Niebezpieczne bezprzewodowe

Bezpieczeństwo w sieciach bezprzewodowych? Jest możliwe, ale kosztem bardzo dużego ograniczenia swobody użytkowników i sporych nakładów administracyjnych.

Bezpieczeństwo w siecia ch bezprzewodowych? Jest możliwe, ale kosztem bardzo dużego ograniczenia swobody użytkowników i sporych nakładów administracyjnych.

Gdy w połowie ubiegłego roku pisaliśmy o sieciach bezprzewodowych, przedstawiliśmy w sposób wyczerpujący konfigurację najważniejszych zabezpieczeń typowej sieci tego typu. Przypomnijmy zatem w telegraficznym skrócie polecane czynności. Należy uruchomić szyfrowanie WEP (128-bitowe), wyłączyć rozgłaszanie identyfikatora SSID oraz utworzyć listę adresów MAC, które mają prawo autoryzować się w sieci. Ta kombinacja powinna zapewnić wystarczający poziom zabezpieczeń - w końcu WEP stosuje mocny algorytm szyfrowania. Nie znając identyfikatora SSID, włamywacz w ogóle nie będzie wiedział, że sieć istnieje, a dysponując kartą z nieautoryzowanym adresem MAC, i tak się do niej nie podłączy. Tak wygląda teoria. A praktyka? Niestety, jest znacznie gorzej.

Bez barier

Algorytm szyfrowania stosowany w WEP jest rzeczywiście mocny. Niestety, jego implementacja w tym właśnie wypadku jest wadliwa i po spełnieniu kilku warunków można złamać szyfr w czasie krótszym od jednego dnia. Identyfikator SSID, nawet nierozgłaszany, zostanie błyskawicznie wykryty przez odpowiednie oprogramowanie (np. Kismet). Adres MAC też nie stanowi problemu, ponieważ włamywacz może bez trudu podejrzeć adresy MAC osób autoryzujących się legalnie w sieci, a następnie przypisać swojej karcie jeden z nich. Co to oznacza?

Przede wszystkim, że zastosowanie popularnego punktu dostępowego, bez bardziej zaawansowanych (i niestandardowych) zabezpieczeń naraża sieć na atak, który ma duże szanse powodzenia. Co więcej, wykrycie włamywacza będzie niezwykle trudne. W przypadku sieci kablowych do przeprowadzenia wielu ataków konieczny jest fizyczny dostęp do infrastruktury sieciowej (okablowania). Sieci bezprzewodowe pozwalają włamywaczowi przebywać w bezpiecznej odległości od atakowanej sieci. Tylko na pierwszy rzut oka wydaje się to niemożliwe - przecież po zainstalowaniu sieci bezprzewodowej sprawdziłeś, że sygnał nie wydostaje się poza budynek. Faktycznie, korzystając ze standardowej karty, możesz nie wykryć sygnału. Wystarczy jednak podłączyć do niej antenę z odpowiednim wzmocnieniem, nawet własnej produkcji, aby w sposób spektakularny zwiększyć zasięg. Podsłuch sieci stanie się możliwy z odległości kilkuset metrów, a w niektórych przypadkach nawet kilku kilometrów. Jako ciekawostkę można podać, że jednym z rekwizytów najczęściej wykorzystywanych do produkcji własnych anten są puszki po chipsach Pringles.

Program Ethereal, przy odrobinie wysiłku, zdradzi wszystkie adresy MAC skojarzone z danym punktem dostępowym.

Program Ethereal, przy odrobinie wysiłku, zdradzi wszystkie adresy MAC skojarzone z danym punktem dostępowym.

Uzyskanie dostępu do sieci bezprzewodowej umożliwi włamywaczowi podsłuchanie ruchu w całej sieci lokalnej, również kablowej, która jest podłączona do punktu dostępowego. Biorąc pod uwagę, ilu użytkowników takich sieci korzysta np. z kont pocztowych POP3 przesyłających nazwę użytkownika i hasło otwartym tekstem, okazuje się, że włamywacz może szybko zgromadzić dane, które pozwolą mu uzyskać dostęp do kluczowych danych firmy bądź osób prywatnych. To wciąż jednak nie wszystko. Specjalna technika, zwana spoofingiem, pozwala włamywaczowi włączyć się w dowolną transmisję pomiędzy dwoma komputerami w sieci lokalnej i modyfikować w sposób niezauważalny, w locie, przesyłane dane. Potencjalne zastosowania są nieograniczone - modyfikacja wiadomości błyskawicznych, e-maili, przekierowanie użytkowników na niebezpieczne strony WWW itd.

Jeśli korzystasz z sieci bezprzewodowej, może czujesz się już nieco wystraszony, ale myślisz, że w Polsce niebezpieczeństwa nie ma. Niestety, jesteś w błędzie - do Polski już dotarła moda na War Driving. Ludzie wyposażeni w notebooki z mocnymi antenami i odpowiednim oprogramowaniem poruszają się po mieście, poszukując niezabezpieczonych lub słabo zabezpieczonych punktów dostępowych. Oznaczają ich lokalizację, notują parametry niezbędne do uzyskania dostępu i te informacje umieszczają w publicznie dostępnych bazach danych. Z tych informacji skorzystać mogą wszyscy chętni, aby uzyskać nieautoryzowany dostęp do sieci.

Masz jeszcze może nadzieję, że włamanie wymaga wielkich umiejętności, niedostępnych dla byle Kowalskiego, mającego ochotę na dawkę adrenaliny? Częściowo masz rację. Niestety, tylko częściowo. Teraz przejdziemy do części praktycznej, która pokaże, że wszystko, o czym opowiadaliśmy, wymaga od włamywacza zastosowania tylko kilku, publicznie dostępnych i darmowych narzędzi.

Włamanie czas zacząć

Network Stumbler błyskawicznie wykryje wszystkie dostępne sieci, które rozgłaszają swój identyfikator.

Network Stumbler błyskawicznie wykryje wszystkie dostępne sieci, które rozgłaszają swój identyfikator.

Chcąc włamać się do sieci bezprzewodowej, trzeba przede wszystkim stwierdzić, że jest i określić jej podstawowe parametry. Użytkownicy Windows mogą w tym celu wykorzystać Network Stumbler, dostępny na naszej płycie. Program służy do wyszukiwania punktów dostępowych i określania ich charakterystyki (siły sygnału, poziomu szumów itd.). Jest niezwykle przydatny mimo jednego, istotnego ograniczenia - niezbyt dobrze działa w trybie pasywnym i nie zawsze wyszukuje punkty dostępowe, które mają wyłączoną opcję rozgłaszania SSID. Mimo to znajduje szerokie zastosowanie, ponieważ wiele punktów dostępowych nie pozwala na wyłączanie rozgłaszania SSID, a nawet jeśli pozwala, to wielu użytkowników nie korzysta z tej opcjii.

Na ilustracji widać, że stosowanie bardzo wyszukanych nazw jest warte dokładnie tyle samo, co stosowane najprostszych. Nasz testowy punkt dostępowy nazwaliśmy $%KW! (Został wykryty przez NS w ciągu ułamka sekundy, podobnie jak punkt dostępowy o najprostszej nazwie, np. domyślnej 3Com).

Jeśli podejrzewasz jednak, że w danym miejscu jest sieć bezprzewodowa, a NS jej nie wykrywa, czas sięgnąć po jeszcze bardziej wyrafinowane narzędzie, jakim jest linuksowy Kismet, dostępny pod adresem http://www.kismetwireless.net . Bez trudu wykryje nawet punkty dostępowe z wyłączonym rozgłaszaniem SSID. Jedyny warunek: w trakcie testów jakiś legalny użytkownik musi korzystać z punktu dostępowego, bo podczas transmisji otwartym tekstem przesyłana jest jego nazwa, nawet jeśli reszta przekazu jest szyfrowana. Kismet potrafi ją wychwycić bez trudu i ma jeszcze jedną niezwykle przydatną cechę. Gdy już wykryje sieć, potrafi wyświetlić również adresy MAC skojarzonych z nią kart sieciowych. Ta cecha przydaje się podczas dalszych faz ataku. Po prostu wybierz z listy interesujący identyfikator SSID i naciśnij [c]. To wszystko.

Jeśli jest wiele punktów dostępowych i identyfikatorów, można je posortować, naciskając [ss].

W każdej chwili możemy w szczegółach podejrzeć dowolną transmisję między dwoma komputerami w sieci lokalnej.

W każdej chwili możemy w szczegółach podejrzeć dowolną transmisję między dwoma komputerami w sieci lokalnej.

Jeśli jednak nie chcesz korzystać z programu Kismet, adresy MAC możesz wykryć również za pomocą programu Ethereal ( http://www.ethereal.com ), dostępnego praktycznie do wszystkich platform, w tym również do Windows. Służy do monitorowania całego ruchu w sieci. Wprawdzie odnalezienie właściwych adresów MAC za jego pomocą jest nieco trudniejsze, niż w przypadku programu Kismet, ale również możliwie.

Jak tego dokonać? Po uruchomieniu programu naciśnij [Ctrl+K] lub wybierz z menu Capture funkcję Start. W oknie, które się pojawi, wskaż, z której karty sieciowej chcesz korzystać, i kliknij OK. Program rozpocznie zbieranie pakietów, wyświetlając statystykę, dotyczącą tego, ile pakietów danego typu wychwycił w sieci. Gdy uznasz, że wystarczająco, przerwij zbieranie. W tym momencie program wyświetli szczegółowe informacje na temat wszystkich zebranych pakietów - po jednym w każdym wierszu. Okno programu podzielone jest na trzy główne części. W górnej program wyświetla podstawowe informacje na temat pakietu, w oknie środkowym szczegółowe rozwinięcie informacji na jego temat, a jeszcze niżej wybrany pakiet w formie zapisu szesnastkowego i ASCII.

W górnej części okna posortuj dane według kolumny Protocol i poszukaj pakietów typu ARP. Wprawdzie interesujące informacje można znaleźć prawie w każdym pakiecie, ale jeśli sieć jest mieszana, kablowo-bezprzewodowa, wówczas protokół ARP pozwoli dokonać najszybszej analizy.

Klucz 128-bitowy złamany - jak to możliwe?

Warto w kilku słowach wyjaśnić, na jakiej zasadzie działa program AirSnort i jemu podobne. Zagadnienie jest o tyle interesujące, że to nie sam algorytm szyfrujący ma wady, ale jego konkretna implementacja została błędnie przeprowadzona. WEP korzysta z algorytmu szyfrującego RC4, którego działanie polega na tym, że stosunkowo krótki klucz wydłuża do pseudolosowego klucza o nieskończonej długości. Następnie klucz ten i tekst do zaszyfrowania zostają poddane operacji XOR, której efektem jest tekst zaszyfrowany. Odbiorca dysponuje takim samym kluczem i przekształcając go w identyczny sposób na klucz pseudolosowy, może wykonać odwrotną operację XOR, która przywraca tekst do postaci czytelnej. Taki algorytm jest jednak podatny na ataki. Jeśli atakujący będzie mógł uzyskać dwa teksty zaszyfrowane tym samym kluczem, może je przekształcić na tekst, który byłby wynikiem operacji XOR na dwóch tekstach w postaci niezaszyfrowanej. Taka postać pozwala już na analizę statystyczną, która może doprowadzić do odkrycia oryginalnego tekstu. Gdy jeden tekst stanie się znany, odszyfrowanie drugiego nie stanowi problemu. Oczywiście im więcej tekstów zaszyfrowanych jednym kluczem, tym atak staje się łatwiejszy. Aby uniknąć takich sytuacji, do każdej transmisji dodawany jest wektor inicjujący o długości 24 bitów. Dlatego, choć sam kod szyfrujący w standardzie WEP ma 40 lub 104 bity, producenci podają często 64 i 128 bitów. Wektor inicjujący przesyłany jest w niezaszyfrowanej postaci. Teoretycznie, powinien być unikatowy w transmisji każdego pakietu, gwarantując w ten sposób, że niemożliwe będą jakiekolwiek ataki statystyczne. Niestety, 24 bity oznaczają, że wektor ten może przybrać nieco tylko ponad 16 milionów wartości, oznaczając w unikatowy sposób taką samą liczbę pakietów. Zakładając, że punkt dostępowy pracuje z pełną wydajnością, wystarczy to mniej więcej na 5 godzin, po tym czasie musi nastąpić powtórzenie.

Prawdopodobieństwo potwórzeń zwiększa się dodatkowo ze wzrostem liczby użytkowników punktu dostępowego. Licznik wektora inicjującego jest zerowany po każdym odłączeniu od punktu. Teoretycznie więc, gdyby dwie karty sieciowe rozpoczęły nową sesję mniej więcej w tym samym czasie, błyskawicznie doszłoby do licznych kolizji wektorów inicjujących, co w wielkim stopniu ułatwia zadanie włamywacza.

Źródło: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html


Zobacz również