Компания «МаксимаТелеком» сообщила о старте открытого тестирования закрытой Wi-Fi-сети в метрополитене города Москвы. Оператор нацелен обеспечить шифрование трафика, защиту от фальшивых хотспотов и решить проблему смены пользователем mac-адресов.
Новая Wi-Fi-сеть будет работать по технологии Hotspot 2.0, что позволит защитить пользователей от перехвата трафика между точками доступа и мобильными устройствами.
Что такое Hotspot 2.0?
Hotspot 2.0 (HS2) – это новый сетевой стандарт, разработанный для того, чтобы сделать процесс подключения к общедоступным точкам беспроводного доступа более простым и безопасным благодаря бесшовной аутентификации и шифрованию между вашим устройством и точками доступа.
Этот новый подход, также известный как «Passpoint» или «Next Generation Hotspot», основан на стандарте IEEE 802.11u и улучшает способ обнаружения и подключения к точкам доступа в сети.
Данная технология делает возможным переключение между сотовыми и публичными беспроводными сетями Wi-Fi. То есть оборудование само будет переключаться между сетями, подобно тому, как смартфон сам переключается между сотовыми вышками во время движения абонента.
В упрощенной форме процесс выглядит так, что клиентское устройство будет отправлять запрос к точке доступа на получение списка имен всех операторов, абоненты которых имеют право на автоматический вход в данный хот-спот. Если имя вашего оператора есть в этом списке, то устройство будет автоматически аутентифицировано и получит доступ с фактическим запуском офлоада (выгрузки) мобильных данных в сеть Wi-Fi.
Преимущества технологии Hotspot 2.0 очевидны. Что касается мобильных операторов, то они получат возможность перенаправлять трафик со своих перегруженных сетей в недорогие (чаще всего бесплатные для сотовых операторов) беспроводные сети с высокой пропускной способностью.
Владельцы точек доступа Hotspot 2.0 смогут извлекать прибыль при помощи трансляции рекламы при подключении к своим сетям мобильных устройств; дополнительным преимуществом использования данной технологии является возможность предоставления абонентам услуг через партнерские Wi-Fi-сети, аналогично предоставлению услуг роуминга.
Что получат пользователи новой бесплатной WiFi-сети метро?
«МаксимаТелеком» владеет Wi-Fi-сетью, покрывающую все станции московского метрополитена. Идентификатором сети (SSID) является «MT_Free». Сеть открытая, к ней может подключиться любой желающий, после чего через веб-браузер происходит авторизация через SMS. Далее сеть запоминает mac-адрес абонентского устройства, после чего сеть запоминает устройство и в будущем авторизация не потребуется.
Новая сеть будет называться «MT». Для подключения к ней абоненту необходимо будет иметь обезличенный профиль от оператора.
Необходимость запуска закрытой сети объясняется несколькими причинами:
- Во-первых, технология Hotspot 2.0 обеспечивает шифрование трафика от устройства абонента до хотспота.
- Во-вторых, решается проблема фальшивых хотспотов. В случае с открытой сетью злоумышленники могут создать сеть с таким же названием и перехватывать данные подключившихся к ней пользователей.
- В-третьих, решается еще одна проблема – смены mac-адресов. Многие абоненты меняет mac-адреса своих устройств в целях приватности и предотвращения трекинга. Более того, корпорация Google представила соответствующее решение для пользователей Android. При этом в случае смены mac-адресов пользователю необходимо заново проходить авторизацию.
- В-четвертых, частью стандарта Hotspot 2.0 является технология 802.11u (802.11 – группа стандартов, объединяющих Wi-Fi-технологии). Данная технология обеспечивает самостоятельное подключение устройства к доверенной Wi-Fi-сети без участия абонента.
Возможность автоматического подключения к сетям Wi-Fi привела к тому, что технологию Hotspot 2.0, в первую очередь, стали использовать сотовые операторы. Они обеспечивают авторизацию через абонентские SIM-карты.
Как пользователям авторизировываться в защищенной Wi-Fi-сети?
При подключении к Wi-Fi в метро пользователям предложат два варианта SSID – защищенная MT и MT_FREE. Чтобы подключиться к сети MT, пользователь должен установить на устройство профиль «МаксимаТелеком» через специальный лендинг.
Пока установка профиля доступна только для iOS-устройств, но в ближайшее время оператор планирует сделать сеть МТ доступной и для гаджетов на Android.
Тестирование технологии Hotspot 2.0 с установкой профиля через лендинг продлится три месяца.
В случае с «МаксимаТелеком» ситуация осложняется тем, что возможность авторизации по SIM-картам для нее не доступна. В связи с этим необходимо использовать технология провиженинга, обеспечивающую передачу от оператора учетных данных абонента на его устройства.
В настоящее время провиженинг поддерживается на устройствах под управлением iOS. С Android ситуация сложнее: по оценкам «МаксимаТелеком», сейчас только 15-20% устройств с данной ОС имеют соответствующую поддержку.
В связи с этим первое время тестирование закрытой Wi-Fi-сети будет доступно только владельцам iOS-устройств: им сначала нужно будет подключиться к открытой Wi-Fi-сети «MT_Free», загрузить лендинг https://wi-fi.ru/hotspot через браузер Safari и, пройдя авторизацию, установить доверенный профиль
Владельцам Android-устройств «МаксимаТелеком» обещает в ближайшее время мобильное приложение, реализующее функции провиженинга.
Эксперты о защищенной Wi-Fi-сети.
Технология Hotspot 2.0 хоть и дает защиту от подключения к Wi-Fi и организует шифрованный канал, но у нее все же есть значительный недостаток. Если сертификаты, используемые в профиле, попадут в руки злоумышленника, он сможет совершенно бесшумно провести хищение данных из Wi-Fi-сети метрополитена, и даже https-шифрование в этом случае не спасет.
Компрометация сертификата – событие достаточно редкое, но даже большие международные корпорации допускали такие утечки. В этом случае злоумышленник может получить доступ ко всему трафику пользователей. Поэтому специалисты по информационной безопасности рекомендуют применять VPN-канал поверх любой публичной WiFi-сети.
Отметим, что согласно опросу, проведенному Avast в прошлом году, 38% россиян подключаются к публичным сетям Wi-Fi. Из них 60% предпочитают бесплатные сети Wi-Fi, для которых не требуется регистрация или пароль для подключения. Если сайт или приложение использует https-протокол, то данные шифруются, что делает невозможным их чтение перехватчиками. Если перехваченные данные не зашифрованы, последствия зависят от того, какие данные украдены.
Вероятность утечки критически важных данных при использовании шифрования намного ниже, чем в случае с незащищенным Wi-Fi. Однако все же пользователям любых публичных Wi-Fi-сетей не рекомендуется передавать конфиденциальную информацию, делать покупки, совершать операции через мобильный банк. Лучше для этого использовать сети сотовых операторов.
Кроме того, надо учитывать, что любые данные, которые пользователь передает через Wi-Fi, вероятно, попадают в "воронку" анализа больших данных, а затем используются в рекламных кампаниях, естественно в обезличенном виде, но всё же.