Určitě jste už zaslechli, že veřejné Wi-Fi sítě představují určité nebezpečí. Rady, jak se jim vyhnout, jsou téměř stejně běžné jako samotné veřejné Wi-Fi. Některé z těchto doporučení jsou však již překonané a veřejné Wi-Fi sítě jsou dnes bezpečnější než v minulosti. Nicméně, stále existují určitá rizika, která je dobré mít na paměti.
Je veřejná Wi-Fi bezpečná, nebo ne?
Odpověď na tuto otázku není jednoznačná. Je pravda, že surfování na internetu prostřednictvím veřejné Wi-Fi je dnes mnohem bezpečnější a soukromější díky rozšířenému používání protokolu HTTPS. Ostatní uživatelé ve stejné veřejné síti nemohou tak snadno sledovat veškerou vaši aktivitu. Útoky typu „man-in-the-middle“ nejsou již tak jednoduché, jak tomu bylo dříve.
Organizace EFF nedávno obhajovala bezpečnost veřejných Wi-Fi sítí a konstatovala, že „V životě je spousta věcí, o které je třeba se starat. Ve svém seznamu můžete klidně vyškrtnout ‚veřejnou Wi-Fi‘.“
Zdá se to být rozumné. Bylo by skvělé, kdyby veřejné Wi-Fi sítě byly naprosto bezpečné! I my sami jsme v minulosti veřejné Wi-Fi sítě bez obav využívali a dnes se nad tím už tolik netrápíme.
Nicméně, nemůžeme s jistotou tvrdit, že veřejné Wi-Fi je zcela bezpečné. David Lindner ze společnosti Contrast Security se vyjádřil opačně k argumentům EFF a poukázal na nebezpečí spojená se škodlivými hotspoty. I v komunitě Hacker News se objevila řada názorů na rizika veřejných Wi-Fi sítí. Pokusíme se vám tato rizika přiblížit v následujícím textu.
Závěr je následující: Náhodní uživatelé už nemohou tak jednoduše sledovat vaše aktivity na veřejné Wi-Fi. Nicméně, škodlivý hotspot může napáchat značné škody. Proto je vždy bezpečnější používat VPN v rámci veřejné Wi-Fi sítě, případně využívat mobilní data namísto veřejné sítě.
Proč je veřejná Wi-Fi bezpečnější než dříve?
Široké rozšíření šifrování HTTPS na webu vyřešilo zásadní bezpečnostní problém spojený s veřejnými Wi-Fi sítěmi. Předtím, než se HTTPS stalo běžným, většina webových stránek používala nešifrovaný protokol HTTP. Pokud jste na veřejné Wi-Fi síti přistupovali na standardní webovou stránku přes HTTP, ostatní uživatelé v síti mohli sledovat veškerý váš provoz, prohlížet si přesně ty webové stránky, které jste si prohlíželi, a zachytávat veškeré odeslané zprávy a další data.
Ještě horší bylo, že samotný veřejný Wi-Fi hotspot mohl provést útok „man-in-the-middle“ a modifikovat webové stránky, které vám byly odeslány. Hotspot mohl změnit jakoukoli webovou stránku nebo jiný obsah přenášený přes HTTP. Pokud jste si stahovali software přes HTTP, škodlivý veřejný Wi-Fi hotspot vám mohl místo toho nabídnout malware.
Dnes je však HTTPS široce rozšířené a webové prohlížeče označují tradiční HTTP stránky jako „nezabezpečené“. Pokud se připojíte k veřejné Wi-Fi a přistupujete k webovým stránkám přes HTTPS, ostatní uživatelé v síti uvidí pouze název domény webu, ke kterému jste připojeni (například wdzwdz.com), ale nic víc. Nemohou vidět konkrétní webovou stránku, kterou si prohlížíte, a rozhodně nemohou manipulovat s daty přenášenými přes HTTPS.
Množství dat, které mohou být sledovány, se výrazně snížilo, a i pro škodlivou síť Wi-Fi je dnes obtížnější manipulovat s vaším provozem.
I tak je sledování stále možné
I když je nyní veřejná Wi-Fi mnohem soukromější, stále není zcela bezpečná. Například, při prohlížení internetu můžete narazit na webové stránky, které stále používají HTTP. Škodlivý hotspot by mohl manipulovat s takovou stránkou, než se vám zobrazí, a ostatní uživatelé ve veřejné síti by tak mohli sledovat vaši komunikaci s tímto webem – které stránky si prohlížíte, konkrétní obsah stránek, a veškeré odeslané zprávy nebo jiná data.
I při používání HTTPS existuje určitý potenciál pro sledování. Šifrované DNS zatím není standardem, takže ostatní zařízení v síti mohou sledovat DNS požadavky vašeho zařízení. Když se připojujete k webové stránce, vaše zařízení kontaktuje svůj nakonfigurovaný DNS server přes síť, aby zjistilo IP adresu spojenou s danou webovou stránkou. Jinými slovy, pokud jste připojeni k veřejné Wi-Fi, někdo jiný v okolí může sledovat, jaké webové stránky navštěvujete.
Sledovatel však nemůže vidět konkrétní webové stránky, které jste načetli na webu používajícím HTTPS. Například by věděli, že jste byli připojeni k webu wdzwdz.com, ale ne jaký konkrétní článek čtete. Mohli by také zjistit další informace, jako je celkové množství přenesených dat, nikoli však jejich obsah.
Stále existují bezpečnostní rizika na veřejných Wi-Fi sítích
S veřejnými Wi-Fi sítěmi jsou spojena i další potenciální bezpečnostní rizika.
Škodlivý Wi-Fi hotspot vás může přesměrovat na nebezpečné webové stránky. Pokud se připojíte k takovému hotspotu a zkusíte se přihlásit na bankofamerica.com, můžete být přesměrováni na podvodnou stránku, která se vydává za vaši banku. Hotspot může provést útok „man-in-the-middle“, načíst skutečnou stránku bankofamerica.com a předložit vám její kopii přes HTTP. Když se přihlásíte, odesíláte své přihlašovací údaje škodlivému hotspotu, který je může zachytit.
Tato podvodná stránka by nebyla zabezpečena pomocí HTTPS, ale všimli byste si, že v adresním řádku prohlížeče se zobrazuje HTTP? Technologie jako HTTP Strict Transport Security (HSTS) umožňují webům říct prohlížečům, že se mají připojovat výhradně přes HTTPS a nikdy ne přes HTTP, ale ne všechny webové stránky tuto technologii využívají.
Problémem mohou být i samotné aplikace – kontrolují správně všechny aplikace na vašem smartphonu certifikáty? Je každá aplikace v počítači nastavena tak, aby posílala data přes HTTPS na pozadí, nebo některé aplikace automaticky používají HTTP? Teoreticky by aplikace měly správně ověřovat certifikáty a vyhnout se HTTP ve prospěch HTTPS. V praxi je těžké zajistit, že se všechny aplikace chovají správně.
Problémem mohou být i další zařízení v síti. Pokud například používáte počítač nebo jiné zařízení s nezáplatovanými bezpečnostními mezerami, vaše zařízení může být napadeno jinými zařízeními v síti. Proto jsou počítače se systémem Windows vybaveny firewallem, který je standardně aktivní, a proto je tento firewall více omezující, pokud systému Windows řeknete, že jste připojeni k veřejné Wi-Fi síti, a nikoli k soukromé. Pokud vašemu počítači sdělíte, že jste připojeni k soukromé síti, vaše síťové sdílené složky mohou být zpřístupněny ostatním uživatelům ve veřejné síti Wi-Fi.
Jak se přesto chránit?
Ačkoli je veřejná Wi-Fi bezpečnější a soukromější než v minulosti, bezpečnostní situace je stále komplikovanější, než bychom si přáli.
Pro maximální ochranu na veřejných Wi-Fi sítích stále doporučujeme používat VPN (virtuální privátní síť). Při používání VPN se připojujete k jednomu VPN serveru a veškerý provoz vašeho systému je směrován šifrovaným tunelem k tomuto serveru. Veřejná Wi-Fi síť, ke které jste připojeni, vidí pouze jediné spojení – vaše spojení k VPN. Nikdo tak nemůže zjistit, jaké webové stránky navštěvujete.
To je hlavní důvod, proč firmy používají VPN. Pokud vám vaše organizace VPN nabízí, měli byste vážně zvážit, zda se k ní nepřipojovat, když jste připojeni k veřejné Wi-Fi. Pokud však používáte sítě, kterým zcela nedůvěřujete, můžete si zakoupit VPN službu a přesměrovat přes ni svůj provoz.
Můžete se také veřejným Wi-Fi sítím úplně vyhnout. Pokud máte například mobilní datový tarif s funkcí bezdrátového hotspotu a stabilním mobilním připojením, můžete k hotspotu telefonu připojit svůj notebook a vyhnout se tak potenciálním problémům spojeným s veřejnými Wi-Fi sítěmi.