароля и портала авторизации другими мерами защиты?
Если рассматривать отсутствие «Captive Portal» не как нарушение норм права, а как реальные риски для пользователей, мог ли отель обеспечить защиту подключения и трафика другими способами и без аутентификации пользователей?
Технический обзор альтернатив паролю:
Шифрование (WPA2/WPA3) и Captive Portal — это две разные технологии, решающие разные задачи:
WPA2/WPA3 (шифрование) — защищает соединение между вашим устройством и точкой доступа. Он делает трафик нечитаемым для посторонних. Это вопрос безопасности (Security).
Captive Portal — аутентифицирует пользователя и определяет, что ему можно делать в сети (например, выйти в интернет). Это вопрос учета, контроля доступа и соблюдения правовых норм (Authentication & Authorization).
Идеальный с точки зрения безопасности вариант — Шифрование + Портал: сеть имеет название (SSID) и защищена общим паролем (WPA2/WPA3-Personal), который может быть простым и публичным (например, вывешен на ресепшене в виде Password: Welcome123). Вы подключаетесь к сети с помощью этого пароля, и ваш трафик сразу же шифруется. После этого браузер перенаправляет вас на Captive Portal, где вы принимаете правила использования, вводите номер комнаты, SMS-код или другие данные. В результате ваш трафик оказывается защищён от соседей по сети, а отель получает информацию о том, кто и на каких условиях подключился.
Альтернативные методы:
Фильтрация MAC-адресов ненадёжна (MAC-адрес можно подделать) и не обеспечивает шифрование трафика.
Сегментация сети важна для разделения гостевого и внутреннего трафика, но не защищает данные гостей внутри их сетевого сегмента.
HTTPS шифрует передаваемые данные сайта, но не скрывает посещаемые домены и не защищает от MITM-атак при подмене сертификата.
Существуют продвинутые системы безопасности, такие как WPA3 Enterprise (идентификация по сертификатам) и ZTNA (Zero Trust Network Access), которые могут работать без портала. Эта технология повышает безопасность сети за счёт того, что каждый пользователь получает индивидуальный сертификат (EAP-TLS), что минимизирует риски несанкционированного доступа и защищает передачу данных с помощью стойких криптографических алгоритмов. Однако такое решение очень дорогое и сложное в настройке. Для отелей это означало бы огромные затраты и неудобства для гостей.
Реально организовать публичную точку доступа Wi-Fi с шифрованием WPA2/WPA3 и без Captive Portal, используя методы вроде Open Authentication с автоматической передачей ключа, предустановленном на устройстве. В этом случае сеть выглядит открытой, но при подключении устройство незаметно обменивается с сервером специальным токеном, после чего получает временный ключ шифрования. Такая система обеспечивает защиту данных без необходимости ручного ввода пароля для гостей. Однако этот подход требует сложной настройки специального оборудования и почти не встречается в обычных отелях или кафе из-за высокой стоимости и сложности в обслуживании.
Итог: никакие меры, кроме шифрования WPA2/WPA3, не обеспечивают адекватную защиту на уровне беспроводной сети. Отсутствие шифрования — критическая уязвимость.
WPA3 Enterprise действительно способен заменить Captive Portal, но высокая стоимость и сложность управления делают его экономически неоправданным для большинства предприятий, включая отели.
Теоретически возможна комбинация мер защиты без Captive Portal: WPA3, принудительное HTTPS-соединение, автоудаление логов каждые 24-72 часа, отключение Wi-Fi-трекинга, сегментация сети и другие компенсирующие механизмы. Однако в Египте закон прямо обязывает идентифицировать пользователей публичного Wi-Fi по SMS или паспорту. Никакие технологические решения не отменяют этого требования. Следовательно, в описанном мной случае отсутствие Captive Portal является прямым нарушением местного законодательства.
6. Как пользователям защищаться в таких случаях
Следующие советы довольно просты и рассчитаны на обычных пользователей, но при этом не всегда очевидны:
Проверяйте название сети (SSID): уточните у персонала точное название официальной гостевой сети. Опасайтесь подделок (например,
Free_Hotel_WiFi).Контролируйте тип безопасности: в настройках Wi-Fi на устройстве должно быть указано WPA2-Personal или WPA3-Personal. Варианты Open или None — признак небезопасной сети.
Избегайте операций с конфиденциальными данными: не вводите пароли, данные банковских карт и другую важную информацию в общедоступных сетях.
Проверяйте HTTPS-соединение: убедитесь, что в адресной строке браузера отображается
https://и значок замка. Не игнорируйте предупреждения о небезопасных соединениях.Отключайте общий доступ: отключите общий доступ к файлам и устройствам в настройках сети вашей ОС устройства.
Воздержитесь от загрузки файлов из ненадёжных источников: избегайте скачивания приложений и файлов из непроверенных источников, так как они могут содержать вредоносное ПО.
Используйте двухфакторную аутентификацию (2FA): это добавит защиты, даже если пароль будет скомпрометирован.
Предпочитайте мобильный интернет: для конфиденциальных операций используйте мобильную сеть (роуминг или локальную SIM-карту).
Своевременно обновляйте устройства: актуальные версии ОС и приложений закрывают известные уязвимости безопасности.
Отключите автоматическое подключение к Wi-Fi: это предотвратит случайное соединение с небезопасными сетями.
Выводы
Вот вам урок цифровой безопасности: безопасность наших данных - в наших руках. Мы не застрахованы от хитроумных атак хакеров или халатности тех, кто должен защищать предоставляемые нами данные.
David_Osipov
Уже не помню когда, но на Хабре была статья о действительных рисках незащищённого WiFi. Проще говоря, если у вас врублен DOT, DOH, DOQ или что-то прочее, то TLS вас будет надёжно защищать от всяких MiTM.