[ ratkaistu ] Avoimen wifin käyttö ja tietoturvallisuus

[teele]

Onko avoimen wifin käyttöön esimerkiksi kirjastossa tai liiketilassa liittyviä tietoturvariskejä, jos esimerkiksi lukee omaa sähköpostia tai vaikkapa kirjautuu näille sivuille omalla tunuksella, voiko joku ulkopuolinen lukea tunnuksen ja salasanan wifistä.

[qwertyy]

Pahin kait on mahdollinen "man-in-the-middle" tapainen hyökkäys, eli teoriassa on mahdollista ohjata sivustohakusi tekaistuille sivuille. Jonkinlainen VPN-yhteys on suositeltava, jossa kaikki liikenteesi tunneloidaan kryptattuna haluaamasi paikkaan. Yksi yksinkertainen vaihtoehto on käyttää jotain Tailscalen tapaista, jossa teet tunnelin vaikka kotitietokoneellesi ja kaikki data menee sitten kryptattuna tuolle kotitietokoneelle ja sen kautta ulos.

Tämä F-securen sivu kertoo käytännössä saman, toki tarjoen heidän VPN-palvelua
https://www.f-secure.com/fi/articles/is-public-wi-fi-safe

Ilkein homma varmastikin on, että tuollaisia naamioituja jonkin pitämiä "Kahvila X avoin wifi" tyyppisiä verkkoja on ilmeisesti isommissa kaupungeissa paljonkin.

[HannuK]

Teele on siis käsittääkseni mennyt  oman tietokoneensa kanssa esim. kirjastoon ja haluaa siellä esim. nettiin vaikka lukemaan omia sähköposteja tai muuta matskua netistä.
Kysymys; onko henkilöllä oma älypuhelin mukana. Jos on, olisiko järkevintä ottaa wifi-yhteys omaan puhelimeen ja sen kautta mennä nettiin. Puhelin siis toimii tukiasemana. Tässä tietenkin on riskinä, että joku "sieppaa" tuon wifi-signaalin haltuunsa.
Varmempi on ottaa vielä yksi usb-kaapeli mukaan ja yhdistää kaapelilla puhelin ja läppäri toisiinsa ja määritellä puhelimella kaapeliyhteys läppäriin. Kun yhteys on näin tehty, on viesti ulos vain puhelimen kautta.
Menikö pieleen ajatus?

[nm]

En pitäisi kirjaston tai esim. VR:n junien verkkoja sinänsä erityisen vaarallisina. Muissa tuntemattomissa verkoissa voi olla isompi riski joutua tarkoituksellisen hyökkäyksen uhriksi, vaikka silloinkin hyökkääjän mahdollisuudet ovat rajalliset, ellei järjestelmässä satu olemaan haavoittuvia verkkoon avoimia taustapalveluja tai vastaavia palvelinsovelluksia. Vaarana on myös se, että hyökkääjä on pystyttänyt hotspotin, joka näyttää nimen perusteella esimerkiksi kirjaston tai muun luotettavan tahon verkolta, ja käyttäjä yhdistää riskiä huomaamatta tällaiseen honeypot-verkkoon.

Salattua HTTPS-yhteyttä käytettäessä hyökkääjä tai liikennettä kuunteleva taho ei voi lukea nettisivuston ja käyttäjän selaimen välillä liikkuvan datan selväkielistä sisältöä (mutta voi kyllä seurata, mihin osoitteisiin liikenne kulkee). Edellytyksenä tietoturvalle on se, että selaimen osoiterivillä näkyy täsmälleen oikea domain, eli vaikkapa forum.ubuntu-fi.org, ja että osoiterivillä on lukkokuvake (eli salattu HTTPS-yhteys on käytössä). Man-in-the-middle-hyökkääjä voisi yrittää esimerkiksi ohjata käyttäjän johonkin samalta vaikuttavaan domainiin, jonka nimi on kuitenkin kirjoitettu hieman eri tavalla (esim. forum.ubuntufi.org), tai hyökkääjä voisi yrittää ohjata HTTP-sivulle HTTPS:n sijaan, jolloin selain ei näytä lukkokuvaketta.

Siis kannattaa olla tarkkana domainien kanssa. Samasta syystä Google-haun tai epäluotettavien linkkien kautta ei pidä  mennä nettipankkiin tai muille kriittisille sivustoille, nettiyhteydestä riippumatta.

[Whig]

Kannattaa myös muistaa, että vaikka kirjautuminen palveluun tapahtuisi salattuna niin itse palvelun käyttö ei välttämättä tapahdu salattuna.
Itse jos käyttäisin julkisia niin käyttäisin aina VPN:n yhteyttä. Tosin onneksi harvassa ovat sellaiset paikat joissa on pakko käyttää julkista wifiä sillä yleensä pystyn yhdistämään internettiin oman kännykän kautta.

[teele]

Pieni jatkokysymys vielä: Jos käytän https-yhteyttä selaimella ja oma sivuni pilvipalvelimella kysyy salasanaa, sen voinee lähettää turvallisesti. Sitten palvelimelta tulee jotain selaimessa avoimena olevalle sivulle vastauksena. Https-yhteydellä tämäkin lienee turvallista eikä ulkopuolinen voi lukea tullutta tietoa.

Entä jos käytän tiedostonhallinnan yhteyttä kohdasta Muu sijainti ja annan palvelimelle kirjautuessa sen vaatiman salasanan sftp yhteyden kautta. Voinko käyttää turvallisesti yhteyttä, vai koskeeko https-vain selaimen kautta kulkevaa tietoa.

[nm]

Pieni jatkokysymys vielä: Jos käytän https-yhteyttä selaimella ja oma sivuni pilvipalvelimella kysyy salasanaa, sen voinee lähettää turvallisesti. Sitten palvelimelta tulee jotain selaimessa avoimena olevalle sivulle vastauksena. Https-yhteydellä tämäkin lienee turvallista eikä ulkopuolinen voi lukea tullutta tietoa.

Kyllä. Liikenteen sisältö on salattu silloin, kun käytetään HTTPS-protokollaa.

Entä jos käytän tiedostonhallinnan yhteyttä kohdasta Muu sijainti ja annan palvelimelle kirjautuessa sen vaatiman salasanan sftp yhteyden kautta. Voinko käyttää turvallisesti yhteyttä, vai koskeeko https-vain selaimen kautta kulkevaa tietoa.

Myös SSH ja SFTP-yhteydet ovat varsin turvallisia avoimissa verkoissa. Jos SSH herjaa, että palvelimen avain ei täsmää aiemmin hyväksyttyyn (known hosts), aletaan liikkua epäilyttävillä vesillä.

[teele]

Taas tuli hyvää ja selkeää tietoa tämän foorumin kautta. Näillä tiedoilla voinen merkitä asian ratkaistuksi.