Czy korzystanie z publicznego Wi-Fi jest bezpieczne?

Hotel, pub, biblioteka, lotnisko, pociąg, centrum miasta – we wszystkich tych miejscach możemy trafić na darmowy, bezprzewodowy dostęp do internetu. Czy skorzystanie z takiej usługi będzie bezpieczne? Czy ktoś nie włamie się nam na konto w banku, do Facebooka, na maila? Czy nie wykradnie z telefonu zdjęć albo SMS-ów?

Na takie pytania specjaliści zwykli odpowiadać „to zależy”, ale tym razem będzie inaczej. W niniejszym tekście postaram się objaśnić, dlaczego kilkanaście lat temu odpowiedź brzmiała „to spore zagrożenie” a dziś brzmi „nie ma się czego obawiać”. Wskażę też dwie sytuacje, w których należy mieć się na baczności.

Na początku bardzo ważne ostrzeżenie: korzystanie z cudzego komputera ZAWSZE stanowi ryzyko, zaś publicznie dostępny komputer to już SKRAJNIE DUŻE ryzyko. Nigdy nie loguj się do żadnych usług online na maszynie stojącej w bibliotece albo hotelu. Możesz tam sprawdzić rozkłady jazdy komunikacji miejskiej albo poczytać wiadomości, ale niewiele więcej. Zachowuj się tak, jakby ktoś cały czas widział twój ekran, śledził ruchy myszką i patrzył na klawiaturę. Bo też czasem tak właśnie będzie.

W dalszej części tekstu mówimy o korzystaniu z publicznie dostępnego internetu, ale na własnym telefonie lub komputerze.

Jak przestępcy włamują się na twoje konta

Przestępcy mają trzy podstawowe sposoby, jakimi dostają się do twoich kont w serwisach online, sieciach społecznościowych czy bankowości elektronicznej:

1. przełamanie zabezpieczeń serwera
2. podsłuchanie komunikacji twojego komputera/telefonu z serwerem
3. phishing czyli namówienie cię do czynności, dzięki którym przestępca pozna twoje hasło (albo uzyska zdalny dostęp do komputera, albo zrobi przelew z konta, itp. itd.)

Na metodę nr 1 nic nie poradzisz – nieautoryzowany dostęp do danych na serwerze to wina dostawcy usługi. Metoda nr 3 to atak socjologiczny. Zabezpieczenia techniczne mogą działać jak należy, lecz przestępcy ominą je przy twojej aktywnej pomocy. Przykład – zostaniesz nakłoniony najpierw do zalogowania się na podstawionej stronie udającej twój bank (przejęcie hasła) a potem do podania kodu SMS otrzymanego na telefon (autoryzacja przelewu).

Metoda nr 2, czyli podsłuch komunikacji sieciowej, została dziś na dobrą sprawę wyeliminowana. Jak to możliwe, skoro Wi-Fi przesyła dane na falach radiowych? Przecież może je podsłuchać każdy chętny, nawet przez ścianę albo z lokalu po drugiej stronie ulicy!

Warstwy bezpieczeństwa

Pozwólmy sobie na dygresję. Są wakacje, wiele osób wyjeżdża na urlop i spędza czas czytając powieści. Czym jest powieść?

• dla czytelnika jest to historia z bohaterami, fabułą i akcją. Powieść to sposób na to, aby w głowie pojawiły się obrazy, emocje i przeżycia. Sięgając po nią, przenosimy się do innego świata.
• z punktu widzenia redaktora i wydawcy, powieść to zestaw słów pogrupowanych w akapity i rozdziały. Są powieści dłuższe i krótsze, zajmujące więcej lub mniej stron, co przekłada się na czas i koszty przygotowania do druku.
• dla technologa w drukarni powieść to ileś arkuszy papieru, litrów farby drukarskiej, czasu pracy maszyn do cięcia i szycia – czyli wynik procesu przekształcającego półprodukty w palety z książkami gotowymi do transportu.

To samo słowo może kryć wiele znaczeń, które – w zależności od rozmówcy i kontekstu – będą rozumiane różnorako. Termin „bezpieczeństwo sieciowe” jest zbyt pojemny, by mógł opisywać zakres niniejszego artykułu. Dziś skupiamy się tylko na aspektach dotyczących prywatności komunikacji w sieciach Wi-Fi (przy użyciu standardów z grupy IEEE 802.11).

Druga dygresja: w wielu dziedzinach nauki i technologii mamy do czynienia z tzw. warstwami abstrakcji czyli koncepcją, w której skomplikowany problem jest dzielony na mniejsze, zależne od siebie komponenty. Przykład z branży samochodowej: projektant nadwozia nie musi martwić się o parametry zawieszenia, jego zadaniem jest zmieścić się w określonej wadze. Projektant podwozia nie musi martwić się o usytuowanie środka ciężkości silnika, bo ten parametr jest wyznaczony zawczasu. Projektant silnika nie musi martwić się o wytrzymałość temperaturową zaworów, projektant zaworów – o skład stopu, metalurg – o stopień zanieczyszczeń rudy i tak dalej. Raz rozwiązany problem stanowi bazę dla komponentów bardziej złożonych.

Podobnie w świecie telekomunikacji. Czasem będziemy patrzeć bezpośrednio na bity, które „wydostają się z komputera”, czyli na zmiany napięcia w kablu sieciowym (lub modulację fal radiowych). Innym razem rozważymy wyzwania związane z adresacją paczek danych, gdy nadawca i odbiorca komunikują się przez pośredników – zakładamy wówczas, że temat napięć i synchronizacji jest już rozwiązany. Na kolejnym poziomie zajmujemy się niezawodnością transmisji, numeracją i powtórkami zgubionych pakietów, wykrywaniu przekłamań transmisji i tak dalej. Dopiero na tej bazie możemy konstruować protokoły służące do przesyłania e-maili albo stron WWW. Programista tworzący komunikator internetowy nigdy nie będzie zastanawiał się, jakiemu napięciu w kablu sieciowym odpowiada jedynka, a jakiemu – zero.

Ciekawostka – dzięki warstwowej budowie sieci teletransmisyjnych, warstwy niższe można zastępować innymi bez zaburzania działania warstw wyższych. Kiedyś z modemów akustycznych przeszliśmy na łącza ADSL albo z okablowania koncentrycznego na skrętkę – dla przeglądarki internetowej nic się nie zmieniło. Branżowym żartem jest zresztą specyfikacja przenoszenia ruchu internetowego przy użyciu gołębi pocztowych.

Bezpieczeństwo czyli poufność oraz integralność

Każda ze wspomnianych wyżej warstw łączności musi spełnić odrębny zestaw wymogów, jednak cel jest ten sam. Użytkownikom końcowym zależy na dwóch głównych atrybutach komunikacji, którymi są…

Poufność – czyli stan, w którym tylko nadawca i wskazany przez niego odbiorca mogą zapoznać się z danymi przekazywanymi przez sieć komputerową. Wiadomo, że zera i jedynki przejdą po drodze przez wiele urządzeń sieciowych, jednak każde z nich będzie wiedziało jedynie, gdzie dalej przesłać otrzymane pakiety. Tylko adresat jest w stanie zdekodować bajty przekazane w serii pakietów.

Integralność – czyli stan, w którym każda próba sfałszowania lub przejęcia transmisji danych zostanie wykryta i odrzucona. Wyobraźmy sobie, że przestępca włamuje się do szafki telekomunikacyjnej, wyrywa kabelki prowadzące do naszego domu i podłącza je do swojego komputera. Czy będzie w stanie kontynuować naszą rozmowę na czacie albo oglądać dalszy ciąg filmu z Netfliksa? Nie. Klucze kryptograficzne potrzebne do kodowania i dekodowania danych znajdują się w pamięci komputerów, bez nich ustanowiona łączność zostanie przerwana.

Zwróćmy uwagę, że cyberatak da się teoretycznie przeprowadzić także wtedy, gdy atakujący nie potrafi rozszyfrować transmitowanych danych. Mógłby on zarejestrować sekwencję bajtów a potem nadać je w stronę serwera ponownie, np. w nadziei na powtórzenie przelewu bankowego, o którym wiedział skądinąd. Nowoczesna kryptografia i protokoły komunikacyjne gwarantują jednak, że szyfrowanie takich samych treści za każdym razem skutkuje innym ciągiem bajtów, zaś duplikaty pakietów nadanych wcześniej będą wykryte i odrzucone.

To jak w końcu jest z tym Wi-Fi?

W kilku słowach – było fatalnie, jest dobrze (z dwoma wyjątkami, o których dalej).

Bezprzewodowe urządzenia sieciowe WLAN (Wireless LAN), czyli access-pointy, karty rozszerzeń do PC oraz karty PCMCIA do laptopów, zaczęły pojawiać się w sklepach około roku dwutysięcznego. Pierwszym standardem łączności, zapewniającym współpracę urządzeń różnych producentów, był WEP (Wired Equivalent Privacy).

Nie bójmy się tego powiedzieć – WEP był katastrofą. Z powodu błędów popełnionych podczas projektowania protokołu, już po kilku chwilach (pasywnego) nasłuchu atakujący mógł poznać klucz kryptograficzny aktywnego użytkownika. To pozwalało zarówno na rozszyfrowanie transmitowanych danych, jak i… podszywanie się pod tego użytkownika. Access point (czytaj: router Wi-Fi) nie był w stanie rozróżnić, które pakiety wysłał atakujący.

Następcą protokołu WEP był WPA, jego zaś – WPA2 (Wi-Fi Protected Access II), z którym żyjemy po dziś dzień. W sieciach domowych i publicznych stosowany jest wariant, w którym do nawiązania połączenia wystarczy znajomość hasła. Sieci korporacyjne można zabezpieczać dodatkowo uwierzytelnianiem RADIUS.

Choć w standardzie WPA2 wykryto pewne słabości, to niektóre wskazywane metody ataku były całkowicie niepraktyczne, wiele innych załatano aktualizacjami systemów operacyjnych i sterowników urządzeń. Kupując nowy sprzęt Wi-Fi, warto wybrać modele obsługujące najnowszy WPA3, dopiero zyskujący popularność.

HTTPS Everywhere

Przez minione dwie dekady ekosystem WWW przebył długą drogę. Niegdyś protokół HTTP był normą, zaś wybrane branże, np. bankowość, szczyciły się ponadstandardowym poziomem bezpieczeństwa online, reprezentowanym przez HTTPS i zieloną kłódkę (zwłaszcza w połączeniu z kosztownym certyfikatem Extended Validation SSL).

Dziś nieszyfrowany HTTP jest piętnowany przez przeglądarki, zaś darmowe certyfikaty TLS pozwalają obsługiwać szyfrowany ruch bez ponoszenia dodatkowych nakładów. Znakiem czasu jest zresztą zakończenie rozwoju dodatku do przeglądarek znanego pod nazwą HTTPS Everywhere („wszędzie HTTPS”). Służył on do automatycznego przenoszenia użytkownika na szyfrowane wersje odwiedzanych stron, gdy tylko były one dostępne. Dziś ciężko o sytuację odwrotną, przekierowanie HTTP→HTTPS jest normą, czasem nagłówki HSTS całkowicie wykluczają łączność przez HTTP, więc taki dodatek stał się niepotrzebny.

Dawniej brak szyfrowania oznaczał, że operator każdego systemu uczestniczącego w przesyle danych mógł śledzić odwiedzane strony, kraść hasła, przejmować zalogowane sesje, a nawet wstrzykiwać do pobieranych stron własne reklamy. Oczywiście nie było to częste, ale w sieciach osiedlowych czy studenckich dowcipnisiów nie brakowało. Zwłaszcza, gdy w użyciu były nie routery, a tanie koncentratory (huby), wysyłające kopię całego ruchu internetowego do wszystkich użytkowników sieci LAN naraz.

Przejście na HTTPS wyeliminowało wszystkie te problemy, przynajmniej w odniesieniu do przeglądarek WWW. Korzyści były tak oczywiste, że wiele innych – dawniej nieszyfrowanych – protokołów sieciowych również „owinięto” w TLS. Przykładem jest wielka trójka odpowiedzialna za pocztę elektroniczną (SMTP, IMAP, POP3), dziś gwarantująca taką samą poufność i integralność, jak HTTPS w przeglądarkach.

Skąd zmiana na lepsze?

Możemy dopatrywać się kilku przyczyn.

Po pierwsze – gdy internet wyszedł poza świat nauki i uczelni wyższych, pojawiła się w nim komercja. Biznesy online szybko rosły, więc w sieci coraz więcej pieniędzy dało się… ukraść. Inwestycja w bezpieczeństwo użytkowników była opłacalna – zwiększała zarówno wiarygodność konkretnej marki jak i zaufanie do e-commerce jako takiego.

Po drugie – choć moc obliczeniowa wymagana do obsłużenia ruchu HTTPS jest istotnie wyższa, niż przy nieszyfrowanym HTTP, dziś nie ma to większego znaczenia. Usługi chmurowe pozwalają bardzo łatwo skalować wydajność, zaś usługi CDN są śmiesznie tanie. Dzięki temu nawet małe sklepiki online mogą wytrzymać sezonowe zmiany ruchu bez konieczności utrzymywania nadmiarowych serwerów przez resztę roku.

Po trzecie – sieci społecznościowe przyzwyczaiły użytkowników do funkcji „logowanie przez Facebooka / Twittera / Google”. Utrata konta w serwisie będącym dostawcą tożsamości może oznaczać odcięcie dostępu do wielu innych witryn. Wielcy gracze inwestują w bezpieczeństwo sieci, bo… sami są jej największymi beneficjentami. Użytkownik wyda pieniądze w internecie tylko wtedy, gdy nie lęka się przelewu online lub podania numeru karty płatniczej.

Czy eksperci mogliby się zdecydować?

Przyznacie, że przejście od zalecenia „strzeż się hotelowego Wi-Fi” do „hotelowe Wi-Fi jest w porzo” może budzić wątpliwości. Czy eksperci udzielający porad dotyczących bezpieczeństwa mogliby być bardziej konsekwentni?

Niestety nie. Krajobraz zagrożeń stale ewoluuje, przecież pięć czy dziesięć lat temu nikt nie mógł przewidzieć oszustw z historyjką „twoja paczka musi być zdezynfekowana z powodu pandemii Covid-19, dopłać 1.30 zł aby można ją było doręczyć”. Zauważcie: od strony technologicznej osiągnęliśmy bardziej niż zadowalający poziom bezpieczeństwa informacji. Znakomita większość oszustw „internetowych” oparta jest na socjotechnice.

Dziś użytkownik końcowy jest najsłabszym ogniwem. To właśnie on musi zainstalować AnyDeska lub TeamViewera, by (nieświadomie) dać przestępcom dostęp do swojego telefonu; uruchomić makra Office by (nieświadomie) rozpocząć infekcję malware; podać wszystkie dane karty kredytowej by (wbrew logice) odebrać pieniądze ze sprzedaż na OLX.

Zalecenia dotyczące Wi-Fi zmieniły się, bo zmienił się stan faktyczny.

Dwa ostrzeżenia

Chociaż „hotelowe Wi-Fi jest w porzo”, warto wiedzieć o dwóch sytuacjach, w których trzeba zachować czujność.

Otwarte sieci Wi-Fi

Jeśli do publicznej sieci bezprzewodowej możesz podłączyć się bez podawania hasła, twoja łączność z access pointem będzie nieszyfrowana a każdy w promieniu kilkuset metrów będzie mógł zapoznać się z transmitowanymi pakietami. Treści w twojej przeglądarce pozostaną poufne, bo komunikację z serwerem WWW nadal będzie chronił HTTPS, ale z docelowych adresów IP podsłuchujący dowie się, że w danej chwili korzystasz z Office 365, LinkedIna czy innego Twittera.

Porada: w otwartych sieciach odsłaniasz część szczegółów swojej komunikacji; jeśli czujesz się z tym niekomfortowo – unikaj takiej formy dostępu. Gdy twój komputer udostępnia osobom z zewnątrz jakieś usługi lub zasoby, unikaj jakichkolwiek publicznych sieci Wi-Fi.

Sieci publiczne wymagające rejestracji

Wiele publicznych sieci bezprzewodowych nie otwiera dostępu do internetu od razu, lecz najpierw wymaga zalogowania. Windows wie o tym, bo po nawiązaniu łączności próbuje znaleźć w DNS adres dns.msftncsi.com i sprawdzić zawartość strony http://www.msftncsi.com/ncsi.txt (celowo użyty jest protokół HTTP). Inny od spodziewanego numer IP lub inna od spodziewanej zawartość witryny prawie zawsze wiąże się z koniecznością przeklikania przez jakiś formularz.

Dopóki jest to oświadczenie, że będziesz korzystać z łącza do zastosowań zgodnych z prawem i obiecujesz nie przeszkadzać innym – jest OK. Pytanie o e-mail? Prawie nigdy nie będzie sprawdzany, zresztą możesz podać jakiś adres z usługi e-maili tymczasowych.

Gorzej, gdy masz do czynienia z płatnym dostępem do internetu – często jedyną metodą uiszczenia należności będzie karta płatnicza. Używane powszechnie szybkie przelewy są wykluczone, bo… wymagają dostępu do internetu. Za który dopiero planujesz zapłacić.

Porada: jeśli używasz płatnych sieci publicznych a ich dostawcy nie budzą twojego zaufania, skorzystaj z usługi jednorazowych kart wirtualnych zasilanych niewielkimi kwotami (funkcja dostępna np. w Revolucie). Jeśli dostawca publikuje instrukcję, jak dodać wyjątek bezpieczeństwa aby otworzyć niezaufaną stronę – uciekaj bez płacenia.

Podsumowanie

Paradoksalnie, popyt na publiczne sieci Wi-Fi mocno się zmniejszył. Już za ok. 30 zł kupimy dostęp do internetu LTE na kartę, w tej cenie dostaniemy kilkadziesiąt lub nawet ponad sto GB transferu miesięcznie. To naprawdę dużo. Oczywiście nastolatek z Tik-Tokiem jest w stanie „przejeść” więcej, ale typowemu użytkownikowi taka ilość wystarczy z dużym zapasem.

Na publiczne Wi-Fi spojrzymy łaskawszym okiem za granicą. Pół biedy, gdy poruszamy się w obrębie Unii Europejskiej – nadal będziemy dysponować kilkoma darmowymi GB dostępnymi w komórce. Poza Unią jest już znacznie gorzej, opłaty roamingowe mogą być morderczo wysokie. Dobrze wówczas wiedzieć, że dostęp do darmowego Wi-Fi jest nie tylko darmowy, ale i bezpieczny.

PS: nie, VPN nie jest tu rozwiązaniem, ale to już temat na osobny artykuł.