Ataki na Wi-Fi i techniki obrony

O konieczności ochrony sieci Wi-Fi raczej nikogo nie trzeba przekonywać. Jednak samo stosowanie trudnych do złamania haseł to za mało. Włamywacze stosują metody i narzędzia, które umożliwiają im łatwe łamanie takich zabezpieczeń.

Jeśli proste ataki siłowe czy słownikowe na sieć Wi-Fi nie dają rezultatu, zdeterminowany włamywacz może wykorzystać inne podatności, jak socjotechnika, podstawienie fałszywego punktu dostępowego czy zagłuszanie sygnału. Arsenał hakerskim rozszerzyły jeszcze drony, które można wysłać w pobliże siedziby ofiary. Dlatego, oprócz używania silnych haseł, warto przygotować sieć na inne typy ataków. Przedstawiamy przegląd typowych podatności i sposoby obrony przed nimi.

Skradzione lub zgubione urządzenia

Jeśli w firmie używa się prostego trybu współdzielonych kluczy (Pre-Share Key, PSK) protokołu WPA2, jedno globalne hasło daje dostęp do całej sieci Wi-Fi. To hasło z reguły wszyscy użytkownicy mają zapisane w swoich urządzeniach, aby automatycznie podłączać się do sieci. Odczytanie klucza PSK zapisanego w urządzeniu z systemem Windows jest bowiem bardzo proste. Jeśli jakiś pracownik odejdzie z pracy lub któreś urządzenie zostanie skradzione, należy zmienić hasło do korporacyjnej sieci Wi-Fi. To niestety oznacza konieczność zmiany hasła we wszystkich routerach i punktach dostępowych oraz udostępnienie go wszystkim użytkownik Wi-Fi, aby mogli je wprowadzić przy najbliższej próbie logowania.

Zobacz również:

Z punktu widzenia użytkowników jest to uciążliwe i dlatego administrator raczej nie zmieni hasła nawet wtedy, kiedy powinien to zrobić. Tryb WPA2-PSK został zaprojektowany do pracy w małym biurze lub w domu. Aby w większym środowisku lepiej kontrolować i zarządzać dostępem do Wi-Fi, należy używać korporacyjnego trybu WPA2, w którym zastosowano uwierzytelnianie 802.1X. Wprawdzie ten tryb wymaga skonfigurowania serwera RADIUS, który jest potrzebny do obsługi uwierzytelniania, ale za to umożliwia definiowanie indywidualnych danych dostępowych dla każdego użytkownika Wi-Fi: nazw użytkowników, haseł, a nawet certyfikatów. Jeśli użytkownik rozstanie się z firmą, lub urządzenie zostanie stracone, wystarczy tylko wycofać specyficzne dla niego dane dostępowe.

Wrogi użytkownik

Trybu WPA2-PSK można używać dla gości czy kontrahentów, dając im dostęp do sieci Wi-Fi z oddzielnym SSID i pracującej w wyodrębnionym VLAN. Taka konfiguracja pozwoli dobrze zrozumieć, jakie korzyści płyną z używania trybu enterprise. Jednak zagrożenia nie zawsze pochodzą z zewnątrz. Gość, współpracownik czy nawet pracownik może próbować podsłuchiwać komunikację. Wi-Fi. Mimo że tryb WPA2-PSK stosuje szyfrowanie komunikacji bezprzewodowej, jeśli ktoś zna hasło, może odszyfrowywać ruch pochodzących z urządzeń innych użytkowników w teoretycznie bezpiecznej sieci. Jest to kolejny ważki powód przemawiający za używaniem trybu korporacyjnego WPA2 – zapobiega on wzajemnemu podsłuchiwaniu użytkowników, jednocześnie nadal dając im możliwość współdzielenia plików.

Przejmowanie sesji

Jest wiele narzędzi, które umożliwiają łatwe i szybkie przejmowanie sesji w słabo zabezpieczonych sieciach Wi-Fi, np. DroidSheep czy FaceNiff. Te konkretne aplikacje wymagają zrootowanego urządzenia z Androidem oraz użytkownika Wi-Fi, który spróbuje zalogować się na stronie internetowej mającej niekompletne zabezpieczenia. Aplikacja wykryje niezabezpieczoną próbę logowania, a mechanizm przejmowania sesji da włamywaczowi pełen dostęp do konta ofiary bez konieczności wprowadzania hasła.

Nawet jeśli użytkownik będzie logował się na stronie internetowej za pośrednictwem bezpiecznego połączenia HTTPS/SSL, aby zapobiec przejęciu sesji, czasem pliki cookies sesji są przesyłane w formie zwykłego tekstu, co sprawia, że użytkownik nie ma świadomości, że jest podatny na atak. Problem występuje przede wszystkim wtedy, kiedy użytkownik po dokonaniu bezpiecznego logowania zostaje przeniesiony na stronę, z którą komunikacja nie jest już chroniona szyfrowaniem. Od tego momentu napastnik może bez problemu odczytywać informacje przesyłane między użytkownikiem a stroną internetową i przechwytywać pliki cookies.

Trzeba pamiętać, że ten typ ataku jest możliwy do przeprowadzenia tylko w źle zabezpieczonych sieciach Wi-Fi, w których używa się zabezpieczeń WEP lub PSK (WPA lub WPA2). Korporacyjny tryb WPA2 zapobiega wzajemnemu podsłuchiwaniu użytkowników, a w konsekwencji także opisanemu przejmowaniu sesji. To kolejny argument za używaniem tego trybu. Jeśli użytkownicy korzystają z publicznego punktu dostępowego lub innej sieci Wi-Fi, warto przygotować dla nich połączenie VPN, które zabezpieczy ich komunikację sieciową.

Fałszywy punkt dostępowy

Jeśli ktoś chce uzyskać nieautoryzowany dostęp do sieci Wi-Fi, może spróbować metody polegającej na podstawieniu fałszywego punktu dostępowego. Każdy punkt dostępowy, który nie jest poprawnie zabezpieczony można uznać za nielegalny. Przykładowo, pracownik może bez żadnych złych intencji przynieść do biura własny punkt dostępowy Wi-Fi, aby wzmocnić sygnał. Jest bardzo prawdopodobne, że takie urządzenie stanie się słabym punktem w bezpieczeństwie, być może dostęp do niego nie będzie nawet zabezpieczony hasłem. Co gorsze, osoba z zewnątrz może znaleźć w biurze naścienne gniazda Ethernet, do których można podpiąć własny punkt dostępowy. Jeśli intruz ma fizyczny dostęp do routerów Wi-Fi, może po prostu użyć przycisku reset, aby przywrócić fabryczne ustawienia, co jest jednoznaczne z uzyskaniem dostępu.

Aby chronić się przed tego typu zdarzeniami, należy używać systemów IDS lub IPS, które aktywnie wyszukują tego rodzaju problemy. Warto rozważyć używanie punktów dostępowych, które mają wbudowane funkcje IDS/IPS lub wdrożenie niezależnego rozwiązania. Należy też poszukiwać nielegalnych punktów dostępowych w trakcie analizy zasięgu sieci Wi-Fi. Aby zapobiec używaniu przez pracowników własnych punktów dostępowych, można przygotować reguły, które określą, co wolno robić a czego nie użytkownikom sieci bezprzewodowej. Warto też przeprowadzić dla pracowników szkolenia z zakresu bezpieczeństwa i uświadomić im, czym grozi przynoszenie własnych routerów Wi-Fi.

Ważne jest również przyłożenie uwagi do bezpieczeństwa fizycznego sieci. Infrastruktura sieciowa powinna być umieszczona w zamkniętych szafach czy skrzynkach, w przeciwnym razie będzie dostępna dla wszystkich pracowników. Aby zmniejszyć prawdopodobieństwo, że niepowołana osoba znajdzie wolny port Ethernet do podłączenia własnego routera Wi-Fi, można stosować specjalne zaślepki na wszystkich portach. Trzeba się upewnić, że wszystkie gniazda naścienne, panele krosowe i porty przełączników są opisane, aby można było łatwo zidentyfikować oba końce kabla. W ten sposób można łatwo ustalić, które porty są nieużywane i deaktywować je, aby utrudnić nieautoryzowany dostęp.

Odmowa usługi

Ponieważ sieci Wi-Fi używają fal radiowych, wszystkie sieci bezprzewodowe są narażone na ataki typu Denial of Service. Ktoś z zewnątrz lub wewnątrz może wysyłać transmisję, która zakłóci wydajność sieci bezprzewodowej lub w ogóle uniemożliwi jej działanie. Problem wynika z tego, że szyfrowanie nie obejmuje wszystkich ramek rozgłoszeniowych czy związanych z zarządzaniem, co umożliwia osobie nie podłączonej do sieci wysyłanie fałszywych komunikatów. Co więcej, żadnej sieci nie da się w całości zabezpieczyć przed tego typu atakami.

Przykładowo, atakujący może regularnie wysyłać fałszywe ramki z komunikatami o zakończeniu uwierzytelnionej sesji, powodujące ciągłe odłączanie danego urządzenia od sieci. Może również wysyłać duże ilości żądań dopuszczenia do sieci, prowadząc do przeciążenia punktu dostępowego, a w konsekwencji problemy z komunikacją podłączonych do niego urządzeń.

Chociaż standard 802.11w poprawił sytuację w tym obszarze poprzez dodanie mechanizmu sekwencjonowania, który zapobiega skutkom wielokrotnego nadawania tych samych komunikatów, oraz kody uwierzytelniające komunikaty, aby wykrywać fałszerstwa, to jednak nie chroni przed wszystkimi typami ataków Denial of Service. Oprócz używania specjalnych ścian, farb i okien, które ograniczoną wydostawanie się sygnału Wi-Fi poza obręb budynku, można używać systemów IDS/IPS dedykowanych sieciom bezprzewodowym. Potrafią one zapobiegać atakom DoS lub przynajmniej spowalniać je.

Może też dochodzić do przypadków zakłóceń w działaniu Wi-Fi wynikających z interferencji z innymi sieciami, których zasięg nachodzi na siebie. Przykładowo, administrator z innej firmy może zmienić kanały wykorzystywane przez podlegającą mu sieć Wi-Fi, co negatywnie odbije się na innych sieciach pracujących w sąsiedztwie. Znaczne interferencje mogą pochodzić również od innych typów bezprzewodowych urządzeń pracujących w pasmach 2,4 lub 5 GHz. Mogą to być kamery monitoringu, systemy alarmowe, telefony czy bezprzewodowe głośniki.

Phishing

Uzyskanie dostępu do chronionej sieci Wi-Fi jest łakomym kąskiem, bo umożliwia ominięcie firewalla chroniącego lokalne zasoby. To może być początkiem większego ataku i daje możliwość wykorzystywania różnych technik, np. man-in-the-middle, w celu wykradania poufnych danych czy plików cookies służących do uwierzytelniania. Typową metodą włamywania się do Wi-Fi jest podstawienie nielegalnego punktu dostępowego i przejmowanie w ten sposób danych uwierzytelniających użytkowników. Wymaga to jednak stosowania narzędzi do łamania haseł, w związku z tym ta metoda nie zawsze jest skuteczna, jeśli Wi-Fi jest chronione długimi i skomplikowanymi hasłami.

Atakujący dysponują jednak wieloma technikami ataku oraz narzędziami ułatwiającymi ich przeprowadzenie. Jedną z nowinek w tym obszarze jest Wifiphisher umożliwiający szybkie przygotowanie ataków mających na celu wykradanie danych dostępowych. Jest to atak socjotechnicznych, polegający raczej na wykorzystaniu ludzkich słabości niż luk w bezpieczeństwie systemów informatycznych.

Podobnie jak z wieloma innymi dostępnymi bezpłatnie narzędziami bezpieczeństwa, Wifiphisher może być używany zarówno przez osoby odpowiedzialne za bezpieczeństwo (np. do testów penetracyjnych), jak i przez komputerowych włamywaczy. Narzędzie nie wykorzystuje żadnych nowy podatności, lecz łączy różne znane metody, aby zautomatyzować atak.

Narzędzie działa w Linuksie, a przeprowadzany z jego użyciem atak składa się z trzech faz. Pierwsza polega na zakłócaniu komunikacji pomiędzy punktem dostępowym, a podłączonymi do niego urządzeniami z wykorzystaniem pakietów kończących uwierzytelnioną sesję. Następnie zostaje utworzony nielegalny punkt dostępowy naśladujący ten prawdziwy. W efekcie tych działań urządzenia próbują ponownie połączyć się z siecią Wi-Fi, ale komunikują się z podstawionym punktem dostępowym. W trzeciej fazie, kiedy użytkownicy nawiążą już połączenie i spróbują otworzyć jakąś stronę internetową, fałszywy router Wi-Fi wyświetli stroną proszącą użytkownika o podanie jego hasła dostępu do Wi-Fi. Domyślnie jest to strona, która udaje panel konfiguracyjny routera z komunikatem informującym o dostępności aktualizacji wewnętrznego oprogramowania routera i konieczności podania hasła w celu zainicjowania jego instalacji. Tę stronę można samodzielnie modyfikować pod kątem specyfiki konkretnych ataków. W wielu przypadkach można ustalić, jaki model routera jest używany w firmie, wykorzystując do tego celu odpowiednie narzędzia. Zdobyte w ten sposób informacje sprawią, że fałszywy komunikat nabierze wiarygodności. Inny rodzaj wiadomości trzeba zastosować w miejscach publicznych, np. w hotelu można zasugerować użytkownikom konieczność ponownego podania hasła w związku akcją blokowania nieuprawnionych urządzeń Wi-Fi.

Atak z powietrza - drony

Kolejny poważne zagrożenie dla sieci bezprzewodowych może pochodzić z powietrza. Chodzi o drony wyposażone w kamerę wideo i moduły Wi-Fi umożliwiające wykrywanie urządzeń komunikujących się bezprzewodowo w tej technologii. Taki dron mógłby nawet służyć jako fałszywy punkt dostępowy, którego można użyć do włamań do korporacyjnych czy też rządowych sieci. Według specjalistów od bezpieczeństwa na razie jest to tylko potencjalne zagrożenie, ale już co najmniej jedna firma zajmująca się bezpieczeństwem sieciowym oferuje sprzęt umożliwiający wykrywanie takich wrogich dronów.

Rosnąca popularność urządzeń przenośnych i idący za tym wzrost liczby sieci bezprzewodowych powodują, że wizja wykorzystania dronów do podsłuchiwania transmisji staje się bardzo kusząca. Eksperci przewidują, że strefa bezpieczeństwa fizycznego biurowców będzie w przyszłości musiała obejmować przestrzeń powietrzną wokół bryły budynku, ponieważ w tej przestrzeni mogą operować drony zdolne do analizowania infrastruktury bezprzewodowej.

Badacze sprawdzali też inny scenariusz – wyposażyli quadrokopter w oprogramowanie Snoopy umożliwiające wykrywanie urządzeń bezprzewodowych i przechwytywanie komunikacji sieciowej. Okazało się, że po wzniesieniu się na wysokość ok. 80 metrów urządzenia nie widać, ani nie słychać, ale dzięki odpowiedniej antenie jest ono w stanie wykryć sygnał Wi-Fi pochodzący nawet z poziomu gruntu. Jednocześnie konsumenckie drony są łatwo dostępne i stosunkowo tanie, więc zebranie całego wyposażenia potrzebnego do realizacji takiego ataku nie przedstawia problemu.

Z kolei wyposażenie drona w niewielkie hakerskie narzędzie Wi-Fi Pineapple sprawia, że może ono służyć jako latający punkt dostępowy. Wiemy już, jakie możliwości daje umieszczenie w biurze lub w jego sąsiedztwie własnego routera Wi-Fi.

W Polsce, podobnie jak w wielu innych krajach, nie ma na razie regulacji prawnych, które mogłyby zapobiec wykorzystaniu dronów w celach hakerskich. Dlatego też firmy specjalizujące się w produkcji narzędzi do analizy sieci bezprzewodowych narzędzi starają się wypełnić lukę, rozwijając produkty, które mogłyby pomóc zidentyfikować i zlokalizować źródło zagrożenia, a następnie zniwelować efekty tego zagrożenia poprzez odpowiednie systemy instalowane w firmowych centrach danych. Dostawcy podkreślają konieczność instalacji tego rodzaju środków bezpieczeństwa, które są często aktualizowane w czasie rzeczywistym, aby chronić przed nowymi zagrożeniami , takimi jak hakerskie drony . Bo na aktualizacje oprogramowania, w którym wykryto jakąś podatność, bywa, że czeka się tygodniami.

Oprócz smartfonów, tabletów i innych urządzeń wykorzystywanych przez pracowników do dostępu do danych korporacyjnych, drony hakerów mogą również wykrywać sygnały emitowane przez wszystkie inne urządzenia, począwszy od Google Glass, poprzez układy NFC, na bezprzewodowych rozrusznikach serca skończywszy. Wszystkie te urządzenia rozgłaszają różne unikalne informacje, jak lokalizacja Wi-Fi czy adres MAC. Hakerzy są w stanie ustalić wiele informacji o właścicielu urządzenia, wykorzystując te inne techniki, np. sygnały RFID. Te scenariusze mogą wydawać się nieprawdopodobne, ale już notowano przypadki wykrycia dronów wyposażonych w kamery HD i moduły Wi-Fi, które krążyły na wysokości kilkudziesięciu metrów w pobliżu biurowców, a nawet zdarzało się, że wpadały na budynki.

Podsumowanie

Szyfrowanie WPA lub WPA2 w połączeniu z uwierzytelnianiem 802.1X może zapobiec różnym zagrożeniom, jak przejęcie sesji czy podsłuchiwanie transmisji. Wprawdzie wymaga używania serwera RADIUS, ale do wyboru jest wiele opcji, m.in. chmurowe usługi 802.1X, specjalne stworzone do zarządzania i zabezpieczania sieci Wi-Fi. Natomiast stosowanie rozwiązań IDS/IPS umożliwia wykrywanie nielegalnych punktów dostępowych i zapobieganie atakom DoS. Nie eliminuje to jednak konieczności badania od czasu do czasu zasięgu sieci Wi-Fi, które umożliwia dodatkowe wykrywanie innych problemów, np. interferencji między sieciami. Ważne jest także fizyczne bezpieczeństwo, aby ograniczyć szansę, że ktoś uzyska nieautoryzowany dostęp. Wykorzystanie dronów w atakach na Wi-Fi zmusi firmy do zmodyfikowania działań obejmujących bezpieczeństwo fizyczne. Wyłączenie nieużywanych gniazd Ethernet i fizyczne zabezpieczenie urządzeń sieciowych podnosi poziom bezpieczeństwa. Zagrożeń dla sieci bezprzewodowych będzie przybywać wraz lawinowym wzrostem mobilnych danych dostarczonych przez coraz większą liczbę urządzeń, które służą jako punkty dostępu do sieci bezprzewodowych.


TOP 200