Oddam dziecko za dostęp do Wi-Fi – eksperyment F-Secure

30 września, 2014

Najnowsze badanie F-Secure dotyczące sieci Wi-Fi zostało przeprowadzone na ulicach Londynu. Pokazuje ono, że konsumenci lekkomyślnie korzystają z otwartych hotspotów, nie myśląc o ochronie swojej prywatności. Eksperyment, w którym użyto podstawionej sieci Wi-Fi, pokazuje, że niczego niespodziewający się użytkownicy ujawniali swój ruch internetowy, dane osobiste, treść wysyłanych maili a nawet wyrażali zgodę na zapis w regulaminie, który obligował ich do wydania swojego pierworodnego dziecka w zamian za bezpłatny dostęp do sieci.
 
Niezależne badanie, wspierane przez Europol, było przeprowadzone w imieniu F-Secure przez angielski Cyber Security Research Institute oraz SySS, niemiecką firmę zajmującą się testami penetracyjnymi. W ramach projektu SySS zbudował przenośny router Wi-Fi z komponentów wartych ok 200 euro, który nie wymagał zaawansowanej znajomości zagadnień IT, aby go obsługiwać. Badacze ulokowali urządzenie w tych rejonach Londynu, w których mają miejsce ważne wydarzenia polityczne i ekonomiczne. Następnie obserwowali, jak ludzie łączą się z siecią, nieświadomi tego, że są szpiegowani.
 
W ciągu 30 minut do hotspota podłączyło się 250 urządzeń, większość z nich najpewniej automatycznie i bez świadomości użytkowników. 33 osoby aktywnie korzystało z Internetu, wyszukując witryny internetowe i wysyłając pliki oraz maile. Przechwycono (i błyskawicznie usunięto) 32 MB ruchu sieciowego. Co zaskoczyło badaczy to odkrycie konieczności szyfrowania połączeń z Wi-Fi, gdyż okazało się, że treść maili wysyłanych w sieci POP3 była możliwa do odczytania, tak samo jak adresy nadawcy i adresata a nawet hasło nadawcy.
 
Przez krótki czas badacze wyświetlali użytkownikom stronę z warunkami korzystania z sieci, która musiała być zaakceptowana, żeby móc korzystać z hotspota. Warunki zawierały w sobie niedorzeczny zapis, w którym użytkownik w zamian za dostęp do sieci zobowiązywał się do oddania pierworodnego dziecka lub ukochanego zwierzaka. W sumie na warunki zgodziło się 6 osób zanim strona została wyłączona. Zapis ten w wyraźny sposób pokazuje, jak mało uwagi użytkownicy poświęcają tego typu dokumentom, które zazwyczaj są zbyt długie i napisane nieprzystępnym językiem.

Wszyscy uwielbiamy korzystać z darmowych sieci, aby zaoszczędzić pakiety danych albo uniknąć stawek za roaming – mówi Sean Sullivan, Doradca ds. Bezpieczeństwa w F-Secure, który brał udział w eksperymencie. Ale jak pokazuje nasze badanie, postawienie hotspotu jest stosunkowo proste, a nadanie mu wiarygodnej nazwy i szpiegowanie ruchu sieciowego użytkowników nie stanowi większego problemu. Dotyczy to również sieci udostępnianych przez zaufane źródła. Ponieważ nawet bez możliwości zarządzania siecią, cyberprzestępcy mogą użyć narzędzi służących do szpiegowania użytkowników.

Problem bezpieczeństwa sieci Wi-Fi jest bardzo istotny dla Europejskiego Centrum ds. Walki z Cyberprzestępczością (EC3) – mówi Troels Oerting, Szef Europejskiego Centrum ds. Walki z Cyberprzestępczością. Całym sercem wspieramy wszelkie działania, które mają na celu uświadamianie zagrożeń, które mogą spotkać konsumentów.
 
Rozwiązanie? Można trzymać się z daleka od publicznych Wi-Fi albo korzystać z odpowiednich zabezpieczeń, które sprawią, że połączenie będzie niewidoczne a dane niemożliwe do odczytania dzięki silnej szyfracji. Sprawi to, że nawet, gdy ktoś będzie inwigilował publiczną sieć, nie będzie miał dostępu do danych użytkownika. F-Secure Freedome to produkt, który jednocześnie chroni połączenia z publicznymi sieciami Wi-Fi  a zarazem jest wirtualną prywatną siecią (VPN), która ustanawia bezpieczne łącze między urządzeniem końcowym a chmurą F-Secure. Dzięki temu dane użytkownika są bezpieczne niezależnie od tego, z jaką siecią się łączy.

Wielu dostawców otwartych punktów Wi-Fi w swoich warunkach korzystania z sieci mówi o możliwych zagrożeniach, płynących z nawiązania połączenia i sugeruje korzystanie z VPN – dodaje Sea Sullivan.

Aby zapoznać się ze wszystkimi szczegółami badania, pobierz raport Zagrożenia Publicznych Sieci W-Fi.
 
Wyjaśnienie:  Podczas trwania eksperymentu żaden użytkownik nie został zagrożony ani żadne dane nie zostały ujawnione w sposób, który mógłby zostać użyty w szkodliwych celach. Nie logowaliśmy się do żadnych serwisów z wykorzystanie danych pozyskanych w trakcie eksperymentu, a podczas jego trwania proces był nadzorowany przez prawnika, w celu uniknięcia ewentualnego łamania prawa.

źródło: F-Secure

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]