Nie daj się złapać na "darmowe" wi-fi
#1
Robi się coraz cieplej i zaczynamy aktywność "pozamieszkalną"...znaczy się zaczynamy wyruszać na spacery, przejażdżki i dłuższe wycieczki, czasem jedziemy gdzieś coś załatwić...trafiamy w miejsca publiczne typu lokale gastronomiczne, hotele, dworce kolejowe, kluby, parki i skwery. Tam próbujemy rzeczy najbardziej ulubionej czyli łaziorowania po sieci. Najlepiej wtedy, kiedy nie musimy korzystać z sieci przydzielonej przez naszego operatora, bo przecież zasadniczo zawsze ma jakieś limity...i szukamy darmochy! No i właśnie na takich potrzebujących łatwo zastawić pułapkę, o czym w artykule na temat eksperymentu w Gdańsku, a trochę cytatów poniżej

Cytat:Pułapka, którą zastawił Bartek, 30-letni administrator sieci w jednej z gdańskich firm z branży IT, jest niezwykle niebezpieczna dla przeciętnego użytkownika mobilnego internetu.

– Podam przykład – mówi Bartek. – Posiadacz smartfona wchodzi do siedziby operatora telefonii komórkowej. Chce się połączyć z internetem i widzi dostępny sygnał Wi-F opisany w dodatku nazwą operatora, np. „Orange FREE” czy „Play FREE”. Po próbie połączenia zobaczy witrynę z logiem operatora i zostanie poproszony o zalogowanie się do niej przez swojego Facebooka lub Twittera. Chwilę później jego login i hasło mógłbym mieć już na swoim telefonie i... zrobić z nimi, co zechcę.
Zagrożenie zmieści się w kieszeni

Metoda używana przez Bartka to nie nowość. Gdyński haker wykorzystuje przy niej tzw. fake AP – technikę ataku polegającą na utworzeniu fałszywych punktów dostępu do sieci, a także tzw. phishing, czyli podszywanie się pod znane witryny. Innowacją jest natomiast łatwość skonstruowania zestawu, który to umożliwia. A także jego mobilność.

– Kilka miesięcy temu jeden z łotewskich producentów sprzętu komputerowego wypuścił na rynek router bezprzewodowy Mikro Tik, który jest niewiele większy od pudełka z zapałkami – tłumaczy „Wyborczej” Bartek. – Jest ogólnodostępny, kosztuje niecałe 100 zł. Wystarczy odpowiednio go zaprogramować i podłączyć do power banku, w efekcie czego przez parę godzin można „łowić” dane użytkowników w dowolnym miejscu. Cały sprzęt zmieści się w kieszeni spodni.

Bartek dopiero rozkręca eksperyment, na razie wykonał tylko parę testów: w pociągu SKM i InterCity, jednej z hal sportowych w Trójmieście, a także w zwykłym bloku mieszkalnym. Łącznie, w ciągu kilkunastu godzin, „złapał” aż 107 osób.

– Nie wyrządziłem im jednak szkody, ponieważ po próbie zalogowania użytkownik widział tylko czerwony ekran z komunikatem, w którym przestrzegam go przed podawaniem swoich danych podczas korzystania z ogólnodostępnych sieci Wi-Fi. – tłumaczy Bartek. – Skrypt napisałem tak, żeby router zapisywał tylko loginy użytkowników, a hasła już nie. Zależy mi tylko na uświadamianiu ludzi i pokazaniu im, jak łatwo mogą wpaść w sidła kogoś, kto może mieć inne intencje niż ja.
Dane mogą trafić na czarny rynek

Omawiany router z Łotwy to sprzęt branżowy, przeciętny Kowalski raczej go nie kupi, a jeśli już, to miałby kłopot z jego konfiguracją. Bartek ocenia jednak, że tylko w samym Trójmieście jest co najmniej kilkaset osób, które w kilka dni mogłyby zaprogramować go tak, by umożliwić wykradanie danych. Co więcej, z ogólnodostępnych części komputerowych skonstruował też urządzenie (wielkości paczki papierosów), które blokuje użytkownikowi inne punkty dostępu do sieci.

– Internauta po kilku próbach zalogowania się do znanej sobie sieci Wi-Fi, chociażby domowej, może z braku innego wyboru spróbować podłączyć się do jedynej „dostępnej” – mówi Bartek. – A tam może już czekać na niego niemiła niespodzianka.
(...)
W najbliższych tygodniach Bartek zamierza poszerzyć zakres eksperymentu: z odpowiednio skonfigurowanymi routerami na ulice wyruszy nie tylko on, lecz także jego koledzy.

– Wszystkim nam zależy, żeby o takich zagrożeniach dowiedziało się jak najwięcej ludzi, a takich akcji w Polsce brakuje – mówi. – Zamierzamy odwiedzić m.in. banki, centra handlowe, imprezy plenerowe czy plaże. Planuję, że uda się nam dotrzeć nawet do kilku tysięcy osób.

Co prawda przed taką formą ataku na nasze dane zabezpieczone są aplikacje mobilne (są tak zaprogramowane, by wykrywać zagrożenie), ale nie dotyczy to przeglądarek internetowych, takich jak Mozilla, Chrome czy Safari. A tych używają niemal wszyscy. Dodatkowo, mimo powszechnych dziś pakietów internetowych w telefonach, wiele osób nadal chętnie korzysta z darmowych publicznych hot spotów.

– A użycie znanego logotypu firmy usypia ich czujność – mówi dr Wiesław Baryła, psycholog z uniwersytetu SWPS w Sopocie. – Największy wpływ na tak łatwe udostępnianie swoich danych ma jednak tzw. efekt ceny zerowej (ang. zero price effect). Ludzie na darmowe produkty reagują niestety często absurdalnie i nieracjonalnie.

– Takie eksperymenty są potrzebne, to świetny przykład edukacji informatycznej – mówi dr Baryła. – W szkołach uczymy się, jak korzystać z sieci, ale rzadko jak się chronić przed zagrożeniami. Nawet na mojej uczelni często widzę, że ktoś pozostawił ogólnodostępny komputer z zalogowanym kontem na Facebooku czy Twitterze.

Bartek: – Takie zachowania to podawanie ręki ludziom złej woli. Podczas korzystania z ogólnodostępnej sieci można przeczytać parę artykułów czy przejrzeć katalogi, ale nigdy nie używać swoich danych do logowania.

Co ciekawe, na ataki najbardziej narażeni są młodzi ludzie.

– Starsze osoby postrzegają internet jako potencjalne zagrożenie i rzadko korzystają z publicznych sieci, tymczasem młodzi dorastają z nim w ręku i nie panują nad własnym bezpieczeństwem. – mówi psycholog. – Takie eksperymenty mogą im jednak pomóc, bo jeśli zobaczą komunikat z ostrzeżeniem, to następnym razem być może zachowają się już inaczej.

Źródło informacji

[Aby zobaczyć linki, zarejestruj się tutaj]


Poniżej link do bloga autora "ataku"...stamtąd też screeny

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
A ja mam kompletnie wyłączone WiFi i Bluetooth w telefonie Wink, korzystam z sieci komórkowej.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#3
To znaczy...tak, masz rację...obowiązującą zasadą powinno być wyłączanie połączeni wi-fi jeśli z niego nie korzystamy i podobnie z Bluetooth, a jeśli już musimy to w miarę możliwości z włączonym ukrywaniem naszego urządzenia. BT mam stale praktycznie wyłączone, a sieci wyłączam jak wychodzę na zewnątrz.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości