Content
Rīgā veikts eksperiments par bezvadu interneta punktu drošību
Kategorija: Datu drošība
Kafejnīcās, parkā uz soliņa, braucot vilcienā – vietu, kur ikvienam brīvi pieejams bezvadu internets Latvijā kļūst arvien vairāk. Tas ir ērti, bet – cik droši? Nesen Rīgā tika veikts eksperiments, kurā noskaidrojās, ka bieži vien cilvēki lieto bezvadu internetu, neievērojot elementārus drošības pasākumus. Piemēram, nemaksāt rēķinus internetbankā, sēžot kafejnīcā. Vai ja lietojat bezvadu tīklu mājās, obligāti nodrošināties ar paroli. Arī tas daudziem šķiet mazsvarīgi. Mans kolēģis Miroslavs Kodis kopā ar ekspertiem šonedēļ pārbaudīja, kāda ir situācija ar bezvadu internetu Rīgas centrā un no kā ir jāuzmanās, to lietojot.
Eksperti saka, ka aptuveni 25% bezvadu internetu tīklu Rīgas centrā nav šifrēti – tātad brīvi pieejami. Pārējie ir ar parolēm un droši, atskaitot daļu, kas izmanto vecu aizsardzības veidu un tos ir viegli uzlauzt. Eksperts stāsta, ka nesen pētījums par drošu bezvadu internetu ir veikts Londonā un tika secināts, ka tur situācija ir mazliet sliktāka nekā Latvijā, jo Londonā ir vairāk nedrošu bezvadu interneta punktu.
Ar ko publisks pieejas punkts ar paroli ir drošāks par pieejas punktu bez paroles?
Kāpēc maksāt rēķinus internetbankā no publiska bezvadu pieejas punkta ir bīstami? Vai ir kāda banka, kuras internetbanka neizmanto SSL?
Avoti:
LTV: http://www.youtube.com/watch?v=EIr65P_Mq2E
2013-10-21 » edgars
Re: Rīgā veikts eksperiments par bezvadu interneta punktu drošību
22 October 2013 @ 02:33
Par cik WPA(2) faktiski nepilda plānoto funkciju (sesiju izolēšana), tad tiešām nav reālas atšķirības starp atvērtu un shared-paroles tīklu, tā shared parole var kā reiz feiku drošības sajūtu radīt.
Jā, bankām gan ir jāizmanto SSL/TLS ar drošu cipher suite, bet ko tas dod upurim, ja šādā tīklā viņu jau pirms īstās bankas lapas sasniegšanas var mēģināt apmuļķot un/vai izšaut visus pieejamus exploit pret viņa pārlūku.
Likās reizes 3 par īsu bija atvēlēts raidlaiks sižetam pret safilmētu materiālu, tā ar rezultāts ar tāds nepabeidzi(e)s sanācis.
22 October 2013 @ 09:55
Nu var jau pacelt savu feiko DNS serveri un veikt redirektus lietotāju pielsēgumiem internetbankai. Redirektēt uz lapu ar exploitiem un cerēt izdrāzt pārlūku un pārņemt kontroli. Bet tas viss izklausās tik ļoti teorētiski, ka vecais labais fišings ir daudz efektīvāks. Risks varbūt ir kādam, kas operē ar lielām naudām un katru dienu sēž vienā un tajā pašā kafejnīcā ar bezparoles wifi. ai gan arī tad vieglāk ir sarunāt kabatzagli, kas nosper šim digipasu un uzlikt mazo kameru, kas nofilmē visas paroles.
Tā kā risks ir krietni vien pārspīlēts.
22 October 2013 @ 15:34
Neatradu nevienu Latvijas internetbanku, kura izmantotu HSTS mehānismu, tāpēc sslstrip tipa uzbrukumi no publiskā wifi ir reāls drauds.
24 October 2013 @ 15:04
sslstrip ļauj tikai nosnifot trafiku. Populārākās swedbank internetbankas gadījumā tie ir kādi 120 maksājumi jānoķer, lai sabūvētu kodu tabulu. Tas būs ļoti ilgs laiks – vismaz pusgads noteikti.