Wi‑Fi nas zdradza, a my chcemy oddać za nie nasze dzieci!

Smartfon bez dostępu do sieci jest jak ryba bez wody, więc oczywiste jest, że jak najrzadziej chcemy dopuszczać do takich sytuacji. Niestety, podczas poszukiwań bezprzewodowego źródełka Internetu często jesteśmy nieostrożni, aby nie napisać bezmyślni.

Komisja Europejska wskazuje, że w 2013 roku aż 71% całego bezprzewodowego ruchu do smartfonów i tabletów w Europie odbywało się przez sieci Wi-Fi. Wskaźnik ten może wynieść nawet 78% w roku 2016. Nie powinno to bardzo dziwić, gdyż sieci Wi-Fi znaleźć je w zasadzie na każdym kroku – od małych punktów dostępu w pubach i kafejkach po te udostępniane przez duże centra handlowe i sklepy. Neelie Kroes, wiceprzewodnicząca Komisji Europejskiej uważa rozwój sieci Wi-Fi na Starym Kontynencie za niezwykle istotny.

Neelie Kroes:

Wi-Fi to wielki sukces. To korzyści dla wszystkich zainteresowanych stron. Zadbam o to, aby Komisja Europejska pomogła rozpowszechnić użycie Wi-Fi poprzez dodatkowe pasmo i ograniczoną regulację.

Kroes, która jest zdeklarowaną przeciwniczką elektronicznego nadzoru, ma zamiar wspierać powstawanie i promocję ogólnodostępnych publicznych hotsporów, z których każdy będzie mógł korzystać za darmo. Brzmi naprawdę fajnie, ale czy zastanawialiście się co z ich bezpieczeństwem?

Pewnie nie, ale ekspercie z firmy F-Secure owszem. Na ich zlecenie w Londynie Cyber Security Research Institute i niemiecka firma SySS, która specjalizuje się w testach penetracyjnych, przeprowadziły dochodzenie w sprawie zabezpieczeń sieci Wi-Fi. Badania, w których brał również udział Europol, wyraźnie wskazują, że „użytkownicy mobilni całkowicie lekceważą bezpieczeństwo komputerowe”.

Technologia Wi-Fi wykorzystywana jest na szeroką skalę przez najróżniejszych użytkowników, a nawet operatorów komórkowych, którzy wykorzystują ją do wsparcia łączności 3G/4G. Niestety, poziom zabezpieczeń sieci Wi-Fi na chwilę obecną nie jest wystarczający. Wielu nie zdaje sobie z tego sprawy, ale urządzenia udostępniają szereg cennych informacji na nasz temat, które mogą być w łatwy sposób przejęte przez inne osoby. Podkreśla to Sean Sullivan z F-Secure, który zauważa, że nie trzeba wiele starań, aby przechwycić wrażliwe dane z sieci Wi-Fi.

Sean Sullivan:

Aby nas zidentyfikować, czasem wystarczy jedna sieć Wi-Fi o unikatowej nazwie; wiele osób nadaje sieciom domowym nazwy pochodzące od swojego nazwiska. Ale nadawanie 19 znanych nazw sieci przez urządzenie to prawdziwa katastrofa – niemal na pewno wystarczy to do zidentyfikowania dosłownie każdego. Kiedy zaś urządzenie zostanie zidentyfikowane jako należące do konkretnej osoby, wszystkie dane, które z niego wyciekają, narażają na ryzyko jej tożsamość. Kradzież tożsamości, oszustwa bankowe, przejęcia danych – zapobieganie im w dużej mierze zależy od ochrony anonimowości

Doskonale zdają sobie z tego sprawę cyberprzestępcy, dla których złamanie zabezpieczeń Wi-Fi jest bardzo proste. Szczególnie dużo zagrożeń może wiązać się z fałszywymi punktami dostępowymi, które podszywają się pod sieci oferowane przez hotele czy restauracje. Jak można przeczytać w raporcie F-Secure:

„Istniejąca usługa Wi-Fi może zostać „wyparta” przez punkt dostępowy o silniejszym sygnale i bez hasła; wszyscy użytkownicy usługi połączą się z nim, nie zdając sobie sprawy, że znaleźli się we wrogim systemie. Ta ostatnia technika umożliwia przejęcie sieci Wi-Fi udostępnianej przez firmę.

Europol już jakiś czas temu poinformował o wykryciu tzw. „zatrutych punktów dostępowych”, które wykorzystywane są do gromadzenia danych o użytkownikach. Przeprowadzony przez F-Secure eksperyment pokazał, że stworzenie fałszywej sieci Wi-Fi jest nie tylko dość proste, ale i bardzo tanie.

Firma SySS na zlecenie fińskich ekspertów przygotowała specjalne urządzenie, które wykorzystuje m.in. mikrokomputer Raspberry Pi, anteny UMTS, anteny Wi-Fi i baterię, która pozwolić ma na dwa dni pracy. Zaprogramowanie sprzętu zajęło jedynie dwa dni, a jego koszt szacuje się na 160 funtów. Urządzenie już na pierwszy rzut oka wydaje się podejrzane, ale firmie bez żadnych problemów udało się przemycić je w częściach droga powietrzną z Niemiec do Londynu.

W stolicy Anglii przystąpiono do właściwego eksperymentu, który przeprowadzono w dwóch punktach Londynu, zamieszkałych i odwiedzanych przez bogatszych mieszkańców. Pierwszy to Café Brera na Canada Square w finansowej dzielnicy Docklands, a drugi mieścił się przed Queen Elizabeth Centre w pobliżu Pałacu Westminsterskiego. Dzięki wspomnianemu urządzeniu stworzono sieć Wi-Fi, która w ciągu 30 minut zarejestrowała aż 250 urządzeń. 33 z nich połączyły się z fałszywym punktem dostępu - ponad połowę z nich udało się zidentyfikować, przechwytując aż 32 MB danych i monitorując korzystanie z 53 różnych usług internetowych. Jakby tego było mało, podczas eksperymentu udało się ustalić, że 250 zaobserwowanych urządzeń wyszukuje aż 4859 znanych im sieci Wi-Fi! To prawie 5 tys. punktów dostępy, z których część może być źródłem zagrożeń.

Przebieg eksperymentu świetnie oddaje poniższy materiał wideo.

Jeżeli myślicie, że monitorowanie urządzeń to wszystko, co mogą zrobić cyberprzestępcy, to jesteście w dużym błędzie. Podczas eksperymentu okazało się, że dane do logowania (nazwy i hasła użytkowników) przy korzystaniu z protokołu POP3 są widoczne podczas przechodzenie przez punkt dostępowy Wi-Fi. Ustalono nawet, że „jedną z tych wiadomości wysłał dyrektor dużej londyńskiej agencji wynajmu biur”!

Jednocześnie dostęp do konta e-mail może dostarczyć przestępcy informacji o banku używanym przez prawowitego właściciela konta, a także o innych usługach internetowych, które zwykle umożliwiają zresetowanie hasła przez e-mail, co podkreślił Mark Deem z kancelarii Edwards Wildman.

Mark Deem:

Nasze urządzenia ujawniają mnóstwo poufnych informacji. Wiemy z wielu różnych sondaży, że użytkownicy rzadko zmieniają hasła.

Jakby tego było mało firma na potrzeby eksperymentu przygotowała specjalny regulamin, który zawierał dość absurdalną klauzurę. Umożliwiał on bowiem korzystanie z bezpłatnego hotspota Wi-Fi „w zamian za najstarsze dziecko”. Przedstawiciele F-Secure żartuję oczywiście, że zapis ten nie obroniłby się w sądzie, a nawet gdyby przeszedł, firma miała zamiar zwrócić dzieci rodzicom. F-Secure dodaje, że „sześć osób uznało transakcję za uczciwą i podłączyło się do sieci”.

Eksperyment przeprowadzony przez CSRI na zlecenie F-Secure doskonale pokazuje dwie rzeczy. Po pierwsze – zabezpieczenia sieci Wi-Fi są niewystarczające i w łatwy sposób mogą być wykorzystane przez cyberprzestępców. Drugim, ważniejszym wnioskiem jest - cytując przedstawicieli Europolu - fakt, że ogół społeczeństwa nie zdaje sobie sprawy z zagrożeń związanych z Wi-Fi” .

Dla użytkowników ważny jest tylko dostęp do Internetu, ale to na jakich zasadach się on odbywa i jakie wiążą się z tym konsekwencje nie jest istotne. Nie zdajemy sobie na ogół sprawy, że przez takie działania możemy stracić nie tylko prywatne zdjęcia czy dokumenty, ale również pieniądze!

Czytając to, możecie sądzić, że zawsze łączycie się z wiarygodnymi hotspotami i nigdy nie zalogowalibyście się do niepewnej sieci Wi-Fi. Tyle jednak, że nawet na swoim przykładzie wiem, że nie jest to prawdą. Europol sugeruje więc, aby używać wirtualnej sieci prywatnej (VPN), wyłączać Wi-Fi w urządzeniach przenośnych podczas przemieszania się i używania tylko zaufanych, chronionych hasłem punktów dostępowych. Można też korzystać z dodatkowych aplikacji szyfrujących dane, ale najważniejsze jest żeby świadomie korzystać ze smartfonów i tabletów - zwracać uwagę na to co się robi, a nie jak maszyna powtarzać wyuczone czynności.

Więcej informacji o zagrożeniach czyhających ze sieciami Wi-Fi znajdziecie w obszernym raporcie „Skażona miłość: jak Wi-Fi nas zdradza”, który przygotowała firma F-Secure. Możecie pobrać go za darmo stąd.

Materiał powstał we współpracy z: