Co widzi o Tobie Twój router Wi-Fi
Stoi cicho w kącie salonu albo zbiera kurz gdzieś za telewizorem. Ożywa tylko wtedy, gdy zaczynają migać na nim zielone diody, a my – zazwyczaj w panice – restartujemy go, gdy Netflix nagle zaczyna tracić buforowanie. Twój domowy router Wi-Fi to prawdopodobnie najbardziej niedoceniane urządzenie w całym mieszku. A zarazem – to Twój najbardziej skrupulatny, w pełni milczący cyfrowy świadek.
W dzisiejszym, hiperpołączonym świecie, router nie jest już tylko magicznym pudełkiem z internetem. To wręcz gigantyczny punkt przesiadkowy i celny dla każdego bitu danych, który opuszcza Twój telefon, laptop, smart TV, a nawet inteligentną żarówkę. Zanim jakiekolwiek zapytanie trafi do globalnej sieci, musi przejść przez tę niepozorną bramkę. Nasuwa się więc naturalne pytanie: co tak właściwie widzi o nas nasz router? I co ważniejsze – czy powinniśmy zacząć się tego obawiać?
Cyfrowy listonosz, czyli dlaczego router czyta „koperty”
Wyobraź sobie swój domowy internet jako zawiły system pocztowy. Kiedy wpisujesz w przeglądarce adres strony internetowej, wysyłasz wirtualny list. Zanim ten list dotrze do celu i zostanie przetworzony, trafia do rąk Twojego domowego listonosza, czyli routera. Historycznie, w początkach powszechnego internetu, sytuacja wyglądała fatalnie pod kątem zachowania naszej prywatności. W dobie starszego i nieszyfrowanego protokołu HTTP, wszystkie listy wysyłano w zasadzie w formie otwartych pocztówek.
Co to oznaczało w praktyce? Każdy, przez kogo przechodziły Twoje dane – w tym Twój router i bezpośredni dostawca internetu (tzw. ISP) – mógł ze swobodą przeczytać dokładną treść zapytań. Na szczęście dziś niepodważalnym standardem sieciowym jest protokół HTTPS (gdzie kluczowe „S” oznacza Secure, z ang. bezpieczny).
Fundacje walczące o fundamentalne prawa cyfrowe, takie jak powszechnie ceniona Electronic Frontier Foundation (EFF), przez wiele lat mocno naciskały na pełne i domyślne szyfrowanie ruchu. Dzięki nim dzisiejsze maile, hasła i rozmowy trafiają do bardzo grubych, nieprzezroczystych cyfrowych kopert. Twoje domowe pudełko Wi-Fi, a w efekcie również inni użytkownicy sieci, nie widzą już dokładnych treści. Listonosz nie czyta prywatnej wiadomości z komunikatora, nie wie, jaki produkt chcesz kupić i nie podgląda Twojego hasła. Wie jednak, z wielką precyzją, do jakiego „miasta” i do jakiej „instytucji” wysyłasz ów list, odnotowując główną domenę serwisu.
Metadane: Puzzle, z których z niezwykłą precyzją można ułożyć Twoje życie
Być może zdążysz już odetchnąć z ulgą: Skoro widać tylko ogólny serwis i fakt wysłania listu, to z pewnością jestem bezpieczny! Z pozoru tak jest, niemniej w nowoczesnym bezpieczeństwie IT pojawia się pojęcie wielkiej, skomplikowanej wagi, zwanym metadanymi. Metadane to potężne informacje o samym ruchu – wielkość przesyłanych obłoków paczek, powtarzalny czas ich wysyłki, częstotliwość podłączeń poszczególnych urządzeń do sieci.
„Metadane absolutnie mówią ci wszystko o czyimś życiu. Jeśli posiadasz i zgromadzisz dostateczną ilość metadanych, ostatecznie nie potrzebujesz już w ogóle samej treści komunikatów” – ten mrożący krew w żyłach cytat przypisywany jest generałowi Michaelowi Haydenowi, byłemu wieloletniemu dyrektorowi amerykańskiego NSA. Brzmi dramatycznie, prawda? Ale dokładnie to samo dzieje się w skali Twojego mieszkania.
Spróbujmy przeanalizować prosty domowy scenariusz i możliwości analityczne zwykłego pudełka. Twój ruter notuje codziennie o drugiej w nocy bardzo intensywny, masywny transfer symetrycznych danych między odległymi serwerami gigantów, a Twoim sypialnianym telewizorem. Wniosek nasuwa się od razu: zamiast iść spać i odpowiednio wypoczywać, z dużą pewnością uprawiasz sobie serialowy maraton. Kiedy o dziewiątej rano z Twojego przenośnego laptopa ruszy niewielki, za to niesamowicie równy przesył pakietów wymierzony prosto do serwerów Zoom albo korporacyjnych narzędzi Microsoftu, system podpowie od razu – ten domownik najprawdopodobniej pracuje tu z poziomu home office.
Chociaż nikt, zupełnie nikt bez zgody odpowiednich służb i łamania zabezpieczeń nie widzi Twoich rozmów ani obrazu z sypialni, to bezpardonowe profilowanie zachowań jest proste jak drut. Router zbiera ten dziennik jak gorliwy kasjer paragon. Co ważne, z racji fizycznej podległości całej struktury po stronie sprzętowej – ten ślad chętnie agreguje Twój korporacyjny dostawca łącza.
Tryb incognito? Zdejmij ten rzekomy płaszcz niewidki
Osobnym absurdem o dużych skutkach bywa to, wokół ilu kwestii narósł mit popularnego „trybu prywatnego”. Zjawisko znane pod nazwą incognito dla wielkiej części niezwiązanych technicznie z branżą użytkowników jest wciąż uważane za potężną formę peleryny – całkowicie mrocznego okna chroniącego tożsamość absolutnie przed każdym systemem operacyjnym czy cenzorem w państwie.
Rozwiejmy to raz, a stanowczo i skutecznie. Tryb z sympatycznym agentem w ciemnych okularkach ma wyłącznie uchronić Cię przed partnerem życiowym, siostrą albo ciekawskim dzieckiem, używającym tej samej klawiatury na identycznym komputerze współdzielonym na czas Twojej nieobecności. Incognito wymusza jedynie tyle, że wymazywana jest lokalna informacja. Po stronie przesyłowych układów, sprzętu brzegowego (routera) nie zmienia to dosłownie niczego. Urządzenie wciąż równie skrupulatnie prowadzi Twoją listę adresatów do których dobijałeś, niczego nie negocjując z aplikacją lokalną.
Sojusznik udający sprzymierzeńca: zdrajca z rzędu Internet of Things (IoT)
W dzisiejszej narracji, dyskusje technologiczne koncentrują obronę przed skanowaniem logów zazwyczaj w obszarach klasycznego smartfona albo komputerów domowych typu laptop, czy nowoczesny desktop z ogromną bazą wirusów z minionych epok, które uważały nas za ofiary klasycznego phishingu. Równolegle zapominamy całkowicie o armii bezlitosnych asystentów, lodówkach, dziesiątkach wkręconych w gwint sufitowy bezprzewodowych kamer smart (rzekomo w imię bezpieczeństwa posesji) – potocznie określanych jako środowisko urządzeń cyfrowych IoT.
Wielu wschodnich deweloperów z tanich systemów produkcji sprzętu elektronicznego podchodzi na wskroś frywolnie (jeśli nie powiedzmy, absolutnie leniwie) do wytycznych programowania warstwy izolacji i sztywnych reguł certyfikacji. Ich pakiety odświeżają non-stop wymiany kodów źródłowych na serwery centrali u dewelopera. Szybko stają się cykającym zegarem bombowym. Oprogramowanie bywa potwornie dziurawe w miejscach wejścia/wyjścia i przez długie tygodnie szuka na portach możliwości poświadczenia aktualizacji ze sztabami oddalonymi tysiące mil stąd w obcych metropoliach.
Gdy niepowołany administrator lub zewnętrzny atakujący dotrze nawet zdalnie na wytyczoną strefę z zewnątrz, natychmiast wykona szybki wyciąg ze śladów unikalnych, fabrycznie nadanych sygnatur MAC z owych podzespołów z podglądem pory dni zaangażowanych maszyn, idealnie określających moment wyjścia Twoich domowników ze sporym majątkiem do pobliskiej pracy fizycznej. To bardzo bezpardonowo wystawione na stół informacje o stylu życia u ludzi pojętnie uznawanych za niezwykle anonimowych i pilnujących swojej reputacji sieciowej.
Jak zapętlić usta swojemu routerowi i zbudować prawdziwy azyl?
Nasza rozmowa w pewnym naturalnym momencie musi uderzyć o brzeg racjonalnego rozwiązania i zaoferować pożytki u samego odbiorcy obciążanego narastającym zwątpieniem. Jak trzymać pewnie kierownicę nad tą spływającą strugą potężnych logów oraz wykluczyć u potencjalnych intruzów czy chciwych na dane marketingowców zbieractwo domowych zachowań?
Są narzędzia wręcz obowiązkowe w budowaniu osobistego ekosystemu wolnego internetu, promowane obecnie z dużym echem także ze strony chociażby Cloudflare i wybitnych architektów środowisk zabezpieczeń systemów na skalę globalną.
Wirtualne kanały i powiew prywatnego szyfrowania DNS-ów
Odpowiedzią silnie blokującą, bardzo pożądaną, chociaż obarczoną lekkim mankamentem płatności wobec uczciwego giganta, staje się uruchomienie prawdziwie dobrego, nieprzekupnego rurociągu dla wyjścia po za obszar lokalny – znane publiczności jako tunel opierany na usługach typu VPN (Wirtualna Sieć Prywatna). Tworzy on twardy cyfrowy peszel dla danych od smartfona, oprawiając sygnał nieskończoną formą blokad krypto, wyrzucając pakiety w formie całkowicie szarawego, równego strumienia wprost u brzegu routera zewnętrznego nadawcy aż pod obcy adres węzła stacji np. z siedziby neutralnej geolokalizacji, dajmy na to górzystej części alpejskiej Szwajcarii.
Tym sposobem na routerze Wi-Fi jedyna odczytywalna dla każdego treść, jaka jest do odczytu od momentu zapięcia guzika to komunikat stały, szumiący jak rzeka po skalistym wodospadzie: Tu użytkownik smartfona Y – łączy z jednym punktem IP nieprzerywalnie, o niewyjaśnionych dotąd składowych. Koniec i kropka. Lokalny internet nie ujrzy Twojego węzła DNS, logu YouTube’a czy wrażliwego podglądu z placówki opieki zdrowotnej po kryjomu nadawanej do recepcji na łączu 5G za granicą.
Z kolei mniej agresywnym i wysoce poręcznym wejściem do higieny jest modyfikowanie trybów szukania z samych opcji podręcznych. Przepis na obfite korzyści gwarantuje zablokowanie standardowej wersji wysyłania komend do DNS przez wywołanie protokołu DoH, zamykając już od ułamków pikseli sam fakt dociekania nazwy przez Twój panel z wytyczonym wariantem w otulinie protokołu HTTPS i w sposób niemal cichy przemycając odczyt po najczęstszych portach do stacji macierzy od np. fundacji Mozilli.
Podsumowując to wszystko – nie pal swoich zabawek
Zestaw pudeł z rzadkimi i trudnymi migotliwymi światełkami wykonuje z gruntu dobrą oraz wręcz bezlitosną obronę naszych portfeli i przepływu rozrywki cyfrowej w nieustannej bieganinie w plamach zjawiska zwieńczonym postępem elektroniki i chmur po świecie. Router nie włamuje się samodzielnie, z natury to wyłącznie port dla naszych kapitanów i kapryśnych statków bez sterników próbujących ubiec globalnym trendom i prawom inwigilacji korporacji zarabiających setki milionów dolarów rocznie w samych datacentrach reklam internetu docelowego rzutu.
Bycie pasażerem u szerszej i po prostu potężnie świadomej, zaangażowanej cyfrowo ludzkości oznacza tylko poszerzanie ramy postrzegania reguł gry, jakie narzucają nowe sieciowe formy logów z najtrudniejszą formą nadużyć ze strony obojętnych ISP, złośliwych badaczy pakietów czy agresorów lokalnych w kafejce i dworcu czekając do opuszczenia przez Ciebie lotniska podczas służbowych relokacji od bazy w centrum metropolii. Twój router po stronie pokoju nie posiada uczuć. To ty jesteś tu za niego zawsze i wszechogarniająco jedynym, prawdziwie realnym szefem operacji obronnych przeciw inwigilacyjnym zakusom epoki Big Data.