Исследование

Насколько безопасны публичные Wi-Fi-сети в Москве?

Природа беспроводных Wi-Fi-сетей такова, что для «прослушивания» и перехвата передаваемого по ним сетевого трафика злоумышленникам достаточно находиться рядом с точками доступа. Сервисы, допускающие передачу информации в открытом виде, неверно настроенное шифрование на точке доступа — все это зона серьезного риска для данных пользователей.

Защитить конфиденциальные данные можно при помощи шифрования трафика на беспроводных точках доступа. По сути этот метод защиты сегодня является необходимым для всех Wi-Fi-сетей. Но как обстоят дела на практике? Всегда ли, к примеру, в московских публичных беспроводных сетях трафик действительно шифруется?

Чтобы найти ответы на эти вопросы мы просканировали развернутые Wi-Fi-сети в центре Москвы и в одном из спальных районов мегаполиса. Кроме того, для точечной проверки на наличие открытых и зашифрованных общественных Wi-Fi-точек доступа мы выбрали крупный торговый центр, популярную сетевую кофейню, пятизвездочный отель в центре города, а также вокзал и другие точки транспортной инфраструктуры Москвы.

Исследование проводилось методом пассивного сканирования точек доступа, в общей сложности было проанализировано около 7000 Wi-Fi-сетей.

Результаты сканирования

Москва

В Москве по результатам нашего исследования получилась следующая картина:

image001

Тип шифрования, используемый в московских публичных Wi-Fi-сетях

В 16% точек доступа в Москве шифрование вообще не используется, и при желании киберпреступник с легкостью может получить доступ к данным, передаваемым по этим сетям.

В 2% Wi-Fi-точек используется устаревший и малоэффективный с точки зрения информационной безопасности протокол Wired Equivalent Privacy (WEP). Взломать такой протокол злоумышленнику не составит особого труда, необходимое для успешной атаки время измеряется минутами.

Остальные точки доступа защищены довольно хорошо. В 29% случаев используется шифрование, основанное на протоколе Wi-Fi Protected Access (WPA). Однако и он «поддастся» злоумышленнику, если администратор точки доступа установил слабый пароль, который можно подобрать атакой по словарю или брутфорсом. Справедливости ради стоит отметить, что при типовых атаках на точки доступа Wi-Fi персональный компьютер может перебрать в среднем от 50 до 300 ключей в секунду. При достаточно надежном ключе шифрования время взлома будет исчисляться годами. Но никто не может гарантировать, что этот ключ в каком-нибудь условном кафе будет надежным, и что мощности атакующего будут ограничены лишь ПК.

Наконец, более чем в половине московских Wi-Fi-сетей (53%) на точках доступа применяется наиболее устойчивый на сегодня к взлому протокол Wi-Fi Protected Access 2 (WPA2). Ситуация с атаками на «персональную» (не корпоративную) версию WPA2 похожа с описанной выше для WPA и во многом зависит от «силы» пароля, выбранного установщиками точки доступа.

Популярные места города

Точечная проверка популярных мест также дала интересные результаты. Так, в одном из самых больших московских торговых центров Wi-Fi-сети были развернуты оператором сотовой связи. В восьми из них трафик шифруется при помощи протокола WPA, и еще в восьми – с помощью WPA2. Как уже отмечалось выше, при условии надлежащей настройки этих мер защиты для публичных сетей вполне достаточно. Однако мы обнаружили в торговом центре еще две беспроводных сети, в которых шифрование трафика не было предусмотрено вообще. При этом одной из этих сетей пользуются посетители популярной кофейни, так что наверняка через нее ежедневно выходит в интернет большое число людей.

Wi-Fi-сетью сотового оператора также решила воспользоваться известная пятизвездочная гостиница в центре Москвы. И, как выяснили эксперты «Лаборатории Касперского», в этой беспроводной сети на нескольких точках доступа либо вовсе нет шифрования, либо используется ненадежный и уже давно отживший свое протокол WEP, который не гарантирует пользователям защиту.

Однако хуже всего с безопасностью протоколов Wi-Fi-сетей обстоят дела в транспортной инфраструктуре столицы. В ходе эксперимента мы обнаружили открытые сети без шифрования трафика на вокзалах, остановках общественного транспорта, в самом транспорте – в частности, в скоростных электричках, следующих до столичных аэропортов.

Данные KSN — где защита лучше?

Проанализировав данные Kaspersky Security Network, мы выяснили, что доля точек, в которых применяется довольно надежный протокол WPA2, в целом по России составляет чуть менее 76%:

В мире по данным KSN, в среднем процент хорошо защищенных WI-FI-точек немного меньше, чем в России, а доля беззащитных сетей – выше.

И хотя Россия на общемировом фоне в вопросе шифрования Wi-Fi-сетей выглядит весьма достойно, стоит обратить внимание, что в некоторых европейских странах уровень использования самых защищенных и современных алгоритмов шифрования выше, чем в России или в мире. Так, например, в Германии протокол шифрования WPA2 используется в 83% сетей.

Однако даже в случае использования зашифрованного соединения, целиком полагаться лишь на эту меру защиты все же не стоит. Существует насколько сценариев, при которых даже надежно зашифрованный сетевой трафик может быть скомпрометирован. Это и фальшивые точки доступа с именами, похожими на настоящие (действительно, кто перед подключением проверяет называется ли сеть, например, TrainStation_Free или TrainStation Free), и скомпрометированные роутеры, передающие трафик атакующим уже без шифрования (зловреды, заражающие такие устройства, уже встречаются в «дикой природе»). Так что в любом случае есть смысл позаботиться о своей безопасности самостоятельно.

Рекомендации пользователям

Есть несколько достаточно простых правил, которые позволят сохранить конфиденциальность личной информации при использовании открытых Wi-Fi-сетей в кафе, отелях, аэропортах и других общественных местах.

  1. Не доверяйте тем сетям, которые не защищены паролем.
  2. Даже если сеть просит пароль, стоит проявить бдительность. Мошенники могут узнать пароль к сети, например, в кофейне, а затем создать фальшивое соединение с таким же паролем. Это позволяет легко украсть личные данные пользователей. В этом случае стоит доверять только тем названиям сети и паролям, которые вам предоставляют работники данного заведения.
  3. Чтобы обезопасить себя максимально, выключайте соединение Wi-Fi, когда вы им не пользуетесь. Это еще и сэкономит заряд батареи. Также эксперты советуют отключить функцию автоматического подключения к имеющимся Wi-Fi соединениям.
  4. Если вы не на 100% уверены в безопасности используемой вами беспроводной сети, но при этом вам все равно нужно выйти в интернет, старайтесь обходиться простыми действиями, например, поиском информации. Не стоит в такой ситуации вводить логины и пароли от соцсетей или почты и тем более совершать какие-то операции в онлайн-банке или вводить где-либо номер банковской карты, особенно CVV-код.
  5. Для того чтобы не стать мишенью атак кибермошенников, достаточно в настройках включить пункт «Всегда использовать безопасное соединение» (HTTPS). Рекомендуется включить такую опцию при посещении всех сайтов, где вы не уверены в должной защите.
  6. Если есть возможность, используйте подключение через виртуальную частную сеть (VPN). Трафик в такой сети маршрутизируется по защищенному туннелю в зашифрованном виде, а значит, злоумышленники просто не смогут прочитать ваши данные, даже если и получат к ним доступ.
  7. И, разумеется, обязательно используйте специализированные комплексные средства антивирусной защиты. Они предупреждают о потенциальной опасности, если вы подключаетесь к сомнительной Wi-Fi-сети, и не позволяют передать пароли и прочие конфиденциальные данные, если есть угроза утечки.

В заключение отметим, что в новых версиях Kaspersky Internet Security для всех устройств и Kaspersky Total Security для всех устройств компания реализовала новую функцию под названием «Безопасное соединение». Этот модуль защищает пользователя при подключении к Wi-Fi-сетям за счет предоставления безопасного зашифрованного канала связи.

«Безопасное соединение» может быть запущено пользователем вручную, либо, в зависимости от настроек, активировано автоматически при подключении к публичным сетям Wi-Fi или переходе на сайты онлайн-банкинга и платежных систем, страницы интернет-магазинов, ресурсы для онлайн-коммуникации (почтовые сервисы, социальные сети и т.д.).

Насколько безопасны публичные Wi-Fi-сети в Москве?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. c01nd01r

    А есть статистики по включенному WPS?

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике