Brodeurovi pátrali po příčinách, ale nemohli nic najít. Až se situace stala
prakticky neúnosnou, povolali specialistu na ICT, který zjistil, že nějaký
dobrák se napojil na jejich Wi-Fi připojení a drze jej zneužívá ku svému
prospěchu. Bylo to pochopitelné: Brodeurovi prostě jen nainstalovali zakoupené
vybavení s tím, že jej začali v dobré víře používat. Jak to ostatně činí mnoho
uživatelů informačních technologií.
Oprava problému byla jednoduchá. Bezdrátová síť byla zaheslována a nikdo kromě
Brodeurových se do ní nemohl dostat. Rychlost internetové přípojky se jako
mávnutím kouzelného proutku vyšvihla na původní hodnotu.
Na tomto místě by celý příběh mohl šťastně skončit. Ale on má pokračování. O
několik dní později totiž u dveří našich hrdinů zazvonil rozlícený soused a
dosti nevybíraným způsobem se dožadoval uvedení věcí do původního stavu. Tedy
odheslování zabezpečené sítě, aby ji dále mohl používat – tak, jako doposud.
Samozřejmě, že nic se do původního stavu nevracelo a soused odešel s nepořízenou.
Navíc ještě s pocitem křivdy, že si jej někdo dovolil připravit o „jeho“ internetové spojení.
Vždyť internet je přece zdarma!
Toto je možná uvažování naivní, ale nikoliv neobvyklé. Abychom se z Los Angeles
dostali do Česka: autor těchto řádků bydlí na panelovém sídlišti, kde Wi-Fi
karta (sám používá jiný typ připojení k internetu) běžně detekuje (je-li
spuštěna) šest až osm Wi-Fi sítí. Z nich plus minus do poloviny se dá bez
problémů a znalosti jakýchkoliv přihlašovacích atributů připojit.
Malá bezpečnostní odbočka: služeb podobných sítí by využíval jen zoufalec,
blázen nebo zoufalý blázen. Především absolutně netušíte, přes koho
komunikujete. Jinými slovy: nevíte, zda třeba nejde o nastrčenou Wi-Fi stanici,
mající za úkol monitorovat procházející komunikaci a z ní „vyzobat“ ty nejsladší
kousky. Přihlašovací jména, hesla, osobní a citlivá data… A dále: takovéto
„volně dostupné“ sítě neposkytují sebemenší záruku dostupnosti (však také počet
Wi-Fi „přípojek“ na našem sídlišti po půlnoci klesá na nulu – jen výjimečně
někdo z nevědomců zůstane pracovat i po hodině duchů a nabízí tak svoji kapacitu
ke zneužití).
Zpět k Wi-Fi sítím a jejich „používání neoprávněnými osobami“. Z výše uvedeného
by mohlo vyplývat, že jde sice o problém globální, leč nikterak velký. Omyl.
„Piggybacking“ (jak se technika získání přístupu k internetu pomocí Wi-Fi bez
vědomí legitimního uživatele/provozovatele nazývá) je nesmírně rozšířenou
záležitostí. Je dokumentovaný případ z USA, kdy se k jednomu „poskytovateli
služeb“ pravidelně připojovalo 48 lidí.
Problém se přitom netýká, jak by se někdy mohlo zdát, pouze domácích uživatelů a
sítí. Studie publikovaná organizací RSA Security jasně hovoří o tom, že více než
třetina Wi-Fi sítí je prakticky bez jakéhokoliv zabezpečení. Průzkum byl
prováděný v různých lokalitách: New Yorku (38 procent nezabezpečených Wi-Fi
sítí), San Franciscu (36), Londýně (36) či Frankfurtu (34). V drtivé většině
případů přitom šlo o základní bezpečnostní nedostatky jako ponechání defaultního
nastavení nebo opomenutí aktivace šifrovacích technik při komunikaci.
Bezpečnostní rizika bezdrátových sítí spočívají jednak v tom, že bezdrátové
technologie jen spojují jiný hardware či aplikace, takže se na ně často neklade
odpovídající důraz nebo jsou velmi špatně konfigurovatelné. Navíc zde existuje
možnost snadného přístupu.
Problémy s Wi-Fi sítěmi však mají hlubší kořeny. Kromě snadného útoku („prostě
to zkusím, třeba to vyjde“ – těžko něco podobného uděláte s klasickým kabelovým
připojením), kromě nedbalosti uživatelů (z nichž většina je šťastná, když dokáže
zařízení vůbec zprovoznit – natož zabezpečit) zde hraje roli i neznalost.
Třeba Kalifornie se problematiku „únosů“ Wi-Fi připojení rozhodla řešit dokonce
na legislativní úrovni. Nový zákon týkající se Wi-Fi hardwaru nařizuje výrobcům
a prodejcům bezdrátového vybavení přikládat k produktům informace ohledně
bezpečnosti. Platit začne od 1. října 2007, odkdy musí být na všechna zařízení
využívající tuto bezdrátovou technologii umístěna varovná nálepka.
Zákon ale nálepkou nekončí: uživatel musí být na přítomnost Wi-Fi technologie
upozorněn i při instalaci, při nastavení směrovače nebo při automatickém
navázání spojení. Jedna nálepka ale musí být každopádně umístěna tak, aby ji
uživatel musel sejmout před prvním použitím výrobku. Možná si někdo řekne, že
několik varovných nálepek nic nevyřeší – ale pořád je to lepší než neudělat nic.
Když uživatel uvidí několikanásobné důrazné varování, přinejmenším pochopí, že
to opravdu není technologie „nainstaluj a zapomeň“ a alespoň někteří se začnou o
její zajištění zajímat.
A jak se tedy s Wi-Fi technologií z hlediska bezpečnosti vypořádat se ctí?
Vezměte si k srdci třeba tyto rady:
Změňte základní hesla v používaném softwaru (hesla jako „SMCadmin“ jsou
notoricky známá, a tudíž jsou všechno možné, jen ne bezpečná). Resp. začněte
hesla vůbec používat. Pokud se totiž k lokálnímu přístupovému bodu Wi-Fi
dokážete bez hesla připojit vy, dokáže to váš soused nepochybně taky.
Základem bezpečné Wi-Fi zůstává omezení dosahu sítě, neboť pro provoz není
potřeba mít kdovíjak silné a rozsáhlé pokrytí. Jinými slovy: nepokrývejte větší
plochu, než je nezbytně potřebné, nedávejte útočníkovi šanci. Toto umožňují
antény s odpovídajícím (nejlépe regulovatelným) výkonem a antény směrové.
Pro ochranu firemních sítí je dobré požívat osvědčené prvky jako firewally nebo
virtuální privátní sítě.
Vypněte vysílání SSID – vlastní klientské
systémy tento identifikátor mohou získat jinak a (případnému) útočníkovi jej
není potřeba prozrazovat. Manuální vkládání do klientských aplikací sice může
být někdy otravné, ale zvláště ve velkých sítích (kde se z principu objevuje
špatná kontrola) jde o výborný regulační prvek.