web-dev-qa-db-ja.com

最近の公共Wi-Fiは脅威ですか?

私の意見では、公共のWi-Fiアクセスポイントは安全ではないと言うために長年使用してきた議論はもはや有効ではなく、推奨される対策(VPNの使用など)も同様です。

現在、ほとんどのサイトはHTTPSを使用し、HSTSヘッダーを設定しているため、誰かが他の人の接続を盗聴する可能性は非常に低く、TLSのゼロデイ脆弱性が予想されるほどです。

それで、今日パブリックネットワークで誰かが直面する可能性のある他の脅威は何でしょうか?

138
eez0

公共Wi-Fiは依然として安全ではなく、VPNのようなものと一緒に使用しない場合は常に使用されます。

  • 多くのWebサイトがHTTPSを使用していますが、ほとんどすべてのWebサイトは使用していません。実際、 %以上はしない です。
  • 約5%のみ HSTSを使用するWebサイト。そして、それはまだ最初の使用を信頼しています。最大経過時間が短い場合、その最初の使用はかなり頻繁になる可能性があります。あなたがセキュリティのプロである場合でも、とにかくSSLストリップに陥る可能性があるとしても、それに直面しましょう。私は知っています。
  • HTTPSを使用しているからといって、正しく機能しているとは限りません。まだたくさんの混合コンテンツがあります。多くのクライアントは既知の脆弱性を持つ古いバージョンをまだサポートしているため、攻撃が成功するためにゼロデイである必要はありません。
  • HTTPSを使用している場合でも、アクセスするドメイン、すべてのDNSトラフィックなど、多くの情報が漏洩します。
  • コンピュータや電話は、単に閲覧するだけではなく、インターネットを使用します。
    • 必要なのは、更新機能の暗号が不正な(またはまったくない)アプリ1つだけで、あなたはそのアプリを所有しています。
    • あらゆる種類の個人データへのアクセスを許可したすべてのアプリ...それらは絶えず自宅に電話をかけているので、おそらくどのデータを送信し、どの暗号を使用しているのかわかりません。
    • Dancrumbは彼の 素晴らしい答え にもっと多くの例があります。
  • 多層防御

VPNは安価であり、セキュリティに関してはまだ低迷しています。

197
Anders

HTTP以外にもインターネットがあることを誰も指摘していないことに少し驚いています。

HTTP(S)とHSTSについてのあなたの主張が正しかった(そして他の答えがそれについて議論している)場合でも、POP、SMTP、IMAP、FTP、DNSなどを忘れています。これらのプロトコルは本質的に安全ではありません。

118
Dancrumb

パブリックwifiアクセスのもう1つの問題は、あなたが同じローカルネットワーク上であることです。ローカルネットワークの権限の設定に誤りがあると、デバイスに侵入する可能性があります。多分自宅で、あなたはあなたのローカルネットワーク上の共有データを設定しました。これで、同じwifiアクセスポイントの全員がこれらの共有データにアクセスできます。ほとんどの場合、この保護はファイアウォール(オフィスでも自宅でも)によって保証され、ローカルネットワークはネイキッドインターネットよりも安全であると考えています。しかし今回は、攻撃者と同じローカルネットワーク上にいる可能性があります。

23
entrop-x

公的にアクセス可能なネットワークに接続するときはいつでも、自分自身を危険にさらしていると思いますが、VPNは優れていますが、ローカルネットワーク上の脅威に対してマシンをファイアウォールで保護することは何もしません。 :他のユーザーと共有するためのプライベートフォルダー。

過去にパブリックネットワークで使用し、使用した戦略の1つは、昔ながらのハニーポットであり、ファイルとフォルダーを共有し、そのファイルもアクセスを監視し、アクセスされたときにすぐに切断します。アクセスしてください。

10
Gartral

懸念の一部は、MiTM攻撃、およびラップトップが初期接続後にSSIDに基づいてオープンネットワークに盲目的に接続するように構成されている傾向に関係しています。他の場所で使用されているものと同じSSIDでアクセスポイントを起動することで、未知のパーティが停止することはありません。したがって、トラフィックの一部は保護されている可能性がありますが、かなりの量は保護されず、攻撃者はあなたのラップトップを危険にさらすことを試みることができるパスを持っています。

8
bobstro

これは、まさに「日和見的」暗号化(プレーンテキスト/暗号化されたHTTP/HTTPS混合エコシステムなど)が失敗する可能性があるシナリオです-少なくとも、ブラウザを使用して、Webページに埋め込まれたリソースを予期せず開かないようにする必要があります。セキュリティで保護されていないプロトコル(途中の男性があなたに代わってダウングレードした場合でも)。また、危険な証明書は受け入れられません。すべてのページ、すべてのページが読み込まれます。

前述のように、VPNは依然として、あらゆる種類の悪意のあるトラフィックを脆弱なエンドポイントにトンネルし、その逆を行うことができます。

キーロガーや不正なリモートコントロールソフトウェアなどの本当に問題のあるマルウェアが存在しない場合、最も安全なセットアップは、リモートデスクトップやssh(X11転送の有無にかかわらず)などを介して信頼できるリモートコンピューターを制御し、関連するすべてのトラフィックを1つの暗号化チャネル経由にすることです。 。このチャネルを確立するには、MITM攻撃(最悪の場合、攻撃者のログイン資格情報を取得する可能性があります)のリスクを回避するために、追加の注意(証明書のフットプリントを手動で検証するなど)が必要です。

6
rackandboneman

パブリックWifiサービスの使用について、TorとVPNは依然として情報を漏らす可能性があります。

TorおよびVPNのセキュリティへの影響に加えて、パブリックWifiから少なくともDHCPサービスを取得する必要があります。

Wifi設定によっては、キャプティブネットワークテクノロジーを使用している場合、VPNを使用している場合でも、オファリングサービスが(制限された)ブラウザーウィンドウをデバイスで直接開く場合があり、デバイスが公開され、VPNの外である程度まで対話しますキャプティブネットワークポータルで認証します。

IMOこれは人々が考えていない今日の部屋の大きな象にあります-私はFreeBSDでクライアントに頭蓋骨の写真を開く概念実証を書きました。VPNルートに行く前に、私の同僚は面白がっていませんでした。

デバイスによっては、TorやVPN以外に、少なくとも最新のOSアップデートを実行する必要があり、デバイスでファイアウォールを細かく調整して実行することもお勧めします。

したがって、実際には、いいえ、HTTPSと関連技術は、セキュリティ設定における方程式の(ほんの一部)にすぎず、使用時に誤った安心感を提供するだけですそれ自体

6
Rui F Ribeiro

セキュリティ会社である Norton は次のように述べています。

リスクは何ですか?

公衆Wi-Fiの問題は、これらのネットワークに伴う非常に多くのリスクがあることです。ビジネスオーナーは、顧客に価値のあるサービスを提供していると信じているかもしれませんが、これらのネットワークのセキュリティが不十分であるか、存在しない可能性があります。

中間者攻撃

これらのネットワークで最も一般的な脅威の1つは、中間者攻撃(MitM)と呼ばれます。基本的に、MitM攻撃は盗聴の一種です。コンピューターがインターネットに接続すると、データはポイントA(コンピューター)からポイントB(サービス/ウェブサイト)に送信されます。脆弱性により、攻撃者はこれらの送信の間に侵入し、それらを「読み取る」ことができます。だからあなたがプライベートだと思っていたものはもうありません。

暗号化されていないネットワーク

暗号化とは、コンピューターとワイヤレスルーターの間で送信されるメッセージが「シークレットコード」の形式であるため、コードを解読するキーを持っていない人がメッセージを読むことができないことを意味します。ほとんどのルーターは暗号化がデフォルトでオフになっている状態で工場から出荷され、ネットワークのセットアップ時にオンにする必要があります。 ITプロフェッショナルがネットワークをセットアップする場合、暗号化が有効になっている可能性が高くなります。ただし、これが発生したかどうかを確認する確実な方法はありません。

マルウェアの配布

ソフトウェアの脆弱性のおかげで、知らないうちに攻撃者がマルウェアをコンピュータに滑り込ませる方法もあります。ソフトウェアの脆弱性は、オペレーティングシステムまたはソフトウェアプログラムに見られるセキュリティホールまたは脆弱性です。ハッカーは、特定の脆弱性をターゲットとするコードを記述してこの脆弱性を悪用し、マルウェアをデバイスに挿入する可能性があります。

スヌーピングとスニッフィング

Wi-Fiスヌーピングとスニッフィングはそれがどのように聞こえるかです。サイバー犯罪者は、特別なソフトウェアキットやデバイスを購入して、Wi-Fi信号の盗聴を支援することができます。この手法により、攻撃者はオンラインで行っているすべてにアクセスできるようになります。これまでにアクセスしたWebページ全体(そのWebページにアクセスしているときに入力した情報を含む)の表示から、ログイン資格情報の取得、さらにはアカウントをハイジャックします。

悪意のあるホットスポット

これらの「不正なアクセスポイント」は、被害者をだまして、正当なネットワークと思われるものに接続させます。 Goodnyght Innに滞在していて、ホテルのWi-Fiに接続したいとします。 「GoodNyte Inn」をクリックしたときに正しいものを選択していると思うかもしれませんが、そうではありません。代わりに、機密情報を閲覧できるサイバー犯罪者によって設定された不正なホットスポットに接続しました。

誰もがこれらのリスクを知っているとき、最低限必要なことはリスクを減らすことです。

これについては、いくつかの記事を読むことができます:

1

私はあなたの懸念が何であるか100%確信していません。

公衆WiFiホットスポットは信頼できません、そうです。しかし、インターネットは信頼できません。アクセスしたサイトは信頼できません。 Webの検索に使用するサイトは特に信頼できません。

公衆WiFiホットスポットの誰か可能性がある接続を盗聴できる。誰か間違いなくすべてのコミュニケーションを盗聴。これは、プロバイダーのインフラストラクチャ内、CIX、国境、大洋横断(場合によっては大陸横断)ケーブルで日常的に発生します。信頼できるプロバイダーは非常によく許可されており、法律(ここにあります!)が作成したすべての接続、すべてのDNSクエリなどに関する詳細な統計を記録および保存し、その情報をある程度信頼できるものと明確に共有していないものと共有することが義務付けられている場合があります信頼できる当事者、とりわけ敵対国の組織。
(米国だけでなく)すべての主要な業界の州には、それぞれ1万人から10万人の盗聴組織があり、あなたの通信を盗聴し、通信相手に応じてあなたに関するプロファイルを作成するだけです。 、解決するDNS名など。

これはあなたにとって問題ですか?まあ、そうであれば、実際にはインターネットを使用しないでください。

公共のWiFiホットスポットにいる誰かがコンピューターを悪用しようとする可能性があります。まあ、誰かがあなたの家のインターネット接続を介してそうするかもしれませんね。確かに同じローカルネットワーク上にいるほど簡単ではありませんが、不可能に近いものはありません。
私の由緒ある古いWindows 7は、ホットスポットを信頼することはそれほど優れたアイデアではないと考えており、その設定ではすべてのホストを信頼できないと見なしています(明示的に別のことを伝えない限り)。それは理由もなく起こりません。しかし、妥当な設定が与えられたとしても、完全に敵対的なローカルネットワーク上にいることは、それでもかなり安全です。ここ数年の間に悪用されたサービスで、私のコンピューターで実行されているものはありません(ファイアウォールがトラフィックをドロップするかどうかに関係なく)。ただ、不要なたわごとを実行しないでください。ネットワークにアクセスできるサービスが少ないほど、エクスプロイトは少なくなります(RAMが利用可能になり、無料のボーナスとして起動が速くなります)。

とにかく、パブリックWiFiホットスポットを使用する理由はそれほど多くはありません(使用したことを覚えていません)。理由の1つは、あなたが出張中で、本当に重要なことをオンラインで非常に緊急に行う必要があることです。わかりました、この文脈では、公衆WiFiはあなたの胃に悪い感情を引き起こすかもしれませんが、とにかくそれがどれほど頻繁に起こるかを認めます。また、銀行希望https:を使用しており、口座情報を入力する前に、銀行がそうであるかどうかを簡単に確認できます。

人々は今日、彼らが一日中オンラインで到達可能でなければならないことを認識しています(正直に言って、いつあなたが最後にあなたの携帯電話をオフにしたか?)それは実際には真実ではありません。あなたは家からあなたの銀行業務を非常にうまく行うことができます、そしてあなたは実際に道路にいるとき24/7オンラインである必要はありません。通常、少なくとも。
いいえ、スターバックスにいるからといって必須それについてTwitterに投稿し、Facebookにコーヒーの写真を投稿してください。とにかく誰が気にする?しかし、これが絶対に必要であり、公衆WiFiが怖すぎる場合は、スマートフォンのLTE接続を使用してください(これはわずかに安全です)。それはあなたとは異なりますパブリックWiFiを使用します。

パブリックWiFiを使用するもう1つの理由は、IDを簡単に特定したくない場合に違法行為を行うことを計画していることです。確かに、あなたはしたくありません家から多額の違法なもの(武器、麻薬、映画の盗聴、テロなど)をしていますか。しかし、その場合、ホットスポットが信頼できないという問題は何ですか?つまり、真剣に?ホットスポットであなたのトラフィックを盗聴するティーンエイジャーは、そのコンテキストであなたの問題の最小です。

1
Damon

現在、ほとんどのサイトはHTTPSを使用してHSTSヘッダーを設定しているため、誰かが他人の接続を盗聴できる可能性は非常に低いです

この仮定は恐ろしいほど悪いものです。エンドポイント間のセキュリティを提供するためにHTTPS自体に依存できない場合は、HSTSヘッダーを設定するサイトの数は問題ではありません。そして、それはできません。悲しいことに。

TLS Interception Proxy をご存知ですか?彼らは当たり前です。学校、大学、図書館に導入され、雇用主やコーヒーショップで同様に使用されるこれらのハードウェアプロキシ(WebTitan GatewayやCisco ironPort WSAなど)は、HTTPSを無効にします。リンク先のWebサイトの公式証明書。私のブラウザは違いを知りません、そして私がよく知らなければ、私はその顔の各HTTPS接続を信頼します。

当初、HTTPSはMiTM攻撃を防ぐために設計されました。今日、TLSプロキシ[〜#〜]は[〜#〜]MiTM攻撃です!メールを読んでいるか、銀行口座の残高を確認しているかに関係なく、HTTPSが実際に期待どおりの動作をしている、つまり盗聴から接続を保護しているという幻想はありません。また、自宅のWIFIとルーターを介して接続している場合や、まともなVPNを使用している場合を除き、接続が暗号化されてオンザフライで再暗号化されていることに慣れていません。

正当な暗号化された接続が当たり前になるまで、OPによって提案された「その他の脅威」を考慮する必要はほとんどありません。現在、そうではなく、HTTPSは茶番です。 (盗聴を防ぐには、レコードを保存または解放しない会社が運営する信頼できるVPNを使用してください。TORを使用して接続をさらに改善してください。)

HTTPS/HSTSが実際にはWebブラウザーのセキュリティブランケットではないと断言するのはなぜですか? OPが質問する3年前に、それはすでに悪用され、敗北しました。そしてちょうど2年前に、それは破壊されました。さらに、SSLの特定の人気のある実装は1998年までさかのぼって証明されました。認証局(CA)でさえ信頼されません。短いタイムライン:

  • 1998-Daniel BleichenbacherがPKCS#1 v1.5の 成功した攻撃 について説明し、(そして)RSA暗号化標準( CRYPTO 98 );攻撃には、悪用するために100万の攻撃メッセージが必要であると考え
  • 2009- Moxie MarlinspikeSSLStrip を作成してHTTPSを攻撃します( demo Black HatでDC 2009)
  • 2012-IETFは RFC 6797 を提供します。これは、HSTSを実装し、SSLストリッピングを阻止するように設計されています
  • 2012-Graham Steelは paper (CRYPTO 2012で)を発行し、ブライチェンバッハーのパディングOracle攻撃は15,000メッセージ未満を必要としていることを示しています。
  • 2014-Leonardo NveはHSTSを回避するために SSLStrip + を作成します( demo Black Hat Asia 2014で)
  • 2015-Sam Greenhalghが HSTS Super Cookies を示し、HSTSセキュリティメカニズムが プライバシーの侵害 に簡単に破壊されることを示します
  • 2015-Googleは、シマンテックとその子会社が不正に ,000のセキュリティ証明書 を適切に監査または開示せずに発行したことを認識しています
  • 2016-Googleは、信頼できない認証局の公開済み ブラックリスト と呼ばれる Submariner を制定
  • 2017-Ars Technica 報告 FacebookやPaypalなどの主要なサイトでブライチェンバッハーの19歳の重大な脆弱性がテストされ、攻撃者が暗号化されたデータを復号化し、サイト独自の秘密暗号鍵を使用して通信に署名できる
  • 2018-GoogleがChromeをバージョン70にアップデート 非推奨 Symantec CA(Thawte、VeriSign、Equifax、GeoTrust、RapidSSLなどのSymantec所有ブランドを含む)を信頼);そして Mozilla がそれに続きます
  • 2018-Adi Shamirが公開する 論文 は、PKCS#1 v1.5の最新の実装がOracle攻撃のパディングに対して同様に安全でないことを詳述しています。 AWS、WolfSSL、および2018年8月にリリースされた最新バージョンのTLS 1.3などのプロトコルとサービスに影響する

現在、「推移的信頼」のような問題と戦うために subCAs と、それらを発行するCAの不正行為(例: GeoTrustなど、 [〜#〜] dane [〜#〜] プロトコルがあり、DNSSECを介して、セキュリティ証明書を安全に保護します。ドメイン管理者は [〜#〜] tlsa [〜#〜] DNSレコードを作成します。

DANEが広く実装されている場合、OPの低脅威評価に同意する傾向がありますが、DANEを使用すると、サイトはゾーンにDNSSEC署名する必要があり、2016年現在は ゾーンの約0.5% .com は署名されています。

不十分に採用されたDANEの alternative として、同じことを行うように設計されたCAAレコードがありますが、後者のメカニズムは前者よりも定着していません。

2017年末です。オッズは非常に良好ですHTTPS/HSTSで保護された接続を誰かが盗聴できる可能性があります。

2018年12月更新:安全でないプロトコル、ユーザーの許可範囲外の適切に実装されていない安全なプロトコル、主流の採用を待つ安全な技術、未確認の証明書を発行する不正な機関、または昔ながらのハードウェア支援盗聴、それは2018年の終わりであり、私はまだ維持していますオッズは非常に良好ですHTTPS接続はあなたを保護していません。

0
Mac