מדובר ברשתות פרטיות או ציבוריות שאינן בשליטתי. בחלקן אף לא נדרשת סיסמא או כל אמצעי אימות אחר על מנת להתחבר ל-AP.

שאלתי היא, האם ישנה דרך טובה לאבטח את החיבור בין המחשב שלי ל-AP? האם Hotspot Shield עושה את העבודה היטב ?

תודה מראש לעונים.

לפי הטענות באתר המוצר, הם בעצם מצפינים את התקשורת בינך לבינם (ולא בינך לבין ה AP, מה שבלתי אפשרי אם אין לך גישת ניהול ל AP), כך שמי שמאזין בדרך, לא יכול להאזין לה. אם הם עושים את זה נכון ומונעים בעיות MITM (שזה די פשוט, שימוש ב SSL ווידוא החתימה הדיגיטלית של התעודות שלהם, שיכולות להיות מופצות עם התוכנה), אין סיבה שזה לא בדיוק מה שיקרה.

הבעייה היא שאתה בעצם סומך עליהם - שאחרי שהתקשורת יוצאת מההצפנה בצד שלהם - הם עצמם לא מאזינים לך (שזה בעצם דבר שאתה סומך בו על ספק האינטרנט שלך בבית גם כן).

עונה לך על השאלה?

נמאס לכם לזכור סיסמאות? לחצו כאן!

להבנתי ישנם כלים מובנים המאפשרים להתגבר על MITM (אשר מעבירים את המידע מוצפן, גם מהספק). מה שמטריד אותי באמת זהו החיבור האלחוטי ביני לבין ה-AP.

בהנחה שאין לי גישה ל-AP עצמו, האם לדעתך קיימת דרך טובה לאבטח את החיבור ל-AP? אחרת, הפתרון הוא להימנע מלעבוד באמצעות חיבור זה.

שוב תודה.

למה אתה צריך לאבטח את החיבור ל AP?

אם אתה משתמש בשירות כמו זה ששאלת עליו, שיאזינו ל AP עד מחר... אם הם נהנים להאזין לזבל אקראי, מה איכפת לך?

נמאס לכם לזכור סיסמאות? לחצו כאן!

העניין המטריד הוא שבמקרה של האזנה לחיבור בין משתמש הקצה ל-hotspot, המאזין יודע מהיא נק' המוצא ומה היא נק' היעד. לפחות הוא יכול לדעת. בעוד שאם הוא מאזין "בדרך", אז הוא נחשף רק להעברה בין 2 נקודות ביניים לכל היותר (אם מעבירים את המידע נכון). אבל הבנתי את הנקודה. כנראה שאין תחליף לחיבור קווי.

רק לא ברור לי מדוע התקשורת בין ה AP לנקודת קצה אינה מוצפנת כברירת מחדל ברמת "החומרה". למשל, ברגע שמוקצה ללקוח IP, נקבע לו גם מפתח הצפנה אשר מתחלף כל 10 דקות. זה יכול לספק רמה מינימאלית של אבטחה.

תודה.

הוא יודע שנקודת המוצא היא ה IP שלך, שהראוטר עצמו הקצה לך, ושנקודת היעד היא השרתים של Hotspot Shield, ואין לו מושג לאיזה אתרים או שירותים אתה מתחבר דרך Hotspot Shield. אז מה?

אגב, למה מפריע לך שמאזין אקראי יכול לקבל את המידע הזה, אבל בבית, בחיבור קווי, שחצי מהעובדים של ספק האינטנרט, יכולים לקבל את אותו המידע בדיוק, זה לא מפריע לך? (והם יכולים לעשות את זה על כל התקשורת שלך, כל הזמן, ולא רק על החיבורים שאתה עושה באופן זמני כשאתה יושב שעה בבית קפה...)

למה WiFi לא מוצפן בברירת מחדל זו שאלה טובה. אני משער שהתשובה היא, שבהעדר מידע משותף מראש (pre shared key), האופציה היחידה האחרת, היא הצפנה א-סימטרית, ובהעדר תעודות SSL (כי אין hostname שאליו אתה מתחבר), אתה בעצם לא יודע למי אתה מתחבר. אז מה זה עוזר לך שהתקשורת בינך לבין ה AP מוצפנת, אם אין לך לוודא... אל מי התחברת. אולי אתה מתחבר למאזין MITM, שטוען שהוא ה AP שלך, והוא בתורו מתחבר ל AP המקורי, וכל התקשורת "המוצפנת" שלך, הופכת בעצם לפתוחה?

false sense of security is worse than no security at all...

נמאס לכם לזכור סיסמאות? לחצו כאן!

בהאזנה לחיבור אלחוטי, המאזין יודע מה היא נק' הקצה (מחשב), מה שהוא לא יודע כשהוא מאזין באמצע. כמו כן, מאזין "באמצע" נחשף רק למידע שעובר באותו הנתיב (שאינו קבוע). לכן, אם למאזין "האלחוטי" יש רצון, רק הדימיון צריך להגביל אותו (עזוב עכשיו הצפנה לא הצפנה).

הספק מטריד, אבל פחות. הגיון בריא אומר שהספק מריץ כלים אנליטיים על מנת לתעדף תעבורה. מה שאומר שהם יכולים לדלות מידע מהממצאים. אבל בשונה מהמקרה הראשון, כאן כל עוד לספק אין אינטרס אמיתי לבלוש דווקא אחריך, אני בספק שהם יעשו משהו בסגנון. אגב, במדינות מתוקנות יש חוקים נגד זה (ראה כתבה קצרה מהיום - http://www.themarker.com/hitech/1.1634750).

לעניין ההצפנה, ברור שאתה לא באמת יודע לאן אתה מתחבר (לפחות במעמד החיבור). אבל עדיין, ניתן היה ליצור הצפנה פשוטה ע"ב IP למשל (כבסיס למפתח משותף). נכון, מדובר במפתח שבבסיסו חולשה, אך עדיין, רובן המוחלט של ההאזנות האקריות היו נחסמות.

ברשותך לא אעזוב את ההצפנה או לא הצפנה. כשמאזין אלחוטי מאזין לרשת לא מוצפנת, שעובר בה מידע מוצפן מול שרת VPN (בלבד), הדבר היחיד שהוא יראה, יהיה זבל שעובר בין ה IP שלך ב LAN לבין ה IP של שרת ה VPN - וזאת עבור כל הגלישה שלך באינטרנט... הייתי אומר שהדמיון די יגביל אותו במקרה הזה, כי הוא יצטרך לדמיין המון בשביל להגיע מהזבל הזה למידע כלשהו...

אני לא מדבר על האזנה של הספק כחברה שמחליטה לבלוש אחרי מר Tx155, אלא על עבודה של אחד העובדים, ללא סמכות, ובניגוד לנהלים, כי בא לו. ואף אחד שם לא ידע. ולך תדע אם במקרה מישהו שאתה רב איתו באינטרנט, הוא לא במקרה עובד של ספק האינטרנט שלך, שאחר כך ינצל את כוחו ומעמדו כדי לעשות מה שהוא רוצה...

אם אתה יוצר מפתח על סמך מידע שידוע לשני הצדדים מראש, כגון IP, גם למאזין לרשת האלחוטית הוא יהיה ידוע... או שעושים הצפנה א-סימטרית, שבה אין החלפת מפתחות הצפנה כדי להקים את השיחה המוצפנת מלכתחילה, אלא כל צד משתמש ב public key של הצד השני כדי לשלוח אל הצד השני את המידע בצורה שצד ג' לא יוכל לקרוא... או שמשתפים את המפתח מראש בין הצדדים - בצורה מאובטחת - כלומר - בלתי ניתנת להאזנה על ידי אנשים בדרך. אם הייתה שיטה טובה יותר, תאמין לי שהיו משתמשים בה, ולא רק ברשתות אלחוטיות...

נמאס לכם לזכור סיסמאות? לחצו כאן!

למיטב ידיעתי הצנועה, גופים זהירים הנאלצים להעביר מידע רגיש לא מסתמכים על VPN כשלעצמו (למרות שיש ארגונים אחרים המשתמשים בו כדי לאפשר גישה מרחוק). אני מניח שאתה מדבר מתוך הכרות וניסיון – אך עדיין, התנהגות זו לא צריכה להכתיב את הנורמה. שומר חמוש בכניסה למוזיאון יכול להיחשב לנקיטת כל האמצעים הדרושים מבחינת ההנהלה (ואף למעלה מן הנדרש), בעוד שאיוש הכניסה לארגון אחר ע"י צוות חמוש ומיומן יכול להיחשב לרשלנות פושעת והפקרות של חיי אדם ובטחון המדינה. אני מאמין שהבנת את הנקודה.

לעניין ההצפנה – רק שלפתי רעיון מהשרוול בלי לפתח אותו. אם יש לך רעיון טוב יותר עליו חשבת לעומק, זה בסדר גמור. אתה מוזמן לנסות לקדם אותו

אני מרגיש שהדיון חורג מהשאלה הפרקטית למישור פילוסופי ולהבדלים בהשקפות..