(Ne)sigurnost bežičnih mreža (WiFi / WLAN) na javnim mjestima
Srećom, znak iznad (ili vrlo sličan u crnoj varijanti) postaje sve češći i češći. Mnogi gradovi WiFi signalom pokrivaju svoje trgove i parkove, univerzitetske kampuse i slična okupljališta, kako bi svojim građanima i posjetiteljima ponudili osnovni (i besplatan, mada postoje i komercijalne varijante) Internet na svakom koraku. Kod nas toga još nema, ali već godinama pojedini kafići se diče davanjem Internet pristupa svojim posjetiteljima (u Sarajevu bi to bili Trasa na Skenderiji, Aquarius na Grbavici, BBI centar, čini mi se i Delikatesna na Obali… da nabrojim par onih koji mi padnu na pamet). Obzirom da je pružanje pristupa Internetu putem WiFi mreža trend u svijetu (poznati lanac Starbucks u svim svojim objektima u Sjevernoj Americi nudi Internet pristup), za vjerovati je da će WiFi znakić biti sve češći i kod nas.
Iako je (besplatan) Internet na svakom koraku odlična stvar, ima tu i određenih problema. Dijelom zbog ograničenja, a dijelom zbog sigurnosnih rizika. Na žalost, potonji se vrlo često smeću s uma kada se pristupa Internetu s javnog mjesta. Stvar je prilično ozbiljna, u nastavku čitajte o čemu se radi…
Krenimo s ograničenjima
Ograničenja u ovakvim situacijama u pravilu su vrlo stroga. Logično, kad se uzme u obzir da su ove mreže javne, svima otvorene. Kad bi svako mogao skidati HD filmove od više desetaka GB, streamati zvuk i sliku, mreža bi se vrlo brzo zagušila. Da ne govorimo koliki bi se promet napravio, promet koji na kraju mjeseca neko ipak mora platiti. Da bi se zadržala kakva-takva isplativost hvale vrijedne usluge, ista se ograničava. Korisnicima se omogućavaju najčešće i najmanje zahtjevne stvari: surfanje webom, primanje/slanje emaila, možda još ponešto (instant messaging, news servis – koristi li to uopće još iko?). Često se radi očuvanja kvalitete usluge, tj. ograničavanja ‘potrošnje’ bandwitha, uskraćuje pristup nekim web stranicama / uslugama, tipa YouTubeu, no kad su ovakve stvari u pitanju pravila nema. O torrentima i drugim popularnim protokolima p2p razmjene, međutim, u pravilu nema ni govora.
Ograničenja se najčešće primjenjuju firewallom na routeru ili wireles pristupnoj tački (access point – ap) koji zatvara sve osim nekolicine odabranih portova (primjerice TCP port 80 koji koristi HTTP). Firewall ujedno pruža dodatni nivo zaštite korisnicima, ali korištenje otvorene bežične mreže samo po sebi predstavlja priličan sigunosni rizik koji nikakav AP firewall ne može umanjiti, jer se problem nalazi s unutrašnje strane vatrozida.
Malo teorije: prusliškivanje na Internetu – wiretapping
Na kratko ću se udaljiti od glavne teme kako bih obradio par teoretskih osnova. Imajte na umu da ovo o čemu ću pisati u ovom pasusu je jakojakojako pojednostavljeno i uprošteno, u toj mjeri da ne mora biti apsolutno tačno, ali za potrebe ovog članka dat će dovoljnu teoretsku pozadinu.
Računarske mreže, kao što im i samo ime sugerira, topološki su organizirane u obliku međusobno povezanih čvorova. Taj čvor može biti bilo šta, vaš kompjuter na kojem čitate ovaj tekst, router kojim je vaša lokalna kućna mreža spojena na Internet ili gateway vašeg ISPa (pružatelja Internet usluga) putem kojeg se spajate na mrežu svih mreža. Ti čvorovi su međusobno povezani vezama, medijima putem kojih se prenose poruke od čvora do čvora. Te poruke sastoje se od paketa čija se struktura svodi na dva dijela: zaglavlje (header) i tijelo (body). Dok tijelo sadrži konkretne podatke, dio poruke, funkcija zaglavlja je informirati čvorove šta da rade s paketom. Tu su zapisane informacije tipa odakle je paket došao i kome je namijenjen, o kom se paketu u nizu koji čine jednu poruku radi itd. Dakle, zaglavlje, teoretski, sadrži dovoljnu količinu podataka da čvor ne mora zagledati šta se to u tijelu paketa nalazi da bi odlučio šta s njim učiniti: proslijediti dalje, otpisati, ili ako je paket namijenjen datom čvoru, interpretirati.
Većina prometa na Internetu nije šifrovana, tj. svaki čvor kroz koji neki paket prođe može pogledati šta ima u njemu. Koliko će mu to korisiti druga je priča (često da bi neka poruka imala smisla moraju se skupiti svi paketi, a u tranzitu ne moraju svi paketi ići preko istog čvora). Internet radi na principu povjerenja i dobro volje, mi vjerujemo našem ISPu da neće zabadati nos u naše stvari, kao što i naš ISP vjeruje svom nad-ISPu da neće zabadati nos u stvari njegovih korisnika itd. U principu, svako ko kontrolira neki čvor može čitati sve što kroz taj čvor prolazi. I ne samo čitati, već i mijenjati.
Ranjive tačke nisu samo čvorovi, već i veze među njima. Ukoliko neko ima pristup mediju koji povezuje dva čvora (žici), vrlo lako može ubaciti vlastiti čvor u sredinu i pratiti sve što rade ona dvojica. To se zove man in the middle pristup i sposoban je zagorčati život čak i inače vrlo dobrim savremenim metodama zaštite komunikacije. Srećom, maliciozni napadi na Internet vodove nisu česti jer ih nije nimalo trivijalno izvesti tako da se ne primjeti (ako je uopće moguće), jednako kao što nije nimalo jednostavno preuzeti kontrolu nad nekim od velikih i prometnih čvorova i iskoristiti je u maliciozne svrhe. Ovo već pripada špijunskim filmoima; preotimanje velikih Internet čvorova i veza spada u domenu hakera i organizacija globalnog kalibra.
Usprkos svemu, sistem na povjerenje nas vrlo dobro služi svih ovih godina, ali otkako je poslovanje putem Interneta uzelo maha, pribjegava se mjerama enkripcije kompunikacije između izvorišta i odredišta, za svaki slučaj, da neko na čvoru između ne bi došao u iskušenje (jer u iskušenje se lako dolazi kad je lova u pitanju – prilika čini lopova).
WiFi security
Vratimo se našoj bežičnoj temi.
Više nije neuobičajeno imati više kompjutera u kući. Iako se kod nas i jedan kompjuter još uvijek smatra luksuzom, više nije rijetkost vidjeti da neko ima dva. Možda je jedan laptop s posla, ili se klincima kupi kompjuter za njihovu sobu, ili nešto treće. Također, širokopojasni pristup Internetu također (srećom) više nije rijetkost. Kada se kombinuje i jedno i drugo dođe se do vrlo logičnog (i sasvim opravdanog) pitanja: zašto nemati pristup Internetu na oba kompjutera? Preduvjet je da kompjuteri budu u zajedničkoj mreži kako bi mogli dijeliti vezu, a u vremenu kada je u modi minimalizam (što manje tepiha po podovima, što manje ormara po zidovima) nije trivijalna stvar provući ‘UTP kabl’ s jednog kraja stana na drugi, a da se pritom preko njega ne zapinje i/ili da se pravi ruglo od kuće. Bežične mreže, mada po brzini, stabilnosti i pouzdanosti još ne mogu parirati žičanim pandanima tada se nameću kao adekvatno rješenje. Za surfanje, mail, gledanje filmića na YouTubeu i još ponešto više od WLANa nije ni potrebno. Korisnici laptopa tako napokon dolaze na svoje, kud god da hodaju po kući nose Internet sa sobom.
Postoji više načina kako dijeliti istu Internet vezu između više kompjutera, no daleko najelegantniji način je korištenjem routera. Router je zaseban čvor u mreži, koji osim uloge switcha radi još ponešto. Za potrebe kućnih korisnika, on je taj koji se spaja na Internet, a svi kompjuteri u mreži se spajaju na njega. Ovo je vrlo elegantno rješenje, zato što jedan kompjuter koji bi se inače direktno spajao na ISP ne mora biti upaljen da bi ‘netu mogli pristupiti drugi, taj posao obavlja router. U router vrlo često znaju biti zapakovane još poneke funkcije, poput firewalla i još kojekakvih filtera koji mogu vrlo efektivno izolirati i ograničiti komunikaciju lokalne (kućne) mreže s Internetom, učinivši je za stepen sigurnijom. Dio routera vrlo često zna biti i wireless access point.
Svaki proizvođač mrežne opreme koji drži do sebe danas u ponudi ima modele wireless routera. D-Link, Linksys, Netgear, Trendnet, ima ih kao u priči, čak i kod nas. Ako probate proći gradom s upaljenim laptopom ili WiFi sposobnim smartphoneom, vidjet ćete i sami. Linksysova, Netgearova, D-Linkova kao u priči. E upravo u tome je problem, sve sama fabrički zadana imena! Garant su im i šifre defaultne… Hoću reći, fabričke postavke nisu promijenjene, a fabrički je u velikoj većini slučajeva enkripcija WLANa isključena.
Problem je što wireless routeri, koliko god se njihovi proizvođači trudili, za prosječnog vindouz juzera i nisu baš najjednostavniji hepeci za postavit. Da bi izbjegli troškove podrške i proizvođači često vrdaju, korisnika vode do trenutka kad sve profercera, ali na žalost, to nije dovoljno. Potrebno je da profercera na ispravan & siguran način. Tako jadan neupućen korisnik podesi router do trenutka kada njegov bežični signal uhvati na laptopu, Internet proradi i misli da je to-to. Na žalost nije.
Kada se ljudima objašnjava zašto je potrebno podesiti enkripciju bežične veze, prva pomisao im je da će se neko nakačiti na njihovu mrežu i koristiti Internet vezu te nabiti račun. Naravno, ima i toga, no onemogućavanje bilo koga da se nepozvan spoji u bežičnu mrežu samo je nuspojava šifriranja kompletne komunikacije između dva čvora, u ovom slučaju kompjutera i pristupne tačke (u našem slučaju, wireless router). Kada se zada metoda šifriranja i šifra, niko bez te šifre ne može započeti komunikaciju. Međutim, ta šifra se ne svodi samo na ključ koji otvara neka imaginarna vrata prema Internetu, ona zapravo otvara vrata vaše mreže (postoje i drugi načini da se ograniči pristup mreži, i bez enkripcije, ali u kućnim situacijama šifriranje je obično jedina opcija) i svega što uz to ide (npr. dijeljene datoteke i direktoriji na diskovima umreženih kompjutera, slike koje tako bezbrižno dijeliš sa ukućanima možda ne želiš da vidi i komšija), uključujući tu i pristup Internetu.
Sjetite se prethodnog podnaslova: onaj ko ima pristup mediju može prisluškivati komunikaciju koja se tim medijem odvija. U slučaju bežične mreže taj medij je – zrak (pogledajte sliku iznad, plavi oblačić dijele svi laptopi). A zrak je teško kontrolirati i nadzirati, tako da će signal kućne mreže procuriti i kod komšije i na ulicu. To je isto kao kad galamite dok pričate: sve što kažete čuje i komšija, mada to što govorite možda nije njemu namijenjeno.
Upravo iz ovih razloga imperativ je izvšriti enkripciju bežične mreže. Time osiguravate sigurnost svoje komunikacije, ali i onemogućavate pristup vašoj mreži svima koji ne poznaju vašu šifru (o šiframa sam detaljnije govorio u jednom od prethodnih tekstova). Bez šifre niko ne može koristiti vašu Internet vezu, ne može vidjeti podatke koje dijelite putem mreže niti može prisluškivati vašu mrežnu komunikaciju. Za njega je sve što odašiljete samo gomila nasumičnog smeća.
Koji enkripcijski protokol odabrati? WEP je najstariji protokol za enkripciju bežičnih mreža i dok je svakako bolji od otvorene mreže, ne pruža baš kakvu sigurnost (prosječan kompjuter probije enkripciju za manje od minute). Naslijedio ga je WPA čija je druga verzija (WPA2) današnji standard i preporuka kad je enkripcija bežičnih mreža u pitanju.
Trg, hotel, kafić
Imajte na umu: kada uđete u bežičnu mrežu, ušli ste zapravo u neku lokalno mrežu, iako vas možda zanima samo Internet pristup. Na lokalnim mrežama omogućene su neke stvari koje se na Internetu ne podrazumijevaju, kao što je npr. dijeljenje datoteka i štampača. Ako imate dijeljen direktorij na disku, kada se u kafiću spojite na WLAN sadržaj tog direktorija, vrlo je lako moguće, vide svi. Iako vas kompjuter pita kad se spojite u mrežu radi li se o Public ili Home lokaciji, bez obzira na vaš odgovor, kompjuteri imaju mnogo više ‘urođenog’ povjerenja prema lokalnim mrežama (LAN ili WLAN) nego prema Internetu. Ovo može izazvati more drugih sigurnosnih problema, jer ne zaboravite, tu mrežu dijelite s velikim brojem nepoznatih. Kompjuter vam postaje, da se tako izrazim, prilično promiskuitetan i postaje ‘prisan’ s mnogima koji su možda zaraženi kojekakvim virusima, trojancima, key loggerima i sličnim napastima koji jedva čekaju priliku da se prošire – napravljeni su da vrebaju po mrežama (i to u pravilu bez znanja korisnika zaraženih mašina). Kako bi bili sigurni pobrinite se da radite redovna ažuriranja antivirusnog programa i Windowsa, a nije zgoreg ni voditi računa da koristite najsvježiju verziju web browsera (Microsoft Internet Explorer, Mozilla Firefox, Google Chrome…), flash playera i pdf readera, obzirom da su i oni u posljednje vrijeme postali omiljene mete. Ako koristite Linux, prethodna rečenica se na vas ne odnosi (ni Mac više nije siguran kao što je bio…).
Iako ćete se naći u situacijama da morate upitati konobara za WLAN šifru, veći je broj mjesta gdje enkripcije jednostavno nema. U datim okolnostima ovo nije nužno loše, jer ipak je cilj i svrha takve mreže da joj pristupa baš svako, međutim i dalje treba imati na umu par stvari. Prva je da mrežu dijelite sa svim i svakim, što povlači gore navedene sigurnosne rizike. Druga je stvar da svako u dometu signala može pratiti vašu komunikaciju. Ukoliko ne koristite dodatne metode/protokole enkripcije (SSL/TLS), sve što ‘kažete’ nekom Internet serveru može se ‘načuti’ i na stolu do vas. Nije da je to baš trivijalno izvesti, ali alati popot Wiresharka su široko dostupni i besplatni, ko zna šta traži u gomili podataka koji se stalno razmjenjuju mrežom, moći će to i naći. Ukoliko pristupate mailu nekog od naših domaćih ISPova gdje se ne koristi dodatna enkripcija i gdje obično vrijedi da je šifra za email ujedno i šifra za Internet pristup, neko može doći do vaše bihnet / logosoft / epn / štaveć šifre (Gmail za web pristup koristi šifrovani https protokol, a i POP3/SMTP pristup zahtijeva korištenje enkripcijskog TLS protokola). Isto vrijedi i za logon / password kombinacije na raznoraznim forumima, browser igrama, facebooku i slično. Na javnim mjestima treba izbjegavati logovanje na sve stranice koje nemaju jasno istaknut katančić – simbol da se radi o sigurnoj i šifrovanoj konekciji. Iako bankarske i druge financijske kuće u pravilu rade putem sigurnih veza, preporučljivo je izbjegavati pristupanje i tako sigurnim vezama s javnih mjesta. Iako SSL garantira da će se vaša komunikacija s bankom svakom ko prisluškuje činiti samo kao gomila nasumičnog smeća, to ne znači da vam niko ne gleda preko ramena dok utipkavate svoj PayPal password…
Pogledajte i ovo:
- FireSheep i Session Hijacking – kad ti ovce spale farmu
- Facebook Notes RSS Import fail
- CopyPaste’s Podcast – Ep24 – CP’s back!
- Špijuni su među nama – third-party tracking skriven u WordPress pluginu
- Facebooku (opet) procurili privatni podaci korisnika
Moram pohvaliti post. Zaista edukativan, napisan riječima nekoga ko nema pojma o mrežama i načinu zaštite. Lično izbjegavam provjeravanje e-mail-a na javnim mjestima bilo da sam povezan preko wi-fi signala ili koristim računare lokalnog internet cafe-a. Jednostavno nemam povjerenje u naše internet “kafe-e”… mi smo narod koji voli zabadat nos u tuđe stvari pa me ne bi čudilo da 50% internet kafića (i ne znajući) ima aktivan neki oblik keylogger-a.
Stvarno poucno :) s obzirom da ganjam wireless gdje god stignem :)))
I slozila bih se s Rainmanom. Jedan od postova koji sam skontala od do, kao laik naravno :D
Hvala na komentarima, nadam se da će vam i nadolazeći postovi biti jednako poučni.
Kao šlag na sve ovo je od neki dan dostupan Firesheep, koji omogućuje doslovno svakome (Firefox plugin, jedan klik i radi) na nezaštićenoj WiFi mreži da upadne u tuđi Facebook/Twitter/… session i čeprka po profilu.
Nezaštićena WiFi mreža? Zaštitite se sami – forsiranjem https-a (najbolje), VPN-om do “sigurne” točke i slično.
Nije puno bolje ni na žičanoj (lokalnoj) mreži – arp poisoning napadi zahtijevaju možda više umijeća ali je rezultat isti, uvid u sve neenkriptirane podatke.
Problem s cookie hijackingom nije ništa novo, Firesheep ga samo podiže na jedan novi nivo čineći eksploataciju trivijalnom.
Posljednje verzije browsera podržavaju Secure Transport Security, novi ‘protokol’ koji bi trebao preduhitriti probleme cookie hijackinga i mnoge druge. Vrlo jednostavno, STS forsira https kad god je to moguće. Na žalost, STS moraju implementirat i web stranice, a to će potrajati.
VPN je kompliciran za ne-napredne korisnike, a nezaštićen WiFi u tržnom centru je tako lako koristiti… Žičana mreža je utoliko sigurnija što treba imati fizički pristup nekom swithu ili routeru, kod bežičnih bez šifre je praktično nemoguće pratiti ko se sve spaja.
[...] novih sigurnosnih briga i problema. O ovome sam detaljnije pisao u jednom od prethodnih tekstova, (Ne)sigurnost bežičnih mreža (WiFi/WLAN) na javnim mjestima, koji vam toplo preporučujem jer je i dalje aktualan i zapravo se bavi istim problemom, samo ga [...]
[...] kupovina – 867 posjetaArizona dream – 503 posjetaA koja je boja tvog grudnjaka? – 417 posjeta(Ne)sigurnost bežičnih mreža (WiFi / WLAN) na javnim mjestima – 417 posjeta Friški komentariEdin Ćenanović edinc.info na WordPress.com Stats third-party [...]
[...] postaviti, samo nemojte zaboraviti koristiti WPA2 sigurnosni protokol, kad je već ponuđen (zašto je važno koristiti WPA?). Naravno, da bi koristili tethering, morate imati omogućen podatkovni prijenos podataka za svoj [...]