Zagrożenia publicznego Wi-Fi (nawet z HTTPS wszędzie)

Kilka lat temu rada dotycząca korzystania z sieci w kawiarni była prosta i ponura: zakładaj, że ktoś czyta Twój ruch. Potem HTTPS stał się domyślny niemal wszędzie, przeglądarki zaczęły krzyczeć o stronach bez szyfrowania i wielu ludzi po cichu przestało się martwić.

I właśnie ta druga część jest problemem. Zagrożenia publicznego Wi-Fi nie zniknęły, gdy HTTPS wygrał — przesunęły się. Bierny podsłuchiwacz, który kiedyś wyławiał Twoje hasło do Gmaila z powietrza, w większości został wyparty. To, co zostaje, jest ciekawsze, bardziej ukierunkowane i trudniejsze do zauważenia, bo ikona kłódki sprawia, że wszystko wygląda w porządku.

Ten wpis omawia, co HTTPS faktycznie naprawił, czego nie, i garść nawyków, które realnie zmieniają Twoją ekspozycję w sieciach, które do Ciebie nie należą.

Co właściwie rozwiązał HTTPS

Trzeba oddać, co należne. HTTPS — szyfrowana wersja protokołu sieciowego — rzeczywiście naprawił największą i najbardziej prymitywną wersję problemu publicznego Wi-Fi.

W 2014 ktoś w tej samej sieci lotniskowej co Ty mógł uruchomić darmowe narzędzie, zobaczyć, jak Twoja przeglądarka ładuje Facebooka, i odejść z Twoim ciasteczkiem sesji. Ta klasa ataków w większości wymarła. Połączenie HTTPS domyślnie, HSTS (flaga, która mówi przeglądarkom „nigdy więcej nie ładuj tej witryny przez zwykłe HTTP”) i zaostrzonych zasad dotyczących ciasteczek sprawia, że zwykłe bierne podsłuchiwanie popularnych witryn niewiele już daje.

Jeśli Twój model zagrożeń to „nie chcę, żeby znudzony nastolatek trzy stoliki dalej czytał moją pocztę”, HTTPS Cię tam doprowadził.

Model zagrożeń o oczko wyżej jest miejscem, gdzie robi się uczciwiej.

Czego HTTPS nie obejmuje

HTTPS szyfruje treść Twojego połączenia z konkretnym serwerem. Nie chroni kroków poprzedzających nawiązanie tego połączenia i nie chroni Cię przed Tobą samym, gdy coś wygląda lekko nie tak. Oto, gdzie zagrożenia publicznego Wi-Fi wciąż żyją.

Wstrzyknięcie przez portal przechwytujący

Strona „zaakceptuj nasze warunki”, która pojawia się w hotelowym i lotniskowym Wi-Fi, nazywa się portalem przechwytującym. Aby zadziałała, sieć musi przechwycić Twoje pierwsze żądanie sieciowe i przekierować je tam, gdzie sama wybierze. To z założenia atak typu man-in-the-middle. Usankcjonowany, ale wciąż man-in-the-middle.

Dobrze prowadzony portal przechwytujący jest nieszkodliwy. Źle prowadzony (albo celowo wrogi) może podać Ci JavaScript, podsunąć fałszywe aktualizacje oprogramowania lub po cichu profilować każde urządzenie, które się przyłączy. Twój telefon często pokazuje portal w okrojonej przeglądarce bez pełnego paska adresu, co utrudnia ocenę tego, na co właściwie patrzysz.

Przejęcie DNS na słabych resolverach

Gdy wpisujesz bank.com, Twoje urządzenie pyta resolver DNS sieci „jaki jest adres IP tego?”. W sieci publicznej ten resolver prowadzi ten, kto jest właścicielem punktu dostępowego.

Źle skonfigurowany lub złośliwy resolver może skłamać. Może wysłać Cię na serwer, który nie jest Twoim bankiem, a potem przedstawić własny certyfikat. Nowoczesne przeglądarki Cię ostrzegą — ale tylko jeśli certyfikat jest błędny i tylko jeśli przeczytasz ostrzeżenie zamiast kliknąć je na przełaj.

SSL stripping na źle skonfigurowanych witrynach

SSL stripping to stara sztuczka, która w wąskich przypadkach wciąż działa. Atakujący wstawia się między Ciebie a witrynę, do której próbujesz dotrzeć. Wpisujesz example.com (bez przedrostkahttps://), sieć to przechwytuje, sama pobiera prawdziwą stronę HTTPS i podaje Ci jej zwykłą kopię HTTP.

Witryny korzystające z preładowania HSTS są odporne. Te, które nie korzystają (zwykle mniejsze usługi, narzędzia wewnętrzne lub cokolwiek, do czego trafiasz przez starą zakładkę), już nie. Pasek adresu po cichu pokaże http:// zamiast ikony kłódki, a większość ludzi nie patrzy.

Podstawione punkty dostępowe i evil twiny

To ten przypadek, który warto porządnie zrozumieć, bo omija większość zabezpieczeń opisanych powyżej.

Twój telefon zapamiętuje sieci. Gdy zobaczy beacon (mały pakiet rozgłoszeniowy ogłaszający nazwę Wi-Fi), który pasuje do takiej, do której wcześniej się przyłączył, może połączyć się automatycznie. Atakujący ze sprzętem dostępnym z półki może rozgłaszać beacon podający się za Starbucks WiFi lub Hotel Guest, wysłać ramkę deautoryzacji, by zrzucić Twój telefon z prawdziwej sieci, i patrzeć, jak Twoje urządzenie przeskakuje na jego, choć niczego nie tkniesz.

Od tej chwili to atakujący jest siecią. Kontroluje DNS. Prowadzi portal przechwytujący. Widzi, które aplikacje na Twoim urządzeniu próbują dotrzeć do których serwerów, nawet jeśli treść jest zaszyfrowana. Może podawać własne strony portalu przechwytującego, próbować SSL stripping na wszystkim, co nie jest preładowane, i prosić o dane logowania w czymś, co wygląda jak normalny formularz logowania.

Fachowa nazwa to „evil twin”, a cicha część jest taka, że nic Cię nie ostrzega, że to się dzieje. Twój telefon po prostu pokazuje znajomą ikonę Wi-Fi.

Uodparnianie na ostrzeżenia o certyfikatach

Przeglądarki nauczyły się dobrze ostrzegać. Użytkownicy nauczyli się dobrze je ignorować.

Gdy widzisz pełnoekranowe czerwone ostrzeżenie o certyfikacie, prawie zawsze oznacza ono, że coś jest nie tak z połączeniem. Czasem niegroźnie (wygasły certyfikat), czasem nie (aktywny man-in-the-middle). Rozwiązaniem jest nie klikać dalej. W praktyce ludzie zostali wyuczeni latami źle skonfigurowanych sieci firmowych, by wciskać przycisk „kontynuuj mimo to” bez czytania.

W sieci w kawiarni ten przycisk może być całym atakiem.

Jak naprawdę działa atak Evil-Twin

Jeśli chcesz jeden konkretny obraz tego, jak to wszystko się składa, atak evil-twin jest najczystszym przykładem.

Atakujący przynosi do kawiarni laptop lub małe przenośne urządzenie. Uruchamia oprogramowanie, które po kolei robi trzy rzeczy.

Po pierwsze, skanuje powietrze w poszukiwaniu pobliskich sieci Wi-Fi i zapisuje nazwę (SSID) tej prawdziwej. Powiedzmy, że to Cafe Guest. Następnie zaczyna rozgłaszać własne ramki beacon o tej samej nazwie, często z większą mocą, żeby urządzenia ją preferowały.

Po drugie, wysyła ramki deautoryzacji do klientów już połączonych z prawdziwą siecią. Ramki deauth są normalną częścią tego, jak działa Wi-Fi — mówią urządzeniu „zostałeś rozłączony, połącz się ponownie”. W większości sieci nie są uwierzytelniane, co oznacza, że każdy może je wysłać. Telefony w prawdziwej sieci zostają zrzucone i szukają, gdzie się połączyć ponownie.

Po trzecie, atakujący wyświetla portal przechwytujący. Może poprosić o adres e-mail i hasło „w celu dostępu do darmowego Wi-Fi”. Może naśladować stronę logowania hotelu. Może po prostu przepuścić Cię po cichu, poprowadzić Twój ruch przez własne połączenie i wszystko zalogować. Z perspektywy Twojego telefonu jesteś online. Z perspektywy atakującego jest teraz Twoim dostawcą internetu.

Obroną nie jest czytanie nagłówków pakietów. Jest nią uczynienie ataku nieciekawym — przez nieprzyłączanie się automatycznie do nieznanych sieci, przez prowadzenie wrażliwego ruchu przez coś, w co lokalna sieć nie może zajrzeć, i przez niewpisywanie danych logowania na stronach, do których celowo nie przeszedłeś.

Czy publiczne Wi-Fi jest bezpieczne w 2026?

Uczciwa odpowiedź: wystarczająco bezpieczne dla większości rzeczy, niewystarczająco bezpieczne dla wszystkiego.

Czytanie wiadomości, wyszukanie przepisu, przewijanie mediów społecznościowych — w porządku. Koszt pomyłki przy takim ruchu jest niski, a zabezpieczenia nowoczesnych przeglądarek są realne.

Logowanie do banku, dostęp do panelu administracyjnego w pracy, zatwierdzanie przelewu czy logowanie do nowej usługi, która wysyła Ci SMS z kodem odzyskiwania — to momenty o większej wartości, gdzie różnica między „pewnie w porządku” a „na pewno w porządku” ma znaczenie. Tanim sposobem na zamknięcie tej różnicy jest nierobienie tego w sieciach, których nie kontrolujesz.

Pięć praktycznych kroków

Żaden z nich nie wymaga myślenia o ramkach pakietów. To nawyki.

1. Wyłącz automatyczne łączenie z nieznanymi sieciami.Na iPhone jest to w Ustawienia → Wi-Fi → Automatyczne łączenie z punktem dostępu, a per sieć w Wi-Fi → (nazwa sieci) → Automatyczne łączenie. Chodzi o to, by urządzenie pytało Cię, zanim połączy się z czymś o znajomej nazwie. Zobacz nasz poradnik konfiguracji VPN na iPhone po pokrewne kroki.
2. W miarę możliwości wybieraj dane komórkowe lub własny hotspot. Połączenie 5G nie jest idealnie prywatne, ale ma jednego, odpowiedzialnego operatora i nie ma łatwego sposobu, by obcy wstawił się w jego środek. Do czegokolwiek wrażliwego w podróży hotspot Twojego telefonu jest zwykle lepszą odpowiedzią niż sieć hotelowa.
3. Używaj VPN w momentach, które mają znaczenie. VPN, skrót od virtual private network, prowadzi Twój ruch przez szyfrowany tunel do serwera, któremu ufasz, więc lokalna sieć widzi tylko to jedno połączenie i nic o tym, dokąd zmierza. To neutralizuje większość opisanych wyżej kategorii: portal przechwytujący nadal może Cię nagabywać, ale nie widzi Twoich zapytań DNS, nie zrobi SSL stripping na odwiedzanych witrynach i nie sprofiluje, których aplikacji używasz. Jeśli to dla Ciebie nowość, nasz przewodnik o tym, czym właściwie jest VPN omawia podstawy, a nasz poradnik o VPN w podróży wchodzi w szczegóły. Snap to jedna z opcji zbudowanych wokół tej postawy, ale szerszy nawyk liczy się bardziej niż marka.
4. Nigdy nie klikaj dalej przez ostrzeżenia o certyfikatach w sieciach publicznych. Jeśli widzisz pełnoekranowe ostrzeżenie przeglądarki o certyfikacie, zamknij kartę. W domowej sieci to prawie zawsze źle skonfigurowana witryna; w kawiarnianym Wi-Fi może to być ktoś aktywnie pośrodku. Koszt pomyłki jest na tyle wysoki, że „spróbuj ponownie później” jest właściwym ustawieniem domyślnym.
5. Zostaw wrażliwe logowania i transakcje na zaufane sieci. Bankowość, resetowanie haseł, cokolwiek z kodem odzyskiwania lub uwierzytelnianiem dwuskładnikowym — to warte małego tarcia, czyli poczekania, aż wrócisz na dane komórkowe lub domowe Wi-Fi. Zysk z wygody robienia tego na lotnisku nie jest wart asymetrii tego, co może pójść nie tak.

Co VPN naprawia, a czego nie

Wokół tego punktu jest dużo szumu, więc warto być konkretnym.

VPN naprawia:

• Zdolność lokalnej sieci do widzenia Twoich zapytań DNS
• SSL stripping (Twój ruch nie przechodzi przez wrogą sieć otwartym tekstem)
• Profilowanie przez portal przechwytujący po tym, jak przez niego przejdziesz
• Zdolność podstawionego punktu dostępowego do dowiedzenia się czegokolwiek użytecznego o Twojej aktywności

VPN nie naprawia:

• Ostrzeżenia o certyfikacie, które i tak klikasz dalej
• Stron phishingowych, na których aktywnie się logujesz
• Złośliwego oprogramowania już obecnego na Twoim urządzeniu
• Faktu, że odwiedzane witryny wciąż mogą Cię zidentyfikować przez konta i ciasteczka

To ostre narzędzie dla jednej konkretnej klasy zagrożeń publicznego Wi-Fi. Nie jest magiczną tarczą, a produkty, które sprzedają je jako taką, przesadzają z tym, co ono robi. Nasze zestawienie popularnych mitów o VPN wchodzi głębiej w różnicę między marketingiem a rzeczywistością.

Podsumowanie

HTTPS rozwiązał łatwą wersję problemu. Trudniejsza wersja, warstwa pod połączeniem, gdzie żyją DNS, portale przechwytujące i podstawione punkty dostępowe, jest w większości niewidoczna, dopóki coś nie pójdzie nie tak.

Nie musisz zostać inżynierem sieciowym, by podejść do tego rozsądnie. Wyłącz automatyczne łączenie, bądź sceptyczny wobec portali przechwytujących, nie klikaj dalej przez ostrzeżenia o certyfikatach i używaj danych komórkowych lub VPN, gdy stawka jest realna.

Jeśli chcesz, żeby część z VPN była ogarnięta czysto na iOS — bez e-maila przy rejestracji, bez dzienników ruchu, z subskrypcją rozliczaną po cichu przez Twoje Apple ID — Snap jest zbudowany dokładnie wokół tej postawy. macOS jest w drodze. Tak czy inaczej, najważniejsze nie jest to, którą aplikację instalujesz; chodzi o to, byś przestał traktować sieć w kawiarni jak własną.