Wi-Fi по всему миру оказался под угрозой

[ska79]

​

 

 

Т.е нельзя вводить персональные данные, через VPN.

почему нельзя, можно. впн траф зашифрует. Дело в другом - злоумышленик можт подменить исходящий  трафик, допустим с вашего ip разместит вконтакте экстрмистский пост и велика вероятность, что вы уедете далеко и надолго, вот в чём опасность. Это лишь моё предположение.

[www2.1]

 

 

почему нельзя, можно. впн траф зашифрует.

Насколько я понял, там написано следующее. Шифрует то шифрует, но в случае чего.. Если придут товарищи, в фуражках и с погонами. То весь трафик, переданный через VPN, легко расшифровывается.

 

А если там работает какой-то нерадивый кулцхакер, который любит копаться в чужих данных?   

 

 

 

Дело в другом - злоумышленик можт подменить исходящий  трафик, допустим с вашего ip разместит вконтакте экстрмистский пост и велика вероятность, что вы уедете далеко и надолго, вот в чём опасность. Это лишь моё предположение.

Вон какой ещё плюс, в том что я не пользуюсь соц-сетями.

[ska79]

​

 

 

Вон какой ещё плюс, в том что я не пользуюсь соц-сетями.

так не на вашей странице, а с вашего ip адреса.

[www2.1]

 

 

так не на вашей странице, а с вашего ip адреса.

Я не специалист в этой области, но что то мне подсказывает.. что сделать это с моим динамическим IP, будет сложновато.

[ska79]

​Не важно какой ip статический или динамический, имхо

[Umnik]

1. Проблема касается И точек доступа, И клиентские устройства

2. Злоумышленник может специально использовать уязвимую прошивку, чтобы клиентское устройство, на котрое не пришло патч, попалось. Актуально для публичных Wi-Fi сетей

3. В момент подключения к точке VPN не работает. VPN работает внутри уже установленного соединения. Ведь сервер находится где-то там далеко и до него сначала нужно достучаться

[Dimya]

Вот"Wi-Fi" и "VPN" вообще не пользуюсь.(Конечно-ITспециалистам это прозвучит "дико")

[Deadman]

 

 

Вот"Wi-Fi" и "VPN" вообще не пользуюсь.(Конечно-ITспециалистам это прозвучит "дико")

 

Ну да, отказ от WiFi звучит прям как хипстерский отказ от глютена или чего подобного

[sputnikk]

 

Вот"Wi-Fi" и "VPN" вообще не пользуюсь.(Конечно-ITспециалистам это прозвучит "дико")

 

Ну да, отказ от WiFi звучит прям как хипстерский отказ от глютена или чего подобного

 

наверно  нет устройства требующего вай-фай.

[sputnikk]

Д-Линк рекомендует отключить WDS:

 

Unified Wireless System Access Points

 

     Important Note for Owners:

 

      In default configuration the unified wireless system products are NOT AFFECTED.

     ONLY If the Wireless Distribution System (WDS) feature is ENABLED will make this ecosystem vulnerable and Affected.

 

     Recommendation: We recommend to disable WDS until patches are made available.

http://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10075

 

Моря модификация адаптера исчезла из списка. Наверно не будет нового программного обеспечения

[oit]

 

 

Д-Линк рекомендует отключить WDS:

не знаю как все, но многие (вроде как) рекомендуют выключать.

[sputnikk]

По поводу свежих прошивок:

 

TP-Link пренебрегает безопасностью своих клиентов

 

Европейские официальные сайты китайского производителя TP-Link значительно отстают в вопросе предоставления новых версий прошивки по сравнению с ресурсами других вендоров, выяснил норвежский исследователь Даниэл   Александерсен  (Daniel Aleksandersen)[1]. В этом эксперт убедился на собственном опыте, когда попытался загрузить прошивку для недавно приобретенного ретранслятора TP-Link с норвежского портала компании. Как оказалось, на сайте была доступна только устаревшая версия прошивки, тогда как на шведском и датском ресурсах присутствовала свежая версия прошивки[2].

« Существует  вероятность на уровне 29,63%, что при посещении вашего локального сайта TP-Link вы либо получите устаревшую версию, либо не не получите прошивку вообще», -  утверждает   Александерсен .

Данная ситуация побудила эксперта провести собственное расследование качества обслуживания TP-Link европейских клиентов.  Александерсен  проверял доступность прошивок для 9 выбранных наугад продуктов компании. По данным  Александерсена , новейшие версии прошивки были доступны пользователям только в шести европейских странах - Чехии, Финляндии, Франции, Италии, Нидерландах и Румынии. Наиболее плачевной ситуация оказалась в Швейцарии. Одна из причин может заключаться в том, что страна только недавно перешла на электронные стандарты ЕС.

По мнению  Александерсена , в сложившейся ситуации виновата только TP-Link. По его словам, проблема не должна была существовать изначально. Согласно стандартам ЕС, производители аппаратного обеспечения должны предоставлять унифицированные пакеты прошивок с поддержкой радиочастот и всех языков стран-членов Евросоюза. Даже государства, не входящие в состав ЕС, придерживаются данных стандартов в целях удобства.

«По существу, на общем рынке ЕС не должно быть потребности в ориентированных на определенные страны прошивок для сетевого оборудования», - отметил  Александерсен , добавив, что большинство конкурентов TP-Link, в частности, ASUS, Linksys и Netgear, предлагают «глобальные» обновления, вместо отдельных версий для разных стран.

Сайты TP-Link также не предлагают никаких уведомлений о доступности новых версий прошивки, так что пользователям самим приходится периодически проверять наличие обновления.

[Mrak]

 

 

Сайты TP-Link также не предлагают никаких уведомлений о доступности новых версий прошивки, так что пользователям самим приходится периодически проверять наличие обновления.

Да какие могут быть обновления, если они для роутера 2014 года перестали выпускать новые прошивки уже в 2015 году, т.е. последние 3 года тишина. 

[Peter15]

Что-то мне непонятно пока, если я буду при использовании wi-fi пользоваться https-соединениями с сайтами, например, Сбер-онлайн, эти данные тоже можно перехватить и изменить?

[Umnik]

https-соединениями

В общем случае — нет. В особых случаях — с оговорками. К примеру, когда ты самый первый раз заходишь на HTTPS, то твой браузер ещё не знает ничего о сертификате того сайта. В этот момет у человека посередине ещё есть возможность выдать свой сертификат за сертификат того сайта и твой браузер начнёт доверять сертификату злоумышленника.

Такая атака хоть и возможна, но её сложно провести:

1. Если это сайт, то браузер не должен на этот момент ещё знать сертификат сайта

2. Если это сайт, то в браузере не должен быть предустановлен сертификат сайта

3. Если это браузер, то не должен ипользоваться HTST https://ru.wikipedia.org/wiki/HSTS

4. Если это приложение, то сертификат не должен быть предустановлен

5. Если это приложение, то оно не должно доверять системным сертификатам

 

Условий много, которые защищают от такого. Но в реале же несколько месяцев назад я собеседовался в одну фирму, где нужно было провести самое банальное тестирование одной фичи их приложения. Мне это показалось скучным и я произвёл атаку MitM между их приложением и их сервером. Без труда снял SSL и начал перехватывать:

— Реальные ФИО

— Реальный домашний адрес и телефон

— Данные о подключенных банковских картах. Целиком все данные, включая CVC

— Поисковые запросы внутри приложения

— Результаты запросов, включая всю секцию интимных товаров

В общем, я получил ровно те данные, которые улетают на сервер и прилетают от него обратно. Ребята только SSL натянули и посчитали, что этого достаточно. Разумеется, тест я проводил у себя дома на своих устройствах, но чисто технически, если бы я был злоумышленником, мне достаточно было бы зайти в кафе с ноутом и дать там имя популярной вай-фай сети и стричь банковские карточки.

Собеседование я провалил, т.к. им не понравилось, что вместо тестирования корзины я указал им, как можно угнать данные из их приложения без всяких рутов.

 

В общем, если есть подозрение, что система может быть скомпроментирована, лучше не рисковать. И не забывать про фичу безопасных платежей в KIS, который запускает браузер в изолированной среде, блокирует попытки чтения памяти браузера (хотя даже это не поможет от Metldown), попытки перехватывать нажатия клавиатуры и снятие скриншотов сторонними программами. На мобильном устройстве нужно исопльзовать НЕ БРАУЗЕР, а исключительно фирменное приложение.

Изменено 9 января, 2018 пользователем Umnik