• Krzysztof Dziemian

Otwarte łaj faj !

W ostatnim poście pisałem o domowym WiFi. Kontynuując ten wątek zapraszam na przygodę :)


Jest piękny lipcowy wieczór, jesteś w delegacji, zmęczony po całym dniu pracy, wracasz do hotelowego lobby i zamawiasz z nalewaka zimnego browarka...ahhh

... może być też tak, że nie masz jednak zakwaterowania i musisz wracać 300 km samochodem, więc po drodze zajeżdzasz po ostre kfc, tak żeby tajemniczy składnik powodujący palenie w całych jelitach postawił Cię na nogi.

Niezależnie od miejsca, w którym się znajdujesz wyjmujesz swojego lapka, żeby sprawdzić czy pieniążki za fakturkę są już na koncie.


Odpalasz komputer, szukasz wifi ... i jest, niezabezpieczone hotel-goscie-lobby2

lub kfc-parking-free.

Klikasz połącz.


Logując się do wifi, musisz jeszcze zainstalować jakiś dodatkowy certyfikat bezpieczeństwa sieci, robisz to czym prędzej klikając ok, ok i łączysz się do sieci. Masz neta.


Logujesz na konto, kasa nie wpłynęła logujesz się więc na pocztę, żeby szyvko wysłać wiadomość z ponagleniem zapłaty. Miał być szalony weekend, a tu niestety lipa. Piwko się grzeje, jedzenie stygnie, bateria pada. Zamykasz lapka.

Dopijasz browara do końca, bierzesz drugiego i idziesz pod prysznic, bądź kończysz pałąszować kfc i ruszasz w drogę, zostawiając fryteczki na trasę.

Co się dzieje w tym czasie ? Tak, przed chwilą upuściłeś mydełko.


Właściciel sieci właśnie uzyskał dostęp do Twojego konta bankowego i Twojej skrzynki e-mail. Atakujący był tzw. Man In The Middle (udawał router) i przechwytywał wszystko co leciało z Twojego komputera do sieci i z sieci do Ciebie :). W większości przypadków nie widziałby danych logowania, które podałeś, zainstalowałeś jednak podrzucony przez niego certyfikat - Ups, wszystko zaczyna się składać.


Nie często zdarza się prośba o zainstalowanie takiego certyfikatu, i wtedy uzyskanie loginu do Twojego banku, jest bardzo trudne ponieważ certyfikat ssl dla tego typu stron potwierdza przeglądarka,

logując się jednak do poczty nie zauważyłeś, że strona w tym przypadku nie miała kłódeczki, tak jak te na poniższym obrazku:

Powyższe screeny wykonałem symulując tego typu atak na komputerze żony.


Środki z Twojego konta na razie nie znikną, ponieważ od zeszłego roku wszystkie banki powinny wdrożyć dwuetapowe potwierdzanie aplikacją lub wiadomością sms, zapewniam Cię jednak, że atakujący już nie odpuści i spróbuje uzyskać do Ciebie te potwierdzenie.

W międzyczasie tracisz jednak dostęp do swojej poczty, facebooka, allegro i wielu innych portali, ponieważ atakujący korzysta z prostej opcji przypomnij hasło i w ten sposób zmienia Twoje hasła do wszystkich portali dodatkowo w czasie kiedy Ty pałaszujesz fryteczki, atakaujący pałaszuje Twoją pocztę w poszukiwaniu danych.

Co może z nimi zrobić ? Bardzo dużo jednak o tym innym razem.

Skoncentrujmy się na wnioskach i sposobach zabezpieczania się przed takim atakiem.

Pamiętaj:

  1. Jeśli możesz to nigdy nie korzystaj z sieci wifi w pociągach, restauracjach, hotelach i innych miejscach użyteczności publicznej.

  2. Jeśli już musisz tak bardzo skorzystać z internetów to najlepiej stwórz sieć swoim telefonem i podłącz się do niej.

  3. Zainstaluj dodatek plugin HTTPS Everywhere dla swojej przeglądarki, który dodatkowo weryfikuje czy domeny posiadają kłódeczkę i dba o to, żeby zawsze była:

  4. Chrome: https://chrome.google.com/webstore/detail/https-everywhere/gcbommkclmclpchllfjekcdonpmejbdp?hl=pl

  5. Firefox: https://addons.mozilla.org/pl/firefox/addon/https-everywhere/

  6. Jeśli już musisz połączyć się z taką siecią to skorzystaj z VPN.

  7. Nigdy nie instaluj na komputerze nieznanych certyfikatów i programów

  8. Gdzie tylko możesz włącz dwuskładnikowe uwierzytelnianie (o którym więcej w szkoleniu), wtedy nawet jeśli stracisz hasło to zawsze będziesz musiał podać drugie, żeby zalogować się do danego konta.

  9. Odpocznij od komputera, świat się nie zawali jeśli sprawdzisz coś dopiero następnego dnia w domu lub korzystając z bezpiecznego wifi.


21 wyświetlenia