Bezpieczeństwo

Bo WiFi było darmowe

Michał Rosiak

06 kwietnia 2017

Michał Rosiak

Wydawać by się mogło, że memy z dopisanym na dole Piramidy Maslowa dostępem do darmowego WiFi to już wyjątkowy suchar, jednak regularnie medialne informacje udowadniają nam, że jeśli coś jest za darmo, wciąż potrafimy rzucić się na to bez opamiętania. Zastanawiam się, skąd to się bierze w świecie liczących często 4 i więcej GB pakietów internetowych zawartych w cenie abonamentu?

Do tego tekstu zainspirował mnie materiał Macieja Dzwonnika, opublikowany w trójmiejskiej „Gazecie Wyborczej”. Opisuje on bazujący na prostej (wręcz prostackiej można by rzec) socjotechnice test 30-letniego gdynianina, który chciał sprawdzić, czy po latach kładzenia nam do głów podstaw dbałości o własne bezpieczeństwo w sieci, będzie nas trudniej oszukać. Czy fakt, że w ciągu kilku dni praktycznie zerowym kosztem zdobył dane 107 osób, powinien nas cieszyć, czy martwić? Czy te niewiele ponad 100 loginów i haseł do Facebooka lub Twittera mało, czy dużo?

Odpowiedź jest taka sama jak zawsze – to zależy ;) Zwykły login i hasło pojedynczego internauty do serwisu społecznościowego warte są na czarnym rynku grosze (czy raczej należałoby powiedzieć „centy”) i trzeba by ich wykraść sporo, by to się opłacało. Chyba, że przestępca jak po sznurku będzie próbował dostać się na konto mailowe ofiary, albo poszuka szczęścia w innych serwisach (kto nie dubluje haseł niech pierwszy rzuci kamieniem). W końcu szczegóły ma na koncie społecznościowym, gdzie może również znaleźć podpowiedzi do odzyskania hasła, czy numer telefonu, na który może wysłać odpowiednio spreparowany phishing. A stamtąd już malutki krok np. do banku...

Na czym polega taki atak? Jest trywialnie prosty. Idziemy z komputerem i małym (nawet mobilnym, podpinanym pod USB) routerem do uczęszczanego miejsca (np. centrum handlowego), uruchamiamy hotspot, w jego nazwie umieszczamy „free” (a najlepiej FREE!) i to w zasadzie tyle. Rybki szybko łapią się garściami, a odpowiednie oprogramowanie na komputerze napastnika, po tym jak ofiara automatycznie wpisze dane dostępowe do swojego Facebooka (wymagane do „logowania” do WiFi) zapisze je do pliku i może nawet da faktycznie skorzystać z internetu (a jeśli nie, to pewnie ofiara stwierdzi „jakiś badziewny ten net” i skorzysta z innego hotspotu).

A teraz wyobraźcie sobie, że – co niestety wciąż jest smutnym standardem – przychodząc np. na obiad do foodcourtu w takim centrum handlowym odpalamy laptopa i logujemy się do firmowej sieci (!). W Orange Polska warunkiem zdalnego dostępu jest skorzystanie z szyfrowanego połączenia VPN, do którego logujemy się tokenem kryptograficznym, ale stawiam dolary przeciwko orzechom, że takie podejście to wyjątek, gdy na wszystkim trzeba oszczędzać. A z loginem, hasłem przestępca ma szeroko otwarte wrota do firmowej sieci, w której może się rządzić jak panisko, wykradając dane, podkładając malware – katalog jest wyjątkowo szeroki. I co potem powiedzieć, jak tragedia już się stanie? „Ale to WiFi było darmowe”?

Please prove you are human by selecting the key.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Komentarze

emitelek 17:40 06-04-2017

To kolejne ostrzeżenie, aby „z rozwagą korzystać” z tego typu połączeń do sieci. Ale pisanie o „…4 i więcej GB pakietów internetowych zawartych w cenie abonamentu?” jest trochę nie na miejscu!!! A co z klientami usług na kartę??? Tak, są też pakiety i „super” oferty, ale widać, że są za MAŁE!!! Może czas zrobić konkurencyjną ofertę na neta dla karciarzy, bo inne sieci was przebijają??? 😛

Odpowiedz

pablo_ck 20:11 06-04-2017

Tutaj Cię popieram, OFnK jest spoko, ale brakuje jednak tej wyjątkowej oferty, prostej i taniej 🙂

Odpowiedz

Michał Rosiak 08:03 07-04-2017

Fakt, ja mam spaczone spojrzenie na ofertę. Nie znam kompletnie prepaida. Jestem od zawsze fanem abo.

Odpowiedz

mike278 21:55 06-04-2017

A ja znowu Panie Michale przesadzam w drugą stronę (paranoiczną 😉 ) i opierniczam syna za wchodzenie na wifi w autobusie. (nieważne że bez logowania strony typu onet, telepolis czy inny portal). Nie, bo nie moje, skoro nie moje to nie wiem co w środku siedzi.

Odpowiedz

pablo_ck 09:19 07-04-2017

I tak trzymaj 🙂 Uważam że dzieciom powinno się dozować dostęp do Internetu. Internet zabija myślenie.

Odpowiedz

Piotr Domański 09:34 07-04-2017

Nie zgodzę się. Lem napisał (już nie pamiętam w której książce), że to przeszkody spawają, że rozum się rozwija. W internecie nie ma wielu przeszkód, a informacja i rozrywka jest łatwa i przyjemna. Jednak nie jest to wina internetu, lecz tego jak z niego (najczęściej) korzystamy. Możemy się, także w internecie bardziej wysilić. Tylko trzeba chcieć 😉

Odpowiedz

mike278 12:35 07-04-2017

Pablo bardziej kładę nacisk na fakt że w mojej ocenie wchodzenie z cudzego wifi jest niebezpieczne. Piotrze syn nie ma jakichś wielkich ograniczeń a i ja w cenzora bawić się nie zamierzam. Choć zdarza mi się pokazywać biedę intelektualną jakiegoś youtubera czy zwyczajną wtórnosc.

Odpowiedz

Michał Rosiak 10:36 10-04-2017

Mike278, ja też zdecydowanie pod tym kątem. Internet to mnóstwo dobra i sporo zła, jak życie 😉 ale paranoidalności w kwestii korzystania z WiFi trzeba zaszczepiać. Tak samo jak np. dziecko nie weźmie cukierka od obcego, tak samo nie korzysta z nieznanego WiFi.

Odpowiedz

MAURYCY 12:55 07-04-2017

Jak już jesteśmy przy temacie darmowego wifi to mam takie pytanie. Załóżmy że podłączam się do darmowego fake wifi, z którego twórca kradnie wpisywane dane logowania na różne strony. Na pewno może przechwycić nasze dane podczas uzupełniania pól podczas logowania. A co z aplikacjami które nam się z automatu logują (skonfigurowane maile, allegro itp.) w których już kiedyś się logowaliśmy a teraz tylko się łączymy i pobieramy dane. Czy w takim wypadku oszust jest w stanie przechwycić nasze dane logowania podczas komunikacji z serwerem? Czy tylko to co fizycznie wpiszemy możemy stracić?

Odpowiedz

Michał Rosiak 10:42 10-04-2017

Może wykraść ciasteczka.

Odpowiedz