Paggamit ng Airport at Hotel Wi-Fi Ay Mas Malayong Higit Nang Ginamit Ito


Habang naglalakbay ka Ang kapaskuhan na ito, na nagagalak mula sa paliparan hanggang sa eroplano sa hotel, malamang makikita mo ang iyong sarili na nakaharap sa isang pamilyar na pag-aalinlangan: Talaga bang pinagkakatiwalaan ko ang random na pampublikong Wi-Fi network na ito? Tulad ng kamakailan lamang ng ilang taon na ang nakalilipas, ang sagot ay halos tiyak na isang no resounding. Ngunit sa taon ng aming panginoon 2018? Kaibigan, humayo ka.

Ang payo na ito ay may maraming kwalipikado. Kung nagpaplano kang gumawa ng mga krimen online sa Holiday Inn Express, o upang bisitahin ang mga website na mas gusto mong hindi alam ng mga tao na iyong pinapasok, kailangan mong gumawa ng mga hakbang sa pag-iingat na makukuha namin sa isang minuto. Gayundin, kung ikaw ay isang mataas na halaga ng target ng isang sopistikadong bansa ng estado-tumingin sa iyo! -Ay hindi sa publiko Wi-Fi sa lahat ng mga gastos. (Gayundin, malamang na na-hack ka na sa ibang paraan, paumanhin.)

Ngunit para sa iba pa sa atin? Marahil ay OK ka. Hindi iyon dahil ang mga hotel at airport Wi-Fi network ay kinakailangang nakuha na mas ligtas. Ang web mismo ay may.

"Maraming mga panganib na dating, ang mga kadahilanan na ginamit namin upang bigyan ng babala ang mga tao, ang mga bagay na iyon ay wala na ngayon," sabi ni Chet Wisniewski, ang prinsipyong tagapagpananaliksik sa security firm Sophos. "Ito ay ginagamit upang maging dahil halos wala sa internet ay naka-encrypt. Maaari kang umupo doon at humiga ang lahat. O kaya'y may isang tao na mag-set up ng isang pusong access point at magpanggap na Hilton, at pagkatapos ay makakonekta ka sa kanila sa halip ng hotel. "

Sa mga araw na iyon ng Wild West, sa ibang salita, ang pag-sign up sa isang nakabahaging Wi-Fi network ay nakalantad sa iyo sa maraming pag-atake, mula sa mga hacker na sinusubaybayan ang iyong bawat paglipat sa online, sa tinatawag na mga tao-sa-gitnang pagsisikap na nakapagpalaya sa iyo sa pagpasok ng iyong mga password, impormasyon sa credit card, o higit pa sa mga website na walang kasinungalingan. Ang isang murang, madaling gamitin na aparato na tinatawag na Wi-Fi Pineapple ay gumagawa ng mga pag-atake na simple upang bunutin.

Lahat ng iyon ay posible pa rin. Ngunit isang kritikal na ebolusyon sa internet ang gumawa ng mga pagsisikap na hindi gaanong epektibo: ang pagdating ng HTTPS.

Lahat ng Higit sa HTTPS

Tingnan ang URL bar sa iyong browser. Nakikita mo bang ang maliit na simbolo ng lock sa kaliwa? Nangangahulugan iyon na ang trapiko sa site na ito ay naka-encrypt sa transit mula sa mga server ng WIRED sa iyong browser at pabalik. Ang pag-encrypt na iyon ay pinagana sa pamamagitan ng kung ano ang kilala bilang Hypertext Transfer Protocol, na may 'S' na nakatayo para sa Secure. Gayunman, ang pinakamahalagang bagay na dapat malaman tungkol sa HTTPS ay ang pagpayag sa karamihan sa mga pag-atake na (tama) na natakot ka sa pampublikong Wi-Fi sa unang lugar.

"Kung nasa US ka, ang web ay medyo naka-encrypt. Kakaiba na pumunta sa isang website na mahalaga at hindi ito HTTPS, "sabi ni Tod Beardsley, direktor ng pananaliksik sa kompanya ng seguridad Rapid7. "Dahil dito, ang banta, at talagang ang panganib, na lumilitaw sa kahit masama na lokal na Wi-Fi ay bumaba nang malaki."

"Marami sa mga dating panganib, ang mga kadahilanan na ginamit namin upang balaan ang mga tao, ang mga bagay na iyon ay wala na ngayon."

Chet Wisniewski, Sophos

Gaano kapansin? Isaalang-alang na kamakailan lamang noong Marso 2016, 21 lamang ng pinakamataas na 100 na web site ng web ang ginamit sa HTTPS bilang default. Sa ngayon, ang bilang na iyon ay nakabukas. Ang pitumpu sa pinakamataas na 100 na mga site ay pinalitan ng HTTPS bilang default, na may siyam na higit pang nag-aalok ng pagiging tugma ng HTTPS. Marami sa mga holdout ay batay sa Tsina. Bilang ng Enero 2017, higit sa kalahati ng web ay naka-encrypt. Ngayon, ang tungkol sa 84 porsiyento ng mga website na na-load sa pamamagitan ng Firefox ay pinagana ang HTTPS. At oo, kasama na ang porn.

Ang HTTPS ay may ilang mga hindi balanseng mga kahinaan. Higit sa lahat, halos walang hadlang sa pagkuha ng sertipikasyon ng HTTPS, na ginawa itong kaakit-akit para sa mga kriminal na grupo na umaasa na magdagdag ng isang hangin ng pagiging tunay sa mga bogus na site. Tinitiyak ng maliit na berdeng padlock na nagpapadala ka ng data na naka-encrypt, ngunit hindi na ang taong nasa pagtanggap ay may mga pag-aalala.

Ngunit wala itong kinalaman sa hotel o airport Wi-Fi. Maaari kang mahulog para sa mga scam kahit paano ka nakakonekta sa internet. At ang paggamit ng diskarte na iyon upang ma-target ang mga tiyak na lokasyon na parang hindi nagkakahalaga ito sa pagsasagawa.

"Kailangan mong makakuha ng isang soundalike na pangalan ng domain, irehistro iyon, pagkatapos ay makakuha ng isang sertipiko ng encryption, pagkatapos ay kumuha ng isang tao upang pumunta sa iyong site," sabi ni Beardsley. "Hindi ko alam kung gaano matagumpay ang isang pag-atake upang i-set up ang aking pusong Wi-Fi, maghintay para sa mga tao na i-mistype ang isang URL, at pumunta sa aking pekeng bank site. Hindi ako sobrang sigurado na isang napakahalagang pag-atake. Ikaw ay naghihintay ng mahabang panahon para sa typo na iyan. "Lalo na binigyan ng isa pa, bahagyang mas kaunting pagbabago kamakailan sa kung paano namin ginagamit ang web: Kaya ilang tao ang aktibong nag-type ng mga URL na itinuturing ng Google na liliko sa kanila nang buo.

Nakatutulong na isipin kung paano maaaring i-play ang iba pang mga pag-atake sa pagsasanay pati na rin, lalo na kung ang mga caveat ay nakapaglaro. Bilang karagdagan sa mga porpolyo na site, may pag-aalala na ang ibang tao sa iyong network ay maaaring "sniffing" sa iyong aktibidad sa pagba-browse, ang internet na bersyon ng eavesdropping. Maaari pa rin nilang subukan, ngunit ibig sabihin ng HTTPS na hindi nila makita ang mga indibidwal na pahina na iyong binibisita, mga domain lamang. Maaaring malaman ng isang tao na ikaw ay nasa Netflix, sa ibang salita, ngunit hindi ang pelikula na iyong pinapanood. O baka alam nila na nasa site mo ang Bank of America, ngunit hindi mo makita ang anumang mga detalye mo. Ito ay ang pagkakaiba sa pagitan ng pagmamasid sa isang pag-uusap mula sa malayo sa kalye, at pagkakaroon ng ito bugged.

Madali mong maisip ang mga kaso kung saan hindi pa perpekto. Maaaring hindi mo nais na malaman ng sinuman na bumibisita ka sa mga site ng isang sensitibong katangian, anuman ang partikular na tinitingnan mo habang ikaw ay naroroon. At kung bibisita ka sa isang site na walang HTTPS, lahat ng mga proteksyon ay lumabas sa window. Ngunit ang mga kriminal ay may mas kapaki-pakinabang na paraan ng pag-atake sa mga araw na ito-hindi mo kailangan ang Wi-Fi ng hotel o paliparan para sa mga hotel at paliparan na nagbibigay ng searphishing o cryptomining na mas hindi kaakit-akit ng isang target.

"Sinasabi ko sa mga tao na tangkilikin ang pampublikong Wi-Fi, kung nasa Macy sila para sa Christmas shopping o sa Hilton," sabi ni Wisniewski. "Ano ang nasa para sa kaaway? Bakit mo pipiliin ang monkeying sa Wi-Fi sa paliparan o sa hotel sa ilang ibang paraan ng pag-atake? Kapag tiningnan mo ang kakayahang kumita at ang panganib, ito ay hindi lamang naiiba kaysa sa isang baguhan na ginagawa ito para sa mga giggles. "

Dagdag na Proteksyon

Ito ay lubos na nauunawaan kung mayroon ka pa ring mga alalahanin. Marahil ay bumibisita ka ng maraming hindi naka-encrypt na mga site, o ayaw mo ng chain ng hotel na magkaroon ng kahit na antas ng antas ng pananaw sa iyong pagba-browse. O marahil ikaw ay isang mamamahayag, o isang executive ng aerospace, o isang politiko, o ibang tao ang mga ahensya ng GRU o Chinese intelligence na maaaring ilagay sa kanilang mga crosshair. O marahil nakakuha ka lamang ng isang pagkawala ng tiwala na hindi ka maaaring iling.

"Ang banta, at talagang ang panganib, na lumilitaw sa kahit masama na lokal na Wi-Fi ay bumaba nang malaki."

Tod Beardsley, Rapid7

Iyon ay pagmultahin! Anuman ang kaso, maraming bagay ang maaari mong gawin upang maprotektahan ang iyong sarili, simula sa paggamit ng isang virtual na pribadong network. Ang isang VPN ay nagpapadala ng lahat ng iyong trapiko sa pamamagitan ng isang naka-encrypt na koneksyon, ibig sabihin na ang hotel o sinumang iba pa ay hindi maaaring makita kung nasaan ka o kung ano ang iyong ginagawa. Well, halos kahit sino pa; ang potensyal ng VPN ay maaari, kaya gamitin ang pinagkakatiwalaan mo.

Kahit na mas mahusay kaysa sa isang VPN, lalo na kung mayroon kang walang limitasyong plano ng data: Gamitin ang iyong smartphone bilang isang hotspot. "Walang anumang nai-publish na nananamantala na kapaki-pakinabang sa LTE. Kung talagang nag-aalala ka tungkol dito, itaguyod ang iyong telepono, "sabi ni Beardsley. "Iyan ay makakakuha ka ng isang mahabang paraan."

Ngunit kung ang mga iyon ay hindi naaangkop sa iyo; kung nag-uumpisa ka lang sa Facebook at Amazon, o naghahanap ng magandang kalapit na restaurant sa Yelp? Gamitin ang Wi-Fi sa hotel. Maaaring wala sa iyong mga interes sa seguridad sa puso, ngunit higit pa kaysa dati, ang web mismo ay ginagawa.

Higit pang mga Great WIRED Stories