Avoimen wifin käyttö ja tietoturvallisuus

[teele]

Onko avoimen wifin käyttöön esimerkiksi kirjastossa tai liiketilassa liittyviä tietoturvariskejä, jos esimerkiksi lukee omaa sähköpostia tai vaikkapa kirjautuu näille sivuille omalla tunuksella, voiko joku ulkopuolinen lukea tunnuksen ja salasanan wifistä.

[qwertyy]

Pahin kait on mahdollinen "man-in-the-middle" tapainen hyökkäys, eli teoriassa on mahdollista ohjata sivustohakusi tekaistuille sivuille. Jonkinlainen VPN-yhteys on suositeltava, jossa kaikki liikenteesi tunneloidaan kryptattuna haluaamasi paikkaan. Yksi yksinkertainen vaihtoehto on käyttää jotain Tailscalen tapaista, jossa teet tunnelin vaikka kotitietokoneellesi ja kaikki data menee sitten kryptattuna tuolle kotitietokoneelle ja sen kautta ulos.

Tämä F-securen sivu kertoo käytännössä saman, toki tarjoen heidän VPN-palvelua
https://www.f-secure.com/fi/articles/is-public-wi-fi-safe

Ilkein homma varmastikin on, että tuollaisia naamioituja jonkin pitämiä "Kahvila X avoin wifi" tyyppisiä verkkoja on ilmeisesti isommissa kaupungeissa paljonkin.

[HannuK]

Teele on siis käsittääkseni mennyt  oman tietokoneensa kanssa esim. kirjastoon ja haluaa siellä esim. nettiin vaikka lukemaan omia sähköposteja tai muuta matskua netistä.
Kysymys; onko henkilöllä oma älypuhelin mukana. Jos on, olisiko järkevintä ottaa wifi-yhteys omaan puhelimeen ja sen kautta mennä nettiin. Puhelin siis toimii tukiasemana. Tässä tietenkin on riskinä, että joku "sieppaa" tuon wifi-signaalin haltuunsa.
Varmempi on ottaa vielä yksi usb-kaapeli mukaan ja yhdistää kaapelilla puhelin ja läppäri toisiinsa ja määritellä puhelimella kaapeliyhteys läppäriin. Kun yhteys on näin tehty, on viesti ulos vain puhelimen kautta.
Menikö pieleen ajatus?

[nm]

En pitäisi kirjaston tai esim. VR:n junien verkkoja sinänsä erityisen vaarallisina. Muissa tuntemattomissa verkoissa voi olla isompi riski joutua tarkoituksellisen hyökkäyksen uhriksi, vaikka silloinkin hyökkääjän mahdollisuudet ovat rajalliset, ellei järjestelmässä satu olemaan haavoittuvia verkkoon avoimia taustapalveluja tai vastaavia palvelinsovelluksia. Vaarana on myös se, että hyökkääjä on pystyttänyt hotspotin, joka näyttää nimen perusteella esimerkiksi kirjaston tai muun luotettavan tahon verkolta, ja käyttäjä yhdistää riskiä huomaamatta tällaiseen honeypot-verkkoon.

Salattua HTTPS-yhteyttä käytettäessä hyökkääjä tai liikennettä kuunteleva taho ei voi lukea nettisivuston ja käyttäjän selaimen välillä liikkuvan datan selväkielistä sisältöä (mutta voi kyllä seurata, mihin osoitteisiin liikenne kulkee). Edellytyksenä tietoturvalle on se, että selaimen osoiterivillä näkyy täsmälleen oikea domain, eli vaikkapa forum.ubuntu-fi.org, ja että osoiterivillä on lukkokuvake (eli salattu HTTPS-yhteys on käytössä). Man-in-the-middle-hyökkääjä voisi yrittää esimerkiksi ohjata käyttäjän johonkin samalta vaikuttavaan domainiin, jonka nimi on kuitenkin kirjoitettu hieman eri tavalla (esim. forum.ubuntufi.org), tai hyökkääjä voisi yrittää ohjata HTTP-sivulle HTTPS:n sijaan, jolloin selain ei näytä lukkokuvaketta.

Siis kannattaa olla tarkkana domainien kanssa. Samasta syystä Google-haun tai epäluotettavien linkkien kautta ei pidä  mennä nettipankkiin tai muille kriittisille sivustoille, nettiyhteydestä riippumatta.