Pravděpodobně jste slyšeli, že veřejná Wi-Fi je nebezpečná. Rady, jak se tomu vyhnout, jsou téměř stejně rozšířené jako samotné veřejné Wi-Fi. Některé z těchto rad jsou zastaralé a veřejná Wi-Fi je bezpečnější, než bývala. Ale stále existují rizika.
Table of Contents
Je veřejná Wi-Fi bezpečná nebo ne?
To je složité téma. Je pravda, že procházení internetu na veřejné Wi-Fi je mnohem bezpečnější a soukromější, než bývalo díky rozšířenému přijetí HTTPS na webu. Ostatní lidé ve veřejné síti Wi-Fi nemohou jen tak šmírovat všechno, co děláte. Útoky typu Man-in-the-middle nejsou tak triviálně snadné, jak bývaly.
EFF nedávno se postavil na stranu bezpečnosti veřejné Wi-Fi a napsal, že „V životě je spousta věcí, o které je třeba se starat. Ve svém seznamu můžete odškrtnout „veřejnou Wi-Fi“.
To zní jako rozumná rada. A bylo by skvělé, kdyby veřejná Wi-Fi byla zcela bezpečná! Sami jsme veřejné Wi-Fi určitě používali a netrápíme se tím tolik jako dříve.
Ale pokud se nás ptáte, zda je Wi-Fi zcela bezpečné, nemůžeme to říci. David Lindner v Zabezpečení kontrastu napsal kontrapunkt k argumentu EFF a poukázal na rizika škodlivých hotspotů. Komunita v Hackerské zprávy měl také docela dost myšlenek na nebezpečí veřejné Wi-Fi. Níže jsme se pokusili vysvětlit rizika.
Tady je závěr: Náhodní lidé už nebudou slídit vaše aktivity na veřejné Wi-Fi. Ale bylo by možné, aby škodlivý hotspot udělal spoustu špatných věcí. Bezpečnější je používat VPN ve veřejné síti Wi-Fi nebo se vyhýbat veřejné síti Wi-Fi ve prospěch vaší mobilní datové sítě.
Proč je veřejná Wi-Fi bezpečnější než kdy jindy
Rozšířené šifrování HTTPS na webu vyřešilo hlavní bezpečnostní problém s veřejnou Wi-Fi. Než se HTTPS rozšířilo, většina webů používala nešifrovaný HTTP. Když jste přistupovali na standardní webovou stránku přes HTTP na veřejné Wi-Fi, ostatní lidé v síti mohli sledovat váš provoz, prohlížet si přesně tu webovou stránku, kterou jste si prohlíželi, a sledovat všechny odeslané zprávy a další data.
Ještě horší je, že samotný veřejný hotspot Wi-Fi by mohl provést útok „muž uprostřed“ a upravit webové stránky, které vám byly zaslány. Hotspot může změnit jakoukoli webovou stránku nebo jiný obsah, ke kterému se přistupuje přes HTTP. Pokud jste si stáhli software přes HTTP, škodlivý veřejný hotspot Wi-Fi vám může místo toho poskytnout malware.
Nyní se HTTPS rozšířilo a webové prohlížeče označují tradiční stránky HTTP za „nezabezpečené“. Pokud se připojíte k veřejné síti Wi-Fi a přistupujete k webovým stránkám přes HTTPS, ostatní lidé ve veřejné síti Wi-Fi uvidí název domény webu, ke kterému jste připojeni (například wdzwdz.com), ale to je vše . Nemohou vidět konkrétní webovou stránku, kterou si prohlížíte, a rozhodně nemohou na webu HTTPS při přenosu nic manipulovat.
Množství dat, která mohou lidé sledovat, se výrazně snížilo a dokonce i pro zákeřnou síť Wi-Fi by bylo těžší manipulovat s vaším provozem.
Nějaké šmírování je stále možné
I když je nyní veřejná Wi-Fi mnohem soukromější, stále není zcela soukromá. Pokud například procházíte web, můžete nakonec skončit na webu HTTP. Škodlivý hotspot mohl zmanipulovat tuto webovou stránku tak, jak vám byla odeslána, a ostatní lidé ve veřejné síti Wi-Fi by mohli sledovat vaši komunikaci s tímto webem – kterou webovou stránku si na něm prohlížíte, přesný obsah webové stránky, na kterou se díváte, a jakékoli zprávy nebo jiná data, která nahrajete.
I při použití HTTPS je zde stále trochu šmírovacího potenciálu. Šifrované DNS zatím není rozšířené, takže ostatní zařízení v síti mohou vidět požadavky DNS vašeho zařízení. Když se připojíte k webu, vaše zařízení kontaktuje svůj nakonfigurovaný server DNS přes síť a najde IP adresu připojenou k webu. Jinými slovy, pokud jste připojeni k veřejné Wi-Fi síti a prohlížíte web, někdo jiný v okolí může sledovat, jaké webové stránky navštěvujete.
Snooper by však nemohl vidět konkrétní webové stránky, které jste načítali na tomto webu HTTPS. Například by věděli, že jste byli připojeni k wdzwdz.com, ale nevěděli, který článek čtete. Mohli by také vidět některé další informace, jako je množství přenášených dat tam a zpět – ale ne obsah dat.
Na veřejných Wi-Fi stále existují bezpečnostní rizika
S veřejnými Wi-Fi jsou spojena i další potenciální bezpečnostní rizika.
Škodlivý hotspot Wi-Fi vás může přesměrovat na škodlivé weby. Pokud se připojíte ke škodlivému Wi-Fi hotspotu a pokusíte se připojit k bankofamerica.com, může vás přesměrovat na adresu phishingového webu, který se vydává za vaši skutečnou banku. Hotspot by mohl provést „útok muže uprostřed“, načíst skutečný bankofamerica.com a předložit vám jeho kopii přes HTTP. Když se přihlásíte, odešlete své přihlašovací údaje škodlivému hotspotu, který je může zachytit.
Ten phishingový web by nebyl HTTPS web, ale opravdu byste si všimli HTTP v adresním řádku vašeho prohlížeče? Techniky jako HTTP Strict Transport Security (HSTS) umožňují webům říkat webovým prohlížečům, že by se měly připojovat pouze přes HTTPS a nikdy nepoužívat HTTP, ale ne každý web toho využívá.
Problémem mohou být obecně také aplikace – ověřují všechny aplikace ve vašem smartphonu správně certifikáty? Je každá aplikace ve vašem počítači nakonfigurována pro přenos dat přes HTTPS na pozadí, nebo některé aplikace místo toho automaticky používají HTTP? Teoreticky by aplikace měly správně ověřovat certifikáty a vyhýbat se HTTP ve prospěch HTTPS. V praxi by bylo těžké potvrdit, že se každá aplikace chová správně.
Problémem mohou být i jiná zařízení v síti. Pokud například používáte počítač nebo jiné zařízení s neopravenými bezpečnostními otvory, může být vaše zařízení napadeno jinými zařízeními v síti. To je důvod, proč jsou počítače se systémem Windows dodávány s bránou firewall, která je ve výchozím nastavení povolena, a proto je tato brána více omezující, když říkáte systému Windows, že jste připojeni k veřejné síti Wi-Fi namísto soukromé sítě Wi-Fi. Pokud počítači sdělíte, že jste připojeni k privátní síti, vaše síťové sdílené složky mohou být zpřístupněny ostatním počítačům na veřejné Wi-Fi.
Jak se přesto chránit
I když je veřejná Wi-Fi bezpečnější a soukromější než bývala, bezpečnostní obrázek je stále chaotický, než bychom chtěli.
Pro maximální ochranu na veřejných Wi-Fi sítích stále doporučujeme VPN. Když používáte VPN, připojujete se k jedinému serveru VPN a veškerý provoz vašeho systému je směrován šifrovaným tunelem na server. Veřejná síť Wi-Fi, ke které se připojujete, vidí jediné připojení – vaše připojení VPN. Nikdo ani nevidí, ke kterým webům se připojujete.
To je velký důvod, proč firmy používají VPN (virtuální privátní sítě). Pokud vám vaše organizace jednu zpřístupní, měli byste vážně uvažovat o připojení k ní, když jste na veřejných Wi-Fi sítích. Pokud však používáte sítě, kterým zcela nedůvěřujete, můžete si zaplatit za službu VPN a přesměrovat sem svůj provoz.
Můžete také zcela přeskočit veřejné sítě Wi-Fi. Pokud například máte mobilní datový tarif s funkcemi bezdrátového hotspotu (tethering) a solidním mobilním připojením, můžete svůj notebook připojit k hotspotu telefonu na veřejnosti a vyhnout se potenciálním problémům spojeným s veřejnou Wi-Fi.