Mobilnie i bezpiecznie

Ostatnie miesiące w świecie bezpieczeństwa sieci mobilnych nie przyniosły rewolucyjnych zmian. Pojawiły się jednak nowości zarówno po stronie zagrożeń, jak i metod zaradczych. Bezpieczeństwo wciąż jest stawiane na jednym z najwyższych miejsc w tematyce związanej z sieciami mobilnymi i pracą tzw. użytkowników nomadycznych.

Ostatnie miesiące w świecie bezpieczeństwa sieci mobilnych nie przyniosły rewolucyjnych zmian. Pojawiły się jednak nowości zarówno po stronie zagrożeń, jak i metod zaradczych. Bezpieczeństwo wciąż jest stawiane na jednym z najwyższych miejsc w tematyce związanej z sieciami mobilnymi i pracą tzw. użytkowników nomadycznych.

Mobilnie i bezpiecznie

Model referencyjny architektury bezpieczeństwa sieci (także komórkowych i bezprzewodowych) oparty na standardzie X.805

Dużo uwagi poświęca się bezpieczeństwu w przypadku sieci WLAN, nieco mniej w odniesieniu do telefonii komórkowej i świadczonych przez nią usług. Ta druga kwestia zasługuje jednak na okazanie większego zainteresowania przede wszystkim z racji kierunku, w którym zmierzają zarówno producenci aplikacji i sprzętu, jak i sami usługodawcy. Postępuje konsolidacja i przenoszenie usług zarezerwowanych do tej pory dla świata komputerów wprost do telefonów komórkowych, choć tak naprawdę nie można już urządzeń tych nazywać telefonami. Jest to zjawisko ciekawe, ale też niepokojące i to nie tylko z socjologicznego punktu widzenia. Za prostymi w użytkowaniu aplikacjami stoi potężna farma serwerów usługowych, które w sieciach trzeciej i czwartej generacji dostarczają usługi za pośrednictwem protokołu IP. To sprawia, że zagrożenia "zarezerwowane" do tej pory tylko dla zwykłych komputerów przenoszą się do urządzeń mobilnych.

Największym obecnie zmartwieniem nie jest zatem już tylko zabezpieczanie sieci komórkowych - te przestały być egzotyczną technologią - ale samych terminali. W lutym br. na konferencji Black Hat zaprezentowano nowe metody podsłuchiwania i łamania zabezpieczeń w sieciach GSM. Na pozór nie ma w tym nic dziwnego. Są przecież komercyjne systemy do takich celów, ale ich ceny oscylują w okolicach miliona dolarów. Młodzi gniewni (David Hulton i Steve Muller) osiągnęli podobny rezultat, używając sprzętu i oprogramowania wartości ok. 1000 USD. Złamanie transmisji zajęło im ok. 30 minut i byli w stanie podsłuchiwać rozmowy z odległości nawet 30 kilometrów. Twierdzą, że gdyby stać ich było na sprzęt 100 razy droższy (ciągle nie za milion dolarów), czas "hakerki" można by było skrócić do 30 sekund. Złamanie transmisji możliwe było dzięki wykorzystaniu znanej już od pewnego czasu podatności 64-bitowego szyfru strumieniowego A5 i dokładnemu poznaniu sposobu nawiązywania połączenia.

W związku z wykorzystaniem technologii IP w sieciach komórkowych nasze przenośne terminale (telefony czy PDA) tak samo jak pecety stają się celem robaków, spyware'u, adware'u czy wirusów. Od początku roku pojawia się rozmaity kod złośliwy dedykowany do infekowania platform mobilnych - zwłaszcza systemu Windows Mobile (np. trojan InfoJack doczepiający się do legalnego oprogramowania, m.in. Google Maps), ale także Symbiana (np. robak Beselo propagujący się za pomocą MMS-ów), J2 ME (np. SMSFree wysyłający SMS-y na wysokopłatne numery). Nie brakuje też luk w "cudownym dziecku" Apple - iPhonie (np. odkryto niedawno luki w aplikacji iPhone Mail oraz przeglądarce Safari - zarówno w wersji 1.1.4, jak i 2.0 platformy). W telefonii komórkowej możemy także paść ofiarą klasycznego ataku DoS wymierzonego przeciwko dostępności upragnionych usług - często istotnych z biznesowego punktu widzenia np. aplikacji do synchronizacji poczty elektronicznej czy dokumentów.

Mobilnie i bezpiecznie

Ochrona sieci operatorskich Alcatel Lucent 9900 Wireless Network Guardian Detector

Na zagrożenia błyskawicznie zareagował rynek rozwiązań ochronnych (już pod koniec 2007 r. prognozowano dynamiczny rozwój mobilnego bezpieczeństwa) i stworzył sporą ofertę dla urządzeń mobilnych. Każdy szanujący się producent branży bezpieczeństwa ma w swojej ofercie odpowiedni pakiet do ochrony Pocket PC czy Symbiana. Wystarczy rzut oka na ofertę takich firm, jak Kaspersky, Trend Micro czy Symantec. Dostawcy dogadują się również z producentami telefonów (np. Sony Ericsson oferuje na niektórych platformach UIQ czasowo ograniczoną wersję F-Secure Mobile Security).

Takie produkty dla rynku SOHO to jednak nie koniec. Jak grzyby po deszczu pokazują się także specjalistyczne, kompleksowe rozwiązania korporacyjne, chroniące urządzenia mobilne pracowników. To prawdziwe kombajny zawierające zaporę ogniową, system IPS, narzędzia szyfrujące, kontrolujące i śledzące nasze terminale (np. pakiet BlueFire Mobile Security Enterprise Edition). Również operatorzy ze swojej strony starają się, żeby zabezpieczyć własną infrastrukturę, wykorzystując do tego celu rozmaite rozwiązania.

Mają miejsce też i inne inicjatywy. Dla przykładu, kilka miesięcy temu grupa The Open Mobile Terminal Platform (OMTP -http://www.omtp.org), tworzona przez producentów telefonów komórkowych i operatorów, opublikowała dwa dokumenty - "Advanced Trusted Environment" oraz "Security Threats on Embedded Consumer Devices" - zawierające rekomendacje co do podnoszenia poziomu bezpieczeństwa mobilnego, zwłaszcza w obliczu pojawiania się takich usług, jak PPV TV (Pay-per-view) czy m-commerce'u (Mobile Commerce).

10 cm od bankructwa

Mobilnie i bezpiecznie

Sensor (tag) NFC

Zagrożenia takich "codziennych" technologii to nie wszystko. Nowością są ataki na coraz mocniej lansowany standard NFC (Near Field Communication) implementowany w urządzeniach mobilnych, który pozwala np. na bezprzewodowe płatności za parkowanie, czy wykorzystanie telefonu jako karty płatniczej poprzez zbliżenie urządzenia do tzw. taga - czytnika elektromagnetycznego. NFC działa efektywnie na odległość ok. 10 cm, ale dla celów, do których został zaprojektowany, to w zupełności wystarcza. Co prawda na rynku nie ma na razie zbyt wiele telefonów, które mogą w pełni obsłużyć tę technologię (np. Nokia 6131 NFC), ale analitycy szacują, że w ciągu 5 lat wartość transakcji prowadzonych właśnie poprzez ten standard osiągnie 75 mld USD!

W maju członkowie znanej grupy badawczej Trifinite.Group przedstawili kilka możliwych scenariuszy ataków właśnie na tę nową technologię.

Bezprzewodowo standardowo...

Mówiąc o bezpieczeństwie pracy mobilnej i sieci mobilnych, nie możemy zapominać o ich sztandarowych reprezentantach - technologiach 802.11a/b/g/n, a nawet trochę przygasłym Bluetooth. Do tego dochodzi jeszcze w dalszym ciągu niedoceniany 802.16 (WiMAX).

Co ciekawe, obecnie wszystkie trzy grupy mogą bez problemu funkcjonować w jednym "pececie" i to bez konieczności instalacji jakichkolwiek kart. Dzięki zbliżającym się wielkimi krokami chipom Centrino 2 Echo Peak, które mają być dostępne pod koniec tego roku, możliwe będzie nawiązywanie połączeń zarówno z sieciami WiMAX, jak i 802.11n. To sprawia, że liczba zagrożeń, na które może być narażony potencjalny użytkownik takiego rozwiązania rośnie - chociażby ze względu na duży zasięg WiMAX-a uważanego za swoistego konkurenta technologii GSM.

Zdecydowanie największą popularnością cieszą się, mimo wszystko, sieci 802.11b/g. Tutaj tradycyjnie najsłabszym ogniwem są mechanizmy szyfrowania transmisji. Niedawno wykonaliśmy mały test, aby sprawdzić, co w ciągu roku zmieniło się w kwestii popularności poszczególnych mechanizmów. Przejechaliśmy wyposażeni w laptopa, kartę bezprzewodową z anteną i Kismeta po centrum Warszawy i jednej z dzielnic leżących na obrzeżach. Wyniki były lepsze niż podczas ostatniego testu - ale nie rewelacyjne. W centrum wykryliśmy kilka sieci z zabezpieczeniami WEP, całą masę z WPA i dosłownie kilka z WPA2. Na obrzeżach sprawa miała się gorzej - sporo WEP, trochę WPA i sporadycznie WPA2. Co z tego wynika? Mimo powtarzania, jak niebezpieczne i nieodpowiedzialne jest używanie WEP, wiele osób, a co gorsza firm (sądząc po identyfikatorach SSID) z niego korzysta. Niewiele punktów jest zabezpieczonych oferującym obecnie najwyższy poziom bezpieczeństwa WPA2. Nie będziemy się rozpisywać o niedoskonałościach WEP - opisów takich jest wiele. Warto może jedynie wspomnieć słowo o WPA2, które występuje w dwóch wariantach - WPA2/PSK wykorzystujące hasło współdzielone (tzw. shared secret) oraz WPA2 Enterprise. Firmy nie powinny korzystać już z tego pierwszego rozwiązania - hasła współdzielone przechowywane są bowiem zarówno przez punkty dostępowe, jak i przez urządzenia, które się do nich łączą. Możliwe jest zatem przeprowadzenie skutecznych "offline'owych" ataków słownikowych lub brute-froce po przechwyceniu urządzenia. Dlatego też zaleca się stosowanie WPA2 Enterprise z mechanizmami kontroli dostępu do sieci w warstwie drugiej dzięki 802.1x.

Stale trwają prace nad standardem 802.11w, który miał być opublikowany już pół roku temu, ale nic z tego nie wyszło. Ma on wprowadzić mechanizmy zabezpieczające, których brakuje w używanym dzisiaj 802.11i (WPA/WPA2). O ile bowiem w 802.11i zaadresowano problem bezpieczeństwa pakietów danych, o tyle zupełnie zapomniano o zabezpieczeniu ramek zawierających dane, które wykorzystywane są do zarządzania siecią WLAN. W 802.11w zabezpieczono ramki unicastowe, broadcastowe oraz broadcastowe ramki rozłączające (disassociation frames).

... i jeszcze niestandardowo

Mobilnie i bezpiecznie

Przykładowe ataki na NFC według scenariusza Trifinite.Group

A co z sieciami 802.11n? Mimo że w dalszym ciągu nie doczekaliśmy się wersji ostatecznej tego standardu, to w każdym sklepie możemy już kupić obsługujące kolejne "drafty" karty sieciowe i punkty dostępowe. W teorii, sieci 802.11n nie powinny nieść jakichś nowych, nieznanych do tej pory zagrożeń. To przecież jedynie ulepszona bezprzewodowa platforma sprzętowa w kwestii zabezpieczeń oparta na technologii 802.11i - sprawdzonym w sieciach 802.11 b i g. No więc o co ten cały szum? 802.11n przynosi takie korzyści, jak zwiększenie zasięgu czy szybkości przesyłu danych. Wpływa to na wzrost poziomu skomplikowania całego mechanizmu, a gdy coś jest skomplikowane, cieszą się hakerzy, no i pojawiają się luki...

W 802.11n zmiany dotyczą przede wszystkim warstwy 1 (fizycznej) i 2 (łącza danych). W warstwie 1 wkracza technologia MIMO (Multiple Input Multiple Output) i wprowadzenie kanału 40 MHz (w sieciach a/b/g 20 MHz). W warstwie 2 (MAC) mamy technologię agregacji danych oraz potwierdzania blokowego (grupy ramek zamiast pojedynczej ramki). Te udogodnienia prowadzą także do potencjalnych zagrożeń. Nie chodzi tutaj o typowe ataki wykorzystujące jakieś słabości - tak jak w WEP. Tutaj zagrożona zostaje dostępność. Spowodowane jest to tym, że w sieciach 802.11n możemy korzystać i z kanałów 20 MHz (wykorzystywanych standardowo przez sieci a/b/g), i z 40 MHz. O ile jednak stosowanie kanałów 40 MHz w zakresie 5,2 GHz nie nastręcza problemów, o tyle już w przypadku pracy w zakresie 2,4 GHz zaczynają się kłopoty. Dzieje się tak za sprawą niewielkiej dostępnej ilości widma. Jeżeli więc w "polu rażenia" urządzeń pracujących w standardzie 802.11n w zakresie 2,4 GHz na kanałach 40 MHz-owych znajdą się punkty dostępowe 802.11 b/g, to prawidłowe funkcjonowanie tych drugich staje pod znakiem zapytania.

Problem ten został dostrzeżony przez Wi-Fi Alliance, co przełożyło się na zakaz wprowadzania na rynek urządzeń z włączonym domyślnie trybem pracy na kanałach 40 MHz w zakresie 2,4 GHz. Ale nic nie stoi na przeszkodzie, żeby taką funkcjonalność włączyć. Wówczas punkt dostępowy 802.11n przekształci się w znakomity emiter ataków DoS. Eksperci bezpieczeństwa wskazują także na inne zagrożenia związane z sieciami 802.11n, a dotyczące modyfikacji w warstwie 2 i wprowadzenia potwierdzania blokowego. Tutaj zamiast potwierdzania otrzymania każdej ramki, tak jak miało to miejsce dotychczas, potwierdzany jest cały ich ciąg. Niestety, nie wprowadzono żadnych mechanizmów uwierzytelniających ani szyfrujących, co daje atakującemu realną szansę spoofingu i w rezultacie zablokowania transmisji danych niczemu niewinnych użytkowników.

Zmiany sprzętowe, które niesie "n-ka", wymagają też przystosowania systemów operacyjnych do nowych urządzeń, a w szczególności pisania i szybkiego aktualizowania sterowników. Jako że nie ma jeszcze oficjalnie standardu, taka "deweloperka" odbywa się trochę na wariackich papierach i w pośpiechu, a przez to sterowniki pisane są niechlujnie. Można więc z dużą skutecznością zaatakować sam sterownik, co prowadzi niemalże wprost do uzyskania uprawnień administratora na stacji. Idąc dalej tropem zmian: zwiększony został w sposób znaczny zasięg w sieciach 802.11n. Z tym wiąże się problem okiełznania sygnału i powstrzymanie jego wycieku poza obszar działania organizacji. Bowiem wraz ze wzrostem zasięgu naszej sieci zwiększają się pole rażenia i komfort "pracy" potencjalnych intruzów.

Bezprzewodowa kontrola

Mobilnie i bezpiecznie

Ścieżka migracji do 802.11w

W wielu korporacjach jako narzędzia ułatwiające borykanie się z problemami bezpieczeństwa sieci WLAN stosowane są już systemy typu WIDS czy WIPS (Wireless IDS/IPS). Mają one za zadanie monitorowanie sieci WLAN pod kątem naruszeń bezpieczeństwa. Działają poprzez system czujek rozmieszczonych na terenie organizacji i "podsłuchujących" ruch sieciowy. Te z kolei dane przesyłają do centralnej bazy danych, gdzie poddawane są dalszej obróbce. Czujki, szukając zagrożeń "skaczą" po wszystkich kanałach i sprawdzają, czy nie dzieje się tam nic podejrzanego. Teoretycznie więc, jeżeli atak trwa bardzo krótko, WIDS nie jest w stanie go wykryć - nie może nasłuchiwać jednocześnie na wszystkich kanałach. Według eksperta bezpieczeństwa Josha Wrighta, jeżeli korzystalibyśmy ze wspomnianej sieci 802.11n pracującej na kanałach 20 i 40 MHz, to niewykryty atak może trwać nawet do 8 sekund. W tym czasie można na przykład wypuścić eksploita na podatność wykrytą w sterowniku.

WIPS-y/WIDS-y nasłuchują także w poszukiwaniu "fałszywek", tzn. nieautoryzowanych punktów dostępowych. Niestety wiele takich systemów nie zawsze jest w stanie prawidłowo wykryć punkty dostępowe pracujące w "n-ce". Szczególnie w przypadku access pointów działających w trybie pełnego HT (High Throughput) zwanego inaczej "Greenfield". Ten tryb nie jest bowiem kompatybilny z wielką trójką (a/b/g), a zatem dla czujek nierozumiejących standardu "n" access pointy w nim pracujące pozostaną niezauważone. Praca w trybie Greenfield niesie ryzyko prowadzenia ataków DoS przez nieautoryzowane punkty dostępowe. Lepiej jest z trybami HT Mixed i punktami dostępowymi z wyłączonym HT. Tutaj standardowe czujki są w stanie wykryć obecność intruza, ale niezbyt wiele będą umiały przeanalizować. Dlatego też konieczny jest w miarę szybki "upgrade" sensorów, bo przecież trudno oczekiwać, że niepokorni użytkownicy albo hakerzy będą grzecznie korzystać z trybu HT Mixed. Upgrade sensorów musi być połączony także z rozszerzeniem funkcjonalności pozostałej części oprogramowania, aby możliwe było sprawne parsowanie i raportowanie o zdarzeniach z sieci 802.11n, a także dokładne określanie pozycji punktów dostępowych. Wspomnieliśmy też o trybie Greenfield - z nim wiąże się pewne zagrożenie, a mianowicie możliwość przeprowadzania ataków typu DoS przez nieautoryzowane punkty dostępowe.


TOP 200