it-swarm-eu.dev

Il Wi-Fi pubblico è una minaccia al giorno d'oggi?

A mio avviso, gli argomenti che utilizziamo da anni per affermare che i punti di accesso Wi-Fi pubblici non sono sicuri non sono più validi, così come i rimedi raccomandati (ad es. Utilizzare VPN).

Oggi la maggior parte dei siti utilizza HTTPS e imposta le intestazioni HSTS, quindi le probabilità che qualcuno possa intercettare la connessione di qualcun altro sono molto basse, al punto da aspettarsi una vulnerabilità zero-day in TLS.

Quindi, quali altre minacce qualcuno può affrontare oggi su una rete pubblica?

138
eez0

Il WiFi pubblico è ancora insicuro e lo sarà sempre se non utilizzato insieme a qualcosa come una VPN.

  • Molti siti Web utilizzano HTTPS, ma non quasi tutti. In effetti, non oltre il 30 percento .
  • Solo circa il 5 percento dei siti Web utilizza HSTS. Ed è ancora fiducia al primo utilizzo. Se l'età massima è breve, il primo utilizzo può essere abbastanza frequente. Ammettiamolo, anche se sei un esperto di sicurezza è probabile che ti innamorerai comunque dello strip SSL. So che lo farei.
  • Solo perché usi HTTPS non significa che lo fai nel modo giusto. Ci sono ancora molti contenuti misti là fuori. Molti client supportano ancora le vecchie versioni con vulnerabilità note, quindi un attacco non deve essere un giorno zero per avere successo.
  • Anche se usi HTTPS, perdi comunque molte informazioni, come il dominio che visiti, tutto il tuo traffico DNS, ecc.
  • Un computer o un telefono utilizza Internet non solo per la navigazione:
    • Tutto ciò che serve è un'app che ha una crittografia cattiva (o no) per la sua funzione di aggiornamento e sei di proprietà.
    • Tutte quelle app a cui hai dato il permesso di accedere a tutti i tipi di dati personali ... Telefonano costantemente a casa e probabilmente non hai idea di quali dati stiano inviando e quali eventuali crittografie utilizzino.
    • Dancrumb ha più esempi nel suo ottima risposta .
  • Difesa in profondità .

Una VPN è economica ed è ancora un frutto basso quando si tratta di sicurezza.

197
Anders

Sono un po 'sorpreso che nessuno abbia sottolineato che su Internet c'è molto di più di HTTP.

Anche se le tue affermazioni su HTTP (S) e HSTS erano corrette (e altre risposte ne discutono), stai dimenticando POP, SMTP, IMAP, FTP, DNS, ecc. Nessuno di questi protocolli è intrinsecamente sicuro.

118
Dancrumb

Un'altra difficoltà di accesso al wifi pubblico è che sei sulla stessa rete locale degli altri attori sconosciuti. Qualsiasi configurazione errata delle autorizzazioni di rete locale può provocare un'intrusione nel dispositivo. Forse a casa, hai configurato i dati condivisi sulla tua rete locale. Ora, tutti sullo stesso punto di accesso wifi possono avere accesso a quei dati condivisi. Molto spesso, questa protezione è assicurata da un firewall (sia in ufficio che a casa) e consideri la rete locale più sicura di quella di Internet nudo. Ma questa volta, potresti trovarti sulla stessa rete locale di un utente malintenzionato.

23
entrop-x

Direi che ogni volta che ti connetti a una rete accessibile pubblicamente ti stai mettendo a rischio, le VPN sono fantastiche, ma non fai nulla per proteggere il tuo computer dalle minacce sulla rete locale se tu, l'utente, sbagli e apri, dici : la tua cartella privata da condividere con chiunque altro.

Una strategia che ho usato e giocato in passato quando su una rete pubblica è l'honeypot vecchio stile, condividere una cartella con un file e controllare anche l'accesso a quel file, disconnettersi immediatamente quando si accede e sai di non averlo fatto accedervi.

10
Gartral

Alcune delle preoccupazioni riguardano gli attacchi MiTM e la tendenza dei laptop a essere configurati per connettersi ciecamente a reti aperte basate su SSID dopo la connessione iniziale. Nulla impedisce a una parte sconosciuta di avviare un punto di accesso con lo stesso SSID utilizzato in altre posizioni. Pertanto, mentre parte del tuo traffico potrebbe essere protetto, una buona parte non lo sarà e l'attaccante avrà un percorso sul quale potrà tentare di compromettere il tuo laptop.

8
bobstro

Questo è esattamente uno scenario in cui la crittografia semi "opportunistica" (come l'ecosistema HTTP/HTTPS crittografato o in chiaro) può almeno fallirti - per lo meno devi fare affidamento sul tuo browser non aprendo inaspettatamente alcune risorse incorporate in una pagina Web tramite un protocollo non garantito (anche se un uomo nel mezzo lo declassa per te), e anche su certificati falsi che non vengono accettati. Per ogni pagina e per tutto ciò che ogni pagina carica.

Una VPN, come detto, può comunque trasferire tutti i tipi di traffico dannoso verso un endpoint vulnerabile e viceversa.

In assenza di malware veramente problematico come keylogger e software di controllo remoto illecito, l'installazione più sicura sarebbe controllare un computer remoto affidabile tramite qualcosa come desktop remoto o ssh (con o senza inoltro X11), facendo sì che tutto il traffico rilevante sia attraverso un canale crittografato . La creazione di questo canale richiederebbe ancora maggiore diligenza (ad es. Verifica manuale delle impronte dei certificati) per evitare qualsiasi rischio residuo di attacchi MITM (che potrebbe ottenere le credenziali di accesso di un utente malintenzionato nel caso peggiore).

6
rackandboneman

Informazioni sull'utilizzo dei servizi Wifi pubblici, Tor e VPN possono ancora perdere informazioni.

Oltre alle implicazioni sulla sicurezza di Tor e VPN, devi comunque ottenere almeno i servizi DHCP dal Wifi pubblico.

A seconda delle impostazioni Wi-Fi, il servizio di offerta può ancora aprire una finestra del browser (limitata) direttamente nel dispositivo anche quando si utilizza la VPN se si utilizzano tecnologie di rete captive, e il dispositivo verrà esposto e parlare al di fuori della VPN fino a un certo punto fino a quando non si autenticare nel portale della rete captive.

IMO questo nel più grande elefante nella stanza al giorno d'oggi a cui la gente non ci pensa - ho scritto una prova di concetto in FreeBSD che apre una foto del cranio nel client, prima di andare sulla rotta VPN, i miei compagni di lavoro non erano così divertiti.

Vorrei consigliare che a seconda del dispositivo, oltre a Tor o/e VPN, è necessario almeno disporre degli ultimi aggiornamenti del sistema operativo e di un firewall finemente ottimizzato in esecuzione sul dispositivo.

Quindi, in realtà, no, HTTPS e le tecnologie correlate sono solo una (piccola) parte dell'equazione in un'impostazione di sicurezza e offrono un falso senso di sicurezza solo se utilizzate di per sé.

6
Rui F Ribeiro

Come Norton , una società di sicurezza, dice:

Quali sono i rischi?

Il problema con il Wi-Fi pubblico è che esiste un numero enorme di rischi associati a queste reti. Mentre gli imprenditori possono credere di fornire un servizio prezioso ai propri clienti, è probabile che la sicurezza su queste reti sia lenta o inesistente.

Man in the Middle attacca

Una delle minacce più comuni su queste reti è chiamata attacco Man in the Middle (MitM). In sostanza, un attacco MitM è una forma di intercettazione. Quando un computer effettua una connessione a Internet, i dati vengono inviati dal punto A (computer) al punto B (servizio/sito Web) e le vulnerabilità possono consentire a un utente malintenzionato di intrufolarsi tra queste trasmissioni e "leggerle". Quindi quello che pensavi fosse privato non lo è più.

Reti non crittografate

Crittografia significa che i messaggi inviati tra il tuo computer e il router wireless hanno la forma di un "codice segreto", in modo che non possano essere letti da chiunque non abbia la chiave per decifrare il codice. La maggior parte dei router viene fornita dalla fabbrica con la crittografia disattivata per impostazione predefinita e deve essere attivata al momento dell'installazione della rete. Se un professionista IT imposta la rete, è probabile che la crittografia sia stata abilitata. Tuttavia, non esiste un modo sicuro per dire se questo è successo.

Distribuzione di malware

Grazie alle vulnerabilità del software, ci sono anche modi in cui gli aggressori possono far scivolare malware sul tuo computer senza nemmeno saperlo. Una vulnerabilità del software è una falla o un punto debole di sicurezza riscontrato in un sistema operativo o in un programma software. Gli hacker possono sfruttare questa debolezza scrivendo codice per colpire una specifica vulnerabilità e quindi iniettare il malware sul dispositivo.

Snooping e annusando

Il modo in cui sembra snooping e sniffing Wi-Fi. I criminali informatici possono acquistare kit software speciali e persino dispositivi per aiutarli a intercettare i segnali Wi-Fi. Questa tecnica può consentire agli aggressori di accedere a tutto ciò che stai facendo online - dalla visualizzazione di intere pagine Web che hai visitato (incluse tutte le informazioni che potresti aver compilato durante la visita di tale pagina Web) alla possibilità di acquisire le tue credenziali di accesso e persino di essere in grado di Dirotta i tuoi account.

Hotspot dannosi

Questi "punti di accesso non autorizzati" inducono le vittime a collegarsi a ciò che pensano sia una rete legittima perché il nome sembra rispettabile. Supponi di stare al Goodnyght Inn e desideri collegarti al Wi-Fi dell'hotel. Puoi pensare di selezionare quello corretto quando fai clic su "GoodNyte Inn", ma non l'hai fatto. Invece, ti sei appena connesso a un hotspot canaglia creato da criminali informatici che ora possono visualizzare le tue informazioni sensibili.

Quando tutti conoscono questi rischi, la cosa minima da fare è ridurre i rischi.

A questo proposito, puoi leggere alcuni articoli:

1

Non sono sicuro al 100% di quale sia la tua preoccupazione.

Gli hotspot WiFi pubblici non sono affidabili, giusto. Ma Internet non è affidabile. I siti che visiti non sono affidabili. I siti che usi per cercare nel web sono in particolare non affidabili.

Qualcuno su un hotspot WiFi pubblico potrebbe essere in grado di intercettare le tue connessioni. Qualcuno senza dubbio intercetterà tutte le tue comunicazioni. Ciò accade abitualmente all'interno dell'infrastruttura del provider, al CIX, ai confini nazionali e ai cavi trans-oceanici (e talvolta trans-continentali). Il tuo fornitore affidabile potrebbe benissimo essere autorizzato e richiesto dalla legge (sono qui!) Per registrare e archiviare statistiche dettagliate su ogni connessione effettuata, tutte le query DNS, qualunque cosa, e condividere tali informazioni con alcuni moderatamente affidabili e alcuni definitivamente no parti affidabili, tra cui organizzazioni di paesi ostili.
Tutti i principali stati del settore (non solo gli Stati Uniti) hanno organizzazioni origliate con diecimila o centinaia di persone ciascuna, non fanno altro che origliare le tue comunicazioni e creare profili su di te a seconda di chi comunichi, quando comunichi , quali nomi DNS risolvi e così via.

Questo è un problema per te? Beh, se lo è, non usare Internet, davvero.

Qualcuno su un hotspot WiFi pubblico potrebbe provare a sfruttare il tuo computer. Beh, indovina un po ', qualcuno potrebbe farlo anche tramite la tua connessione Internet domestica. Non è facile come essere sulla stessa rete locale di sicuro, ma assolutamente impossibile.
Il mio venerato vecchio Windows 7 già considerava la fiducia negli hotspot non un'ottima idea e considera tutti gli host non attendibili in quell'impostazione (a meno che tu non gli dica esplicitamente qualcosa di diverso). Ciò non accade senza motivo. Ma date le impostazioni ragionevoli, essere su una rete locale completamente ostile sarebbe comunque ragionevolmente sicuro. Nessuno dei servizi che sono stati sfruttati negli ultimi due anni è persino in esecuzione sul mio computer (indipendentemente dal fatto che il firewall rilasci traffico comunque). Solo, non correre merda che non ti serve. Meno servizi accessibili dalla rete, meno exploit (più RAM disponibile e avvio più rapido come bonus gratuito).

Non ci sono molti motivi per utilizzare comunque un hotspot WiFi pubblico (non ricordo di averne mai usato uno). Uno dei motivi potrebbe essere che sei in viaggio e devi fare qualcosa di veramente importante online molto urgentemente. OK, lo ammetto, in questo contesto, il WiFi pubblico può causare una brutta sensazione allo stomaco, ma quanto spesso succede comunque. Inoltre, la tua banca speriamo usa https: e puoi verificare banalmente se lo fanno, prima di inserire le informazioni del tuo account.

Anche se oggi le persone percepiscono che devono essere online e raggiungibili tutto il giorno (ad essere sinceri, quando hai spento il cellulare l'ultima volta?), Ciò non è vero. Puoi benissimo fare le tue attività bancarie da casa e non hai davvero bisogno di essere online 24/7 quando sei in viaggio. Di solito, almeno.
No, essere a Starbucks non significa che devi Twitter a riguardo e pubblicare una foto del tuo caffè su Facebook. A chi importa comunque? Ma se pensi che ciò sia assolutamente necessario e il WiFi pubblico sia troppo spaventoso, beh, allora usa la connessione LTE del tuo smartphone (che è marginalmente più sicura). Non è come te devi usa WiFi pubblico.

Un altro motivo per utilizzare un WiFi pubblico sarebbe che stai pianificando di fare qualcosa di illegale in cui non vorresti che la tua identità fosse individuata troppo facilmente. Certo, tu non vorrai fai cose illegali pesanti (vendendo armi, droghe, film di tabacco? Terrorismo?) Da casa. Ma ehi, in quel caso, qual è il problema con l'hotspot non essere affidabile? Voglio dire, sul serio? Un adolescente che annusa il tuo traffico nell'hotspot è l'ultimo dei tuoi problemi in quel contesto.

1
Damon

Al giorno d'oggi, la maggior parte dei siti utilizza HTTPS e imposta le intestazioni HSTS, quindi le probabilità che qualcuno possa intercettare la connessione di qualcun altro è molto bassa

Questa ipotesi è terribile. Non importa quanti siti impostano le intestazioni HSTS se HTTPS stesso non può essere affidato per fornire sicurezza endpoint a endpoint. E non può. Purtroppo.

Hai mai sentito parlare di un proxy di intercettazione TLS ? Sono all'ordine del giorno. Distribuiti in scuole, università e biblioteche e utilizzati sia da datori di lavoro che da caffetterie, questi proxy hardware (come WebTitan Gateway o Cisco ironPort WSA) rendono nullo HTTPS, poiché durante la connessione "sicura" introducono un certificato dinamico che finge di essere il certificato ufficiale del sito Web di destinazione. Il mio browser non conosce la differenza e, se non lo sapessi meglio, mi fiderei di ogni connessione HTTPS sulla sua faccia.

Inizialmente, HTTPS è stato progettato per prevenire gli attacchi MiTM. Oggi, il proxy TLS [~ # ~] è [~ # ~] l'attacco MiTM! Sia che tu ' leggendo la tua e-mail o controllando il saldo del tuo conto bancario, non dovresti avere l'illusione che HTTPS stia effettivamente facendo quello che ti aspetti che sia, cioè proteggere la tua connessione da intercettazioni. E a meno che tu non ti stia connettendo tramite il tuo WIFI e router di casa, o a meno che tu non stia utilizzando una VPN decente, abituati al fatto che probabilmente la tua connessione viene probabilmente decrittografata e crittografata nuovamente al volo, a tua insaputa o consenso.

Non è necessario considerare le "altre minacce" suggerite dall'OP fino a quando le connessioni crittografate in buona fede sono la norma. Attualmente non lo sono e HTTPS è una farsa. (Per evitare intercettazioni, utilizzare una VPN affidabile gestita da una società che non memorizzerà o rilascerà i record. Utilizzare TOR per migliorare ulteriormente la connessione.)

Perché posso affermare che HTTPS/HSTS non è in realtà una coperta di sicurezza di un browser Web? Perché 3 anni prima che OP facesse la domanda, era già stata sfruttata e sconfitta. E solo 2 anni prima, è stato sovvertito. Inoltre, alcune implementazioni popolari di SSL sono state dimostrate fallite già nel 1998. Anche le autorità di certificazione (CA) non sono affidabili. Una breve sequenza temporale:

  • 1998 - Daniel Bleichenbacher descrive un attacco riuscito su PKCS # 1 v1.5, il (allora) RSA Encryption Standard (at CRYPTO 98 ); un assalto che si ritiene necessiti di un milione di messaggi di attacco da sfruttare
  • 2009 - Moxie Marlinspike crea SSLStrip per attaccare la demo HTTPS ( su Black Hat DC 2009)
  • 2012 - IETF ci fornisce RFC 6797 , che implementa HSTS, progettato per contrastare lo stripping SSL
  • 2012 - Graham Steel pubblica un articolo (al CRYPTO 2012) che dimostra che l'attacco Oracle di Bleichenbacher ha bisogno di meno di 15.000 messaggi, non un milione come inizialmente previsto
  • 2014 - Leonardo Nve crea SSLStrip + per evitare la demo HSTS ( a Black Hat Asia 2014)
  • 2015 - Sam Greenhalgh dimostra HSTS Super Cookies , mostrando come il meccanismo di sicurezza HSTS sia facilmente sovvertito in un'invasione della privacy
  • 2015 - Google si rende conto che Symantec e le sue consociate hanno emesso fraudolentemente oltre 30.000 certificati di sicurezza senza verifiche o divulgazioni adeguate
  • 2016 - Google istituisce una lista nera pubblicata di autorità di certificazione non affidabili, soprannominata Sottomarino
  • 2017 - Ars Technica ha riferito che siti importanti come Facebook e Paypal sono risultati positivi per la vulnerabilità critica di 19 anni di Bleichenbacher che consente agli aggressori di decrittografare i dati crittografati e di firmare le comunicazioni utilizzando i siti 'propria chiave di crittografia segreta
  • 2018 - Aggiornamenti di Google Chrome alla versione 70, al fine di deprecare la fiducia nella CA di Symantec (compresi i marchi di proprietà di Symantec come Thawte, VeriSign, Equifax, GeoTrust & RapidSSL); e Mozilla segue l'esempio
  • 2018 - Adi Shamir pubblica un articolo che specifica che le implementazioni moderne di PKCS # 1 v1.5 sono altrettanto insicure contro l'imbottitura degli attacchi Oracle; che interessano protocolli e servizi come AWS, WolfSSL e l'ultima versione di TLS 1.3 rilasciata nell'agosto 2018

Attualmente, per combattere problemi come "fiducia transitiva" subCA e gli shenanigans delle CA che li emettono, ad es. GeoTrust, ecc., Abbiamo il protocollo [~ # ~] dane [~ # ~] , progettato per "proteggere" il certificato di sicurezza: l'ironia non è da non perdere qui —Via DNSSEC consentendo agli amministratori di dominio di creare un record DNS [~ # ~] tlsa [~ # ~] .

Se DANE fosse ampiamente implementato, potrei essere più propenso a concordare con la valutazione delle minacce basse del PO, ma l'uso di DANE significa che un sito deve firmare DNSSEC la loro zona e, a partire dal 2016, solo circa lo 0,5% delle zone in .com sono firmate.

Come alternativa al DANE poco adottato, ci sono record CAA, progettati per fare la stessa cosa, ma quest'ultimo meccanismo non è più radicato del primo.

È la fine del 2017 e le probabilità sono estremamente buone qualcuno può intercettare la tua connessione protetta HTTPS/HSTS.

AGGIORNAMENTO DICEMBRE 2018: Che si tratti di protocolli non sicuri, protocolli sicuri mal implementati al di fuori del campo di applicazione dell'utente, tecnologia sicura in attesa di adozione mainstream, autorità fraudolente che rilasciano certificati non verificati o buona intercettazioni assistite da hardware vecchio stile, è la fine del 2018 e continuo a mantenere le probabilità sono estremamente buone la tua connessione HTTPS non ti protegge.

0
Mac