Чем грозит подключение к публичному Wi-Fi

Шрифт

вай-фай

Вы часто подключаетесь к публичному Wi-Fi? Наверное, вы не догадываетесь, чем это чревато…

В рюкзаке мой приятель, 34-летний Воутер Слотбоом, носит небольшой — чуть больше пачки сигарет — прибор черного цвета с антенной. Я встречаю Воутера случайно в одном кафе в центре Амстердама. День солнечный, и почти все столики заняты. Некоторые посетители разговаривают, а остальные работают за ноутбуками или играют в игры на смартфонах.

вай-фай

Мы просим у официантки два кофе и пароль от местного Wi-Fi. Воутер включает компьютер и этот свой гаджет, запускает какие-то программы, и экран начинает заполняться рядами строчек. Постепенно мне становится понятно, что девайс Воутера подключается к ноутбукам, планшетам и смартфонам людей, сидящих в кафе. На экране начинают появляться названия вроде «айфон Йориса» и «макбук Симона».

вай-фай

Иногда имена этих сетей состоят из цифр и случайных букв, что затрудняет определение их месторасположения. Но в большинстве случаев названия выдают место. Мы узнаем, что Йорис недавно был в «Макдоналдсе», отпуск провел в Испании (много испанских названий сетей), по приезду развлекался на треке (он подключался к сети, принадлежащей известному местному центру картинга). Мартин, другой посетитель кафе, подключался к сети аэропорта Хитроу и американского авиаперевозчика Southwest. В Амстердаме он, скорее всего, живет в хостеле «Белый тюльпан», а завтракать предпочитает в кофейне «Бульдог».

Шаг1. Все подключаются к подставной сети

Официантка приносит кофе и пароль от wi-fi. Слотбоом подключается. Теперь он может раздавать беспроводной интернет всем посетителям кафе и перенаправлять трафик через свой маленький перехватчик.

Большая часть смартфонов, планшетов и ноутбуков автоматически ищет беспроводные сети и подключается к ним. Обычно они выбирают ту сеть, к которой ранее уже подключались.

вай-фай

На экране моего айфона возникает список доступных сетей — включая сеть моего домашнего провайдера, рабочую сеть и целый список сетей кафе, поездов, лобби отелей и других мест, где я бывал. Мой телефон автоматически подключается к одной из этих сетей, которые на самом деле все принадлежат маленькому черному устройству.

Слотбоом может раздавать интернет из вымышленной точки, заставляя посетителей поверить, что они подключаются к официальной сети того места, где находятся. Например, если название настоящей сети состоит из случайного набора букв и цифр (типа Fritzboxxyz123), Слотбоом может создать именную сеть (типа Starbucks). Он говорит, что люди гораздо охотнее подключатся именно к ней.

Мы наблюдаем, как все больше и больше людей подсоединяется к нашей фейковой сети. Маленькое черное устройство заманивает их, как песни сирены, и мало кто способен устоять. Уже 20 ноутбуков и смартфонов у нас в руках.

вай-фай

Я разрешил ему взломать меня самого, чтобы он показал, на что способен, — но сделать это можно с каждым, чей смартфон или ноутбук ищет беспроводную сеть, чтобы подключиться к ней.

Взломать можно все — за очень редким исключением.

вай-фай

Сейчас в мире почти полтора миллиарда смартфонов, и только в США ими пользуется более 150 млн человек. Более 92 млн взрослых американцев используют планшеты, более 155 млн — ноутбуки. Каждый год мировой спрос на лэптопы и планшеты растет. В 2013 году в мире было продано около 206 млн планшетов и 180 млн ноутбуков. И наверняка каждый владелец портативных девайсов когда-нибудь да подключался к общедоступному wi-fi — в кафе ли, в поезде или в отеле.

вай-фай

Но, проведя день с Воутером Слотбоомом, вы поймете: практически что угодно и практически кого угодно, кто подсоединен к беспроводной сети, можно взломать. Согласно данным исследования, проведенного агентством по информационной безопасности Risk Based Security, в 2013 году в сети было доступно более 822 млн персональных записей — включая номера кредиток, даты рождения, медицинскую информацию, телефонные номера и номера карт социального страхования, адреса (обычные и электронные), пароли и имена. 65 % этой информации было опубликовано американцами. Согласно данным Kaspersky Lab, в 2013 году около 37,3 млн человек по всему миру — и 4,5 млн американцев — стали жертвами попыток фишинга и фарминга, то есть данные для осуществления онлайн-платежей были украдены со взломанных компьютеров, смартфонов и различных сайтов.

Появляются все новые и новые отчеты, которые говорят о том, что фрод и перехват персональных данных становятся все более распространенной проблемой. Хакеры и киберпреступники располагают целым арсеналом средств, но преобладание открытого и небезопасного wi-fi-соединения чертовски упрощает им жизнь. Национальный центр кибербезопасности — подразделение Министерства внутренней безопасности США — не зря выпустил рекомендацию, в которой он предостерегает от использования открытых беспроводных сетей в общественных местах, а при их использовании советует избегать финансовых операций и обсуждения рабочих вопросов.

Слотбоом называет себя «хакером по этическим мотивам», то есть причисляет себя к «хорошим парням» — фанатам IT, которые хотят показать потенциальную опасность интернета и высоких технологий. Он дает советы по защите информации как отдельным людям, так и фирмам. Обычно он делает это как сегодня — демонстрируя, как легко технологии могут причинить вред.

вай-фай

Я воздержусь от более детального описания некоторых технических аспектов (названия приборов, программ и приложений) того, что нужно хакеру.

Шаг 2. Выясняем имена, пароли, сексуальную ориентацию

Вооруженные волшебным рюкзаком Слотбоома, мы перемещаемся в кофейню, которая славна цветочками, украшающими пенку местного латте. Это место облюбовали фрилансеры, которые работают здесь за ноутбуками. Сейчас в кофейне полно народу, и все уставились в свои экраны. Слотбоом включает гаджеты. Тот же алгоритм действий, и вот через несколько минут к нашей сети подключено два десятка девайсов. И снова мы видим имена их макбуков и историю подключений, иногда — имена собственные. По моей просьбе мы делаем следующий шаг.

Слотбоом запускает другую программу (которую тоже можно легко скачать), позволяющую ему извлечь еще больше информации из ноутбуков и смартфонов, подключенных к сети. Мы видим технические детали моделей телефонов (Samsung Galaxy S4), языковые настройки и версию операционной системы (iOS 7.0.5). Последнее может быть ценной информацией для хакера-злоумышленника: если у девайса устаревшая версия ОС, то всегда есть уже известные «баги», дыры в системе защиты, которыми можно с легкостью воспользоваться. Эта информация позволяет взломать операционную систему и установить контроль над устройством.

вай-фай

Теперь мы наблюдаем, на какие сайты заходят пользователи беспроводной сети вокруг нас. Так, кто-то с макбука просматривает новостной сайт Nu.nl, многие пересылают документы через сервис WeTransfer, а кое-кто выкладывает их наDropbox. На Tumblr наблюдается некоторая активность, кто-то только что зашел прочесть подсказки на FourSquare. Его имя тоже высвечивается, и, погуглив, мы узнаем в лицо человека, сидящего всего в нескольких метрах от нас.

Потоки информации идут даже от тех, кто не занят ни работой, ни бесцельным просмотром интернет-страниц. Многие приложения и сервисы электронной почты постоянно контактируют с серверами — так девайс может получать электронные сообщения. В ряде случаев мы можем увидеть, какая именно отправляется информация и на какой сервер.

вай-фай

Остановимся на этом, но, вообще-то, выяснить, кому принадлежит этот телефон, не составляет ни малейшего труда. Кстати, еще мы видим, как чей-то телефон устанавливает соединение с сервером в России и посылает туда пароль, который мы могли бы перехватить.

Шаг 3. Проблемы в отношениях, школа, хобби.

Многие приложения, сайты и программы используют те или иные технологии кодирования. Они нужны для того, чтобы гарантировать, что информация, которая отправляется и получается вашим девайсом, недоступна для чужих глаз. Но как только пользователь подключается к беспроводной сети Слотбоома, эти меры безопасности можно сравнительно легко обойти при помощи программ-дешифровщиков.

К нашему удивлению, мы обнаруживаем приложение, которое пересылает личную информацию компании-продавцу онлайн-рекламы. Среди прочего мы видим данные о местонахождении телефона, его технические характеристики и информацию о беспроводной сети. Кроме того, мы теперь знаем имя и фамилию женщины, которая использует веб-сервис социальных закладок Delicious. В принципе, страницы, которыми пользователи Delicious делятся друг с другом, и так находятся в открытом доступе, но сложно избавиться от ощущения, что мы подсматриваем за этой женщиной, как только понимаешь, сколько можно узнать о ней.

Сначала гуглим ее имя — и тут же понимаем, как она выглядит, а также определяем, где она сидит в нашей кофейне. Нам становится известно, что она иностранка (хотя и родилась в Европе) и переехала в Нидерланды только недавно. При помощи сервисаDelicious мы узнаем, что она посещала сайт курсов голландского языка и отметила в закладках страничку о курсах для новичков.

Меньше чем за двадцать минут мы находим информацию о том, где она родилась и где училась, узнали, что она интересуется йогой, сохранила в закладки сайт по продаже антихрап-матрасов, недавно была в Таиланде и Лаосе и активно ищет в сети советы, как сохранить отношения.

Слотбоом показывает мне еще несколько хакерских трюков.

вай-фай

Мы проверили: это работает. Пробуем другой прием: любой, кто открывает сайт, содержащий изображения, будет видеть картинки, выбранные Слотбоомом. Все звучит достаточно забавно, если вы хотите просто подшутить, — но ничто не мешает загружать в чужие смартфоны картинки, скажем, с детской порнографией, а наличие таких изображений в вашем телефоне уже уголовное преступление.

Шаг 4. Перехват пароля

Мы идем еще в одно кафе. Теперь я прошу Слотбоома показать, что он может сделать, если захочет серьезно навредить мне. Он просит меня зайти на live.com(сайт электронной почты от Microsoft) и ввести случайный логин и пароль. Через несколько секунд информация, которую я только что ввел, появляется у него на экране. «Теперь у меня есть информация для входа в твой аккаунт электронной почты, — говорит Слотбоом. — Первое, что я сделаю, — это сменю пароль от почты и укажу на всех сервисах, которыми ты пользуешься, что забыл свой пароль от них».

вай-фай

Мы проделываем то же самое с фейсбуком: Слотбоом довольно легко перехватывает логин и пароль, которые я ввожу.

Еще один прием — перенаправить интернет-трафик. Например, когда я захожу на сайт своего банка, созданная хакером программа перенаправляет меня на его страницу — клон, который выглядит так же, как настоящий сайт, но, в отличие от него, полностью контролируется Слотбоомом. Хакеры называют это DNS-спуфинг. Информация, которую я ввел на сайте, хранится на сервере Слотбоома.

вай-фай

Не знаю, как вы, а я после увиденного и пережитого никогда больше не хочу подключаться к бесплатному wi-fi.

Источник

Читайте также Полезные советы для путешественников


  1. whailer

    Выкладывать любую конфиденциальную информацию в сеть — это всё равно, что в людном месте размахивать копиями паспорта и ИНН, а потом удивляться, что на вас оформлен подставной кредит. Что должно быть только при вас — держите в голове.

Оставить комментарий
Лучшие посты
Звезды на журнальных обложках и в реальной жизни Звезды на журнальных обложках и в реальной жизни Онажемать и котята… Онажемать и котята… Факты о «специальных учреждениях» — борделях при концлагерях Факты о «специальных учреждениях» — борделях при концлагерях Помните это скандальное фото? Вот что здесь скрывается на самом деле Помните это скандальное фото? Вот что здесь скрывается на самом деле Скандал в интернете из-за видео, где мать кормит грудью сыновей-дошкольников Скандал в интернете из-за видео, где мать кормит грудью сыновей-дошкольников Интересная история — «Йа блондинко» Интересная история — «Йа блондинко» Опыт работы няней на Рублёвке Опыт работы няней на Рублёвке Самые загадочные люди в истории Самые загадочные люди в истории Почему я должна помогать тупой бабе, которая размножаться научилась, а зарабатывать — нет? Почему я должна помогать тупой бабе, которая размножаться научилась, а зарабатывать — нет? Как я покойника у столичных ритуальщиков отобрал Как я покойника у столичных ритуальщиков отобрал Секрет, зашифрованный в колоде карт Секрет, зашифрованный в колоде карт Женщина продала автомобиль, чтобы купить кошку за миллион Женщина продала автомобиль, чтобы купить кошку за миллион Дача зимой или неожиданный «сюрприз» Дача зимой или неожиданный «сюрприз» Хабаровские живодёрки жалуются на тяжкие условия содержания в СИЗО Хабаровские живодёрки жалуются на тяжкие условия содержания в СИЗО Жадные вы люди, москвичи!!! Жадные вы люди, москвичи!!! Как мы жили в Союзе Как мы жили в Союзе Мишель Клаватт — блондинка, обожающая рыбную ловлю в бикини Мишель Клаватт — блондинка, обожающая рыбную ловлю в бикини Русиано захватил Россию Русиано захватил Россию Михалыч, немцы и охота Михалыч, немцы и охота Тупость с точки зрения патологоанатома Тупость с точки зрения патологоанатома Задавивший беременную недоволен «жестоким» приговором Задавивший беременную недоволен «жестоким» приговором Участковый, убивший собаку: «Я отбивался, а студенты кричали: «Куси!» Участковый, убивший собаку: «Я отбивался, а студенты кричали: «Куси!» Девушки и авто — вещи практически несовместимые Девушки и авто — вещи практически несовместимые Кто царапает машину? Кто царапает машину? В НАСА много лет скрывали «страшную» тайну Луны В НАСА много лет скрывали «страшную» тайну Луны Пока он чистил снег, его жена и дети тихо умерли в машине Пока он чистил снег, его жена и дети тихо умерли в машине Новая японская карта мира Новая японская карта мира Пенсионерка-должница довела коллектора до смоубийства Пенсионерка-должница довела коллектора до смоубийства Что значат неофициальные метки на водительском удостоверении Что значат неофициальные метки на водительском удостоверении Угарные объявления с Авито Угарные объявления с Авито
Еще посты