Основы безопасного использования интернета

На заре интернета устройства общались друг с другом только с помощью IP-адресов, но вскоре люди поняли, что запоминать числа не очень удобно. Так появился протокол DNS — Domain Name System, система доменных имен.

Теперь вместо 142.250.72.196 вы можете набрать google.com — и браузер отправит запрос на сервер DNS, который указан в настройках вашей сети. DNS-сервер выдаст браузеру нужный IP-адрес, и ваше устройство будет общаться с сервером как обычно.

Разумеется, DNS-серверам нужно сверять свою «адресную книгу»: вдруг появился новый сайт или старый поменял адрес. Для обновления кэша DNS-сервер раз в несколько часов синхронизируется с одним из корневых серверов, которые знают все обо всех. В мире таких серверов всего 13.

Чтобы понять, как мошенники делают фишинговые сайты, нужно сначала разобраться в том, как устроена адресация в интернете.

Адрес любого сайта в интернете состоит как минимум из трех элементов: домена второго уровня, точки и домена верхнего уровня.

Домен верхнего уровня обычно кодирует страну, к которой приписан сайт. Например, в России это .ru, .рф и .su, который раньше принадлежал СССР. А домены .com и .net — международные. Встречаются и тематические варианты: .media, .aero, .museum и так далее.

Домен второго уровня — это чаще всего название компании или какого-то бренда. Слева через точку могут находиться и другие слова — это будут отдельные сайты на доменах следующих уровней.

Без разрешения владельца домена второго уровня никто не сможет создать домен третьего уровня. То есть мошенники не смогут сделать сайт poddelka.yandex.ru. Но они могут купить домен poddelka.ru и зарегистрировать сайт на домене третьего уровня: yandex.poddelka.ru.

Подобные уловки часто используют при создании фишинговых сайтов — копий настоящих сервисов. Например, мошенники могут создать копию «Яндекс Музыки» и пообещать бесплатную подписку на год всем, кто перейдет по ссылке и введет пароль от сервиса.

Подробнее о фишинге мы поговорим в седьмом уроке курса — там вам обязательно пригодятся знания о том, как работают домены.

Запомним:

• Нужно обращать внимание на то, как написаны адреса сайтов, куда вам предлагают перейти, — они могут быть мошенническими.

На заре интернета сайтов вообще не было: компьютеры обменивались статистикой и прочей научной информацией, а люди слали друг другу важные электронные письма. Но в 1990 году людям стало скучно без сайтов с анекдотами, и они придумали протокол HTTP.

HTTP расшифровывается как Hypertext Transfer Protocol, а переводится как «протокол передачи гипертекста». То есть изначально предполагалось, что клиент будет заходить на сервер, скачивать красиво оформленный текст и внимательно его читать. А потом как завертелось: картинки, музыка, видео, браузерные игры, социальные сети, сторис…

И все это на базе протокола HTTP: браузеры по-прежнему заходили на сервер, скачивали специально оформленный файл в формате HTML  и по инструкциям из этого файла показывали всякое на экране. У такого формата была масса недостатков.

Первые онлайн-кабинеты провайдеров и банков передавали данные в открытом виде — прямо в файле HTML. Хакерам было достаточно перехватить такой файл, чтобы узнать, сколько у вас денег на счету и на какой улице вы живете.

Затем провайдеры и банки стали шифровать информацию: увидеть ее можно было только при наличии пароля от личного кабинета. Но сам пароль по-прежнему передавался без шифрования: хакеры взламывали роутеры, прослушивали вайфай-сеть, перехватывали пароль — и заходили в личный кабинет вместо абонента.

Еще в 1994 году специалисты по безопасности предложили шифровать трафик по протоколу HTTP и назвали свое решение HTTPS, где S означает secure — безопасный. Однако более-менее массово HTTPS стали использовать лишь в начале 21 века.

HTTPS не гарантирует, что сайт безопасен и на нем вас не обманут. Буква «S» лишь означает, что обмен данными между вашим устройством и сервером зашифрован. А настроить шифрование могут и мошенники.

Давайте разберемся, что это значит и какие риски существуют. Например, в сценарии, когда вам нужно купить плюмбус в интернет-магазине, введя при этом данные банковской карты.

HTTPS используют большинство современных сайтов. Однако в некоторых сценариях до сих пор используется устаревший HTTP. Например, когда вы пытаетесь подключиться к вайфаю в кафе и открывается страница, на которой нужно ввести номер телефона и код из смс.

Современные браузеры помечают соединение по HTTP как небезопасное и показывают предупреждение. Чтобы посмотреть, как оно выглядит на вашем устройстве, загляните на сайт-пример http://httpforever.com/.

Запомним:

• Если адрес сайта в браузерной строке начинается с HTTP, а не с HTTPS, он небезопасен: не стоит вводить на нем платежные данные и другую важную информацию.

Для начала предупредим: в этом уроке мы не будем подробно разбирать, какие есть стандарты вайфая, чем отличаются частоты 2,4 и 5 ГГц и какие антенны лучше. В Т⁠—⁠Ж есть подробная инструкция, которая ответит на эти вопросы и поможет выбрать подходящее устройство. Сосредоточимся на советах, которые помогут защитить беспроводной интернет независимо от модели вашего роутера.

Итак, мы выяснили, что почти все сайты в интернете общаются с нашими компьютерами и смартфонами по HTTPS — безопасному протоколу связи, в котором все данные зашифрованы, а на взлом трафика даже с одного сайта у хакеров уйдут миллионы лет.

Возникает закономерный вопрос: зачем тогда париться и защищать вайфай, смартфоны и компьютеры, если передача данных надежно зашифрована?

Помните, мы обсуждали публичные и частные IP-адреса? Устройства, которые подключены к вашему роутеру, находятся в вашей частной сети и общаются между собой по другим протоколам, у которых зачастую есть уязвимости.

Если к вашей частной сети подключится хакер, он легко сможет «приказать» вашему принтеру распечатать все четыре тома «Войны и мира», выключит ваши умные лампочки или разморозит умный холодильник.

Продвинутые хакеры не ограничатся шалостями: они могут выявить уязвимости конкретных моделей смартфонов, послать на них специальные команды, получить удаленный доступ к данным, украсть ваши фотографии, переписку в мессенджерах и пароли от соцсетей. А самые крутые хакеры смогут заразить ваш компьютер вирусами и шпионскими программами и будут напрямую получать с него все данные: и тогда не поможет никакое шифрование HTTPS. Это как закрывать двери на сто замков, когда вор уже внутри и с ключами.

Есть еще одна важная причина, почему всегда стоит ставить пароль на роутер. Когда вы включаете радиоприемник, то слышите одну из публичных радиостанций. Стоит сменить частоту — приемник поймает другую радиостанцию. Человек на другом конце города включит радиоприемник — и услышит ту же музыку, что и вы. Все потому, что где-то в городе стоит радиовышка и излучает сигнал. Ваш роутер — такая же радиовышка, только намного менее мощная и вещает на других частотах.

Достаточно обычного ноутбука и бесплатной программы, и сосед «услышит» тот же сигнал, что и вы: если не зашифровать трафик, то сосед будет видеть, какие сайты вы посещаете и какие видео смотрите.

Незащищенная сеть может даже подвести вас под уголовную статью. Были случаи, когда злоумышленники подключались к чужим сетям, чтобы провернуть свои темные делишки. В итоге к вам могут прийти спецслужбы с вопросом, зачем это вы торгуете оружием и запрещенными веществами.

Подставить вас может даже сосед, с которым вы добродушно поделились паролем. Например, если во время жаркого спора в социальной сети он оставит дискредитирующий комментарий, то соцсеть и провайдер выдадут спецслужбам именно ваш IP-адрес, а не соседа.

Запомним:

• Ставить пароль на роутер нужно обязательно. Дальше в уроке расскажем, как это сделать.
• Проверьте, не подключился ли к вашей сети кто-то посторонний, с помощью нашей инструкции.

Если у вас есть выбор, пользоваться общественным вайфаем или раздать интернет с другого устройства, то лучше раздать. Общественные вайфай-сети легко взломать. Особенно это касается незащищенных каналов в кафе, аэропортах и других публичных местах с большой проходимостью. Часто такие сети не используют пароли и шифрование, поэтому взломщикам легче подсоединиться к сети и взломать точку доступа — роутер. В результате они получат доступ ко всему, что скачивают и передают подключенные устройства.

Хакерам необязательно вообще перехватывать трафик. Время от времени в операционных системах ноутбуков и смартфонов находят уязвимости, которые позволяют злоумышленникам получать удаленный доступ к устройству. Например, если к зараженной сети подключится уязвимый смартфон, то хакер сможет получить доступ к фотографиям и списку контактов, прочитает смс и переписку в мессенджере. Такие случаи крайне редки, потому что требуют от хакера высокой квалификации, — но все же возможны.

К тому же хакерам даже необязательно взламывать чужие сети — они могут создать свою. Такая атака называется «атакой злого двойника»: поддельную точку доступа почти невозможно отличить от настоящей. Например, мошенники могут создать вайфай-точку с названием, которое повторяет закрытую сеть, и приписать в конце FREE — так к его сети подключится больше людей.

Запомним:

• По возможности лучше не подключаться к бесплатным общественным вайфай-сетям в транспорте, аэропортах, кафе, ТЦ и так далее.

Если есть возможность, лучше использовать мобильный интернет. Но порой такой возможности нет: например, вы сидите в ресторане, который находится в подвале, и связь не ловит. Или вы где-то за границей, а роуминг стоит безумно дорого.

Что делать, если нужно подключиться к общественному вайфаю:

• Не вносите нигде данные банковских карт и не вводите пароли.
• Не заходите в приложения и онлайн-кабинеты банков.
• Пользуйтесь только сайтами, которые работают по протоколу HTTPS.
• Для дополнительного шифрования трафика по возможности пользуйтесь VPN — об этом мы еще подробнее поговорим дальше в курсе.

Казалось бы: зачем что-то делать, если провайдер вам уже все настроил и даже дал бумажку с паролем от вайфая? Интернет есть, правда, когда приходят гости, им нужно показывать эту самую бумажку, потому что продиктовать пароль из мешанины букв и цифр нереально, а запомнить — еще сложнее.

Но несмотря на кажущуюся сложность, пароли провайдеров зачастую слишком короткие, а поэтому — ненадежные. Минимальная длина пароля от вайфай-сети — восемь символов, и провайдеры редко делают пароли длиннее, чтобы пользователям было легче их вводить. Но чем длиннее пароль от вайфая, тем сложнее хакеру будет его взломать, а точнее — подобрать. Современные сети настолько хорошо защищены, что единственный вариант взломщика — это буквально по очереди пробовать все возможные пароли: 00000000, 00000001, 00000002 и так далее.

Конечно, хакеры это делают не сами, а с помощью компьютеров. Современные процессоры проводят сотни миллионов вычислений в секунду, поэтому пароль из восьми цифр взламывают практически мгновенно. Ведь таких комбинаций всего 100 миллионов — за секунду компьютер просто по очереди попробует каждую из них.

Чем длиннее пароль, тем больше вариантов нужно попробовать компьютеру. Пароль из 14 цифр он будет подбирать три минуты, а из 18 цифр — уже три недели. Зато если добавить к цифрам буквы, то задача станет намного сложнее: на 14 символов у компьютера уйдет четыре года, а на 18 — 2 миллиона лет.

Так что если хотите сделать надежный пароль для вайфая, который будет удобно набирать на умном телевизоре и которым будет легко делиться с гостями, используйте информацию, которая всегда под рукой: например, ваш номер телефона. Добавьте в начало или конец какое-нибудь слово — и вот у вас уже невзламываемый и незабываемый пароль. Получится что-то вроде Haker9951234567 — на подбор такого пароля уйдет 46 миллионов лет.

Подробнее о паролях мы поговорим в четвертом уроке курса. А пока что взгляните на тот пароль, который вам выдал провайдер: если он меньше 12 символов, его стоит сменить. А если он состоит лишь из одних цифр, сделать это нужно как можно скорее.

Запомним:

• Пароль на роутере должен состоять минимум из 12 символов, включая буквы и цифры.

Мы разобрались, зачем ставить пароль на роутер. Теперь разберемся, как именно это сделать. Для начала вам нужно получить доступ к настройкам роутера.

Современные роутеры позволяют подключиться к ним через особый сайт, на который можно зайти лишь из частной сети. Адрес этого сайта обычно указан на нижней стороне роутера: например, tplinkwifi.net. Возможно, вместо адреса сайта там будет указан IP-адрес: 192.168.1.1 или 192.168.0.1 — введите эти цифры в адресную строку браузера.

Далее вам нужно будет ввести логин и пароль для входа — чаще всего они указаны на задней стороне роутера. Обычно логин по умолчанию — admin, пароль по умолчанию такой же — admin. В идеале его стоит сменить на какой-нибудь другой.

Если пара admin/admin не сработала, а на задней крышке ничего нет, попробуйте найти данные для входа в инструкции или вбейте в поисковик название модели. Если роутер вам подключил провайдер, обратитесь в поддержку и скажите, что вы хотите попасть в настройки роутера, чтобы сменить пароль от вайфая, и поэтому вам нужен пароль от роутера.

Учтите, что веб-интерфейс роутера, как и у многих устройств умного дома, работает в локальной сети по протоколу HTTP. Если вы только достали устройство из коробки, то все будет в порядке: вряд ли под вашей дверью дежурит хакер, который моментально подключится к сети и начнет перехватывать данные. А вот если у вас долгое время был ненадежный пароль от вайфай-сети, то лучше предварительно сбросить роутер до заводских настроек: для этого на корпусе устройства обычно есть специальная кнопка, которую нужно нажать и держать 10 секунд.

В панели управления роутером вам нужно найти раздел с настройками безопасности сети. У разных производителей эти пункты называются по-разному, но обычно это что-то вроде «Настройки безопасности» или «Защита сети». По-разному может называться и пароль сети: «Ключ сети», «Ключ WPA» или даже просто «Пароль». Возможно, пароль придется менять не в одном месте, а в двух: сейчас разберемся, почему так.

Роутеры вещают сразу на двух диапазонах частот: 2,4 и 5 ГГц. По законам физики, чем меньше частота сигнала, тем дальше он распространяется. Так и с вайфаем: сети 2,4 ГГц могут пробить кирпичные и бетонные стены, вещать на несколько этажей вокруг и «добивать» даже до соседних зданий. А сети 5 ГГц порой плохо ловят уже в соседней комнате — но зато скорость передачи данных в них в разы быстрее, чем у 2,4 ГГц.

Исторически сети 2,4 ГГц появились первыми, поэтому их поддерживают все устройства с вайфаем. Однако разработчики не ожидали такого успеха технологии и выделили под него довольно узкий диапазон частот: в итоге, если рядом находятся более трех роутеров, они уже начинают создавать друг другу помехи, из-за чего страдает качество связи и скорость соединения.

А вот в диапазоне 5 ГГц доступных каналов связи больше: не мешая друг другу, могут вещать аж 19 роутеров. Этот диапазон поддерживают почти все современные устройства. Есть и исключения: даже современные гаджеты для умного дома могут работать лишь на частотах 2,4 ГГц — такое решение дешевле в производстве.

Но вернемся к роутерам. Одни роутеры создают отдельную сеть для каждого диапазона — тогда пароль придется менять на каждой из них. Более современные модели роутеров создают единую сеть сразу для двух диапазонов — на них пароль нужно будет поменять лишь в одном месте. В таком случае устройства будут сами выбирать диапазон частот в зависимости от того, что им важнее: скорость передачи данных или мощность сигнала.

Заодно можно установить для своей сети красивый SSID  — то есть название вашего вайфая. Его будут видеть все устройства в зоне приема. Некоторые роутеры позволяют делать отдельные SSID для сетей в диапазоне 2,4 ГГц и 5 ГГЦ.

Многие роутеры позволяют скрыть SSID: то есть сеть не будет видно в общем списке сетей, но к ней возможно подключиться, если знать SSID. Это снижает риск несанкционированного доступа, но не обеспечивает полной безопасности. Злоумышленники все равно могут найти сеть другими способами, например с помощью специальных сканеров. Зато скрытие SSID может создать проблемы для пользователей: подключение потребует дополнительных усилий и знаний, а некоторые устройства вообще не умеют работать с такими сетями.

📍 Учтите: после того как вы поменяете пароль или SSID, все ваши устройства потеряют соединение с роутером и придется их заново подключать к вайфаю.

Давайте для начала разберемся, что такое аутентификация и чем она отличается от других похожих слов.

Для роутера эдаким паспортом служит пароль от сети. Только он проводит аутентификацию не один раз, а все время: например, пытается убедиться, что под доверенное устройство не замаскировался хакер.

Но жулики всегда ищут способ обойти защиту. Сто лет назад они переклеивали фотографии в паспортах, чтобы обмануть пограничников. А сейчас они пытаются обмануть протоколы аутентификации роутеров, чтобы попасть в чужую сеть. В ответ специалисты по безопасности прикрывают лазейки и модифицируют протоколы.

Самый современный и надежный протокол называется WPA3  . Однако он появился лишь в 2018 году, и его поддерживают только современные устройства — и то не все. Например, игровая приставка Playstation 5, которая вышла в 2020 году, поддерживает WPA3, а ее конкурент Xbox Series X, вышедший в том же году, — нет. А многие модели бюджетных смартфонов не поддерживают WPA3, потому что это потребует от производителя дополнительных расходов.

В итоге оптимальным вариантом можно считать использование WPA3 совместно с предыдущей версией протокола — WPA2. В настройках роутера такой вариант обычно выглядит как WPA2/WPA3 или WPA2 + WPA3. Роутер будет «спрашивать» устройства, подключающиеся к сети, какую версию они поддерживают, и будет работать с ней.

В отличие от WPA3, в некоторых случаях хакеры могут взломать защиту WPA2. Но если ваш пароль длиной более 13 символов и содержит цифры и буквы, то на его взлом уйдут годы — считайте, что вы в безопасности.

Зато у WPA2 есть огромный плюс: с этой версией работают почти все устройства в мире, ведь с 13 марта 2006 года поддержка WPA2 обязательна для производителей любых устройств с вайфай-модулем.

📍 Оптимальный вариант — использовать комбо из современных протоколов: WPA2 + WPA3.

А вот WPA без циферки или WEP  считаются устаревшими протоколами: хакеры давно научились их взламывать и подбирать пароль буквально за несколько минут. Многие современные роутеры даже не позволяют их выбрать, а смартфоны и ноутбуки при подключении к такой сети выдают страшные предупреждения, что ваши данные под угрозой.

📍 WPA и WEP, а также их совместное использование с WPA2 разумно выбирать лишь в одном исключительном случае: если вам очень, просто очень надо подключить к сети гаджет, выпущенный до 2006 года.

Итак, с версией протокола мы определились. Но роутеры зачастую предлагают несколько вариантов этого протокола: например, WPA2-PSK и WPA2-EAP. Чем они отличаются и какой выбрать?

Тут все просто. EAP  — это версия для компаний, в которых системный администратор может назначить каждому сотруднику свой логин и пароль, чтобы следить за их действиями. PSK  — это привычные нам сети, у которых для всех пользователей один пароль.

📍 Для домашнего использования всегда выбирайте PSK — его еще называют personal.

Шифрование — это древнейший способ сделать так, чтобы злоумышленники не смогли узнать о чем-то важном. Все роутеры шифруют данные, которыми обмениваются с устройствами в сети. Но делают это немного по-разному.

Современные роутеры вообще не предлагают выбрать алгоритм, потому что поддерживают только самый надежный вариант — AES  , что буквально переводится как «усовершенствованный алгоритм шифрования».

Некоторые роутеры предлагают выбрать и менее надежный алгоритм TKIP  . Сделано это ради совместимости: некоторые устаревшие устройства не смогут подключиться к сети, защищенной AES.

📍 Если роутер предоставляет выбор, оптимальный вариант — всегда использовать AES. А если какое-либо устройство после этого не может выйти в интернет, то придется переключиться на компромиссный вариант — совместное использование TKIP и AES, по аналогии с совместным использованием WPA2 и WPA3.

VPN — это аббревиатура, которая расшифровывается как Virtual Private Network, то есть «виртуальная частная сеть». Технологию придумали для того, чтобы компании могли объединять филиалы в единую сеть. Например, чтобы работники офисов в Казани и Минске могли спокойно подключиться к базе клиентов в московском дата-центре. Все данные в виртуальной сети зашифрованы и недоступны даже провайдеру, который обеспечивает соединение с интернетом.

Дело в том, что пользователь связывается с сайтами не напрямую, а через посредника — VPN-сервер. Вы набираете в браузере google.ru, ваше устройство обращается к VPN-серверу и просит скачать данные вместо себя. В итоге сервер поисковика не знает конечного получателя данных и думает, что общается только с VPN-сервером.

В России нет запрета на использование VPN. 1 марта 2024 года вступил в силу запрет на рекламу или популяризацию средств обхода блокировок, к которым относятся и VPN-сервисы. Министр цифрового развития РФ заявлял, что не планируется вводить ответственность за использование VPN-сервисов. Новые запреты касаются только популяризации средств обхода блокировок.

VPN — это всего лишь технология, которая помогает выходить в интернет с помощью сервера-посредника и шифрует трафик между отправителем и получателем. Она не умеет распознавать сайты мошенников, не защитит ваши данные, если вы сами их введете, не обезопасит от вирусов. Если у вас на устройстве установлена программа для перехвата данных, VPN без колебаний отправит эти данные мошенникам.

VPN может предупредить, если кто-то перехватит ваш трафик. Но при этом владельцы VPN-сервиса сами могут перехватить ваши данные и использовать в своих целях. VPN скрывает ваш IP-адрес и местоположение. Но он не обеспечит полную анонимность, особенно если вы войдете в свою учетную запись на сайте.

❗️ Правила безопасности в интернете при работе с VPN ровно такие же, как и без него.

Напоследок мы собрали информацию из урока в короткую памятку. Скачайте ее в формате PDF на свое устройство или отправьте себе в телеграм-сообщении.

1. Публичные IP-адреса видны всем в интернете, частные — только устройствам в вашей локальной сети.
2. HTTPS не гарантирует, что сайт безопасен и на нем вас не обманут. Он лишь гарантирует, что в отличие от HTTP мошенники не смогут расшифровать данные, которыми обмениваются ваше устройство и чужой сервер.
3. Чем длиннее пароль от вайфай-сети, тем больше времени уйдет у хакеров на его подбор.
4. С развитием технологий появлялись все более надежные протоколы связи. Ваш оптимальный вариант — использовать комбо из современных протоколов: WPA2 + WPA3.
5. Если роутер предлагает выбрать между PSK и EAP, всегда выбирайте PSK — это привычные нам всем сети, у которых один пароль для всех клиентов. Иногда такой вариант еще называют personal.
6. VPN в России можно использовать легально для работы и защиты данных. VPN дополнительно шифрует трафик, но не защитит от хакеров, если вы сами введете данные на мошеннических сайтах или установите вирус.

В следующем уроке мы разберемся, как защитить свой смартфон от хакеров, мошенников, маркетологов и любопытных коллег. Вы узнаете, стоит ли ставить антивирус на телефон и какую информацию сливает гаджет, который всегда рядом с нами.