10/07/2014

Internet jest wszędzie, a w sklepie nawet kilka wiader

Porady Zagrożenia

Wybrałem się wczoraj do centrum handlowego, a ponieważ dysponowałem wolnym czasem, postanowiłem zajrzeć do sklepu ze sprzętem RTV/AGD – bardziej z ciekawości, jakie to nowinki zawitały na wystawy, niż z myślą o napisaniu felietonu. Ale jak to czasem bywa, życie samo dostarcza pomysłów. Niezależnie od tego, czy podchodziłem do smartfonów, tabletów czy laptopów, w czasie ich oglądania uderzyło mnie to, ile informacji ludzie zapisują na urządzeniach w zasadzie publicznych, bo jak inaczej nazwać tablet podłączony do internetu, który jest codziennie testowany przez setki osób?

darmowy_internet

Żeby była jasność, pisząc o danych, nie mam na myśli samoje… ekhm autoportretów robionych przez osoby testujące urządzenie. To jeszcze nic strasznego (chociaż ustawianie takiego zdjęcia jako tapety urządzeniu w sklepie nie jest dla mnie zrozumiałe), podobnie jak nagrywanie filmików czy pisanie SMS-ów, które nigdy nie zostaną wysłane (brak karty SIM w telefonie na wystawie). Nawet przeglądanie serwisów dla dorosłych w historii przeglądarki jakoś mnie nie zdziwiło.

12

Jak widać tłum ludzi za plecami nie przeszkadza w nauce ludzkiej anatomii

Największym zaskoczeniem było dla mnie to, ile osób loguje się z urządzeń na wystawie sklepowej do różnego rodzaju serwisów. Znalazłem kilka adresów e-mail w domenie popularnych w Polsce kont pocztowych. Były one zapamiętane przez przeglądarkę. Oczywiście adres e-mail jest jednocześnie loginem do Facebooka, którego liczba odwiedzin w historii była chyba dłuższa od ilości klientów w sklepie. Na szczęście nie zauważyłem by ktoś zostawił urządzenie z aktywną sesją na poczcie czy portalu społecznościowym. W przeglądarce nie były też zapisane żadne hasła.

W tym momencie mogą pojawić się głosy sprzeciwu mówiące, że chyba jednak życie nie podsunęło mi żadnego pomysłu na felieton, bo skoro dane i hasła nie zostały ujawnione, to o co mi w ogóle chodzi? Problem leży w komunikacji. Pomijam fakt, że większość sklepowych sieci Wi-Fi jest otwarta i przeglądane treści można podsłuchiwać. Nie chodzi też o to, że ktoś celowo może na telefonie/tablecie/notebooku zainstalować szkodliwe oprogramowanie. Problem w tym, jak sklep konfiguruje router.

Obok tabletu, na którym znalazłem zapisane w historii linki do serwisów z filmami z serii „jak powstaje życie”, a nawet wiele „żyć”, leżało drugie urządzenie mobilne. Strona startowa ustawiona była na 192.168.0.1 – konfiguracja routera. Szybko sprawdziłem w Google, jakie jest domyślne hasło dla wskazanego urządzenia i okazało się, że… w ogóle nie ma hasła! Wystarczy wpisać „admin” i tyle – miałem dostęp do panelu konfiguracyjnego routera.

23

Router udostępniający internet urządzeniom na wystawie sklepowej nie jest zabezpieczony w jakikolwiek sposób

Jakie możliwości daje to potencjalnemu atakującemu? Przede wszystkim może on łatwo przekierować użytkownika na dowolną witrynę (np. fałszywą stronę banku lub portalu społecznościowego), podsłuchiwać komunikację, skierować na stronę ze szkodliwym oprogramowaniem itp. Na tamten moment, z routera korzystało 5 innych urządzeń (prawdopodobnie eksponatów sklepowych), ale nic stało na przeszkodzie, żeby zwiększyć zasięg routera, sieć nazwać „DARMOWE_WIFIRIFI” i czekać, aż podłączą się osoby korzystające z prywatnych smartfonów i tabletów spacerujące po sklepie, czy galerii handlowej.

Jak żyć? Czy koniec jest bliski?

No właśnie. Czy bardziej winny jest tutaj użytkownik logujący się do portali poprzez niezabezpieczoną sieć, czy może sklep, który nie zastosował nawet najprostszego hasła dostępowego do routera? Jak to w małżeństwie bywa, wina leży po obu stronach (a że klient i żona mają zawsze rację…). Myślę, że sklep powinien po pierwsze wprowadzić hasła na routery, a po drugie użyć białej i czarnej listy odwiedzanych stron. Dzięki temu nikt nie będzie „majstrować” przy ustawieniach sieciowych, a klient chcąc sprawdzić sprzęt, będzie mógł odwiedzić kilka wybranych stron, zamiast logować się na jakikolwiek portal.

Już na sam koniec chciałbym przypomnieć, że logowanie się na pocztę i wpisywanie danych do formularzy w czasie korzystania z otwartej sieci Wi-Fi to zawsze zły pomysł i należy unikać takiego działania jak ognia.