Может ли кто-нибудь скачивать файлы с вашего персонального компьютера, когда вы используете публичный WiFi?

9538
Test100

Сценарий: вы используете свой портативный компьютер, подключены к общедоступной сети Wi-Fi в Starbucks, аэропорту и т. Д.

Вопрос: Может ли незнакомец, подключенный к той же сети WiFi, загружать файлы с вашего компьютера? Может ли незнакомец посмотреть ваши файлы?

29
да. Однажды я случайно зашел не на тот компьютер, когда пытался скопировать файл с ноутбука моего друга, когда мы подключались к тому же общедоступному Wi-Fi в кафе. Угадай, что? Владелец поместил свои видео для взрослых в папку ** общедоступных документов **. Конечно, это связано с небрежностью, как указано ниже. Вы можете найти больше информации в https://security.stackexchange.com/q/36263/89181 https://security.stackexchange.com/q/14927/89181 phuclv 6 лет назад 5
@ LưuVĩnhPhúc: Вы имеете в виду «их», как они снимали их ?! Lightness Races in Orbit 6 лет назад 2
Ответ зависит от операционной системы и от того, какие запущены все службы и демоны. can-ned_food 6 лет назад 0
@LightnessRacesinOrbit Я имею в виду «их» как их файл, а не записанный фильм (потому что даже я не знаю, чей это ноутбук) phuclv 6 лет назад 0
@ LưuVĩnhPhúc: шутки Lightness Races in Orbit 6 лет назад 0

4 ответа на вопрос

51
LSerni

Вопрос: Может ли незнакомец, подключенный к той же сети WiFi, загружать файлы с вашего компьютера? Может ли незнакомец посмотреть ваши файлы?

Да, но это требует значительной небрежности со стороны жертвы.

В Windows, для начала, вам нужно сообщить системе, что вы подключены к домашней или рабочей сети, а не к «общедоступной». Поскольку вы должны знать, что находитесь в аэропорту, это маловероятно.

Затем вы должны разрешить гостевой вход (по умолчанию это не так).

Кроме того, вы должны получить доступ к некоторой внешней незашифрованной системе, поддерживающей аутентификацию Windows. Служба должна находиться за пределами аэропорта и разрешать вход в систему через Интернет, и лишь немногие из них могут работать в незашифрованном виде.

Наконец, эта система и ваш собственный ящик должны использовать одного и того же пользователя и пароль. Таким образом, пароль, полученный на предыдущем этапе, также разрешит внешние входы в систему. ИЛИ у вас должно быть легко угадываемое имя пользователя и тот же пароль какой-либо службы открытого текста, к которой вы обращались.

В противном случае злоумышленник может отравить ваш DNS-кэш и «убедить» вашу систему, что сервер Facebook, сервер GMail или что-то еще находится внутри его чемодана. Затем он либо принудительно установит HTTPS-соединение (например, через атаку MitM, которую вы должны игнорировать), либо фальсифицирует его в открытом виде (и вы не должны замечать тот факт, что вы используете простой HTTP). Таким образом, злоумышленник может получить один из ваших паролей. Если это подходит для вашей системы или допускает атаку с получением пароля в какой-либо другой системе, вы (и / или ваша учетная запись онлайн-банкинга) вот-вот станете pwn3d.

Это не тот WiFi, который вы искали

На самом деле злоумышленнику не нужно много делать , чтобы получить доступ к вашим передачам. Возможно, он все время владел сетью WiFi, который просто создал мошенническую точку доступа, объявившую себя «Airport Free WiFi». Тот факт, что название точки доступа кажется законным, ничего не значит: для этого уже созданы системы - купите одну, зарядите ее на ночь, отправляйтесь в аэропорт и начните ловить рыбу. Система может по выбору «обрабатывать» передаваемые данные, чтобы обеспечить максимальную возможность использования паролей и учетных данных.

Как только вы подключаетесь к сайту, которому доверяете (или, как вам кажется), вас могут обмануть, чтобы загрузить и выполнить то, что даст злоумышленнику полный контроль, либо напрямую (например, в Windows через WSH), либо с помощью какого-либо эксплойта.

В Linux единственным значимым отличием является то, что вы должны либо использовать общий диск, либо открыть порт удаленного администрирования 22 (SSH). Оба условия обычно ложны в любом нормальном распределении, о котором я знаю.

Но это не только ваши файлы ...

Безопасность вашего диска не является гарантией для вашей учетной записи онлайн-банкинга, Dropbox, электронной почты и т. Д. - проблема заключается в краже учетных данных и / или олицетворении ; то, что фактически сделано с этим, прибывает после.

Вот почему:

  • Вы должны избегать использования неизвестных сетей,
  • Если вы делаете, используйте их через шифрование VPN,
  • Всегда сохраняйте высокий уровень безопасности системы (объявляйте "Домашняя сеть" вашей сети в вашем доме)
  • Держите систему обновленной, с подходящим антивирусом
  • Никогда не используйте важные пароли для разных сайтов
  • Сохраняйте ситуационную осведомленность - обратите внимание на такие вещи, как «зеленая блокировка» на сайтах HTTPS, небольшие сбои в экранах входа в систему, которые не выглядят «правильными», и странности в URL-адресах (например, «myonlinebank» становится « myon I inebank»)

Вечная бдительность - это цена свободы .

Может быть, странный вопрос, но почему я должен объявлять свою домашнюю сеть своей «домашней сетью»? Я разрешаю (не технически подкованным) гостям с (не обновленными) смартфонами в моей сети дома. Почему я могу доверять этому? Matty 6 лет назад 0
@ Хороший вопрос. Я имел в виду, что * если * вы когда-либо объявляете домашнюю сеть, то это должна быть только ваша домашняя сеть. Но вам лучше не доверять даже этому (что касается сетевых принтеров, которые могут быть доступны извне и / или загружать вредоносные OTA-пакеты и т. Д.), Как известно, это происходит: https://www.esecurityplanet.com/network-security /can-your-printer-put-your-whole-network-at-risk.html) LSerni 6 лет назад 2
«Да, но это требует значительной небрежности со стороны жертвы». Или предельного профессионализма и готовности нападающего. VL-80 6 лет назад 2
«В качестве альтернативы вы должны получить доступ * в открытом виде * к некоторой внешней системе, поддерживающей аутентификацию Windows». Что значит «в чистом виде»? Честно говоря, весь этот абзац и следующий за ним не имеют большого смысла для меня; Можете ли вы привести пример атаки, которую вы описываете? Anthony Grist 6 лет назад 2
@AnthonyGrist Он означает незашифрованный. Я согласен, что формулировка немного сбивает с толку. Описываемый сценарий заключается в том, что вы получаете доступ к ресурсу по незашифрованному каналу, таким образом отправляя свое имя пользователя и пароль в незашифрованном виде, и эта же комбинация имени пользователя и пароля дает вам доступ злоумышленника к вашему компьютеру, поскольку вы повторно использовали пароль. Jon Bentley 6 лет назад 1
@AnthonyGrist извините. Я включил исправление JonBentley - как вы можете предположить, английский не является моим родным языком :-) - я привык говорить «в кьяро», что означает «незашифрованный», и для меня было естественным переводить как «в» Чисто*. LSerni 6 лет назад 0
@Matty: не позволяйте ненадежным гостям в той же сети, что и вы. Mathieu K. 6 лет назад 0
@LSerni Справедливости ради, я понял, что «в открытом виде» означает «незашифрованный», но, возможно, это не такая распространенная идиома в английском, как мне кажется. :) Dan J 6 лет назад 1
Также для совета в конце, двухфакторная аутентификация была бы хорошей идеей, чтобы предотвратить это Melkor 6 лет назад 0
Разве это также не требует небрежности от законного поставщика WiFi? Я считаю, что большинство точек доступа по умолчанию имеют изоляцию клиентов для общедоступных сетей, где беспроводные клиенты могут видеть Интернет, но не видят друг друга? И это нужно отключить в настройках точки доступа? GSerg 6 лет назад 0
2
Sean Davey

Потенциально, они могут собирать личную информацию, отравлять ваш DNS-кеш и многие другие довольно неприятные вещи, но они не могут загружать ваши личные файлы, если сначала несколько ошибок не пошли вам на пользу.

Если по какой-либо причине они могут перехватить ваши пароли, передаваемые в виде открытого текста, они могут подключиться к вашему компьютеру по протоколу ssh, если вы разрешаете входящие соединения через порт 22 (маловероятно).

Если бы они могли заставить вас принять вредоносный файл, вы могли бы быть открыты для атаки обратного прокси-сервера, в результате чего файл, который вы принимаете, автоматически попытается подключиться к системе злоумышленников, предоставив им доступ к вашей системе.

Эти векторы атак сделать нелегко, они возможны, но, как правило, пользователи, обладающие достаточной безопасностью, и большинство настроек по умолчанию, защищенных системой, довольно хорошо предотвращают такие атаки. Надеюсь, поможет

А как насчет общих папок, разрешающих доступ для всех? user6900 6 лет назад 2
@ user6900 Это применимо, только если у вас включен общий доступ к файлам. По умолчанию Windows не разрешает общий доступ к файлам в сети, обозначенной как общедоступная. Если вы измените эту опцию или выберете пометить общедоступную сеть Wi-Fi как «частную», ну ... Bob 6 лет назад 0
Я вижу это все время, когда попадаю в общественные точки доступа и с удивлением бродил по чужим документам. Кажется, что люди разрешают общий доступ к файлам и оставляют некоторые значения по умолчанию, которые делятся намного больше, чем они предполагают. Или, может быть, они поделились гораздо большим количеством информации в частной сети, потому что это проще, и забыли об этом. В любом случае, нет сомнений, что это произойдет. Много. О, я должен добавить, что это было на OS X, не знаю о Windows. Jonathan van Clute 6 лет назад 2
хороший ответ, на самом деле мой ответ был, по незнанию, только для систем на базе * nix, я уже несколько лет не рискнул перейти на темную сторону окон, и уж точно не стал бы рассматривать общественный Wi-Fi в аэропорту с настройками по умолчанию для окон. Sean Davey 6 лет назад 0
2
fred_dot_u

Вы хотели бы избежать использования общедоступного Wi-Fi для конфиденциальной информации, если вы не можете быть уверены в надежном и безопасном соединении. Существует практика, известная как « Человек посередине», в которой пользователь, находящийся поблизости в общедоступном местоположении Wi-Fi, настроил свой компьютер так, чтобы он отображался так, как будто вы подключаетесь к локальной службе. В действительности вы подключаетесь к своему компьютеру, который передает ваши действия через фильтр для сбора конфиденциальной и полезной информации. После сбора ваши действия затем направляются в пункт назначения.

0
mckenzm

Да, они могут, как и при любом подключении к Интернету, но вам может быть проще загружать файлы в общую папку для их загрузки. У «толчка с устройства» аля украден смартфон.

Самый безопасный способ разрешить кому-либо быстро загружать файлы с вашего устройства, в то время как в общедоступном wifi, - это использовать вашу частную сеть через VPN и делиться папками в этой сети. Это сценарий «воин дороги».

В противном случае им нужно будет знать ваш IP-адрес. Динамический DNS с SSH для одновременного входа в систему также будет работать, но им понадобятся разрешения для файлов. Динамический DNS может быть доморощенным, например, вы можете отправить IP-адрес по электронной почте или отправить его на сервер.

Вы также можете подключиться к RDP / VNC на машине в вашей частной сети, это все же двухэтапный процесс, если вы сначала копируете с хост-устройства. Предоставление им удаленного управления вашим устройством также возможно аля NetMeeting, но неуклюже.

Наименее безопасный способ - запустить простой FTP-сервер для доступа к ним. Любой может это нюхать. Это может вас не беспокоить, если это всего лишь список покупок или счастливый обман.

Зашифрованный файл + VPN + RDP / VNC предоставит вам три слоя, не считая шифрования WiFi.

Похожие вопросы