Morda je bolje, da te novice ne berete na javnem omrežju. Heker v kavarni lahko v 5 minutah ugotovi, kje so bili vsi gostje rojeni, katere šole so obiskovali ter katere ključne besede iščejo prek iskalnika Google. To ni zgolj izjemen primer, temveč vsakodnevna realnost, ki razkriva nevarnosti javnega Wi-Fi in kako ranljivi smo, ko se brez zaščite povezujemo na odprta omrežja.
Ta članek temelji na etičnem hekerskem preizkusu z namenom ozaveščanja. Vse opisano je bilo izvedeno v nadzorovanem okolju in služi izključno izobraževalnim namenom. Avtor tega prikaza ni kriminalec, temveč strokovnjak, ki želi pokazati, kako enostavno je vdreti v podatke – da bi se temu lahko izognili. Prikazuje, kako ranljivi smo lahko v vsakdanjih situacijah, če se ne zavarujemo. Opisane metode niso namenjene posnemanju, temveč opozorilu, kako lahko že z osnovnimi znanji kdorkoli vdre v naše digitalno življenje – če se ne zaščitimo.
Vse se je začelo v kavarni v Amsterdamu
Wouterja sem spoznal po naključju v neki kavarni v središču Amsterdama. Bil je lep sončen dan in skoraj vse mize v kavarni so bile zasedene. Nekateri gosti se pogovarjajo med seboj, drugi delajo na svojih prenosnih računalnikih, tretji pa se igrajo s svojimi pametnimi telefoni. 34-letni Wouter Slotboom v svojem nahrbtniku skriva majhno črno napravico, nekoliko večjo od škatlice cigaret, na kateri je pritrjena antena. Wouter na mizo postavi svoj prenosnik ter iz nahrbtnika vzame majhno črno napravico ter jo skrije pod cenik. Natakarica se ravno sprehodi mimo naju, midva pa jo prosiva za dve kavi z mlekom in za geslo za wi-fi. Medtem Wouter prižge svoj računalnik in svojo napravico, zažene nekaj programov in kmalu se začnejo na ekranu prenosnika kazati zelene črte.
Majhne naprave za prestrezanje brezžičnega prometa, ki jih uporablja Wouter, so povsem zakonito dostopne prek spleta že za manj kot 70 evrov. Programska oprema z odprto kodo, kot sta Wireshark ali EvilAP, pa ne zahteva naprednega znanja programiranja. To pomeni, da danes ne potrebuješ diplome iz računalništva, da bi lahko posnemal tovrstne napade – in to predstavlja glavno tveganje.
Hitro postane jasno, da se Wouterjeva napravica povezuje z vsemi prenosniki, telefoni in tabličnimi računalniki gostov kavarne. Na ekranu se začnejo pojavljati napisi, kot so »iPhone Joris« in »Simonov MacBook«. Antena na napravici prestreže vse signale, ki jih oddajajo novodobne pametne naprave ljudi okrog naju. Na ekranu je vedno več besedila. Vidiva lahko, na katera brezžična omrežja so bile naprave povezane v preteklosti. Nekatera omrežja so poimenovana le s številkami in naključnimi črkami, zaradi česar je težje ugotoviti točno lokacijo, kjer so se naprave z njimi povezale, a večina omrežij je poimenovana po točni lokaciji, npr. ime druge kavarne, knjižnice ali drugih krajev. Ugotoviva lahko, da je Joris pred to kavarno obiskal lokalni McDonald’s, da je počitnice verjetno preživel v Španiji (našla sva veliko omrežij, poimenovanih v španskem jeziku), ter da verjetno uživa v vožnji z gokarti, saj se je pogosto povezal z omrežjem, ki pripada znanemu gokart centru. Martin, drug gost kavarne, se je povezal z omrežjem na letališču Heathrow in z omrežjem na ameriški letalski družbi Southwest. V Amsterdamu verjetno stanuje v hostlu White Tulip, bil pa je tudi v znani kavarni The Bulldog.
Prvi poskus: Naj se vsi povežejo na najino lažno omrežje
Natakarica nama prinese najini kavi in nama pove geslo za brezžično omrežje. Ko se Wouter poveže nanj, mu njegova napravica omogoča, da vsem gostom zagotovi povezavo do spleta in da preusmeri ves promet na internetu. Večina pametnih telefonov, prenosnikov in tabličnih računalnikov avtomatsko poišče nezaščiteno omrežje in se nanj poveže. Raje se povežejo na omrežje, ki ga je naprava že uporabljala v preteklosti.
Wouterjeva napravica prestreže ta iskanja in omogoča, da se najino brezžično omrežje izdaja za zaupanja vredno omrežje, ki ga je druga naprava že uporabljala. V trenutku se na mojem telefonu pojavi moje domače omrežje kot razpoložljivo, prav tako pa tudi omrežje iz moje službe, iz kavarn, hotelov, vlakov in drugih javnih krajev, ki sem jih obiskal v preteklosti. Moj telefon se avtomatsko poveže na eno od teh omrežij, za katera misli, da so zaupanja vredna, a v resnici vsa predstavljajo isto omrežje, ki pripada črni napravici.
Wouterjeva napravica lahko oddaja tudi lažno ime omrežja, da uporabniki omrežja mislijo, da se povezujejo z omrežjem kavarne, v kateri se trenutno nahajajo. Če se omrežje kavarne v resnici imenuje Fritzbox xyz123 (naključne črke in številke), lahko Wouter ustvari omrežje z imenom kavarne, npr. Starbucks, ljudje pa se veliko raje povežejo s tem omrežjem, saj bolj zaupajo, da dejansko pripada kavarni, čeprav v resnici pripada črni napravici.
Vedno več gostov se poveže na najino omrežje. Kmalu jih je že več kot dvajset. Če bi si želel, bi lahko Wouter zdaj popolnoma uničil življenja uporabnikov: ugotovi lahko vsa njihova gesla, ukrade njihovo identiteto in vstopi v njihove bančne račune. Pozneje mi bo pokazal, kako lahko to stori. Dovolil sem mu namreč, da me »sheka«, da mi pokaže, česa vsega je sposoben s pomočjo črne napravice, vse to pa lahko stori čisto vsakemu posamezniku, ki v žepu nosi pametni telefon, ki išče razpoložljivo brezžično omrežje.
V skoraj vse se da vdreti, z nekaj izjemami
Dejstvo, da javna brezžična omrežja niso najbolj varna, ni ravno novost, a vseeno tega ne morete slišati prevečkrat. V svetu trenutno več kot 1,43 milijarde ljudi uporablja pametne telefone, v ZDA pa je teh uporabnikov več kot 150 milijonov. Več kot 92 milijonov odraslih Američanov uporablja tablični računalnik in več kot 155 milijonov jih uporablja prenosnik. Vsako leto se povpraševanje po novodobni tehnologiji poveča. V letu 2013 je bilo v svetu prodanih več kot 206 milijonov tabličnih računalnikov in več kot 180 milijonov prenosnikov. Vsak od teh uporabnikov je bil verjetno vsaj enkrat povezan na javno brezžično omrežje, pa naj bo to v kavarni, v hotelu ali na vlaku.
[NOVO] STATISTIČNI DODATEK – 2024
Glede na poročilo Norton Cyber Safety Insights Report 2024 je kar 67 % uporabnikov interneta vsaj enkrat uporabilo javni Wi-Fi brez dodatne zaščite, 38 % jih je v tem času dostopalo do spletne banke, 19 % pa do občutljivih službenih informacij. Ta razkorak med navadami in nevarnostjo pomeni, da so napadi, kot jih izvaja Wouter, danes še bolj verjetni kot v letu 2013.
Dobra novica je, da so nekatera omrežja bolje zaščitena od drugih. Nekateri ponudniki elektronske pošte in nekatera družbena omrežja uporabljajo metode šifriranja, ki so bolj varne od njihove konkurence. A če preživite dan z Wouterjem, boste hitro ugotovili, da se da vdreti skoraj v vsako napravo, povezano na javno brezžično omrežje. Študija svetovalcev na področju spletnih groženj je pokazala, da je bilo v letu 2013 več kot 822 milijonov pomembnih podatkov izpostavljenih nevarnostni, med temi podatki pa so tudi številke kreditnih kartic, datumi rojstva, zdravstvene informacije, telefonske številke, številke zavarovanj, domači in drugi naslovi, uporabniška imena, podatki elektronske pošte, imena, priimki in gesla. 65 % teh podatkov je izviralo iz Združenih držav Amerike. V letu 2013 je bilo 4,5 milijona Američanov in 37,3 milijona ljudi po celem svetu žrtev phishinga oz. spletnega ribarjenja, kar pomeni, da so bili njihovi podatki ukradeni prek vdorov v računalnike, pametne telefone ali spletne strani.
Vedno več raziskav kaže, da je kraja identitete prek spleta vedno večja težava, ki se pojavlja vedno pogosteje. Hekerji in kibernetni kriminalci poznajo veliko zvijač, ki jih lahko uporabijo, da dosežejo svoje cilje, hkrati pa njihovo delo močno olajša vedno pogostejša uporaba javnih brezžičnih omrežij, ki so dostopna skoraj vsepovsod. Nizozemsko ministrstvo se te grožnje tako močno zaveda, da je izdalo priporočilo za vse državljane, naj se izogibajo uporabi javnih brezžičnih omrežij, če pa jih že uporabljajo, naj v tem času ne uporabljajo spletnih strani, povezanih s službo, spletnim bančništvom in drugimi področji, ki vsebujejo občutljive podatke.
Wouter samemu sebi pravi »etični heker«, torej eden od dobronamernih mojstrov novodobne tehnologije, ki želi razkriti potencialne nevarnosti in grožnje, ki na uporabnike vsakodnevno prežijo na spletu. Posameznikom in podjetjem svetuje, kako naj svoje podatke bolje zavarujejo, to pa navadno doseže prav tako, kot je to storil danes – pokaže jim, kako lahko je povzročiti škodo. In prav zares je to precej enostavno doseči: črna napravica je na voljo poceni, programska oprema pa je enostavna za uporabo in se jo da zelo hitro prenesti kar s spleta.
Vse, kar potrebuješ, je 70 evrov, povprečen IQ in malo potrpljenja« pravi Wouter Slotboom
Drugi poskus: Brskanje za imeni, gesli in spolno usmerjenostjo
Oborožena z Wouterjevim nahrbtnikom sva se premaknila do naslednje kavarne, ki je znana po čudovitih rožah, narisanih v peno na kavi, in priljubljena točka za samostojne podjetnike, ki pridejo tja delat s svojimi prenosniki. Ko sva prišla tja, je bila kavarna že polna ljudi, ki so se osredotočali le na ekrane svojih naprav.
Wouter pripravi svojo opremo. Ponovi vse predhodno spoznane korake in v nekaj minutah je na najino omrežje povezanih več kot dvajset naprav. Spet lahko vidiva ogromno informacij o lastnikih naprav, na mojo željo pa se zdaj podava še korak dlje.
Wouter zažene drug program, ki je prav tako enostavno dostopen prek spleta in ki mu omogoča, da s povezanih naprav pridobi še več podatkov. Vidiva lahko točne specifikacije povezanega modela telefona (Samsung Galaxy S4), nastavitve jezika na napravah ter različico operacijskega sistema, ki ga naprava uporablja (iOS 7.0.5). Če neka naprava uporablja zastarelo različico operacijskega sistema, se na njen pojavljajo »hrošči« – luknje v varnostnem sistemu, ki jih je enostavno izkoristiti. Te informacije so vse, kar potrebujeva, da lahko vdreva v operacijski sistem in prevzameva nadzor nad napravo. Preveriva vse povezane naprave v kavarni in ugotoviva, da nobena od naprav ne uporablja posodobljene različice operacijskega sistema. Za vse zastarele različice lahko hrošče preveriva kar prek spletnega iskalnika.
Zdaj lahko vidiva natančne spletne aktivnosti ljudi okrog naju. Vidiva, da nek uporabnik MacBooka brska po spletni strani Nu.nl. Vidiva, da veliko naprav pošilja dokumente prek spletne strani WeTransfer, nekaj jih je povezanih na Dropbox, nekatere pa na Tumblr. Opaziva, da se je nekdo pravkar prijavil na spletno stran FourSquare. Vidiva tudi ime te osebe, nato pa njegove podatke poiščeva še s pomočjo spletne strani Google, ki nama pokaže točno, kako ta oseba izgleda. Ugotoviva, da je to mlad moški, ki sedi le nekaj korakov stran od naju. Informacije naju zasujejo, tudi podatki o ljudeh, ki svojih naprav ne uporabljajo aktivno, temveč jih nosijo v žepu ali torbi. Večina spletnih aplikacij ves čas osvežuje svoje podatke in se na novo povezuje s strežniki. Vidiva lahko, katere podatke aplikacije pošiljajo katerim strežnikom. Vidiva lahko tudi nekaj zelo zasebnih podatkov. Eden od gostov kavarne na svojem telefonu uporablja aplikacijo Grindr, namenjeno iskanju istospolnih partnerjev. Vidiva tudi, kateri telefon uporablja – iPhone 5s. Tukaj se ustaviva, a z lahkoto bi ugotovila, kdo točno je lastnik tega telefona, kako izgleda, kako mu je ime in ostale podatke o njem. Vidiva tudi, da se nek telefon poskuša povezati s strežnikom v Rusiji, kamor pošilja tudi geslo, ki ga prav tako z lahkoto prestreževa.
Tretji poskus: pridobivanje informacij o službi in težavah v zvezi
Veliko aplikacij, programov in spletnih strani s pridom uporablja tehnologijo šifriranja. To pomeni, da informacije, ki jih pošiljamo in prejemamo prek naprav, niso dostopne nepoklicanim očem. A ko je uporabnik enkrat povezan na Wouterjevo omrežje, lahko z lahkoto obideva te varnostne ukrepe s pomočjo programske opreme, namenjen dešifriranju podatkov.
Na moje presenečenje vidiva, da nek uporabnik prek aplikacije pošilja svoje osebne podatke nekemu podjetju, ki se ukvarja s spletnim oglaševanjem. Poleg drugih podatkov vidiva tudi podatke o točni lokaciji, tehnične informacije o telefonu ter informacije o uporabljenem brezžičnem omrežju. Vidiva tudi ime in priimek neke ženske, ki uporablja spletno stran Delicious. Ta spletna stran je namenjena deljenju spletnih strani, ki se uporabnikom zdijo zanimive. Njen profil na spletni strani je javen, a se vseeno počutiva kot voajerja, ko ugotoviva, koliko informacij o tej ženski lahko izveva pred njenih deljenih spletnih strani. Prek spletne strani Google poiščeva njeno ime in priimek in tako hitro ugotoviva, kako izgleda, ter lahko preveriva, kje v kavarni sedi. Ugotoviva, da se je rodila v drugi državi in da se je na Nizozemsko preselila šele pred kratkim. Prek spletne strani Delicious ugotoviva, da obiskuje tečaj nizozemščine ter da jo zanimajo informacije o tečaju integracije v nizozemsko kulturo.
V 20 minutah sva o tej ženski, ki sedi dve mizi stran od naju, izvedela naslednje podatke: kje je bila rojena, kje je študirala, da se v prostem času ukvarja z jogo, da je na spletu preverjala ponudbe za zdravila proti smrčanju, da je pred kratkim obiskala Tajsko in Laos ter da jo zelo zanimajo spletne strani, namenjene ženskam, ki iščejo pomoč pri reševanju težav s svojimi partnerji.
Wouter mi nato pokaže še nekaj hekerskih zvijač. S pomočjo aplikacije na svojem telefonu lahko spremeni nekaj besed na spletnih straneh. Na neki spletni strani je ime nizozemskega politika zamenjal z imenom znanega nizozemskega serijskega morilca. Poskusiva še en trik: vsak posameznik, ki obišče spletno stran s fotografijami, namesto želenih fotografij vidi fotografije, izbrane s strani Wouterja. Sliši se zabavno, dokler ne pomisliš, da je s pomočjo te zvijače možno namesto slik srčkanih zajčkov na telefon naložiti fotografije otroške pornografije, kar pa je kaznivo posedovati na napravah.
Prestreženo geslo
Obiščeva še eno kavarno. Moja želja je, da mi Wouter pokaže, kaj točno bi storil, če bi mi želel zares škodovati. Prosi me, da obiščem spletno stran Live.com (Microsoftova elektronska pošta) in vnesem naključno uporabniško ime in geslo. Nekaj sekund pozneje se te informacije, ki sem jih vnesel v svoj telefon, prikažejo na njegovem ekranu. »Zdaj imam dostop do tvoje elektronske pošte,«, reče Wouter. »Prva stvar, ki bi jo storil, je, da bi zamenjal geslo, ter o tem obvestil tudi ostale storitve, ki jih uporabljaš. Večina ljudi ima z vsemi storitvami povezan le en elektronski naslov, tako da to pomeni, da bi nova gesla za vse storitve dobil v ta elektronski nabiralnik, do katerega imam dostop, s tem pa dobim dostop še do drugih aspektov tvojega življenja.« Poskusiva na primeru družbenega omrežja Facebook – Wouter se z lahkoto v nekaj sekundah prijavi v moj profil.
Drug trik, ki mi ga Wouter pokaže, je, da preusmeri moje spletne aktivnosti – vsakič, ko obiščem svojo spletno banko, me preusmeri na spletno stran, katere lastnik je on sam, in ki izgleda identično kot spletna banka, ki ji zaupam, a jo v resnici v celoti kontrolira Wouter. Hekerji temu pravijo podvajanje naslova DNS. Vse informacije, ki jih vnesem na to stran, se shranjujejo na Wouterjevem strežniku, s čimer on dobi popoln dostop do mojih bančnih računov.
Naučil sem se, da se nikoli več ne bom povezal na javno dostopno brezžično omrežje, brez da bi se prej primerno zavaroval.
KAKO SE LAHKO ZAŠČITITE – PRAKTIČNI NASVETI:
Ko beremo, kaj vse lahko izve heker v nekaj minutah na javnem omrežju, se marsikdo vpraša – ali je sploh še varno uporabljati Wi-Fi zunaj doma? Resnica je, da ni tehnologija tista, ki je nevarna, temveč način, kako jo uporabljamo. Številni vdori, kraje identitet in zlorabe podatkov se zgodijo ne zato, ker bi bili uporabniki neinteligentni, ampak zato, ker niso dovolj informirani. Mnogi se na javna omrežja še vedno povezujejo brez vsakršne zaščite – samodejno, brez razmisleka.
A dobra novica je, da se z nekaj osnovnimi ukrepi lahko zelo učinkovito zaščitimo. Ni treba biti računalniški genij ali IT-strokovnjak – dovolj je nekaj preprostih navad, ki jih lahko osvojimo vsi. Spodaj navajamo ključne, preverjene in uporabnikom prijazne načine, s katerimi boste svoje podatke in naprave zaščitili pred najpogostejšimi oblikami digitalnih prevar.
- Vedno uporabljajte VPN (navidezno zasebno omrežje), ko se povezujete na javni Wi-Fi.
- Izklopite samodejno povezovanje na znana omrežja na telefonu ali prenosniku.
- Redno posodabljajte operacijski sistem in aplikacije – večina napadov temelji na znanih ranljivostih starih različic.
- Ne vnašajte gesel ali številk kreditnih kartic, ko ste povezani na odprta omrežja.
- Uporabljajte preverjanje v dveh korakih (2FA) za vse pomembne račune.
Ko se resničnost poveže na nezaščiteno omrežje
Ta članek ni znanstvena fantastika, temveč prikaz resničnih možnosti, ki jih prinaša digitalna doba – priložnosti za povezovanje in hkrati grožnje za zasebnost. Skozi oči etičnega hekerja Wouterja Slotbooma smo dobili vpogled v svet, kjer majhna črna naprava in nekaj osnovnega znanja zadostujeta, da nekdo popolnoma razgali naš digitalni vsakdan – od gesel in iskalnih navad do lokacij in celo intimnih informacij.
Članek je napisal Maurits Martijn, nizozemski novinar, specializiran za temo digitalnih pravic in je bil prvotno objavljen na platformi The Correspondent pod naslovom “What we give away when we log on to a public WiFi network”. Angleški prevod in originalni zapis najdete na naslovu: https://thecorrespondent.com/
Zapisano je bilo z namenom ozaveščanja in zaščite – ne prestraševanja. Naj bo to opomnik, da ključna zaščita v digitalnem svetu ni v tem, da tehnologijo zavračamo, temveč da jo uporabljamo premišljeno, varno in z odprtimi očmi.