Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wardriving w Londynie 2007

Tagi:

Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

Regularne przeprowadzanie badań sieci WiFi oraz protokołów bezprzewodowych może przyczynić się do lepszego zrozumienia sytuacji dotyczącej takich sieci. W naszych artykułach staramy się w miarę możliwości rzucać trochę światła na te zagadnienia, tak aby użytkownicy komputerów byli stale poinformowani. Nasze badanie koncentruje się na hotspotach WiFi oraz urządzeniach przenośnych obsługujących technologię Bluetooth.

Do tej pory opublikowaliśmy już wyniki badań sieci bezprzewodowych przeprowadzonych w Pekinie i Tianjinie, sieci działających podczas wystawy CeBIT 2006 oraz wyniki naszego badania w Londynie, Paryżu i Warszawie.

Rok po naszym pierwszym badaniu przeprowadzonym w Londynie wróciliśmy do tego miasta, aby zebrać nowe dane i ocenić postępy, jakie zaszły od tego czasu. Byliśmy również ciekawi, czy Paryż utrzyma pozycję najlepiej "połączonego" miasta.

Badanie zostało przeprowadzone między 24 a 26 kwietnia 2007 r. w londyńskich dzielnicach biznesowych Canary Wharf oraz City, jak również w innych miejscach. Podczas naszej wyprawy w poszukiwaniu sieci bezprzewodowych zebraliśmy dane o 800 hotspotach. Nie próbowaliśmy przechwycić ani deszyfrować ruchu na żadnej z tych sieci.

Wykryliśmy następujące hotspoty:

  • Canary Wharf: ponad 400 hotspotów
  • Inne miejsca Londynu: ponad 400 hotspotów

Artykuł ten przedstawia zmiany, jakie nastąpiły od naszego ostatniego wardrivingu w Londynie w 2006 roku.

Prędkość transmisji


Prędkość transmisji: Canary Wharf


Prędkość transmisji: Londyn

Nasze badanie w Canary Wharf pokazuje, że liczba sieci działających z prędkością 54 Mb wynosi powyżej 82%, o ponad 14% więcej niż w 2006 r. (kiedy liczba ta wynosiła 68%). Liczba takich sieci w Canary Wharf była wyższa niż w podobnej dzielnicy biznesowej w Paryżu, La Defense, gdzie wynosiła 77% (wyniki badania z listopada 2006 r.).

Potwierdziła się interesująca prawidłowość dotycząca dzielnic biznesowych w europejskich stolicach: prędkość transmisji sieci bezprzewodowych w dzielnicach biznesowych jest zazwyczaj niższa niż w innych dzielnicach miasta. W zeszłym roku prędkość sieci w Canary Wharf była o 4% - 5% mniejsza niż w pozostałych miejscach Londynu, natomiast w przypadku dzielnicy La Defense, sieci były o 8% wolniejsze w porównaniu z innymi obszarami Paryża (77% oraz 85%). W tym roku zauważyliśmy zwiększenie się prędkości transmisji sieci w Londynie, jednak różnica między Canary Wharf a innymi miejscami tego miasta wynosi 5% (82% oraz 87%).

Drugą pod względem rozpowszechnienia prędkością transmisji jest 11 Mb, jednak jej popularność stale spada. W zeszłym roku ponad 25% sieci wykrytych w Canary Wharf działało z tą prędkością, jednak w tym roku ich liczba spadła do zaledwie 16%. Odsetek takich sieci jest jeszcze niższy w większych obszarach Londynu, gdzie zmniejszył się z 28,6% do 12%.

Liczba sieci działających z prędkością 22 - 48 Mb nie przekroczyła 2% w żadnym miejscu Londynu, po raz pierwszy jednak znaleźliśmy urządzenia działające z prędkością 16,5 Mb.

Można powiedzieć, że prędkość transmisji sieci bezprzewodowych w Londynie znacznie wzrosła i spośród wszystkich miast, w których przeprowadziliśmy nasze badanie, Londyn jest obecnie zdecydowanym liderem pod względem prędkości transmisji. 87% sieci bezprzewodowych działających z prędkością 54 Mb stanowi dość duży odsetek w porównaniu z Warszawą, gdzie wykryliśmy zaledwie 14% sieci działających z tą prędkością.

Producenci sprzętu

W sumie wykryliśmy 26 różnych producentów, o 7 mniej niż w 2006 r.

W dzielnicy Canary Wharf wykryliśmy sprzęt 16 różnych producentów, z których 5 najpopularniejszych wykorzystywanych było przez 15% sieci.

Sprzęt pozostałych 11 producentów był wykorzystywany przez mniej niż 10% sieci.

Liczba niezidentyfikowanego sprzętu (Fałszywy, Nieznany lub Zidentyfikowany przez Użytkownika) zwiększyła się z 10% w 2006 r. do 76%.

Cisco zdołał utrzymać przewagę w dzielnicy Canary Wharf, mimo że liczba sprzętu tego producenta zmniejszyła się prawie o połowę. CyberTAN został wyparty z drugiego miejsca przez Airespace, producenta, który nie został uwzględniony w naszych poprzednich raportach.

W sumie w Londynie zidentyfikowaliśmy 26 producentów. Sprzęt 5 najpopularniejszych producentów wykorzystywany był w 15% wszystkich sieci, podobnie jak w dzielnicy Canary Wharf.

Liczba niezidentyfikowanego sprzętu (Fałszywy, Nieznany lub Zidentyfikowany przez Użytkownika) wzrosła z 15% w 2006 do 76%.

Główna różnica między Londynem a jego dzielnicą Canary Wharf widoczna jest w pięciu najpopularniejszych producentach sprzętu.

Na pierwszej pozycji Cisco został zastąpiony przez CyberTAN, a Aruba i 2Wire ustąpili miejsca Linksysowi oraz Airespace. Nie zmienił się tylko udział Netgeara.

Szyfrowanie ruchu

Jeśli chodzi o sieci bezprzewodowe, najważniejszym i najbardziej interesującym czynnikiem jest korelacja między zabezpieczonymi a niezabezpieczonymi hotspotami. Od czasu, gdy rozpoczęliśmy wardriving, w 2005 r. w Pekinie i Tianjinie, każde miasto, w którym przeprowadzaliśmy badanie, ustanawiało nowy rekord pod tym względem.

W Pekinie niecałe 60% wykrytych przez nas sieci było niechronionych, natomiast podczas wystawy CeBIT 2006 odsetek tych sieci wynosił 55%. W Londynie liczba ta wyniosła 50%, a Paryż osiągnął wydawałoby się nieosiągalny wynik - tylko 29% sieci nie stosowało żadnego szyfrowania. Dość dobrze - lepiej niż Londyn - wypadła Warszawa, gdzie odsetek nieszyfrowanych sieci wyniósł 42%.

Wyniki badania przeprowadzonego w tym roku w brytyjskiej stolicy były zadowalające. Przyjrzyjmy się najpierw danym liczbowym dotyczącym Canary Wharf.

W Canary Wharf uzyskaliśmy rewelacyjne wyniki - w obszarze tym, gdzie znajdują się liczne drapacze chmur, łącznie z najwyższym budynkiem Wielkiej Brytanii (238-metrowym Canada House), tylko 35% sieci nie stosowało szyfrowania ruchu. W dzielnicy tej ma swoją siedzibę również wiele międzynarodowych banków (HSBC, Citibank oraz inne) firm ubezpieczeniowych, agencji prasowych itd. Organizacje te mogłyby stać się celem ataku hakerów i paść ofiarą kradzieży informacji handlowych.

Zaledwie rok temu 40% wszystkich sieci w tej dzielnicy nie stosowało szyfrowania. Wyraźnie świadczy to o wzroście liczby bezpiecznych sieci. Pod tym względem dzielnica Canary Wharf okazała się lepsza nawet od La Defense, w której odsetek nieszyfrowanych sieci wyniósł w listopadzie zeszłego roku 37%. Z drugiej strony, liczba chronionych sieci zwiększyła się zaledwie o 5%. Podobnie jak w zeszłym roku, ponad jedna trzecia wszystkich hotspotów może stać się celem ataków hakerów. Co więcej, wzrost ten nastąpił w czasie, gdy całkowita liczba hotspotów zwiększyła się o ponad połowę. Ponadto, nowe sieci nie różnią się bardzo od starszych i podczas ich ustanawiania nie bierze się pod uwagę wszystkich potencjalnych zagrożeń.

Jeszcze bardziej niepokoi fakt, że po raz kolejny pod względem szyfrowania ruchu wyniki dotyczące całego Londynu okazały się lepsze niż te dotyczące dzielnicy biznesowej. Podobnie było w Paryżu (29% nieszyfrowanych sieci w całym mieście i 37% w dzielnicy La Defense). W zeszłym roku wyniki dotyczące Canary Wharf były lepsze niż ogólne wyniki dla Londynu, jednak w tym roku odsetek sieci szyfrowanych w tej brytyjskiej dzielnicy biznesowej wyniósł 31%, podczas gdy w pozostałych miejscach Londynu - 35%.

W rezultacie, w stosunku do poprzedniego badania przeprowadzonego w Londynie tegoroczne wyniki są lepsze o prawie 20%. Brytyjską stolicę niewiele dzieli od wyprzedzenia Paryża - wyniki badania przeprowadzonego w tych miastach są tak zbliżone, że można powiedzieć, że znajdują się one na tym samym poziomie. Jednak dzielnica biznesowa Londynu musi jeszcze trochę poprawić poziom zabezpieczenia sieci bezprzewodowych, aby osiągnąć taki poziom, jaki obserwujemy w dzielnicy La Defense.

Typy sieci

Sieci bezprzewodowe mogą być tworzone wokół hotspotów ESS/AP lub jako połączenie Peer/AdHoc (komputer-komputer).

Wiadomo, że prawie 90% wszystkich sieci WiFi na całym świecie wykorzystuje hotspoty ESS/AP.

W 2006 r. wyniki dla Canary Wharf były prawie identyczne jak te dotyczące całego świata. W tym roku liczba połączeń typu peer-to-peer nieznacznie spadła i wynosiła 7%. Może to świadczyć o spadku popularności urządzeń WiFi z takim rodzajem połączenia (np. drukarki), chociaż liczby te mieszczą się w granicach błędu statystycznego.

Liczby te nie zmieniły się istotnie w przypadku Londynu (w przeciwieństwie do dzielnicy Canary Wharf). Odnotowano niewielki wzrost liczby połączeń peer-to-peer. Wydaje się, że 1% wzrost to niewiele, jednak biorąc pod uwagę całkowity wzrost liczby bezprzewodowych hotspotów w Londynie, można powiedzieć, że mamy do czynienia z wyraźnym trendem. Być może w przyszłości Londyn dogoni 13% wynik Paryża.

Konfiguracja domyślna

Sieci z ustawieniami domyślnymi stanowią atrakcyjny cel dla hakerów, którzy specjalizują się w sieciach bezprzewodowych. Domyślny SSID oznacza zazwyczaj, że administrator hotspota nie zmienił nazwy rutera. Pośrednio świadczy to również o tym, że zastosowane jest domyślne hasło dostępu do konta administracyjnego. W Internecie bardzo łatwo można znaleźć informacje o domyślnych hasłach dla różnych marek i modeli sprzętu. Jeśli haker będzie wiedział, kto jest producentem danego sprzętu, będzie mógł przejąć całkowitą kontrolę nad siecią. W 2006 r. 3,68% sieci w Londynie posiadało ustawienia domyślne, natomiast w przypadku hotspotów WiFi w dzielnicy Canary Wharf, odsetek ten wyniósł niewiele ponad 3%.

Jednym z najbardziej skutecznych sposobów ochrony przed wardrivingiem jest wyłączenie SSID. Poniższy wykres pokazuje rozkład wykrytych sieci, według tych dwóch czynników.

Jak wynika z wykresu, liczba sieci z domyślnym SSID w dzielnicy Canary Wharf zmniejszyła się o połowę, do 1,5%. Jednocześnie liczba sieci z wyłączonym SSID spadła z 30% do zaledwie 19,4%.

W kategorii tej nadal prowadzi paryska dzielnica La Defense, gdzie wykryto 26% sieci WiFi z wyłączonym SSID.

Odnotowaliśmy również zmniejszenie się liczby sieci z domyślnym SSID dla całego Londynu, z 32% do ponad 13%. Spadek liczby sieci wykorzystujących domyślną konfigurację z 3,68% w 2006 r. do zaledwie 1,07% w 2007 r. wskazuje na poprawę sytuacji.

Reklama podprogowa

Interesującym zjawiskiem jest tendencja do wykorzystywania hotspotów do reklamy podprogowej. Każdy klient próbujący połączyć się z siecią będzie widział listę dostępnych sieci. Wykorzystywanie adresów internetowych jako nazw hotspotów może służyć jako dodatkowy sposób przyciągnięcia nowych klientów na stronę. Z sieciami stosującymi tą technikę zetknęliśmy się po raz pierwszy w Warszawie, gdzie stanowiły one około 3% wszystkich sieci. Z podobnym zjawiskiem spotkaliśmy się w Londynie. Chociaż taktykę tą stosowało tylko 1% sieci WiFi, możemy mówić o pewnym trendzie.

Wnioski

Poniżej przedstawiamy podsumowanie wyników naszego najnowszego wardrivingu:

  • Zaobserwowaliśmy stały wzrost wykorzystywania nowego sprzętu bezprzewodowego działającego z prędkością 54 Mb. 87% to najlepszy wynik, jaki dotychczas uzyskaliśmy w naszych badaniach.
  • Jeśli chodzi o szyfrowanie ruchu w sieciach bezprzewodowych, sytuacja stopniowo poprawia się, nadal jest jednak daleka od ideału.
  • Dzielnice biznesowe nadal wypadają słabo pod względem bezpieczeństwa w porównaniu z całym miastem.
  • Liczba hotspotów prawie dwukrotnie wzrosła, zwłaszcza w dzielnicy Canary Wharf. Próbowaliśmy przebyć tę samą trasę co rok temu w tym samym czasie. Znamienny jest wzrost popularności sieci bezprzewodowych.
  • Kluczowe dane liczbowe dotyczące sieci w Londynie pokrywają się mniej więcej z tymi uzyskanymi w wyniku badania przeprowadzonego w Paryżu.

W tym roku postanowiliśmy nie przeprowadzać oddzielnego badania hotspotów podczas wystawy InfoSecurity w Londynie. Z naszych obserwacji podczas wystawy CeBIT 2006, InfoSecurity w Londynie oraz InfoSecurity w Paryżu w 2006 r. wynika, że wszystkie dane liczbowe były prawie identyczne dla wszystkich tych wystaw. Podczas InfoSecurity 2007 w Londynie wykryliśmy pewną liczbę hotspotów w domyślną konfiguracją, które stały się celem ataków i żartów. Na przykład, jeden z takich hotspotów otrzymał w drugi dzień wystawy nową nazwę: "Hacked by Kevin Mitnick."

Źródło:
Kaspersky Lab