Привет, Хабр! Представляю вашему вниманию перевод статьи «The Complete, Endless, Ridiculous List of Everything You Need to Be Safe on Public Wi-Fi» автора Patrick F. Wilbur.
Wi-Fi сети, вебсайты, протоколы, которые мы используем, не обеспечивают нам необходимой безопасности онлайн. Поэтому каждый пользователь должен сам защитить себя. Под катом список основных принципов для безопасного использования Интернета.
Во-первых, для того, чтобы быть в безопасности, используя публичный Wi-Fi, нужно быть в безопасности в Интернете вообще.
Как минимум нужно:
Баги веб-браузеров, уязвимости протоколов TLS/SSL, аутентификации Wi-Fi, приложений и операционных систем должны быть исправлены перед тем, как подключаться к новым сетям. Это означает, что вам следует поддерживать актуальные версии операционных систем и приложений, а также других устройств (роутеров, принтеров и так далее), так как они могут стать вектором атаки для других устройств и аккаунтов.
Перед тем, как даже думать о подключении к публичной сети, вам стоит задуматься, как вы будете защищать ваш компьютер от атаки. Вам нужно быть уверенным, что в данный момент не запущен никакой ненужный сервис с доступом в сеть или файло-обменник, а также установлен и настроен файрвол.
Также отличной идеей будет удалять не используемое ПО с компьютера и держать на нем только самые необходимые для работы программы.
Другой полезной практикой является создание и ведение оффлайнового списка ваших аккаунтов, чтобы вы не забывали об информации, которая может быть с ними связана и периодически проверяли и деактивировали неиспользуемые.
Прежде чем присоединяться к публичной сети вам следует принять меры для предотвращения перехвата информации приложений. Для этого подойдет надежный VPN. Его нужно установить и правильно настроить, чтобы он запускался мгновенно и не пропускал никакие протокольные пакеты (например, DNS-запросы).
VPN-клиент должен быть скачан перед соединением с публичной сетью, так как нет гарантий, что вы скачаете через публичную Wi-Fi сеть ПО без вредносного кода.
Большинство публичных Wi-Fi сетей используют внутренний портал (captive portal), который содержит условия использования или собирает информацию о своих пользователях.
К сожалению, если VPN захватывает весь трафик, то как правило требуется отключить VPN, чтобы пройти через внутренний портал и получить доступ в Интернет. Внутренний порталы могут, как минимум, свести на нет все преимущества VPN, не говоря уже о потенциальном отслеживании в случае если передаются куки.
Ананасы — это роутеры для злонамеренных действий замаскированные под обычные безобидные сети.
Если файрвол работает на пару с VPN, то все ок, для атак ананасам практически ничего не остается. Однако, как уже говорилось выше, риск может исходить из внутренних порталов, а также утечки конфигурации VPN.
Грустная правда заключается в том, что не только сети злоумышленников могут быть замаскированы под безопасные, но даже в безопасных публичных сетях могут быть подключены злоумышленники.
Примерно 25% вебсайтов посещаются без включенного шифрования и вебсайты повсюду следят за вами и членами вашей семьи.
В этом случае помогут такие расширения как HTTPS Everywhere и Privacy Badger. Также контейнерные расширения, изолирующие сайты и их данные друг от друга, могут эффективно блокировать определенные онлайн трекеры. Я бы советовал использовать их вместе при посещении всех вебсайтов.
Если вы находитесь в особой группе риска (активист, репортер или миллиардер), вам будет полезно использовать более серьезную изоляцию потенциально опасных онлайн активностей за счет использования специально выделенных для них устройств. Ни одна мера виртульного сдерживания не работает так же хорошо как физическое разделение.
У каждого пользователя есть своя модель угрозы, определяемая различными обстоятельствами:
Постоянно спрашивайте себя: что я могу сделать, чтобы сократить угрозы и жить более осознанно в смысле безопасности и приватности?
Спрашивайте себя: Есть ли у меня какие-нибудь уникальные обстоятельства? Например, вы репортер, которому нужна анонимность, или богатый бизнесмен с доступом к полному банковскому счету. Если так, ознакомьтесь с этими Советами, инструментами и руководствами по обеспечению безопасности онлайновых коммуникаций. Чтобы оставаться в безопасности в публичных сетях, необходимо постоянно быть в курсе последних рекомендаций и применять их на практике.
Как минимум, используйте доверенный VPN, двухфакторную аутентификацию (без SMS-сообщений!) везде, где это возможно. Установите HTTPS Everywhere и вовремя устанавливайте актуальные обновления. Иначе вам стоит полностью пересмотреть свое отношение к безопасности.
Wi-Fi сети, вебсайты, протоколы, которые мы используем, не обеспечивают нам необходимой безопасности онлайн. Поэтому каждый пользователь должен сам защитить себя. Под катом список основных принципов для безопасного использования Интернета.
1. Общеизвестные принципы безопасности
Во-первых, для того, чтобы быть в безопасности, используя публичный Wi-Fi, нужно быть в безопасности в Интернете вообще.
Как минимум нужно:
- Пользоваться аккаунтами, которые не были скомпрометированы.
- Использовать сильные пароли по одному паролю на каждый аккаунт без повторений.
- Включить двухфакторную аутентификацию на всех ресурсах, где это возможно.
- Не использовать двухфакторную аутентификацию по SMS из-за того, что текстовые сообщения могут быть переправлены на телефон злоумышленника.
2. Установка обновлений ПО
Баги веб-браузеров, уязвимости протоколов TLS/SSL, аутентификации Wi-Fi, приложений и операционных систем должны быть исправлены перед тем, как подключаться к новым сетям. Это означает, что вам следует поддерживать актуальные версии операционных систем и приложений, а также других устройств (роутеров, принтеров и так далее), так как они могут стать вектором атаки для других устройств и аккаунтов.
3. Анализ периметра атаки
Перед тем, как даже думать о подключении к публичной сети, вам стоит задуматься, как вы будете защищать ваш компьютер от атаки. Вам нужно быть уверенным, что в данный момент не запущен никакой ненужный сервис с доступом в сеть или файло-обменник, а также установлен и настроен файрвол.
Также отличной идеей будет удалять не используемое ПО с компьютера и держать на нем только самые необходимые для работы программы.
Другой полезной практикой является создание и ведение оффлайнового списка ваших аккаунтов, чтобы вы не забывали об информации, которая может быть с ними связана и периодически проверяли и деактивировали неиспользуемые.
4. Предотвращение вторжения
Прежде чем присоединяться к публичной сети вам следует принять меры для предотвращения перехвата информации приложений. Для этого подойдет надежный VPN. Его нужно установить и правильно настроить, чтобы он запускался мгновенно и не пропускал никакие протокольные пакеты (например, DNS-запросы).
VPN-клиент должен быть скачан перед соединением с публичной сетью, так как нет гарантий, что вы скачаете через публичную Wi-Fi сеть ПО без вредносного кода.
5. Подключение к правильным сетям
Большинство публичных Wi-Fi сетей используют внутренний портал (captive portal), который содержит условия использования или собирает информацию о своих пользователях.
К сожалению, если VPN захватывает весь трафик, то как правило требуется отключить VPN, чтобы пройти через внутренний портал и получить доступ в Интернет. Внутренний порталы могут, как минимум, свести на нет все преимущества VPN, не говоря уже о потенциальном отслеживании в случае если передаются куки.
6. Избегание ананасов
Ананасы — это роутеры для злонамеренных действий замаскированные под обычные безобидные сети.
Если файрвол работает на пару с VPN, то все ок, для атак ананасам практически ничего не остается. Однако, как уже говорилось выше, риск может исходить из внутренних порталов, а также утечки конфигурации VPN.
Грустная правда заключается в том, что не только сети злоумышленников могут быть замаскированы под безопасные, но даже в безопасных публичных сетях могут быть подключены злоумышленники.
7. Расширения браузеров для определения дыр в безопасности
Примерно 25% вебсайтов посещаются без включенного шифрования и вебсайты повсюду следят за вами и членами вашей семьи.
В этом случае помогут такие расширения как HTTPS Everywhere и Privacy Badger. Также контейнерные расширения, изолирующие сайты и их данные друг от друга, могут эффективно блокировать определенные онлайн трекеры. Я бы советовал использовать их вместе при посещении всех вебсайтов.
Если вы находитесь в особой группе риска (активист, репортер или миллиардер), вам будет полезно использовать более серьезную изоляцию потенциально опасных онлайн активностей за счет использования специально выделенных для них устройств. Ни одна мера виртульного сдерживания не работает так же хорошо как физическое разделение.
8. Понимание и оптимизация модели угрозы
У каждого пользователя есть своя модель угрозы, определяемая различными обстоятельствами:
- Где находятся ваши наиболее ценные данные?
- Где вы наиболее уязвимы для атаки?
- Каковы ваши наиболее вероятные угрозы?
Постоянно спрашивайте себя: что я могу сделать, чтобы сократить угрозы и жить более осознанно в смысле безопасности и приватности?
Спрашивайте себя: Есть ли у меня какие-нибудь уникальные обстоятельства? Например, вы репортер, которому нужна анонимность, или богатый бизнесмен с доступом к полному банковскому счету. Если так, ознакомьтесь с этими Советами, инструментами и руководствами по обеспечению безопасности онлайновых коммуникаций. Чтобы оставаться в безопасности в публичных сетях, необходимо постоянно быть в курсе последних рекомендаций и применять их на практике.
Заключение
Как минимум, используйте доверенный VPN, двухфакторную аутентификацию (без SMS-сообщений!) везде, где это возможно. Установите HTTPS Everywhere и вовремя устанавливайте актуальные обновления. Иначе вам стоит полностью пересмотреть свое отношение к безопасности.
Комментарии (20)
perlestius
01.07.2019 06:52+2Интересно, как много людей, кроме Брюса Шнайера, следуют всем перечисленным практикам...
regamad
01.07.2019 07:44+2Хотелось бы увидеть список Брюса для предотвращения угроз при встрече с девушкой.
ABATAPA
01.07.2019 08:03-2Не использовать двухфакторную аутентификацию по SMS из-за того, что текстовые сообщения могут быть переправлены на телефон злоумышленника.
двухфакторную аутентификацию (без SMS-сообщений!) везде, где это возможно
Странное заявление. Вы реально думаете, что SMS «могут быть переправлены на телефон злоумышленника» любым лицом? Тем более тем, кто будет снифферить Wi-Fi в общественных местах?whyme
01.07.2019 14:00+1Вроде перехват смс давно не проблема, последний раз когда встретил подобное предложение цены начинались от 2000р за 1 смс для всех российских операторов. Для этого не обязательно даже ходить в даркнет, на форумах типа биткоинталк часто попадаются подобные предложения (и судя по отзывам не фейк). Можно вспомнить еще госорганы, которые в любой момент могут перехватит смс.
SMS аутентификация, больше вредна, чем полезна, Wi-Fi просто частный случай. Вдобавок, после привязки номера, несмотря на «двухфакторность», по смс частенько можно восстановить доступ к аккаунту без пароля и даже почты.
elve
01.07.2019 10:19А как предлагается защищаться от клонирования mac-адреса злоумышленником, чтобы творить гадости от вашего имени, т.к. вы уже авторизовались по sms?
Whuthering
01.07.2019 11:27+2А никак.
Разве что авторизовываться на левые телефонные номера (всякие сервисы по «приему смс»).
Любые другие более приличные и надежные способы требуют переделки самих систем авторизации для WiFi-сетей. А так я ни в одной сети не встречал возможности «отвязать» номер от сохраненного MAC-адреса после завершения сессии.
P.S. Если кто не совсем понимает, о чем идет речь, вот статья.
polar11beer
01.07.2019 13:17+1Расширения браузеров для определения дыр в безопасности
Браузерные расширения — вообще отдельная тема. Технически, расширение браузера может иметь доступ ко всему трафику, который проходит через браузер. Поэтому устанавливать всё подряд — плохая идея (или при установке нужно хотя бы взять на себя труд прочесть, какие разрешения расширение попросит для работы).
nebularia
01.07.2019 14:03+2Самое очевидное и лучшее — не пользоваться публичным Wi-Fi вообще, а если на ноуте нужен доступ в интернет — раздавать со смартфона.
k12th
01.07.2019 14:46Надеть презерватив, намазать зеленкой, забинтовать, надеть еще один, намазать йодом, забинтовать, забетонировать… и никаких половых контактов!
LAG_LAGbI4
Чем публичная вайфай сеть отличается от обычного интернета. Всегда путь от точки А до Б обеспечивают небезопасные узлы. Принципиальной разницы не вижу
Belisckner
Как минимум единой средой передачи для всех в этой сети. Бери и лови любые пакетики.
А вот прочтёшь или нет, это уже другой вопрос.
LAG_LAGbI4
так ловить проще на маршрутизаторе
Revertis
На маршрутизаторе ловит только админ, а в открытой сети ловить может любой клиент.
HardWrMan
Немедленно вспомнились времена хабов без интеллекта и подключение к такому хабу сетевухой в «Promiscuous mode».
saboteur_kiev
Ты можешь доверять своему провайдеру или недоверять.
Но доверять всем соседям, которые сидят вместе с тобой в публичной сети — это точно нельзя.
А они видят все пакеты, могут подделать твой mac и перехватить твою сессию в принципе не особо обладая знаниями и доступом. Обычные скрипт-кидди, которым нечего делать.