Если мы должны зашифровать сообщение, а не метод передачи, почему мы заботимся о безопасности Wi-Fi? Это просто театр безопасности?

Если мы должны зашифровать сообщение, а не метод передачи, почему мы заботимся о безопасности Wi-Fi? Это просто театр безопасности?

Тьфу … Есть слишком много краев, и проблема в том, что, хотя вы должны сделать 500 вещей правильно, чтобы быть [более или менее] безопасными, вам нужно сделать только одну ошибку и быть небезопасным. Полагаю, невозможно даже перечислить все вещи, о которых нужно знать.
Конечно, есть некоторые вещи, которые являются более важными для Joe Average, чем другие, но ни одна из них не является действительно «театром безопасности», и вы не можете сказать, что есть вещи, которые не имеют значения.

Большинство сетевых протоколов являются просто открытым текстом, но некоторые используют шифрование (например, спутниковая связь или 4G / 5G). Это не позволяет случайному проигравшему выполнять самые основные атаки с использованием функции прослушивания, но оно несколько ограничено и работает только между двумя узлами (например, вашим «интернет-боксом» (оптоволоконный модем / кабельный / DSL-маршрутизатор и т. Д.) И спутниковой провайдером, базовой станцией. , DSLAM или «какая-нибудь коробка»). Тем не менее, он обеспечивает небольшой, на самом деле неплохой уровень «резервной» безопасности на тот случай, если вы не правильно поняли следующий абзац.
Почему я говорю на самом деле не так уж плохо? Ну, потому что, хотя мы консервативно думаем с точки зрения «весь Интернет и все в нем злые» , на самом деле это не так. Считывание / перехват вашего трафика на уровне ISP или IPX — это то, что обычный преступник, и даже серьезно опытный преступник, как правило, совершенно не в состоянии сделать, и это то, что «не происходит». (Да, я знаю о правительственных организациях, которые систематически и регулярно делают это в больших масштабах, но это не имеет смысла. Я говорю о преступниках, а не о законных преступниках.)
К сожалению, прослушивание и фальсификация сообщений — далеко не все, что можно сделать.

TLS («https: //» или «зеленая кнопка браузера») — это единственная базовая защита, которая препятствует тому, чтобы кто-то, кто не находится внутри или рядом с вашим домом (возможно, за тысячи километров), прочитал ваши сообщения, перехватил / перенаправил их, и изменяя их содержание. Это сквозное шифрование (и аутентификация), и это самое важное для Joe Average. Почему? Ну, потому что это мешает мне читать ваши материалы и обманывать вас, заставляя поверить в то, что я ваш банк, и сообщаю мне ваш пароль вместе с номерами транзакций (которые я буду использовать, чтобы украсть ваши деньги). Твои секреты остаются секретными, и я не могу притворяться тобой.
Опять же, мы видим, что на монете больше одной стороны. Шифрование — это хорошо, но одного этого недостаточно.
Аутентификацию следует считать столь же важной, а в некоторых случаях, может быть, даже более важной. Потому что, поскольку обе стороны могут проверить, что обмен данными (скажем, банковское поручение) действительно является подлинным, это, безусловно, «раздражает», если кто-то может их прочитать, но далеко не так хлопотно, как если бы преступник мог притворяться быть вами и делать переводы от вашего имени!
Обратите внимание, что аутентификация работает только надежно (исключая возможность того, что кто-то подорвет цепочку сертификатов), если вы на самом деле читаете и то, что отображается на этом значке. Каждый может включить TLS на своем сервере, и каждый получит сертификат и покажет зеленый баннер. Это само по себе ничего не значит.

Хотя лично я не согласен с общим «зашифровать все!» идеология [2] , для всего, что имеет значение, например, для любых личных данных или паролей, или нетривиальных транзакций, TLS — это мера, которой не нужно выбирать, если в вашем списке дел непрерывная, счастливая жизнь и для большинства людей первая, самая важная вещь. Но это далеко не единственное или единственное важное соображение.

На самом деле, иногда TLS не является сквозным, потому что иногда у вас установлены корневые сертификаты на вашем компьютере (часто в случае с «корпоративным» оборудованием, и это происходит в школах), поэтому существует группа людей, которые могут, возможно, законно ( кашляю ) интересуюсь чтением и изменением вашего трафика. Нет, вы даже не заметите, что это происходит, у вас нет возможности рассказать. Так что это одна вещь, о которой следует помнить и которая должна быть утомленной, например, когда вы используете корпоративный ноутбук или когда в школе вашего ребенка (или что-то в этом роде) вас попросят установить некоторые устройства на ваше устройство. Полностью, возможно полное подрывание всей работы и цели TLS, и это делается (обычно без понимания пользователями последствий).

Обратите внимание на то, что TLS также не работает так, как задумано для «всего», по крайней мере, не сквозным способом. Например, многие почтовые службы в настоящее время дополнительно поддерживают TLS. Но, хотя вы можете подумать, что это просто идеально и достаточно хорошо, это только сквозная связь между вами и вашим почтовым сервером . «Настоящий» конец где-то еще!
Сообщение хранится в виде открытого текста на сервере и, возможно (вероятно) передается в виде открытого текста на другой почтовый сервер, и вы не знаете, использует ли TLS другой человек, отправляющий / получающий ваши письма (поскольку это дополнительная функция).
Если вы хотите истинное сквозное шифрование (которое все еще раскрывает тот факт, что вы отправили что-то определенному человеку), вы должны использовать еще что-то дополнительное, например PGP / Enigmail / Autocrypt. Это звучит проще, чем когда-либо, потому что, к сожалению, доступное программное обеспечение практически дружественно к пользователю и практически готово, по крайней мере, если, как и большинство людей, вы используете компьютер с Windows (например, без прогресса через 4 часа при создании ключа или управляющей программы) бросать утверждения каждые 5 минут). По общему признанию это работает намного лучше под Linux, но, к сожалению, для многих людей «Да, просто используйте Linux» не является допустимым вариантом.

Безопасность Wi-Fi сама по себе имеет много аспектов. Например, вы можете беспокоиться о том, что кто-то использует ваш интернет и крадет немного вашей пропускной способности. Но на самом деле это очень незначительная вещь, по сравнению с тем, что ваш провайдер отменяет ваш контракт или получает прекращение и прекращение подачи заявок, отслеживаемых по вашему IP-адресу (может быть, вы участвовали в DDoS или работали в качестве ретранслятора для ботнета? ), или полиция пинать в вашу дверь, потому что что-то в высшей степени незаконно размещался в домашней сети и распространяется в Интернете (думаю, типичный «темный чистый материал», детское порно, оружие, что угодно).
Это также довольно небольшая проблема по сравнению с тем фактом, что кто-то, использующий ваш Wi-Fi, на самом деле использует компьютер «локальной сети». Который, как очень умное значение по умолчанию в некоторых операционных системах, пользуется большим доверием, включая возможность распечатывать и обмениваться файлами, или гораздо более простые настройки брандмауэра в целом.
Локальный компьютер обычно не имеет проблем с полной перенастройкой маршрутизатора с использованием, например, uPnP. Потому что да, это местный, так что это заслуживает доверия , верно. И uPnP — это здорово, поэтому мы его включили. Подключи и играй уже отлично, моя флешка и мышь работают именно так. Это даже универсальный , который звучит так, как будто он еще лучше. Так что давайте оставим его включенным, в любом случае он был включен заводскими настройками, и Windows даже запускает для него службу, они знают, что делают!
Помимо того, что он просто «мешает», локальный компьютер дополнительно (обычно) имеет возможность доступа и тестирования каждого устройства в сети (включая компьютеры, но также, например, принтеры, телевизоры или некоторые холодильники, которые тоже являются компьютерами). ) за подвиги. Это включает в себя некоторые действительно глупые пароли по умолчанию, такие как «0000» или «admin». Которые, верите или нет, многие современные устройства все еще имеют на заводе-изготовителе, и для которых легко доступны зондирующие вредоносные программы (например, Mirai). Все, что вам нужно, это ступня в дверь.
Ба. Вздор. Какая польза, если кому-то удастся захватить несколько IoT-устройств? Это не может навредить! Ну, это может быть то, что вы думаете …

Вот почему никто не оставляет сеть Wi-Fi открытой. По крайней мере , если у вас нет лучшего варианта, вы должны установить довольно длинный / сложный пароль WPA2 и полностью отключить WPA / WEP (который, по непонятной мне причине, все еще широко поддерживается и включен?) , Но это не останавливается там. Wi-Fi (по крайней мере, вариант, которым вы, вероятно, будете владеть) создан не для администраторов полного рабочего дня, а для конечных пользователей, включая вашу 80-летнюю маму. Это означает, что у него есть функции, которые делают его более удобным для использования, например, «нажмите здесь». Это также означает, что, к несчастью, это намного более уязвимо в целом. Некоторые маршрутизаторы Wi-Fi имеют своего рода настройку «ограничивать известные устройства», которую я считаю достаточно хорошей идеей, чтобы всегда включать ее, за исключением тех 5 секунд, когда вы впервые вводите новое устройство. Это по-прежнему не защищает от некоторых эксплойтов, но предотвращает самые глупые небезопасные проблемы, связанные с разработкой, и вы можете сделать очень много. В какой-то момент единственное, что вы можете сделать для повышения безопасности, это вообще не иметь компьютер.

Но это не останавливается там! И ты просто думал, что ты в безопасности.

Например, если ваши устройства Wi-Fi поддерживают PMF, вы, вероятно, захотите включить это. Почему, что это делает?
Предположим, у вас есть несколько камер безопасности, подключенных через Wi-Fi, а я грабитель, которому не нравятся видеозаписи его перерывов. Моя личность права, ты знаешь. Так что мне делать? Я могу вырыть яму на улице и отрезать кабель питания (или подняться на столб, в зависимости от того, где вы живете). Но это легко заметить, я не хочу, чтобы меня видели, и при этом я не хочу, чтобы соседи вызывали отключение электричества. Я могу установить глушитель, который жестоко убивает полосу 2,4 ГГц. Но … все в округе сразу заметят, а я не хочу внимания . Так что мне делать?
Я вкладываю 20 долларов в деавтор, который представляет собой мини-компьютер размером с кредитную карту, который прослушивает кадры на вашем SS (ваш «канал WLAN»). Затем для каждого устройства, которое было замечено, отправляется сообщение «Я ухожу, прошу деавторизовать меня» на точку доступа Wi-Fi, помеченную его адресом. Пух, в оффлайне они идут, все ваши красивые камеры, и никто даже не заметил! Ваши соседи не будут жаловаться, что их WLAN внезапно не работает (на самом деле, если каналы перекрываются, это может работать лучше ). Это просто ты, кто был отрезан, чисто и тихо. Включение PMF предотвращает это.
К сожалению, не все устройства поддерживают это вообще, и на тех, которые делают, вам часто приходится искать довольно много, чтобы найти настройку (которая, конечно, по умолчанию отключена).

Возвращаясь к первоначальному вопросу:
В свете того, что я могу (вероятно) отключить ваше видеонаблюдение, полностью и мгновенно, не выдавая подсказки, используя оборудование за 20 долларов. Считаете ли вы, что можно оправдать высказывание «Мера безопасности X важнее, чем эта». ? С другой стороны, видя, как я могу снять все деньги с вашего банковского счета, как вы думаете, можно оправдаться, сказав: «Это важнее, чем Y». ? Я не думаю, что можно сказать одно или другое. Они оба одинаково важны в разных ситуациях.
Как вы думаете, оправданно ли называть это «театром безопасности»? Я так не думаю. Одна мера бесполезна без другой, преступники (или «плохие люди» в целом) будут просто использовать любую возможность, которую им дают.
Только уделение внимания каждому компоненту даст вам разумный уровень защиты, поскольку вероятность того, что они найдут открытую возможность, значительно ниже.

И да, конечно, даже если вы обращаете внимание, вы не на 100% в безопасности, даже если вы никогда не делали ничего плохого в своей жизни. Потому что, эй, вы можете встроить в свой роутер бэкдор, даже не подозревая.


[1]

Обратите внимание, что «VPN» немного неоднозначен, поскольку существует множество провайдеров VPN, которые продают … э-э, я не уверен, что они продают

именно так

, На самом деле то, что они называют «VPN», действительно больше похоже на прокси. Но, видимо, вы можете найти людей, которые заплатят вам за это.

[2] На самом деле мне все равно, видят ли кто-то, что я набираю в Google (это настоящая проблема, а не случайный хакер!), И меня не волнует, может ли кто-то увидеть какой конкретный URL на сервере, который я посетил. или какие фотографии я смотрел. Никто не хочет знать все равно, никому нет дела, и мне все равно, если они делают. Взвешивая это в сравнении с дополнительным энергопотреблением и дополнительной задержкой, а также огромными трудностями с настройкой прозрачного веб-прокси (что было совершенно легким делом 10 лет назад!), Это одна вещь, которую я действительно считаю «театром безопасности», который будет полностью за борт. Но, увы, это только мое мнение, и я думаю, это цена, которую вы просто должны заплатить.

Понравилась статья? Поделиться с друзьями:
JavaScript & TypeScript
Adblock
detector