Kodėl kavinės „Wi-Fi“ yra pavojingesnis nei manėte: sugriautas neįveikiamo saugumo mitas

Dažnai kavinėse galima išvysti tą patį vaizdą: žmonės su nepajudinama ramybe atsidaro savo darbo kompiuterius, prisijungia prie vietinio „Wi-Fi“ ir pradeda siųsti konfidencialias įmonės ataskaitas. Daugeliui atrodo, kad jei IT skyrius privertė susikurti sudėtingą slaptažodį su didžiosiomis raidėmis ir šauktukais, o ryšys naudoja modernius standartus, mes sėdime neįveikiamame skaitmeniniame bunkeryje. Deja, naujausi tyrimai rodo, kad šis bunkeris yra pagamintas iš kartono.

„AirSnitch“ tyrimas: psichologinė terapija vietoje realios apsaugos

Kalifornijos universiteto Riversaide mokslininkai neseniai paskelbė ataskaitą šnipą primenančiu pavadinimu „AirSnitch“. Joje tyrėjai suprantamai paaiškino, kad visi išgirti šifravimo standartai, įskaitant neva „neįveikiamą“ korporacinį WPA3, yra labiau psichologinė terapija nei reali apsauga nuo įsilaužimų.

Pagrindinis šio tyrimo autorius, šiuo metu Silicio slėnyje dirbantis Xinyan Zhou, padarė gana griežtą išvadą. Pasak jo, didelės įmonės gyvena apgaulingo saugumo jausmo apsuptyje – jos perka brangiausią įrangą, reikalauja daugybės autorizacijos žingsnių, tačiau esminės bazinių technologijų spragos lieka plačiai atviros.

„Kliento izoliacijos“ iliuzija

Pagrindinė viešųjų tinklų problema slypi funkcijoje, vadinamoje „kliento izoliacija“. Idealiu atveju ji turėtų veikti kaip sienos tarp kabinų viešajame tualete – esate toje pačioje patalpoje kaip ir visi kiti, bet kiekvienas privačiai ir saugiai atlieka savo reikalus. Tinklo įrangos gamintojai šią funkciją įdiegė tam, kad vienas kavinės ar oro uosto tinklo vartotojas negalėtų šnipinėti kito.

Tačiau praktiškai paaiškėjo, kad vieningo standarto tiesiog nėra. Kiekvienas gamintojas šią izoliaciją programuoja taip, kaip jam atrodo tinkama, palikdamas daugybę saugumo skylių.

Tyrėjai išbandė daugybę maršrutizatorių – nuo paprastų namų priedėlių iki rimtų įmonių sistemų. Rezultatai šokiruoja: nerasta nė vieno įrenginio, kurio nebūtų galima nulaužti. Tai reiškia, kad kažkas, sėdintis prie gretimo kavinės staliuko ir geriantis espresą, gali lengvai įsiterpti tarp jūsų nešiojamojo kompiuterio ir interneto. Jums atrodys, kad siunčiate el. laišką savo viršininkui, bet iš tikrųjų duomenys keliaus per svetimą įrenginį, kuris viską įrašo ir netgi gali pakeisti informaciją.

Kaip veikia šie įsilaužimai?

Juokingiausia tai, kad sistemos apėjimas nereikalauja jokių Holivudo filmuose matomų triukų su žaliu kodu juodame ekrane. Viskas veikia kur kas banalesniais metodais.

Problema, kurios nepadės išspręsti atnaujinimai

Liūdniausia šios istorijos dalis yra ta, kad šios problemos negalima išspręsti paprastu programinės įrangos atnaujinimu. Tyrimo autoriai tiesiai šviesiai teigia, jog pažeidžiamumas slypi pačioje aparatinėje įrangoje (angl. hardware). Fizinė įranga tiesiog neatsilieka nuo tų, kurie bando ją nulaužti, evoliucijos.

Viešieji tinklai, pavyzdžiui, oro uostuose, apskritai tampa tiesioginiais vartais programišiams. X. Zhou teisingai pastebėjo, kad nemokamas belaidis internetas laukimo zonoje gali būti puikus tramplinas norint giliau prisijungti prie vidinio oro uosto tinklo. Žinoma, tyrėjai jau perspėjo didžiuosius gamintojus. Galbūt po kelerių metų, kai visi nusipirksime naujus maršrutizatorius ir pereisime prie hipotetinio WPA4 standarto, situacija šiek tiek pagerės. Tačiau kol kas lieka tik spoksoti į „Wi-Fi“ piktogramą ekrano kampe ir susitaikyti su mintimi, kad absoliutus privatumas viešumoje yra prabanga, kurios jau seniai netekome.