Wardriving ciągle groźny

Jak myślisz, ile osób korzysta właśnie z twojego łącza internetowego? Zastosowałeś rady, które podaliśmy w poprzednim numerze? Jeśli nie, powinieneś zadrżeć - zobacz, co może osiągnąć wardriver mający ochotę zatrzymać się na 10 minut pod twoim blokiem.


Jak myślisz, ile osób korzysta właśnie z twojego łącza internetowego? Zastosowałeś rady, które podaliśmy w poprzednim numerze? Jeśli nie, powinieneś zadrżeć - zobacz, co może osiągnąć wardriver mający ochotę zatrzymać się na 10 minut pod twoim blokiem.

Jeździliśmy już kilka razy z komputerem, w którym uruchomiony był program wyszukujący okoliczne sieci bezprzewodowe: czasem Kismet, czasem NetStumbler. Za każdym razem osiągaliśmy rewelacyjne rezultaty - otwarte sieci pojawiały się tak szybko, że nie nadążaliśmy z ich liczeniem.

Obecnie postanowiliśmy sprawdzić, czy nasze apele o ostrożność odniosły jakikolwiek skutek, i zdecydowaliśmy się na ponowną przejażdżkę po mieście. Tym razem podróżowaliśmy bez odbiornika GPS, korzystaliśmy natomiast to z notebooka, to z modułu Wi-Fi wbudowanego w komputer Pocket PC. Zwłaszcza ta druga opcja była wyjątkowo wygodna: nie potrzebowaliśmy samochodu ani dużego parasola do ochrony przed deszczem. Wystarczyła wolna ławka i wyraz skupienia na twarzy, dzięki któremu wyglądaliśmy jak młodociani biznesmeni, bawiący się zaawansowaną komórką albo po prostu ludzie zmieniający utwory w odtwarzaczu MP3.

W ponad połowie wykrytych przez nas sieci nie wykorzystuje się szyfrowania.

W ponad połowie wykrytych przez nas sieci nie wykorzystuje się szyfrowania.

W badaniach, jak zwykle, wspierał nas NetStumbler oraz - nowość - WiFiFoFum. Ten ostatni wymaga, co prawda, instalacji .NET Compact Framework 2.0, ale dzięki temu obsługuje praktycznie każdy dostępny chipset Wi-Fi na rynku. To duża różnica w porównaniu do PocketWarriora czy MiniStumblera, które odmawiają współpracy z większością nowoczesnych Pocket PC.

WiFiFoFum - wbrew temu, co mogłoby wynikać z rysunku - nie potrafi skierować do najbliższego punktu dostępowego. Zamiast tego prezentuje moc sygnału (im bliżej środka, tym jest wyższa) oraz sprawdza szyfrowanie we WLAN (trójkąt pełny - szyfrowanie jest, trójkąt pusty - szyfrowania brak).

W drogę!

Przemierzyliśmy ok. 250 kilometrów po najróżniejszych zakamarkach miasta. Nie wchodziliśmy do wnętrza budynków, staraliśmy się chwytać tylko te sieci bezprzewodowe, które były słyszalne z chodnika. Zebraliśmy dane na temat 770 WLAN w Warszawie (bez uwzględniania hot spotów Ery, Orange i Plusa).

Człowieku, włącz szyfrowanie!

Radar WiFiFoFum to niezawodne narzędzie podczas wykrywania znajdujących się w okolicy punktów dostępowych i routerów Wi-Fi.

Radar WiFiFoFum to niezawodne narzędzie podczas wykrywania znajdujących się w okolicy punktów dostępowych i routerów Wi-Fi.

Z prawie ośmiuset sieci niecała połowa (46 procent) wykorzystuje szyfrowanie - rok temu odsetek był podobny - a w 54 procentach przesyłane dane nie są chronione w żaden sposób. Przechwycenie haseł, stron WWW, obrazków, plików MP3 i wszystkiego, co przelatuje przez WLAN, powinno być stosunkowo proste dla cyberwłamywacza zorientowanego w tematyce wardrivingu. Wystarczy trochę samozaparcia i chęć poskładania strumieni informacji w pliki.

Jak temu zaradzić? To proste, wystarczy zajrzeć na strony 142-144 poprzedniego numeru PC Worlda i przede wszystkim włączyć szyfrowanie WEP lub WPA. To prawda, uruchomienie go może doprowadzić do chwilowych zakłóceń pracy sieci (każdy z komputerów trzeba będzie od nowa skonfigurować), ale gra jest warta świeczki!

Filtrowanie MAC - brawo!

Bardzo nas ucieszyło, że aż w 46 procentach sieci, w których nie wykorzystywano szyfrowania, włączono filtrowanie adresów MAC. Jeśli przyjąć bardzo realne założenie, że początkujący haker będzie wyszukiwał głównie WLAN przyznające mu adres IP, a pozostałymi nawet się nie zainteresuje, to śmiało można uznać, że 87 procent (667 z 770) dostrzeżonych przez nas sieci jest stosunkowo bezpiecznych.

Router utajniony

Rok temu w naszym spisie punktów dostępowych i routerów dominowały urządzenia przedstawiające się nazwą producenta: netgear, linksys, USR9106. W tym roku użytkownicy wykazywali się dużo większą fantazją. Oprócz standardowych niecenzuralnych słów w nazwach WLAN (które nierzadko były też hasłami, jeśli uruchomiono szyfrowanie WEP/WPA) bardzo często wykorzystywano lokalizacje albo dobrane przypadkowo słowa ("sieciunia", "pirat"). Taki obrót spraw wskazuje, że użytkownicy zajrzeli do panelu konfiguracyjnego routera - nawet nieświadomie, zmuszeni przez producenta. To dobrze, bo zmiana domyślnej nazwy sieci znacząco utrudnia atak na urządzenie Wi-Fi. Jeśli bowiem adres MAC został sklonowany z komputera, którego użyto do konfiguracji routera, trudno na tej podstawie orzec, z jakiej fabryki pochodzi urządzenie (patrz też ramka "Wpadki producentów").

Straszne statystyki

Fragment rozmowy routera Belkina z kartą Wi-Fi Intela.

Fragment rozmowy routera Belkina z kartą Wi-Fi Intela.

Złe są dopiero statystyki z końca skali. Na 770 sieci aż 13 procent nie tylko nie stosuje żadnych zabezpieczeń, ale wręcz automatycznie przydziela adres IP temu, kto choć na chwilę przystanie pod budynkiem. Paradoksalnie, nazwy SSID sugerują, że są to raczej zapomniane routery i punkty dostępowe w firmach - które przecież powinny dbać o właściwe ukrycie danych!

Z tych 13 procent niemal jedna trzecia pozwala na dostęp do Internetu. Zwykle są to bardzo szybkie łącza DSL i kablowe - dużo rzadziej najtańsze, powolne warianty neostrady tp.

Czy 31 takich "publicznych hot spotów" to wiele? Gdyby nasza wędrówka po mieście odbywała się wzdłuż linii prostej, bezpłatny punkt dostępowy przytrafiałby się co 8 kilometrów. Ponieważ jednak poruszaliśmy się zygzakiem, najprawdopodobniej na każdym kilometrze kwadratowym znajdzie się przynajmniej jeden "dobroczyńca ludzkości".

Zakupienie anteny dookólnej lub - jeszcze lepiej - kierunkowej pozwoli na bezpłatne korzystanie z Sieci przez długi czas - z naszych testów wynika, że właściciele routerów dostrzegają pasożyta średnio dwa miesiące po jego pierwszej aktywności.

Jest lepiej niż rok temu, ale...

Rok temu wyszliśmy z założenia, że żaden użytkownik routera 802.11g nie potrafi (lub nie chce) wyłączyć w nim zgodności ze standardem 802.11b - dlatego zdecydowaliśmy się użyć starszej (i wzorowo obsługiwanej przez każdy dostępny na rynku system operacyjny) karty Wi-Fi z chipsetem Prism 2.5.

Tym razem nie narzucaliśmy już sobie takich ograniczeń. Ponieważ karta w laptopie obsługiwała również 802.11a, przełączaliśmy ją czasem w tryb zgodności wyłącznie z tym standardem. Wnioski były ciekawe: w stolicy udało nam się znaleźć siedem sieci, w których router wykorzystywał wyłącznie pasmo A - prawdopodobnie był przywieziony ze Stanów Zjednoczonych. Frapujące, że dane w żadnym z WLAN nie były szyfrowane. W połączeniu z silnym sygnałem ich właściciele liczą pewnie na łut szczęścia ("security through obscurity") oraz brak sprzętu zgodnego z 802.11a w Polsce. Niestety, musimy ich rozczarować - każdy droższy laptop wyposażony jest w moduł Wi-Fi Atherosa lub Intela, który z pudełka obsługują standardy 802.11a/b/g.

Pomoc

Tyle wardrivingowych statystyk. Jeśli uważasz, że twoja sieć jest bezpieczna - to dobrze, jednak na wszelki wypadek przyjrzyj się ramce "Dekalog administratora sieci" oraz spójrz na diagram znajdujący się na płycie CD. Być może, niektóre ważne czynności przeoczyłeś i warto do nich wrócić.

Wpadki producentów

W sierpniu na liście mailingowej Bugtraq pojawiły się przynajmniej dwie informacje o błędach wykrytych w urządzeniach Wi-Fi.

Model Netgear FVG318 (sprzętowy firewall) z firmware 1.0.40 okazał się nieodporny na pakiety ze złymi sumami kontrolnymi, które dość często przytrafiają się klientowi BitTorrenta o nazwie Azureus. Sprzęt miał problemy z ich odrzucaniem, po pewnym czasie zawieszał się i można go było przywrócić do życia wyłącznie twardym resetem.

Podobny problem dotyczył piątej wersji bardzo popularnego na naszym rynku routera Linksys WRT54G ze starszymi wersjami firmware - jeśli tylko włączona była opcja zarządzania sprzętem przez protokół HTTP i Wi-Fi, jednym prostym poleceniem udawało się zresetować wszelkie ustawienia zabezpieczeń.

Oba błędy producenci rozwiązali, publikując nowe wersje firmware'u.

Dekalog administratora sieci

  1. Zmień nazwę i hasło - zaraz po uruchomieniu routera zmodyfikuj przynajmniej hasło użytkownika "admin", który zwykle ma nielimitowany dostęp do sprzętu.
  2. Włącz zabezpieczenia - nie przesyłaj siecią żadnych ważnych danych, zanim nie uruchomisz przynajmniej szyfrowania WEP; a najlepiej WPA-PSK lub WPA2. Nie myśl, że skoro w pobliżu nie było żadnych WLAN, nikt nie może cię podsłuchiwać.
  3. Uruchom firewall w stacjach roboczych - niezależnie od włączenia firewalla w routerze powinieneś zabezpieczyć również desktopy. Nawet jeśli ktoś dostanie się do twojej sieci, będzie miał olbrzymie trudności z wniknięciem na pulpity maszyn.
  4. Filtruj adresy MAC - niech z routerem mogą się połączyć jedynie te urządzenia, które należą do ciebie.
  5. Oddziel sieć bez- i przewodową - jeżeli komputery podłączone kablem dostają adresy IP z zakresu 192.168.2.1-100, zmodyfikuj tak opcje routera, aby Wi-Fi działało w zakresie 192.168.3.1-100 lub innym.
  6. Nie zarządzaj przez WLAN - nawet jeśli włączyłeś dostęp do panelu administracyjnego routera przez SSL (czyli w przeglądarce wpisujesz adreshttps://...), wyłącz możliwość zmieniania opcji przez Wi-Fi albo od strony Internetu. Zabezpieczysz się w ten sposób nie tylko przed intruzami, lecz także przed nagłym odcięciem sobie dostępu do sieci.
  7. Rezygnuj z domyślnych kanałów - tuż po uruchomieniu routera zmień domyślny kanał transmisji na inny (patrz numer 09/2006 PC World Komputera).
  8. Właściwie ustaw punkt dostępowy/router - jeśli sprzęt będzie stał na środku mieszkania, zmniejszysz "przeciekanie" sygnału przez ściany.
  9. Obniż moc urządzeń - jeśli to możliwe, postaraj się zmniejszyć moc nadawania w routerze i karcie sieciowej. Transfer spadnie minimalnie, natomiast zabezpieczysz się przed wardriverami buszującymi pod twoim blokiem.
  10. Teraz najwaźniejsze: sprawdź się. Sprobuj się włamać do własnego WLAN z pracy albo z klatki schodowej. Skorzystaj też ze skanera portow w witrynie Sygate.