« A neonomád fegyvertára: elosztó
Gloria Jean’s Mammut [update] »

Biztonságos wifizés alapfokon

FRISSÍTÉS: apró korrigálások a kommentek alapján. Részletek a boltokban cikkben

Hónod alatt a notiddal betérsz a csárdába, kávét, teát, sört, macifröccsöt szürcsölve [nemkívánt rész törlendő] bóklászol a nyitott wifin keresztül az interneten. Mindeközben fekete kalapos úriemberek a helyiség másik sarkában a személyi számodat mentik le a gépedről, a frissen warezolt filmjeiddel együtt. Nem is olyan valószerűtlen helyzet, meglepően sokan hagyják nyitva megosztásokat a gépükön. Tegnapi (szigorúan fehér kalapos) gyorstesztünk során beleolvastunk egy szakdolgozatba, a srác levelezését a TO-val, egy másik gép merevlemezére még írni is tudtunk. Mindeközben egy harmadik gép zenéit hallgattuk.

Az persze igaz, hogy ha valakinek fizikai hozzáférése van a gépedhez, az már nem a tiéd többé, de fel se kell állnod a géptől, hogy elvigyék róla az értékes holmikat.

A hajtás után pár ökölszabály, hogy mikre érdemes odafigyelni, hogy elkerülhesd, hogy a kíváncsiskodók (neadj' adattolvajok) a holmiid között turkáljanak.

csak olvasható, de így is sokmindent megtudtunk

  • Ez talán a legegyértelműbb: kapcsold ki a fájlmegosztást. Pár kattintás az egész, ezzel a legnagyobb támadási felületet be is zártuk. Ha meg kell osszál fájlokat, bármennyire is kényelmes, semmiképpen ne az egész merevlemezt osszad meg. Írási jogot vendégfelhasználónak pedig semmilyen körülmények között ne adj. Tegnap ilyet is találtunk. Teljes vinyó megosztva, írási joggal

  • Ha nem használsz egy funkciót, a legjobb, ha kikapcsolod. iTunes zenemegosztás kikapcs, nyomtatómegosztás pláne. Akik egzotikusabb megosztásokat használnak a gépükön (SSH, Telnet, esetleg egy webszerver), gondolom maguktól kikapcsolják, ha nem használják. Ha nincs szükséged a Bluetooth-ra, kapcsold ki (ezzel is tovább tart az akkud), de legalábbis kapcsold ki a felfedezhetőségét (Discoverable). Ugyanígy a mobiloddal, így ráadásul a mostanában terjedő Bluetooth-os spamet is elkerülöd. Ennyivel is jobban biztosított a gépünk.

  • Használj tűzfalat és ellenőrizd, mit engedsz ki és be. Ha már itt tartunk, milyen tűzfalat ajánlotok Windows alá, ami nem eszi meg az egész rendszert? Darthwalk, az ország egyetlen Vista-szerető felhasználója a következővel egészítené ki a történetet: "a Vista alapból 3 wifi profillal rendelkezik: Otthoni, Munkahelyi, Nyilvános. Az Otthoni esetében a géped felderíthető, mások látják legalább a nyilvános - vagy ha van megosztott - mappádat, Munkahelyi esetében is felderíthető, de nem látják a mappákat és Nyilvános esetében pedig lekapcsol mindent, behúzza fülét farkát és csak a tüskéi látszanak kifelé." Úgy érzem, ezért a megoldásért jár a csoki Redmondba.

  • Körülbelül ugyanez a kategória, hogy tartsd frissen a rendszeredet, a biztonsági toldozások legyenek naprakészek.

  • Ez az egyik kedvenc témám: a WiFi felépítéséből adódik, hogy — még ha a felkapcsolódáshoz jelszó is kell, utána — az adatforgalom bárki számára látható. Magyarul egy nem túl bonyolult programot használva az összes felhasználó megnézett oldalait, képeit, vagy a szervernek küldött felhasználóneveket és jelszavakat megnézheti, ahogy a mellékelt ábra is bizonyítja.

Neonomád éppen a tevéjét eteti

Ezt a képet a Driftnet elnevezésű nyílt forráskódú UNIX-os appal készítettem, igaz, nem a Szimplában (nem fordult le időben a program), hanem az ELTE IK/TáTK HÖK előtti nyílt hotspotnál. A program az adatforgalomból kiszűri a képeket, azokat pedig egymás mellé dobálja. Látványos, szórakoztató, tanulságos — csak az esetek többségében szembejönnek olyan képek, amiket aztán sokáig nem tudsz kimosni az emlékeidből. Arról persze nem is beszélve, hogy a könyékig vájkálsz más privátnak hitt terében. Ugyanígy minden más forgalom is begyűjthető, a legjobb biztonságtechnikai program ilyen téren a Wireshark

  • Persze ez csak a titkosítatlan adatforgalomra vonatkozik. Mihelyst sárga címsoros és kislakatos oldalra érkezel, a csárda többi vendégével szemben pluszminusz védve vagy. Ugyanígy érdemes a levelezést, ftp-zést titkosított kapcsolaton lebonyolítani. Nézz utána, hogy az e-mail szolgáltatód támogatja-e az SSL-en keresztüli kapcsolódást, vagy webmaillel a https-t (GMail, ilyenek viszik). GMailen alapból csak a bejelentkezés titkosított, az adatforgalom maga nem. Csak ha a https://gmail.com címet írod be.

  • Ha bár neonomád vagy, de azért van egy anyahajó, aminek van VPN-je, csatornázd át rajta a forgalmadat. B-terv, hogy az otthoni routeredig ásol egy SSH-alagutat, és azon keresztül netezel, de ez egy másik mese.

  • Ha vagy annyira paranoiás, hogy vállalod a betárcsázósra emlékeztető sebességeket, üzemelj be egy TOR-t. Az anonimitásra és biztonságra alakított hálózatban a véletlenszerűen kiválasztott végpontokon keresztül titkosítva közlekednek az adataid, így gyakorlatilag senki se tudja, hogy hol vagy és mit csinálsz. A csárda többi vendége pláne nem. Dawe és Mrbond kommentje szerint a TOR csak anonimitást nyújt, titkosítást nem. Lehet man-in-the-middle támadásokat játszani, igaz, csak akkor ha exit point vagy (ha jól értem). Bonyolultabb a szituáció, mint gondoltam :)

Kezdésnek mondjuk ennyi elég is. Semmiképpen nem nevezném átfogó biztonságtechnikai tutorialnak, de arra elég, hogy legközelebb amikor szétnézünk a hálón, ne kelljen személyesen megkeressünk, hogy elmeséljük, miért problémás megosztani az iskolai papírjaidat személyiszámostúl-bőröstül mindenkivel.

De mondjátok, mit hagyunk ki? Kommentekbe várjuk, hogy ti hogyan védekeztek az adattolvajokkal szemben!

This entry was posted on péntek, november 23rd, 2007 at 23:47 and is filed under Tipp. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

10 Responses to “Biztonságos wifizés alapfokon”

  1. cikoria Says:
    november 23rd, 2007 at 23:59

    Hmm, szóval akkor a csütörtök esti (kb. f7) házidolgozat-gépelésemben ti szakítottatok meg egy desktop-átvételi kísérlettel a szimplában?
    Hirtelen annyira beparáztam (és annyira kellett péntekre a beadandó), hogy menten felraktam egy tűzfalat (apt-get install firestarter).

    De most akkor őszintén, egy matra nevű unixos gépre is bemásztatok, vagy tegyek lépéseket egy komolyabb védelem érdekében? Egyébként normális Budapesten, hogy ránéznek a wifi-hálókon a felcsatlakozók gépeire, vagy csak az ördög sosem alszik?

  2. kelt Says:
    november 24th, 2007 at 1:31

    A fent levő screenshot az OS X fájlmenedzseréből származik, így listázza a hálózaton magukat hirdető gépeket, és az elérhető megosztott mappákat. Kíváncsiságból bekukkantottunk két gépre, az egyik srácot meg is találtuk az emeleten, ő azóta nem osztja meg az életművét a neten.

    Hogy válaszoljak is, a vnc connect mi lehettünk - sűrű elnézések az ijedségért -, matra nevű gépet nem is láttam a hálón. És szerintem normális. Inkább én szóljak, hogy figyelj ez így nagyon nem jó, mint hogy a személyi száma, lakcíme, stb szerződésekre kerüljön fel a tudta nélkül.

    Amúgy miből írtál házidolgozatot?

  3. cikoria Says:
    november 24th, 2007 at 9:10

    A magántisztviselők társadalomtörténetéről a két világháború között.
    Azért köszi a figyelmeztetést, bevallom nem is gondoltam volna, hogy nyilvános helyen wifizve ennyi veszélynek teszi ki magát az ember. Lassan utánajárok, hogy milyen védelem/akkukapacitás/erőforráslekötés keresztmetszetet vagyok hajlandó elviselni, és ennek megfelelő védelem lesz is a gépen.

  4. mbond Says:
    november 24th, 2007 at 11:28

    khmm… a tor nem biztonsagos. gyak a mashhalon beluli forgalom az igen, de a gatewayek latnak mindent titkositatlanul, sot a titkositott csatornakba is bele lehet nyulni egy kicsi akarattal. kivalo telep man in the middle attack-ra. bovebben:
    http://www.f-secure.com/weblog/archives/00001321.html

    a gmailnal meg ha jol emlekszem akkor csak a signin van ssl. az adatforgalom nem. es ha emlekeim nemcsalnak, akkor nem is lehet erre ravenni. mondjuk lehet, hogy ebben tévedek. ha igen akkor szoljatok pls.

  5. dani Says:
    november 24th, 2007 at 11:29

    szép, szép, de némi howto-t is elviselnék… ;)

  6. bodr Says:
    november 24th, 2007 at 11:44

    Számomra nagyon vonzó ez a neonomád életforma, még ha nem is tudtam tegnap estig, hogy így hívják. Ellenben én konkrétan azért nem képviselem, mert parázok netezni bárhol, ha többet akarok tenni egy szimpla anonim hírolvasásnál vagy menetrend-lekérdezésnél. Egyedül akkor érezném magam biztonságban, ha valami otthon tartott gépen keresztül neteznék, ehhez viszont nem értek. Pedig biztosan jó tenne a környezetváltozás és az irl társadalmi élet.

    Amúgy tetszik a blog ötlete és eddigi termései, de danival egyetértek abban, hogy lehetne több magyarázat a puszta említések helyett. Szerintem nem mindenki extrém geek, aki neonomád vagy neonomád élet után ácsingózik. (Igen, ezt magamból kiindulva írtam.)

  7. dawe Says:
    november 24th, 2007 at 12:12

    A TOR csak anonimitást ad, de biztonságot NEM.
    Gmail alatt viszont az egész adatforgalom mehet biztonságos kapcsolaton keresztül, csak az oldalt a https://gmail.com címen kell betölteni.

  8. mbond Says:
    november 24th, 2007 at 12:23

    thx a gmailes tippert

  9. Caracalla Says:
    november 25th, 2007 at 17:24

    Hali.

    Kis adalék a TOR-témához:
    http://arstechnica.com/news.ars/post/20070830-security-researcher-stumbles-across-embassy-e-mail-log-ins.html
    http://arstechnica.com/news.ars/post/20070910-security-expert-used-tor-to-collect-government-e-mail-passwords.html

    A TOR egyébként eléggé hasznos a korporét forgalomszűrés kijátszására.

  10. norti Says:
    december 2nd, 2007 at 13:31

    Tűzfal: ESET Smart Security vagy Agnitum Outpost. Ha nem megy ezerrel a p2p, egyik se eszi meg a gépet. (Ha megy, akkor meg ne használj szoftveres tűzfalat, csakis hardverest vagy routert)

Leave a Reply