Исследование сетей Wi-Fi на InfoSecurity Europe 2006

Постоянные читатели аналитических статей на Viruslist.com уже, наверное, заметили, что «Лаборатория Касперского» особое внимание уделяет проблемам беспроводных сетей и протоколов передачи данных. Не только интернет превращается из сети компьютеров в сеть самых разнообразных устройств — мир вокруг нас становится все более мобильным и все активнее пользуется разнообразными средствами коммуникации. Как правило, коммуникация осуществляется именно при помощи беспроводных сетей. Это явление сравнительно новое и поэтому вызывает повышенный интерес как у хакеров, так и у компаний, занимающихся информационной безопасностью. Ситуация осложняется тем, что, как и все новое, беспроводные сети и протоколы еще не избавились от целого ряда «детских болезней» и могут быть весьма опасны при использовании недостаточно подготовленными пользователями.

Мы проводим регулярные исследования в этой области, чтобы получить представление о реальном положении дел и, по мере возможностей, заострить ваше внимание на существующих проблемах. Основными объектами нашего внимания являются точки доступа Wi-Fi и мобильные устройства с поддержкой протокола Bluetooth.

В рамках наших исследований уже были опубликованы заметки о состоянии беспроводных сетей в китайских городах Пекине и Тянцзине, о сетях, работавших в ходе выставки CeBIT 2006, статьи о вирусах для мобильных телефонов и проблемах протокола Bluetooth.

Очередным местом проведения наших тестов стала столица Великобритании в целом и состоявшаяся там в конце апреля выставка InfoSecurity 2006 — в частности. Широко известен инцидент, произошедший в прошлом году на InfoSecurity London, когда группа мошенников установила на выставке несколько фальшивых точек доступа, имитирующих интерфейс входа в общественную сеть. Ничего не подозревавшие пользователи, соединившись с такой точкой, вводили свои пароли и другие конфиденциальные данные, которые отправлялись прямо в руки хакеров.

Кроме InfoSecurity нас интересовало состояние защищенности WiFi-сетей в деловых районах Лондона, а также статистика о Bluetooth-устройствах на выставке, в лондонском метро и просто на улицах города. Возможно, нам удалось бы лично поймать одного из мобильных червей — Cabir или Comwar, — которые согласно информации F-Secure были зафиксированы в Великобритании. Более подробно мы расскажем об этом в статье о Bluetooth, которая будет опубликована в ближайшее время.

Исследование проводилось 25-28 апреля 2006. Место проведения — Grand Hall (InfoSecurity 2006), деловой район Canary Wharf, различные локации в Лондоне. В ходе исследования были собраны данные более чем о 600 точках доступа. В рамках исследования не осуществлялось попыток перехвата и дешифровки трафика в беспроводных сетях.

Статистическое распределение обнаруженных Wi-Fi-точек следующее:

• InfoSecurity — более 200
• Canary Wharf — более 260
• Отдельные локации Лондона — около 150

Скорость передачи данных

Как видно из графиков, данные, собранные в трех разных точках, практически идентичны. Сети со скоростью передачи данных 54МБ представлены наиболее широко и их количество колеблется от 64% (Инфосек) до более 70% (Лондон) от общего числа, что дает среднее значение почти 68%. На CeBIT доля подобных сетей была всего лишь чуть более половины (51%), а в Китае всего 36%. Это свидетельствует о том, что в Великобритании используется гораздо больше оборудования с более новыми версиями протокола 802.11.

Второе место по распространенности удерживают сети со скоростью передачи в 11МБ. Они расположены в диапазоне от 23% до 33%, со среднелондонским показателем 28,5%. В Китае их показатель был более 58%, а на CeBIT — 47%.

Количество сетей со скоростью передачи данных 22-48МБ нигде не превысило показателя 6%, что совпадает с данными из Китая и Германии.

Таким образом можно отметить значительно более развитый уровень беспроводных сетей в Лондоне.

Производители оборудования

Статистика по производителям оборудования весьма значительно отличается во всех трех локациях, поэтому мы приведем данные по каждой из них отдельно.

Всего было обнаружено оборудование 33 уникальных наименований.

На InfoSecurity было обнаружено оборудование 18 наименований. Оборудование четырех производителей является самым распространенным и было использовано в более чем 25% сетей в ходе работы выставки.

Оборудование прочих 14 производителей было использовано менее чем в 10% сетей.

Как видно, более чем в 64% производитель оборудования установлен не был (Fake, unknown, User-defined). Этот показатель весьма близок к аналогичном данным по неопределенному оборудованию на CeBIT (66%) и значительно отличается от китайского (39%).

В районе Canary Wharf было обнаружено оборудование 16 наименований, из которых пять являются наиболее распространенными и используемыми в 24% сетей.

Оборудование прочих 11 производителей было использовано менее чем в 10% сетей.

В 66% производитель оборудования установлен не был (Fake, unknown, User-defined), что примерно равно данным по сетям на InfoSecurity.

Данные по произвольно выбранным районам Лондона выявили самое большое разнообразие в используемом оборудовании относительно небольшого числа WiFi точек. Всего 21 наименование, из которых особо выделяются три производителя — более 30% сетей работают именно на их оборудовании:

Прочие 18 наименований использованы в 22% сетей. Здесь же отмечен наименьший процент не определенного оборудования — меньше 48%.

Как видно, в каждой локации состав лидеров-производителей весьма значительно разнится. Лидерство Aruba на InfoSec и значительное количество CyberTAN в других местах — наиболее заметное отличие английской статистики от китайской и немецкой. Там подобные производители не были обнаружены вовсе.

Суммарная статистика пятерки производителей по всем трем локациям выглядит следующим образом:

Общелондонский показатель не определенного оборудования составляет — 61,46%.

Шифрование трафика

Наверное, самым важным и интересным показателем, касающимся беспроводных сетей, является соотношение защищенных и незащищенных точек доступа. Согласно данным исследований, проводимых wardriver’ами в различных городах мира, количество сетей беспроводного доступа, в которых не применяется никаких методов шифрования трафика, составляет около 70%. Для Пекина нами был получен показатель менее 60%, на CeBIT 2006 он равнялся 55%. Исследование в Лондоне должно было ответить на вопрос: верно ли утверждение о среднемировом показателе 70% и действительно ли в рамках крупных компьютерных выставок соотношение защищенных и незащищенных сетей примерно равно?

Шифрование трафика (по районам)

Посмотрим сначала на данные сетей, работавших в ходе выставки. 62% — это недопустимо высокий показатель. В массе своей все они являлись точками доступа к оборудованию и компьютерам компаний, представленных на выставке, а значит, одной из главных целей хакеров. Этот показатель даже выше, чем на CeBIT, а ведь InfoSecurity более специализированная выставка, на которой представлены компании, занимающиеся именно информационной безопасностью, и от них хотелось ожидать более серьезного отношения к собственным точкам доступа.

Признаться, после получения таких данных с выставки я с повышенным интересом проводил исследование в новом деловом районе Лондона — Canary Wharf. Расположенный на севере Собачьего острова, к востоку от центра Лондона, он представляет собой англомерат из множества небоскребов во главе с самым высоким зданием Великобритании — 238-метровым Canada House. В этом районе расположены офисы множества всемирных банков (HSBC, Citibank и прочих), страховые компании, новостные агентства и т.д. Именно такие организации могут стать одной из главных мишеней хакеров и жертвами похитителей коммерческой информации. Наличие у них точек для беспроводного доступа представлялось очевидным, вопрос состоял лишь в том, насколько они защищены.

Полученные данные просто потрясающе как хороши: только 40% точек не используют шифрования данных. Это самый низкий показатель за всю историю наших исследований. Если учесть, что из этих 40% некоторое число принадлежит публичным точкам доступа в интернет в торговых центрах, расположенных под Canary Wharf, то общий уровень защищенности в данном квартале можно считать практически эталонным. Действительно видно, что компании заботятся о своей безопасности и осознают проблемы, которые несет использование Wi-Fi в собственной сетевой инфраструктуре. Можно добавить еще и то, что практически каждый дюйм улиц и скверов Canary Wharf находится под неусыпным контролем видеокамер наблюдения, так что действия wardriver’а моментально привлекут внимание служб безопасности банков, а периодически раздающийся вой полицейских сирен может добавить ему несколько седых волос на голове.

Впрочем, незащищенные сети есть и там, и я своими глазами видел, стоя в 20 метрах от здания очень известного крупного банка очень сильный и уверенный сигнал незащищенной Wi-Fi-точки, явно исходивший от него.

К сожалению, мы не успели провести аналогичное сравнительное исследование в старом деловом лондонском районе — City. Было б хорошо установить, является ли повышенный уровень защищенности сетей в Canary Wharf локальным и уникальным явлением для Лондона или же это общая практика деловых кварталов. Но рано или поздно мы обязательно это установим.

Уровень использования WEP/WPA в Canary Wharf оказался не единственным лондонским сюрпризом. 62% незащищенных сетей на выставке, всего 40% в деловом районе — каков же процент для обычных лондонских районов? Результаты не менее впечатляющие: всего 49% лондонских сетей не используют шифрование! Этот показатель значительно меньше «общемирового уровня» в 70%, ниже московского в 68-69%, ниже пекинского в 59%. Возможно, причиной этого действительно является более развитый уровень беспроводных сетей в Лондоне, что было уже отмечено в использовании более новых протоколов и скоростей передачи данных. Несомненно, английских пользователей отличает более высокий уровень компьютерной грамотности и информированности о проблемах защиты Wi-Fi. Это очень приятный факт.

Неприятным фактом является то, что вновь, как и на CeBIT2006, самыми незащищенными стали точки доступа, работавшие в рамках выставки. Действительно, подобные точки устанавливаются обычно в режиме пониженной защищенности и в условиях короткого времени, однако именно они представляют особый интерес для хакеров, посещающих подобные выставки с целью кражи информации.

Шифрование трафика (общий показатель)

Даже ужасающие данные по InfoSecurity London не смогли испортить общелондонский показатель использующих WEPWPA сетей — более 50%.

Таким образом Лондон получает нашу неофициальную пальму первенства, как город с самыми защищенными Wi-Fi, обойдя Москву и Пекин и установив новую планку качества.

Типы сетей доступа

Беспроводные сети могут быть организованы либо в виде точек доступа ESS/AP, либо в виде соединений типа «компьютер-компьютер» Peer/AdHoc.

Известно, что около 90% WiFi сетей в мире — это именно ESS/AP. Для Китая соотношение составляло 89 к 11, на CeBIT 2006 оно было 58 к 42. Большое количество (42%) Peer-сетей объясняется тем, что они функционируют в рамках выставки (временного места) и требуется много соединений разных компьютеров друг с другом, без прокладки сетевых кабелей.

Соотношение типов сетей доступа

Данные показывают, что на выставках CeBIT/InfoSecurity соотношение AP и Peer примерно одинаковое и подобные сети используются исключительно для связи между устройствами. Цифры по Canary Wharf также укладываются в общемировое соотношение 90 к 10. Результаты по Лондону хоть и отличаются, однако в меньшую сторону (95 к 5).

Настройки по умолчанию

Сети с настройками по умолчанию являются самым лакомым куском для беспроводных хакеров. Default SSID, как правило, означает, что администратор точки доступа не изменил имя маршрутизатора. Это может также являться косвенным показателем того, что и аккаунт администратора имеет пароль по умолчанию. Интернет полон информации о том, какие пароли по умолчанию используются в том или ином сетевом оборудовании и, обладая данными о производителе (см.выше), хакер может установить полный контроль над такой сетью. Для Пекина этот показатель составлял более 8% — это весьма много. На CeBIT 2006 ситуация была лучше — только две точки более чем из 300 имели default SSID.

Одним из наиболее действенных способов защиты от wardriving является отключение широковещательной рассылки идентификатора сети (SSID).

Рассмотрим обнаруженные сети на наличие/отсутствие default SSID и SSID broadcast.

InfoSecurity London не сильно выбился из показателей для выставок. Здесь было обнаружено всего три точки с default SSID, что составляет менее 1,5% от общего числа.

SSID broadcast был отключен почти в 13% сетей, что значительно лучше 8% показателя для CeBIT 2006.

InfoSecurity 2006

Интересно, что в «защищенном» Canary Wharf тоже нашлись сети с настройками по умолчанию. Не так много, как в Пекине, однако больше, чем на «незащищенной» InfoSecurity — больше 3%. А вот отключение рассылки идентификатора сети администраторами компаний в Canary Wharf применяется активней, чем где бы то ни было: такой способ был использован более чем в 30% сетей, что тоже является своеобразным рекордом.

Canary Wharf

Учитывая то, что мы уже знаем про высокий уровень развития беспроводных сетей в Лондоне, показатели для различных районов выглядят вполне ожидаемыми. Даже несмотря на то что Default SSID встретился в 3,68%, что больше чем в Canary Wharf (это ожидаемо), он оказался куда ниже китайских 8%. И даже еще более частое выключение SSID Broadcast (более чем в 32% сетей) тоже укладывается в уже сформировавшееся у нас представление о лондонском Wi-Fi.

Различные районы Лондона

Состав сетей

Раньше мы не публиковали подобные показатели, а в этот раз подумали: почему бы и нет, может, это будет интересно? Здесь мы приведем статистику того, сколько точек доступа входит в состав найденных сетей. Понятно, что в сети может быть от одной до множества точек подключения. Какие же сети наиболее распространены?

Итак, в ходе InfoSecurity функционировало 86 различных сетей, состоявших более чем из 200 точек.

InfoSecurity

Видно, что подавляющее большинство сетей (более 70%) представляют собой одну-единственную точку. Странно, что сетей из 4 точек оказалось меньше, чем из 2-3 и даже 7.

С другой стороны, были обнаружены такие монстры, как сети, состоявшие из 13 и 14 точек (две сети). Впрочем, сетей из 9-12 точек вовсе не было обнаружено. Ряд точек не вошел в статистику по причине отсутствия SSID broadcast (см. выше) в сетях, к которым они принадлежали.

На Canary Wharf сетей из одной точки оказалось куда больше — более 82%. Сети из 2-3 точек имели сравнимые с InfoSecurity показатели, а вот на четвертом месте неожиданно оказались сети из 9 точек! Что касается рекордов, то были обнаружены 18 и 22 точки, входящие в состав двух сетей. Всего было найдено 103 сети (не считая точек, для которых SSID сети определен не был).

Canary Wharf

А вот для различных районов Лондона цифра сетей, состоящих из одной точки, похожа на данные выставки, из двух точек значительно меньше, а их трех даже уступает сетям из 4 точек. Здесь сетей-рекордсменов не зафиксировано. Максимальное число точек, принадлежавших одной сети, составляет шесть. Всего было найдено 67 сетей (не считая точек, для которых SSID сети определен не был).

Различные районы Лондона

Подводя итоги нашего лондонского wardriving, необходимо еще раз отметить следующее:

• преобладание сетей со скоростью передачи данных 54МБ;
• очевидно традиционный для выставок пониженный уровень безопасности развернутых там сетей и равное количество сетей типа AP и Peer;
• значительно более высокий уровень использования шифрования в городских сетях по сравнению с другими городами мира.

«Доступ в интернет должен быть бесплатным, для всех и везде!» — возможно, многие системные администраторы продолжают руководствоваться этим благородным лозунгом, но мне кажется, что ситуации, когда посетители и сотрудники компаний на InfoSecurity London все три дня выставки с нескрываемым интересом «наблюдали» за функционированием некоей точки с именем default возникают по причине слабых знаний о безопасности у владельцев данной точки Wi-Fi.