Cestování patří k pravidelným radovánkám mnoha rodin. Ať už cestujeme po České republice nebo do zahraničí, na cestách více či méně využíváme připojení k internetu. A mnoho lidí využívá veřejné WiFi sítě na hotelích, letištích, kavárnách apod. Víte ale, jaké jsou s tím spojené hrozby a rizika?
Bezpečnost veřejných WiFi sítí
Většina z nás se připojuje na veřejné WiFi sítě. Ať už je to v hotelu nebo restauraci, na letišti nebo ve vlaku. Ať už z mobilního telefonu, tak i z tabletu nebo počítače. Veřejné WiFi sítě mohou představovat bezpečnostní riziko.
Sledování datové komunikace
Síť, do které jste připojení, může do jisté míry sledovat, ale i kontrolovat nebo ovlivňovat datový provoz. V dnešní době již většina webů a služeb naštěstí běží přes zabezpečené HTTPS. HTTPS znamená, že komunikace mezi vaším zařízením a vzdáleným serverem je zabezpečena pomocí šifrování. Obsah takto zabezpečené komunikace není viditelný pro poskytovatele dané sítě a je i prakticky nemožné do něj jakkoliv zasahovat.
Problém ale je, že úvodní navázání zabezpečené komunikace probíhá obvykle nezabezpečeným způsobem. Když otevřete například webovou stránku cyberee.cz, jako první musí webový prohlížeč zajistit překlad doménového jména na IP adresu daného webového serveru. O překlad doménových jmen na IP adresy se stará obvykle DNS v rámci operačního systému. A ten je často poskytovaný z lokální sítě, do které jste připojeni, tedy té veřejné WiFi. A zde je právě kámen úrazu – o překlad doménového jména na IP adresu se stará daná veřejná WiFi síť.
Daná síť tedy jednak ví, co na internetu děláte, protože musí vyřídit každý předklad domény na IP adresu. Ví tedy, kdy a na jaké stránky chodíte a jaké služby používáte. I když nevidí obsah daného provozu, má přehled o tom, co jste navštěvovali. Což někdy mohou být citlivé informace, pokud navštěvujete nějaké citlivé weby. Pořád je to ale jen sledování provozu, nad kterým může mnoho lidí mávnout rukou. Možná si řeknete „no co, tak ať to vidí, já nemám co skrývat“.
Manipulace s datovou komunikací
Hlavní problém je ale v tom, že daná veřejná WiFi síť nejen vidí, kam chodíte, ale ona do toho může i zasahovat. Tím, že se o překlad stará daná síť, je čistě na konfiguraci dané sítě, jestli vám to doménové jméno cyberee.cz přeloží na jeho správnou IP adresu nebo podstrčí nějakou jinou (vlastní/podvrženou) IP adresu. Jinak řečeno, nemáte žádnou jistotu, že to co vidíte ve webovém prohlížeči po zadání cyberee.cz je skutečný web cyberee.cz.
Na to existují řešení. Na straně poskytovatele dané služby je to DNSSEC. To je technologie podepsání doménového jména, aby se zamezilo jeho podvržení. To je ale věc, kterou nemáte pod kontrolou – je na provozovateli dané služby, jestli má aktivní DNSSEC nebo ne. Na naší doméně cyberee.cz DNSSEC samozřejmě aktivní máme. To je ale jen částečné řešení problému, nikoliv úplné.
Druhým řešení problému je šifrované DNS oproti nějakému důvěryhodnému DNS překladači (resolveru). Jinak řečeno nepoužívat DNS překladač poskytnutý danou sítí, ale mít pevně nastavený vlastní DNS překladač, kterému věříte. Standardně DNS ale funguje nezabezpečeným způsobem, takže by stále mohlo být možné do překladu zasahovat. Proto existuje šifrované DNS, díky kterému již máte opravdu jistotu, že i překlad doménových jmen je bezpečný a důvěryhodný. K tomu se využívají protokoly jako DNS over TLS (DoT), DNS over HTTPS (DoH) nebo DNS over QUIC (DoQ). Vynucení šifrovaného DNS je možné jak na úrovni operačního systému, tak i na úrovni webového prohlížeče. A obvykle je to triviální, jen se o tom moc nemluví a tedy neví.
Napadení zařízení
Dalším velkým rizikem je přímo napadení vašeho zařízení, které jste do dané sítě připojili. Když se připojíte na nějakou veřejnou WiFi síť, téměř jistě do ní nejste připojeni pouze vy, ale bude tam mnoho dalších uživatelů z mnoho dalšími zařízeními. A to může být problém.
Standardně by veřejné WiFi sítě měli mít nastavenou izolaci připojených zařízení. To znamená, že jednotlivá zařízení na sebe nevidí, nemohou spolu nijak komunikovat a prakticky to pak vypadá, jako by opravdu dané zařízení bylo jediné připojené v dané síti.
Jenže v reálu to tak bohužel velmi často není a všechna připojená zařízení na sebe vidí a mohou mezi sebou komunikovat. Což představuje riziko, protože ostatní zařízení na té síti se mohou snažit připojit na vaše zařízení. Například pokud máte nějaké sdílené soubory nebo složky, mohou se k nim snažit získat přístup.
Možná si řeknete, kdo a proč by to dělal a co by z toho měl. Ve skutečnosti existuje spousta lidí, kteří to dělají cíleně s cílem škodit nebo vydírat své oběti. Existuje ale i spoustu vtipálků nebo lidí, kteří to zkouší jen tak pro zábavu.
Možná největším rizikem je ale to, že v dané síti se může nacházet zařízení, které je napadené nějakým škodlivým kódem (malware apod.). Majitel daného zařízení to ani nemusí vědět. Jeho zařízení bude samo aktivně skenovat okolní síť a snažit se získat přístup na ostatní zařízení. Taková napadená zařízení typicky hledají zranitelnosti těch okolních zařízení. A pak může stačit, že nebudete mít nainstalované poslední aktualizace operačního systému nebo nějakého síťového software, což může to jiné napadené zařízení zjistit a zneužít.
Bezpečné používání veřejných WiFi sítí
Výše uvedené hrozby jsou jen ty nejvýznamnější. Existuje celá řada dalších hrozeb a rizik spojených s používáním veřejných WiFi sítí. Existují však řešení, jak se rizikům zcela vyhnout nebo je alespoň významným způsobem eliminovat.
Může to být jednak již zmíněné používání šifrovaného DNS, aby se zamezilo odposlechu a případně manipulaci s DNS komunikací. Dále je to aktivní a správně nastavený firewall na zařízeních, aby se eliminovalo skenování a případný vzdálený přístup na vaše zařízení. Důležitá je také pravidelná instalace aktualizací jak operačního systému, tak i nainstalovaných aplikací. A ideálně používání důvěryhodného VPN připojení. VPN (Virtual Private Network) totiž zajistí, že veškerá komunikace musí jít daným šifrovaným tunelem. A to jak odchozí komunikace, tak i příchozí komunikace. Nikdo tedy nevidí do žádné části dané komunikace, nemůže s ní tedy samozřejmě ani nijak manipulovat. A navíc tím, že opravdu všechna komunikace musí jít daným VPN tunelem, se zamezí i případnému lokálnímu skenování v rámci dané sítě.
Úplně ideální je samozřejmě veřejné WiFi nepoužívat. To ale velmi často není možné nebo je to značně komplikované (nebo drahé), takže minimálně čas od času se asi nikdo z nás nevyhne používání veřejných WiFi sítí. Je dobré na to být ale připraveni, znát možná rizika a řešení pro jejich eliminaci. Nikdo z nás se určitě nechce domů z dovolené vrátit se zašifrovaným notebookem.
Buďte opatrní a pokud s tímto nebo něčím jiným potřebujete pomoci, neváhejte se na nás obrátit.
Vaše CYBEREE | Stay Safe