Майже у всіх вдома є підключення до Інтернету, майже завжди ми для зручності користуємось бездротовим з’єднанням, і часто наша домашня Wi-Fi мережа є вразливою для зловмисників.
Простіше кажучи, «домашній вайфай» є у всіх, і ми мало переймаємось його захистом. Як не дивно, це може бути резонно з позиції оцінки ризиків: в домашній мережі зазвичай немає особливо цінних для зловмисників ресурсів, як і складної інфраструктури. Так, звісно, в нашій домашні мережі можуть бути і мережеві сховища файлів, і пристрої «розумного дому», і відеоспостереження та сигналізація, але найчастіше це просто Wi-Fi роутер, який стоїть десь у кутку і до якого підключені кілька ноутбуків чи телефонів.
Можливі атаки через домашню мережу
У більшості випадків нашій домашній мережі можуть загрожувати не надто руйнівні атаки. Скажімо, сусіди зможуть безкоштовно користуватись нашим інтернетом. Або ж зловмисники отримають доступ до вашого роутера чи підключених «розумних» пристроїв і скористаються ними для проведення DDoS-атак на сайти.
Це не означає, що зловмисники не можуть вдатися до більш технічно просунутих або важчих за наслідками атак. Наприклад, якщо ви не оновлюєте операційну систему та програми на комп’ютері, він стає вразливим до атак, і зловмисники, що підключились до вашої мережі, можуть цим скористатись, щоб отримати доступ до інформації на комп’ютері (або зашифрувати її і зробити недоступною). Однак якщо у вас лептоп, який ви носите із собою та підключаєтесь до вайфаю у різних місцях, зловмисники це можуть зробити в будь-якій мережі, і тут насамперед треба подбати про правильний захист комп’ютера.
Також зловмисники можуть перехоплювати мережевий трафік і, якщо він нешифрований, бачити зміст повідомлень, паролі та іншу чутливу інформацію. Однак зараз більшість з’єднань із сайтами та сервісами відбувається за допомогою шифрованих протоколів (https та інших), а значить зловмисники не зможуть просто так прочитати потрібну інформацію у перехопленому трафіку.
Отримавши доступ до вашого роутера, зловмисники можуть змінити налаштування DNS-сервера, щоб переадресовувати вас на шахрайські сайти. Однак при цьому їм набагато простіше – і дешевше – надіслати вам фішингове повідомлення із потрібним посиланням.
Іншими словами, ці та інші атаки технічно можливі, але в більшості випадків зловмисники не будуть це робити, просто тому що у вашій мережі немає для них чогось аж такого привабливого, і їм краще зосередити свої зусилля на мережах організацій та компаній.
Це частково змінилося із переходом на віддалену роботу, але тут уже системні адміністратори мали подбати про захист віддалених робочих місць, скажімо налаштувавши VPN та перевірку пристроїв перед приєднанням.
Разом із тим, базові кроки для захисту домашньої мережі не потребують особливих технічних знань. Ціною невеликих зусиль ви можете захистити свою домашню мережу від більшості простих атак. Також це може бути корисною інвестицією в майбутню безпеку, якщо – або коли – ваша домашня мережа почне розростатися, доповнюючись смарт-пристроями, системами домашньої безпеки, камерами та іншими цікавинками.
Як налаштувати домашню мережу
Що ми, власне, будемо захищати. Пристрій, який у вас стоїть вдома, зазвичай називають Wi-Fi-роутер. Насправді з технічної точки зору він поєднує функції різних пристроїв (роутера, свіча, точки доступу тощо), але для нас головними є дві функції – він дає змогу приєднуватись до провайдера і таким чином забезпечувати підключення для Інтернету, а також роздавати Wi-Fi.
Що також важливо – роутер має панель адміністрування, в якій можна робити усі налаштування. Умовно кажучи, це веб-сайт, який крутиться на вашому роутері і до якого ви маєте доступ, підключившись до нього. Коли ви змінюєте якісь налаштування на цьому сайті, роутер їх зчитує та бере в роботу. Усі подальші налаштування, про які йтиме мова, ми робитимемо саме із цієї панелі.
Як у неї потрапити? Вам треба буде у вікні браузера ввести IP-адресу вашого роутера. Її можна дізнатися із інструкції до вашого роутера, хоча в більшості випадків це буде адреса 192.168.0.1 або 192.168.1.1.
Для доступу до цієї адмінки треба мати логін і пароль (йдеться саме про пароль до адмінки налаштувань, а не роутера, який використовується при кожному новому підключенні). І тут ми бачимо першу проблему – паролі за замовчуванням. Більшість роутерів (та часто інші пристрої на зразок відеокамер) мають паролі, встановлені виробником. Передбачається, що під час налаштування пристрою ви зміните цей пароль на більш надійний, однак це робиться далеко не завжди, залишаючи традиційні admin:admin або подібні, які можна дізнатися за кільканадцять секунд пошуку онлайн. Знаючи пароль за замовчуванням, будь-хто, хто приєднався до вашого домашнього Wi-Fi, може зайти в налаштування вашого роутера і змінити їх на власний розсуд.
Змініть пароль за замовчуванням на інший, але при цьому варто зберегти новий пароль у надійному місці, бо якщо ви його забудете, для входу в адмінку роутера найімовірніше доведеться скинути його до заводських налаштувань (а отже, доведеться заново налаштовувати).
Наступний крок – як, власне, убезпечитись від того, що хтось неподалік зможе приєднатися до нашого Wi-Fi.
Мова насамперед про пароль до Wi-Fi (припускаємо, що він у вас є, адже якщо ваш домашній Wi-Fi незапаролений, то до нього може приєднатися будь-хто). Основна загроза – якщо ви використовуєте типовий і/або короткий пароль (qwerty, 1234567890, tarastaras тощо), зловмисник може його досить швидко підібрати. Звідси порада – змінити пароль на довший, складніший та унікальний, який більше ніде не використовується.
Втім, є важливий нюанс – якщо на вашому роутері увімкнено функцію WPS (можливість підключитися до Wi-Fi без пароля), зловмисник у більшості випадків зможе отримати доступ до вашої мережі менш як за добу, і при цьому немає значення, який у вас пароль.
Випадки, коли є потреба використання WPS у домашній мережі, вкрай поодинокі, тому цю функцію варто вимикати (якщо дійсно знадобиться підключити новий пристрій із використанням WPS, ви завжди можете знову піти в адмінку і повернути цю функцію).
Після цього варто перевірити, які стандарти шифрування підтримує ваш роутер. Найімовірніше, у адмінці ви побачите варіанти WEP, WPA, WAP2, якщо ваш роутер новий, то WPA3.
Що про них варто знати: WEP найстаріший і найбільш вразливий, WPA3 найновіший, але може не підтримуватись деякими старішими телефонами чи комп’ютерами. Відповідно, оптимальний вибір – стандарт не нижче WPA2, і точно не WEP.
Важливий момент: після зміни стандарту найімовірніше знадобиться перепідключити усі пристрої (ноутбуки та телефони).
Наступний крок складніший, і пов’язаний він із програмним забезпеченнням (прошивкою) роутера. Як і в усьому програмному забезпеченні, у прошивках роутерів час від часу знаходять вразливості, які дозволяють зловмисникам атакувати ваш роутер. Виробники роутерів випускають оновлення, щоб закрити ці вразливості.
Знайдіть в адмінці версію прошивки (firmware). Після цього для певності варто піти на сайт виробника, знайти там модель вашого роутера і порівняти, чи остання версія прошивки така сама, що стоїть на вашому роутері.
Якщо ні, то варто подумати про те, щоб її оновити. При цьому варто розуміти, що є невелика, але все ж наявна ймовірність, що під час оновлення щось піде не так, і ваш роутер перестане коректно працювати.
Тому перед тим, як робити оновлення, по-перше, варто зробити в окремий файл резервну копію поточних налаштувань роутера, і завантажити файл на комп’ютер, щоб можна було їх відновити. По-друге, ви можете обрати і прийняти ризик (застаріла прошивка не означає, що ваш роутер стовідсотково вразливий, і що цією вразливістю хтось скористається) та не оновлюватися.
У разі, якщо ви таки вирішили оновлювати: дуже добре, якщо є можливість оновити прошивку, натиснувши на кнопку в а адмінці роутера. На жаль, іноді такої змоги немає, і вам треба буде піти та завантажити на сайті розробника файл із прошивкою, завантажити його в адмінку роутера та обрати пункт оновитися.
Важливо: завантажувати файл із прошивкою можна виключно із офіційного сайту виробника. Прошивки з інших джерел можуть містити в собі зловмисний код, яким можна скористатись для доступу до вашого роутера.
Остання річ, яку варто згадати, це гостьова мережа. Її ідея в тому, що ви створюєте ще одну Wi-Fi мережу з іншим паролем, і пристрої, підключені до гостьової, не будуть «бачити» пристроїв із основної мережі, а отже, не зможуть завдати їм шкоди. Пароль до цієї другої мережі ви можете давати гостям. Цей вид захисту може бути дещо надмірним для домашньої мережі, адже до вас навряд чи приходить багато незнайомих вам людей, як це буває у кав’ярні чи іншій комерційній компанії. З іншого боку, гостьова мережа може бути корисною у випадку, якщо в когось із ваших друзів ноутбук заражений зловмисним програмним забезпеченням або якщо ви просто хочете часто міняти гостьові паролі без потреби щоразу перезаходити на своїх пристроях.
Якщо у вас вдома багато розумних пристроїв, як от роботи-пилососи, освітлення, тв і т.д. з під’єднанням до Wi-Fi, то рекомендовано під’єднувати їх до окремої WiFi-мережі, відмінної від тієї, до якої під’єднуєте свої комп’ютери та мобільні. Якщо цим пристроям потрібен лише доступ до Інтернету, то хороша ідея під’єднати їх до гостьової Wi-Fi-мережі.
Детальніше підходи до під’єднання розумних пристроїв ми розглянемо в наступних статтях.