Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wardriving w Niemczech - CeBIT 2006


Alexander Gostev
  Senior Virus Analyst, Kaspersky Lab
Roel Schouwenberg
  Senior Research Engineer, Kaspersky Lab BNL

Opublikowane przez nas wyniki badania sieci bezprzewodowych w Chinach (w szczególności w Pekinie i Tianjinie, patrz: tutaj) zyskało duży oddźwięk. Skontaktowały się z nami firmy zainteresowane kwestiami bezpieczeństwa informatycznego, jak również czytelnicy naszej strony. Niektóre lokalne przedstawicielstwa Kaspersky Lab poprosiły nas o przeprowadzenie w ich krajach podobnego badania. Świadczy to o szerokim zainteresowaniu tematem bezpieczeństwa sieci bezprzewodowych.

Podobne badanie przeprowadziliśmy ostatnio na targach CeBIT 2006 odbywających się w Hanowerze, w Niemczech. CeBIT to największe na świecie targi poświęcone bezpieczeństwu informatycznemu. Impreza ta doskonale nadawała się do przeprowadzenia takiego projektu z kilku powodów.

Po pierwsze, targi przyciągają nie tylko użytkowników czy producentów sprzętu i oprogramowania. To również świetna okazja dla hakerów, aby włamać się do sieci firm biorących udział w takich targach. Prawie wszystkie firmy uczestniczące w podobnych imprezach tworzą własne sieci lokalne, które często podłączone są do głównego serwera firmy. Takie sieci lokalne zakładane są naprędce i zazwyczaj są słabo zabezpieczone. Zwiększa to ryzyko, że staną się celem ataków hakerów. Ataki takie przeprowadzane są najczęściej poprzez Wi-Fi.

Po drugie, hakerzy wykorzystują targi nie tylko do uderzania w firmy, ich celem są także odwiedzający. Dość głośny incydent miał miejsce w zeszłym roku podczas konferencji InfoSecurity w Londynie, gdy grupa skamerów zainstalowała kilka fałszywych punktów dostępowych, które wyglądały jak interfejs dostępu do sieci publicznej. Niczego niepodejrzewający użytkownicy łączyli się z siecią, podając swoje hasła i inne poufne dane, które trafiały wprost do rąk hakerów.

Badanie zostało przeprowadzone w dniach 9-10 marca 2006 roku podczas targów CeBIT 2006 w Hanowerze. Zebraliśmy dane z ponad 300 punktów dostępowych. Nie próbowaliśmy podłączać się do wykrytych sieci, ani przechwytywać czy odszyfrowywać przesyłanego za ich pomocą ruchu.

Sieci Wi-Fi

Prędkość transmisji

Wykryliśmy prawie taką samą liczbę sieci pracujących z prędkością 11 Mbps (ponad 47%) oraz 54 Mbps (ponad 51%). Niewielka liczba punktów dostępowych wykorzystywała mniej popularne prędkości transmisji (22, 24 oraz 48 Mbps).


Prędkość transmisji


Prędkość transmisji, udział procentowy

Producenci sprzętu

Wykryliśmy sprzęt 18 różnych producentów. 7 z nich zaliczało się do najpopularniejszych: ich sprzęt wykorzystywany był w 28% wszystkich punktów dostępowych na targach CeBIT2006. Dalsze 5,5% wykorzystywało sprzęt pozostałych 11 producentów.

Producent Udział procentowy
Symbol 16,15%
Intel 5,50%
Linksys 1,72%
D-Link 1,37%
Netgear 1,37%
Cisco 1,03%
Proxim (Agere) Orinoco 1,03%
Inni producenci 5,51%
Nieznany, sfałszowany, zdefiniowany przez użytkownika 66,32%
Udział procentowy wykorzystywanego sprzętu w stosunku do całkowitej liczby wykrytych sieci

Dane te znacznie różnią się od tych zebranych w Chinach i Moskwie. W Chinach producentami najczęściej wykorzystywanych sprzętów byli Agere oraz Cisco (Linksys), w Moskwie Cisco oraz D-Link. Natomiast podczas targów CeBIT2006 najwięcej wykrytych urządzeń zostało wyprodukowanych przez firmy Intel (5,5%) oraz Symbol (16,5%). Rozbieżności te wynikają prawdopodobnie z tego, że w różnych krajach firmy te posiadają różne udziały w rynku. Często przy wyborze sprzętu do sieci Wi-Fi kierujemy się reputacją, jaką dany producent cieszy się na rodzimym rynku.

Niestety, w sporej większości wypadków nie mogliśmy zidentyfikować producenta sprzętu.


Zidentyfikowany / niezidentyfikowany sprzęt

Wysoki odsetek przypadków, w których nie można było zidentyfikować producenta, wynika prawdopodobnie z faktu, że w większości wykorzystywany jest nowy sprzęt. Taki sprzęt nie jest rozpoznawany przez obecne wersje skanerów Wi-Fi.

Szyfrowanie ruchu

Dane pochodzące od wardriverów na całym świecie pokazują, że około 70% sieci Wi-Fi nie wykorzystuje żadnego sposobu szyfrowania danych. W badaniu przeprowadzonym w Chinach uzyskaliśmy znacznie niższy odsetek: tylko 59% sieci nie stosowało szyfrowania.


Szyfrowane / nieszyfrowane sieci

Podczas targów CeBIT2006 brak ochrony w postaci szyfrowania wykryliśmy w około 56% sieci, co stanowi dość dobry wynik, jeśli porównamy go z danymi statystycznymi dla całego świata oraz danymi, które zgromadziliśmy w Chinach. Jeśli jednak odejmiemy publiczne punkty dostępowe do sieci (które dostępne były na targach CeBIT2006), to liczba niechronionych punktów dostępu będzie niezwykle wysoka. Trzeba podkreślić, że punkty te zapewniają dostęp do lokalnych sieci firm biorących udział w targach CeBIT - tym samym stanowią główny cel hakerów.

Rodzaje dostępu do sieci

Ogromna większość sieci bezprzewodowych na świecie (około 90%) skonstruowana jest wokół punktów dostępowych ESS/AP. Jak już wspomnieliśmy, sieci na targach CeBIT znacznie różnią się pod względem infrastruktury od standardowych. Ukazują to również poniższe dane.

Spośród wykrytych połączeń ponad 40% stanowiły połączenia IBSS/Peer. Wynika to prawdopodobnie z tego, że wystawcy potrzebowali połączyć ze sobą dużą liczbę komputerów bez użycia kabli sieciowych. Takie punkty dostępu mogą być uważane za część wewnętrznych sieci firm.


Rodzaje dostępu do sieci

Ustawienia domyślne

Jednym z najbardziej skutecznych sposobów ochrony sieci przed tzw. wardrivingiem jest wyłączenie SSID. Nasze badanie wykazało, że około 8% bezprzewodowych punktów dostępowych na targach CeBIT2006 miało wyłączone SSID. 89% z nich wykorzystywało szyfrowanie WEP. Takie bezprzewodowe punkty dostępu są bezsprzecznie najlepiej zabezpieczone przed atakami hakerów.


Ustawienia domyślne

Innym interesującym rezultatem badania był domyślny SSID, który oznacza z reguły, że administrator punktu dostępowego nie zmienił nazwy routera. Może to wskazywać również na to, że konto administratora wciąż ma domyślne hasło. W obu przypadkach sieci narażone są na atak. Nasze badania wykazały, że z blisko 300 punktów dostępowych tylko dwa stosowały domyślny SSID - widać, że administratorzy świadomi są problemów bezpieczeństwa.