Bezpečnost na veřejném hotspotu WIFI, který bezpečný být nemůže - pokud nemáte VPN.

09.04.2018
Bezpečnost na veřejné WIFI, která bez VPN zcela bezpečná být nemůže

Rozmohl se nám tu takový nešvar! Přestáváme si hlídat, jaké stránky otvíráme a kam zadáváme hesla, když jsme přihlášení na veřejných WIFI sítích. V poslední době se rozmohl trend pracovat k kavárnách. Je-li potřeba, vyžádáme si od obsluhy heslo na WIFI a jedeme. Přihlásíme se do těch několika mailů, které používáme, mrkneme do firemní databáze, zaplatíme nějaké účty, nakoupíme pár drobností na webu, dopijeme kafe a tradá. Veřejné WIFI sítě nás provázejí i ve zbytku dne. Připojíme se ve vlaku, v obchodním centru, když jdeme po ulici, telefon se nám střídavě připojuje na všechny WIFI, které „potkáme“...A tak celý den důvěřujeme. Nabízí se však otázka: měli bychom? Je veřejná WIFI bezpečná?

Bohužel, bez VPN není. Než se dostaneme k tomu, co všechno nám při využívání veřejných WIFI hrozí, pojďme se podívat, jak připojení funguje.

WIFI (neboli wireless fidelity) představuje bezdrátovou komunikaci v počítačových sítích, která probíhá v bezlicenčním pásmu 2,4 GHz či 5 GHz, (to znamená, že za její provoz nemusí poskytovatel platit žádné poplatky, pouze je třeba dodržovat pravidla Českého telekomunikačního úřadu). WIFI sítě mohou být budovány dvěma způsoby. My se věnujeme veřejným WIFI, proto nás bude zajímat infrastrukturní síť. Ta obsahuje jeden nebo více AP (přístupových bodů), které vysílají signál do širokého okolí. Tento signál pak přijímají AP jednotlivých uživatelů. Aby si uživatelé mohli vysílané sítě vyhledat a dokázali je rozlišit, AP vysílají signál přes identifikátor SSID (v praxi to znamená, že WIFI má nějaké jedinečné číslo, které se při vyhledávání zobrazuje).

Šifrování webových stránek

Možná jste si šifrování webů všimli a možná vůbec. Některé webové stránky začínají http a jiné https. V kolonce pro URL taky vídáváme zámeček a heslo „Zabezpečeno“. Co to znamená a jaké jsou rozdíly?

HTTP

Pokud řádek začíná tímto protokolem, web šifrovaný není. Veškerá komunikace, která přes něj probíhá může být zachycena a změněna. Útočník může odchytit nejen přihlašovací údaje, ale i cookies, které udržují přihlášení na webu.

HTTPS

Stránky začínající protokolem https jsou označeny například zámečkem a heslem „Zabezpečeno“. Znamená to, že web je šifrovaný a zadávané údaje nelze odposlouchávat. Ve chvíli, kdy se nějaký web přihlašujete, si vždy ověřte, že příkazová kolonka začíná https. Pokud to tak není, představuje pro vás stránka  riziko. Bohužel ani zabezpečení protokolem HTTPS nemusí být stoprocentní. Případný hacker může stále zachytit cookies, která na webu zůstávají a udržují přihlášení. Komunikace jako taková však zůstává skrytá a její rozšifrování by bylo složité. 

Co při užívání nezabezpečených veřejných WIFI hrozí?

Útok MITM (Man In The Middle)

MITM útoky fungují tak, že se útočník postaví do cesty toku dat, které zadáváte (například mezi váš počítač a emailový server) a data nejen odposlouchává, ale dokáže je i měnit. Pokud by odchytil například údaje, které zadáváte do internetového bankovnictví, může ve výsledku peníze odeslat úplně na jiný účet. Zaútočit lze například přes viry, které si do zařízení stáhnete nebo i přes antivirový program. MITM útok pozná běžný uživatel velmi těžko, existují ale různé pluginy, které se nainstalují do prohlížeče a v rozeznání útoku dokážou pomoci. Internetové bankovnictví je však dobře chráněné, proto se snaží podvodníci podvrhnout samotno přihlašovací stránku a donutit vás zadat přihlašovací údaje. Takovému útoku se říká phising, tedy rybaření hesel. Takové útoky ovšem hrozí v bez ohledu na typ připojení. 

Útok Session Hijacking

Tento typ útoku hrozí především na webech s nezabezpečeným protokolem http. Když se přihlásíte na stránku, vytvoří se tzv. session. Pokud se útočníkovi podaří odchytit vaše přihlášení (stačí mu k tomu zachytit cookies), může se za vás vydávat. Probíhající útok se opět poznává velmi těžko, prevencí je používání VPN (viz níže).

„Falešná“ WIFI

Útočník vytvoří veřejnou WIFI, která vypadá, jakože ji poskytuje např. nádraží, letiště, kavárna... Po vašem připojení do ní následně odposlouchává vaše přístupové údaje a další. Ochranou proti tomuto útoku je připojovat se do veřejných sítí, ke kterým musíte dostat k dispozici heslo.

Na neveřejné WIFI bezpečně

Jak takovým útokům pocházejících z veřejných nezabezpečených WIFI předcházet? Jde si tedy v tom nebezpečném světě veřejných WIFI vytvořit aspoň trochu bezpečnou „oázu“? Pomůžou v tom následující kroky.

Aktualizujte

Dbejte na to, abyste měli stále aktualizovaný systém, který používáte, stejně tak programy v počítači nebo aplikace stažené v mobilních telefonech. Nezapomeňte ani na aktualizaci antivirového programu. U stahování jakýchkoliv aplikací si vždy dejte pozor, aby byly z originálních zdrojů.

Vypněte automatické připojování na WIFI

Na počítačích i mobilních zařízeních si vypněte možnost, aby se zařízení samo připojovalo na dostupné veřejné WIFI. Podpořit to můžete taky vypnutím vyhledávání WIFI, které máme zejména na telefonech zapnuté prakticky pořád. Budete šetřit nejen baterku, ale také ochráníte své soukromí a zařízení.

Dvoufaktorové ověření

Dvoufaktorové ověření funguje tak, že pokud se na stránku přihlašujete poprvé z nového zařízení, kromě zadání uživatelského jména a hesla dojde k ověření ještě jiným způsobem. Příkladem může být zadání kódu, který vám přijde prostřednictvím SMSky. Používejte ho tedy tam, kde chcete více zabezpečit svůj účet. Začněte hned u svého emailu. Pokud útočník získá údaje k vašemu emailu, už nepotřebuje hesla na další stránky nebo aplikace, jednoduše si je přes email resetuje.

Nevypínejte firewall

Firewall už mají v současnosti všechny operační systémy nainstalovaný, takže v tomto případě je vaší jedinou starostí ho nechat zapnutý. Firewall je v podstatě taková zeď, která stojí mezi zařízením uživatele a internetem. Je to softwarový nástroj, který kontroluje veškerou elektronickou datovou komunikaci, která vstupuje do počítače nebo počítačové sítě. Chrání tak počítač před napadením jinými uživateli nebo škůdci (trojský kůň, spyware atd.). Není všemocný, ale pravidla pro blokování jsou pravidelně aktualizovaná poskytovatelem služby - a odfiltrují již známá nebezpečí. 

VPN

VPN služby fungují následujícím způsobem: data z vašeho zařízení jsou zašifrována VPN klientem ve vašem PC, a následně odeslána šifrovaným tunelem na VPN server, který může být umístěný kdekoliv ve světě. Třeba ve vaší firmě, či je komerčně provozovaný. VPN server data rozšifruje a odešle webové stránce. Web, do kterého se přihlašujete, tedy nezná vaši IP adresu, ale pouze VPN serveru. Stejně tak váš poskytovatel internetu nevidí, jaké stránky si prohlížíte. Všechna data ale uchovává VPN server, je tedy potřeba si vybírat takový, ve který budete mít důvěru. Ve vztahu k tomu se nabízí otázka, co když někdo provozuje VPN server jen proto, aby získával data uživatelů? Takovému riziku můžete předejít stažením ověřené VPN služby. Velmi důvěryhodné jsou služby VPN antivirových společností. Případně se vyplatí VPN servery provozovat vlastní, a to i pro poměrně malé podniky. Nejde o nějak drahý HW.

U komerčních VPN služeb je obvyklé, že do určitého limitu dat je služba zadarmo a za upgrade si platíte. Například VyprVPN nabízí ve verzi zdarma 1GB měsíčně, můžete si vybrat server z více než 50 zemí světa a je dostupná i pro iOS i Android.

Po stažení se do aplikace přihlásíte pomocí emailu a vybraného hesla. Následně vám do emailu přijde ověřovací kód, který zadáte do aplikace a potvrdíte. Hlavní obrazovka ukazuje objem dat, který máte k dispozici. Pro větší objem můžete službu upgradeovat na placenou verzi. Kliknutím na ikonku ukazující polohu si můžete vybrat server, ke kterému se chcete připojit. Aplikace vám u každého z nich vyhodnotí jeho rychlost. Poté už stačí jen kliknout na tlačítko Connect a vaše brouzdání po internetu je hned o něco bezpečnější.

Správce hesel

Při vytváření nových přihlašovacích údajů většinou řešíme problém, že si nemůžeme vymyslet opravdu silné heslo, protože bychom si ho nezapamatovali. Velké procento uživatelů má proto pár hesel které točí na všech serverech, kam se přihlašují. Ti pokročilejší mají heslo, které různě obměňují. Ti nejpokročilejší však používají správce hesel. Chytrý nástroj, který ukládá vaše hesla do šifrovaného souboru ve vašem počítači, ke kterému máte přístup pouze vy. A to prostřednictvím jednoho jediného hesla, které si musíte zapamatovat. Díky správci hesel si můžete vytvářet opravdu odolná hesla, nástroj heslo vygeneruje a pak se za vás automaticky přihlašuje. Máte možnost si vybrat mezi placenými nebo neplacenými nástroji.

K udržení bezpečnosti pomůže také nebýt při pohybu na internetu důvěřivý ani lehkomyslný. I když uděláte všechno správně, přesně tak, jak jste si teď přečetli, vždy zůstane nějaké „ale“. Hackeři se snaží být vždy aspoň o krok napřed, takže to, co funguje dnes nemusí být zítra stoprocentní. Je tedy dobré v oblasti bezpečnosti na veřejných WIFI sítích neusnout na vavřínech poté, co jste si stáhli VPN, a neustále se vzdělávat.

Autor: Johana Nádvorníková

 

Štítky článku: