Mity bezpieczeństwa IT '25

Wiele lat temu pojawiła się książka Mity Bezpieczeństwa IT i tak sobie myślę, że w 2025 roku chętnie dodałbym do listy te dwie rzeczy:

Te dwa punkty może nie są kompletnie nieprawdziwe, natomiast “Zna proporcją, mocium panie”.

Te złe, niezaufane sieci WiFi

Zacznijmy od tych nieszczęsnych niezaufanych sieci WiFi. Przede wszystkim sugerowałbym każdą sieć traktować jako niezaufaną, ale pomijając to zdroworozsądkowe podejście – dlaczego mielibyśmy tych niezaufanych sieci nie używać? No jak to dlaczego, przecież źli hakerzy wykradną wszystkie Twoje dane!

Naprawdę? Jak? Przypominam, że mamy rok 2025, a Firesheep to mniej więcej 2010. Wiele zmieniło się przez te 15 lat i większość ruchu sieciowego jest szyfrowana. Tak, ktoś wciąż może aktywnie przechwytywać ruch sieciowy poprzez man-in-the-middle, ale taki atak nie jest “cichy”, użytkownik powinien otrzymać informację, że coś jest nie tak z certyfikatem, a jeśli ją zignoruje to już zupełnie inny problem.

Oczywiście, możemy wchodzić w inne scenariusze typu “źli hakerzy wystawiają sobie certyfikat, który będzie zaufany” i takie rzeczy rzeczywiście mają miejsce, ale istnieje również wiele kontroli, które mają temu przeciwdziałać (choćby DNS Certification Authority Authorization), choć adopcja tego rozwiązania jest wciąż ograniczona. Trzeba pamiętać również, że jeśli jakieś CA wystawia “podejrzane” certyfikaty, dość szybko przestaje być domyślnie zaufane (patrz: Chrome Root Program Policy i przykład w akcji: Sustaining Digital Certificate Security – Entrust Certificate Distrust).

Jeśli ktoś jest paranoiczny to równie dobrze można przywołać harvest now, decrypt later, czyli podejście polegające na rejestrowaniu szyfrowanego ruchu z nadzieją, że komputery kwantowe pozwolą na jego rozszyfrowanie. Czy aby na pewno powinno to być na szczycie Twojej listy “rzeczy, o które się martwić”? Jeśli tak, to prawdopodobnie z tych “zaufanych” sieci też nie powinieneś korzystać.

I tak, rzeczywiście. Przez łączenie się z niezaufanymi sieciami WiFi wystawiamy pewną powierzchnię ataku dotyczącą samej warstwy sieciowej (przykład: CVE-2024-30078 – Windows Wi-Fi Driver Remote Code Execution Vulnerability) czy podstawowych usług (przykład: CVE-2018-1111). Tylko znowu – czy jest to, czym musisz najbardziej się martwić? Nie sądzę. Zresztą mając na uwadze CVE-2023-52424 to, czy łącząc się z zaufaną siecią rzeczywiście łączysz się z zaufaną siecią może być dyskusyjne.

Śmiem twierdzić, że jeśli korzystasz z nowoczesnego, regularnie aktualizowanego systemu operacyjnego i aplikacji oraz nie korzystasz z usług, które utknęły w okolicach roku 2010 (brak szyfrowania), niezaufane sieci WiFi nie są twoim głównym problemem. A jeśli korzystasz, to masz już inny problem, niż te nieszczęsne sieci WiFi.

Zresztą nie tylko ja tak twierdzę, patrz 3 rady na Dzień Bezpiecznego Internetu.

Jakie jest moje podejście, czy korzystam z “niezaufanych” sieci WiFi? Tak, ale niezbyt często, bo od wielu już lat pakiet danych mobilnych jest wystarczający.

A o co chodzi z VPN?

Tutaj nie chodzi mi o VPN jako taki, ale o reklamy przekonujące użytkowników, że absolutnie potrzebują VPN, bo (...), a stwierdzenie to pada często w połączeniu z, a jakże, strasznymi niezaufanymi sieciami WiFi. Wiele padających tam stwierdzeń jest dyskusyjnych.

Jak wspominałem wcześniej nie jest prawdą, że po połączeniu się z niezaufaną siecią WiFi wszystkie dane są widoczne dla każdego. Najprawdopodobniej nie są, bo ruch sieciowy jest najprawdopodobniej szyfrowany. A jeśli nie jest, to już zupełnie inny problem.

Znacznie ciekawsze jest twierdzenie dotyczące prywatności, czyli tego, że oni wiedzą co robisz w sieci. I tak, to stwierdzenie jest generalnie prawdziwe, nawet przy szyfrowaniu ruchu.

O ile szyfrowana jest zawartość komunikacji, to w dalszym ciągu z ruchu sieciowego można ustalić kto z kim rozmawia, jak często, kiedy i jak dużo danych wymieniają. Temat nie jest nowy, ale bardzo ciekawy.

Wiele lat temu w ramach PoC zademonstrowano jak na podstawie ruchu sieciowego można ustalić, jaką część świata ktoś przegląda na Google Maps (patrz: Traffic Analysis on Google Maps with GMaps-Trafficker), albo “zgadywanie” treści sesji SSH (patrz: Traffic analysis of Secure Shell (SSH)).

Do tego należy dodać ruch, który jednak nie jest szyfrowany, choćby DNS. Tak więc rzeczywiście, jeśli komuś zależy, może dużo dowiedzieć się przez pasywną analizę ruchu sieciowego.

Czy VPN pomaga w takim przypadku? Zależy. Podstawowe pytanie – czy ufasz swojemu dostawcy usługi VPN?

Autor: Paweł Goleń