Бесконечный и нелепый список того, что вам нужно знать, чтобы безопасно использовать публичные сети Wi-Fi

Привет, Хабр! Представляю вашему вниманию перевод статьи «The Complete, Endless, Ridiculous List of Everything You Need to Be Safe on Public Wi-Fi» автора Patrick F. Wilbur.

Wi-Fi сети, вебсайты, протоколы, которые мы используем, не обеспечивают нам необходимой безопасности онлайн. Поэтому каждый пользователь должен сам защитить себя. Под катом список основных принципов для безопасного использования Интернета.

1. Общеизвестные принципы безопасности


Во-первых, для того, чтобы быть в безопасности, используя публичный Wi-Fi, нужно быть в безопасности в Интернете вообще.

Как минимум нужно:

  • Пользоваться аккаунтами, которые не были скомпрометированы.
  • Использовать сильные пароли по одному паролю на каждый аккаунт без повторений.
  • Включить двухфакторную аутентификацию на всех ресурсах, где это возможно.
  • Не использовать двухфакторную аутентификацию по SMS из-за того, что текстовые сообщения могут быть переправлены на телефон злоумышленника.

2. Установка обновлений ПО


Баги веб-браузеров, уязвимости протоколов TLS/SSL, аутентификации Wi-Fi, приложений и операционных систем должны быть исправлены перед тем, как подключаться к новым сетям. Это означает, что вам следует поддерживать актуальные версии операционных систем и приложений, а также других устройств (роутеров, принтеров и так далее), так как они могут стать вектором атаки для других устройств и аккаунтов.

3. Анализ периметра атаки


Перед тем, как даже думать о подключении к публичной сети, вам стоит задуматься, как вы будете защищать ваш компьютер от атаки. Вам нужно быть уверенным, что в данный момент не запущен никакой ненужный сервис с доступом в сеть или файло-обменник, а также установлен и настроен файрвол.

Также отличной идеей будет удалять не используемое ПО с компьютера и держать на нем только самые необходимые для работы программы.

Другой полезной практикой является создание и ведение оффлайнового списка ваших аккаунтов, чтобы вы не забывали об информации, которая может быть с ними связана и периодически проверяли и деактивировали неиспользуемые.

4. Предотвращение вторжения


Прежде чем присоединяться к публичной сети вам следует принять меры для предотвращения перехвата информации приложений. Для этого подойдет надежный VPN. Его нужно установить и правильно настроить, чтобы он запускался мгновенно и не пропускал никакие протокольные пакеты (например, DNS-запросы).

VPN-клиент должен быть скачан перед соединением с публичной сетью, так как нет гарантий, что вы скачаете через публичную Wi-Fi сеть ПО без вредносного кода.

5. Подключение к правильным сетям


Большинство публичных Wi-Fi сетей используют внутренний портал (captive portal), который содержит условия использования или собирает информацию о своих пользователях.

К сожалению, если VPN захватывает весь трафик, то как правило требуется отключить VPN, чтобы пройти через внутренний портал и получить доступ в Интернет. Внутренний порталы могут, как минимум, свести на нет все преимущества VPN, не говоря уже о потенциальном отслеживании в случае если передаются куки.

6. Избегание ананасов


Ананасы — это роутеры для злонамеренных действий замаскированные под обычные безобидные сети.

Если файрвол работает на пару с VPN, то все ок, для атак ананасам практически ничего не остается. Однако, как уже говорилось выше, риск может исходить из внутренних порталов, а также утечки конфигурации VPN.

Грустная правда заключается в том, что не только сети злоумышленников могут быть замаскированы под безопасные, но даже в безопасных публичных сетях могут быть подключены злоумышленники.

7. Расширения браузеров для определения дыр в безопасности


Примерно 25% вебсайтов посещаются без включенного шифрования и вебсайты повсюду следят за вами и членами вашей семьи.

В этом случае помогут такие расширения как HTTPS Everywhere и Privacy Badger. Также контейнерные расширения, изолирующие сайты и их данные друг от друга, могут эффективно блокировать определенные онлайн трекеры. Я бы советовал использовать их вместе при посещении всех вебсайтов.

Если вы находитесь в особой группе риска (активист, репортер или миллиардер), вам будет полезно использовать более серьезную изоляцию потенциально опасных онлайн активностей за счет использования специально выделенных для них устройств. Ни одна мера виртульного сдерживания не работает так же хорошо как физическое разделение.

8. Понимание и оптимизация модели угрозы


У каждого пользователя есть своя модель угрозы, определяемая различными обстоятельствами:

  • Где находятся ваши наиболее ценные данные?
  • Где вы наиболее уязвимы для атаки?
  • Каковы ваши наиболее вероятные угрозы?

Постоянно спрашивайте себя: что я могу сделать, чтобы сократить угрозы и жить более осознанно в смысле безопасности и приватности?

Спрашивайте себя: Есть ли у меня какие-нибудь уникальные обстоятельства? Например, вы репортер, которому нужна анонимность, или богатый бизнесмен с доступом к полному банковскому счету. Если так, ознакомьтесь с этими Советами, инструментами и руководствами по обеспечению безопасности онлайновых коммуникаций. Чтобы оставаться в безопасности в публичных сетях, необходимо постоянно быть в курсе последних рекомендаций и применять их на практике.

Заключение


Как минимум, используйте доверенный VPN, двухфакторную аутентификацию (без SMS-сообщений!) везде, где это возможно. Установите HTTPS Everywhere и вовремя устанавливайте актуальные обновления. Иначе вам стоит полностью пересмотреть свое отношение к безопасности.
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 23

    +10
    Чем публичная вайфай сеть отличается от обычного интернета. Всегда путь от точки А до Б обеспечивают небезопасные узлы. Принципиальной разницы не вижу
      +3
      Как минимум единой средой передачи для всех в этой сети. Бери и лови любые пакетики.
      А вот прочтёшь или нет, это уже другой вопрос.
        0
        так ловить проще на маршрутизаторе
          +8
          На маршрутизаторе ловит только админ, а в открытой сети ловить может любой клиент.
            +1
            Немедленно вспомнились времена хабов без интеллекта и подключение к такому хабу сетевухой в «Promiscuous mode».
        +1
        Ты можешь доверять своему провайдеру или недоверять.

        Но доверять всем соседям, которые сидят вместе с тобой в публичной сети — это точно нельзя.

        А они видят все пакеты, могут подделать твой mac и перехватить твою сессию в принципе не особо обладая знаниями и доступом. Обычные скрипт-кидди, которым нечего делать.
        +2

        Интересно, как много людей, кроме Брюса Шнайера, следуют всем перечисленным практикам...

          +2

          Хотелось бы увидеть список Брюса для предотвращения угроз при встрече с девушкой.

            –2
            Конкретно про девушек не видел, но вот тут есть весьма занятные вещи
          –2
          Не использовать двухфакторную аутентификацию по SMS из-за того, что текстовые сообщения могут быть переправлены на телефон злоумышленника.

          двухфакторную аутентификацию (без SMS-сообщений!) везде, где это возможно


          Странное заявление. Вы реально думаете, что SMS «могут быть переправлены на телефон злоумышленника» любым лицом? Тем более тем, кто будет снифферить Wi-Fi в общественных местах?
            +1
            Если предположить, что цель статьи — высмеять требования по безопасности, то эти два пункта весьма органично смотрятся.
              0
              А, ну так-то да…
                0
                На самом деле нет, SMS это одна большая уязвимость, и я действительно не рекомендовал бы их использовать.
                +1
                Вроде перехват смс давно не проблема, последний раз когда встретил подобное предложение цены начинались от 2000р за 1 смс для всех российских операторов. Для этого не обязательно даже ходить в даркнет, на форумах типа биткоинталк часто попадаются подобные предложения (и судя по отзывам не фейк). Можно вспомнить еще госорганы, которые в любой момент могут перехватит смс.
                SMS аутентификация, больше вредна, чем полезна, Wi-Fi просто частный случай. Вдобавок, после привязки номера, несмотря на «двухфакторность», по смс частенько можно восстановить доступ к аккаунту без пароля и даже почты.
                0
                А как предлагается защищаться от клонирования mac-адреса злоумышленником, чтобы творить гадости от вашего имени, т.к. вы уже авторизовались по sms?
                • НЛО прилетело и опубликовало эту надпись здесь
                  +1
                  Расширения браузеров для определения дыр в безопасности

                  Браузерные расширения — вообще отдельная тема. Технически, расширение браузера может иметь доступ ко всему трафику, который проходит через браузер. Поэтому устанавливать всё подряд — плохая идея (или при установке нужно хотя бы взять на себя труд прочесть, какие разрешения расширение попросит для работы).
                    +3
                    Самое очевидное и лучшее — не пользоваться публичным Wi-Fi вообще, а если на ноуте нужен доступ в интернет — раздавать со смартфона.
                      0

                      Надеть презерватив, намазать зеленкой, забинтовать, надеть еще один, намазать йодом, забинтовать, забетонировать… и никаких половых контактов!

                        0
                        TLDR: лучше просто не использовать открытые сети, в частности, публичные
                          0
                          Для того что бы максимально обезопасить себя при работе с публичными сетями WiFi это не работать в них! А уж если ожидается или вероятно использование то надо быть к этому готовым и работать в сетях сразу через VPN, понятно что это не дает 100% гарантии, но хотя бы ограждает слегка просто посмотреть что за пакеты гуляют у соседа… и тут понятно что совсем в крайность уходить бессмысленно, потому что тут как с автомобилем, если вас заказали, то самое лучшее просто не появляться в сети через точки, где есть возможность отслеживать ваше подключение. Однако при использовании VPN столкнулся что иногда владелец WiFi очень ревностно смотрит когда что-то зашифрованное начинает гулять в его сети — в одном заграничном отеле мои подключения постоянно сбрасывались когда я начинал использовать VPN. при том что просто новости посмотреть видео на ютубе, вообще вре что можно без регистрации серфинг без проблем, а дальше я не желая «светить» свои логины/пароли не хотел подключаться без VPN.
                            0
                            А каким VPN пользовались? Скорее, там запрещали/сбрасывали GRE. Я в одной организации тоже не мог PPTP подключить — запрещено было на узле. Но обычный https пролазил, поэтому OpenVPN на 443 порт нормально работал.
                              +1
                              самый простой вариант это поднятый дома/офисе на роутере VPN сервер, для простых задач его хватает, для более скоростных соединений понадобиться использование сторонними сервисами.А по-поводу сброса GRE с одном случае подтвердилось, но этотема отдельного разговора и может даже статейки.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое