Wraz z systematyczną i nieuniknioną popularyzacją sieci radiowych ich bezpieczeństwo i zagrożenia pozostaną w najbliższych latach częstym tematem analiz, działań i nowych pomysłów.

Obawy dotyczące możliwości zbyt łatwego dostępu do bezprzewodowych sieci Wi-Fi i znajdujących się w nich wrażliwych danych osobistych lub firmowych doprowadziły w Stanach Zjednoczonych do planu wprowadzenia np. w Nowym Jorku czy Kalifornii nowych uregulowań prawnych, które mają zmusić użytkowników do działań mających na celu odpowiednią konfigurację zabezpieczeń sieci, by uniknąć typowych ataków.

Kara za dziury

Już w październiku 2006 r. w hrabstwie Westchester County wprowadzono prawo przewidujące kary finansowe dla firm, które nie wprowadzą zabezpieczeń dostępu do sieci Wi-Fi, a także wymóg, aby operatorzy hot spotów umieszczali w widocznym miejscu zalecenie, by ich użytkownicy przed połączeniem zainstalowali zaporę firewall lub inne zabezpieczenie. Prawo to jest ściśle egzekwowane. Pracownicy działu IT tego hrabstwa - wyposażeni w odpowiedni sprzęt - regularnie kontrolują teren, szukając niezabezpieczonych sieci WLAN. W wypadku zlokalizowania niezabezpieczonej sieci najpierw udzielane jest ostrzeżenie o działaniu niezgodnym z prawem, a dopiero za drugim razem wyznaczana kara w wysokości 250 USD. Za trzecim razem wzrasta ona do 500 USD, ale - jak mówią przedstawiciele administracji hrabstwa Westchester County - jak dotąd żadna z kontrolowanych firm nie dopuściła się recydywy.

Największym zagrożeniem są jednak szybko rozprzestrzeniające się, nie tylko w Stanach Zjednoczonych, publiczne hot spoty. Jak mówią eksperci od bezpieczeństwa, wystarczy, że usiądą w kawiarni lub innym miejscu wyposażonym w niezabezpieczony punkt dostępu do sieci Wi-Fi i - nawet nie logując się do sieci - bez problemu są w stanie włączyć detekcję przesyłanych pakietów i przechwytywać zawarte w nich informacje łącznie z kodami autoryzacyjnymi. Dlatego też, podobnie jak w Westchester County, prawo to zostanie prawdopodobnie już wkrótce wprowadzone w całym stanie Nowy Jork.

Administracyjne plany zwiększenia poziomu bezpieczeństwa, a także jego świadomości wśród użytkowników masowych spotykają się najczęściej z uznaniem, choć pomysł tablic ostrzegawczych do promowania bezpieczeństwa niektórzy uznają za głupi, ponieważ dostęp do hot spotu nie jest ograniczony do bezpośredniego sąsiedztwa stacji bezprzewodowej, a jednocześnie - zauważają - lepiej jest wymusić stosowanie strony startowej zawierającej odpowiednie informacje ostrzegawcze.

Ostrzeżenie w standardzie

W Kalifornii nacisk położono na informację, tzn. wprowadzono prawne wymagania dotyczące wyposażenia wprowadzanego do sprzedaży sprzętu do obsługi Wi-Fi w funkcje zabezpieczeń oraz umieszczanie w instrukcjach i sterownikach programowych odpowiednich ostrzeżeń o niebezpieczeństwach grożących w przypadku niewłączenia odpowiednich funkcji ochronnych. Prawo to dotyczy tylko sprzętu wprowadzanego do sprzedaży detalicznej.

Te prawnicze pomysły mogą się wydawać nieco egzotyczne, ale w warunkach prawa amerykańskiego mają swoje uzasadnienie. W razie pojawienia się jakiejś szkody łatwiej można znaleźć winowajcę, który się do niej przyczynił. Jasne ostrzeżenie pozwala w takim przypadku udowodnić, że operator sieci świadomie się do niej przyczynił, a jeśli ktoś włamie się do zabezpieczonej sieci, to można łatwo wykazać, że nie było to działanie przypadkowe i niezamierzone. Obecnie problemem w Stanach Zjednoczonych jest to, że nie ma jednoznacznego określenia, czy w świetle amerykańskiego prawa podłączenie się do niezabezpieczonej sieci Wi-Fi firmy lub użytkownika indywidualnego jest legalne, czy nie.

Prawo wprowadzone w Kalifornii obowiązuje tylko w tym stanie i nie wiadomo czy rozszerzy się na cały kraj. Jak jednak mówią producenci sprzętu, w skali Stanów Zjednoczonych Kalifornia jest tak liczącym się odbiorcą sprzętu i oprogramowania, iż obowiązujące tam prawo powoduje w praktyce, że jego wymagania automatycznie rozszerzają się na inne rejony. Przepisy te spotkały się już z uznaniem amerykańskich prawników. Jak jednak sceptycznie zauważa jeden z nich: "Prawnicy mają specyficzne podejście do życia i gdyby to od nich zależało, to świat składałby się wyłącznie z zastrzeżeń eliminujących potencjalne roszczenia. Kochają oni ostrzegawcze nalepki, bo nie zmuszają one do rozwiązania problemu - wystarczy ostrzec przed nim".

Łatwiejsza konfiguracja zabezpieczeń

Organizacja Wi-Fi Alliance ogłosiła wprowadzenie nowej specyfikacji WPS (Wi-Fi Protected Setup), która ma za zadanie ułatwienie użytkownikom konfiguracji sprzętu bezprzewodowego w zakresie zabezpieczeń dostępu i transmisji danych. Urządzenia Wi-Fi przeznaczone na rynek konsumencki mają być certyfikowane przez Wi-Fi Alliance i oznaczane logiem WPS. Pojawią się w sprzedaży najprawdopodobniej dopiero za kilka miesięcy. Udostępnienie tej specyfikacji nie oznacza wprowadzenia do standardu nowych mechanizmów. Sieci Wi-Fi tylko w pierwszych latach rozwoju tej technologii były rzeczywiście mało odporne na ataki ze względu na wyjątkowo słaby mechanizm zabezpieczeń WEP. Obecnie, po wprowadzeniu technologii WPA (Wi-Fi Protected Access) i WPA2 jako mechanizmów, które obowiązkowo muszą być dostępne w certyfikowanym sprzęcie, sieci Wi-Fi nie ustępują już pod względem poziomu zabezpieczeń sieciom kablowym i mogą spełniać wymagania korporacyjnych systemów IT.

Największym problemem okazał się jednak brak świadomości użytkowników, jak należy konfigurować system Wi-Fi. W efekcie znaczna liczba zainstalowanych na świecie systemów bezprzewodowych w ogóle nie wykorzystuje dostępnych mechanizmów bezpieczeństwa. W największym stopniu dotyczy to instalacji prywatnych sieci bezprzewodowych lub tych stosowanych w małych firmach, ale pośrednio zagraża również systemom korporacyjnym, bo z jednej strony ułatwia i zachęca włamywaczy do korzystania z możliwości anonimowego, trudnego do późniejszego wykrycia i zidentyfikowania źródła ataku, a z drugiej, umożliwia dostęp do intranetu za pomocą przechwyconych w niezabezpieczonej sieci pakietów i kodów autoryzacyjnych, gdy jakiś pracownik firmy usiłuje skorzystać z mechanizmów zdalnego dostępu.

Do problemów tych przyczynili się niewątpliwie producenci sprzętu i organizacje tworzące standardy. Wprowadzając zaawansowane mechanizmy zabezpieczeń zapomnieli, że powinny one być łatwe i proste w użyciu, gdy sprzęt Wi-Fi trafi w końcu na rynek masowy, a więc w ręce użytkowników niebędących specjalistami IT. W efekcie tych zaniedbań, według statystycznych badań przeprowadzonych w 2006 r., tylko 60% zainstalowanych sieci Wi-Fi ma w ogóle uruchomione mechanizmy zabezpieczeń dostępu - pozostałe są otwarte dla każdej osoby znajdującej się w zasięgu sieci i wyposażonej w komputer ze standardowym interfejsem bezprzewodowym.

Najnowszy standard WPA2 umożliwia autoryzację dostępu do WLAN (również przy wykorzystaniu serwerów RADIUS i protokołu 802.11x) oraz szyfrowanie transmisji zgodnie z zaawansowanymi algorytmami AES. Konfiguracja systemu bezpieczeństwa wymaga jednak zdefiniowania w stacjach dostępowych i urządzeniach klienckich odpowiedniego zestawu parametrów. Wymagane jest m.in. określenie trybu pracy, nazwy sieci, hasła (kodu PIN) itd. Dla wielu użytkowników proces ten jest niejasny, mało zrozumiały i niewygodny, co często prowadzi do rezygnacji z uruchomienia zabezpieczeń. Szczególnego znaczenia nabiera to w związku z przewidywaną popularyzacją sieci bezprzewodowych w zastosowaniu do transmisji audio-wideo w sieciach domowych, gdzie podłączane są do niej pozbawione standardowych klawiatur urządzenia dźwiękowe, odtwarzacze DVD, drukarki, kamery lub odbiorniki TV. W ich przypadku uruchomienie bezpiecznych połączeń wymagających wprowadzenia odpowiedniej nazwy sieci i numerów PIN może być szczególnie kłopotliwe.

Producenci już to zauważyli i zaczęli stosować różnego typu rozwiązania ułatwiające konfigurację. Przykładem może być AVM, który w najnowszych modelach bezprzewodowych routerów FritzBox umożliwia automatyczne przenoszenie parametrów konfiguracyjnych ze stacji dostępowej do urządzeń klienckich przy wykorzystaniu bezprzewodowego interfejsu USB wyposażonego w zintegrowany moduł pamięci Flash.

Choć tego typu firmowe rozwiązania są wygodne, mają jedną oczywistą wadę - wymagają korzystania tylko ze sprzętu jednego producenta, a to istotnie zmniejsza ich uniwersalność. I właśnie Wi-Fi Protected Setup ma to zmienić - z jednej strony upraszczając i ujednolicając proces konfiguracyjny, z drugiej, wprowadzając jeden standard, do którego wszyscy producenci będą mogli dopasować swoje systemy. Jeszcze w 2007 r. Wi-Fi Alliance planuje certyfikację urządzeń Wi-Fi zawierających interfejsy NFC (Near-Field Communication). Umożliwiają one uruchamianie bezpiecznych połączeń bezprzewodowych przy wykorzystaniu tokenów lub kart zbliżeniowych, czyli praktycznie bez potrzeby wprowadzania jakichkolwiek informacji autoryzacyjnych.