Mobilnie i bezpiecznie
- Patryk Królikowski,
- 11.09.2008
Ostatnie miesiące w świecie bezpieczeństwa sieci mobilnych nie przyniosły rewolucyjnych zmian. Pojawiły się jednak nowości zarówno po stronie zagrożeń, jak i metod zaradczych. Bezpieczeństwo wciąż jest stawiane na jednym z najwyższych miejsc w tematyce związanej z sieciami mobilnymi i pracą tzw. użytkowników nomadycznych.
Ostatnie miesiące w świecie bezpieczeństwa sieci mobilnych nie przyniosły rewolucyjnych zmian. Pojawiły się jednak nowości zarówno po stronie zagrożeń, jak i metod zaradczych. Bezpieczeństwo wciąż jest stawiane na jednym z najwyższych miejsc w tematyce związanej z sieciami mobilnymi i pracą tzw. użytkowników nomadycznych.
Model referencyjny architektury bezpieczeństwa sieci (także komórkowych i bezprzewodowych) oparty na standardzie X.805
Największym obecnie zmartwieniem nie jest zatem już tylko zabezpieczanie sieci komórkowych - te przestały być egzotyczną technologią - ale samych terminali. W lutym br. na konferencji Black Hat zaprezentowano nowe metody podsłuchiwania i łamania zabezpieczeń w sieciach GSM. Na pozór nie ma w tym nic dziwnego. Są przecież komercyjne systemy do takich celów, ale ich ceny oscylują w okolicach miliona dolarów. Młodzi gniewni (David Hulton i Steve Muller) osiągnęli podobny rezultat, używając sprzętu i oprogramowania wartości ok. 1000 USD. Złamanie transmisji zajęło im ok. 30 minut i byli w stanie podsłuchiwać rozmowy z odległości nawet 30 kilometrów. Twierdzą, że gdyby stać ich było na sprzęt 100 razy droższy (ciągle nie za milion dolarów), czas "hakerki" można by było skrócić do 30 sekund. Złamanie transmisji możliwe było dzięki wykorzystaniu znanej już od pewnego czasu podatności 64-bitowego szyfru strumieniowego A5 i dokładnemu poznaniu sposobu nawiązywania połączenia.
W związku z wykorzystaniem technologii IP w sieciach komórkowych nasze przenośne terminale (telefony czy PDA) tak samo jak pecety stają się celem robaków, spyware'u, adware'u czy wirusów. Od początku roku pojawia się rozmaity kod złośliwy dedykowany do infekowania platform mobilnych - zwłaszcza systemu Windows Mobile (np. trojan InfoJack doczepiający się do legalnego oprogramowania, m.in. Google Maps), ale także Symbiana (np. robak Beselo propagujący się za pomocą MMS-ów), J2 ME (np. SMSFree wysyłający SMS-y na wysokopłatne numery). Nie brakuje też luk w "cudownym dziecku" Apple - iPhonie (np. odkryto niedawno luki w aplikacji iPhone Mail oraz przeglądarce Safari - zarówno w wersji 1.1.4, jak i 2.0 platformy). W telefonii komórkowej możemy także paść ofiarą klasycznego ataku DoS wymierzonego przeciwko dostępności upragnionych usług - często istotnych z biznesowego punktu widzenia np. aplikacji do synchronizacji poczty elektronicznej czy dokumentów.
Ochrona sieci operatorskich Alcatel Lucent 9900 Wireless Network Guardian Detector
Takie produkty dla rynku SOHO to jednak nie koniec. Jak grzyby po deszczu pokazują się także specjalistyczne, kompleksowe rozwiązania korporacyjne, chroniące urządzenia mobilne pracowników. To prawdziwe kombajny zawierające zaporę ogniową, system IPS, narzędzia szyfrujące, kontrolujące i śledzące nasze terminale (np. pakiet BlueFire Mobile Security Enterprise Edition). Również operatorzy ze swojej strony starają się, żeby zabezpieczyć własną infrastrukturę, wykorzystując do tego celu rozmaite rozwiązania.
Mają miejsce też i inne inicjatywy. Dla przykładu, kilka miesięcy temu grupa The Open Mobile Terminal Platform (OMTP -http://www.omtp.org), tworzona przez producentów telefonów komórkowych i operatorów, opublikowała dwa dokumenty - "Advanced Trusted Environment" oraz "Security Threats on Embedded Consumer Devices" - zawierające rekomendacje co do podnoszenia poziomu bezpieczeństwa mobilnego, zwłaszcza w obliczu pojawiania się takich usług, jak PPV TV (Pay-per-view) czy m-commerce'u (Mobile Commerce).
10 cm od bankructwa
Sensor (tag) NFC
W maju członkowie znanej grupy badawczej Trifinite.Group przedstawili kilka możliwych scenariuszy ataków właśnie na tę nową technologię.
Bezprzewodowo standardowo...
Mówiąc o bezpieczeństwie pracy mobilnej i sieci mobilnych, nie możemy zapominać o ich sztandarowych reprezentantach - technologiach 802.11a/b/g/n, a nawet trochę przygasłym Bluetooth. Do tego dochodzi jeszcze w dalszym ciągu niedoceniany 802.16 (WiMAX).
Co ciekawe, obecnie wszystkie trzy grupy mogą bez problemu funkcjonować w jednym "pececie" i to bez konieczności instalacji jakichkolwiek kart. Dzięki zbliżającym się wielkimi krokami chipom Centrino 2 Echo Peak, które mają być dostępne pod koniec tego roku, możliwe będzie nawiązywanie połączeń zarówno z sieciami WiMAX, jak i 802.11n. To sprawia, że liczba zagrożeń, na które może być narażony potencjalny użytkownik takiego rozwiązania rośnie - chociażby ze względu na duży zasięg WiMAX-a uważanego za swoistego konkurenta technologii GSM.
Zdecydowanie największą popularnością cieszą się, mimo wszystko, sieci 802.11b/g. Tutaj tradycyjnie najsłabszym ogniwem są mechanizmy szyfrowania transmisji. Niedawno wykonaliśmy mały test, aby sprawdzić, co w ciągu roku zmieniło się w kwestii popularności poszczególnych mechanizmów. Przejechaliśmy wyposażeni w laptopa, kartę bezprzewodową z anteną i Kismeta po centrum Warszawy i jednej z dzielnic leżących na obrzeżach. Wyniki były lepsze niż podczas ostatniego testu - ale nie rewelacyjne. W centrum wykryliśmy kilka sieci z zabezpieczeniami WEP, całą masę z WPA i dosłownie kilka z WPA2. Na obrzeżach sprawa miała się gorzej - sporo WEP, trochę WPA i sporadycznie WPA2. Co z tego wynika? Mimo powtarzania, jak niebezpieczne i nieodpowiedzialne jest używanie WEP, wiele osób, a co gorsza firm (sądząc po identyfikatorach SSID) z niego korzysta. Niewiele punktów jest zabezpieczonych oferującym obecnie najwyższy poziom bezpieczeństwa WPA2. Nie będziemy się rozpisywać o niedoskonałościach WEP - opisów takich jest wiele. Warto może jedynie wspomnieć słowo o WPA2, które występuje w dwóch wariantach - WPA2/PSK wykorzystujące hasło współdzielone (tzw. shared secret) oraz WPA2 Enterprise. Firmy nie powinny korzystać już z tego pierwszego rozwiązania - hasła współdzielone przechowywane są bowiem zarówno przez punkty dostępowe, jak i przez urządzenia, które się do nich łączą. Możliwe jest zatem przeprowadzenie skutecznych "offline'owych" ataków słownikowych lub brute-froce po przechwyceniu urządzenia. Dlatego też zaleca się stosowanie WPA2 Enterprise z mechanizmami kontroli dostępu do sieci w warstwie drugiej dzięki 802.1x.
Stale trwają prace nad standardem 802.11w, który miał być opublikowany już pół roku temu, ale nic z tego nie wyszło. Ma on wprowadzić mechanizmy zabezpieczające, których brakuje w używanym dzisiaj 802.11i (WPA/WPA2). O ile bowiem w 802.11i zaadresowano problem bezpieczeństwa pakietów danych, o tyle zupełnie zapomniano o zabezpieczeniu ramek zawierających dane, które wykorzystywane są do zarządzania siecią WLAN. W 802.11w zabezpieczono ramki unicastowe, broadcastowe oraz broadcastowe ramki rozłączające (disassociation frames).
... i jeszcze niestandardowo
Przykładowe ataki na NFC według scenariusza Trifinite.Group
W 802.11n zmiany dotyczą przede wszystkim warstwy 1 (fizycznej) i 2 (łącza danych). W warstwie 1 wkracza technologia MIMO (Multiple Input Multiple Output) i wprowadzenie kanału 40 MHz (w sieciach a/b/g 20 MHz). W warstwie 2 (MAC) mamy technologię agregacji danych oraz potwierdzania blokowego (grupy ramek zamiast pojedynczej ramki). Te udogodnienia prowadzą także do potencjalnych zagrożeń. Nie chodzi tutaj o typowe ataki wykorzystujące jakieś słabości - tak jak w WEP. Tutaj zagrożona zostaje dostępność. Spowodowane jest to tym, że w sieciach 802.11n możemy korzystać i z kanałów 20 MHz (wykorzystywanych standardowo przez sieci a/b/g), i z 40 MHz. O ile jednak stosowanie kanałów 40 MHz w zakresie 5,2 GHz nie nastręcza problemów, o tyle już w przypadku pracy w zakresie 2,4 GHz zaczynają się kłopoty. Dzieje się tak za sprawą niewielkiej dostępnej ilości widma. Jeżeli więc w "polu rażenia" urządzeń pracujących w standardzie 802.11n w zakresie 2,4 GHz na kanałach 40 MHz-owych znajdą się punkty dostępowe 802.11 b/g, to prawidłowe funkcjonowanie tych drugich staje pod znakiem zapytania.
Problem ten został dostrzeżony przez Wi-Fi Alliance, co przełożyło się na zakaz wprowadzania na rynek urządzeń z włączonym domyślnie trybem pracy na kanałach 40 MHz w zakresie 2,4 GHz. Ale nic nie stoi na przeszkodzie, żeby taką funkcjonalność włączyć. Wówczas punkt dostępowy 802.11n przekształci się w znakomity emiter ataków DoS. Eksperci bezpieczeństwa wskazują także na inne zagrożenia związane z sieciami 802.11n, a dotyczące modyfikacji w warstwie 2 i wprowadzenia potwierdzania blokowego. Tutaj zamiast potwierdzania otrzymania każdej ramki, tak jak miało to miejsce dotychczas, potwierdzany jest cały ich ciąg. Niestety, nie wprowadzono żadnych mechanizmów uwierzytelniających ani szyfrujących, co daje atakującemu realną szansę spoofingu i w rezultacie zablokowania transmisji danych niczemu niewinnych użytkowników.
Zmiany sprzętowe, które niesie "n-ka", wymagają też przystosowania systemów operacyjnych do nowych urządzeń, a w szczególności pisania i szybkiego aktualizowania sterowników. Jako że nie ma jeszcze oficjalnie standardu, taka "deweloperka" odbywa się trochę na wariackich papierach i w pośpiechu, a przez to sterowniki pisane są niechlujnie. Można więc z dużą skutecznością zaatakować sam sterownik, co prowadzi niemalże wprost do uzyskania uprawnień administratora na stacji. Idąc dalej tropem zmian: zwiększony został w sposób znaczny zasięg w sieciach 802.11n. Z tym wiąże się problem okiełznania sygnału i powstrzymanie jego wycieku poza obszar działania organizacji. Bowiem wraz ze wzrostem zasięgu naszej sieci zwiększają się pole rażenia i komfort "pracy" potencjalnych intruzów.
Bezprzewodowa kontrola
Ścieżka migracji do 802.11w
WIPS-y/WIDS-y nasłuchują także w poszukiwaniu "fałszywek", tzn. nieautoryzowanych punktów dostępowych. Niestety wiele takich systemów nie zawsze jest w stanie prawidłowo wykryć punkty dostępowe pracujące w "n-ce". Szczególnie w przypadku access pointów działających w trybie pełnego HT (High Throughput) zwanego inaczej "Greenfield". Ten tryb nie jest bowiem kompatybilny z wielką trójką (a/b/g), a zatem dla czujek nierozumiejących standardu "n" access pointy w nim pracujące pozostaną niezauważone. Praca w trybie Greenfield niesie ryzyko prowadzenia ataków DoS przez nieautoryzowane punkty dostępowe. Lepiej jest z trybami HT Mixed i punktami dostępowymi z wyłączonym HT. Tutaj standardowe czujki są w stanie wykryć obecność intruza, ale niezbyt wiele będą umiały przeanalizować. Dlatego też konieczny jest w miarę szybki "upgrade" sensorów, bo przecież trudno oczekiwać, że niepokorni użytkownicy albo hakerzy będą grzecznie korzystać z trybu HT Mixed. Upgrade sensorów musi być połączony także z rozszerzeniem funkcjonalności pozostałej części oprogramowania, aby możliwe było sprawne parsowanie i raportowanie o zdarzeniach z sieci 802.11n, a także dokładne określanie pozycji punktów dostępowych. Wspomnieliśmy też o trybie Greenfield - z nim wiąże się pewne zagrożenie, a mianowicie możliwość przeprowadzania ataków typu DoS przez nieautoryzowane punkty dostępowe.