Когда вы заходите в новое кафе с включённым Wi-Fi, телефон начинает сканировать эфир. Делает он это не молча. Устройство отправляет короткие служебные пакеты, которые называются probe request. В каждом таком пакете содержится список всех сетей, к которым вы когда-либо подключались. Телефон буквально кричит на весь эфир: «Эй, есть здесь сеть Home_WiFi_5G? А сеть Office_Corp? А сеть Apartment_Moscow?»

В Linux посмотреть этот список можно командой nmcli connection show. В Windows подойдёт netsh wlan show profiles. В macOS — networksetup -listpreferredwirelessnetworks en0. Откройте у себя и посчитайте. У меня в рабочем ноутбуке их около сорока, и половина — сети кофеен, в которые я заходил два года назад и про которые уже забыл.

Любой, кто сидит за соседним столиком с ноутбуком и запущенным airodump-ng, увидит этот список. Фильтр wlan.fc.type_subtype == 0x04 в Wireshark покажет все probe requests в радиусе действия. По этому списку можно понять район проживания, место работы, медицинские учреждения, которые вы посещаете, и даже с кем встречаетесь, если сеть чужой квартиры попала в историю подключений.

Очистка списка сохранённых сетей — не паранойя, а базовая гигиена. Делать это стоит хотя бы раз в квартал, удаляя всё, чем вы точно не пользуетесь. Команда nmcli connection delete "имя_сети" в Linux или удаление профиля в настройках Wi-Fi в macOS занимает пару секунд, но убирает из эфира десятки лишних probe requests.

Когда точка доступа притворяется вашей домашней сетью

Классическая атака Evil Twin работает грубо и эффективно. Злоумышленник поднимает точку доступа с тем же именем, что и легитимная сеть, но с большей мощностью сигнала. Устройство жертвы видит две сети с одинаковым SSID и выбирает ту, что громче. Никаких предупреждений, никаких подтверждений — просто автоматическое подключение.

В коворкинге, где я работал пару лет, была открытая сеть Coworking_Guest. Однажды утром половина резидентов не могла зайти в свои рабочие порталы. Оказалось, что кто-то из новых арендаторов поставил Raspberry Pi с поднятой точкой доступа с тем же именем и перенаправлял весь HTTP-трафик на локальный сервер. Страница авторизации выглядела как корпоративный портал одной из крупных компаний-резидентов. Те, кто вводил свои учётки, попадали в базу атакующего.

Более изощрённый вариант называется KARMA-атака. Точка доступа не копирует конкретный SSID, а отвечает на любой probe request, который слышит в эфире. Ваш телефон спрашивает «есть ли здесь Home_Net?», и KARMA-точка отвечает «да, я Home_Net, подключайся». Для устройства всё выглядит абсолютно легитимно, потому что имя сети совпадает с тем, что оно само только что запросило.

Защита от таких сценариев — использование сетей с WPA2-Enterprise или WPA3-Enterprise, где каждая сессия шифруется индивидуально через RADIUS-сервер. В публичных местах такая аутентификация встречается крайне редко, поэтому остаётся либо VPN, либо полный отказ от любой авторизации в открытой сети.

[seberd_lab slug="wifi-handshake-capture-visualizer"]

Что происходит внутри легитимной сети отеля

Даже настоящая сеть отеля или кафе может быть небезопасной, если администратор не включил client isolation. Эта функция запрещает устройствам в одной сети общаться друг с другом напрямую. В нормально настроенных публичных сетях она включена по умолчанию, но настраивают её далеко не везде.

ARP-spoofing работает на канальном уровне. Атакующий отправляет в сеть поддельные ARP-ответы, в которых сообщает «IP-адрес шлюза теперь привязан к моему MAC-адресу». Ваше устройство верит и начинает отправлять весь трафик на компьютер атакующего. Тот пересылает его дальше на настоящий шлюз, чтобы вы ничего не заметили, но по пути может модифицировать DNS-ответы или подменять HTTP-контент.

Обнаружить такую атаку можно через команду arp -a. Если у IP-адреса шлюза вдруг появился новый MAC-адрес, который не совпадает с тем, что был пять минут назад, это признак подмены. В Linux есть утилита arpwatch, которая логирует все изменения ARP-таблицы и отправляет уведомления при появлении подозрительных записей.

Более продвинутая техника — DNS hijacking. Атакующий не трогает ваш трафик напрямую, а подменяет ответы DNS-сервера. Вы вводите адрес банка, а DNS отвечает IP-адресом фишингового сайта. Браузер показывает валидный сертификат, потому что атакующий заранее получил его на похожий домен вроде sber-login.ru, и вы ничего не замечаете, пока не введёте данные.

Защита от такого сценария — DNS-over-HTTPS или DNS-over-TLS. В Chrome настраивается в разделе «Конфиденциальность и безопасность», в Android — в настройках сети через «Частный DNS», в iOS — через профиль конфигурации или приложение вроде AdGuard. Запросы к DNS-серверу теперь идут внутри HTTPS-туннеля, и подменить их на уровне локальной сети становится невозможно.

Почему PMKID сделал атаки на WPA2 тривиальными

Многие до сих пор считают WPA2-Personal с общим паролем безопасным протоколом. Реальность оказалась неприятнее. В 2018 году нашли уязвимость PMKID, которая позволяет получить хеш пароля без подключения к сети и без участия клиента.

Атакующему достаточно отправить один пакет точке доступа и получить в ответ PMKID — производную от пароля. Дальше хеш ломается локально на GPU с помощью hashcat. Словарь из пары миллиардов распространённых паролей перебирается за несколько минут. Никаких deauthentication-пакетов, никакого ожидания handshake, никакого клиента рядом не нужно.

Проверить, уязвима ли конкретная точка доступа, можно через hcxdumptool и hcxpcapngtool. Если в результате дампинга появляется файл с расширением .22000, значит PMKID получен и пароль теоретически восстанавливается. Единственная реальная защита — переход на WPA3 с протоколом SAE, который устойчив к offline-перебору, но оборудование с поддержкой WPA3 всё ещё встречается не везде.

VPN, который на самом деле не шифрует всё подряд

Рекомендация «используйте VPN» превратилась в мантру и создала индустрию сервисов с непрозрачной бизнес-моделью. Бесплатные VPN из Google Play в независимых исследованиях регулярно показывали наличие трекеров, передачу трафика через собственные серверы для продажи данных и внедрение рекламы.

При выборе платного сервиса смотреть нужно не на маркетинг, а на технические детали. Протокол PPTP устарел и ломается за часы. L2TP/IPsec без дополнительных настроек тоже не идеален. Современные стандарты — WireGuard, OpenVPN и IKEv2/IPsec. WireGuard быстрее и проще в настройке, но у него есть особенность. Он использует фиксированные UDP-порты и не скрывает факт использования VPN от провайдера. OpenVPN можно настроить на работу через TCP 443, что делает его трафик практически неотличимым от обычного HTTPS.

Главное заблуждение про VPN звучит так: он делает весь ваш трафик магическим образом зашифрованным на всём пути. На самом деле VPN создаёт защищённый туннель только до сервера провайдера. Если вы заходите на сайт по HTTP без HTTPS, то на участке от VPN-сервера до конечного сайта данные идут открыто. VPN дополняет HTTPS, а не заменяет его.

Политика no-logs policy — маркетинговый термин, который нужно проверять. Настоящая no-logs политика подтверждается независимым аудитом. Mullvad, IVPN и ProtonVPN проходят такие аудиты и публикуют отчёты. Те, кто просто пишет «мы не храним логи» на сайте без аудита, могут хранить всё что угодно и передавать это по запросу.

Когда публичная сеть блокирует VPN

В аэропортах, отелях и корпоративных сетях часто режут UDP-порты, на которых работает WireGuard и OpenVPN по умолчанию. Соединение просто не устанавливается, и пользователь остаётся один на один с открытой сетью.

Первое, что стоит попробовать — переключение OpenVPN на TCP 443. Этот порт почти никогда не блокируют, потому что на нём работает обычный HTTPS-трафик. Пропускная способность падает из-за особенностей TCP, но соединение хотя бы устанавливается.

Если и это не помогает, приходится использовать обфускацию трафика. Протоколы obfs4, Shadowsocks с плагином obfs4 или Stunnel оборачивают VPN-трафик в обычный HTTPS или TLS, делая его неотличимым от веб-сёрфинга. Настройка сложнее, требует отдельного сервера и понимания того, что вы делаете, но в условиях жёстких блокировок это часто единственный рабочий вариант.

В российских реалиях мобильный интернет стоит настолько дёшево, что режим модема на телефоне часто оказывается лучшим решением, чем любые манипуляции с публичным Wi-Fi. Трафик между устройством и вышкой оператора зашифрован стандартами 4G и 5G, что безопаснее большинства открытых сетей. Скорость в 4G-сетях крупных операторов часто выше, чем в перегруженных публичных Wi-Fi в аэропортах и на вокзалах.

Captive portal как индикатор и как ловушка

Captive portal — страница с условиями использования, на которую перенаправляет браузер после подключения к публичной сети — характерна для легитимных сетей. Если подключение прошло мгновенно без такого перенаправления, это повод насторожиться. Возможно, вы подключились к Evil Twin, которая ещё не настроила редирект.

Но сам captive portal тоже может быть ловушкой. Никогда не устанавливайте через него «необходимые кодеки», «обновления браузера» или любое другое ПО. Это классический вектор доставки вредоносного софта. В некоторых отелях и аэропортах на страницы captive portal встраивают ссылки на загрузчики троянов, замаскированные под системные обновления.

Вводить личные данные в форму captive portal тоже не стоит. Если сеть требует указать email или номер телефона для доступа, используйте одноразовый адрес или виртуальный номер. Эти данные часто продаются рекламным сетям или попадают в базы для фишинговых рассылок.

Двухфакторная аутентификация, которая не работает

Даже если пароль будет скомпрометирован, двухфакторная аутентификация может остановить злоумышленника. Но не все её виды одинаково эффективны, и некоторые создают ложное чувство безопасности.

СМС-коды остаются самым слабым звеном из-за риска SIM-swapping. Атакующий убеждает оператора перевести ваш номер на свою SIM-карту, используя поддельную доверенность или социальную инженерию против сотрудников салона связи. После перехвата номера он получает все СМС-коды, включая те, что приходят для восстановления доступа к почте и банкам.

Приложения-аутентификаторы генерируют одноразовые коды по алгоритму TOTP. Google Authenticator, Яндекс Ключ, Aegis, Raivo OTP работают по стандарту RFC 6238. Код генерируется на устройстве на основе секретного ключа и текущего времени, сетевое соединение не требуется. Секретный ключ нужно сохранить в надёжном месте в виде резервной копии. При потере устройства без этой копии восстановить доступ к аккаунту будет сложно.

Аппаратные ключи вроде YubiKey или Google Titan используют криптографию с открытым ключом и стандарт FIDO2. Атакующий, даже имея ваш пароль и код TOTP, не сможет войти без физического ключа. Для критически важных сервисов вроде основной почты и финансовых приложений переход с СМС на FIDO2 — не опция, а необходимость.

Push-уведомления в мобильных приложениях сервисов создают отдельную проблему. Атака MFA fatigue работает так: атакующий спамит вас запросами на подтверждение входа в три часа ночи, пока вы в полусонном состоянии не нажмёте «Подтвердить», просто чтобы это прекратилось. Многие корпоративные инциденты последних лет начинались именно с такого сценария.

Реальные привычки вместо чек-листов

Безопасность — состояние системы, а не разовое действие. Автоматические обновления для ОС и критически важных приложений закрывают известные уязвимости, которые эксплуатируются месяцами после выхода патчей. Многие успешные атаки используют дыры, для которых исправления вышли ещё полгода назад, но пользователь их просто не установил.

Менеджер паролей решает две задачи одновременно. Он создаёт уникальные сложные пароли для каждого сервиса и проверяет подлинность сайта при автозаполнении. Если вы попали на фишинговый сайт с доменом sber-login.ru, менеджер паролей не подставит сохранённые учётные данные для sberbank.ru, потому что домены не совпадают. Защита от фишинга работает без вашего участия.

Изоляция рискованных активностей — отдельная тема. Для работы в ненадёжных сетях можно создать отдельного пользователя в ОС с ограниченными правами или использовать Windows Sandbox, который создаёт одноразовую изолированную среду, уничтожаемую после закрытия. В Linux подойдёт live-USB с Tails или Kali, которые не оставляют следов на основном устройстве. В macOS — виртуальная машина через UTM или Parallels.

Некоторые действия в публичной сети гарантированно повышают риски до критического уровня. Игнорировать предупреждения браузера о проблемах с сертификатом сайта нельзя. Сообщение «Сертификат безопасности не является доверенным» в публичной сети — прямой признак возможной атаки «человек посередине». Проходить через такое предупреждение кликом «Продолжить» в открытом Wi-Fi — всё равно что оставить дверь квартиры открытой в незнакомом районе.

Использовать публичные компьютеры для доступа к чувствительным данным не стоит даже в теории. Кейлоггер или стилер, установленный на этом компьютере, уже перехватил всё, что вы вводили, задолго до того, как вы вышли из всех аккаунтов и очистили историю.

Зачем всё это усложнение

Цель безопасной работы в публичной сети — не сделать перехват данных абсолютно невозможным, а поднять его стоимость и сложность для злоумышленника настолько, чтобы он предпочёл найти более лёгкую цель. Атакующий в кофейне не будет тратить часы на взлом вашего WireGuard с obfs4, когда рядом сидит человек, который только что ввёл пароль от корпоративной почты в открытой сети без VPN.

Многослойная защита работает по принципу швейцарского сыра. Каждый слой имеет дыры, но дыры в разных слоях не совпадают. Probe requests не раскрывают ваш трафик. VPN не защитит от фишинга. TOTP не спасёт от кейлоггера на устройстве. Но все вместе они создают систему, в которой для успешной атаки нужно преодолеть сразу несколько независимых барьеров.

Люди готовы часами настраивать VPN, выбирать между WireGuard и OpenVPN, но при этом оставляют автоматическое подключение к открытым сетям включённым и не чистят список сохранённых сетей. Базовая гигиена даёт больше, чем самые дорогие инструменты. Удаление тридцати старых профилей Wi-Fi и отключение автоподключения к открытым сетям закрывает больше векторов атаки, чем покупка премиум-подписки на VPN-сервис.

26 мая «Известия» сообщили, что Роскомнадзор оштрафовал 85 операторов связи, которые не предоставили данные об IP-адресах интернет-пользователей. Затем РКН выступил с опровержением: ведомство не собирает информацию об абонентах.

В СМИ текст исправили, но его содержание успело разойтись по интернету. Наши коллеги из MSK1.RU разбирались, что всё это значит и чего ждать простым абонентам.

Что написали журналисты и что заявили в РКН

IP-адрес — это уникальный адрес устройства, подключенного к интернету, и с 2025 года провайдеры обязаны передавать РКН сведения по запросу ведомства. Сначала журналисты написали об IP-адресах абонентов, но потом оказалось, что речь про IP-адреса оборудования самого оператора.

Данные о принадлежности конкретному пользователю этого оборудования или IP-адресов, то есть данные о пользователях, в ведомство не передаются. Сбор данных о пользователях не ведется.

Роскомнадзор

(цитата по RT)

«Журналисты увидели в приказе фразу „IP-адреса используемого оборудования“ и автоматически (и ошибочно) приравняли к ней „IP-адреса абонентских устройств“», — пояснил MSK1.RU эксперт в сфере современных технологий и IT Иван Калмыков.

По его словам, Роскомнадзору незачем собирать данные о пользователях, для этого давно есть СОРМ (система оперативно-разыскных мероприятий) и «закон Яровой».

Скоро силовики будут знать об интернет-пользователях еще больше

Совсем недавно Минцифры расширило перечень данных, которые операторы должны передавать силовым структурам. Как обнаружил «Коммерсант», речь о следующих сведениях: паспортные и адресные данные, ИНН, банковские реквизиты, IP-адреса, домены, логины, геокоординаты и организационные сведения.

Зачем тогда РКН знать про IP

В самом регуляторе сообщили, что сведения об IP-адресах нужны для противодействия угрозам безопасности. Кроме этого, в статье «Известий» было сказано, что эти данные позволяют выявлять работающий VPN и оперативно его блокировать. Сейчас этих строчек нет, но первая версия текста доступна в веб-архиве.

Иван Калмыков подтвердил, что данные об IP-адресах сети оператора нужны для борьбы с DDoS-атаками и на случай масштабной аварии. Эта информация никак не помогает заблокировать VPN-сервер в условном Амстердаме, добавил он.

Что изменилось для простого пользователя

Иван Калмыков призвал не паниковать из-за заголовков. Как он объяснил, наша приватность в интернете осталась на том же уровне, что и вчера.

Государство как знало о ваших действиях в Сети (через СОРМ), так и знает. Никаких новых «жучков» в ваш роутер не поставили, новые базы данных с вашей историей браузера РКН не создает.

Иван Калмыков

IT-эксперт

При этом следует понимать, что интернет становится дороже, добавил он. На операторов связи свалилась беспрецедентная нагрузка, которая требует миллиардных инвестиций в «железо» и софт, а их в конечном счете оплачивает абонент.

Отчасти можно даже порадоваться за кибербезопасность, считает Калмыков. У РКН должна быть автоматизированная карта сети, чтобы обеспечить устойчивость Рунета к атакам и сбоям.

«Чем быстрее ведомство видит „грязный“ трафик на конкретном узле, тем быстрее оно может его отсечь, не „роняя“ при этом соседние регионы. Так что выдыхайте, настраивайте свой домашний Wi-Fi и пользуйтесь интернетом. Для вас как для абонента эта новость — просто шум», — заключил собеседник.

источник: https://www.e1.ru/text/world/2026/06/01/76450070/