Природа беспроводных Wi-Fi сетей такова, что для «прослушивания» и перехвата передаваемого по ним сетевого трафика злоумышленникам достаточно находиться рядом с точками доступа. Сервисы, допускающие передачу информации в открытом виде, неверно настроенное шифрование на точке доступа — все это зона серьезного риска для пользовательских данных.
Защитить конфиденциальные данные можно при помощи шифрования трафика на беспроводных точках доступа. По сути, этот метод защиты сегодня является необходимым для всех Wi-Fi сетей. Но как обстоят дела на практике? Всегда ли в публичных беспроводных сетях трафик действительно шифруется? Как отличается ситуация в разных странах? На эти вопросы позволяет ответить статистика Kaspersky Security Network. Используя данные из нашей базы данных об угрозах, мы сравнили ситуацию с шифрованием беспроводного Wi-Fi-трафика в разных странах. Для каждой страны, где нам известно о более чем 10 тыс. точках доступа (так мы отсекаем Антарктиду и другие регионы, данных о которых недостаточно для того, чтобы делать выводы) мы посчитали число, условно говоря, надежных и ненадежных сетей.
Безопасность беспроводных сетей
Используя статистку Kaspersky Security Network, мы проанализировали данные почти о 32 млн. точек доступа Wi-Fi по всему миру, с которыми соединялись беспроводные адаптеры пользователей KSN.
Тип шифрования, используемый в публичных Wi-Fi-сетях в мире
Около 24,7% точек доступа Wi-Fi в мире обходятся вообще без шифрования. В его отсутствие любой человек, стоящий неподалеку от точки доступа с антенной, способной принимать и отправлять сигнал на частоте 2,4 ГГц, может просто перехватить и сохранить весь трафик пользователей, а потом спокойно искать в нем интересующие его данные. К счастью, современные системы онлайн-банкинга и мессенджеры не передают информацию в открытом виде. Но это единственное, что отделяет пользователя беспроводной сети с нешифрованным трафиком от потери паролей и других важных данных при использовании незащищенной точки доступа.
Протоколом WEP (Wired Equivalent Privacy) для шифрования данных при передаче через Wi-Fi соединение пользуют около 3,1% всех проанализированных точек доступа. Этот протокол был создан первым и относительно давно, и на сегодняшний день он абсолютно ненадежен: необходимое злоумышленникам время для «взлома» исчисляется минутами. То есть, с точки зрения информационной безопасности использование WEP уже мало отличается от открытых сетей. Протокол повсеместно уходит в небытие, но, как мы видим на диаграмме выше, все еще встречается.
Порядка трех четвертей точек доступа используют шифрование, основанное на семействе протоколов Wi-Fi Protected Access (WPA). В настоящее время это семейство является наиболее защищенным. Трудоемкость «взлома» зависит от настроек, в том числе от сложности пароля, выбранного владельцем точки доступа. Стоит отметить, что трафик «персональных» (WPA-Personal, PSK authentication) беспроводных сетей (с публичными точками доступа) можно попытаться расшифровать с помощью перехвата «рукопожатий» (handshakes) между точкой доступа и устройством в начале сеанса связи. «Корпоративные» версии защищены от подобного перехвата, поскольку используют внутреннюю авторизацию компании. Ситуация с атаками на «персональную» версию WPA2 похожа на ситуацию с WPA и во многом зависит от «силы» пароля, выбранного установщиками точки доступа.
Справедливости ради стоит отметить, что при типовых атаках на точки доступа Wi-Fi персональный компьютер может перебрать в среднем от 50 до 300 ключей в секунду. При достаточно надежном ключе шифрования время взлома будет исчисляться годами. Но никто не может гарантировать, что этот ключ в каком-нибудь условном кафе будет надежным, и что мощности атакующего будут ограничены лишь ПК.
В целом можно сказать, что не «корпоративные» версии WPA/WPA2 на сегодня являются достаточно, но не абсолютно надежными. В частности, они допускают проведение брутфорса и «словарных атак». Для этого существуют готовые, доступные публично инструменты (aircrack-ng и ему подобные), как и множество руководств по пользованию ими.
География незащищенных точек доступа Wi-Fi
Отметим, что в TOP 5 стран по проценту незащищенных соединений попадает Корея (47,9% незащищенных точек доступа Wi-Fi), а 9-е и 12-е места в этом рейтинге занимают Франция (40,14%) и США (39,31%).
Среди западноевропейских стран наиболее безопасной выглядит Германия, где 84,91% точек доступа защищены шифрованием по протоколу WPA/WPA2.
Однако даже в случае использования зашифрованного соединения, целиком полагаться лишь на эту меру защиты все же не стоит. Существует насколько сценариев, при которых даже надежно зашифрованный сетевой трафик может быть скомпрометирован. Это и фальшивые точки доступа с именами, дублирующими или похожими на настоящие (например, TrainStation_Free или TrainStation Free), и скомпрометированные роутеры, передающие трафик атакующим уже без шифрования (зловреды, заражающие такие устройства, уже встречаются в «дикой природе»). Так что в любом случае есть смысл позаботиться о своей безопасности самостоятельно.
Рекомендации пользователям
Есть несколько простых правил, которые позволят сохранить конфиденциальность личной информации при использовании открытых Wi-Fi-сетей в кафе, отелях, аэропортах и других общественных местах.
- Не доверяйте тем сетям, которые не защищены паролем.
- Даже если сеть просит пароль, стоит проявить бдительность. Мошенники могут узнать пароль к сети, например, в кофейне, а затем создать фальшивое соединение с таким же паролем. Это позволяет легко украсть личные данные пользователей. В этом случае стоит доверять только тем названиям сети и паролям, которые вам предоставляют работники данного заведения.
- Чтобы обезопасить себя максимально, выключайте соединение Wi-Fi, когда вы им не пользуетесь. Это еще и сэкономит заряд батареи. Также советуем отключить функцию автоматического подключения к имеющимся Wi-Fi соединениям.
- Если вы не на 100% уверены в безопасности используемой вами беспроводной сети, но при этом вам все равно нужно выйти в интернет, старайтесь обходиться простыми действиями, например, поиском информации. Не стоит в такой ситуации вводить логины и пароли от соцсетей или почтового сервиса, тем более совершать какие-то операции в онлайн-банке или вводить где-либо данные банковской карты.
- Для того чтобы не стать мишенью атак кибермошенников, достаточно в настройках включить пункт «Всегда использовать безопасное соединение» (HTTPS). Рекомендуется включить такую опцию при посещении всех сайтов, где вы не уверены в должной защите.
- Если есть возможность, используйте подключение через виртуальную частную сеть (VPN). Трафик в такой сети маршрутизируется по защищенному туннелю в зашифрованном виде, а значит, злоумышленники просто не смогут прочитать ваши данные, даже если и получат к ним доступ.
- И, разумеется, обязательно используйте специализированные защитные решения. Они предупреждают о потенциальной опасности, если вы подключаетесь к сомнительной Wi-Fi-сети, и не позволяют передать пароли и прочие конфиденциальные данные, если есть угроза утечки.
Примером специализированного решения является функция «Безопасное соединение», реализованная в новых версиях Kaspersky Internet Security и Kaspersky Total Security. Этот модуль защищает пользователя при подключении к Wi-Fi сетям за счет предоставления безопасного зашифрованного канала связи. «Безопасное соединение» может быть запущено пользователем вручную, либо, в зависимости от настроек, активировано автоматически при подключении к публичным сетям Wi-Fi или переходе на сайты онлайн-банкинга и платежных систем, страницы интернет-магазинов, ресурсы для онлайн-коммуникации (почтовые сервисы, социальные сети и т.д.).
Исследование: незащищенные Wi-Fi-сети по всему миру
Геннадий
Работники заведения могут быть заинтересованы в краже личных данных. Тогда wifi вообще доверять не стоит без спец. средств типа vpn?
Леонид
здравствуйте!
как на своем устройстве в настройках включить пункт «Всегда использовать безопасное соединение» (HTTPS)?
Геннадий
Если под устройством Вы имеете ввиду ноутбук, то я использую расширение для браузера HTTPS Everywhere. Надеюсь, оно помогает.
Александр
Ага, помогает создателям этого ПО скачивать весь трафик браузера.