Wardriving w Niemczech - CeBIT 2006

Alexander Gostev
  Senior Virus Analyst, Kaspersky Lab
Roel Schouwenberg
  Senior Research Engineer, Kaspersky Lab BNL

Opublikowane przez nas wyniki badania sieci bezprzewodowych w Chinach (w szczeg贸lno艣ci w Pekinie i Tianjinie, patrz: tutaj) zyska艂o du偶y odd藕wi臋k. Skontaktowa艂y si臋 z nami firmy zainteresowane kwestiami bezpiecze艅stwa informatycznego, jak r贸wnie偶 czytelnicy naszej strony. Niekt贸re lokalne przedstawicielstwa Kaspersky Lab poprosi艂y nas o przeprowadzenie w ich krajach podobnego badania. 艢wiadczy to o szerokim zainteresowaniu tematem bezpiecze艅stwa sieci bezprzewodowych.

Podobne badanie przeprowadzili艣my ostatnio na targach CeBIT 2006 odbywaj膮cych si臋 w Hanowerze, w Niemczech. CeBIT to najwi臋ksze na 艣wiecie targi po艣wi臋cone bezpiecze艅stwu informatycznemu. Impreza ta doskonale nadawa艂a si臋 do przeprowadzenia takiego projektu z kilku powod贸w.

Po pierwsze, targi przyci膮gaj膮 nie tylko u偶ytkownik贸w czy producent贸w sprz臋tu i oprogramowania. To r贸wnie偶 艣wietna okazja dla haker贸w, aby w艂ama膰 si臋 do sieci firm bior膮cych udzia艂 w takich targach. Prawie wszystkie firmy uczestnicz膮ce w podobnych imprezach tworz膮 w艂asne sieci lokalne, kt贸re cz臋sto pod艂膮czone s膮 do g艂贸wnego serwera firmy. Takie sieci lokalne zak艂adane s膮 napr臋dce i zazwyczaj s膮 s艂abo zabezpieczone. Zwi臋ksza to ryzyko, 偶e stan膮 si臋 celem atak贸w haker贸w. Ataki takie przeprowadzane s膮 najcz臋艣ciej poprzez Wi-Fi.

Po drugie, hakerzy wykorzystuj膮 targi nie tylko do uderzania w firmy, ich celem s膮 tak偶e odwiedzaj膮cy. Do艣膰 g艂o艣ny incydent mia艂 miejsce w zesz艂ym roku podczas konferencji InfoSecurity w Londynie, gdy grupa skamer贸w zainstalowa艂a kilka fa艂szywych punkt贸w dost臋powych, kt贸re wygl膮da艂y jak interfejs dost臋pu do sieci publicznej. Niczego niepodejrzewaj膮cy u偶ytkownicy 艂膮czyli si臋 z sieci膮, podaj膮c swoje has艂a i inne poufne dane, kt贸re trafia艂y wprost do r膮k haker贸w.

Badanie zosta艂o przeprowadzone w dniach 9-10 marca 2006 roku podczas targ贸w CeBIT 2006 w Hanowerze. Zebrali艣my dane z ponad 300 punkt贸w dost臋powych. Nie pr贸bowali艣my pod艂膮cza膰 si臋 do wykrytych sieci, ani przechwytywa膰 czy odszyfrowywa膰 przesy艂anego za ich pomoc膮 ruchu.

Sieci Wi-Fi

Pr臋dko艣膰 transmisji

Wykryli艣my prawie tak膮 sam膮 liczb臋 sieci pracuj膮cych z pr臋dko艣ci膮 11 Mbps (ponad 47%) oraz 54 Mbps (ponad 51%). Niewielka liczba punkt贸w dost臋powych wykorzystywa艂a mniej popularne pr臋dko艣ci transmisji (22, 24 oraz 48 Mbps).


Pr臋dko艣膰 transmisji


Pr臋dko艣膰 transmisji, udzia艂 procentowy

Producenci sprz臋tu

Wykryli艣my sprz臋t 18 r贸偶nych producent贸w. 7 z nich zalicza艂o si臋 do najpopularniejszych: ich sprz臋t wykorzystywany by艂 w 28% wszystkich punkt贸w dost臋powych na targach CeBIT2006. Dalsze 5,5% wykorzystywa艂o sprz臋t pozosta艂ych 11 producent贸w.

Producent Udzia艂 procentowy
Symbol 16,15%
Intel 5,50%
Linksys 1,72%
D-Link 1,37%
Netgear 1,37%
Cisco 1,03%
Proxim (Agere) Orinoco 1,03%
Inni producenci 5,51%
Nieznany, sfa艂szowany, zdefiniowany przez u偶ytkownika 66,32%
Udzia艂 procentowy wykorzystywanego sprz臋tu w stosunku do ca艂kowitej liczby wykrytych sieci

Dane te znacznie r贸偶ni膮 si臋 od tych zebranych w Chinach i Moskwie. W Chinach producentami najcz臋艣ciej wykorzystywanych sprz臋t贸w byli Agere oraz Cisco (Linksys), w Moskwie Cisco oraz D-Link. Natomiast podczas targ贸w CeBIT2006 najwi臋cej wykrytych urz膮dze艅 zosta艂o wyprodukowanych przez firmy Intel (5,5%) oraz Symbol (16,5%). Rozbie偶no艣ci te wynikaj膮 prawdopodobnie z tego, 偶e w r贸偶nych krajach firmy te posiadaj膮 r贸偶ne udzia艂y w rynku. Cz臋sto przy wyborze sprz臋tu do sieci Wi-Fi kierujemy si臋 reputacj膮, jak膮 dany producent cieszy si臋 na rodzimym rynku.

Niestety, w sporej wi臋kszo艣ci wypadk贸w nie mogli艣my zidentyfikowa膰 producenta sprz臋tu.


Zidentyfikowany / niezidentyfikowany sprz臋t

Wysoki odsetek przypadk贸w, w kt贸rych nie mo偶na by艂o zidentyfikowa膰 producenta, wynika prawdopodobnie z faktu, 偶e w wi臋kszo艣ci wykorzystywany jest nowy sprz臋t. Taki sprz臋t nie jest rozpoznawany przez obecne wersje skaner贸w Wi-Fi.

Szyfrowanie ruchu

Dane pochodz膮ce od wardriver贸w na ca艂ym 艣wiecie pokazuj膮, 偶e oko艂o 70% sieci Wi-Fi nie wykorzystuje 偶adnego sposobu szyfrowania danych. W badaniu przeprowadzonym w Chinach uzyskali艣my znacznie ni偶szy odsetek: tylko 59% sieci nie stosowa艂o szyfrowania.


Szyfrowane / nieszyfrowane sieci

Podczas targ贸w CeBIT2006 brak ochrony w postaci szyfrowania wykryli艣my w oko艂o 56% sieci, co stanowi do艣膰 dobry wynik, je艣li por贸wnamy go z danymi statystycznymi dla ca艂ego 艣wiata oraz danymi, kt贸re zgromadzili艣my w Chinach. Je艣li jednak odejmiemy publiczne punkty dost臋powe do sieci (kt贸re dost臋pne by艂y na targach CeBIT2006), to liczba niechronionych punkt贸w dost臋pu b臋dzie niezwykle wysoka. Trzeba podkre艣li膰, 偶e punkty te zapewniaj膮 dost臋p do lokalnych sieci firm bior膮cych udzia艂 w targach CeBIT - tym samym stanowi膮 g艂贸wny cel haker贸w.

Rodzaje dost臋pu do sieci

Ogromna wi臋kszo艣膰 sieci bezprzewodowych na 艣wiecie (oko艂o 90%) skonstruowana jest wok贸艂 punkt贸w dost臋powych ESS/AP. Jak ju偶 wspomnieli艣my, sieci na targach CeBIT znacznie r贸偶ni膮 si臋 pod wzgl臋dem infrastruktury od standardowych. Ukazuj膮 to r贸wnie偶 poni偶sze dane.

Spo艣r贸d wykrytych po艂膮cze艅 ponad 40% stanowi艂y po艂膮czenia IBSS/Peer. Wynika to prawdopodobnie z tego, 偶e wystawcy potrzebowali po艂膮czy膰 ze sob膮 du偶膮 liczb臋 komputer贸w bez u偶ycia kabli sieciowych. Takie punkty dost臋pu mog膮 by膰 uwa偶ane za cz臋艣膰 wewn臋trznych sieci firm.


Rodzaje dost臋pu do sieci

Ustawienia domy艣lne

Jednym z najbardziej skutecznych sposob贸w ochrony sieci przed tzw. wardrivingiem jest wy艂膮czenie SSID. Nasze badanie wykaza艂o, 偶e oko艂o 8% bezprzewodowych punkt贸w dost臋powych na targach CeBIT2006 mia艂o wy艂膮czone SSID. 89% z nich wykorzystywa艂o szyfrowanie WEP. Takie bezprzewodowe punkty dost臋pu s膮 bezsprzecznie najlepiej zabezpieczone przed atakami haker贸w.


Ustawienia domy艣lne

Innym interesuj膮cym rezultatem badania by艂 domy艣lny SSID, kt贸ry oznacza z regu艂y, 偶e administrator punktu dost臋powego nie zmieni艂 nazwy routera. Mo偶e to wskazywa膰 r贸wnie偶 na to, 偶e konto administratora wci膮偶 ma domy艣lne has艂o. W obu przypadkach sieci nara偶one s膮 na atak. Nasze badania wykaza艂y, 偶e z blisko 300 punkt贸w dost臋powych tylko dwa stosowa艂y domy艣lny SSID - wida膰, 偶e administratorzy 艣wiadomi s膮 problem贸w bezpiecze艅stwa.