Бесплатные точки Wi-Fi

[TANUKI 240]

С каждым днем в крупных мегаполисах любитель "этих ваших инетрнетов" с радостью для себя обнаруживает множество бесплатных точек Wi-Fi. В основном, конечно, их можно встретить в заведениях общепита. Однако есть и добрые самаритяне, которые просто открывают свои роутеры, что бы и сосед (или школие на лавочке под парадным) могли окультуриться с помощью Всемирной Паутины.

Например, в Украине, каждый МакДональдс оснащен бесплатным хот-спотом от Укртелеком с вполне вменяемой скоростью. Однако, за соседним столиком может сидеть не только любительница Одноклассников или асечки, но и хитрый "какер Вася", который не прочь поживиться за счет перехвата трафика паролями и прочими интересными данными. Ну, а настоящий параноик скажет, что и сам персонал Мака (или другого ресторана) не будь дураком посниферить переданные данные на наличие паролей и номеров кошельков, пинкодов и просто приватной переписки. Да и дорый сосед-самаритянен тоже может не альтруизма ради открыть свой роутер.

Так вот, уважаемые знатоки, расскажите пожалуйста:

1. Насколько вообще безопасно пользоваться хот-спотами, если у вас ноутбук или смартфон?

2. Что нужно сделать, что бы не стать жертвой сниферов, опять же, используя смартфон или нетбук?

По-моему, тема давно назрела для обсуждения

[dot_sent 140]

С каждым днем в крупных мегаполисах любитель "этих ваших инетрнетов" с радостью для себя обнаруживает множество бесплатных точек Wi-Fi. В основном, конечно, их можно встретить в заведениях общепита. Однако есть и добрые самаритяне, которые просто открывают свои роутеры, что бы и сосед (или школие на лавочке под парадным) могли окультуриться с помощью Всемирной Паутины.

Например, в Украине, каждый МакДональдс оснащен бесплатным хот-спотом от Укртелеком с вполне вменяемой скоростью. Однако, за соседним столиком может сидеть не только любительница Одноклассников или асечки, но и хитрый "какер Вася", который не прочь поживиться за счет перехвата трафика паролями и прочими интересными данными. Ну, а настоящий параноик скажет, что и сам персонал Мака (или другого ресторана) не будь дураком посниферить переданные данные на наличие паролей и номеров кошельков, пинкодов и просто приватной переписки. Да и дорый сосед-самаритянен тоже может не альтруизма ради открыть свой роутер.

Так вот, уважаемые знатоки, расскажите пожалуйста:

1. Насколько вообще безопасно пользоваться хот-спотами, если у вас ноутбук или смартфон?

2. Что нужно сделать, что бы не стать жертвой сниферов, опять же, используя смартфон или нетбук?

По-моему, тема давно назрела для обсуждения

Лично я применяю радикальное решение: шифрованый VPN-тоннель к домашнему серверу 24/7. И все данные (во всяком случае, веб-браузинг и информация мессенджеров) передаются только через тоннель. Решение, может, не очень подходит для смартфонов, а вот для ноутбука - в самый раз.

[TANUKI 240]

шифрованый VPN-тоннель к домашнему серверу 24/7.

Вам хорошо, а вот у многих людей только один ноутбук и есть Что таким делать? И смартфонщикам тоже что делать?

[Shell 301]

Вам хорошо, а вот у многих людей только один ноутбук и есть smile.gif Что таким делать? И смартфонщикам тоже что делать?

Бесплатные и халявные хот-споты также небезопасны как и анонимные бесплатные прокси.

Что делать? Читать новости и анекдоты.

Если нет домашнего vpn но возможна его поддержка на девайсе - купить услугу у провайдера\хостера.

Можно и забить на приватность. Это зависит от человека и как он дорожит теми сервисами которые будет использовать на таких точках.

Можно при заборе почты задействовать SSL. В аське - шифрование между клиентами. По крайней мере, не так много спецов которые будут ковырять зашифрованные данные.

То что любому более менее грамотному под силу сразу забрать со сниффера:

• пароли к аське (шифрование встроенное, "безопасный вход" и md5 вам не поможет)
• пароли ко всем соц.сетям
• пароли к mail\yandex\rambler ящикам
• пароли к дневникам
• пароли к сайтам знакомств
• прочее что передается без шифрования, тоннелей и vpn, контент через post запросы.
• внимание! часть банковского ПО (банк-клиенты) в post запросе шлют логин\пароль в клеар тексте!

(это то что я брал в 90% случаев ради опытов без корыстных целей =) и что самое распространенное на спотах. то, что выдерается из контента за считанные секунды.)

За кошельки VM опасаться не стоит. Не будет его ковырять никто таким способом. Есть проще методы

[TANUKI 240]

Спасибо, я так и знал.

А пароли к Гмейл и Хотмейлу?

[Shell 301]

А пароли к Гмейл и Хотмейлу?

gmail (почта, не остальные сервисы)- трудновато и не по уму будет для обычного споттера. Вообщем, можете считать из за трудности перехвата безопасным =) По крайней мере на текущий момент.

хотмейл - не ковырял...

[TANUKI 240]

Кстати, вот на сайте Комодо наковырял любопытную утилитку:

http://www.comodo.com/home/internet-securi...fi-security.php

И не дорого и под любую систему. Есть в ней смысл? Может даже есть что-то лучше и бесплатнее в таком же аспекте?

[Shell 301]

TANUKI, Вас не смутило

TrustConnect Wi-Fi Security Features:

* Securely encrypts all data transmitted over both wired and wireless Internet connections

* Creates a Virtual Private Network to hide all personal web-surfing information

Простите, с кем или чем будет устанавливать VPN данный софт?))

Если с точкой - то и без этого софта будет стоять разрешение допустим на создание туннеля.

Мы же изначально имели ввиду то что точка - хотспот (кафе, и прочие заведения, как Вы выразились

множество бесплатных точек Wi-Fi. В основном, конечно, их можно встретить в заведениях общепита. Однако есть и добрые самаритяне, которые просто открывают свои роутеры, что бы и сосед (или школие на лавочке под парадным) могли окультуриться с помощью Всемирной Паутины.

Э, простите, но это противоречит изначальным условиям:

1) у нас нет своей доверенной точки в паутине куда можем подцепиться VPNом и уже через неё серфить)

2) точка доступа - халявная. Вы много точек с настроенным VPN видели?)) Это аналогично что на бесплатной анонимной проксе рисовать SSL)

Ну да, есть софт от комодо. Только куда бы им прицепиться))) А если есть куда - тот же виндовый vpn вас спасет. Есть масса подобных агентов. Но все на VPN клиент-серверной технологии. Если у Вас есть клиент а нет сервера.... - то это не решает проблему.

А софт....

Cisco VPN Client:

- Поддержка на Windows 98, ME, NT, 2000 и XP, Linux, Solaris и MacOS

- Поддержка протоколов IPSec ESP, PPTP, L2TP, L2TP/IPSec, NAT Traversal IPSec, IPSec/TCP, IPSec/UDP

- Поддержка DES, 3DES и AES с MD5 и SHA

- Поддержка токенов Aladdin, ActiveCard, Schlumberger, Gemplus, Datakey и других через MS CAPI

- Поддержка аутентификации XAUTH, LDAP, RADIUS с поддержкой для Active Directory, Kerberos, RSA SecurlD, MS-CHAPv2, x509v3

- Отсутствие конфликтов с клиентом Microsoft L2TP/IPSec

- Поддержка протокола Simple Certificate Enrollment Protocol (SCEP)

- Поддержка IKE

- Сжатие передаваемых данных

- Автоматическое обновление до новой версии

- Программный интерфейс API для контроля функционирования VPN Client из других приложений

- Балансировка нагрузки и поддержка резервных VPN-шлюзов

- Централизованное управление с помощью политик (включая списки резервных VPN-шлюзов)

- Встроенный персональный межсетевой экран

- Интеграция с Cisco Security Agent, Sygate, ZoneAlarm

+ D-Link VPN Client

+ NETGEAR ProSafe™ VPN Client

+ ZyWALL VPN Client

+ kerio vpn client

+ Nokia VPN Client

+ многие остальные.

Толку то...

[TANUKI 240]

Тогда получается, что в бесплатным хот-спотах можно только читать новостюшки и проверять почту Гмейл и фильмы с торрентов качать? Ужас. Мне они больше бы пригодились для имейла и ИМ.

[wert 60]

http://hotspotshield.com/?lg=ru

Если готовы им доверить свой трафик.

[Nike 165]

кстати.

пользователи Symantec говорили, что NIS 2010 защищает Wi-Fi соединения.

теперь вопрос-это действительно так?

[wert 60]

кстати.

пользователи Symantec говорили, что NIS 2010 защищает Wi-Fi соединения.

теперь вопрос-это действительно так?

В этой теме немного другой контекст.

А по поводу защиты wi-fi соединений в файерволах, такая защита есть не только в НИС, но и в КИС, TIS и многих других.

Эта защита подразумевает, что фаервол может понять, что соединение идет через wi-fi,

определить тип wi-fi и выставить параметры публичной сети.

[Nike 165]

определить тип wi-fi и выставить параметры публичной сети.

это можно и стандартными средствами Windows Seven сделать..

[TANUKI 240]

Вобщем, насколько я понял из ответов, пользователи публичных хот-спотов практически не защищены.

Ичключения: поддержка сайтами https (например, гуглопочта) или ssl (в случае с электронными платежами)

В остальном, переписка по аське, пароли асечных клиентов и прочее может стать достоянием сниферящих особ. Правильно?

[wert 60]

Вобщем, насколько я понял из ответов, пользователи публичных хот-спотов практически не защищены.

http://www.anti-malware.ru/forum/index.php...ost&p=99458

[Сергей Ильин 1538]

В остальном, переписка по аське, пароли асечных клиентов и прочее может стать достоянием сниферящих особ. Правильно?

А зачем использовать в публичной сети аську или почтовые клиенты передающие трафик в незашифрованном виде?

Используйте Skype, Google Talk (https) или ICQ настроенную на SSL (slogin.oscar.aol.com, в QIP есть специальная галка). Какие проблемы? Да вообще лучше всегда так делать и париться по поводу сети.

С почтой Тоже самое, заходите через https. В случае клиентских программ все не так просто, так как многие сервисы не поддерживаются Secure Password Autentification (SPA), SSL/TLS

Mail.ru требует снять галку в настройках http://www.mail.ru/pages/help/1028.html

http://www.mail.ru/pages/help/362.html

Так что юзайте Gmail или Windows.Live (бывший Hotmail) или другие приличные почтовые сервисы и будет все хорошо.

[TANUKI 240]

1. А зачем использовать в публичной сети аську или почтовые клиенты передающие трафик в незашифрованном виде?

2. Используйте Skype, Google Talk (https) или ICQ настроенную на SSL (slogin.oscar.aol.com, в QIP есть специальная галка). Какие проблемы? Да вообще лучше всегда так делать и париться по поводу сети.

3. С почтой Тоже самое, заходите через https. В случае клиентских программ все не так просто, так как многие сервисы не поддерживаются Secure Password Autentification (SPA), SSL/TLS

1. Ну дык что ж еще делать в публичном месте да с халявным интернетом во время приема пищи? Конечно, сидеть в мессенджере и почту проверять

2. Т.е. это акутально в случае с использованием нативных приложений (родных) и на ноутбуке. А если у меня на ноуте Миранда или Пидгин? А что делать владельцам смартфонов, например тем, кто пользуется мультипротокольными мессенджарами типа Nimbuzz или MailRu-Agent или QIP Mobile?

3. А вот как с этим делом в Thunderbierd ?

[Umnik 997]

А если у меня на ноуте Миранда или Пидгин?

А вот как с этим делом в Thunderbierd ?

Обычно. Он поддеживает SSL, если его поддерживает почтовый сервер.

[zzkk 130]

Используйте...https... или... SSL... Какие проблемы?

Такие проблемы?

[Shell 301]

Я уже писал, что про SSL\md5, в т.ч. плагины для шифрования забудьте в аське) Не защищает вас это...

[Umnik 997]

Shell

Почему в аське? Нигде не защищает, через сервер информация проходит в открытом виде и на выходе снова шифруется. Вот модуль SecureIM, возможно, меняет положение дел, но он привязан к клиенту. Но здесь речь не об этом, здесь пытаются защититься от тех, кто рядом сидит.

[Сергей Ильин 1538]

Такие проблемы?

oSpy - софт для реверс-инжиниринга, устанавливается на том же компьютере. Если TANUKI сам свой трафик начнет снифирить ...

Кстати, HTTPS трафик тоже можно читать при помощи подмены сертификатов по пути, что реализовано во многих DLP продуктах и что с того? Вы же считаете, что ваша переписка настолько интересна, что ради нее в ближайшем макдаке хацкеры поднимут 2 прокси с кучей дорогостоящего софта и будут снифирить ваш трафик? Это смешно

[Shell 301]

Shell

Почему в аське? Нигде не защищает, через сервер информация проходит в открытом виде и на выходе снова шифруется. Вот модуль SecureIM, возможно, меняет положение дел, но он привязан к клиенту. Но здесь речь не об этом, здесь пытаются защититься от тех, кто рядом сидит.

Опираясь на авторизацию по SSL (slogin.oscar.aol.com в миранде и др.клиентах) - делаю вывод что трафик так скажем мягко, в большинстве случаев виден нешифрованным). Что уж там происходит - не вникал.

Касаемо модуля SecurIM - вы видели какие сообщения проходят между клиентами автоматически при начале беседы? Прально, обмен ключами

2 прокси

Не знаю что там с дорогостоящими DLP, SSL и проксями - это муторно, есть же способы проще . DLP ясное дело на точке стоять не будет.

И зачем две? По теме предполагается что данные собирает либо владелец точки, либо некто за соседним столиком. В первом случае - прокся не нужна особо, хотя то к чему эта точка подключена (сервер) и может служить проксей. Во втором случае - идет ведь чистый сниф - пишем все что попало. Сертификаты - в таких случаях никто подбирать не будет. Как я уже выше сказал что заморачиваться с этим мало кто способен и по времени затратно...

Ради эксперимента, если не верите, возьмите тот же Shadow IM sniffer\старый добрый гивмиту (это то что под Win*, под lin\bsd гораздо больше инструментов) с записью в базу и посмотрите в промиске (или перенаправьте трафик в порт на циске) в локалке (ну или в вай-файной сети). Станет все ясно

Переписка быть может не столь интересна как пароли к той же аське\почте\социалке.

[OlegAndr 236]

Вызывает интерес практический момент с реализацией OWA - как у нее с шифрованием трафика?

Насколько я понимаю от подмены сертификатов нас спасёт проверка кому выданы сертифкаты? Если мы полезем на gmail и увидим что сертификат не гмыльный, а например чей-то ещо? Или, что может быть интересно, гмыльный, но выданные другим центром сертификации.... ХМ. А он не возопит об отсутствии доверия к нему?

[dr_dizel 385]

Если мы полезем на gmail и увидим что сертификат не гмыльный, а например чей-то ещо? Или, что может быть интересно, гмыльный, но выданные другим центром сертификации.... ХМ. А он не возопит об отсутствии доверия к нему?

А вы поверите ответу какого-то дяди или сами включите в av проверку https и зайдёте на gmail?