Biztonságos wifizés alapfokon

0
527
wifi biztonság

Hónod alatt a notiddal betérsz a csárdába, kávét, teát, sört, macifröccsöt szürcsölve [nemkívánt rész törlendő] bóklászol a nyitott wifin keresztül az interneten. Mindeközben fekete kalapos úriemberek a helyiség másik sarkában a személyi számodat mentik le a gépedről, a frissen warezolt filmjeiddel együtt. Nem is olyan valószerűtlen helyzet, meglepően sokan hagyják nyitva megosztásokat a gépükön. Tegnapi (szigorúan fehér kalapos) gyorstesztünk során beleolvastunk egy szakdolgozatba, a srác levelezését a TO-val, egy másik gép merevlemezére még írni is tudtunk. Mindeközben egy harmadik gép zenéit hallgattuk.

Az persze igaz, hogy ha valakinek fizikai hozzáférése van a gépedhez, az már nem a tiéd többé, de fel se kell állnod a géptől, hogy elvigyék róla az értékes holmikat.

A hajtás után pár ökölszabály, hogy mikre érdemes odafigyelni, hogy elkerülhesd, hogy a kíváncsiskodók (neadj’ adattolvajok) a holmiid között turkáljanak.

csak olvasható, de így is sokmindent megtudtunk

Ez talán a legegyértelműbb: kapcsold ki a fájlmegosztást. Pár kattintás az egész, ezzel a legnagyobb támadási felületet be is zártuk. Ha meg kell osszál fájlokat, bármennyire is kényelmes, semmiképpen ne az egész merevlemezt osszad meg. Írási jogot vendégfelhasználónak pedig semmilyen körülmények között ne adj. Tegnap ilyet is találtunk. Teljes vinyó megosztva, írási joggal

Ha nem használsz egy funkciót, a legjobb, ha kikapcsolod. iTunes zenemegosztás kikapcs, nyomtatómegosztás pláne. Akik egzotikusabb megosztásokat használnak a gépükön (SSH, Telnet, esetleg egy webszerver), gondolom maguktól kikapcsolják, ha nem használják. Ha nincs szükséged a Bluetooth-ra, kapcsold ki (ezzel is tovább tart az akkud), de legalábbis kapcsold ki a felfedezhetőségét (Discoverable). Ugyanígy a mobiloddal, így ráadásul a mostanában terjedő Bluetooth-os spamet is elkerülöd. Ennyivel is jobban biztosított a gépünk.

Használj tűzfalat és ellenőrizd, mit engedsz ki és be. Ha már itt tartunk, milyen tűzfalat ajánlotok Windows alá, ami nem eszi meg az egész rendszert? Darthwalk, az ország egyetlen Vista-szerető felhasználója a következővel egészítené ki a történetet: „a Vista alapból 3 wifi profillal rendelkezik: Otthoni, Munkahelyi, Nyilvános. Az Otthoni esetében a géped felderíthető, mások látják legalább a nyilvános – vagy ha van megosztott – mappádat, Munkahelyi esetében is felderíthető, de nem látják a mappákat és Nyilvános esetében pedig lekapcsol mindent, behúzza fülét farkát és csak a tüskéi látszanak kifelé.” Úgy érzem, ezért a megoldásért jár a csoki Redmondba.

Körülbelül ugyanez a kategória, hogy tartsd frissen a rendszeredet, a biztonsági toldozások legyenek naprakészek.

Ez az egyik kedvenc témám: a WiFi felépítéséből adódik, hogy — még ha a felkapcsolódáshoz jelszó is kell, utána — az adatforgalom bárki számára látható. Magyarul egy nem túl bonyolult programot használva az összes felhasználó megnézett oldalait, képeit, vagy a szervernek küldött felhasználóneveket és jelszavakat megnézheti, ahogy a mellékelt ábra is bizonyítja.

Neonomád éppen a tevéjét eteti

Ezt a képet a Driftnet elnevezésű nyílt forráskódú UNIX-os appal készítettem, igaz, nem a Szimplában (nem fordult le időben a program), hanem az ELTE IK/TáTK HÖK előtti nyílt hotspotnál. A program az adatforgalomból kiszűri a képeket, azokat pedig egymás mellé dobálja. Látványos, szórakoztató, tanulságos — csak az esetek többségében szembejönnek olyan képek, amiket aztán sokáig nem tudsz kimosni az emlékeidből. Arról persze nem is beszélve, hogy a könyékig vájkálsz más privátnak hitt terében. Ugyanígy minden más forgalom is begyűjthető, a legjobb biztonságtechnikai program ilyen téren a Wireshark

Persze ez csak a titkosítatlan adatforgalomra vonatkozik. Mihelyst sárga címsoros és kislakatos oldalra érkezel, a csárda többi vendégével szemben pluszminusz védve vagy. Ugyanígy érdemes a levelezést, ftp-zést titkosított kapcsolaton lebonyolítani. Nézz utána, hogy az e-mail szolgáltatód támogatja-e az SSL-en keresztüli kapcsolódást, vagy webmaillel a https-t (GMail, ilyenek viszik). GMailen alapból csak a bejelentkezés titkosított, az adatforgalom maga nem. Csak ha a https://gmail.com címet írod be.

Ha bár neonomád vagy, de azért van egy anyahajó, aminek van VPN-je, csatornázd át rajta a forgalmadat. B-terv, hogy az otthoni routeredig ásol egy SSH-alagutat, és azon keresztül netezel, de ez egy másik mese.

Ha vagy annyira paranoiás, hogy vállalod a betárcsázósra emlékeztető sebességeket, üzemelj be egy TOR-t. Az anonimitásra és biztonságra alakított hálózatban a véletlenszerűen kiválasztott végpontokon keresztül titkosítva közlekednek az adataid, így gyakorlatilag senki se tudja, hogy hol vagy és mit csinálsz. A csárda többi vendége pláne nem. Dawe és Mrbond kommentje szerint a TOR csak anonimitást nyújt, titkosítást nem. Lehet man-in-the-middle támadásokat játszani, igaz, csak akkor ha exit point vagy (ha jól értem). Bonyolultabb a szituáció, mint gondoltam 🙂

Kezdésnek mondjuk ennyi elég is. Semmiképpen nem nevezném átfogó biztonságtechnikai tutorialnak, de arra elég, hogy legközelebb amikor szétnézünk a hálón, ne kelljen személyesen megkeressünk, hogy elmeséljük, miért problémás megosztani az iskolai papírjaidat személyiszámostúl-bőröstül mindenkivel.