Varno tudi brez žice

Objavljeno: 30.3.2010 | Avtor: Matic Zupančič | Kategorija: Varnost | Revija: Marec 2010 | Teme: wifi, brezžično

Brezžična omrežja, ki nas vsaj v mestih danes obkrožajo na vsakem koraku, so postala del vsakdanjosti. Ko gremo na kavo, se nam zdi že prav nenavadno, če ob tej razvadi ne moremo uživati še ob brskanju po spletu na našem mini prenosnem računalniku. In ravno občutek mobilnosti, ko se nam zdi tako imenitno, da se lahko praktično od vsepovsod povežemo v globalno vas, nas marsikdaj oropa za povsem običajno previdnost, ki nam je praviloma na manjka. Ko gremo čez cesto, pogledamo levo in desno, mar ne?

Nikoli ne moremo biti povsem prepričani, da se za brezžično dostopno točko, ki smo jo tako zelo iskali, ne skriva kakšen malopridnež, ki hoče dobiti čim več informacij, s katerimi bi se lahko kasneje okoristil. Po prepričanju mnogih so letališča, hoteli in kongresni centri najnevarnejše točke za povezovanje prek javnih dostopnih brezžičnih omrežij. Za povrh pa še veliko ljudi tam uporablja svoje kreditne kartice za spletno nakupovanje.

Javne brezžične dostopne točke

Pravzaprav bi bil najbolj paranoičen nasvet kar: "Ne uporabljajte javnih brezžičnih točk. Sploh! Raje si omislite paket UMTS pri katerem izmed ponudnikov mobilne telefonije." Brskanje po spletu z uporabo mobilnega omrežja je namreč v resnici varnejše. Po drugi strani pa je kanček lahkotnejši pogled na svet vendarle na mestu, vendar zahteva nekaj previdnostnih ukrepov. Sicer pa - če vas javnih brezžičnih točk ni strah, bo prikladna tudi nedavno začeta pobuda na Google Maps, ki poziva vse, ki vedo za javno dostopne brezžične točke, naj jih vpišejo (http://skrci.me/javni_wifi).

Naša domovina je polna javno dostopnih brezžičnih točk - večinoma v gostinskih lokalih.

Torej - če želite preveriti elektronsko pošto s POP3/IMAP, uporabljajte povezavo VPN, bodisi domov ali v službo. Vsebina prometa POP3/IMAP namreč ni šifrirana, tudi gesla ne. Večina novejših (cenejših) usmerjevalnikov omogoča, da si tudi za oddaljen priklop v domače omrežje omislite VPN (navidezno zasebno omrežje), in če je pravilno nastavljen, je med vašim računalnikom, ko ste na drugem koncu sveta, in domačim omrežjem vzpostavljena varna, šifrirana povezava, ki zelo otežuje prestrezanje podatkov. Žal pa je marsikatero javno dostopno brezžično omrežje tako nastavljeno, da teh povezav ni moč vzpostavljati. Če se nimate kam povezovati v VPN, pa poskusite s Hotspot Shield (www.hotspotshield.com). Zakaj takšna paranoja glede prisluškovanja? Berite naprej, predstaviti se kot "zlobni dvojček" in prestrezati promet, je namreč dokaj enostavno ...

Windows 7 vas ob priklopu v dotlej neznano omrežje vpraša, za kakšno omrežje gre: domače, službeno ali javno? Ko ste priklopljeni na javno brezžično točko, vedno izberite javni profil. Še prej pa se prepričajte, da imate vklopljeno požarno pregrado in je javni profil zelo rigorozno nastavljen.

Prepuščati računalniku, da se odloča namesto nas, ni vedno priporočljivo, saj se tako hitreje znajdemo v nevarnih situacijah. Večina operacijskih sistemov ali programska oprema za delo z brezžičnimi omrežji ima možnost, da se avtomatično priklaplja na računalniku znana omrežja - in to brez vednosti uporabnika. Ne uporabljajte te možnosti. Nekaj klikov in sekund več vam bo vzelo. Nizka cena za svobodo odločanja, o tem, kdaj se boste povezali v omrežje in kdaj ne.

Bodite previdni pri uporabi spletnih brskalnikov. Glede njihove rabe si je dobro zapomniti vsaj dvoje. Izklopite možnost hranjenja gesel v brskalniku, še posebej, če je govor o prenosniku. Resda je zelo udobno, če samo pritiskamo enter in nam ni treba vsakič znova vpisovati gesla, a smo si s tem precej znižali raven varnega brskanja po spletu. Si predstavljate, da vam prenosnik ukradejo in s tem avtomatsko pridobijo dostop do naše spletne banke? Druga pomembna točka glede spletnih brskalnikov pa je: ne uporabljajte Internet Explorerja. Raje se odločite za Mozilla Firefox, Google Chrome ali Opero. Ne gre za kaprico, a dejstvo je, da je IE zaradi svoje razširjenosti precej bolj izpostavljen hekerskim napadom kot alternativni brskalniki. Ob zadnjih zapletih med Googlom in Kitajsko so prav ranljivosti v IE odigrale ključno vlogo in Nemci in Francozi so svojim državljanom odsvetovali uporabo Internet Explorerja ter priporočili uporabo alternativnih (Firefox, Chrome, Opera ...)

V Firefoxu je moč uporabljati različne profile. Ustvarite si posebnega zgolj za brskanje z javnih omrežij in namestite dodatek NoScript, ki bo preprečeval izvrševanje skript, ki se naložijo v računalnik skupaj s spletno stranjo.

Preglejte tudi, kakšne datoteke v računalniku delite. Veliko uporabnikov zaradi enostavnosti omogoči deljenje (share) celotnih diskov. Ne počnite tega in omogočite deljenje le tistih map, za katere ste res prepričani, da jih želite deliti z drugimi.

Zaradi nepazljivih uporabnikov marsikatero domače brezžično omrežje ostaja povsem nezavarovano, zato lahko naključni mimoidoči dobijo lažen vtis, da nekdo pač namenoma ponuja prost dostop do interneta. Vstop v tako omrežje bi lahko bil celo kazniv, še posebej, če iz takega omrežja potem "črpamo" podatke, ki nam niso namenjeni (predvsem datoteke).

Tudi domači WiFi naj bo varen

V praksi lahko zaznamo, da se domačim brezžičnim omrežjem posveča izjemno malo ali nič pozornosti. Kupimo brezžični usmerjevalnik, ga priklopimo in začnemo uporabljati. Ne zavedamo pa se, da je večina nastavitev, tudi geslo za dostop do konfiguracijskega modula, ostala na privzetih tovarniških nastavitvah.

Ker je v samem jedru domačega brezžičnega omrežja navadno brezžični usmerjevalnik in so nanj običajno vezani vsi računalniki v hiši, je zelo pomembno, da njegovo osnovno nastavitev prepustimo nekomu, ki se na te reči spozna, ali pa se toliko poglobimo v nastavitve in ga nato sami vsaj približno dobro nastavimo. Ker berete tale članek, lahko domnevamo, da se boste sami lotili tudi te naloge, zato naj nanizamo nekaj najosnovnejših in nujno potrebnih korakov. Zavedati se morate, da je varnost brezžičnega omrežja odvisna od niza naših ukrepov in nikakor ne samo od ene nastavitve. Čim več ovir postavimo, tem večja je možnost, da bomo z njimi odvrnili morebitnega napadalca.

Omrežje bo varno takrat, ko bo s primernimi tehničnimi in logičnimi preprekami zaščiteno pred namernimi in nenamernimi "prisluškovalci" ali napadalci.

Spremenite privzeto geslo za dostop do administrativnega modula. Po spletu krožijo veliki seznami tovarniških gesel za vse mogoče naprave. Tako postavite prvo oviro morebitnemu škodoželjnežu, saj se mora malce bolj potruditi, če hoče vstopiti v vaše omrežje. S tovarniškim geslom bi lahko prišel do nastavitev vašega dostopa do ponudnika dostopa do interneta, sebi ustvaril varen VPN kanal, prek katerega bi lahko v vaše omrežje dostopal ob vsakem času, in malo verjetno bi bilo, da bi ga sami razkrinkali. Priporočamo tudi, da to geslo, kot vsa druga pomembna gesla, menjate dovolj pogosto, še najbolje vsakih nekaj mesecev.

Spremenite tovarniško nastavljeno ime brezžičnega omrežja in izklopite oddajanje tega imena. Vsako brezžično omrežje ima tudi svoj SSID (Service Set Identifier), s katerim je prepoznavno v množici prisotnih omrežij. V nastavitvah spremenite to ime, ki je navadno tovarniško nastavljeno kar na ime blagovne znamke usmerjevalnika. Če gre za domače omrežje, določite raje neko generično ime, in ne uporabljajte imen, priimkov ali drugih oznak, ki bi lahko ime omrežja povezale z vami ali vašimi bližnjimi. Še najbolje bo, da vaš SSID vsebuje črke in številke. Če vam nastavitve usmerjevalnika to omogočajo, pa izklopite oddajanje SSID imena. Vsakdo, ki se bo skušal priklopiti na vašo dostopno točko, bo tako moral poznati nastavljeno ime. Vendar naj vas tako skrivanje ne zavede v lažen občutek varnosti, saj skrivanje SSID samo onemogoča osnovno zaznavanje omrežja, nikakor pa to ne bo odvrnilo dovolj motiviranega napadalca, da ne bi izvedel katerega izmed tipičnih ali netipičnih napadov na vaše brezžično omrežje ali pa bo enostavno prisluškoval prometu. Vsakič, ko se namreč nekdo priključi na tako "skrito" omrežje, je pravi naziv SSID med dostopno točko in napravo, ki se priključuje v omrežje, izmenjan v nekriptirani obliki, pa čeprav je sama povezava šifrirana. Napadalec bo tako pasivno prisluškoval prometu in potrpežljivo čakal na nekoga, da se poveže. In, hop, ima naš SSID.

Zato je naslednji korak, da poskrbimo, da bo naša povezava tudi varovana s šifriranjem. Če imate starejši usmerjevalnik, bo po vsej verjetnosti podpiral vsaj standard WEP, vendar se mu raje izognite, ker ga je preveč enostavno razbiti in dekodirati promet. Izberite raje standard WPA (oziroma WPA2), ki je nastal kot odgovor na WEP pomanjkljivosti. Za domačo rabo je največkrat uporabna različica WEP-PSK (pre shared key), kjer za dostop do brezžičnega omrežja določimo geslo, podobno kot pri WEP, ki ga mora poznati vsakdo, ki se priklaplja vanj. A v ozadju povezave se izmenjujejo ključi, ki jih WEP-PSK menja na določen interval. Tako je morebitnemu vdiralcu teže priti do pravih podatkov za dostop. Če imate možnost izbire načina enkripcije, potem med možnostjo TKIP in AES vsekakor izberite slednjo, ki ponuja močno šifriranje podatkov.

Če v vaše brezžično omrežje dostopa le omejeno število naprav (domači računalnik, prenosnik, telefon, tiskalnik ...), vklopite filtriranje dostopa glede na enolični fizični naslov omrežnega vmesnika (Hardware/MAC address filtering). Vsaka naprava, ki se priklaplja v omrežje, ima svoj MAC naslov. Če hočemo, da se v naše omrežje priklapljajo samo znane naprave, jih vpišemo na seznam dovoljenih MAC naslovov. Ob vsakem poskusu priklopa bo ta varnostni mehanizem preveril tudi, ali ima naprava "dovoljen" MAC naslov. Vendar pozor, to je spet le ena izmed ovir, ki nam ne smejo ustvariti lažnega občutka varnosti. MAC naslov posameznega omrežnega vmesnika je precej preprosto ugotoviti in še bolj preprosto ponarediti.

Uporabljajte statične IP naslove za naprave znotraj omrežja. Navadno so brezžični usmerjevalniki za domačo rabo nastavljeni tako, da za dodeljevanje notranjega IP naslova posameznim napravam uporabljajo protokol DHCP in sami prevzamejo vlogo strežnika DHCP. Čeprav uporaba tega protokola izjemno olajša nastavljanje povezave na računalniku, ki ga želimo vključiti v omrežje, je pravzaprav izjemno darilo za nepridiprava. Lastnost protokola DHCP je, da "nosi" s seboj vse pomembne nastavitve omrežja, ki posamezni napravi omogočajo, da uspešno pridobi podatke o IP naslovu, privzetem prehodu (za dostop do interneta), strežnikih DNS v omrežju in še kopico bolj ali manj koristnih podatkov, ki jih je mogoče zlorabiti. Z DHCP nosimo na pladnju podatke o svojem omrežju.

Izklopite torej DHCP in napravam določite statične IP naslove, in izogibajte se največkrat uporabljanim naslovom v naboru, ki se začne z 192.168.1.X. Za svoje omrežje raje izberite naslovni prostor 10.X.X.X ali 172.16.X.X (ne uporabljajte naslovov, ki se končajo z .0 ali .255, ker te naslove navadno potrebuje sama omrežna infrastruktura, prav tako naslovi, ki se končajo z .1 navadno v uporabi omrežne opreme, usmerjevalnikov, torej za končne naprave so na voljo naslovi, ki imajo končnico med .2 in .254). Glede na to, da so ti nabori velikokrat v rabi v poslovnih omrežjih, pa se prej raje prepričajte, da istega omrežja (recimo 10.0.0.X) ne uporabljate v službenem okolju, saj si utegnete onemogočiti VPN povezljivost v službeno omrežje od doma.

Vklopite požarne pregrade na usmerjevalniku in na vsakem izmed računalnikov. To ne bo prav nič škodilo, postavilo pa bo še eno oviro do vaših podatkov. Na računalnikih bo za začetek dovolj, če vklopite požarno pregrado, ki je del operacijskega sistema (npr. Windows Firewall). Na voljo pa so tudi številne (resda največkrat plačljive) alternative. Med bolj znanimi so Zone Alarm, Symantec Personal Firewall, McAfee personal Firewall, ESET Security Suite in številne druge.

Tudi sam položaj brezžičnega usmerjevalnika v prostoru je pomemben. Mnogi spregledajo to, da se domače brezžično omrežje ne konča z zunanjimi stenami stanovanja ali hiše in da je velikokrat signal možno loviti tudi s kakšne bližnje ulice ali klopce. Za marsikoga je to sicer prikladno, saj tako lahko brezskrbno dela v senci na vrtu. Da bi "sevanje" vašega omrežja vseeno čim bolj omejili na vašo hišo in ne bi bilo po nepotrebnem izpostavljeno še kopici sosedov, postavite svoj brezžični usmerjevalnik nekam v središčno točko vaše nepremičnine, seveda tako, da bodo vsi potencialni "legalni" uporabniki zadovoljivo dobro lovili signal. Ne postavljajte usmerjevalnika v bližino močnejših električnih naprav, napeljav ter naprav, ki oddajajo v podobnem frekvenčnem območju (gre za 2,4 GHz in 5 GHz). Zato se izogibajmo nameščanju v bližino električnih omaric, mikrovalovnih pečic in oddajnih enot brezvrvičnih telefonov (še posebej DECT).

Ko brezžičnega omrežja ne potrebujete dalj časa, ga izklopite. Še bolje, ko greste na dopust, izklopite vso omrežno in računalniško opremo. Prihranili boste nekaj električne energije. Ne nazadnje v omrežje, ki ga v bistvu ni, ni moč vdirati.

Krekanje - mala malica

Da ne bo vse zgoraj zapisano le skupek nasvetov, ki naj bi nas ubranili pred nečim umišljenim, si oglejmo tudi nekaj najbolj običajnih načinov vdorov v brezžična omrežja. Zaradi poenostavitve bo morda izzvenelo, da je tako početje silno preprosto. In tak občutek sploh ni daleč od resnice - z nekaj orodji, ki jih je mogoče prosto dobiti v spletu, lahko to počne praktično vsakdo, ki ima nekaj časa, da se jih nauči uporabljati.

Včasih, ko je javno dostopnih brezžičnih točk primanjkovalo, je bila zelo priljubljena vožnja po mestu z namenom iskanja nezaščitenih brezžičnih omrežij. Danes je teh toliko, da tudi "war driving", kot so tako početje poimenovali, nima več pomena. Razen morda za nekoga, ki išče ranljivosti omrežij podjetij (po naročilu podjetja ali nelegalno za svojo korist).

MITM napad

Gre za vrsto aktivnega prisluškovanja, pri katerem napadalec prevzame aktivno vlogo posredovanja prometa med različnimi udeleženci v omrežju. Od tod tudi angleški naziv za vrsto napada: "man in the middle". Navadno to pomeni, da napadalec prevzame vlogo dostopne točke na ta način, da prepriča omrežne vmesnike v računalnikih, da je on tista legitimna dostopna točka, ki naj bi posredovala promet v omrežju. Udeleženci torej predvidevajo, da komunicirajo varno, v resnici pa je vsa komunikacija prestrežena in nadzorovana. Še več. Napadalec lahko celo vriva svoj tok podatkov oziroma aktivno spreminja promet tako, da ustreza njegovim namenom.

Koncept napada "man in the middle".

Takim napadom so še posebej izpostavljene javno dostopne brezžične točke, kajti za uspešno vrivanje v komunikacijo se mora znati napadalec predstaviti omrežju tako, da sta ga obe končni točki, ki se povezujeta, "sposobni" prepoznati kot legitimno dostopno točko. Za ta namen pa so še posebej primerna Wifi omrežja, ki jim zaradi svoje nezaščitenosti primanjkuje načinov, kako avtenticirati in enkriptirati omrežni promet.

Zlobni dvojček

Kar zadeva javne brezžične dostopne točke, je morda najbolj preprost, a zelo zahrbten trik tako imenovani "evil twin attack". Nekdo postavi svojo dostopno točko in jo poimenuje tako, da s svojim imenom zavaja. Če ste npr. v bližini lokala Teater Cafe, ki ima svojo dostopno točko, lahko nekdo v bližini postavi svojo točko s prav takim SSID, ki bo vabila obiskovalce lokala in tudi vse druge v bližini, da se priključijo nanjo. Nato lahko prevarant sproti analizira ves promet med njegovo vabo in vašo napravo - ali pa si promet shranjuje in ga analizira kasneje.

S čim si pomagajo hekerji

Cain je sicer majhen, a po zmogljivostih izjemno močan program. Največji del njegovih zmožnosti je namenjen iskanju in razbijanju takšnih ali drugačnih gesel, ki se pojavljajo v omrežjih ali računalnikih (gesla za vstop v računalnike, omrežja, za dostop do poštnih strežnikov, ftp strežnikov, wep/wpa gesla ipd.). Na spletni strani Oxid.it sicer pravijo, da je namenjen administratorjem, učiteljem, svetovalcem o varnosti, forenzikom in vsem drugim, ki ga nameravajo uporabljati v etične namene. A resnica je daleč od tega in množično ga uporabljajo tudi tisti, ki nimajo čistih namenov. Drugo zelo priljubljeno orodje pa je Kismet, ki je prvenstveno namenjeno odkrivanju in preskušanju varnosti brezžičnih omrežij.

Cain kot za šalo vdira v slabo zaščitena brezžična omrežja.

Varno z mobilnikom

Mobilni telefoni so postali že skoraj podaljšek naše osebnosti, zato jih jemljemo kot samoumevne in zato njihovi varnosti ne posvečamo pozornosti, ki bi si jo zaslužila. Imate varnostno shranjene vse stike? Zamislite si, da vam telefon ukradejo ali ga izgubite. Groza, kajne? Kaj pa SMS sporočila, fotografije? Na telefonu ne imejte ničesar takega, kar bi vas lahko spravilo v zadrego, če pride v javnost.

Zapišite si vse potrebne podatke, ki vam bodo olajšali komunikacijo z operaterjem, če bi ostali brez telefona. Da bi uspešno blokirali vašo telefonsko številko, s katero vam lahko "pošteni" najditelj naredi kopico stroškov z eksotičnimi storitvami ali klici, boste potrebovali na enem mestu zbranih nekaj podatkov: mobilna številka, številka SIM kartice ter IMEI številka vašega telefona. Blokirajte številko takoj, ko ugotovite, da ste ostali brez telefona.

Ne izključite preverjanja PIN kode zgolj zaradi enostavnosti uporabe. Z uporabo kode si boste kupili nekaj dragocenega časa, da v miru obvestite svojega operaterja o kraji. PIN koda je geslo, ki ščiti vaš telefon pred nepooblaščeno rabo.

Nekateri ponudniki protivirusne in varnostne programske opreme že ponujajo tudi različice za mobilne telefone. Glede na to, da sodobni telefoni niso več namenjeni le pogovorom, marveč so lahko podaljšek vaše pisarne, je pametno razmisliti tudi o taki zaščiti. Vsekakor ne dovolite, da vse naprave z vašim telefonom vzpostavljajo povezavo brez potrebne potrditve (wifi in bluetooth), to si lahko privoščite le z napravami, ki jih uporabljate pogosto (prenosnik, prostoročne slušalke).

Tako kot računalniki imajo tudi telefoni svoj operacijski sistem in ti velikokrat doživljajo popravke, zato posodabljajte programsko opremo v telefonu. Če tega ne znate sami, poiščite pomoč.

Kar zadeva priključevanje mobilnih telefonov v prosto dostopne brezžične točke, valjajo ista priporočila, kot smo jih že zapisali zgoraj.

Vsi pa seveda niso zlobni, zato napišite nekaj svojih podatkov na zaslon (e-poštni naslov, poštni naslov ...), da bodo vidni tudi, ko je telefon zaklenjen. Če vam telefon to omogoča, seveda. Na ta način bo hitreje prišel nazaj do pravega lastnika.

Brezžičnost in mobilnost sta torej zelo dobrodošli lastnosti naprav, saj so tudi potrebe po mobilnosti sodobnega človeka vedno večje. Nikakor pa ob uporabi teh tehnologij ne smemo pozabiti na ščepec samoobrambe, s katerim se zavarujemo pred najbolj običajnimi pastmi, ki bi utegnile prežati na nepozornega uporabnika.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki