Jak ochronić sieci Wi-Fi przed włamaniami i podsłuchiwaniem?

Instalowanie sieci w domu lub małej firmie jest dosyć proste. To oznacza jednak, że konfiguracja może przebiegać nieroztropnie, bez dbania o bezpieczeństwo sieci i przesyłanych nią danych. Znane są przypadki słabych punktów w protokołach zabezpieczeń sieci Wi-Fi i podzespołach sprzętowych, za które odpowiedzialność ponoszą producenci urządzeń. Inne częste problemy to domyślna konfiguracja urządzeń, ich domyślne hasła fabryczne oraz słabe szyfrowanie. Wszystkie te problemy przyczyniają się nie tylko do ataków na urządzenia internetu rzeczy (IoT), ale również na sieci w ogóle.

Dlaczego cyberprzestępcy tak często wykorzystują sieć Wi-Fi?

Problemy z bezpieczeństwem sieci bezprzewodowych można uznać za coś nieuchronnego. Stanowią one nieustanną pokusę dla intruzów. Wprawdzie istnieją różne protokoły zabezpieczeń do ochrony sieci bezprzewodowych, ale na przestrzeni lat odkryto już wiele słabości tych protokołów. Na przykład od dawna wiadomo, że protokół szyfrowania Wired Equivalent Privacy (WEP) jest łatwy do złamania. Atak FMS z 2001 r. pokazuje, jak można wykorzystać słabość algorytmu szyfrowania tego protokołu, by uzyskać wektory inicjalizacji, stosując jedynie pasywne monitorowanie ruchu w atakowanej sieci bezprzewodowej.

Z drugiej strony mamy uznawany za bezpieczny protokół Wi-Fi Protected Access 2 (WPA2), w którym stosowane jest szyfrowanie Advanced Encryption Standard (AES). Jednak on też okazał się niedoskonały, gdy odkryto lukę w zabezpieczeniach Key Reinstallation AttaCK (KRACK) występującą praktycznie we wszystkich urządzeniach Wi-Fi (również tych, które mają całkowicie poprawną implementację protokołu WPA2).

Ataki na sieci bezprzewodowe można przeprowadzać w różny sposób. Można do nich użyć komputera Raspberry Pi z zainstalowanymi odpowiednimi narzędziami i podłączonym adapterem Wi-Fi. Można też użyć zrootowanego smartfona z narzędziami open-source.

Aby przeprowadzić udany atak potrzebne są jedynie:

  • Odpowiednie urządzenie z zainstalowanymi narzędziami. Większość narzędzi ma licencje open-source, a więc jest dostępna dla każdego. Z kolei adapter Wi-Fi można kupić już za 20 zł.
  • Ruch w sieci. Lepiej, gdy ruch jest intensywny – aby uzyskać hasło, trzeba podsłuchać odpowiednio dużo pakietów.
  • Krótkie hasło. Im krótsze hasło, tym szybsze łamanie szyfrowania. Na przykład: gdy używane jest krótkie hasło hackm, złamanie szyfrowania zajmie tylko cztery minuty.

Intruz może siedzieć sobie w hallu, popijając kawę, albo stać w pobliżu i używać swojego telefonu. Na nagraniach z monitoringu nie znajdziemy nic podejrzanego, bo jego zachowanie będzie wyglądać całkiem zwyczajnie. Zresztą podczas całego ataku urządzenie może być schowane, na przykład w torbie.

Jakie okoliczności ułatwiają ataki na sieci Wi-Fi?

Sieci Wi-Fi są używane często w kawiarniach, bibliotekach publicznych, domach i mieszkaniach, a także małych oddziałach banków czy towarzystw ubezpieczeniowych. Te ostatnie często są poza kontrolą centralnego działu informatyki i nie przestrzegają firmowych zasad bezpieczeństwa sieci. Ponadto takie oddziały zdalne czasem korzystają z innych segmentów sieci niż reszta firmy, co może utrudniać ich monitorowanie.

Innym źródłem zagrożeń są niektórzy operatorzy Internetu dostarczający klientom przestarzałe routery, które nie otrzymują już aktualizacji oprogramowania. Można przyjąć, że w takich mieszkaniach czy biurach często używane są bardzo przestarzałe urządzenia albo urządzenia z domyślnymi ustawieniami fabrycznymi, które stanowią łatwy cel dla hakerów.

Zagrożenie zwiększają też osoby, które dodają do sieci swoich firm lub instytucji słabo zabezpieczone routery Wi-Fi używające protokołu WEP. Takie osoby mogą nie widzieć w tym nic złego, ale w rzeczywistości w istotny sposób narażają sieć na atak.

Skutkiem tego może być wyciek danych osobowych, który stał się dla firm znacznie poważniejszym niż kiedyś problemem po wejściu w życie Ogólnego rozporządzenia o ochronie danych (RODO), któremu podlegają wszystkie firmy przechowujące i przetwarzające dane mieszkańców Unii Europejskiej bez względu na siedzibę firmy.

Motywacje intruzów mogą być różne. Mogą włamać się do sieci firmy, by podsłuchiwać przesyłane dane, albo przejąć routery i inne urządzenia sieciowe, by włączyć je do botnetu. W tym drugim przypadku będą wykorzystywać przejęte urządzenia do kolejnych ataków, w tym do osławionych rozproszonych ataków typu odmowa usługi (DDoS). Inne możliwe zastosowania przejętych urządzeń to kopanie kryptowalut i centrum kontroli szkodliwego oprogramowania. Wszystkie te ataki można przeprowadzić bez wiedzy (i oczywiście zgody) właścicieli urządzeń i sieci. Niektórzy intruzi usuwają później ślady swojej aktywności, aby utrudnić analizę powłamaniową.

Jak intruzi lokalizują niezabezpieczone sieci bezprzewodowe?

Aby dowiedzieć się, jak dużo w rzeczywistości jest niezabezpieczonych urządzeń stosujących protokoły WEP i WPA2, przeprowadziliśmy poszukiwania otwartych sieci bezprzewodowych w różnych miejscach.

Używaliśmy smartfona z zainstalowaną legalną aplikacją do monitorowania sieci Wi-Fi. Chodząc lub jeżdżąc po różnych miejscach, mogliśmy ustalić dokładne współrzędne z GPS, nazwy sieci (identyfikatory SSID), metody szyfrowania, kanały i siły sygnałów okolicznych otwartych sieci bezprzewodowych. (Gdy sieć jest ukryta, jej identyfikator SSID jest pusty). Na poniższych mapach przedstawiamy podsumowanie danych zgromadzonych podczas wielu takich „wycieczek”. („Podsumowanie” oznacza, że każdy punkt wskazuje miejsce, w którym znajdowała się co najmniej jedna sieć używająca podatnych na ataki protokołów WEP lub WPA2).

Niezabezpieczone sieci bezprzewodowe odkryliśmy w obiektach następujących rodzajów:

  • stacje paliw i lokale fast food przy tych stacjach;
  • motele przy drogach;
  • kawiarnie, biblioteki publiczne i szkoły;
  • domy i mieszkania wynajmowane przez Airbnb i podobne usługi;
  • muzea, galerie i centra naukowe.

Po włamaniu się do sieci hakerzy mogą przechwytywać cały ruch sieciowy i zdobyć identyfikatory sesji, wymieniane informacje, historię przeglądanych witryn internetowych, a nawet używane dane logowania. Umożliwi im to przejmowanie kontroli nad kolejnymi urządzeniami w sieci i szpiegowanie użytkowników.

Jak chronić sieci bezprzewodowe przed atakami?

Choć ataki na sieci bezprzewodowe są dość starym narzędziem przestępców, wciąż stanowią zagrożenie dla poufności danych użytkowników i firm wszędzie tam, gdzie nie dba się należycie o bezpieczeństwo. Dzięki wiedzy o wyżej wymienionych zagrożeniach i stosowaniu zalecanych rozwiązań można uniemożliwić napastnikom wykorzystanie luk w zabezpieczeniach sieci bezprzewodowych.

Aby zminimalizować narażenie na ataki, należy:

  • Zmienić domyślne nazwy (SSID) i hasła sieci Wi-Fi (hasła powinny być jak najbardziej skomplikowane) – zwłaszcza w przypadku routerów otrzymanych od operatora Internetu.
  • Aktualizować oprogramowanie wbudowane (firmware) routerów i innych urządzeń Wi-Fi natychmiast po udostępnieniu aktualizacji. Należy rozważyć tymczasowe przejście na połączenia przewodowe (Ethernet) do czasu wdrożenia poprawek.
  • Włączyć zaporę, aby dodatkowo zabezpieczyć urządzenia, albo używać wirtualnej sieci prywatnej (VPN), szczególnie w przypadku zdalnego dostępu do zasobów.

W firmach kluczowe znaczenie ma rygorystyczne stosowanie przez dział informatyki zasad bezpieczeństwa, takich jak:

  • Upowszechnianie w całej firmie wiedzy o zagrożeniach związanych z niezabezpieczonymi połączeniami i korzystaniem z sieci bezprzewodowych w pracy i w domu.
  • Monitorowanie sieci, podłączonych do niej urządzeń i ruchu internetowego.
  • Regularne sprawdzanie dzienników urządzeń pod kątem podejrzanej aktywności. Ten proces można zautomatyzować.
  • Wprowadzenie środków uwierzytelniania bardziej zaawansowanych niż samo hasło (na przykład uwierzytelniania dwuelementowego) dla wszystkich użytkowników łączących się z siecią bezprzewodową. W przypadku incydentu związanego z bezpieczeństwem przydatna okaże się metoda uwierzytelniania umożliwiająca administratorom sieci natychmiastowe zlokalizowanie i zablokowanie punktów, przez które intruzi uzyskali dostęp do sieci.

Innym dobrym środkiem bezpieczeństwa jest ograniczenie siły sygnału routerów Wi-Fi. Urządzenia mobilne i laptopy nie mają anten o dużym zysku energetycznym, więc długi zasięg nie jest potrzebny. W tym przypadku sieć Wi-Fi będzie praktycznie niedostępna na zewnątrz budynku. Jednak napastnicy mogą użyć anten o dużym zysku, aby zaatakować sieć z dużej odległości — udane włamanie do sieci bezprzewodowej wymaga bycia w jej zasięgu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.