/nginx/o/2023/08/11/15515974t1hbf46.jpg)
/nginx/o/2011/07/26/685176t1he27e.jpg)
Напротив меня за столиком Hesburger на улице Виру сидит человек, утверждающий, что способен за считанные минуты парализовать деятельность алкогольного магазина, работающего в подвале этого заведения общепита. Для этого ему надо произвести определенные манипуляции со своим телефоном — и магазинная касса вырубается, так что туристы, составляющие большинство клиентуры этого магазина, могут быть лишены возможности промочить горло.
На самом деле Вельо Хаамер, представляющийся как «импортер Wi-Fi», ничего такого не совершает. Он просто доказывает, что сеть на основе Wi-Fi-роутера Thomson Speedtouch предусмотрена для домашних пользователей и попасть в нее может всякий, у кого имеются хоть какие-то знания и мотивация.
На экране его смартфона отмечены все аппараты, которые в данный момент используют сеть Wi-Fi этого магазина, IP адреса каждого из них отлично видны. Среди них, помимо смартфонов и медийных проигрывателей, фигурируют «Касса» и «Сервер». «Зная адреса IP, я могу с помощью элемента одной свободно доступной программы запросто выкинуть эти устройства из сети. А если нарушить подключение к сети у кассы, торговля в магазине будет остановлена», — сообщает Хаамер. Для этого компьютер даже не требуется. Достаточно иметь смартфон.
«Это ненормально, что когда посетитель заходит в кафе или в учреждение, он может наблюдать центральный сервер Wi-Fi, не говоря уже об остальных пользователях. Такая ситуация свидетельствует о том, что сеть установлена непрофессионально. Создатели сети либо не владеют вопросом в должной мере, либо просто слишком ленивы», — полагает Хаамер. В открытой сети Wi-Fi пользователь не должен наблюдать других подключенных к сети пользователей, но в данной сети такое оказалось вполне возможно. Программа Хаамера показывает, что интернет-оператором данного магазина является Starman.
Уязвимая сеть
Мы уже привыкли к тому, что бесплатные Wi-Fi и газеты являются неотъемлемой частью повседневной жизни кафе, но сеть Wi-Fi должна быть для этого соответствующим образом настроена.
Хаамер демонстрирует, что вышеупомянутую сеть Wi-Fi обеспечивает роутер Thomson Speedtouch, который предназначен для трансляции дигитального телевидения. Как уже писал на минувшей неделе Postimees, данные роутеры в своей изначальной настройке являются ненадежными.
«Наиболее популярный Wi-Fi роутер Thomson Speedtouch не приспособлен для открытой сети Wi-Fi, поскольку в такой сети клиенты имеют доступ к предприятию и друг к другу. То, что такие роутеры используются для создания локальных сетей, является по сути их непрофессиональной эксплуатацией, — предупреждает Хаамер. — В таком случае необходимо добавить отдельный передатчик Wi-Fi. Приличный передатчик Wi-Fi создает несколько различных сетей SSID и обесечивает автономное подключение для клиентов и для кассовых терминалов».
Алкогольный магазин на улице Виру вовсе не единственное место, где сеть Wi-Fi столь легко уязвима. «В Эстонии таких аппаратов Thomson Speedtouch примерно 100 000, большинство из них, разумеется, работает в домашних условиях. Но в каждом городе Эстонии я обнаруживаю какое-нибудь кафе, где имеется так же непрофессионально установленная сеть Wi-Fi, как и здесь», — говорит Хаамер.
По его словам, в Эстонии бывали случаи, когда через непрофессионально установленную в министерстве сеть Wi-Fi случайные прохожие получали возможность заглядывать даже в компьютер самого министра. Он воздает должное Министерству экономики и коммуникаций, сеть которого, охватывающая несколько зданий, имеет образцовую защиту.
За три секунды
Еще одну попытку вторжения в сеть мы предпринимаем в расположенном на улице Лийвалайа заведении Tiina Pizza, на дверях которого красуется наклейка Elion.
Мы покупаем лимонад, садимся за столик, и журналист подключается через свой телефон к Wi-Fi сети пиццерии. Хаамер запускает в своем смартфоне программу сканирования сети и демонстрирует, что тамошнюю сеть также обеспечивает все тот же самый проблемный роутер Thomson Speedtouch. В сети можно наблюдать и телефон журналиста, название его изготовителя, адрес IP и адрес MAC.
«Мне этого вполне достаточно для того, чтобы, так сказать, начать орудовать этим телефоном. Например, я могу за три секунды отключить этот телефон из сети», — уверенно констатирует Хаамер.
«Совершенно недопустимо, когда публичные сети создаются таким образом, что прохожий может такую сеть «зарисовать». Профессионально было бы создавать сеть так, чтобы пользователь попадал непосредственно в Интернет и не мог видеть структуру сети. Все должно функционировать на автономных каналах. Но это должен обеспечивать предлагающий услугу оператор, а не владелец кафе. Мы не можем предполагать, чтобы человек, готовящий великолепные пиццы, разбирался в устройстве сетей Wi-Fi».
По словам Хаамера, роутеры Thompson Speedtouch предусмотрены, в первую очередь, для домашнего пользования. Elion использует их для трансляции дигитального телевидения. Уже несколько лет не является особым секретом, что роутеры Thompson Speedtouch заводской настройки доступны для хакеров.
Устройство дает название сети, которую само создало, и при помощи программы с открытым исходным кодом взламывает пароль роутера Thomson заводской настройки. Это позволяет чужим бесплатно пользоваться домашней сетью клиента Elion. Лишь в мае этого года Elion начал обзванивать домашних пользователей, чтобы те изменили название своей сети (идентификатор SSID) — тогда по названию сети не так просто отгадать пароль.
«В случае с роутером Thompson Speedtouch заводской настройки достаточно названия сети: если найдешь его, будешь королем, — пояснил Хаамер. — И тогда я не просто подслушивающий, как, например, в случае с магазином алкоголя или фирмой Tiina Pizza. Я могу проникнуть в роутер, а оттуда — дальше во все места, которые подсоединены к роутеру. Лазутчик может изменять настройки роутера и следить за всеми устройствами, которые общаются с этим роутером».
По словам Хаамера, проще всего выбросить устройства из сети, а вот залезть в компьютеры намного сложнее. «Однако если пользователь разослал какие-то папки, то через них хакер можно попасть внутрь. Но тогда можно установить небольшую программу, которая начнет действовать в компьютере».
Хаамер привел в пример так называемые кейлоггеры — программы, которые регистрируют каждое нажатие клавиши на клавиатуре компьютера, и затем пересылают их хозяину Интернета. Таким способом можно узнать имена и пароли пользователей веб-услуг, и в худшем случае это может привести к потере денег.
Читать чужие письма
Хаамер пояснил, что если, как советует Elion, изменить название роутера Thompson, это отнюдь не убережет от тех людей, которые прежде раскрыли пароль. Они просто войдут в сеть с новым названием по старому паролю. Чтобы предотвратить это, нужно обязательно изменить и пароль.
«WEP-пароли слабые, а вычислить их довольно просто. Дома следовало бы пользоваться паролями WPA2, поскольку их взламывание требует больше ресурсов, то есть они более затратные. При выборе пароля следует иметь в виду, что он не должен быть легко угадываемым. Не стоит выбирать в пароли, например, комбинацию букв QWERTY или кличку домашнего животного, которую можно просто угадать. Сеть можно также закрыть статичным IP-адресом, который знает только сам пользователь».
«И вообще, уходя из дома, лучше отключить Wi-Fi: зачем сеть работает, если ею никто не пользуется, — советует Хаамер. — Wi-Fi — это удобство, делающее каждодневную жизнь более простой и мобильной, но было бы неправильно утверждать, что оно абсолютно надежно».
Неумелого пользователя Wi-Fi подстерегает опасность похищения идентитета: логины и пароли доступны для чужих.
Надежное интернет-общение предлагает SSH-туннель, посредством которого с клиентами общаются, например, банки, Gmail, Skype и еще некоторые фирмы, предлагающие услуги. Безопасную связь можно распознать по приставке к веб-адресу: надежная — это https://, а не http://. Похоже, что разница лишь в одной букве, но она указывает на использование криптованного туннеля безопасности.
За всеми остальными движениями в вебе, которые происходят в плохо защищенной сети Wi-Fi между компьютером пользователя и Интернетом, можно установить наблюдение. Например, почтовая веб-услуга Elion — hot.ee — много лет работала в незащищенном канале, поэтому достаточно сообразительный человек мог в этой «дырявой» сети Wi-Fi тайно читать чужие письма.
Как защитить домашнюю сеть от хакеров?
Вейко Тамм,
исполнительный редактор журнала «21»:
Разумеется, аккаунты и пользователя(ей), и администратора должны иметь пароли. При настройке по умолчанию у аккаунта администратора нет пароля, и если хакер получит доступ к роутеру и узнает имя пользователя и пароль, то он проникнет в сеть. На компьютере должно быть установлено современное программное обеспечение, обеспечивающее безопасность (не только антивирус, но и приличный Internet security и файрвол). Необходимые опции можно найти, к примеру, на сайте https://support.kaspersky.com/viruses/rescuedisk
Обычному пользователю не так просто определить, что его сеть взломана, тем более, что опытный хакер столь умело заметает следы, что обнаружить их под силу только профессионалу.
Но по некоторым типичным проявлениям можно догадаться, что кто-то подключился к вашей сети. Например, когда компьютер начинает сам рассылать письма и спам, а знакомые начинают жаловаться, что получают глупости по MSN, Skype или социальным сетям. Но следует иметь в виду, что самый злостный хакер, наоборот, постарается сделать все, чтобы пользователь не догадался о его присутствии.
Комментарии
Ханно Лийва,
технический директор Starman:
Если находишься в сети, то можно совершать подобные атаки. У Starman имеется инструкция настройки WiFi-сетей, и наши техники объясняют клиентам все связанные с этим вопросы. Наш техник всегда оценивает, каков багаж технических знаний человека, насколько подробно ему придется все объяснять. Техник только рассказывает о возможности сети, знакомит клиента с этими возможностями, а клиент сам решает, как он установит сеть.
В большинстве своем клиентами Starman являются частные лица, у нас практически нет бизнес-клиентов, поскольку это не наша ниша. Нам приходилось оказывать крупным клиентам специальные услуги, но, как правило, в фирмах имеются IT-специалисты, и их не требуется обучать.
Калев Рейльян,
директор Elion по технологии:
Сеть Wi-Fi не является частью услуг, предоставляемых Elion, это просто дополнительная возможность оборудования. Как правило, мы объясняем клиентам, какие риски связаны с использованием Wi-Fi, особенно в последнее время. Новым клиентам, обеспечивая подключение, мы можем сразу настроить сеть Wi-Fi. Позднее клиент может сам это сделать или заказать эту услугу у нас. В конечном итоге обеспечение безопасности сети в доме или квартире клиента является его прямой обязанностью.
Мы не можем дать гарантию, что сети всех наших клиентов защищены в достаточной степени. Не могу утверждать, что мы в достаточной мере информировали клиентов [об опасностях сети Wi-Fi]. Мы и сами извлекаем уроки, и в последнее время стали более серьезно оценивать риски, связанные с Wi-Fi.
В любой открытой сети Wi-Fi, включая бесплатные Wi-Fi-пункты Elion на автозаправках, в библиотеках и других местах, с помощью специального программного обеспечения можно увидеть и подслушать другие имеющие Wi-Fi-связь устройства в этой же сети. Все, что создано одним человеком, может взломать другой.