Безопасность

Публичный WiFi: 5 рисков и как их закрыть

Иван СоколовSecurity Engineer6 мин чтения

Почему публичный Wi-Fi всё ещё опасен

С распространением HTTPS многие считают публичные сети безопасными. Это упрощение. Угрозы сместились с перехвата паролей на более тонкие сценарии — DNS-подмену, ARP-spoofing внутри подсети, манипуляцию captive-portal'ом.

Пять реальных рисков

Подмена точки доступа (Evil Twin). Злоумышленник поднимает SSID с именем "Free_Airport_WiFi" — у него красивее сигнал, и клиенты подключаются автоматически. ARP-spoofing внутри подсети. Атакующий притворяется шлюзом и видит весь незашифрованный трафик. SSL-stripping. На странице с mixed content атакующий заменяет HTTPS-ссылки на HTTP. DNS-rebinding через captive portal. Сертификат отеля используется для прозрачной перехватки. Принудительный downgrade TLS-версии. Старые клиенты падают на TLS 1.0 и теряют PFS.

Как закрыть

VPN с kill switch — единственный надёжный способ исключить все пять сценариев разом. DoH или DoT для DNS — DNS-запросы перестают быть видны соседу по сети. Жёсткий HSTS-список в браузере (по умолчанию у Chrome и Firefox). Не подключаться к открытым сетям без пароля — даже одного знака достаточно.

Что делает kill switch в Orvia

Если VPN-туннель внезапно отвалился, kill switch блокирует весь сетевой трафик до автоматического переподключения. Никакой пакет не уйдёт в открытую сеть, даже если приложение пытается отправить пинг.

Автор: Иван Соколов, Security Engineer