Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wardriving w Anglii

Tagi:

  • Alexander Gostev
    Senior Virus Analyst, Kaspersky Lab

Wstęp

Internet zmienia się. Początkowo stanowił sieć komputerową, obecnie jest to sieć najróżniejszych urządzeń. Świat staje się coraz bardziej mobilny - mamy do dyspozycji szeroki wachlarz urządzeń służących do komunikacji. Jest to stosunkowo nowe zjawisko i - jak wszystkie innowacje - wzbudza zainteresowanie zarówno hakerów jaki i firm zapewniających bezpieczeństwo informacji. Sytuację komplikuje fakt, że sieci i protokoły bezprzewodowe, nie są jeszcze wolne od problemów typowych dla fazy początkowej: w rękach niedoświadczonych użytkowników wciąż mogą stanowić poważne niebezpieczeństwo.

Wszyscy, którzy czytają analizy publikowane na stronie viruslist.pl, wiedzą, że Kaspersky Lab prowadzi regularne badania dotyczące różnych problemów bezpieczeństwa bezprzewodowych sieci i protokołów. Badania te koncentrują się na punktach dostępowych WiFi oraz urządzeniach mobilnych obsługujących technologię Bluetooth. Ich celem jest uzyskanie aktualnego obrazu zmieniającego się środowiska bezprzewodowego oraz zwrócenie uwagi użytkowników na problemy związane z bezpieczeństwem bezprzewodowym.

Opublikowaliśmy już raporty o sieciach bezprzewodowych w Pekinie i Tianjinie, sieciach bezprzewodowych wykrytych na targach CeBIT 2006 w Niemczech oraz raporty na temat złośliwych programów dla urządzeń przenośnych oraz problemów związanych z protokołem Bluetooth.

Najnowsze badanie zostało przeprowadzone w Londynie, częściowo na targach InfoSecurity 2006. W zeszłym roku miał miejsce dość głośny incydent: skamerzy zainstalowali kilka fałszywych punktów dostępowych, które wyglądały jak interfejs dostępu do sieci publicznej. Niczego niepodejrzewający użytkownicy łączyli się za pośrednictwem takich punktów dostępowych, podając swoje hasła i inne poufne dane, które trafiały wprost do rąk skamerów.

Oprócz sieci WiFi na targach InfoSecurity badaliśmy również bezpieczeństwo sieci WiFi w dzielnicach biznesowych Londynu. Dodatkowo zbieraliśmy dane o urządzeniach wyposażonych w komunikację Bluetooth podczas wystawy, w londyńskim metrze oraz w czasie spaceru po Londynie. Zgodnie z tym, co podała firma F-Secure, w Wielkiej Brytanii wykryto mobilne złośliwe oprogramowanie, pomyśleliśmy więc, że być może uda nam się złapać próbkę Cabira lub Comwara na wolności. Więcej na ten temat będzie można przeczytać w nowym raporcie o technologii Bluetooth, który wkrótce zostanie zamieszczony na stronie viruslist.pl.

WiFi

Najnowsze badanie zostało przeprowadzone w dniach 25-28 kwietnia 2006 r. w Great Hall, Olympia Exhibition Centre (InfoSecurity 2006), w dzielnicy biznesowej Canary Wharf, gdzie mieści się wiele międzynarodowych firm, oraz w wielu innych obszarach Londynu. Zebraliśmy dane o ponad 600 punktach dostępowych. Na żadnym etapie nie próbowaliśmy przechwycić ani odszyfrować bezprzewodowego ruchu sieciowego.

Rozkład liczby wykrytych sieci WiFi według lokalizacji:

  • InfoSecurity - 200+
  • Canary Wharf - 260+
  • Inne obszary Londynu - około 150

Prędkość transmisji danych


Prędkość transmisji (według lokalizacji)


Prędkość transmisji (ogólnie)

Jak pokazują powyższe diagramy, dane zebrane w różnych lokalizacjach są dość zbliżone. Najpopularniejsze były sieci o prędkości transmisji 54MB - na targach InfoSecurity ich udział procentowy wynosił 64%, natomiast w innych obszarach Londynu - 70%, co daje średnią 67,6%. Dla porównania, tylko 51% sieci wykrytych na targach CeBit i 36% sieci wykrytych w Chinach transmitowało dane z tą prędkością. Wygląda na to, że w Wielkiej Brytanii używa się o wiele więcej urządzeń, które wykorzystują nowsze wersje 802.11.

Drugie pod względem popularności okazały się sieci o prędkości transmisji 11MB. Udział procentowy takich sieci wahał się od 23% do 33%, średnio wynosił 28,6%. W Chinach sieci przesyłające dane z taką prędkością stanowiły 58%, podczas gdy na targach CeBIT - 47%.

Liczba sieci o prędkości transmisji między 22 a 48MB nie przekroczyła 4%, podobne wyniki uzyskaliśmy w Chinach i Niemczech.

Jak wynika z danych, sieci bezprzewodowe w Londynie są technologicznie bardziej zaawansowane niż te wykryte na wcześniej badanych obszarach.

Producenci sprzętu

Statystyki dotyczące producentów sprzętu znacznie różnią się w zależności od miejsca. Z tego powodu będziemy analizować dane z każdego miejsca osobno.

W sumie wykryliśmy sprzęt 33 różnych producentów.

Podczas targów InfoSecurity wykryliśmy 18 różnych producentów sprzętu. Najpopularniejszych było czterech producentów - ich sprzęt wykorzystywany był w ponad 25% sieci na wystawie.

Producent Udział procentowy
Aruba 16,18%
Intel 5,39%
NetGear 1,96%
Cisco 1,96%

Sprzęt wyprodukowany przez pozostałych 14 producentów wykorzystywany był w mniej niż 10% wszystkich sieci. Ponad 64% sieci wykorzystywało sprzęt, który zaliczał się do kategorii Fałszywy, Nieznany lub Zidentyfikowany przez Użytkownika. Podobny wynik (66%) uzyskaliśmy podczas targów CeBIT, natomiast znacznie niższy w Chinach (39%).

W Canary Wharf wykryliśmy sprzęt 16 producentów, z czego najpopularniejszych było pięciu producentów: ich sprzęt wykorzystywany był w 24% wykrytych sieci.

Producent Udział procentowy
Cisco 11,07%
CyberTAN 4,20%
2Wire 3,05%
NetGear 3,05%
Symbol 2,67%

Sprzęt pozostałych 11 producentów wykorzystywany był w mniej niż 10% wszystkich wykrytych sieci. 66% sieci wykorzystywało sprzęt, który należał do kategorii Fałszywy, Nieznany lub Zidentyfikowany przez Użytkownika. Podobne wyniki uzyskaliśmy podczas wystawy InfoSecurity.

Dane z innych obszarów Londynu wskazują na największe zróżnicowanie wykorzystywanego sprzętu w stosunku do niewielkiej liczby punktów WiFi. W sumie wykryliśmy sprzęt 21 producentów, 3 z nich wyprodukowało sprzęt stanowiący ponad 30% wszystkich wykrytych sieci.

Producent Udział procentowy
CyberTAN 18,38%
Cisco 7,35%
2Wire 4,41%

Sprzęt pozostałych 18 producentów wykorzystywany był w 22% wykrytych sieci. Sprzęt Fałszywy, Nieznany lub Zidentyfikowany przez Użytkownika wykorzystywany był w mniej niż 48% sieci.

Jak pokazują dane, popularność producentów sprzętu zmienia się w zależności od lokalizacji. Statystyki z Wielkiej Brytanii, Chin i Niemiec różnią się głównie tym, że podczas targów InfoSec najbardziej popularny był sprzęt Aruba, a w innych lokalizacjach odnotowano znaczny udział sprzętu CyberTAN.

Ogólny udział procentowy sprzętu od pięciu głównych producentów wykrytego we wszystkich trzech lokalizacjach:

Producent Udział procentowy
Cisco 7,14%
CyberTAN 5,98%
Aruba 5,48%
Netgear 2,49%
2Wire 2,33%

Ogólny udział sprzętu z kategorii Fałszywy, Nieznany lub Zidentyfikowany przez Użytkownika wykrytego we wszystkich lokalizacjach Londynu wynosił 61,46%.

Szyfrowanie

Jeżeli chodzi o wykryte sieci WiFi, najbardziej interesujący jest prawdopodobnie stosunek chronionych do niechronionych punktów dostępowych. Z danych zebranych przez wardriverów na całym świecie wynika, że punkty dostępowe, w których nie zastosowano żadnego szyfrowania, stanowią około 70%. W Pekinie udział ten wynosił mniej niż 60%, natomiast na targach CeBIT nieszyfrowanych było 55% sieci. Mieliśmy nadzieję, że nasze badanie w Londynie zweryfikuje, czy rzeczywiście nieszyfrowane punkty dostępowe stanowią 70% oraz czy podczas dużych wystaw IT stosunek sieci chronionych do niechronionych utrzymuje się na mniej więcej stałym poziomie.

Na początek przyjrzyjmy się wynikom naszych badań:


Szyfrowanie (ogólnie)

InfoSec

62% sieci na targach InfoSec działało bez szyfrowania - jest to niedopuszczalnie wysoki odsetek. Większość z takich punktów dostępowych zapewnia dostęp do sprzętu wystawców IT, które stanowią główny cel hakerów. Podczas targów InfoSec wykryto nawet większą liczbę nieszyfrowanych sieci niż podczas CeBIT. Jednak to InfoSec jest wystawą poświęconą bezpieczeństwu, a wystawcy specjalizują się w bezpieczeństwie informatycznym. Spodziewaliśmy się, że właśnie na tej imprezie firmy posiadające własne punkty dostępowe WiFi potraktują kwestie bezpieczeństwa poważniej.

Canary Wharf

Po przeprowadzeniu badania na targach InfoSec byłem jeszcze bardziej ciekawy, jakie będą rezultaty badania w Canary Wharf. Ta dzielnica biznesowa położona jest na Isle of Dogs, w części wyspy wysuniętej najdalej na północ. Znajduje się w niej ogromna liczba drapaczy chmur, z których jeden - liczący 238 metrów Canada House - uważany jest za najwyższy budynek w Wielkiej Brytanii. Swoją siedzibę ma tam również wiele międzynarodowych banków, takich jak HSBC, Citibank itd, oraz firm ubezpieczeniowych i agencji informacyjnych. Organizacje te stanowią doskonały cel hakerów i mogą paść ofiarą kradzieży poufnych danych. Nie mieliśmy wątpliwości, że organizacje te posiadają punkty dostępowe WiFi. Pozostawało jednak pytanie, jak dobrze chronione są te punkty.

Dane zebrane w Canary Wharf napawały optymizmem.

Tylko 40% sieci nie stosowało żadnego szyfrowania. Jest to najniższy odsetek, jaki odnotowaliśmy podczas naszych badań sieci WiFi. Jeżeli weźmiemy pod uwagę to, że niektóre z sieci tworzących te 40% to publiczne punkty dostępowe w centrach handlowych zlokalizowanych w Canary Wharf, to ogólny poziom ochrony w tym rejonie Londynu można uznać za bardzo wysoki. Nie ma wątpliwości, że firmy poważnie traktują kwestie bezpieczeństwa i mają świadomość potencjalnych problemów wynikających ze stosowania WiFi w swojej infrastrukturze sieciowej. Należy wspomnieć, że niemal każdy cal ulic i placów Canary Wharf znajduje się pod czujnym okiem kamer bezpieczeństwa - wardriver szybko zwróciłby uwagę ochrony, a okresowe wycie syren policyjnych z pewnością napędzi hakerom strachu.

Jednak nawet tutaj zdarzają się niechronione sieci; stojąc 20 metrów od budynku znanego banku wykryłem bardzo silny sygnał dochodzący z punktu WiFi wewnątrz budynku.

Niestety nie mieliśmy czasu na przeprowadzenie podobnego badania w starym centrum biznesowym Londynu - the City. Zrobimy to jednak w przyszłości. Dobrze byłoby ustalić, czy poziomy ochrony w Canary Wharf to ewenement, czy standardowa praktyka w londyńskiej dzielnicy biznesowej.

Powszechne wykorzystanie WEP/ WPA w Canary Wharf to nie jedyna niespodzianka, jaka spotkała nas w Londynie. 62% niechronionych sieci wykrytych podczas targów CeBIT w stosunku do 40% niechronionych sieci w dzielnicach biznesowych. Jak wypadną badania w innych obszarach Londynu? Jak się okazało - równie interesująco.

Inne obszary Londynu

Tylko 49% sieci w innych obszarach Londynu nie stosuje żadnego szyfrowania! Odsetek ten jest znacznie niższy niż średnia dla całego świata (70%), niższy niż średnia dla Moskwy (68 - 69%) i dla Chin (59%). Być może spowodowane jest to tym, że sieci bezprzewodowe w Londynie są bardziej zaawansowane - wykorzystują nowsze protokoły i większe prędkości transmisji. Bez wątpienia znajomość komputerów brytyjskich użytkowników jest na wyższym poziomie, posiadają oni także większą wiedzę na temat problemów związanych z bezpieczeństwem WiFi niż użytkownicy z innych państw.

Powodem do zmartwień jest jednak fakt, że podobnie jak w przypadku targów CeBIT 2006, największa liczba niechronionych sieci została wykryta podczas targów InfoSec. Jak już wspomnieliśmy wcześniej, chociaż zabezpieczenie takich punktów dostępowych jest często słabsze, a same punkty instalowane na krótki okres czasu, wzbudzają spore zainteresowanie hakerów, którzy odwiedzają wystawy w celu kradzieży informacji.

Nawet bardzo słabe wyniki badania przeprowadzonego podczas InfoSec nie mogły obniżyć ogólnego wyniku dla Londynu - w mieście tym wykryliśmy ponad 50% sieci wykorzystujących WEP/WPA.

Oznacza to, że Londyn wygrywa naszą nieoficjalną nagrodę za najlepiej chronione sieci WiFi, wyprzedzając Moskwę oraz Pekin i ustanawiając nowy punkt odniesienia dla standardów szyfrowania.

Rodzaje dostępu do sieci

Sieci WiFi zorganizowane są jako punkty dostępowe ESS/AP lub stanowią połączenia Peer/AdHoc.

Z danych wynika, że ponad 90% sieci WiFi na całym świecie wykorzystuje połączenia ESS/AP. W Chinach stosunek sieci ESS/AP do sieci Peer/AdHoc wynosił 89 do 11, podczas targów CeBIT 2006 - 58 do 42. Duży udział procentowy (42%) sieci Peer/AdHoc na wystawach można wyjaśnić tym, że sieci takie muszą łączyć szereg komputerów i innych urządzeń bez użycia kabli sieciowych.


Dostęp do sieci

Z danych wynika, że liczba sieci ESS/AP i połączeń Peer/AdHoc była mniej więcej taka sama podczas targów InfoSecurity jak podczas wystawy CeBIT, oraz że sieci te wykorzystywane są tylko do łączenia urządzeń. W Canary Wharf uzyskaliśmy wynik 236 do 26. Dane zgromadzone w innych obszarach Londynu wskazują na 103 sieci wykorzystujące ESS/AP i tylko 6 wykorzystujących ESS/AP.

Konfiguracja domyślna

Sieci z domyślną konfiguracją są głównym celem hakerów. Jeśli sieć ma domyślny SSID, z reguły oznacza to, że administrator punktu dostępowego nie zmienił nazwy routera. Może wskazywać również na to, że konto administratora wciąż ma domyślne hasło. Internet pełen jest informacji na temat tego, w jaki sposób domyślne hasła wykorzystywane są w różnym sprzęcie sieciowym, a jeśli atakujący posiada informacje na temat producenta, może je wykorzystać do zdobycia całkowitej kontroli nad siecią. W Pekinie takie sieci stanowiły ponad 8% wszystkich wykrytych sieci - co stanowi bardzo wysoki odsetek. Lepiej było podczas targów CeBIT 2006 - tylko 2 z 300 punktów dostępowych do sieci posiadało domyślne SSID.

Jednym z najlepszych sposobów ochrony przed wardrivingiem jest wyłączenie SSID. Przyjrzyjmy się zgromadzonym danym pod tym kątem.


Ogólnie


InfoSecurity 2006

Dane zebrane podczas wystawy InfoSecurity w Londynie nie różniły się znacznie od tych zgromadzonych na innych targach. Wykryte zostały tylko trzy punkty dostępowe z domyślnym SSID, co stanowi mniej niż 1,5% wszystkich punktów.

SSID Broadcast był wyłączony w prawie 13% sieci; jest to znacznie lepszy wynik niż podczas wystawy CeBIT, gdzie odsetek ten stanowił 8% wykrytych sieci.


Canary Wharf

Interesujące jest to, że nawet w "bezpiecznym" Canary Wharf wykryliśmy sieci, które posiadały konfigurację domyślną. Ich liczba nie była tak duża jak w Pekinie, jednak większa niż w "niezabezpieczonym" InfoSecurity - ponad 3%. Jeśli chodzi o wyłączanie SSID, administratorzy Canary Wharf wydają się bardziej aktywni niż w innych badanych miejscach - odsetek wyłączonych SSID stanowił rekordowe 30% sieci.


Inne obszary Londynu

Biorąc pod uwagę to, co wiemy o rozwoju sieci WiFi w Londynie, dane z innych obszarów Londynu nie były zaskakujące. Pomimo tego, że domyślny SSID został wykryty w 3,68% sieci (więcej niż w Canary Wharf, co było łatwe do przewidzenia), odsetek ten jest o wiele niższy niż w Chinach (8%). Nawet duży odsetek włączonych SSID Broadcast, ponad 32% sieci, pasuje do naszego wyobrażenia o WiFi w Londynie.

Komponenty sieci

Nasze poprzednie badanie nie zawierało danych o komponentach sieci, pomyśleliśmy jednak, że będzie to interesujący obszar badań. Sekcja ta zawiera informacje o ilości punktów dostępowych, jakie zawierały wykryte przez nas sieci. Oczywiście sieć może zawierać jeden lub więcej punktów dostępowych.

Podczas InfoSecurity wykryliśmy 84 oddzielnych sieci i ponad 200 punktów dostępowych.


InfoSecurity 2006

Jak pokazuje powyższy diagram, ogromna większość sieci (ponad 70%) składa się z jednego punktu dostępowego. Nie wiadomo, dlaczego sieci z 4 punktami dostępowymi było tak mało, że nie zostały nawet uwzględnione w diagramie, o wiele mniej niż sieci z 2 - 3 punktami dostępowymi, czy nawet 7.

Z drugiej strony, wykryliśmy dwie duże sieci, które składały się odpowiednio z 13 i 14 punktów. Nie wykryliśmy jednak żadnych sieci składających się z 9 - 12 punktów dostępowych. Wiele punktów dostępowych nie zostało uwzględnionych w naszych statystykach, ponieważ SSID Broadcast był wyłączony i nie można było ustalić, do jakiej sieci należą.


Canary Wharft

W Canary Wharf ponad 82% sieci posiadało jeden punkt dostępowy. Mniej więcej taka sama liczba sieci składała się z 2 - 3 punktów dostępowych, podobnie jak podczas wystawy InfoSec. Na czwartym miejscu - zupełnie niespodziewanie - znalazła się sieć złożona z 9 punktów dostępowych. Wykryliśmy również 2 sieci składające się z rekordowej liczby punktów dostępowych: 18 i 22. W sumie wykryliśmy 104 sieci, pomijając punkty dostępowe, w których wyłączono SSID i nie można było określić sieci.


Inne obszary Londynu

Jak wynika z diagramu, dane dla innych obszarów Londynu pokazują, że liczba sieci z jednym punktem dostępowym jest zbliżona do danych odnoszących się do wystawy InfoSecurity; liczba sieci z dwoma punktami dostępowymi była znacznie mniejsza, wyższa natomiast niż liczba sieci z 4 punktami dostępowymi. Nie zarejestrowaliśmy żadnych rekordowych sieci, a maksymalna liczba punktów dostępowych w jednej sieci wynosiła sześć. W sumie wykryliśmy 67 sieci, nie uwzględniając punktów dostępowych, w których nie można było wykryć SSID sieci.

Wnioski

Wardriving w Londynie można podsumować w następujący sposób:

  • większość sieci transmitowało dane z prędkością 54MB
  • podczas targów poziom zabezpieczenia był słabszy; wykryliśmy taką samą liczbę sieci AP i Peer
  • wykorzystanie szyfrowania w sieciach było znacznie powszechniejsze niż w innych miastach

"Dostęp do Internetu powinien być wolny i powszechny". Być może niektórzy administratorzy systemu wciąż popierają tę zasadę. Myślę jednak, że sytuacja, jakiej byliśmy świadkami podczas targów InfoSecurity, gdzie zarówno zwiedzający jak i pracownicy firm zapewniających bezpieczeństwo mogli przez trzy dni obserwować pewien punkt dostępowy o nazwie "default" z pewnością wynika nie z altruizmu, ale nieświadomość kwestii bezpieczeństwa.

Źródło:
Kaspersky Lab