Захищаємо WI-FI від злому: як зробити домашню мережу безпечною
Ми вже розповідали про те, які дані безпечно повідомляти іншим. Тепер поговорімо про домашню мережу, а зокрема про WI-FI. Як зробити так, щоб до неї не під’єдналися непрохані гості, та які можуть бути наслідки того, що зловмисники дізнаються ваш пароль.
Про це нам розповів експерт із безпеки даних.
Як ламають WI-FI, і чому це небезпечно?
Злом через інтернет – досить складна річ. Тому зловмисникам набагато простіше дістатися до ваших даних через локальну мережу. Вони ж зводяться до двох видів: мережі в кабелі та безпровідні. Відрізняються між собою середовищем, через яке передаються дані.
WI-FI використовує радіохвилі. Водночас кабельний інтернет передається через струм. Останній набагато безпечніший, оскільки, щоб дістати до нього доступ, потрібно мати конкретний кабель. До мережі WI-FI фізичний доступ є в будь-кого, хто перебуває в межах десятків метрів від джерела сигналу.
Деякі компанії із цієї причини відмовляються від WI-FI. Наприклад, коли я працював у Samsung, ми під’єднувалися лише через кабелі.
Чим небезпечний злом локальної мережі?
З’ясуймо, як працює WI-FI. Є роутер, який виконує роль точки доступу та роздає можливість під’єднуватися до інтернету. Сам роутер кабелем пов’язаний із провайдером. І всі, хто під’єднався до конкретного роутера, перебувають у локальній мережі. Якщо в когось є доступ до цієї мережі, він може з допомогою нескладних технічних засобів відстежувати трафік.
До 2017 року трафік був нешифрований, і зробити це було досить просто. Можна було відстежувати у відкритому вигляді паролі. Наприклад, якщо хтось у межах одного WI-FI логінився на якомусь сайті, то інший міг перехопити трафік і побачити у відкритому вигляді його пароль.
Зараз інтернет став захищеним. Навіть якщо в зловмисника є доступ до трафіку, він просто побачить набір «сміття» у ньому. Але маючи доступ до локальної мережі, є технічні способи обійти трафік. Наприклад, можна в локальній мережі створити фейкові сервери та зробити так, що людина, яка користується цим WI-FI, перейде не на потрібний сайт, а на сервер зловмисника. І якщо він вдало зробить клон сторінки сайту, жертва може не помітити різниці та ввести свій логін і пароль. Тоді хакеру вдасться перехопити дані.
Чому небезпечно пускати сторонніх у свій WI-FI? Коли в зловмисника є доступ до локальної мережі, він має більше технічних можливостей дістатися до інших даних.
Правила захисту домашньої мережі
Найбезпечніше під’єднуватися через кабель. Але якщо такої можливості немає, то WI-FI потрібно захищати.
Існує кілька базових правил, яких може дотримуватися кожен. І цього буде достатньо у 99% випадків.
Пароль – найважливіший фактор
Перше, що я раджу під час купівлі роутера – встановити складний, довгий пароль – 12-13 символів. Він має бути не словниковим. Можна спробувати пошукати словники найпопулярніших паролів (його створили самі хакери, які вели статистику). Це, наприклад, password, iloveyou, 12345678. Ці паролі так часто вживають, що їх можна зламати за секунду.
Для хорошого пароля варто використовувати великі та малі літери, цифри та спеціальні символи. Можна також придумати українське слово, але ввести його на англійській розкладці клавіатури.
Але найважливіший критерій пароля – його довжина. Так він безпечніший. Хакери користуються спеціальними програмами для підбору паролів. І кожен додатковий символ збільшує складність цього підбору. Паролі, довжиною 12-13 символів, навіть на найсучасніших комп’ютерах можна підбирати мільйони років.
Є ще спосіб перебирати за словником. Тому не варто захоплюватися звичайними словами – назвами груп чи іменами.
Найпростіші для злому паролі – числові. Найпопулярніші з них – номери телефонів і дати народження. Їх точно використовувати не варто.
Ніде не записуйте свій пароль, генеруйте такий, щоб його можна було запам’ятати.
Вимкніть функцію WPS
Вона була задумана як пароль для тих, хто хоче з допомогою однієї кнопки дістати легкий доступ до інтернету. Технологія не прижилася, та в ній є значне слабке місце, яке допоможе зловмисникам зламати WI-FI за час від однієї хвилини до доби.
Річ у тім, що у WPS досить невелика кількість комбінацій для підбору. Тому це величезна «дірка».
У більшості роутерів за замовчуванням ця функція ввімкнена. Тому потрібно зайти в налаштування та відключити її для безпечнішого користування локальною мережею.
Ці дві рекомендації є найважливішими. Їх буде достатньо для більшості користувачів.
Назва WI-FI також важлива
Можна також змінити назву свого WI-FI. Коли ви тільки купуєте роутер, у нього є стандартний ідентифікатор мережі. Це не особливо вразливе місце. Проте назва може надавати додаткову інформацію для спеціальних атак. Певні роутери мають специфічні вразливості, тому є сенс придумати мережі свою назву.
Логін і пароль до адмінки
Я б ще радив змінити логін і пароль до адмінки роутера. За дефолтом там admin, admin. Так залишати не варто. Адже навіть якщо ваш WI-FI зламали, потрапивши в мережу, хакер ще не так багато може зробити. Але потрапивши до вашого центрального роутера, йому відкриваються широкі можливості для конфігурації вашої мережі. Зловмисник може підлаштувати її до себе так, як йому буде зручно для перехоплення потрібних даних.
Якщо ваш роутер зламали, і ви не можете зайти в адмінку, бо логін і пароль змінені, знайдіть на роутері кнопку Reset. Вона скидає його налаштування до заводських. Після цього потрібно налаштувати роутер заново. Але вже зважайте на те, що всі паролі мають бути новими та надійними.
Не фільтруйте за MAC-адресою
Є поширена думка, що хороший спосіб захисту – фільтрація за MAC-адресою (адресою пристроїв). Вона допомагає під’єднувати лише конкретні пристрої без пароля.
Це погана рекомендація, оскільки хакери легко її обходять. Зловмисник може просканувати мережу на наявність під’єднаних клієнтів і скопіювати MAC-адресу одного з пристроїв.
Цю фільтрацію набагато важче налаштувати, ніж зламати. Це дуже непрактично. І як показав мій досвід, непрактичні засоби безпеки часто є вразливими місцями. Бо люди починають самі обходити ці засоби, створюючи в такий спосіб слабке місце в безпеці.
