Eksperyment F-Secure pokazuje, że konsumenci zrobią wszystko za darmowe Wi-Fi

Z eksperymentu, który F-Secure przeprowadził wspólnie z Europolem, wynika, że konsumenci beztrosko narażają swoje dane osobiste i lekkomyślnie akceptują absurdalne warunki korzystania z sieci.

Najnowsze badanie F-Secure dotyczące sieci Wi-Fi zostało przeprowadzone na ulicach Londynu. Pokazuje ono, że konsumenci lekkomyślnie korzystają z otwartych hotspotów, nie myśląc o ochronie swojej prywatności. Eksperyment, w którym użyto podstawionej sieci Wi-Fi, pokazuje, że niczego niespodziewający się użytkownicy ujawniali swój ruch internetowy, dane osobiste, treść wysyłanych maili a nawet wyrażali zgodę na zapis w regulaminie, który obligował ich do wydania swojego pierworodnego dziecka w zamian za bezpłatny dostęp do sieci.

Niezależne badanie, wspierane przez Europol, było przeprowadzone w imieniu F-Secure przez angielski Cyber Security Research Institute oraz SySS, niemiecką firmę zajmującą się testami penetracyjnymi. W ramach projektu SySS zbudował przenośny router Wi-Fi z komponentów wartych ok 200 euro, który nie wymagał zaawansowanej znajomości zagadnień IT, aby go obsługiwać. Badacze ulokowali urządzenie w tych rejonach Londynu, w których mają miejsce ważne wydarzenia polityczne i ekonomiczne. Następnie obserwowali, jak ludzie łączą się z siecią, nieświadomi tego, że są szpiegowani.

W ciągu 30 minut do hotspota podłączyło się 250 urządzeń, większość z nich najpewniej automatycznie i bez świadomości użytkowników. 33 osoby aktywnie korzystało z Internetu, wyszukując witryny internetowe i wysyłając pliki oraz maile. Przechwycono (i błyskawicznie usunięto) 32 MB ruchu sieciowego. Co zaskoczyło badaczy to odkrycie konieczności szyfrowania połączeń z Wi-Fi, gdyż okazało się, że treść maili wysyłanych w sieci POP3 była możliwa do odczytania, tak samo jak adresy nadawcy i adresata a nawet hasło nadawcy.

Przez krótki czas badacze wyświetlali użytkownikom stronę z warunkami korzystania z sieci, która musiała być zaakceptowana, żeby móc korzystać z hotspota. Warunki zawierały w sobie niedorzeczny zapis, w którym użytkownik w zamian za dostęp do sieci zobowiązywał się do oddania pierworodnego dziecka lub ukochanego zwierzaka.  W sumie na warunki zgodziło się 6 osób zanim strona została wyłączona. Zapis ten w wyraźny sposób pokazuje, jak mało uwagi użytkownicy poświęcają tego typu dokumentom, które zazwyczaj są zbyt długie i napisane nieprzystępnym językiem.

Wszyscy uwielbiamy korzystać z darmowych sieci, aby zaoszczędzić pakiety danych albo uniknąć stawek za roaming – mówi Sean Sullivan, Doradca ds. Bezpieczeństwa w F-Secure, który brał udział w eksperymencie. Ale jak pokazuje nasze badanie, postawienie hotspotu jest stosunkowo proste, a nadanie mu wiarygodnej nazwy i szpiegowanie ruchu sieciowego użytkowników nie stanowi większego problemu. Dotyczy to również sieci udostępnianych przez zaufane źródła. Ponieważ nawet bez możliwości zarządzania siecią, cyberprzestępcy mogą użyć narzędzi służących do szpiegowania użytkowników.

Problem bezpieczeństwa sieci Wi-Fi jest bardzo istotny dla Europejskiego Centrum ds. Walki z Cyberprzestępczością (EC3) – mówi Troels Oerting, Szef Europejskiego Centrum ds. Walki z Cyberprzestępczością. Całym sercem wspieramy wszelkie działania, które mają na celu uświadamianie zagrożeń, które mogą spotkać konsumentów.

Rozwiązanie? Można trzymać się z daleka od publicznych Wi-Fi albo korzystać z odpowiednich zabezpieczeń, które sprawią, że połączenie będzie niewidoczne a dane niemożliwe do odczytania dzięki silnej szyfracji. Sprawi to, że nawet, gdy ktoś będzie inwigilował publiczną sieć, nie będzie miał dostępu do danych użytkownika. F-Secure ma w swojej ofercie stosowne rozwiązanie, narzędzie Freedome, które jednocześnie chroni połączenia z publicznymi sieciami Wi-Fi  a zarazem jest wirtualną prywatną siecią (VPN), która ustanawia bezpieczne łącze między urządzeniem końcowym a chmurą F-Secure. Dzięki temu dane użytkownika są bezpieczne niezależnie od tego, z jaką siecią się łączy.

Wielu dostawców otwartych punktów Wi-Fi w swoich warunkach korzystania z sieci mówi o możliwych zagrożeniach, płynących z nawiązania połączenia i sugeruje korzystanie z VPN – dodaje Sea Sullivan.

Aby zapoznać się ze wszystkimi szczegółami badania, pobierz raport Zagrożenia Publicznych Sieci W-Fi.

Wyjaśnienie:  Podczas trwania eksperymentu żaden użytkownik nie został zagrożony ani żadne dane nie zostały ujawnione w sposób, który mógłby zostać użyty w szkodliwych celach. Nie logowaliśmy się do żadnych serwisów z wykorzystanie danych pozyskanych w trakcie eksperymentu, a podczas jego trwania proces był nadzorowany przez prawnika, w celu uniknięcia ewentualnego łamania prawa.

 Informacja prasowa

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

5 odpowiedzi na „Eksperyment F-Secure pokazuje, że konsumenci zrobią wszystko za darmowe Wi-Fi”
  1. Awatar Mariusz
    Mariusz

    “Co zaskoczyło badaczy to odkrycie konieczności szyfrowania połączeń z Wi-Fi, gdyż okazało się, że treść maili wysyłanych w sieci POP3 była możliwa do odczytania, tak samo jak adresy nadawcy i adresata a nawet hasło nadawcy.”

    Czy chodzi o serwery POP3 nie wspierające SSL (to są jeszcze takie?), czy o jakiś inny problem tego protokołu?

    1. Awatar Emil Borzechowski
      Emil Borzechowski

      Prawdopodobnie przyłapali własnie kogoś, kto korzystał z nieszyfrowanego połączenia, choć nie piszą o tym bezpośrednio, a wspominają w raporcie (tym z odnośnika):

      “Z poczty e-mail wysłanej przez naszą sieć w Westminsterze przy użyciu protokołu POP3 można było odczytać nadawcę i odbiorcę, tekst wiadomości, a nawet hasło e-mail nadawcy, co dowodzi, że użytkownicy mobilni powinni używać szyfrowania.”

      O dziwo przechwycono maile nie jakiegoś szarego obywatela, a dyrektora dużej londyńskiej agencji wynajmu biur, który powinien zdawać sobie sprawę z niebezpieczeństw, jakie wiążą się z używaniem nieszyfrowanych połączeń. On, albo jego zaplecze informatyczne.

      1. Awatar Piotr Brzeziński
        Piotr Brzeziński

        Nie uwierzycie ale w Polsce, od Agencji Kredytowych po Kancelarie Prawne – używają pop3 bez szyfrowania :-). Mówię o niewielkich Agencjach i Biurach Prawnych…

  2. Awatar unnamed_player
    unnamed_player

    …po reklamie.

  3. Awatar A
    A

    W ciągu ostatnich kilku lat miałem okazję korzystać podczas rejsów z darmowych otwartych i zabezpieczonych wep/wpa hotspotow w Niemczech, Szwecji, Finlandii, Hispanii i w Londynie: znacząca większość z nich nie pozwalała nawiązać połączenia openvpn skonfigurowanego na protokole udp a mniej więcej połowa zabraniala openvpn po tcp. W niewielu przypadkach pomagało zestawienie tcp + niestandardowy port >20k. Jednak przeważnie hotspot przepuszczal tylko http(s) wycinajac wszystkie inne usługi łącznie z imap(s) :/

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *