A valódi fenyegetések a nyilvános Wi-Fi-n
Válasszuk szét a tényeket a paranoiától. A leggyakoribb fenyegetések a nyilvános Wi-Fi-n: Man-in-the-Middle (MITM) támadások: Valaki pozíciót foglal a Mac-ed és a router között, és elfogja a forgalmat. HTTPS csökkenti ezt a web-böngészésnél, de nem minden alkalmazás forgalma használ HTTPS-t. Hamis hotspotok: Valaki létrehoz egy hamis Wi-Fi-t legitim névvel (pl. "Starbucks_Free_WiFi"). Csatlakozol, és az összes forgalmat megfigyelik. Packet sniffing: Nyitott (nem titkosított) hálózatokban bárki elfoghatja a hálózati csomagokat. HTTPS titkosítja a tartalmat, de a metaadatok — például, mely szervereket keresed, mikor, milyen gyakran — láthatóak. ARP-spoofing: Egy technikai támadás, amely a forgalmat a helyi hálózatban irányítja át.
Miért nem elég csak a HTTPS
"De minden HTTPS-sel titkosított!" — ez részben igaz, de félrevezető. A HTTPS védi a web-forgalom tartalmát. Egy támadó nem olvashatja az e-mailjeidet. De láthatja: mely domaineket keresel (a DNS-kérdések gyakran nem titkosítottak), a forgalom időzítését és volumenét (metaadatok), valamint minden alkalmazásforgalmat, ami nem használ HTTPS-t. Sok asztali alkalmazás még nem titkosított kapcsolatokkal működik bizonyos funkciókhoz. Frissítések, analitikai pingek és telemetria gyakran HTTP-t használnak. Még fontosabb: a Mac háttéralkalmazásai nem tudják, hogy egy kockázatos hálózatban vannak. Dropbox szinkronizál, e-mail kliensek fetch-elnek, és az analitikai SDK-k hívnak haza.
1. lépés: Alkalmazások védelme
A leghatékonyabb védelem a támadási felület csökkentése. A nyilvános Wi-Fi-n a legtöbb alkalmazásnak nincs szüksége internet-hozzáférésre. Egy per-alkalmazás tűzfal, például a NetMute segítségével létrehozhatsz egy 'Nyilvános Wi-Fi' hálózati profilt, amely csak az alapvető alkalmazásokat engedélyezi: böngésző, VPN-kliens és esetleg e-mail. Minden más blokkolva lesz. Ez megakadályozza: a háttéralkalmazásokat, amelyek adatokat szivárogtatnak a nem megbízható hálózaton, a felesleges kapcsolatokat, amelyek metaadatokat adnak ki, és az alkalmazásokat, amelyek nagy mennyiségű adatot szinkronizálnak egy potenciálisan megfigyelt kapcsolaton keresztül. A NetMute automatikusan aktiválja ezt a profilt, amikor nem megbízható hálózathoz csatlakozol.
2. lépés: VPN használata (de a határokat értsd meg)
Egy VPN titkosítja az összes forgalmadat, és egy biztonságos alagúton keresztül irányítja. Ez megakadályozza, hogy a helyi támadók olvassák az adataidat. Mindig használj megbízható VPN-t nyilvános hálózatokon. De egy VPN nem old meg mindent. Nem állítja meg, hogy az alkalmazásaid kapcsolatba lépjenek — csak titkosítja a kapcsolatot. Egy alkalmazás, amely adatokat szivárogtat egy követőnek, továbbra is szivárogtat. A követő továbbra is megkapja az adataidat; csak egy titkosított alagúton keresztül történik. VPN + per-alkalmazás tűzfal a tökéletes kombináció: a VPN titkosít, a tűzfal ellenőrzi a hozzáférést.
A teljes védelem nyilvános Wi-Fi-hez
Íme a lépésről lépésre ajánlott beállítás: 1. Csatlakozás előtt: aktiváld a VPN-t, és válts egy korlátozó hálózati profilra a NetMute-ban. 2. Csatlakozás után: csak az alapvető alkalmazásokat engedélyezd (böngésző, VPN, e-mail). Minden mást blokkolj. 3. Figyelj a figyelmeztetésekre: a NetMute figyelmeztet, ha gyanús hálózati viselkedést észlel, például foglalási portálokat. 4. Használat után: bontsd a kapcsolatot a nyilvános hálózattal. Az alapértelmezett profil automatikusan visszaáll. 5. Legjobb gyakorlat: érzékeny fiókok (banki, admin felületek) lehetőség szerint soha ne használd nyilvános Wi-Fi-n. Ezzel a beállítással a nyilvános Wi-Fi kockázatosságból kezelhetővé válik.