W ostatnim poście pisałem o domowym WiFi. Kontynuując ten wątek zapraszam na przygodę :)
Jest piękny lipcowy wieczór, jesteś w delegacji, zmęczony po całym dniu pracy, wracasz do hotelowego lobby i zamawiasz z nalewaka zimnego browarka...ahhh
... może być też tak, że nie masz jednak zakwaterowania i musisz wracać 300 km samochodem, więc po drodze zajeżdzasz po ostre kfc, tak żeby tajemniczy składnik powodujący palenie w całych jelitach postawił Cię na nogi.
Niezależnie od miejsca, w którym się znajdujesz wyjmujesz swojego lapka, żeby sprawdzić czy pieniążki za fakturkę są już na koncie.
Odpalasz komputer, szukasz wifi ... i jest, niezabezpieczone hotel-goscie-lobby2
lub kfc-parking-free.
Klikasz połącz.
Logując się do wifi, musisz jeszcze zainstalować jakiś dodatkowy certyfikat bezpieczeństwa sieci, robisz to czym prędzej klikając ok, ok i łączysz się do sieci. Masz neta.
Logujesz na konto, kasa nie wpłynęła logujesz się więc na pocztę, żeby szyvko wysłać wiadomość z ponagleniem zapłaty. Miał być szalony weekend, a tu niestety lipa. Piwko się grzeje, jedzenie stygnie, bateria pada. Zamykasz lapka.
Dopijasz browara do końca, bierzesz drugiego i idziesz pod prysznic, bądź kończysz pałąszować kfc i ruszasz w drogę, zostawiając fryteczki na trasę.
Co się dzieje w tym czasie ? Tak, przed chwilą upuściłeś mydełko.
Właściciel sieci właśnie uzyskał dostęp do Twojego konta bankowego i Twojej skrzynki e-mail. Atakujący był tzw. Man In The Middle (udawał router) i przechwytywał wszystko co leciało z Twojego komputera do sieci i z sieci do Ciebie :). W większości przypadków nie widziałby danych logowania, które podałeś, zainstalowałeś jednak podrzucony przez niego certyfikat - Ups, wszystko zaczyna się składać.
Nie często zdarza się prośba o zainstalowanie takiego certyfikatu, i wtedy uzyskanie loginu do Twojego banku, jest bardzo trudne ponieważ certyfikat ssl dla tego typu stron potwierdza przeglądarka,
logując się jednak do poczty nie zauważyłeś, że strona w tym przypadku nie miała kłódeczki, tak jak te na poniższym obrazku:
Powyższe screeny wykonałem symulując tego typu atak na komputerze żony.
Środki z Twojego konta na razie nie znikną, ponieważ od zeszłego roku wszystkie banki powinny wdrożyć dwuetapowe potwierdzanie aplikacją lub wiadomością sms, zapewniam Cię jednak, że atakujący już nie odpuści i spróbuje uzyskać do Ciebie te potwierdzenie.
W międzyczasie tracisz jednak dostęp do swojej poczty, facebooka, allegro i wielu innych portali, ponieważ atakujący korzysta z prostej opcji przypomnij hasło i w ten sposób zmienia Twoje hasła do wszystkich portali dodatkowo w czasie kiedy Ty pałaszujesz fryteczki, atakaujący pałaszuje Twoją pocztę w poszukiwaniu danych.
Co może z nimi zrobić ? Bardzo dużo jednak o tym innym razem.
Skoncentrujmy się na wnioskach i sposobach zabezpieczania się przed takim atakiem.
Pamiętaj:
Jeśli możesz to nigdy nie korzystaj z sieci wifi w pociągach, restauracjach, hotelach i innych miejscach użyteczności publicznej.
Jeśli już musisz tak bardzo skorzystać z internetów to najlepiej stwórz sieć swoim telefonem i podłącz się do niej.
Zainstaluj dodatek plugin HTTPS Everywhere dla swojej przeglądarki, który dodatkowo weryfikuje czy domeny posiadają kłódeczkę i dba o to, żeby zawsze była:
Jeśli już musisz połączyć się z taką siecią to skorzystaj z VPN.
Nigdy nie instaluj na komputerze nieznanych certyfikatów i programów
Gdzie tylko możesz włącz dwuskładnikowe uwierzytelnianie (o którym więcej w szkoleniu), wtedy nawet jeśli stracisz hasło to zawsze będziesz musiał podać drugie, żeby zalogować się do danego konta.
Odpocznij od komputera, świat się nie zawali jeśli sprawdzisz coś dopiero następnego dnia w domu lub korzystając z bezpiecznego wifi.
Comments