Operátori poskytujúci dátové pripojenie, vrátane toho mobilného, hlásia rekordné nárasty záujmu. Ľudia sa pripájajú do on-line sveta a prevádzka je vysoká, ako keby boli Vianoce. No verejné Wi-Fi sú dnes pusté, avšak ich bezpečnosť to nijako nemení.
Využitie príležitosti
Dnes, keď sú námestia a verejné plochy prázdne, je čas na analýzu a nápravu toho, čo je už od svojich základov potencionálne chybné. A to sa týka práve verejných WiFi sietí, ktoré sú dnes všade, vrátane verejných prepravných sietí. Skoro každý vlak alebo autobus má takú vymoženosť. Všetko je bezplatné, bez hesla a teda skvelé miesto na incident. Keďže nápor je dnes minimálny, bolo by vhodné sa pozrieť na tieto siete a ich správcovia by mohli využiť príležitosť. A skontrolovať, prípadne nastaviť ich zabezpečenie lepšie. Všetko s cieľom ochrániť používateľov, keď sa ich prevádzka rozbehne opäť naplno.
Ako ľahko sa dajú dáta zneužiť, ukazuje príklad z Veľkej Británie. A nie je jediný, no reprezentatívny áno. Otvorená sieť na staniciach, ku ktorej sa pripájajú tisíce ľudí. Mnohí totiž radi šetria svoje dáta od operátora a tak je na počúvanie hudby alebo sledovanie YouTube, toto vhodná forma. Takéto siete chcú od zákazníkov, aby poskytli osobné (základné) údaje a potom povolia surfovanie.
Pre útočníka nie je problém dostať sa k záznamom
Tak sa zadáva často e-mailová adresa, pohlavie alebo aj vek. Pričom väčšina ľudí, ako aj ukazuje britský prípad, toto vyplní. Koľko si dáta vymyslí s cieľom zabezpečiť ochranu tých svojich a správnych, nie je možné presne identifikovať. Vo výsledku sa však pre útočníka nebol problém dostať k záznamom, ktoré táto bezplatná WiFi sieť ukladá a to v počte až 146 miliónov.
Keďže každé zariadenie necháva jedinečný zápis v sieti, identifikáciou bolo následne možné sledovať pohyb a časový rámec pohybu konkrétnej osoby po staniciach alebo vlakoch. Ak zadala skutočný dátum narodenia, tak potom vzniká celkom prehľadná mapa pohybu zákazníkov železníc po krajine a konkrétnej časovej osi. Pre niekoho nepodstatné údaje, ktoré nemajú význam a sú neohrozujúce, z pohľadu bezpečnosti však význam majú. Nikdy nie je možné sa spoľahnúť na to, aké zabezpečenie je volené prevádzkovateľom siete, ako často ho kontroluje a mení. Preto nie celkom dokážem chápať ľudí, ktorí bez problémov zadávajú svoje prístupy do internetbankingu alebo e-mailu cez otvorené siete na staniciach alebo v nákupných centrách. Po návrate do bežného života z tohto súčasného útlmu, sa tak aj verejné WiFi siete opäť rozhoria a budú sledovať všetko, čo im budeme dávať.
GDPR určuje: treba sa nahlásiť
Takéto incidenty majú ešte jedno čarovné vyústenie. Pravidlá GDPR, ktoré u nás a v celej EÚ platia od mája 2018, nútia každého prevádzkovateľa takejto WiFi siete, aby sám seba nahlásil na úrad a udal sa, že u neho vznikol únik osobných údajov. Potom samozrejme nasleduje šetrenie toho, či bola zanedbaná ochranu alebo útočník prekonal aj to, čo bolo dostatočné zabezpečenie. Pri prvom prípade je následkov podobe pokuty už menej radostný.
