Kodėl viešas WiFi yra tikras pragaras jūsų saugumui
Prisijungiate prie kavinės WiFi, užsisakote kavą, atidarote internetinę bankininkystę – ir viskas atrodo puiku. Bet tuo pačiu metu prie to paties tinklo gali būti prisijungęs kažkas, kas stebi kiekvieną jūsų žingsnį internete. Ne, tai ne paranoja ir ne filmo siužetas. Tai kasdienė realybė, apie kurią dauguma žmonių tiesiog negalvoja.
Viešieji WiFi tinklai – oro uostuose, kavinėse, viešbučiuose, prekybos centruose – yra viena iš labiausiai išnaudojamų saugumo spragų. Problema ta, kad jie atrodo visiškai normaliai. Prisijungi, viskas veikia, puslapiai atsidaro. Bet tai, kas vyksta po gaubtu, gali būti visiškai kitokia istorija.
Šiame straipsnyje kalbėsime konkrečiai – ne apie abstrakčius pavojus, o apie tai, kas realiai gali nutikti ir ką galite padaryti jau šiandien, kad apsisaugotumėte.
Kaip iš tikrųjų veikia atakos viešuose tinkluose
Norėdami suprasti, kaip apsisaugoti, pirmiausia reikia suprasti, nuo ko apsisaugoti. Ir čia techninis supratimas tikrai padeda.
Viena populiariausių atakų vadinama Man-in-the-Middle (MITM). Principas paprastas: užpuolikas atsistoja tarp jūsų ir interneto. Jūs manote, kad kalbatės tiesiogiai su banko serveriu, bet iš tikrųjų visas srautas eina per trečiojo žmogaus kompiuterį. Jis gali skaityti, keisti, įrašinėti viską, ką siunčiate ir gaunate.
Dar vienas klasikinis triukas – Evil Twin ataka. Įsivaizduokite: esate oro uoste, matote tinklą „Airport_Free_WiFi”. Prisijungiate. Bet tas tinklas iš tikrųjų yra sukurtas kažkieno nešiojamajame kompiuteryje, sėdinčiame šalia jūsų. Jis tiesiog sukūrė tinklą su tikėtinu pavadinimu ir laukia, kol kas nors prisijungs. Jūsų įrenginys net neįspėja – viskas atrodo normaliai.
Taip pat yra Packet Sniffing – duomenų paketų perėmimas. Nešifruotuose tinkluose duomenys keliauja „atvirai”, kaip atvirukas, kurį gali perskaityti bet kas. Specialios programos, tokios kaip Wireshark, leidžia matyti visą tinklo srautą. Ir tai nėra kažkokia slapta hakerio priemonė – tai legalus tinklo analizės įrankis, kurį naudoja IT specialistai. Bet netinkamose rankose jis tampa šnipinėjimo įrankiu.
Galiausiai – Session Hijacking. Net jei jūsų slaptažodis yra šifruotas, kartais užpuolikas gali pavogti jūsų sesiją – t.y. tą „bilietą”, kurį svetainė suteikia po prisijungimo. Su tuo bilietu jis gali apsimesti jumis be jokio slaptažodžio.
VPN – ne tik filmų piratų įrankis
Daugelis žmonių VPN sieja arba su geografinių apribojimų apėjimu, arba su kažkokia tamsiąja interneto puse. Bet iš tikrųjų VPN yra vienas efektyviausių ir prieinamiausių būdų apsisaugoti viešuose tinkluose.
Kaip tai veikia? VPN sukuria šifruotą tunelį tarp jūsų įrenginio ir VPN serverio. Net jei kas nors perima jūsų duomenų paketus, jis matys tik beprasmį šifruotą tekstą. Tai tarsi siųsti laišką užrakintame seife, o ne atviruke.
Praktinės rekomendacijos renkantis VPN:
- Mokamas VPN yra geriau nei nemokamas. Nemokamos paslaugos kažkaip turi uždirbti – dažnai tai daro parduodant jūsų duomenis. Tai šiek tiek ironiška, kai kalbame apie privatumą.
- Patikimi variantai: Mullvad, ProtonVPN, NordVPN, ExpressVPN. Kiekvienas turi savo privalumų – Mullvad yra ypač orientuotas į privatumą (galite mokėti grynaisiais), ProtonVPN turi gerą nemokamą planą su ribotais serveriais.
- Įsitikinkite, kad VPN turi „kill switch” funkciją. Tai reiškia, kad jei VPN ryšys nutrūksta, internetas automatiškai blokuojamas, kol ryšys atsinaujina. Taip neatsitiks, kad akimirką jūsų duomenys keliauja nešifruoti.
- Patikrinkite, ar VPN neprisijungus automatiškai įsijungia. Daugelis žmonių pamiršta jį įjungti – automatinis paleidimas sprendžia šią problemą.
Vienas svarbus dalykas: VPN neapsaugo nuo visko. Jei jūs patys įvedate duomenis į sukčiavimo svetainę, VPN nepadės. Tai įrankis, ne stebuklų lazdelė.
HTTPS – tas mažas spynelės simbolis, kuris iš tikrųjų reiškia kažką
Naršyklėje adreso juostoje matote spynelės simbolį? Tai reiškia, kad svetainė naudoja HTTPS – šifruotą ryšį. Duomenys tarp jūsų ir tos svetainės yra šifruojami, todėl net jei kas nors perima srautą, jis negali jo perskaityti.
Tačiau čia yra keletas niuansų, kuriuos verta žinoti:
Pirma, HTTPS šifruoja turinį, bet ne visą informaciją. Pavyzdžiui, DNS užklausos (kai jūsų kompiuteris klausia „koks yra šios svetainės IP adresas?”) tradiciškai keliauja nešifruotos. Tai reiškia, kad net su HTTPS, kažkas gali matyti, kokias svetaines lankote, nors ir negali matyti, ką jose darote.
Antra, spynelė nereiškia, kad svetainė yra teisėta. Ji tik reiškia, kad ryšys yra šifruotas. Sukčiavimo svetainė taip pat gali turėti HTTPS. Todėl visada tikrinkite domeną, ne tik spynelę.
Praktinis patarimas: naršyklėje įdiekite plėtinį HTTPS Everywhere (sukurtas EFF organizacijos) arba įjunkite naršyklės nustatyme „Always use HTTPS” – Chrome, Firefox ir Safari tai jau turi. Šis nustatymas verčia naršyklę visada bandyti naudoti HTTPS versiją, net jei jūs įvedėte HTTP.
Taip pat verta įjungti DNS over HTTPS (DoH) arba DNS over TLS (DoT). Tai šifruoja tas DNS užklausas, apie kurias kalbėjome. Firefox tai leidžia padaryti nustatymuose, Chrome taip pat turi šią funkciją.
Įrenginio nustatymai, kuriuos turėtumėte pakeisti dabar pat
Daugelis saugumo problemų kyla ne iš sudėtingų atakų, o iš paprastų nustatymų, kurių niekas neliečia. Štai ką verta padaryti:
Išjunkite automatinį prisijungimą prie WiFi tinklų. Jūsų telefonas ar kompiuteris prisimena tinklus ir automatiškai prie jų jungiasi. Problema ta, kad įrenginys jungiasi pagal tinklo pavadinimą (SSID). Jei kažkas sukuria tinklą tuo pačiu pavadinimu kaip jūsų namų ar darbo WiFi, jūsų įrenginys gali automatiškai prie jo prisijungti. Išjunkite šią funkciją arba bent jau peržiūrėkite ir ištrinkite senus, nebereikalingus tinklus.
Išjunkite failų dalijimąsi. Windows sistemoje tai „Network Discovery” ir „File and Printer Sharing”. Mac sistemoje – „AirDrop” ir „File Sharing”. Kai esate viešame tinkle, nenorite, kad kiti tinklo naudotojai galėtų matyti jūsų bendrinamus failus.
Įjunkite ugniasienę (Firewall). Ir Windows, ir Mac turi integruotą ugniasienę. Įsitikinkite, kad ji įjungta. Ji filtruoja įeinantį srautą ir blokuoja nepageidaujamus prisijungimus.
Atnaujinkite operacinę sistemą ir programas. Tai skamba kaip klišė, bet dauguma sėkmingų atakų išnaudoja žinomas saugumo spragas, kurioms jau yra pataisymai. Jei neatnaujinate sistemos, paliekate atvirą duris.
Naudokite dviejų faktorių autentifikaciją (2FA). Net jei kažkas pavogs jūsų slaptažodį, be antrojo faktoriaus (paprastai kodo iš telefono) jis negalės prisijungti. Tai vienas efektyviausių apsaugos sluoksnių. Geriausia naudoti autentifikavimo programą kaip Google Authenticator ar Authy, o ne SMS – SMS gali būti perimti.
Ką daryti ir ko nedaryti viešame WiFi
Kartais paprasčiausias požiūris yra efektyviausias. Štai praktinis sąrašas, kurį galite tiesiog įsiminti:
Ko nedaryti:
- Neatidarykite internetinės bankininkystės ar kitų finansinių paslaugų be VPN. Tiesiog ne. Palaukite, kol būsite saugiame tinkle, arba naudokite mobilųjį duomenų ryšį.
- Neįveskite slaptažodžių svetainėse, kurios neturi HTTPS.
- Neprisijunkite prie tinklų be slaptažodžio, jei turite alternatyvą. Atviri tinklai – tai tikras rojus atakuotojams.
- Nepalikite įrenginio be priežiūros prisijungus prie viešo tinklo.
- Nenaudokite tų pačių slaptažodžių skirtingoms paslaugoms. Jei vienas nuteka, visi kiti tampa pažeidžiami.
Ką daryti:
- Naudokite VPN visada, kai prisijungiate prie viešo WiFi. Padarykite tai įpročiu.
- Jei reikia atlikti svarbius veiksmus – naudokite telefono mobilųjį ryšį (4G/5G) vietoj viešo WiFi. Tai daug saugesnė alternatyva.
- Patikrinkite tinklo pavadinimą su kavinės ar viešbučio personalu prieš prisijungdami. Taip išvengsite Evil Twin atakų.
- Po naudojimo atsijunkite nuo paslaugų (logout), o ne tik uždarykite naršyklę.
- Naudokite slaptažodžių tvarkyklę (Bitwarden, 1Password, KeePass) – taip turėsite stiprius, unikalius slaptažodžius kiekvienai paslaugai.
Mobilusis internetas prieš viešą WiFi – kada apsimoka rinktis 4G
Čia yra vienas dalykas, apie kurį retai kalbama: mobilusis internetas yra iš esmės saugesnis nei viešas WiFi. Kodėl? Nes mobilaus ryšio tinklai turi integruotą šifravimą ir yra daug sunkiau atakuojami nei atviri WiFi tinklai.
Žinoma, tai nereiškia, kad 4G yra visiškai neįveikiamas – yra atakų, naudojančių suklastotas bazines stotis (IMSI catchers arba „Stingrays”), bet jos yra daug sudėtingesnės ir brangesnės, todėl paprastam naudotojui grėsmė yra minimali.
Praktinis sprendimas: jei turite pakankamai mobilių duomenų, svarbiems veiksmams – bankininkystei, darbui su jautriais dokumentais, slaptažodžių keitimui – tiesiog išjunkite WiFi ir naudokite 4G. Arba sukurkite asmeninę prieigos tašką (hotspot) iš telefono ir prie jo prijunkite nešiojamąjį kompiuterį.
Taip pat verta žinoti apie eSIM galimybes. Jei dažnai keliaujate, galite įsigyti duomenų planą kitoje šalyje per eSIM paslaugas (pvz., Airalo, Holafly) ir visada turėti savo saugų ryšį, o ne priklausyti nuo viešbučio WiFi.
Kai saugumas tampa įpročiu, o ne vargu
Tiesa ta, kad saugumas viešuose tinkluose nėra raketų mokslas. Didžioji dalis problemų kyla ne iš to, kad žmonės nežino apie grėsmes, o iš to, kad saugumo priemonės atrodo per daug sudėtingos ar nepatogios kasdieniam naudojimui.
Bet pažiūrėkime realiai: VPN įjungimas užtrunka sekundę. HTTPS nustatymas naršyklėje – vieną kartą ir visam laikui. Dviejų faktorių autentifikacija – kelias sekundes kiekvieną kartą prisijungiant. Tai nėra dideli nepatogumai, palyginti su tuo, ką galite prarasti – banko duomenis, asmeninius failus, prieigą prie paskyrų.
Geriausias požiūris – sukurti saugumo rutiną. Prisijungiate prie viešo WiFi? Automatiškai įsijungia VPN. Kuriate naują paskyrą? Automatiškai generuojate stiprų slaptažodį per slaptažodžių tvarkyklę ir įjungiate 2FA. Atnaujinimų pranešimas? Nepostringaujate, o atnaujinate.
Technologijos tobulėja, ir atakų metodai taip pat. Bet pagrindiniai principai išlieka tie patys: šifruokite srautą, naudokite stiprius autentifikavimo metodus, būkite atsargūs, prie ko prisijungiate. Tai ne paranoja – tai tiesiog higiena skaitmeniniame pasaulyje, tokia pat natūrali kaip rankų plovimas. Ir kuo anksčiau tai taps įpročiu, tuo ramiau galėsite gerti tą kavinės kavą, net ir prisijungę prie jų WiFi.
