Bezdrátoví hackeři nezanechávají žádné stopy

Nechráněné bezdrátové sítě WLAN dávají hackerům šanci provést dokonalé útoky na internetové zdroje. Jsem paraz...


Nechráněné bezdrátové sítě WLAN dávají hackerům šanci provést dokonalé útoky na
internetové zdroje.
Jsem parazit. Komunikuji po internetu, ale za přenosové pásmo, které právě
využívám, neplatím ani cent. Dokonce jsem ani nepožádal o povolení je používat
a vlastně ani nevím, koho bych měl o takové povolení žádat. Ale jsem na
dovolené a potřebuji ještě dokončit pár drobných pracovních záležitostí
předtím, než se zcela oddám relaxování. A také potřebuji odeslat pár e-mailů.
Širokopásmové připojení v domě, který jsme si na dovolenou pronajali,
nefunguje. A tak jsem do svého notebooku zasunul WLAN kartu a našel dvě Wi-Fi
sítě, které dům pokrývají. Jedna má nastaveno SSID (Secure Set Identifier) na
"lopez" a je v ní zapnuta ochrana WEP (Wired Equivalent Privacy), druhá má SSID
"default" a žádnou ochranu.
Moje bezdrátová karta se automaticky připojila k nechráněnému přístupovému bodu
a síť mi prostřednictvím DHCP (Dynamic Host Configuration Protocol) automaticky
přidělila IP adresu. A tak jsem nyní připojen k internetu rychlostí 11 Mb/s bez
toho, abych musel komukoli cokoli platit a s možností dělat si tam, co se mi
zlíbí.

Změna rizik
Když se před několika lety staly WLAN masově používanou technologií, hlavní
důraz ohledně bezpečnosti byl kladen na ochranu soukromí a výrobci proto
zavedli WEP pro šifrování dat přenášených vzduchem. WEP má své slabiny nedokáže
hackerovi zabránit, aby si vaše data přečetl ale prostý fakt, že jej "lopez"
zapnul, znamenal, že jsem svou pozornost zaměřil jinam. Proč útočit na
"lopeze", když "default" mi ve vstupu vůbec nebrání?
Naslouchání dat ze vzduchu však není skutečnou hrozbou, kterou lze od
bezdrátové komunikace čekat. Tento problém lze snadno řešit prostřednictvím
šifrování. Větší starosti by nám měla dělat "de-perimeterizace", jinými slovy
skutečnost, že díky bezdrátové komunikaci padají obranné zdi normálního modelu
zabezpečení. Ve starých dobrých časech stačilo mít zapsaná všechna externí
připojení do sítě a zajistit je firewally. Nyní má takřka každá organizace
takové množství externích spojení, že je prakticky nemožné je všechna zajistit
proti neoprávněnému provozu firewally. Jestliže vaši bezdrátoví uživatelé
potřebují přístup ke všem interním službám, co asi tak můžete blokovat
firewallem?
A pokud byste byli hackerem, proč se obtěžovat odposloucháváním dat, která
létají kolem, když se prostě můžete připojit do sítě a tvářit se, že jste
legitimním uživatelem? Jakmile se jednou stanete plnohodnotným uzlem sítě, už
nemusíte čekat, až se nějaký klient připojí a stáhne si data, která potřebujete
a vy je odposlechnete. Místo toho prostě vkráčíte do sítě a vezmete si, co
chcete. Je to sice výrazně méně skrytý útok, ale pokud nemá vaše oběť jemně
vyváženou konfiguraci systému pro detekci průniku IDS (Intrusion-Detection
System) a velmi dobré zaměřovací zařízení, pravděpodobně vás neobjeví.

Ve firmě
Bezdrátové přístupové body, které jsou schváleny pro použití v naší firmě,
disponují silnou autentizací, takže se jejich prostřednictvím mohou připojit
pouze legitimní klienti. Všechny naše ochrany ale budou k ničemu, pokud někdo z
našich zaměstnanců připojí do sítě jediný přístupový bod v ceně 99 dolarů.
Abychom se proti takovým aktivitám chránili, provádím spolu se svým týmem
pravidelné kontroly zjišťující přítomnost případných nelegálních přístupových
bodů v naší síti, které by mohly dovolit připojení neautorizovaným uživatelům.
Když jsme s testy začali, měli jsme se zaměstnanci několik vážných problémů;
nyní již ale jsou služby naší standardní bezdrátové sítě natolik dobré, že je
všichni využívají raději, než aby si do kanceláře nosili nějaké další vybavení.

Nezabezpečený přístup
V průběhu testů jsme detekovali mnoho přístupových bodů, které k nám přinášejí
data zvenku z okolí naší firmy. Je zajímavé vidět, že mnohé bary a restaurace v
našem okolí disponují bezdrátovými sítěmi pro číšníky, kteří jejich
prostřednictvím mohou posílat objednávky hostů do kuchyně. Všechny jsou
nakonfigurovány tak, že postrádají jakékoli zabezpečení. Nicméně protože to
nejhorší, co někdo může udělat, je přeskočit frontu čekajících na drinky,
pravděpodobně je zde nízká úroveň zabezpečení postačující.
Při testech ale přišel jeden okamžik, kdy jsem skutečně zbledl. Najednou jsem
totiž objevil více než 30 neautorizovaných přístupových bodů na jediném
poschodí naší firmy. Nedokázal jsem si představit důvod, proč se celé jedno
oddělení zbláznilo a jeho zaměstnanci se snaží poskytovat množství vzájemně si
konkurujících sítí WLAN.
Když jsem se pokusil připojit se na jeden z přístupových bodů, byl jsem schopen
získat pouze servisní webovou stránku nějaké tiskárny. Ukázalo se, že nám náš
dodavatel tiskáren poslal celou zásilku těchto zařízení s podporou bezdrátové
komunikace, která byla při standardním nastavení zapnuta. Každá z tiskáren tak
fungovala jako bezdrátový přístupový bod. Vypnuli jsme tedy vestavěné
bezdrátové karty a požádali dodavatele, aby to u příštích dodávek už učinil za
nás.

Skutečná rizika
Nelegální přístupové body v našich kancelářích jsou nepříjemností, kterou jsme
schopni řešit. Skutečným problémem současných WLAN, který vnáší strach do mé
mysli, jsou však domácí uživatelé.
Předtím, než se na scéně objevily bezdrátové sítě, měli hackeři, autoři virů
nebo prostě kdokoli, kdo chtěl třeba stahovat nebo sdílet ilegální materiál,
poměrně omezené možnosti. Útočník mohl použít svůj vlastní internetový účet a
pak být případně chycen policií v okamžiku, kdy po spojení došla až k němu.
Mohl se napíchnout na připojení někoho jiného a být dopaden, jakmile policie
zjistila, kam příslušné telefonní spojení vede. Nebo mohl zajít do nějaké
internetové kavárny a tam nechat své otisky prstů, obraz svého obličeje na
pásce kontrolní kamery uzavřeného televizního okruhu a další důkazy, které opět
mohly vést k jeho dopadení a k poslání za mříže.
S WLAN se ale věci změnily. V domech na většině ulic ve velkých městech má pár
lidí širokopásmové připojení k internetu a alespoň jeden z nich ho používá
současně s nezabezpečeným bezdrátovým přístupem. Polovina těchto lidí snad
zapne firewall ve Windows XP, to ale útočníka nezastaví. Ten se prostě dostane
do dosahu antény a připojí se. Není tu žádná fyzická kontrola, žádná evidence,
žádný uzavřený televizní okruh, a tak se tím, kdo bude podezřelý a na kom se
policie nakonec povozí, stane s největší pravděpodobností onen chudák se
širokopásmovým připojením.
Zatímco bezdrátové připojení, které právě používám, slouží dobré věci pomáhá mi
dokončit mou práci, zatímco jsem na dovolené, někdo jiný je může stejně snadno
použít ke spuštění útoků předtím, než se nikým neviděn odebere zpět do temnot
noci.
Není asi žádná šance, že by domácí uživatelé zavedli ve svých bezdrátových
sítích dvoufaktorovou autentizaci, a tak se snažím stavět naši webovou
infrastrukturu tak, aby její bezpečnost nebyla závislá na tom, že jsem schopen
vystopovat útočníka a potom ho zastavit. Je zjevné, že takový postup už nadále
nebude fungovat.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.