Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 114
А где предложение подключусь, но личные данные только на сервисах с шифрованием (gmail по https etc)
Имхо, по смыслу это подходит под второй вариант.
Личный (исследовательский) опыт показывает что абсолютно нельзя использовать не только открытые сети, а и WEP, на вскрытие которых уходит меньше часа на нетбуке за $250
img194.imageshack.us/img194/880/wirelesssecurityexplain.png
на WPA2 тоже не стоит особо надеятся с приходом видеокарт за $200 имеющих 400+ ядер на 1.6 ГГц ;)
img193.imageshack.us/img193/277/1010new.png
img580.imageshack.us/img580/1781/cudarocksresultnew.png
Поэтому дома большинство оборудования работает по витой паре, а мобильные телефоны хоть и через WiFi с WPA2 но с силой сигнала 12%, так что за пределами квартиры сигнал уже и не слышно.
P.S.
В ходе исследовательских экспериментов никто не пострадал.
img194.imageshack.us/img194/880/wirelesssecurityexplain.png
на WPA2 тоже не стоит особо надеятся с приходом видеокарт за $200 имеющих 400+ ядер на 1.6 ГГц ;)
img193.imageshack.us/img193/277/1010new.png
img580.imageshack.us/img580/1781/cudarocksresultnew.png
Поэтому дома большинство оборудования работает по витой паре, а мобильные телефоны хоть и через WiFi с WPA2 но с силой сигнала 12%, так что за пределами квартиры сигнал уже и не слышно.
P.S.
В ходе исследовательских экспериментов никто не пострадал.
Очень печально, что вариант «Вообще подключаться не стану» имеет меньше всего голосов…
а чем VPN не угодил?
Наверное тем что до того как вы установите VPN подключение и весь трафик пойдет черзе него много программ успеют послать данные напрямую, например почтовый клиент.
А у вас почта без ssl?! :)
У меня нет отдельного почтового клиента на домашнем компе.
Это был всего лишь пример, показывающий где может быть проблема с работой через VPN.
Очевидно что просто так ваши данные нафиг никому не нужны, а если будут нужны то и VPN не поможет.
Но это все же не повод рассылать их всем вокруг в открытой форме :)
Это был всего лишь пример, показывающий где может быть проблема с работой через VPN.
Очевидно что просто так ваши данные нафиг никому не нужны, а если будут нужны то и VPN не поможет.
Но это все же не повод рассылать их всем вокруг в открытой форме :)
Можно на время подключения к VPN блочить персональным МСЭ всё кроме VPN-туннеля. Если не планируется подключения ноута к другим сетям — не такая уж и плохая идея. Иначе есть риск замучиться с настройками МСЭ при подключении к другой сети
Параноя детектед =)
В Германии, например, законодательно запрещено держать точки доступа без паролей.
И ннаверное нетолько потому что могут что-либо украть у тебя, а еще и потому что могут украcть что-то оставив в логах твой адрес.
Очевидно, что все это технически сложно, и вероятность что кулхацкер живет рядом с тобой стремится к нулю. Но всеравно непонятно зачем свои пакеты рассылать всем вокруг :)
И ннаверное не
Очевидно, что все это технически сложно, и вероятность что кулхацкер живет рядом с тобой стремится к нулю. Но всеравно непонятно зачем свои пакеты рассылать всем вокруг :)
Совершенно согласен, более того, люди так любят защищать то что им доступно.
Ну хорошо отказался дома от вайфая даже по wpa2, ну и что? Что мешает поставить снифер в подвале дома рядом с роутером? Что мешает провайдеру твои данные считывать? Вообщем, если не занимаешься ничем противозаконным, этот геморой излишен, а если занимаешься, то передавать не шифрованные данные моветон :)
Ну хорошо отказался дома от вайфая даже по wpa2, ну и что? Что мешает поставить снифер в подвале дома рядом с роутером? Что мешает провайдеру твои данные считывать? Вообщем, если не занимаешься ничем противозаконным, этот геморой излишен, а если занимаешься, то передавать не шифрованные данные моветон :)
По такой логике можно и квартиру на ключ не закрывать — «Если кому нужно будет, всё равно же откроет» :)
Массово воровать логины-пароли к социалкам, а потом продавать ботов — самое-то.
Что-то сколько ноутов у меня не было — везде promiscuous mode у адаптера не ставился в wireshark, либо я что-то делаю не так постоянно.
А специальный адаптер покупать ради этого дела — хз, это надо быть фанатом или обладать целью стащить некоторые данные конкретного человека или фирмы.
А специальный адаптер покупать ради этого дела — хз, это надо быть фанатом или обладать целью стащить некоторые данные конкретного человека или фирмы.
А какой правильный вариант ответа? :)
Не списывать! :D
Очевидно, третий. Хотя, у меня свой vpn-сервис и я могу быть предвзят.
у меня тоже есть VPN сервер, а разве пароль на VPN нельзя перехватить?
А VPN надо на ключах делать, а не на паролях ;-)
Эм… Мне очень интересно, как вы будете перехватывать пароль, передаваемый через SSL-соединение с RSA-ключом 4096 бит.
Своего впн нет, Tor browser и вперед (если пароли вводить нужно, а не новости глянуть). Дешево и сердито.
С тор-ом то еще вопрос безопаснее будет пароли вводить или нет.
Почему? Да, я знаю про проблему последней ноды, но это все равно не идет ни в какое сравнение по сравнению со стандартным браузингом. Если быть полным параноиком, тогда уж вообще в i2p путь-дорога.
А мне кажется вероятность компрометации пароля при использовании Тор-а наоборот выше чем в случайной wi-fi сети.
Тор не для шифрования разрабатывался, а для анонимизации.
Самое правильное все-таки это использовать VPN.
Тор не для шифрования разрабатывался, а для анонимизации.
Самое правильное все-таки это использовать VPN.
Анонимности без шифрования не бывает, это раз. Два — VPN тоже не панацея, ведь в конце концов уязвимое место — VPN сервер. Извините, но слова «а мне кажется» на пруф не тянут. Судя по опыту определенных %usernames%, которые юзали TOR для картонных дел и общения с дропами — он вполне надежен.
Анонимность в общем случае никак не связана с шифрованием, это раз.
Два, это большая разница между непонятно чьей последней нодой и своим впн-сервером.
Три, это мой личный опыт когда я, ради спортивного интереса, поставил такую tor-ноду и за непродолжительное время поднял дофига паролей.
Два, это большая разница между непонятно чьей последней нодой и своим впн-сервером.
Три, это мой личный опыт когда я, ради спортивного интереса, поставил такую tor-ноду и за непродолжительное время поднял дофига паролей.
Нода меняется. Анонимность в общем случае может быть и не связана, но. Это ответ и на второй комментарий. Что до «своего» впн сервера, что это значит? Он у вас дома стоит? А маски-шоу? Колокейшн? Тоже самое. Но мы отклонились от темы топика.
И вы сами себе противоречите: для картонных дел и общения с дропами нужна как раз анонимность, а не шифрование.
у меня чудовищный мобильный интернет 1 доллар за 1 мб, но в wifi чужой не лезу.
безлимитный интернет на телефоне. Вайфай только батарею больше кушает.
Мобильного интернета навалом — корпоративный телефон и Yota, которую оплачиваю сам. WiFi даже искать не буду.
Про то, что из окна съемной квартиры ловится открытый Wi-Fi из соседнего офиса — я узнал за неделю до съезда с этой квартиры :(
пользуюсь просто по максимуму https соединением.
проголосовал за халяву=) сомневаюсь что, например, в кафе открытая сеть используется для кражи личных данных
в кафе/ресторанах пользуюсь вайфаем спокойно.
в других местах даже не напрягаюсь поиском вайфая и сижу через мобильный интернет, хотя дешевым его не назвал бы.
в других местах даже не напрягаюсь поиском вайфая и сижу через мобильный интернет, хотя дешевым его не назвал бы.
ssh-туннель на домашний роутер, а оттуда уже дальше куда нужно. Подходит под вариант с vpn.
Вообще смахивает на паранойю. С другой стороны опасения понятны. Но пока за двух летнюю практику увода каких либо акков у меня не было.
Если же, нечто произойдёт, то хоть будет ясно с кого спросить. Другие скажут, а нечего ломиться в открытый вайфай и будут правы. Опять же, если ты открыл вифи для воровства паролей, то дюлей должен получить обосновано. А если, открыто по незнанию, ну разве я виноват в этом? В наше время лимитных тарифов практически не осталось. Так что никому плохо не будет, если я проверю почту или отправлю пару твитов.
Если же, нечто произойдёт, то хоть будет ясно с кого спросить. Другие скажут, а нечего ломиться в открытый вайфай и будут правы. Опять же, если ты открыл вифи для воровства паролей, то дюлей должен получить обосновано. А если, открыто по незнанию, ну разве я виноват в этом? В наше время лимитных тарифов практически не осталось. Так что никому плохо не будет, если я проверю почту или отправлю пару твитов.
В своё время, у себя на роутере, оставлял открытый узенький канальчик.
А не страшно, что Ваш IP засветится где-то на сайтах с детским порно или на переборе паролей Пентагона и бравые ребята в погонах придут выяснять что к чему? К стати, весьма велик шанс, что даже и не получится открутится.
Если вай-фай открытый, то как раз не страшно. А если под паролем, тогда заинтересованность ребят в погонах будет обоснованной в глазах суда.
Ну если у них не будет хватать галочки в их отчётных документах, то может быть будет плохо. Только почему-то владельцы кафе с фри вифи не боятся этого. Может тоже не пуганые))
Засвет ип в логах вообще ничего не доказывает, если не найдут нужного софта при обыске, то идут лесом, любой юрист разобьет обвинение в пух и прах. Насколько я помню, во всех последних подобных делах обвинение нормальные доказательство находило, а не ип в логах…
Интересный вообще вопрос. По сути засвет IP в логах, это свидетельство провайдера о Вашей виновности. Ну как бы если кто-то у кого-то что-то стырил, а какой-нибудь свидетель сказал — «это вот он сделал, я видел!». Мне кажется, в некоторых случаях это вполне себе основание ну как минимум для серъезных подозрений. Ну как минимум конфисковать комп. А дальше — ну у кого из нас не найдешь пару крякнутых софтин или музыки на тысячу-другую баксов?
Ага. Т.е. однозначно вредоносный пакет ушел с устройства, находящегося в Вашей квартире, допустим, во время, когда в этой квартире никого кроме Вас нету — и тут надо что-то доказывать? А если бы из окна Вашей квартиры вылетела пуля и кого-то убила, то Вы бы тоже ментам заявляли, что да, вот винтовка, дома был только я, но вы вот возьмите и докажите, что я виновен!
Проголосовал за второй вариант. Пользуюсь халявным wifi от кого-то из соседей только если падает собственный канал доступа в инет и не удаётся его поднять за разумное время. Естесственно не посещаю почту и др. сервисы, где надо вводить личные данные (либо посещаю их через vpn). Но для профилактики купил 500mw адаптер + хорошую внешнюю антенну и подобрал ключи ко всем WEP и некоторым WPA/WPA2 сетям в пределах доступности — ведь никто не знает, не упадёт ли и канал у соседа одновременно с моим :)
Пользуюсь Сотел 3G.
Чужим сетям не доверяю
Чужим сетям не доверяю
Жажда халявы у меня больше, чем чувство собственной безопасности… ответ №1.
Не хватает варианта: «Даже не знаю, в той жопе, где я сейчас нахожусь, проще найти живого дракона, чем вайфай».
Я домашний wi-fi не паролю. Пусть пользуются случайные прохожие, вдруг кому срочно. И скажу спасибо, если сам таким воспользуюсь.
А что плохого в коннекте по ssh через публичную сеть?
Тут много умных дядь и тет кричат, что все параноики, и кому нужны личные данные.
Я посмотрел бы на Вас потом, когда в какой-то момент не сможете зайти на гмейл, а на гмейле завязан пей-пел, стим, баттлнет и куча разной лабуды.
Конечно же — хттпс в гмейле не ставили; к мобильному его не привязывали; контрольный вопрос уже не вспомнить. Да-да… Это же так обычно и бывает.
Меня умиляет смотреть на МНОГО_МНОГО людей, сидящих в маках по вайфаю в своих соц. сетях, а потом жалуются — украли, написали, похерили и т.д.т.п…
Одно дело -торренты на хлв раздавать, совсем другое — работать.
Это не параноя, это здравый смысл.
Я посмотрел бы на Вас потом, когда в какой-то момент не сможете зайти на гмейл, а на гмейле завязан пей-пел, стим, баттлнет и куча разной лабуды.
Конечно же — хттпс в гмейле не ставили; к мобильному его не привязывали; контрольный вопрос уже не вспомнить. Да-да… Это же так обычно и бывает.
Меня умиляет смотреть на МНОГО_МНОГО людей, сидящих в маках по вайфаю в своих соц. сетях, а потом жалуются — украли, написали, похерили и т.д.т.п…
Одно дело -торренты на хлв раздавать, совсем другое — работать.
Это не параноя, это здравый смысл.
Я там выше писал, что если вдруг такое случится, то теоретически, да и практически можно вычислить злоумышленника и вломить ему дюлей, если ты конечно не сопливый пацанчик ;)
>Меня умиляет смотреть на МНОГО_МНОГО людей, сидящих в маках по вайфаю в своих
>соц. сетях, а потом жалуются — украли, написали, похерили и т.д.т.п…
получается вы против вифи в кафешках?
>соц. сетях, а потом жалуются — украли, написали, похерили и т.д.т.п…
получается вы против вифи в кафешках?
Опрос немного некорректный. Всё дело в том, для чего понадобился инет? Лично у меня подключен мобильный инет, но всего 5 мегабайт в час. Достаточно для того что бы посмотреть, например, расписание электричек, но увы с видео на ютубе мне не по пути. И естественно работать по халявному Wi-Fi буду только в случае крайней нужды.
Как я понимаю, в кафе потенциальный злоумышленник подсоединяется ноутбуком в халявной wifi точке доступа. Но разве точка доступа будет слать ему сетевые пакеты от других пользователей, если они не широковещательные? Как я понимаю единственная подстава может быть, если злоумышленник создаст рядом свою точку доступа и будет в неё ловить посетителей?
Maк спуфинг? Посмотрите видео, если тема интересна.
Моя любимая тема :-)
Атака на открытые сети для перехвата куков проста как два рубля. Достаточно ноута с убунтой (или любым другим линуксом) с установленными nmap, arpsoof, tcpdump и ssltrip (по желанию). Далее просто:
включаем ip-форвардинг;
запускаем nmap и находим жёртву;
запускаем arpspoof и вводим ip-адрес жертвы
запускаем tcpdump с сохранением всего пакета (а не только первых N байт)
Всё! Дома смотрим логи и вытаскиваем пароли (в крайнем случае — куки, но они могут быть тухлыми).
Так как атака проста, как две копейки, то паранойя прогрессирует со страшной силой.
Атака на открытые сети для перехвата куков проста как два рубля. Достаточно ноута с убунтой (или любым другим линуксом) с установленными nmap, arpsoof, tcpdump и ssltrip (по желанию). Далее просто:
включаем ip-форвардинг;
запускаем nmap и находим жёртву;
запускаем arpspoof и вводим ip-адрес жертвы
запускаем tcpdump с сохранением всего пакета (а не только первых N байт)
Всё! Дома смотрим логи и вытаскиваем пароли (в крайнем случае — куки, но они могут быть тухлыми).
Так как атака проста, как две копейки, то паранойя прогрессирует со страшной силой.
На самом деле спуфинг ненужен.
Все пакеты доходят ФИЗИЧЕСКИ в виде радиоволн.
Ненужные пакеты обычно просто отсекаются на уровне драйвера… но если ты имеешь исходники драйвера то можно получать и чужие пакеты. В том то и вся проблема.
Все пакеты доходят ФИЗИЧЕСКИ в виде радиоволн.
Ненужные пакеты обычно просто отсекаются на уровне драйвера… но если ты имеешь исходники драйвера то можно получать и чужие пакеты. В том то и вся проблема.
Создам ssh-тоннель и понеслась.
Четвертый вариант, т.к. большинство попыток подключения к незнакомым сетям приводят только к пустой трате времени из-за того, что они просто неюзабельны.
sudo ssh -w any example.com
У себя выполняем:
sudo ifconfig tun0 192.168.5.2/30 pointopoint 192.168.5.1
sudo ip route add 176.196.102.77 via $(ip route | grep default | awk '{print $3}')
sudo ip route del default
sudo ip route add default via 192.168.5.1
На сервере:
ifconfig tun0 192.168.5.1/30 pointopoint 192.168.5.2
У себя выполняем:
sudo ifconfig tun0 192.168.5.2/30 pointopoint 192.168.5.1
sudo ip route add 176.196.102.77 via $(ip route | grep default | awk '{print $3}')
sudo ip route del default
sudo ip route add default via 192.168.5.1
На сервере:
ifconfig tun0 192.168.5.1/30 pointopoint 192.168.5.2
под виндой это же умеет PuTTY, вкладка SSH→tunnels
Кстати, если пользоваться WPA2-ENTERPRISE с ключами и авторизацией по RADIUS, трафик может прослушать другой клиент?
Ну, я имею ввиду, если стоит WPA2-PSK и два человека подключены к сети, то они оба могут слушать трафик друг друга. С WPA2-ENTERPRISE тоже так? Или он шифруется для каждого по отдельности?
Немного думаю над провайдингом вайфая, думаю как лучше и защищенней сделать без всяких pptp и pppoe.
Ну, я имею ввиду, если стоит WPA2-PSK и два человека подключены к сети, то они оба могут слушать трафик друг друга. С WPA2-ENTERPRISE тоже так? Или он шифруется для каждого по отдельности?
Немного думаю над провайдингом вайфая, думаю как лучше и защищенней сделать без всяких pptp и pppoe.
Вариант номер один. Еще включу Utorrent и встану на раздачу.
я параноик и юзаю https
У нас по городу только один провайдер. И тот ADSL. Выдают всяческие модемы. Если найдешь сеть любого из них никакого толка, кроме помех соседям. Но есть индивидуальности, которые настраивают модем роутером и не заботятся о безопасности WiFi. ССЗБ. Грех не воспользоваться если рядом погоду надо узнать или новости почитать. Ну или на крайняк в скайпе поговорить, тем более на телефоне не выключаю WiFi, т.к. он на работе и дома ловит её и обновляется. А для тех сетей даже настроек не надо, нашёл, увидел и скачал. А я только звук слышу, что-то прилетело новое.
Подключаться к чужому WiFi крайне опасно с любой операционной системой.
Например, если у вас в одной из вкладок браузера открыт вконтакте, он в фоновом режиме постоянно дергает свои сервера, и ваши куки пройдут незашифрованными в аякс-запросе через чужую точку доступа. Привязка сессии по IP не поможет, так как владелец точки имеет тот же внешний IP.
Если у вас открыт какой-нибудь гмейл — опять же, куки и все данные пойдут через чужую сеть. Аськи и джабберы полезут пересоединяться. Почтовый клиент полезет в SMTP с незашифрованным паролем.
Например, если у вас в одной из вкладок браузера открыт вконтакте, он в фоновом режиме постоянно дергает свои сервера, и ваши куки пройдут незашифрованными в аякс-запросе через чужую точку доступа. Привязка сессии по IP не поможет, так как владелец точки имеет тот же внешний IP.
Если у вас открыт какой-нибудь гмейл — опять же, куки и все данные пойдут через чужую сеть. Аськи и джабберы полезут пересоединяться. Почтовый клиент полезет в SMTP с незашифрованным паролем.
Подключаюсь к серверу VPN, даже когда работаю с 3G модема, у меня VPN сервер дома стоит, а ещё VPN жмёт трафик, а потоковые веб фильтр и антивирус на шлюзе упрощают мне жизнь и режут рекламу безо всяких адблоков и антибаннеров на стороне браузера. Так что вариант 3 :)
Если есть подозрение, что у владельца Wi-Fi интернет по траффику – не полезу.
В ином случае залезть можно, но только с собственным шифрованием.
В ином случае залезть можно, но только с собственным шифрованием.
Ну если мне просто нужно срочно хабру почитать (не коментить) то можно и подключится, хотя моб. инет тоже справится.
Параноя детектед гы)
Паранойя — не паранойя, а самые хитрые ребятки как раз могут специально поставить открытую точку и снифать пароли.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вам вне офиса\дома понадобился Интернет. Поиск Wi-Fi нашел незнакомую открытую сеть.