Najprej se povežete z brezplačnim Wi-Fi omrežjem, ki ga zagotavlja vodstvo kavarne. Nato svoj prenosnik povežete s projektorjem, da ima nad vašo vsebino pregled celotna kavarna, nazadnje pa nekaj natiskanih kopij zaupnih specifikacij izdelkov razdelite ostalim gostom, da bodo lažje sledili.

Morda vam zgornji scenarij zveni absurdno, a če uporabljate javno dostopno točko ne da bi prej poskrbeli za primerne varnostne ukrepe, je to ravno tako, kot da bi povabili ostale goste v kavarni, naj si skupaj z vami ogledajo zaupne podatke podjetja.

Odprti tipi brezžičnih omrežij ne poznajo zasebnosti

Dandanes večina tehnično podkovanih uporabnikov ve kako (in zakaj) zavarovati svoje domače brezžične usmerjevalnike. Operacijska sistema Windows 7 in Vista vam pri povezavi na nešifrirana brezžična omrežja prikažeta opozorilo v pojavnem okencu.

V kavarnih, na letališčih, v knjižnici in drugje pa se ljudje pogostokrat povežejo z javnim omrežjem brez pomisleka – in čeprav je morda nešifrirana povezava sprejemljiva pri preverjanju športnih rezultatov ali informacij o poletih, pa temu ni tako, če se odločimo za prebiranje e-pošte ali kakšno spletno aktivnost, ki zahteva prijavo v sistem. To je podobno kot če bi imeli sredi gruče ljudi zaupen pogovor preko zvočnika.

Zakaj torej vsa podjetja ne šifrirajo svojih brezžičnih omrežij? Odgovor tiči v težavnem sistemu za dodeljevanje gesel v zasnovi IEEE 802.11: Za šifriranje prometa mora lastnik omrežja oziroma njegov upravljalec izbrati geslo, ki mu pravimo mrežni ključ ("network key"). Takšna ureditev potrebuje eno geslo za vsako omrežje, ki si ga delijo vsi uporabniki omrežja, pa naj je administrator izbral manj varno zaščito WEP, ali pa bolj varno WPA oziroma WPA2.

Doma morate geslo nastaviti le enkrat in nato geslo povedati vsem družinskim članom, nato pa že lahko brezskrbno brskate po spletu iz svojega ležalnika na verandi. V kavarni bi moral natakar ali točaj to geslo (ali pa 26-mestni heksadecimalni ključ WEP) predati vsakemu novemu gostu posebej in jim morda celo pomagati pri morebitnih težavah s povezavo – kar vsekakor ni opravilo, ki bi ga tipični gostinci z užitkom počeli. V takem primeru je najlažje imeti prazno geslo.

A tudi če je omrežje šifrirano, vseeno niste popolnoma varni. Ko vaš računalnik izve geslo, je vaša komunikacija varna zgolj pred ljudmi, ki niso na omrežju – vsi ostali gostje v kavarni še vedno lahko vidijo vaš promet, saj uporabljajo isto geslo.

Vaše osebne zadeve so lahko zanimive za vašo konkurenco

Lahko ste mnenja, da vaši podatki niso dovolj pomembni, da bi kogarkoli zanimali. Morda samo prebirate javne spletne strani in se ne prijavljate v e-poštne sisteme ali spletne aplikacije, ki zahtevajo geslo. V tem primeru ste najbrž varni, mar ne? Ni rečeno.
Predstavljajte si, da ste povezani z letališkim Wi-Fi omrežjem medtem ko se vračate s konference ali sejma. Verjetno je mala verjetnost, da boste v tem trenutku šli prebirat na stotine e-sporočil v vašem e-poštnem predalniku (ali pač?), ni pa tako za lase privlečeno, da bi se takrat odločili malce pobrskati po spletnih straneh konkurence, da bi dobili kako novo idejo. Še verjetneje je, da bi šli v času, ko čakate na odhod letala, na internet preganjat dolgčas.

V ozadju pa vaš e-poštni odjemalec zazna internetno povezavo in prične prenašati vaša e-sporočila s poštnega strežnika. Vaš sodelavec v pisarni opazi, da se je vaš status v programu za takojšnje sporočanje (gtalk, messenger, skype, ipd.) spremenil v "prijavljen ("online") in vam pošlje panično prošnjo: "Velik problem v tovarni! Možnost zavrnitve celotne linije. Takoj pokliči Tomaža!"

Vse kar je potrebno, je program za analizo brezžičnih podatkovnih paketkov, in vaš soudeleženec konference, ki sedi v istem prostoru, že lahko prične z nabiranjem konkurenčnega znanja zgolj sodeč po obiskanih spletnih straneh in po vaših (verjetno nešifriranih) takojšnjih sporočilih – da ne omenjamo zasebne e-pošte perspektivnega delodajalca, ki lahko nakazuje, da imate v načrtu prestop, ali pa sporočil, ki nakazujejo, da imate kakšne zakonske težave. Kratko povedano, tisti "drugi tip" bere vaša sporočila pred vami, vi pa niti niste ničesar naredili.

Za spletno pošto uporabljajte tehnologijo SSL

Prvič, vohljanja e-pošte se lahko obvarujete, če uporabljate spletni e-poštni sistem (webmail) z HTTPS skozi celotno sejo. Skoraj vsi sistemi za spletno pošto pri prijavi uporabljajo HTTPS, tako da je prenos vašega gesla varen. Problem pa je, ker po overitvi prijavnih podatkov ti sistemi običajno spet preklopijo na http, saj tako zmanjšajo (računsko) obremenjenost  strežnikov, posledično pa je tudi prenašanje oglasov lažje.

To pomeni, da lahko vsak, ki je na istem brezžičnem omrežju (bodisi nešifriranem, ali pa uporablja enako geslo), prebira vsebino vaše e-pošte. V določenih primerih lahko oseba ukrade piškotek vaše seje in se nato v webmail sejo prijavi tudi brez vašega gesla. (Vse dokler ne kliknete na gumb "odjava" – kar pa zagotovo storite vsakič, ni tako?)

Dve svetli izjemi sta Gmail in vaš službeni e-poštni sistem (kot je Outlook Web Access). V začetku leta je Gmail prešel iz običajne prakse, kjer se HTTPS uporablja zgolj pri prijavi, na uporabo HTTPS skozi celotno Webmail sejo.

Uporabniki orodja Google Apps so pred tem imeli možnost vklopa te storitve, zdaj pa je le-ta privzeto vključena, pri čemer imate še vedno možnost, da jo izklopite (če sovražite varnost). S to spremembo v kombinaciji z Googlovimi novimi algoritmi za zaznavo sumljivih prijav zdaj Google močno izstopa med brezplačnimi ponudniki spletne pošte. Če ste iskali razlog, da bi zamenjali svoj obstoječ e-poštni račun pri ponudniku Hotmail, Yahoo ali AOL, ste ga ravnokrat našli.

Vaš službeni sistem za spletno pošto je najverjetneje prav tako ves čas zaščiten z HTTPS, saj je to privzeta nastavitev pri večini sistemov. Po drugi strani pa je varnost spet vprašljiva, če službena e-sporočila pregledujete z namiznim programom (Outlook, Thunderbird, ali na sistemih Mac OS X npr. aplikacija Mail), saj imate lahko v njih šifriranje vključeno ali izključeno.

Plačane vroče vstopne točke (hotspots): varnost ni vključena v ceno

Med popotniki in ljubitelji kave vlada zmotno prepričanje. Večina namreč misli, da so komercialne vstopne točke, pri katerih plačate dostop na uro ali pa mesečno naročnino (v ZDA so to npr. AT&T, Boingo, GoGo, T-Mobile), bolj varne kot tiste, ki so brezplačne, saj je prisotno tudi plačilo in geslo.

Dejstvo pa je, da je večina plačljivih vstopnih točk nešifriranih in zgolj uporabljajo takoimenovan "omejen spletni portal" (captive Web portal), s katerim preprečijo dostop do interneta, dokler ne vnesete naročniškega gesla, oziroma kako drugače plačate za dostop. Čeprav tovrsten "prehodni" spletni portal običajno deluje preko HTTPS (s čimer zaščitijo podatke o kreditni kartici ali geslo), je po avtentikaciji ves promet preko brezžičnega omrežja nešifriran.

Posledično vam 20 € mesečne naročnine lahko zagotovi dostop, varnosti pa žal ne. Še več, zaradi narave prenosov radijskih frekvenc lahko neka druga oseba – tudi če ni naročnik – še vedno vidi ves nešifriran promet, ki ga pošljete – mora se samo prijaviti v brezžično omrežje z enakim SSID.

To pomeni, da lahko druge osebe enostavno opazujejo vaše aktivnosti na spletu in prestrezejo vse HTTP spletne strani, ki jih redno obiskujete, vso nešifrirano POP3 e-pošto, do katere dostopate, in do vseh vaših FTP prenosov. Talentirani hekerji lahko svojo brezžično kartico celo tako priredijo, da klonirajo identiteto vaše brezžične kartice, s čimer pridobijo brezplačen dostop preko komercialnih vstopnih točk, saj se "obešajo" na vaš signal.

Uporabite svoj VPN

Če vaše podjetje z internetnim dostopom ponuja povezavo VPN (virtualno zasebno omrežje), bi vsekakor morali izkoristiti to funkcionalnost, ko uporabljate brezplačne ali komercialne Wi-Fi vstopne točke. Če na svojem prenosniku omogočite funkcijo VPN, boste zagotovili, da je vsa vaša komunikacija močno šifrirana in da poteka v strogo zaprtem tunelu od Wi-Fi vstopne točke, preko internetnega omrežja, do podatkovnega centra vašega podjetja.

To je varen način dostopanja do virov podjetja (intranet, e-pošta, podatkovne baze), saj imate ne glede na to, kdo je na deljenem brezžičnem omrežju, z vašim podjetjem vzpostavljen zaseben tunel. V nekaterih podjetjih VPN nastavitve poleg dostopa do virov podjetja omogočajo tudi brskanje po internetu.

Tovrstne postavitve so morda malenkost počasnejše od nešifriranega brskanja po spletu, a je varnost tega zagotovo vredna. Poleg tega lahko na potovanjih v državah, ki uveljavljajo cenzuro spleta (kot sta Kitajska in Egipt), svoj promet prenašate preko tunela VPN povezave s svojim podjetjem v Sloveniji in na ta način dosežete iste spletne strani, kot če bi bili v domovini.

Če vaše podjetje ne ponuja VPN storitve, oziroma omogoča le "split tunneling" VPN (pri katerem skozi šifriran tunel potujejo le paketki namenjeni v vaše podjetje, ostali pa se prenašajo do svojega cilja neposredno brez šifriranja), naj vas nikar ne skrbi – še vedno lahko drugače poskrbite za svojo varnost.

Preizkusite brezplačno storitev HotSpot Shield, ki jo ponuja AnchorFree. Podjetje uporabnikom ponuja lasten VPN program, ki ga na svoj prenosnik namestite pred uporabo javnega brezžičnega omrežja.

Ko program namestite in ga omogočite, bo šifriral ves vaš internetni promet in ga pošiljal skozi tunel do podatkovnega centra HotSpot Shield, od tam pa naprej v internet – na podoben način kot to sicer počne VPN strežnik (ali naprava) v podjetju. HotSpot Shield podpira celo storitev mobilnega VPN (brez dodatnih prenosov), s katerim lahko varno brskate po spletu tudi s svojim iPhone-om in vgrajenim Cisco VPN odjemalcem, ki ga zagotavlja Apple.

S tovrstno storitvijo bo vaša povezava varna od vstopne točke (npr. kavarna) do podatkovnega centra AnchorFree, ki se nahaja v Severni Kaliforniji. Od tam naprej in do končne točke na svetovnem spletu vaš internetni promet ni več šifriran – vse skupaj pa je isto, kot če bi po internetu brskali na prenosniku, ki bi bil priključen neposredno v podatkovni center vašega podjetja.

Takšna rešitev ne zagotavlja najboljše možne zaščite, saj podatki od vstopne točke pa do obiskane spletne strani ne potujejo ves čas po šifriranem tunelu, a je neprimerno bolj varna, kot če sploh ne bi uporabljali VPN storitve; Za dostop do vaših podatkov bi namreč "vohljači" potrebovali dostop do podatkovnega centra AnchorFree in ne le do Wi-Fi omrežja, na katerega bi bili priključeni vi.

Povzetek varnega brskanja po Wi-Fi omrežjih

Če povzamemo članek v 6 točkah:

1. Če ima vaše podjetje VPN rešitev, ki jo lahko uporabite za brskanje po spletu, jo uporabite.
2. Če vam VPN podjetja ni na voljo, preizkusite storitev HotSpot Shield.
3. Nikar ne enačite plačljivih Wi-Fi omrežij z varnim brskanjem.
4. Na nešifriranih brezžičnih omrežjih lahko vsakdo vidi, katere spletne strani obiskujete (z izjemo HTTPS spletnih strani).
5. Na šifriranih brezžičnih omrežjih lahko vsakdo, ki ima geslo, vidi, katere spletne strani obiskujete (to je lahko le peščica ljudi v vaši hiši, ali pa na stotine ljudi na letališču).
6. Če že morate uporabljati Wi-Fi dostopno točko brez kakršnekoli VPN zaščite, si predstavljajte, da je vaš prenosnik povezan na jumbo zaslon v hali Tivoli ali na kakšnem koncertu. Ne obiskujte nobenih strani, ki jih ne bi obiskali, če bi vedeli, da vas opazuje na tisoče ljudi.