Nemokamas internetas – kaip ir nemokamas sūris: tik pelėkautuose

Nors Lietuvoje ir Europos sąjungos valstybėse keliautojai jau bemaž nebesuka sau galvos ir nemokamo interneto neieško, vienas pirmųjų dalykų, kuriuos jie padaro nusileidę tolimoje šalyje, kur negalioja ES Vieningos skaitmeninės rinkos taisyklės – tai belaidžio „Wi-Fi“ interneto prieigos taško paieška. Tačiau tai yra tarsi nemokamo sūrio paieška.
Belaidis internetas
Belaidis internetas / 123RF.com nuotr.

Mat nemokamo interneto per „Wi-Fi“ prisijungimo taškus ieškantys žmonės yra labai pažeidžiami: įpratome ryšio paslaugas vertinti tarsi vandentiekį ar elektrą, kas privalo būti visur ir visada, bet dar neįpratome vertinti, kad lygiai taip pat visur ir visada tokių nemokamų gėrybių ieškotojų gali tykoti ne patys draugiškiausi veikėjai.

Šie veikėjai mielai pasiūlys nemokamai pasinaudoti slaptažodžiu neapsaugotu „Wi-Fi“ prieigos tašku, kuris atliktų pelėkautuose padėto sūrio vaidmenį: labai tikėtina, kad dalis informacijos srauto, keliaujančio per tokį prisijungimo tašką, būtų nesunkiai pasiekiama ir perskaitoma programišiams.

123rf.com /Programišius
123rf.com /Programišius

„Paprastai tokia veikimo schema vadinama „Man-in-the-middle attack“: duomenų srautą fiksuojantis ir analizuojantis programišius įsiterpia tarp savo aukos kompiuterio ir globalaus interneto tinklo. Jei naršydami interneto svetainėse be HTTPS protokolo vedame kokius nors asmens duomenis – visus juos programišius gali matyti ir panaudoti savo tikslams. Nuo vedamų duomenų tipo (prisijungimai, slaptažodžiai, banko kortelės duomenys) gali priklausyti padaryta žala, jos dydis“, – sakė bendrovės „Interneto vizija“ kibernetinio saugumo ekspertas Gintaras Skridulis.

Ekspertas pridūrė, kad kartais susiduriama su atvejais, kai po užsienio šalis keliaujantys „Interneto vizijos“ klientai pradeda gauti automatinius savo paslaugų teikėjo įspėjimus apie milžiniškus išsiųstų laiškų kiekius, nors pats asmuo sąmoningai jokių laiškų nesiuntinėjo.

„Tokiais atvejais klientams siūlome kuo operatyviau pasikeisti dėžutės slaptažodį, nes jis tapo žinomas kažkam kitam. Tikėtina, kad šis slaptažodis buvo „sužvejotas“ būtent užsienio šalyje, galimai – prisijungus prie nemokamo „Wi-Fi“ belaidžio interneto taško arba viešuose interneto prieigos taškuose (pvz., naudojantis kompiuteriu, kuriame buvo klaviatūros paspaudimus registruojančios programinės įrangos)“, – aiškino G.Skridulis.

„Scanpix“ nuotr./Kompiuteris
„Scanpix“ nuotr./Kompiuteris

Pavojingas derinys

Turbūt pavojingiausia, ką žmogus gali padaryti jungdamasis prie slaptažodžiu neapsaugoto „Wi-Fi“ prieigos taško – tai lankytis HTTP protokolu veikiančiose svetainėse, ypač jeigu jose vykdoma kokia nors vartotojo autorizacija. Mat jeigu lankoma interneto svetainė veikia šiuo protokolu, duomenys tarp lankytojo ir svetainės serverio keliauja nešifruotu pavidalu – programišius juos mato kaip atvirą tekstą. Įskaitant prisijungimo vardus ir slaptažodžius.

Na, o HTTPS svetainėse bet kokia informacija, kuria keičiasi vartotojas ir svetainė, yra šifruojama nuo galinio įrenginio (kompiuterio ar telefono) iki serverio. Tokią koduotą informaciją programišius, stebintis maršrutizatoriaus perduodamus srautus, vis dar gali rinkti ir netgi gali bandyti iššifruoti, tačiau šiais laikais plačiausiai naudojami šifravimo algoritmai su 256 bitų raktu (256 dvejetainių, 0 arba 1, simbolių seka), kurio reikšmės atspėti beveik neįmanoma – automatizuoti spėliojimai net naudojant superkompiuterį truktų labai ilgą laiką, aiškina G.Skridulis ir priduria, kad taip bus iki tol, kol programišiai nepradės naudoti kvantinių kompiuterių – pastariesiems jokie dabartiniai šifravimo algoritmai nebus baisūs, tačiau galima guostis tuo, kad iki tokių kompiuterių praktinio panaudojimo teks palūkėti bent dešimtį, kitą metelių.

Šeimininko atsakomybė

„Wi-Fi“ prieigos taško saugumas – šios techninės įrangos turėtojo atsakomybė. Būtent maršrutizatoriaus valdytojas turi užtikrinti ne tik tai, kad „Wi-Fi“ taškas būtų apsaugotas slaptažodžiu ir šis slaptažodis nebūtų viešai iškabinėjamas ant kiekvienos sienos ir matomas kiekvienam praeiviui – iš tokio slaptažodžio naudos tiek pat, kiek ir iš visiško slaptažodžio nebuvimo. „Didelio skirtumo tarp viešo slaptažodžio ir jokio slaptažodžio nėra. Vis tiek niekas negarantuoja, kad su tos vietos savininku žinia nėra vykdomas duomenų fiksavimas ir analizavimas, o užtenka ir tikimybės, kad piktavalis tos vietos lankytojas (kaip klientas) prisijungs prie „Wi-Fi“ vietinio tinklo ir savininkui net nežinant vykdys kenkėjišką veiklą“, – tvirtina „Interneto vizijos“ specialistas.

123rf.com nuotr./Kompiuteris
123rf.com nuotr./Kompiuteris

Svarbūs yra ir dar du maršrutizatoriaus apsaugos aspektai. Pirmasis – šifravimo mechanizmo pasirinkimas. Paprastai tinklo įrangos gamintojai siūlo rinktis tris šifravimo protokolus: WEP, WPA ar WPA2. „Pirmieji 2 yra vadinami nesaugiais, nepriklausomai nuo to, kokio ilgio ir sudėtingumo „Wi-Fi“ slaptažodis bus nustatytas. Praėjusiais metais atrastas net ir WPA2 "nulaužimo" būdas, pavadintas KRACK, todėl galima suabejoti net ir šio šifravimo metodo patikimumu. Atsakingi maršrutizatorių gamintojai pateikė programinius saugumo atnaujinimus, kurie neleidžia realizuoti KRACK atakos, tačiau kyla klausimas ar mažai kam žinomas gamintojas pasirūpins to atnaujinimo sukūrimu“, – teigia G.Skridulis.

Antras aspektas – maršrutizatoriaus valdymo apsauga, kurią būtina užtikrinti slaptažodžiu – ir ne tokiu, koks buvo nustatytas gamykloje, o patikimu bei sunkiai atspėjamu, antraip kils grėsmė, kad programišius galės šį interneto prieigos tašką užvaldyti. Tai suteiktų galimybę matyti, kokie įrenginiai yra prisijungę prie to „Wi-Fi“ taško, rinkti bei analizuoti jų perduodamus duomenis.

„Kartą, lankydamasis užsienio šalyje, apartamentuose iš smalsumo atsidariau maršrutizatoriaus valdymo puslapį. Sužinojęs modelį, internete radau jo gamyklinius valdymo pulto prisijungimus, pabandžiau – tiko. Aišku, piktų kėslų neturėjau. Įdomu buvo tik pamatyti, kiek ir kokių įrenginių tuo metu per „Wi-Fi“ susijungę šeimininkai. Bet pasirengęs piktavalis tokiu atveju galėtų rimtai pasidarbuoti, vykdyti „Man-in-the-middle“ tipo atakas net ir apleidus apartamentus. Tas pats galiotų ir saugumui viešose vietose, čia pat Lietuvoje – kavinių lankytojai gali net neįtarti, kad „Wi-Fi“ maršrutizatorius užvaldytas dėl savininko neatsakingumo ir neapdairumo. O tų gamyklinių slaptažodžių variantai patenka į populiariausių slaptažodžių dešimtukus – „admin“, „12345“ ir panašiai“, – apie aukščiausio lygio neatsakingumą pasakojo G.Skridulis.

O kaip oro uostuose ir viešbučiuose?

Kai kuriose viešose vietose – dažniausiai oro uostuose bei viešbučiuose – prie „Wi-Fi“ prieigos taško galima jungtis be jokio slaptažodžio, tačiau vartotojas iškart po šio prisijungimo nukreipiamas į paslaugos teikėjo svetainę, kur siūloma kaip nors „prisistatyti“ – nurodyti bent jau savo el.pašto adresą arba, jeigu jungiamasi viešbutyje, pateikti savo pavardę bei kambario numerį. Bet ar toks belaidis internetas gali būti saugus nuo programišių?

123rf.com nuotr./Nemokamas WiFi oro uostuose
123rf.com nuotr./Nemokamas WiFi oro uostuose

Anot „Interneto vizijos“ eksperto, po prisijungimo prie „Wi-Fi“ viešuose prieigos taškuose atliekama autorizacija reikalinga tam, kad iš administratoriaus pusės būtų galima lanksčiau registruoti interneto naudotojus, fiksuoti jų veiklą (skaičiuoti naudojimosi laiką, duomenų kiekius, jei yra taikomi kokie nors limitai) ir panašiai. Bet ar tai leidžia manyti, jog toks interneto prieigos taškas yra saugesnis – nemanau. Galima padaryti visišką oro uosto „Wi-Fi“ prieigos taško kopiją su naršyklėje pildomais prisijungimo laukeliais, tuo pačiu pavadinimu (maršrutizatorių įkurdinti vietoje, kur tikrasis oro uosto tinklas dar neaprėpia, tarkime lauke, prie įėjimo) arba su labai panašiu pavadinimu. Dalis naudotojų gudrybės nepastebės ir prisijungs prie programišių „Wi-Fi“ stotelės“.

G.Skridulis rekomendavo apskritai bet kokiu viešu „Wi-Fi“ prieigos tašku naudotis tik tuo atveju, jeigu šis naudojimasis nėra susijęs su finansiniais reikalais ar asmeniniais duomenimis. „Jei reikia prisijungti prie el. bankininkystės, darbinės sistemos ar bet kokios kitos paslaugos, kur reikia įrašyti prisijungimo ar kokią kitą konfidencialią informaciją – geriau tą daryti atsijungus nuo „Wi-Fi“ (naudojant mobilųjį tinklą) arba papildomai naudojantis VPN paslaugomis. Geriau sumokėti šiek tiek už mobilų internetą svečioje šalyje (tarifai dabar ES labai atpigo) ar VPN paslaugos tiekėjui, negu rizikuoti didesniais nuostoliais po duomenų nutekinimo iš programišių pusės“, – rekomendavo ekspertas.

Spąstai medžiotojui

Nors įprastai piktybiniai programišiai gali būti lyginami su medžiotojais, kurie ieško prasčiau apsaugotų paskyrų ar „Wi-Fi“ stotelių, kartais ir jie būna pastatomi į medžiojamos aukos vietą: kibernetinio saugumo specialistai specialiai tokiu tikslu paspendžia spąstus, vadinamus „medaus puodynėmis“ (angl. honeypot) – tokiais spąstais siekiama aptikti į įmonės vidinį tinklą bandančius patekti įsilaužėlius, kurie „Wi-Fi“ tinklo aprėptyje bandytų prisijungti prie iš pirmo žvilgsnio įprasto įmonės „Wi-Fi“ taško, skenuoti tame pačiame lokaliame tinkle veikiančius kompiuterius ir ieškoti galimybes įsilaužti į juos. Per „honeypotą“ surinkta informacija gali padėti dar geriau apsaugoti tikrąjį įmonės vidinį tinklą, identifikuoti ir blokuoti asmenis, neteisėtai bandančius prisijungti, matyti nenaudėlio skenuojamas ir tikrinamas tinklo dalis, prievadus, tarnybas. Tokia priemonė gali būti naudojama kaip pagalbinis šaltinis, kuris pasufleruotų, kurias tinklo dalis reikia labiau apsaugoti, jeigu techninės galimybės leidžia tą padaryti, komentavo G.Skridulis.

123RF.com nuotr./Programišius
123RF.com nuotr./Programišius

Anot „Interneto vizijos“ eksperto, labai panašiu principu veikia elektroninio pašto spąstai, vadinami „spamtrap“. Tai yra unikalios elektroninio pašto dėžutės, kurių adresai niekur nebūna skelbiami viešai, tačiau būna įterpiami į interneto svetaines taip, kad juos pastebėti galėtų tik automatizuotos sistemos, ieškančios taikinių brukalų siuntinėjimui. Jei į tokią „spamtrap“ dėžutę atkeliauja koks nors laiškas, galima neabejoti, kad tai yra brukalas ir jo turinį bei siuntėją galima blokuoti elektroninio pašto filtrais.

Patarimai besijungiantiems prie viešų „Wi-Fi“ taškų

  • Nesinaudoti jais darbui su konfidencialia ar finansine informacija – tokiai veiklai geriau naudoti mobilųjį internetą arba bent jau papildomą VPN paslaugą, kuri šifruoja visus duomenis tarp kompiuterio ir VPN serverio, net jei naršoma HTTP protokolu veikiančiose svetainėse;
  • Įsitikinti „Wi-Fi“ prieigos taško patikimumu (patikrinti, ar jis veikia toje aprėptyje, kokioje turėtų veikti, ar pavadinimas tiksliai sutampa su toje vietoje turinčiu veikti tašku. Jei prisijungimo taškų sąraše yra keli panašūs pavadinimai, geriau paklausti personalo, kuris iš šių taškų yra tikrasis;
  • Vengti HTTP protokolu veikiančių svetainių ir jokiose tokių svetainių formose neįvedinėti svarbios ar jautrios informacijos;
  • Kritiškai vertinti neįprastus veiksmus, parodomus įspėjimus (pvz., programišiams vykdant „Man-in-the-middle“ ataką, jie vartotojo kompiuteriui gali pateikti kitą sertifikato raktą, tada naršyklė parodys įspėjimą apie sertifikatų nesutapimus, taip pat būtina atkreipti dėmesį į prašymus registruotis naršyklėje, kad būtų galima toliau naudotis internetu – panašiai kaip būna oro uostuose, tačiau tai gali būti programišių spąstai);
  • Išjungti bet kokį turinio dalinimąsi vietiniame tinkle – namuose gali būti patogu viename kompiuteryje matyti tai, kuo dalinamasi kitame kompiuteryje, bet viešuose tinkluose to daryti tikrai nepatartina;
  • Išjungti automatinį prisijungimą prie atvirų „Wi-Fi“ prieigos taškų, nes dėl tokios „pagalbos“ į programišių paspęstus spąstus galima patekti automatizuotai, to net nepastebėjus.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Pasisemti ilgaamžiškumo – į SPA VILNIUS
Akiratyje – žiniasklaida: ką veiks žurnalistai, kai tekstus rašys „Chat GPT“?
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų