Menu

Za veřejné WiFi bezpečnější

28.01.2011 23:15 | Redakce Chip
Za veřejné WiFi bezpečnější
Provozovatelé veřejných WiFi by mohli využít některých nastavení pro zvýšení bezpečnosti svých zákazníků.

Veřejné WiFi sítě by mohly být bezpečnější, kdyby jim jejich provozovatelé nastavili šifrování, navrhl na podzim na svém blogu bezpečnostní odborník Steve Gibson.

Veřejné WiFi jsou zvláště nebezpečné, pokud jsou nešifrované. Co se objevil Firesheep, může se k některým cizím datům dostat každé dítě. Steve Gibson navrhuje zapnout WPA (anebo raději WPA2), tedy šifrování. To vyžaduje nastavení hesla, avšak heslo může být veřejné! Může být klidně vyvěšeno na ceduli hned pod SSID sítě.

Steve upozorňuje, že WiFi síť tak nebude ochráněna dokonale — pouze to pro možné napadení „podstatně zvýší laťku“. Pokud bude útočník znát stejné přístupové údaje jako kterýkoli jiný uživatel sítě, vždy bude útok myslitelný, jen bude — podle dosavadních poznatků — mnohem složitější, než co dokáže kterýkoli kluk s notebookem.

Loni v létě byla sice odhalena jedna zranitelnost WPA2 zevnitř sítě, která za využití správných nástrojů zpřístupňuje útočníkovi přenášená data někoho jiného poměrně rychle a bezpracně (pokud data nejsou dále šifrována například HTTPS nebo prostřednictvím VPN), lze ji však uzavřít. Zranitelnost se běžně nazývá „díra 196“ („hole 196“) a zamezuje se oddělením (izolováním) klientů čili zakázáním směrování paketů mezi jednotlivými klienty v bezdrátové místní síti. Anglicky se způsob nazývá „client isolation“ anebo „AP isolation“ (AP = access point, čili přístupový bod).

Steve Gibson
Steve Gibson

Ostatní myslitelné útoky, pokud chápeme Stevovy úvahy dobře (v diskusi pod příspěvky na blogu), by buďto nevedly k odhalení přenášených dat, a pokud ano, pak za cenu toho, že by dešifrování dat bylo podstatně složitější.

Jste‑li štamgastem v nějakém místě s veřejnou WiFi, domluvte provozovatelům, aby nastavili WPA2 s veřejným heslem. A pokud to jejich směrovač umožňuje, ať nastaví i client isolation. Nejlevnější směrovače určené do domácnosti tu možnost žel mít nemusí. O domácí síť se však proto neobávejte. Díra 196 se otevírá jen tomu, kdo se do WiFi nejprve oprávněně přihlásil se znalostí SSID i hesla.

Opravdového hackera by navržená opatření nezastavila, jenže nechodí jich po světě tolik a zpravidla mají na práci něco lepšího než slídit po kavárnách; znuděné děti, které jen zkoušejí nástroje stažené z internetu, to však patrně zastaví. A to je přece v zájmu zákazníků!

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda Praha, spol. s.r.o.

Předplatné / nákup chipu Digitální edice chipu Aktuální vydání