Najnowsze badanie F-Secure dotyczące sieci Wi-Fi zostało przeprowadzone na ulicach Londynu. Pokazuje ono, że konsumenci lekkomyślnie korzystają z otwartych hotspotów, nie myśląc o ochronie swojej prywatności. Eksperyment, w którym użyto podstawionej sieci Wi-Fi, pokazuje, że niczego niespodziewający się użytkownicy ujawniali swój ruch internetowy, dane osobiste, treść wysyłanych maili a nawet wyrażali zgodę na zapis w regulaminie, który obligował ich do wydania swojego pierworodnego dziecka w zamian za bezpłatny dostęp do sieci.
Niezależne badanie, wspierane przez Europol, było przeprowadzone w imieniu F-Secure przez angielski Cyber Security Research Institute oraz SySS, niemiecką firmę zajmującą się testami penetracyjnymi. W ramach projektu SySS zbudował przenośny router Wi-Fi z komponentów wartych ok 200 euro, który nie wymagał zaawansowanej znajomości zagadnień IT, aby go obsługiwać. Badacze ulokowali urządzenie w tych rejonach Londynu, w których mają miejsce ważne wydarzenia polityczne i ekonomiczne. Następnie obserwowali, jak ludzie łączą się z siecią, nieświadomi tego, że są szpiegowani.
W ciągu 30 minut do hotspota podłączyło się 250 urządzeń, większość z nich najpewniej automatycznie i bez świadomości użytkowników. 33 osoby aktywnie korzystało z Internetu, wyszukując witryny internetowe i wysyłając pliki oraz maile. Przechwycono (i błyskawicznie usunięto) 32 MB ruchu sieciowego. Co zaskoczyło badaczy to odkrycie konieczności szyfrowania połączeń z Wi-Fi, gdyż okazało się, że treść maili wysyłanych w sieci POP3 była możliwa do odczytania, tak samo jak adresy nadawcy i adresata a nawet hasło nadawcy.
Przez krótki czas badacze wyświetlali użytkownikom stronę z warunkami korzystania z sieci, która musiała być zaakceptowana, żeby móc korzystać z hotspota. Warunki zawierały w sobie niedorzeczny zapis, w którym użytkownik w zamian za dostęp do sieci zobowiązywał się do oddania pierworodnego dziecka lub ukochanego zwierzaka. W sumie na warunki zgodziło się 6 osób zanim strona została wyłączona. Zapis ten w wyraźny sposób pokazuje, jak mało uwagi użytkownicy poświęcają tego typu dokumentom, które zazwyczaj są zbyt długie i napisane nieprzystępnym językiem.
Wszyscy uwielbiamy korzystać z darmowych sieci, aby zaoszczędzić pakiety danych albo uniknąć stawek za roaming – mówi Sean Sullivan, Doradca ds. Bezpieczeństwa w F-Secure, który brał udział w eksperymencie. Ale jak pokazuje nasze badanie, postawienie hotspotu jest stosunkowo proste, a nadanie mu wiarygodnej nazwy i szpiegowanie ruchu sieciowego użytkowników nie stanowi większego problemu. Dotyczy to również sieci udostępnianych przez zaufane źródła. Ponieważ nawet bez możliwości zarządzania siecią, cyberprzestępcy mogą użyć narzędzi służących do szpiegowania użytkowników.
Problem bezpieczeństwa sieci Wi-Fi jest bardzo istotny dla Europejskiego Centrum ds. Walki z Cyberprzestępczością (EC3) – mówi Troels Oerting, Szef Europejskiego Centrum ds. Walki z Cyberprzestępczością. Całym sercem wspieramy wszelkie działania, które mają na celu uświadamianie zagrożeń, które mogą spotkać konsumentów.
Rozwiązanie? Można trzymać się z daleka od publicznych Wi-Fi albo korzystać z odpowiednich zabezpieczeń, które sprawią, że połączenie będzie niewidoczne a dane niemożliwe do odczytania dzięki silnej szyfracji. Sprawi to, że nawet, gdy ktoś będzie inwigilował publiczną sieć, nie będzie miał dostępu do danych użytkownika. F-Secure Freedome to produkt, który jednocześnie chroni połączenia z publicznymi sieciami Wi-Fi a zarazem jest wirtualną prywatną siecią (VPN), która ustanawia bezpieczne łącze między urządzeniem końcowym a chmurą F-Secure. Dzięki temu dane użytkownika są bezpieczne niezależnie od tego, z jaką siecią się łączy.
Wielu dostawców otwartych punktów Wi-Fi w swoich warunkach korzystania z sieci mówi o możliwych zagrożeniach, płynących z nawiązania połączenia i sugeruje korzystanie z VPN – dodaje Sea Sullivan.
Aby zapoznać się ze wszystkimi szczegółami badania, pobierz raport Zagrożenia Publicznych Sieci W-Fi.
Wyjaśnienie: Podczas trwania eksperymentu żaden użytkownik nie został zagrożony ani żadne dane nie zostały ujawnione w sposób, który mógłby zostać użyty w szkodliwych celach. Nie logowaliśmy się do żadnych serwisów z wykorzystanie danych pozyskanych w trakcie eksperymentu, a podczas jego trwania proces był nadzorowany przez prawnika, w celu uniknięcia ewentualnego łamania prawa.
źródło: F-Secure
