Na základě analýzy 2 stovek bezdrátových přístupových bodů firem v kongresových center v Praze a Brně bylo zjištěno, že 88 % z nich není zabezpečeno buď vůbec a nebo jen velmi slabě. Potenciální útočníci tak mohou nejen využívat jejich internetové připojení, ale velmi rychle mohou získat přístup k citlivým obchodním datům.
Společnost Nextlan otestovala minulý týden v rámci propagační akce síťových testerů celkem 198 access pointů u velkých business center, z nichž 146 bylo instalováno v Praze a 52 v Brně. Z měření vyplynulo, že více než polovina bezdrátových přístupových bodů nepoužívá žádné zabezpečení, a útočník se tak může do sítě připojit bez jakýchkoli překážek. Měření bylo prováděno z automobilu zaparkovaného u business center, takže hacker může síť napadnout bez fyzického přístupu do budovy.
„Access pointy bez zabezpečení mohou ale sloužit výhradně k přístupu do internetu a ne do firemní sítě. Více znepokojující je tedy fakt, že 33 % analyzovaných přístupových bodů sice využívá zabezpečení, ale jedná se o slabé šifrování typu WEP. To se dá pomocí softwaru běžně dostupného na internetu lehce prolomit zhruba za hodinu,“ uvedl Ivan Pavlas, ředitel společnosti Nextlan. „Pouze ve 23 případech z téměř dvou set byly přístupové body zabezpečeny dostatečně, a to technologiemi WPA nebo pomocí autentizace přes Radius server 802.1x,“ pokračoval Pavlas.
Z průzkumu dále vyplývá několik zajímavých faktů:
- více než ¾ access pointů vysílají identifikátor SSID, jehož odhalení může usnadňovat připojení klienta k zařízení
- 30 % access pointů má v identifikátoru SSID název firmy nebo přesný popis umístění, což umožňuje útočníkovi jednoznačně určit majitele sítě a soustředit své síly na její prolomení
- nejvíce jsou mezi access pointy, které využívají firmy v Praze a Brně, zastoupeny zařízení Cisco Systems (s podílem 26 %)
- 53 % access pointů využívá technologii 802.11b, 47 % rychlejší standard 802.11g, který umožňuje teoretickou přenosovou rychlost až 54 Mb/s
To, že měření bylo možné provést mnohdy i desítky metrů od kancelářských budov, lze považovat za další bezpečnostní slabinu. Pokrytí bezdrátovými přístupovými body by se totiž mělo optimalizovat tak, aby signál minimálně vyzařoval z budovy a hackerům se tak nenabízela možnost např. v noci nerušeně provést útok na firemní síť.
„Naším cílem není ukazovat hackerům možnosti útoků, ale varovat firmy, které mohou být kvůli bezdrátovému přístupu těmto útokům vystavené. Věříme, že tento průzkum bude varováním a podnětem k prověření bezpečnostních pravidel v mnoha společnostech v ČR. Majitele některých měřených sítí totiž nelze identifikovat a ani není v našich silách je jednotlivě upozorňovat na bezpečnostní nedostatky,“ poznamenal Pavlas.
Firmy se vybavují firewally proti průniku z internetu, antivirovými programy a přijímají různá další bezpečnostní opatření. Problematika ochrany a správy bezdrátových sítí je ale velmi podceňovaná. Bezdrátové sítě jsou v současnosti jedním z nejkritičtějších míst z hlediska ochrany firemních dat.
Je důležité si uvědomit, že i když není ve firmě nasazen ani jeden bezdrátový přístupový bod, tak většina dnešních notebooků je vybavena bezdrátovými síťovými adaptéry. Ty se také mohou stát cílem útoku hackerů a lze přes ně proniknout k firemním datům.
Testování
Všechna měření byla provedena analyzátorem EtherScope společnosti Fluke Network, který byl osazen standardní síťovou kartou PCMCIA, jeho citlivost tedy byla srovnatelná s běžnými bezdrátovými adaptéry notebooků. Testy byly prováděny z automobilu stojícího na parkovišti v těchto lokalitách:
- Kongresové centrum Praha, Pankrácké náměstí
- Business Centre Hotel Hilton, ulice Pobřežní
- business centrum na Chodově, ulice Roztylská
- ulice Na Pankráci, blízko stanice metra Pankrác
- Český technologický park, Brno, ulice Technická
- M-Palác, Brno, ulice Heršpická
- administrativní komplex, Brno, ulice Šumavská č. 31 až 33
Při měření se pouze zjišťovalo zabezpečení bezdrátového rozhraní. Nebyla tedy prováděna analýza, do jaké části firemní sítě se lze připojit a jaké sdílené prostředky lze neoprávněně využít. Měření společnosti Nextlan rovněž nezjišťovalo, zda jsou uvnitř sítě použity některé další metody zabezpečení, např. filtrování MAC adres nebo VLAN.
Komentář Internet Pro Všechny
Ačkoliv nelze měření považovat za nezávislé, jeho výsledkům lze věřit, neboť odpovídají obdobným měřením v zahraničí. Zajímavý je spíše průměr přes 28 přístupových bodů na jedno kongresové centrum.
Bezdrátové sítě jsou opravdu velmi podceňovanou částí firemní bezpečnosti, přitom každá bezdrátová síť přímo napojená do vnitřní sítě znamená pro firmu de-facto zveřejnění veškerých firemních dat a komunikace.
Nejde ani tak o způsob šifrování a autentizace, žádnému z nich nemůžete stoprocentně důvěřovat a například proti kombinaci s ukradeným notebookem vás neochrání žádný z nich. Nikdy také nevíme, kdy se objeví další „díra“ přímo v používaném hardware a nebo v oněch pokročilých autentizace a šifrovacích mechanismech, jako se tomu stalo u šifrovacího protokolu WEP. Možnosti omezování průniku signálu mimo „vyhrazené“ prostory jsou velmi malé, existují sice speciální „tapety“, metalické barvy i pokovená skla, které takové vyzařování omezují, ne ovšem zcela dokonale, se silnými anténami pak může být útočník i stovky metrů daleko.
Nejhorší vlastností bezdrátových sítí v podnicích bývá hlavně to, že o nich až v 50 % případů IT oddělení ani neví. Velmi často se stává, že chce být některý zaměstnanec více mobilní, nechce se zbytečně poutat ke svému pracovnímu místu a kabelu, a tak prostě koupí přístupový bod za pár stokorun, připojí k ethernetovému kabelu a pracuje bez omezení. Takový zaměstnanec nemá často dostatečné znalosti se zabezpečením a i kdyby měl, tak nedokáže takovou síť dostatečně kontrolovat.
A aby to nebylo málo, může útočník umístit do blízkosti kanceláří tzv. falešný přístupový bod (Rouge AP) a použije-li vhodné nastavení a/nebo bude-li jeho signál silnější, klienti se začnou napojovat přes něj a on tak může odchytit potenciálně tajná data i v jinak perfektně zabezpečené síti.
Řešení proto nespočívá jen v pouhém odstranění přístupových bodů z kanceláří, nebo v nastavení některé pokročilé šifrovací a autentizační metody. Právě kvůli výhodnosti mobility nikdy 100% nepomůže ani zákaz takových sítí, vždy se může najít někdo, kdo takový zákaz poruší. Proto musí být přístup k tomuto problému komplexnější.
Řešení
Předně by firma měla pokrýt své kanceláře WiFi signálem. Zní to možná v souvislosti s předchozími odstavci jako oxymóron, ale jen tak získáte větší jistotu, že nebude nikdo instalovat vlastní zařízení, které nebudete mít pod kontrolou.
Všechny přístupové body by měly být ale umístěny (logicky, nikoliv fyzicky) ve vnější části vaší sítě. Jinými slovy, každý jejich uživatel bude přistupovat do vaší sítě stejně jako kdyby se připojoval přes (také nezabezpečený) Internet. Aby mohli zaměstnanci plnohodnotně pracovat a přitom aby jejich připojení bylo bezpečné, musíte tedy vytvořit privátní virtuální sítě (VPN), kde komunikace probíhá po tzv. virtuálních tunelech a veškerý provoz je šifrovaný.
Zároveň nesmíte zapomínat na lidskou stránku a měli byste tedy udělat velmi striktní a přísná pravidla. Každému, kdo naruší firemní bezpečnost, musí hrozit okamžitý vyhazov (§53) a nutnost náhrady případné škody. Zároveň byste ale měli zaměstnance i proškolit, aby nemohli narušit bezpečnost nevědomky (např. špatným nastavením bezdrátové karty v notebooku) a přitom aby plně využívali nové získané mobility. Důležité je vytvořit přátelské firemní prostředí, aby se žádný zaměstnanec nebál svěřit se svými potřebami IT oddělení a aby mu bylo rychle vyhověno, jinak bude hledat potenciálně nebezpečnou cestu.
Nesmí se ale samozřejmě zapomínat ani na technickou stránku, přístupové body by tedy měly být zabezpečené všemi nejmodernějšími metodami (WPA, Radius, skryté jméno AP …), stejně tak by měla být zabezpečena celá síť pomocí skupinové politiky. Provoz na síti by měl být monitorován a nemělo by být umožněno připojení neznámých zařízení (to se týká i Ethernetu) a stejně tak by se měly prověřovat potenciálně nebezpečné aktivity (neplatné pokusy o přihlášení, stahování větších objemů dat …).
IT zaměstnanci by měli také pravidelně kontrolovat výskyt signálu bezdrátových prvků ve firemních prostorách, na to ale není třeba speciálního hardware, stačí libovolný notebook / PDA s Wi-Fi, nabitými bateriemi a spuštěný software typu NetStumbler.
Diskuze k článku