Premium

Získejte všechny články
jen za 89 Kč/měsíc

Bezdrátoví hackeři nezanechávají žádné stopy

Nechráněné bezdrátové sítě WLAN dávají hackerům šanci provést dokonalé útoky na internetové zdroje. Se svými zkušenostmi se s námi v tomto článku podělil skutečný manažer bezpečnosti, který si však přál zůstat v anonymitě.

Jsem parazit. Komunikuji po internetu, ale za přenosové pásmo, které právě využívám, neplatím ani cent. Dokonce jsem ani nepožádal o povolení je používat - a vlastně ani nevím, koho bych měl o takové povolení žádat. Ale jsem na dovolené a potřebuji ještě dokončit pár drobných pracovních záležitostí předtím, než se zcela oddám relaxování. A také potřebuji odeslat pár e-mailů.

Širokopásmové připojení v domě, který jsme si na dovolenou pronajali, nefunguje. A tak jsem do svého notebooku zasunul WLAN kartu a našel dvě Wi-Fi sítě, které dům pokrývají. Jedna má nastaveno SSID (Secure Set Identifier) na "lopez" a je v ní zapnuta ochrana WEP (Wired Equivalent Privacy), druhá má SSID "default" a žádnou ochranu.

Mnoho lidí se širokopásmovým připojením k internetu nabízí nechtěně konektivitu potenciálním útočníkům. Nebezpečí bude vzrůstat s tím, jak se budou bezdrátové sítě stávat všudy přítomnými.

Moje bezdrátová karta se automaticky připojila k nechráněnému přístupovému bodu - a síť mi prostřednictvím DHCP (Dynamic Host Configuration Protocol) automaticky přidělila IP adresu. A tak jsem nyní připojen k internetu rychlostí 11 Mb/s bez toho, abych musel komukoli cokoli platit a s možností dělat si tam, co se mi zlíbí.

Změna rizik

Když se před několika lety staly WLAN masově používanou technologií, hlavní důraz ohledně bezpečnosti byl kladen na ochranu soukromí a výrobci proto zavedli WEP pro šifrování dat přenášených vzduchem. WEP má své slabiny - nedokáže hackerovi zabránit, aby si vaše data přečetl - ale prostý fakt, že jej „lopez“ zapnul, znamenal, že jsem svou pozornost zaměřil jinam. Proč útočit na „lopeze“, když „default“ mi ve vstupu vůbec nebrání?

Naslouchání dat ze vzduchu však není skutečnou hrozbou, kterou lze od bezdrátové komunikace čekat. Tento problém lze snadno řešit prostřednictvím šifrování. Větší starosti by nám měla dělat "de-perimeterizace“, jinými slovy skutečnost, že díky bezdrátové komunikaci padají obranné zdi normálního modelu zabezpečení. Ve starých dobrých časech stačilo mít zapsaná všechna externí připojení do sítě a zajistit je firewally. Nyní má takřka každá organizace takové množství externích spojení, že je prakticky nemožné je všechna zajistit proti neoprávněnému provozu firewally. Jestliže vaši bezdrátoví uživatelé potřebují přístup ke všem interním službám, co asi tak můžete blokovat firewallem?

A pokud byste byli hackerem, proč se obtěžovat odposloucháváním dat, která létají kolem, když se prostě můžete připojit do sítě a tvářit se, že jste legitimním uživatelem? Jakmile se jednou stanete plnohodnotným uzlem sítě, už nemusíte čekat, až se nějaký klient připojí a stáhne si data, která potřebujete -- a vy je odposlechnete. Místo toho prostě vkráčíte do sítě a vezmete si, co chcete. Je to sice výrazně méně skrytý útok, ale pokud nemá vaše oběť jemně vyváženou konfiguraci systému pro detekci průniku IDS (Intrusion-Detection System) a velmi dobré zaměřovací zařízení, pravděpodobně vás neobjeví.

Ve firmě

Bezdrátové přístupové body, které jsou schváleny pro použití v naší firmě, disponují silnou autentizací, takže se jejich prostřednictvím mohou připojit pouze legitimní klienti. Všechny naše ochrany ale budou k ničemu, pokud někdo z našich zaměstnanců připojí do sítě jediný přístupový bod v ceně 99 dolarů.

Abychom se proti takovým aktivitám chránili, provádím spolu se svým týmem pravidelné kontroly zjišťující přítomnost případných nelegálních přístupových bodů v naší síti, které by mohly dovolit připojení neautorizovaným uživatelům. Když jsme s testy začali, měli jsme se zaměstnanci několik vážných problémů; nyní již ale jsou služby naší standardní bezdrátové sítě natolik dobré, že je všichni využívají raději, než aby si do kanceláře nosili nějaké další vybavení.

Nezabezpečený přístup

V průběhu testů jsme detekovali mnoho přístupových bodů, které k nám přinášejí data zvenku - z okolí naší firmy. Je zajímavé vidět, že mnohé bary a restaurace v našem okolí disponují bezdrátovými sítěmi pro číšníky, kteří jejich prostřednictvím mohou posílat objednávky hostů do kuchyně. Všechny jsou nakonfigurovány tak, že postrádají jakékoli zabezpečení. Nicméně protože to nejhorší, co někdo může udělat, je přeskočit frontu čekajících na drinky, pravděpodobně je zde nízká úroveň zabezpečení postačující.

Při testech ale přišel jeden okamžik, kdy jsem skutečně zbledl. Najednou jsem totiž objevil více než 30 neautorizovaných přístupových bodů na jediném poschodí naší firmy. Nedokázal jsem si představit důvod, proč se celé jedno oddělení zbláznilo a jeho zaměstnanci se snaží poskytovat množství vzájemně si konkurujících sítí WLAN.

Když jsem se pokusil připojit se na jeden z přístupových bodů, byl jsem schopen získat pouze servisní webovou stránku nějaké tiskárny. Ukázalo se, že nám náš dodavatel tiskáren poslal celou zásilku těchto zařízení s podporou bezdrátové komunikace, která byla při standardním nastavení zapnuta. Každá z tiskáren tak fungovala jako bezdrátový přístupový bod. Vypnuli jsme tedy vestavěné bezdrátové karty a požádali dodavatele, aby to u příštích dodávek už učinil za nás.

Řešíte podobné problémy? Podělte se o svoje zkušenosti s námi i se čtenáři Technetu. Můžete psát na adresu redakce@technet.cz

Skutečná rizika

Nelegální přístupové body v našich kancelářích jsou nepříjemností, kterou jsme schopni řešit. Skutečným problémem současných WLAN, který vnáší strach do mé mysli, jsou však domácí uživatelé. Předtím, než se na scéně objevily bezdrátové sítě, měli hackeři, autoři virů nebo prostě kdokoli, kdo chtěl třeba stahovat nebo sdílet ilegální materiál, poměrně omezené možnosti. Útočník mohl použít svůj vlastní internetový účet a pak být případně chycen policií v okamžiku, kdy po spojení došla až k němu. Mohl se napíchnout na připojení někoho jiného a být dopaden, jakmile policie zjistila, kam příslušné telefonní spojení vede. Nebo mohl zajít do nějaké internetové kavárny a tam nechat své otisky prstů, obraz svého obličeje na pásce kontrolní kamery uzavřeného televizního okruhu a další důkazy, které opět mohly vést k jeho dopadení a k poslání za mříže.

S WLAN se ale věci změnily. V domech na většině ulic ve velkých městech má pár lidí širokopásmové připojení k internetu a alespoň jeden z nich ho používá současně s nezabezpečeným bezdrátovým přístupem. Polovina těchto lidí snad zapne firewall ve Windows XP, to ale útočníka nezastaví. Ten se prostě dostane do dosahu antény a připojí se. Není tu žádná fyzická kontrola, žádná evidence, žádný uzavřený televizní okruh, a tak se tím, kdo bude podezřelý a na kom se policie nakonec povozí, stane s největší pravděpodobností onen chudák se širokopásmovým připojením.  

Bezpečnost webové infrastruktury nesmí záviset na schopnosti vystopovat útočníka.
Zatímco bezdrátové připojení, které právě používám, slouží dobré věci - pomáhá mi dokončit mou práci, zatímco jsem na dovolené, někdo jiný je může stejně snadno použít ke spuštění útoků předtím, než se nikým neviděn odebere zpět do temnot noci. Není asi žádná šance, že by domácí uživatelé zavedli ve svých bezdrátových sítích dvoufaktorovou autentizaci, a tak se snažím stavět naši webovou infrastrukturu tak, aby její bezpečnost nebyla závislá na tom, že jsem schopen vystopovat útočníka a potom ho zastavit. Je zjevné, že takový postup už nadále nebude fungovat.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Vince Tuesday. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

Zveřejněno se souhlasem týdeníku Computerworld.

  • Nejčtenější

Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech mnohem menší redukci emisí skleníkových plynů, než jakou by zajistily za výrazně...

3. října 2024

Číňané vymysleli superkavitační pohon pro ponorky. Má ovšem jednu chybu

Vynález by mohl podmořským plavidlům umožnit dosahovat extrémně vysokých rychlostí, srovnatelných s proudovými letadly. Jde o druh laserového pohonu, který se teoreticky zkoumá už desítky let....

7. října 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Palubní inženýr Concordu neměl za letu čas ani na jídlo. Práci mu vzal počítač

Cesta z Londýna do New Yorku trvala letounu Condorde zhruba tři hodiny. Toto nadzvukové dopravní letadlo je dodnes považováno za vrchol civilní letecké dopravy, který už téměř 21 let známe jen jako...

6. října 2024

Evropská sonda letí zjistit, zda máme proti asteroidu soudného dne šanci

Je to dva roky a několik dní, co americká sonda DART záměrně narazila do měsíce Dimorphos asteroidu Didymos. Stalo se tak v rámci testu planetární obrany, tedy možné budoucí obrany Země před úderem...

7. října 2024  14:15,  aktualizováno  16:56

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Nobelovu cenu za fyziku získali vědci za strojové učení a neuronové sítě

Královská švédská akademie věd letos ocenila za výzkum na poli fyziky vědce Johna J. Hopfielda a Geoffreyho E. Hintona „za zásadní objevy a vynálezy, které umožňují strojové učení za pomocí umělých...

8. října 2024  11:48,  aktualizováno  13:31

Nanonástřik ochrání elektroniku před bakteriemi i špínou na několik let

Advertorial

Klávesnice počítače, tablety, to jsou spotřebiče, kterých se dotýkáme několikrát za den. Mobil někteří lidé prakticky nedají z ruky. Ač si to nemusíme uvědomovat, tato zařízení jsou vysoce kontaktní,...

9. října 2024

I do vašich Windows přichází nová várka změn. Podzimní aktualizace je tady

Na počítače s Windows 11 míří další várka změň a nových funkcí. Tentokrát těch opravdu významných vylepšení není tolik. I tak update rozhodně stojí za instalaci a přechod na nejnovější verzi...

9. října 2024

Má stejný panel, ale jiný obraz. Kvalitu televizoru stále víc určují algoritmy

Premium

Londýn (Od zpravodaje Technet.cz) Dva televizory s totožným zobrazovacím panelem, jeden však s výkonnějším procesorem, na kterém běží algoritmy vytrénovaných AI modelů. A úplně jiný výsledný obraz. Novinka společnosti Philips jasně...

9. října 2024

Nobelovu cenu za fyziku získali vědci za strojové učení a neuronové sítě

Královská švédská akademie věd letos ocenila za výzkum na poli fyziky vědce Johna J. Hopfielda a Geoffreyho E. Hintona „za zásadní objevy a vynálezy, které umožňují strojové učení za pomocí umělých...

8. října 2024  11:48,  aktualizováno  13:31

Rozdáváme měsíčkový šampon od Weledy ZDARMA
Rozdáváme měsíčkový šampon od Weledy ZDARMA

Jak připravit koupel vhodnou přímo pro vaše miminko? Přihlaste se k testování a vyzkoušejte jemný dětský šampon a sprchový krém v jednom. Měsíčková...

Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech...

Móda z Thálií: kýč jak bič v podání Leichtové i nevhodná obuv Rašilovové

V sobotu večer se v Národním divadle v Praze předávaly prestižní divadelní Ceny Thálie. Co se týká módy, podle...

Co dělá v žaludku studená kola a proč je lepší pít po jídle, líčí biochemička

Premium Možná vás už napadlo, co se děje v našem žaludku, když se v něm potká jídlo s pitím. Nebo patříte k těm hloubavějším...

Příběh Jitky: Manžel po mně chce sex každý den, je to k nevydržení

Moje manželství je takové, jaké po patnácti letech obvykle bývá. Překonali jsme pár krizí, vychováváme dvě školou...

GLOSA: Dvacet cen. Ale po Tháliích se propírala jen Helena Vondráčková

Premium Jeden by čekal, že uhlazeně veřejnoprávní ceremoniál divadelních cen Thálie ponechá národ chladným, zvláště když si na...