Оператор развернул сеть в метро по технологии Hotspot 2.0 с защитой от автоматического подключения к фишинговым точкам. "Мы понимаем потребность пользователей в безопасном подключении к публичным сетям. С внедрением стека технологий Hotspot 2.0 в московском метрополитене Wi-Fi станет крупнейшей в Европе безопасной публичной сетью", - говорит генеральный директор "МаксимаТелеком" Борис Вольпе.
При подключении к Wi-Fi в метро пользователям предложат два варианта SSID: защищенная MT и MT_FREE. Чтобы подключиться к сети MT, пользователь должен установить на устройство профиль "МаксимыТелеком" через специальный лендинг. Пока установка профиля доступна только для iOS-устройств, но в ближайшее время оператор планирует сделать сеть МТ доступной и для гаджетов на Android. Тестирование технологии Hotspot 2.0 с установкой профиля через лендинг продлится три месяца.
Дополнительные расходы на защиту сети оператору не потребовались. Проекту понадобились только программные изменения. Закупку оборудования и ПО не проводили. К доработке систем оператор привлекал только небольшую команду штатных сотрудников.
Сумму инвестиций в проект "МаксимаТелеком" не раскрывает. "Несколько месяцев на разработки, тестирование, отладку сервиса потратили. А в деньгах точную сумму не считали, но это десятые доли процента от общих вложений в сеть", - сообщили ComNews в пресс-службе оператора.
В компании вообще не планируют делать доступ к сети платным.
"На этапе тестирования ожидаем, что шифрованной сетью воспользуются около 10 тыс. пользователей. Долю существующих и потенциальных пользователей, так или иначе интересующихся безопасностью, мы оцениваем в 10%. То есть можно ожидать до 500 тыс. уникальных пользователей, которые установят сертификат в первые 2-3 месяцев с запуска", - сказали в пресс-секретариате "МаксимыТелеком".
Эксперт Лаборатории практического анализа защищенности компании "Инфосистемы Джет" Екатерина Рудая говорит, что перехват данных через открытые сети Wi-Fi в общественных местах в последнее время сходит на нет. Ранее обмен информацией между устройством пользователя и сайтами часто происходил по незашифрованному протоколу http, поэтому даже низкоквалифицированный злоумышленник мог легко перехватить трафик с логином и паролем. По словам специалиста, за последние несколько лет ситуация сильно изменилась. Теперь становится обязательным использование зашифрованного протокола передачи данных https. Сайты с http браузеры помечают как небезопасные и предупреждают об этом пользователей. Таким образом, злоумышленники просто теряют интерес к этому вектору атак, полагает Екатерина Рудая.
"К тому же мало перехватить трафик, полученные данные еще нужно расшифровать, что в большинстве случаев является трудновыполнимой задачей, так как используемые алгоритмы шифрования tlsv1.1, tlsv1.2 достаточно надежны. При самом негативном сценарии такие атаки могут привести разве что к краже логина и пароля от интернет-ресурса, использующего авторизацию по протоколу http, но таких сайтов на сегодняшний день крайне мало", - добавила эксперт.
Если украдена случайная картинка "с котиком", то ничего особенного не произойдет. Но если у вас украли персональные данные, банковские реквизиты или авторизационные данные от почты или соцсети, то последствия могут быть значительными, уверен руководитель направления оценки защищенности "Ростелеком-Солар" Алексей Гришин.
"Думаю, многие пользователи помнят, как в преддверии конференции по информационной безопасности ее участники шутки ради подменили главную авторизационную страницу WiFi-сети московского метрополитена на порносайт, и попали в новости с громкими заголовками о взломе сети подземки. После введения нового подхода к авторизации повторить такую шутку более не удастся", - вспоминает Алексей Гришин.
По его мнению, технология хоть и дает защиту от подключения к Wi-Fi и организует шифрованный канал, но у нее все же есть значительный недостаток. Если сертификаты, используемые в профиле, попадут в руки злоумышленника, он сможет совершенно бесшумно провести хищение данных из WiFi-сети метрополитена, и даже https-шифрование в этом случае не спасет. "Компрометация сертификата - событие достаточно редкое, но даже большие международные корпорации допускали такие утечки. В этом случае злоумышленник может получить доступ ко всему трафику пользователей. Поэтому как специалист по ИБ я бы рекомендовал использовать VPN-канал поверх любой публичной WiFi-сети", - советует Алексей Гришин.
С тех пор как 99% сайтов перешли на https, а во всех популярных мессенджерах используется end-to-end шифрование, подобные атаки стали малоактуальными, уверен генеральный директор Selectel Олег Любимов. "Инвестировать в развитие Wi-Fi сетей в 2019 г, когда на носу уже 5G - так себе идея", - отметил он.
Согласно опросу, проведенному Avast в прошлом году, 38% россиян подключаются к публичным сетям Wi-Fi. Из них 60% предпочитают бесплатные сети Wi-Fi, для которых не требуется регистрация или пароль для подключения, приводит данные директор департамента по исследованиям угроз Avast Михал Салат. "Если сайт или приложение использует https-протокол, то данные шифруются, что делает невозможным их чтение перехватчиками. Если перехваченные данные не зашифрованы, последствия зависят от того, какие данные украдены", - сказал Михал Салат.
Последствия могут быть самыми разными: кража аккаунтов электронной почты и соцсетей, доступ к корпоративным сайтам, социальная инженерия. "Хорошо, когда оператор заботиться о базовой безопасности пользователя и обеспечивает базовое шифрование передаваемых данных. Однако это не значит, что пользователь может пренебрегать принципами информационной безопасности. Советы здесь самые базовые: воспринимать информацию критически, использовать антивирусную защиту, своевременно обновлять ПО", - напомнил правила руководитель российского исследовательского центра "Лаборатории Касперского" Юрий Наместников.
По числу бесплатных точек доступа Москва входит в тройку мировых лидеров. Только в пределах Садового кольца и внутри ТТК расположено более 3 тыс. точек доступа. "Среди горожан публичный Wi-Fi пользуется большой популярностью. Это удобно, поэтому у многих людей на мобильных устройствах настроено автоподключение к точкам доступа Wi-Fi. Пользователь может даже не заметить или попросту не знать о небезопасности этого действия. Злоумышленники пользуются этим: они создают поддельные точки доступа-двойники - и устройство подключается к ловушкам, после чего весь трафик под контролем владельца поддельной точки доступа", - объясняет аналитик Posititve Technologies Яна Авезова.
Трафик публичной беспроводной сети, говорит она, может передаваться и в открытом виде, без какого-либо шифрования. А это значит, что если злоумышленники "прослушивают" такую сеть, то все данные, которые вы передаете после подключения к открытой сети, перехватываются злоумышленниками.
В прошлом году в сети "МаксимаТелеком" была обнаружена уязвимость, которая потенциально могла привести к утечке данных 12 млн пассажиров московского метро. "Судя по всему, оператор сети серьезно поработал над укреплением безопасности сети. Однако, даже использование шифрования не гарантирует перехвата данных пользователей Wi-Fi", - полагает руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев.
По словам специалиста, вероятность утечки критически важных данных при использовании шифрования намного ниже, чем в случае с незащищенным Wi-Fi. Однако все же пользователям любых публичных Wi-Fi-сетей он не рекомендует передавать конфиденциальную информацию, делать покупки, совершать операции через мобильный банк. Лучше для этого использовать сети сотовых операторов.
"Кроме того, надо учитывать, что любые данные, которые пользователь передает через Wi-Fi, вероятно, попадают в "воронку" анализа больших данных, а затем используются в рекламных кампаниях, пусть и в обезличенном виде", - уточнил Андрей Арсентьев.
Что касается оператора, то в случае утечки клиентских данных он в худшем случае отделается штрафом в несколько десятков тысяч руб. Пока российское законодательство не предусматривает серьезной ответственности за допущенные утечки конфиденциальных данных. Но нельзя исключать, что в случае повторного нарушения московский метрополитен просто не захочет заключать новый контракт с компанией "МаксимаТелеком".
Правила оказания телематических услуг связи не обязывают оператора защищать пользовательские устройства, говорит адвокат Александр Титов. По правилам оператор по желанию может принять меры, препятствующие спаму, вредоносного ПО и другой информации, запрещенной к распространению законодательством. "Я не вижу каких-то правовых рисков для оператора", - подытожил адвокат.
Анастасия Самсонова