บางคนสามารถดาวน์โหลดไฟล์จากคอมพิวเตอร์ส่วนตัวของคุณเมื่อคุณใช้ WiFi สาธารณะได้หรือไม่? [ปิด]

29

สถานการณ์จำลอง: คุณใช้คอมพิวเตอร์แล็ปท็อปเชื่อมต่อกับเครือข่าย WiFi สาธารณะที่สตาร์บัคสนามบิน ฯลฯ

คำถาม: คนแปลกหน้าสามารถเชื่อมต่อกับเครือข่าย WiFi เดียวกันนั้นสามารถดาวน์โหลดไฟล์จากคอมพิวเตอร์ของคุณได้หรือไม่? คนแปลกหน้าสามารถดูไฟล์ของคุณได้หรือไม่?

wireless-networking  internet  file-transfer  wifi-transfer 
Test100
แหล่งที่มา
5
ใช่. เมื่อฉันพยายามที่จะคัดลอกไฟล์จากแล็ปท็อปของเพื่อนของฉันในขณะที่เรากำลังเชื่อมต่อกับ wifi สาธารณะเดียวกันที่ร้านกาแฟ คาดเดาอะไร เจ้าของใส่วิดีโอสำหรับผู้ใหญ่ลงในโฟลเดอร์เอกสารสาธารณะ แน่นอนว่าเป็นเพราะความประมาทดังที่กล่าวไว้ด้านล่าง คุณสามารถค้นหาข้อมูลเพิ่มเติมได้ในsecurity.stackexchange.com/q/36263/89181 security.stackexchange.com/q/14927/89181
phuclv
2
@ LưuVĩnhPhúc: คุณหมายถึง "ของพวกเขา" เหมือนที่พวกเขาถ่ายทำใช่มั้ย!
การแข่งขัน Lightness กับ Monica
คำตอบขึ้นอยู่กับระบบปฏิบัติการและสิ่งที่บริการและ daemons ทั้งหมดจะถูกเรียกใช้
can-ned_food
@LightnessRacesinOrbit ผมหมายถึง "ของ" เป็นไฟล์ครอบครองของพวกเขาไม่ได้บันทึกภาพเคลื่อนไหวของตัวเอง (เพราะผมเองก็ไม่ทราบว่ามีแล็ปท็อปที่)
phuclv
@ LưuVĩnhPhúc: Jokes
การแข่งขัน Lightness กับโมนิก้า

คำตอบ:

51

คำถาม: คนแปลกหน้าสามารถเชื่อมต่อกับเครือข่าย WiFi เดียวกันนั้นสามารถดาวน์โหลดไฟล์จากคอมพิวเตอร์ของคุณได้หรือไม่? คนแปลกหน้าสามารถดูไฟล์ของคุณได้หรือไม่?

ใช่ แต่มันต้องใช้ความประมาทอย่างมีนัยสำคัญในส่วนของเหยื่อ

สำหรับ Windows สำหรับ starters คุณจะต้องบอกระบบว่าเครือข่ายที่คุณเชื่อมต่อนั้นเป็นที่บ้านหรือที่ทำงานไม่ใช่ "สาธารณะ" เนื่องจากคุณควรรู้ว่าคุณอยู่ในสนามบินจึงไม่น่าเป็นไปได้

จากนั้นคุณควรอนุญาตให้ลงชื่อเข้าใช้ของแขก (โดยค่าเริ่มต้นไม่ใช่)

หรือคุณจะต้องเข้าถึงระบบที่ไม่ได้เข้ารหัสภายนอกที่รองรับการตรวจสอบสิทธิ์ Windows บริการควรอยู่นอกสนามบินและอนุญาตให้ลงชื่อเข้าใช้จากอินเทอร์เน็ตและมีน้อยมากที่อนุญาตให้เรียกใช้งานที่ไม่ได้เข้ารหัส

ท้ายที่สุดระบบนั้นและกล่องของคุณจะต้องใช้ชื่อผู้ใช้และรหัสผ่านเดียวกัน ด้วยวิธีนี้รหัสผ่านที่บันทึกไว้ในขั้นตอนก่อนหน้าจะอนุญาตการเข้าสู่ระบบภายนอกในระบบของคุณ หรือคุณต้องมีชื่อผู้ใช้ที่คาดเดาได้ง่ายและรหัสผ่านเดียวกันกับบริการ cleartext ที่คุณเข้าถึง

มิฉะนั้นผู้โจมตีอาจวางยา DNS แคชของคุณและ "โน้มน้าว" ระบบของคุณว่าเซิร์ฟเวอร์ Facebook หรือเซิร์ฟเวอร์ GMail หรือสิ่งที่คุณมีอยู่ในกระเป๋าเดินทางของเขา จากนั้นเขาจะบังคับให้มีการเชื่อมต่อ HTTPS (เช่นผ่านการโจมตีแบบ MitM ซึ่งคุณต้องเพิกเฉย) หรือปลอมในที่ชัดเจน (และคุณต้องไม่สังเกตเห็นความจริงที่ว่าคุณกำลังทำงานใน HTTP ธรรมดา) วิธีนี้อีกครั้งโจมตีสามารถได้รับหนึ่งของรหัสผ่านของคุณ หากเป็นสิ่งที่ดีสำหรับระบบของคุณหรืออนุญาตให้มีการโจมตีด้วยการดึงรหัสผ่านในระบบอื่นคุณ (และ / หรือบัญชีธนาคารออนไลน์ของคุณ) กำลังจะเป็น pwn3d

นี่ไม่ใช่ WiFi ที่คุณต้องการ

ที่จริงแล้วผู้โจมตีไม่จำเป็นต้องทำอะไรมากมายเพื่อรวบรวมการเข้าถึงการส่งสัญญาณของคุณ เขาอาจเป็นเจ้าของเครือข่าย WiFi มาตลอดซึ่งเพิ่งตั้งค่า AP อันธพาลประกาศตัวเองว่าเป็น "Airport Free WiFi" ความจริงที่ว่าชื่อ AP ดูเหมือนถูกต้องตามกฎหมายไม่มีอะไรเลย: มีระบบที่ได้รับการออกแบบมาสำหรับเรื่องนี้ - ซื้อหนึ่งใบชาร์จข้ามคืนไปที่สนามบินและเริ่มหลอกล่อปลา ระบบจะเลือก "นวด" ข้อมูลที่ไหลผ่านเพื่อให้มั่นใจว่าการใช้ประโยชน์จากรหัสผ่านและข้อมูลรับรองสูงสุด

เมื่อคุณเชื่อมต่อกับเว็บไซต์ที่คุณเชื่อถือได้ (หรือคุณเชื่อว่า) คุณสามารถหลอกให้ดาวน์โหลดและดำเนินการบางอย่างที่จะทำให้การควบคุมสมบูรณ์ของผู้โจมตีไม่ว่าโดยตรง (เช่นใน Windows ผ่าน WSH) หรือผ่านช่องโหว่บางอย่าง

บน Linux ความแตกต่างที่เกี่ยวข้องเท่านั้นคือคุณควรแชร์ดิสก์ของคุณหรือเปิดพอร์ตการดูแลระบบระยะไกล 22 (SSH) เงื่อนไขทั้งสองมักเป็นเท็จในการแจกแจงสติใด ๆ ที่ฉันรู้

แต่มันไม่ใช่แค่ไฟล์ของคุณ ...

การมีดิสก์ที่ปลอดภัยของคุณนั้นไม่มีการรับประกันสำหรับบัญชีธนาคารออนไลน์ Dropbox อีเมล ฯลฯ ปัญหานี้อยู่ที่การรับรองและ / หรือการแอบอ้างบุคคลอื่น สิ่งที่เกิดขึ้นจริงนั้นเกิดขึ้นหลังจากนั้น

ซึ่งเป็นสาเหตุ:

  • คุณควรหลีกเลี่ยงการใช้เครือข่ายที่ไม่รู้จัก
  • หากใช้ให้ใช้งานผ่าน VPN ที่เข้ารหัส
  • เสมอสูงระบบรักษาความปลอดภัย (เฉพาะประกาศเครือข่าย "บ้าน" ของคุณในเครือข่ายของคุณที่บ้าน)
  • อัพเดตระบบอยู่ตลอดเวลาพร้อมป้องกันไวรัสที่เหมาะสม
  • อย่าใช้รหัสผ่านที่สำคัญซ้ำสำหรับไซต์ต่างๆ
  • รักษาความตระหนักในสถานการณ์ - สังเกตสิ่งต่าง ๆ เช่น "ล็อกสีเขียว" บนไซต์ HTTPS บกพร่องเล็กน้อยในหน้าจอเข้าสู่ระบบที่ไม่รู้สึก "ถูกต้อง" และความแปลกประหลาดใน URL (เช่น "myonlinebank" กลายเป็น "myon I inebank")

ระมัดระวังนิรันดร์คือราคาของเสรีภาพ

LSerni
แหล่งที่มา
2
@ จุดที่ดีมาก สิ่งที่ฉันหมายถึงคือถ้าคุณเคยประกาศเครือข่ายในบ้านนั่นควรเป็นเครือข่ายในบ้านของคุณ แต่คุณดีกว่าที่จะไม่ไว้วางใจแม้กระทั่ง (สิ่งที่มาพร้อมกับเครื่องพิมพ์เครือข่ายที่สามารถเข้าถึงได้จากภายนอกและ / หรือดาวน์โหลดแพ็คเกจ OTA ที่เป็นอันตรายเป็นต้น - เป็นที่ทราบกันดีว่าเกิดขึ้น: esecurityplanet.com/network-security/ ...... )
LSerni
2
Yes, but it requires significant carelessness on the victim's part.หรือความเป็นมืออาชีพและความพร้อมของผู้โจมตี
VL-80
2
"หรือคุณต้องเข้าถึงในที่ชัดเจนบางระบบภายนอกสนับสนุนการตรวจสอบ Windows." "ชัดเจน" หมายถึงอะไร จริงๆแล้วทั้งย่อหน้าและอีกหนึ่งย่อหน้าหลังจากมันไม่สมเหตุสมผลสำหรับฉัน คุณสามารถให้ตัวอย่างของประเภทของการโจมตีที่คุณอธิบาย?
Anthony Grist
1
@AnthonyGrist เขาหมายถึงไม่ได้เข้ารหัส ฉันเห็นด้วยว่าถ้อยคำนั้นสร้างความสับสนเล็กน้อย สถานการณ์ที่อธิบายไว้คือคุณเข้าถึงทรัพยากรในช่องสัญญาณที่ไม่ได้เข้ารหัสดังนั้นการส่งชื่อผู้ใช้และรหัสผ่านของคุณในแบบธรรมดาและการรวมชื่อผู้ใช้ / รหัสผ่านเดียวกันนั้นเป็นสิ่งที่ให้สิทธิ์แก่ผู้โจมตีเข้าถึงเครื่องของคุณได้
Jon Bentley
1
@ LSerni ในความเป็นธรรมกับคุณฉันเข้าใจว่า "ชัดเจน" หมายถึง "ไม่ได้เข้ารหัส" แต่บางทีมันอาจจะไม่ใช่สำนวนภาษาอังกฤษเหมือนที่ฉันคิดว่ามันเป็นเรื่องธรรมดา :)
ด่าน J
2

อาจเป็นไปได้ว่าพวกเขาสามารถเก็บข้อมูลส่วนบุคคลวางยาแคชของ DNS และสิ่งที่น่ารังเกียจอื่น ๆ อีกมากมาย แต่พวกเขาไม่สามารถดาวน์โหลดไฟล์ส่วนบุคคลของคุณได้

หากมีเหตุผลบางอย่างที่พวกเขาสามารถจับรหัสผ่านของคุณถูกส่งในรูปแบบธรรมดาพวกเขาสามารถ ssh ไปยังคอมพิวเตอร์ของคุณโดยสมมติว่าคุณอนุญาตการเชื่อมต่อพอร์ต 22 ที่เข้ามา (ไม่น่าเป็นไปได้)

หากพวกเขาสามารถบังคับให้คุณยอมรับไฟล์ที่เป็นอันตรายได้คุณสามารถเปิดการโจมตีพร็อกซีย้อนกลับโดยไฟล์ที่คุณยอมรับจะพยายามเชื่อมต่อระบบของผู้โจมตีโดยอัตโนมัติเพื่อให้พวกเขาสามารถเข้าถึงระบบของคุณได้

เวกเตอร์การโจมตีเหล่านี้ไม่ใช่เรื่องง่ายที่จะทำได้ แต่เป็นไปได้ แต่โดยทั่วไปแล้วผู้ใช้ที่มีความปลอดภัยและความปลอดภัยส่วนใหญ่ค่าเริ่มต้นที่แข็งตัวของระบบค่อนข้างดีในการป้องกันการโจมตีดังกล่าว หวังว่ามันจะช่วย

ฌอนดาวี่
แหล่งที่มา
2
โฟลเดอร์แชร์ที่อนุญาตให้เข้าถึงทุกคนได้อย่างไร
user6900
@ user6900 ซึ่งจะมีผลก็ต่อเมื่อคุณเปิดใช้งานการแชร์ไฟล์ โดยค่าเริ่มต้น Windows จะไม่เปิดใช้งานการแชร์ไฟล์บนเครือข่ายที่กำหนดเป็น "สาธารณะ" หากคุณเปลี่ยนตัวเลือกนั้นหรือเลือกที่จะติดป้ายกำกับเครือข่าย Wi-Fi สาธารณะเป็น "ส่วนตัว" ดี ...
Bob
2
ฉันเห็นสิ่งนี้ตลอดเวลาเมื่อฉันเข้าสู่ฮอตสปอตสาธารณะและเดินผ่านเอกสารของคนอื่นด้วยความประหลาดใจ ดูเหมือนว่าผู้คนเปิดใช้งานการแชร์ไฟล์และปล่อยให้ค่าเริ่มต้นอยู่ในตำแหน่งที่แบ่งปันมากกว่าที่พวกเขารู้ หรือบางทีพวกเขาอาจแชร์มากขึ้นเมื่ออยู่ในเครือข่ายส่วนตัวเพราะง่ายกว่าและลืมมันไป ไม่ว่าจะด้วยวิธีใดก็ไม่มีคำถามว่าเกิดขึ้น มาก. โอ้ฉันควรเพิ่มว่านี่เป็นใน OS X ไม่ทราบเกี่ยวกับ Windows
Jonathan van Clute
โทรดีจริง ๆ แล้วคำตอบของฉันไม่รู้เพียงสำหรับระบบที่ใช้ * ระวังฉันไม่กล้าเสี่ยงไปที่หน้าต่างด้านมืดไม่กี่ปีที่ผ่านมาตอนนี้แน่นอนจะไม่พิจารณา wifi สาธารณะสนามบินกับหน้าต่างเริ่มต้น
Sean Davey
2

คุณต้องการหลีกเลี่ยงการใช้ wifi สาธารณะเพื่อรับข้อมูลที่ละเอียดอ่อนเว้นแต่คุณจะมั่นใจได้ในการเชื่อมต่อที่มั่นคงและปลอดภัย มีแนวปฏิบัติที่เรียกว่าMan-in-the-Middleซึ่งผู้ใช้ใกล้เคียงที่ตำแหน่ง wifi สาธารณะได้กำหนดค่าคอมพิวเตอร์ของเขาให้ปรากฏราวกับว่าคุณกำลังเชื่อมต่อกับบริการในพื้นที่ ในความเป็นจริงคุณกำลังเชื่อมต่อกับคอมพิวเตอร์ของเขาซึ่งกำลังทำกิจกรรมของคุณผ่านตัวกรองเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนและมีประโยชน์ เมื่อรวบรวมแล้วกิจกรรมของคุณจะถูกส่งต่อไปยังปลายทางที่ต้องการ

fred_dot_u
แหล่งที่มา
0

ใช่พวกเขาสามารถทำได้เช่นเดียวกับการเชื่อมต่ออินเทอร์เน็ตใด ๆแต่คุณอาจพบว่าการอัปโหลดไฟล์ไปยังตำแหน่งที่แชร์นั้นง่ายกว่าสำหรับการดาวน์โหลด "ผลักดันจากอุปกรณ์" ถูกขโมยมาร์ทโฟน

วิธีที่ปลอดภัยที่สุดในการอนุญาตให้บางคนดาวน์โหลดไฟล์จากอุปกรณ์ของคุณอย่างรวดเร็วในขณะที่ wifi สาธารณะคือการใช้เครือข่ายส่วนตัวของคุณผ่าน VPN และแชร์โฟลเดอร์ในเครือข่ายนั้น นี่คือสถานการณ์ "นักรบถนน"

มิฉะนั้นพวกเขาจะต้องรู้ที่อยู่ IP ของคุณ Dynamic DNS พร้อม SSH สำหรับการลงชื่อเข้าใช้พร้อมกันจะทำงานได้เช่นกัน แต่พวกเขาจะต้องได้รับอนุญาตในไฟล์ DNS แบบไดนามิกสามารถปลูกเองในบ้านคุณสามารถส่งอีเมล IP หรือวางลงบนเซิร์ฟเวอร์

คุณยังสามารถ RDP / VNC ไปยังเครื่องในเครือข่ายส่วนตัวของคุณยังคงเป็นกระบวนการสองขั้นตอนหากคุณกำลังคัดลอกจากอุปกรณ์โฮสต์ก่อน การให้การควบคุมระยะไกลกับอุปกรณ์ของคุณเป็นไปได้เช่นกัน NetAmeeting Ala แต่เงอะงะ

วิธีที่ปลอดภัยน้อยที่สุดคือการใช้เซิร์ฟเวอร์ FTP อย่างง่าย ๆ เพื่อให้เข้าถึงได้ ทุกคนสามารถพูดพลาง ๆ มันอาจไม่รบกวนคุณหากเป็นเพียงรายการช้อปปิ้งหรือสแน็ปเพนเดอร์ผู้มีความสุข

ไฟล์ที่เข้ารหัส + VPN + RDP / VNC จะให้สามเลเยอร์ไม่นับการเข้ารหัส WiFi

mckenzm
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.