Ασφάλεια και δημόσια ασύρματα δίκτυα: Ποιοι οι κίνδυνοι και τι πρέπει να γνωρίζουμε για να προστατευτούμε

Συντάκτης: Δημοσίευση:

Παρά τα όσα έχουμε ακούσει κατά καιρούς για την ασφάλεια των ηλεκτρονικών συσκευών και των ασύρματων δικτύων, επιμένουμε να ζούμε σε μία ψευδαίσθηση πιστεύοντας ότι δεν κινδυνεύουμε άμεσα από κανέναν. Αυτό δε σημαίνει βέβαια ότι κάθε μέρα κάποιος προσπαθεί να "μπει" στην συσκευή μας, αλλά αν θέλει και είναι γνώστης του αντικειμένου, μπορεί να μας κάνει κακό ασχέτως πλατφόρμας ή λειτουργικού συστήματος.

Επειδή αυτά μας φαίνονται μακρινά και θεωρητικά, παρακάτω θα παρουσιάσω ένα πραγματικό παράδειγμα, για να γνωρίζουμε όλοι μερικούς από τους κινδύνους που ελλοχεύουν εκεί έξω και να καταλάβουμε πόσο εύκολο είναι για κάποιον να υποκλέψει τα προσωπικά μας δεδομένα και γενικότερα να μας κατασκοπεύσει, χωρίς να το ξέρουμε.

Ασύρματα δίκτυα & ίντερνετ
Ας ξεκινήσουμε με μια παραδοχή: Αν έχεις συσκευή που συνδέεται στο ίντερνετ, αυτομάτως είσαι ευάλωτος σε οποιαδήποτε επίθεση ή παρακολούθηση και αυτό οφείλεται στη σύνδεση και όχι στον τύπο της συσκευής που κρατάς στα χέρια σου. Για να καταλάβουμε, ας δούμε λιγάκι πώς λειτουργεί η σύνδεση στο ίντερνετ. Κάθε φορά που πληκτρολογούμε μία διεύθυνση στέλνουμε, μέσω του router, ένα "πακέτο" στο server με τις πληροφορίες που ζητάμε. Αυτός με τη σειρά του μας απαντάει με ένα δεύτερο "πακέτο" που περιέχει όλες τις πληροφορίες της σελίδας που ζητήσαμε (εικόνες, κείμενο κλπ.), οι οποίες συνθέτονται στον υπολογιστή μας και εμείς βλέπουμε το τελικό αποτέλεσμα στην οθόνη μας.

Το πρόβλημα λοιπόν σε αυτές τις συνδέσεις είναι οι μεσάζοντες, δηλαδή τα router. Αν κάποιος θελήσει να υποκλέψει τα δεδομένα μας, δε χρειάζεται να επιτεθεί στη συσκευή μας, αλλά να μάθει τον κωδικό του router. Μόλις καταφέρει να συνδεθεί σε αυτό μπορεί με ένα απλό πρόγραμμα "να μπει στη μέση" της επικοινωνίας μας και να υποκλέψει τα δεδομένα μας.



Ένα απλό παράδειγμα
Δείτε τώρα πόσο εύκολο είναι να κάνει κάποιος τα παραπάνω και να δει άμεσα ποιες σελίδες ανοίγουμε και όχι μόνο, χωρίς καν να χρησιμοποιεί υπολογιστή, αλλά μία απλή Android συσκευή.

Ας πούμε ότι εγώ είμαι ο θύτης και θέλω να κατασκοπεύσω όλους τους χρήστες ενός ασύρματου δικτύου. Το πρώτο πράγμα που θα πρέπει να κάνω είναι να συνδεθώ στο router. Αυτό γίνεται με τους εξής τρόπους αναλόγως την περίσταση:
  • Δημόσιο δίκτυο (π.χ. καφετέρια): Απλά ζητάω τον κωδικό από τον υπάλληλο.
  • Οικιακό/εταιρικό δίκτυο με default κωδικό: Χρησιμοποιώ μία από τις πολλές εφαρμογές εύρεσης κλειδιών για να μάθω τον κωδικό και να συνδεθώ.
  • Δίκτυο με custom κωδικό: Σε αυτή την περίπτωση δυσκολεύουν τα πράγματα αλλά με έναν υπολογιστή, τις κατάλληλες γνώσεις και πάρα πολύ χρόνο στη διάθεσή μου, αργά ή γρήγορα θα τα καταφέρω.

Αφού συνδέθηκα στο δίκτυο (αυτό ήταν το δύσκολο κομμάτι), τώρα θα πρέπει να μπω ανάμεσα στο router και τις υπόλοιπες συνδεδεμένες συσκευές για να λαμβάνω και εγώ τα δεδομένα τους. Αυτό γίνεται με τη μέθοδο του packet sniffing και δε χρειάζεται να έχω καθόλου γνώσεις πάνω σε αυτό, μιας και ένας "καλός Σαμαρείτης" έχει δημιουργήσει μία πολύ απλή εφαρμογή η οποία τα κάνει όλα αυτόματα! Δε θα αναφέρουμε το όνομά της καθώς η χρήση της είναι παράνομη και φυσικά δεν προτείνουμε σε κανέναν να τη χρησιμοποιήσει για οποιοδήποτε λόγο.

Η εφαρμογή θα σκανάρει το δίκτυο και θα μας εμφανίσει όλες τις συσκευές που είναι συνδεδεμένες σε αυτό (εικόνα αριστερά), για τις οποίες μπορούμε πλέον να επιλέξουμε αν και πότε επιτρέπουμε να μπουν στο ίντερνετ και να παρακολουθήσουμε μέσω των "πακέτων" που ανταλλάσσουν με το server, ποιες σελίδες επισκέπτονται οι χρήστες τους! Συγκεκριμένα μπορούμε να δούμε ότι το θύμα επισκέφτηκε το doctorandroid.gr και ύστερα έκανε κλικ σε μία εικόνα η οποία είναι ανεβασμένη στο server του blogger (εικόνα δεξιά). Πληκτρολογήστε το url στον browser σας να δείτε και εσείς, τι είδε το θύμα! Είναι πραγματικά δύο "tap" υπόθεση.


Μέσα στα "πακέτα" που ανταλλάσσει το θύμα με το server περιλαμβάνονται και οι κωδικοί των σελίδων στις οποίες συνδέεται, όπως για παράδειγμα το Facebook. Ευτυχώς η συγκεκριμένη εφαρμογή δεν παρέχει τέτοιου είδους υπηρεσίες, όμως μην αγχώνεστε, υπάρχουν και άλλες για αυτό το σκοπό. Μία από αυτές χρησιμοποιεί τη μέθοδο του ARP poisoning και αποθηκεύει τα δεδομένα του θύματος, με σκοπό ο χρήστης της εφαρμογής να τα αναλύσει αργότερα και να πάρει από μέσα τους κωδικούς του Facebook ή ακόμα χειρότερα κωδικούς τράπεζας, αν τύχει το θύμα να βρίσκεται στη σελίδα της.

Στο παρακάτω βίντεο φαίνεται ξεκάθαρα πόσο απλό είναι το ARP poisoning, μέσω μιας αυτοματοποιημένης Android εφαρμογής. Προσέξτε ότι ο χρήστης επισκέπτεται σελίδες (μέσω τερματικού αλλά δεν έχει σημασία), ενώ κάνει login και σε μία FTP υπηρεσία, η οποία θα μπορούσε να είναι το Facebook:


Πώς θα προστατευτούμε;
Μετά από αυτά που είδατε θα αναρωτιέστε αν και πώς μπορούμε να προστατευτούμε. Υπάρχουν διάφοροι τρόποι και οι σημαντικότεροι και πιο απλοί είναι οι εξής:
  • Αλλάξτε κωδικό στο router
Μη χρησιμοποιείτε στο οικιακό σας δίκτυο τον κωδικό που γράφει επάνω στο router και βάλτε κάποιον δικό σας. Χρησιμοποιήστε το πρωτόκολλο WPA2, το οποίο προς το παρόν θεωρείται αδιαπέραστο (στην πραγματικότητα δεν είναι, απλά χρειάζεται πάρα πολύς χρόνος για να σπάσει).

  • Χρησιμοποιήστε το WiFi Protect
Όταν βρίσκεστε σε δημόσια δίκτυα χρησιμοποιήστε το WiFi Protector κάθε φορά που συνδέστε. Η εφαρμογή θα αναλάβει αυτόματα να διατηρήσει έναν ασφαλή δεσμό με το router και δε θα επιτρέψει την παρεμβολή κανενός στη σύνδεσή μας.

  • Χρησιμοποιήστε το δίκτυο κινητής τηλεφωνίας
Η σύνδεση που παρέχει η εταιρία κινητής τηλεφωνίας είναι πιο ασφαλής από ένα κοινό ασύρματο δίκτυο. Αυτό γιατί δεν υπάρχει router στο οποίο να μπορεί να συνδεθεί ο θύτης, εκτός και αν διαθέτει τον κατάλληλο εξοπλισμό και χακάρει μία από τις κεραίες κινητής τηλεφωνίας, πράγμα δύσκολο.


Εν κατακλείδι
Ο σκοπός του άρθρου αυτού είναι απλά να επιστήσει την προσοχή και να δώσει μια ιδέα για τα εργαλεία που, ακόμα και στα χέρια ενός άσχετου, μπορούν να προκαλέσουν ζημιά. Ευτυχώς οι γνώστες είναι λίγοι και από τους γνώστες ακόμα λιγότεροι αυτοί που θέλουν να κάνουν κακό στον καθένα μας (αυτοί συνήθως στοχεύουν άλλα πράγματα, πιο προχωρημένα), οπότε δε χρειάζεται να πανικοβαλλόμαστε  Καλό είναι όμως να έχουμε πάντα στο μυαλό μας ότι υπάρχει και αυτή η περίπτωση και ότι δε χρειάζεται να γίνουμε εμείς το θύμα για να βάλουμε μυαλό.

Σχόλια

  1. Ανώνυμος08 Μαρτίου, 2013 19:03

    πως τη λένε την εφαρμογηηηηη; ψάχνω παντού και δεν μπορώ να τη βρω. Άμα γίνετε μπορείτε να στείλετε το όνομα της με κάποιο τρόπο; Ευχαριστώ πολύ! Επίσης χρειάζεται να γίνει root το κινητό για να δουλέψει;

    ΑπάντησηΔιαγραφή
  2. kostasEL13 Απριλίου, 2013 12:43

    file chrisphones ayta pou rwtas einai aporrita kai den mporw na sou apantisw dimosia giati mporei na "pesoun" sta xeria kathe asxetou kai na prokalesei polla provlimata stous ipolipous anipopsiastous...............XREIAZESAI ROOT GIA THS EFRMOGES GIATI DEN EINAI MONO MIA EFARMOGH....GIA PERISOTERA EAN THES STEILE MOU EMAIL GIA NA SE VOITHISW....

    ΑπάντησηΔιαγραφή

Δημοσίευση σχολίου

Πες την άποψή σου ή κάνε την ερώτησή σου ελεύθερα, ακολουθώντας όμως τους στοιχειώδεις κανόνες ευγένειας.

Δείτε επίσης...

Android | Γιατί δε θα αγόραζα ποτέ smartphone της OnePlus

Συντάκτης: Δημοσίευση: 17 σχόλια
Εικόνα
Η OnePlus είναι μία εταιρία που κατασκευάζει εξαιρετικά τηλέφωνα και μας το απέδειξε φέτος προσφέροντάς μας το καλύτερο μεσαίο Android smartphone ( OnePlus Nord ) και μία από τις κορυφαίες ναυαρχίδες (OnePlus 8 Pro) της χρονιάς. Σκεπτόμενος λοιπόν πόσος περισσότερος κόσμος θα αγοράσει φέτος τις συσκευές της, μου ήρθαν στο μυαλό όλα όσα έχουν βγει στο φως τα τελευταία χρόνια που αποδεικνύουν επίσης πόσο ανήθικη εταιρία είναι και πόσα ψέμματα μας έχει πει στο βωμό του κέρδους. 
Διαβάστε περισσότερα

Φεύγω από την Google (μέρος 15) | ''Ξηλώνουμε'' τα Google apps από το Android

Συντάκτης: Δημοσίευση: 19 σχόλια
Εικόνα
Στα άρθρα της σειράς "Φεύγω απ'την Google" έχουμε δει πώς μπορούμε να αντικαταστήσουμε τις βασικές υπηρεσίες της εταιρίας, με εναλλακτικές εφαρμογές που σέβονται το ιδιωτικό μας απόρρητο. Τώρα λοιπόν που έχουμε συνηθίσει τις νέες μας υπηρεσίες, είναι ευκαιρία να αφαιρέσουμε εντελώς την Google και από το Android smartphone μας. Πόσο εφικτό είναι όμως αυτό σε ένα λειτουργικό σύστημα το οποίο είναι "δεμένο" με τη συγκεκριμένη εταιρία;
Διαβάστε περισσότερα

Ιδιωτικό απόρρητο | Το αφελές επιχείρημα του ''Δεν έχω τίποτα να κρύψω''

Συντάκτης: Δημοσίευση: 10 σχόλια
Εικόνα
  Η πρόσφατη διαρροή προσωπικών δεδομένων από μισό δισεκατομμύριο λογαριασμούς του Facebook, στην οποία περιλαμβάνονται από το κινητό του Χαρδαλιά μέχρι του Mark Zuckerberg, είναι άλλη μία ευκαιρία για να πούμε πόσο σημαντικό είναι να μη συμπληρώνουμε όλα τα πεδία ή να δηλώνουμε ψεύτικα στοιχεία στα προφίλ μας. Τα προσωπικά δεδομένα είναι προσωπικά, όχι δημόσια αλλά πολύς κόσμος δυστυχώς δεν το καταλαβαίνει, προτάσσοντας το επιχείρημα του "Δεν έχω τίποτα να κρύψω".
Διαβάστε περισσότερα

Docker (μέρος 7) | Στήνουμε έναν reverse proxy για τα container μας με το Traefik

Συντάκτης: Δημοσίευση: 8 σχόλια
Εικόνα
Αν πάμε να στήσουμε σε έναν server όλες τις υπηρεσίες που έχουμε δει μέχρι στιγμής στα "Μαθήματα Docker" , θα ανακαλύψουμε ότι πρέπει να ανοίξουμε πολλές πόρτες στο router μας, αν θέλουμε να έχουμε πρόσβαση σε αυτές εκτός του τοπικού μας δικτύου. Αυτό από μόνο του είναι ένα τεράστιο πρόβλημα για την ασφάλεια του server μας, το οποίο πρέπει να αποφύγουμε και ένας εξαιρετικός τρόπος για να το κάνουμε αυτό είναι να στήσουμε έναν reverse proxy server. Σήμερα θα δούμε πώς γίνεται αυτό χρησιμοποιώντας το Traefik Proxy.
Διαβάστε περισσότερα

Μάθε παιδί μου Linux (μέρος 11) | Δίσκοι, κατατμήσεις και σύστημα αρχείων (filesystem)

Συντάκτης: Δημοσίευση: 4 σχόλια
Εικόνα
Ξεκινάμε το δεύτερο κύκλο μαθημάτων της σειράς "Μάθε παιδί μου Linux" , αυτόν που από Linux User θα σε κάνει Linux Admin! Σήμερα θα μιλήσουμε για το σύστημα αρχείων του Linux ή αλλιώς "filesystem" και θα δούμε τα είδη και τις ιδιαιτερότητές του. Θα δούμε επίσης πώς μπορούμε να διαχειριστούμε τα μέσα αποθήκευσης, όπως οι σκληροί δίσκοι και τα USB στικάκια, ενώ θα ρίξουμε και μια ματιά σε μερικά πολύ βασικά εργαλεία που τα αφορούν.
Διαβάστε περισσότερα

Ubuntu Touch 2020 review | Μια πραγματική mobile GNU/Linux διανομή έτοιμη για καθημερινή χρήση

Συντάκτης: Δημοσίευση: 5 σχόλια
Εικόνα
Είδαμε πρόσφατα την είδηση ότι το Ubuntu Touch, η έκδοση του Ubuntu για smartphone και tablet δηλαδή, προσφέρεται πλέον και σε GSI πακέτο εγκατάστασης . Αυτό σημαίνει ότι μπορεί πλέον να εγκατασταθεί σε όλες σχεδόν τις Android συσκευές που έχουν κυκλοφορήσει από το Android 8.1 και μετά, εξαλείφοντας στην ουσία το μεγάλο πρόβλημα της συγκεκριμένης διανομής, που ήταν συμβατή με απειροελάχιστες συσκευές. Επειδή λοιπόν είναι τρομερά ενδιαφέρον να έχουμε μία πραγματική GNU/Linux διανομή και στο κινητό μας, αποφασίσαμε να του ρίξουμε μία ματιά και να δούμε σε ποιο επίπεδο βρίσκεται η ανάπτυξή του το 2020.
Διαβάστε περισσότερα

Android | Περιόρισε την παρακολούθηση των εφαρμογών και κόψε τις διαφημίσεις με το TrackerControl

Συντάκτης: Δημοσίευση: 5 σχόλια
Εικόνα
Το πρόβλημα με πολλές εφαρμογές στο Android είναι ότι πέρα από τη βασική υπηρεσία που σου προσφέρουν, ενσωματώνουν και ένα σωρό άλλα πράγματα, τα οποία είτε δεν είναι χρήσιμα για εμάς, είτε βρίσκονται εκεί για να συλλέγουν τα προσωπικά μας δεδομένα. Μερικά από αυτά μπορούμε να τα αποφύγουμε, απορρίπτοντας τις άδειες που ζητάνε για μέρη της συσκευής μας (π.χ. πρόσβαση στην κάμερα, τις επαφές κ.ο.κ.), κάποια άλλα όμως λειτουργούν αυτόματα και ο μόνος τρόπος για να τα σταματήσουμε, είναι να κόψουμε την πρόσβαση στο ίντερνετ για τη συγκεκριμένη εφαρμογή.
Διαβάστε περισσότερα

Απόρρητο | ''Μπερδεύουμε'' τον αλγόριθμο Google και Facebook με ψεύτικες πληροφορίες

Συντάκτης: Δημοσίευση: 3 σχόλια
Εικόνα
Στις συζητήσεις περί προσωπικών δεδομένων πάντα θα υπάρχει κάποιος που θα σου πει ότι "το Facebook και η Google γνωρίζουν ήδη τα πάντα για σένα" και ότι είναι μάταιο να προσπαθήσεις να τους αποφύγεις. Αν υποθέσουμε ότι ισχύει κάτι τέτοιο (που δεν ισχύει), υπάρχει ένας τρόπος να πληρώσεις το Facebook και τη Google με το ίδιο νόμισμα. Θα το ονομάσουμε "Operation Saturation" ή αλλιώς "Επιχείρηση Κορεσμός" και στη θέση των διαγραμμένων δεδομένων μας θα ανεβάσουμε ένα σωρό ασυνάρτητες πληροφορίες!
Διαβάστε περισσότερα

Docker (μέρος 1) | Τι είναι και πώς το εγκαθιστούμε στον υπολογιστή μας;

Συντάκτης: Δημοσίευση: 4 σχόλια
Εικόνα
Ένα μεγάλο πρόβλημα που έχουν όσοι χρησιμοποιούν εικονικές μηχανές (VM), είναι ότι σε κάθε μία από αυτές πρέπει να φορτώνουν ένα ολόκληρο λειτουργικό σύστημα για να τρέξουν μία και μόνο εφαρμογή ή υπηρεσία. Το πρόβλημα δηλαδή με υπηρεσίες όπως το Virtualbox είναι ότι αν έχεις Windows PC και θέλεις να δοκιμάσεις μία Linux εφαρμογή, θα πρέπει να εγκαταστήσεις ολόκληρο το Linux και να του δώσεις μάλιστα συγκεκριμένους πόρους από τον επεξεργαστή, τη RAM και το δίσκο του υπολογιστή σου. Όλα αυτά όμως αποτελούν πλέον παρελθόν, καθώς με το Docker η όλη διαδικασία γίνεται ευκολότερα, ταχύτερα και κυρίως πιο οικονομικά από άποψη πόρων.
Διαβάστε περισσότερα

Android | Βάλε στην ''απομόνωση'' τις εφαρμογές που δεν εμπιστεύεσαι με το Shelter

Συντάκτης: Δημοσίευση: 2 σχόλια
Εικόνα
Σχεδόν κάθε μήνα ακούμε πλέον για νέα περιστατικά που αποδεικνύουν ότι οι μεγάλες εταιρίες όπως η Google, το Facebook, η Apple και η Microsoft δεν ενδιαφέρονται καθόλου να προστατεύσουν τα προσωπικά μας δεδομένα. Μία λύση είναι να μη χρησιμοποιούμε τις υπηρεσίες τους, αλλά υπάρχουν κάποιες εφαρμογές, όπως για παράδειγμα το Google Maps, που είναι πραγματικά αναντικατάστατες. Δεν μπορείς όμως να αφήνεις το Google Maps να τρέχει 24/7 στο κινητό σου τηλέφωνο, απλά επειδή το χρειάζεσαι μια φορά την εβδομάδα. Η μέση λύση λοιπόν είναι το Shelter, μία εφαρμογή που εγκαθιστά σε έναν ξεχωριστό χώρο όλες τις εφαρμογές στις οποίες δεν έχουμε εμπιστοσύνη και μας δίνει τη δυνατότητα να τις "παγώσουμε" όταν δεν τις χρειαζόμαστε. Ποιο είναι το πρόβλημα; Το πρόβλημα είναι ότι πολλές από τις εφαρμογές που χρησιμοποιούμε καθημερινά, έχουν σκοπό να αντλήσουν όσο περισσότερα προσωπικά δεδομένα μπορούν από εμάς, για να πωληθούν αργότερα σε διαφημιστικές (και όχι μόνο) εταιρίες. Οι επαφές, η τοπο
Διαβάστε περισσότερα