LizzieSimpson 16 мар 2023 в 12:44

NordVPN сделала функцию туннелирования Meshnet бесплатной

1 мин

3.5K

IT-компанииIT-инфраструктура * Информационная безопасность *

Комментарии 11

Sazonov 16 мар 2023 в 12:59

Вот часто слышу про «небезопасный/незащищенный/недоверенный» вайфай. Может кто-нибудь доступно объяснить, что там может быть небезопасного, кроме трекинга mac адреса (да и то его уже даже айфоны умеют подменять)?

1MK-Ultra 16 мар 2023 в 13:14

Могут обнулить ваши карточки. Это достаточно небезопасно, для вас?

aborouhin 16 мар 2023 в 13:28

При наличии адекватного и обученного основам ИБ пользователя и/или корпоративного устройства, на котором пользователю ничего нельзя, и/или параноидально огороженной инфраструктуры, к которой он подключается, - наверное, и правда ничего. Только в реальном мире бывают и другие ситуации.

Понятно, что везде, где есть хоть что-то конфиденциальное, сейчас SSL. Но представим простые сценарии:

пользователь подключился к Wi-Fi и пошёл проверять почту; Outlook ругнулся на сертификат; "опять что-то по-непонятному пишет, когда уже айтишники всё нормально настроят" - подумал пользователь и нажал "ОК";
пользователь зашёл по ссылке с рекламой выгодной акции в любимом магазине; на страничке ему предложили "установить корневой сертификат Минцифры"; "так только же устанавливал для Сбербанка!" - ругнулся пользователь, но установил и этот; раз Сбер писал, что надо - значит, теперь кроме согласия на куки, ещё и сертификаты везде надо устанавливать...

Ну и иногда сам факт того, что пользователь X соединяется с mail.company.com - уже конфиденциальная информация, которую надо скрывать.

Iv38 16 мар 2023 в 14:29

пользователь подключился к Wi-Fi и пошёл проверять почту; Outlook ругнулся на сертификат; "опять что-то по-непонятному пишет, когда уже айтишники всё нормально настроят" — подумал пользователь и нажал "ОК";

У аутлука домен в прелоад списке HSTS, как и у большинства приличных сайтов. Так что браузер не даст принять сертификат.

aborouhin 16 мар 2023 в 14:46

Я не про outlook.com, а про почтовый клиент Outlook. И у конкретного почтового сервера, к которому он коннектится, может быть какой угодно сертификат.

Iv38 16 мар 2023 в 15:46

Хм. А он выдаёт запрос, позволяющий принять самоподписной сертификат?

aborouhin 16 мар 2023 в 15:47

Да. И если сертификат изменился, просроченный, не соответствует имени хоста - тоже выдаёт запрос, позволяющий несмотря на это всё продолжить.

maledog 16 мар 2023 в 14:07

Контроль соединений пользователя: куда,когда, возможно и зачем. Возможность подменять содержимое незащищенных соединений вроде DNS или FTP(без s). То же самое с защищенными соединениями, но пользователю будут сыпаться предупреждения, которые многие игнорируют. Возможность пострадать от "сетевого червя", которым заражен комп "соседа", через уязвимую версию ПО. Последнее возможно и в локалке провайдера, но обычно там все же роутер на пути.

Sazonov 16 мар 2023 в 23:52

В общем примерно такой же список угроз как и в любой сети, независимо от способа подключения. Просто выше вероятность что глупый пользователь встрянет.

Хорошо что я себя ещё в школе приучил не игнорировать предупреждения. Либо делать это осознанно и дважды подумав. Пытаюсь вспомнить, когда я в последний раз ходил на ftp. Ориентировочно лет 14 назад.

Мне в целом как-то более стрёмно подключать телефон к незнакомым usb портам, чем к вайфаям.

maledog 17 мар 2023 в 08:15

В "любой другой сети" посторонний должен еще проникнуть в сеть. А здесь "проходной двор". Подключиться к "незащищенной" WiFi-сети может любой кто окажется в радиусе действия сети.

BlackSCORPION 16 мар 2023 в 17:08

Например это может быть с виду открытая точка доступа аэропорта а на самом деле точка доступа в рюкзаке хакера с таким же именем, или похожим именем. Она может даже иметь такой же пароль, если это скажем вай фай в кафе с паролем вроде 12344321, и сохранено в телефоне.

Ну а если ты туда подключился то на тебе бот может испробовать все виды возможных mitm атак.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий