После публикации нашего отчета об исследовании беспроводных сетей в китайских городах Пекин и Тянцзин в ноябре прошлого года мы получили много откликов, как от рядовых читателей, так и от представителей компаний, занимающихся информационной безопасностью. Было ясно, что тема защищенности беспроводных средств передачи данных является одной из наиболее интересных в настоящее время. Также мы получили приглашения от некоторых наших зарубежных офисов, касающиеся проведения аналогичных тестов в других странах мира.
Объектом очередного исследования стала крупнейшая всемирная IT-выставка CeBIT 2006, проходящая в немецком городе Ганновер. Выбор был не случаен.
Во-первых, известно, что подобные выставки интересуют не только производителей электроники, программного обеспечения и обычных посетителей. Завсегдатаями являются и хакеры, которых привлекает возможность взлома сетей компаний, представленных на выставке. Практически все фирмы, выставляющиеся на выставках, разворачивают там собственные локальные сети, зачастую соединенные с головными серверами фирм в других странах. Локальная сеть устанавливается обычно в режиме пониженной защищенности и в условиях короткого времени, что влечет за собой значительное повышение риска успешной хакерской атаки на данную сеть. Понятно, что одним из основных путей атаки будет являться Wi-Fi-доступ.
Во-вторых, хакеры используют выставки не только для атак на компании. Жертвами могут стать и посетители выставки. Широко известен случай, произошедший в прошлом году в рамках выставки InfoSecurity London, когда группа мошенников установила на выставке несколько фальшивых точек доступа, имитирующих интерфейс входа в общественную сеть. Ничего не подозревавшие пользователи, соединившись с такой точкой, вводили свои пароли и другие конфедициальные данные, которые отправлялись прямо в руки хакеров.
Скорость передачи данных
Исследование проводилось 9-10 марта 2006 года. Место проведения исследования — павильоны CeBIT 2006 (Ганновер). В ходе исследования были собраны данные приблизительно о 300 точках доступа. В рамках исследования не осуществлялось попыток подключения к обнаруженным сетям, а также перехвата и дешифровки трафика в беспроводных сетях.
В ходе исследования было выявлено примерное равенство сетей со скоростью передачи данных 11 Mbps (более 47%) и 54Mbps (более 51%). Также было обнаружено несколько точек доступа, работающих на более редких скоростях (22, 24 и 48 Mbps).
Скорость передачи данных
Скорость передачи данных, в %
Производители оборудования
Всего было обнаружено оборудование 18 наименований. 7 наименований (производителей) являются наиболее распространенными и используются в 28% точек доступа в рамках CeBIT 2006. Еще в 5,5% использовано оборудование 11 производителей.
Производитель | Процент |
Symbol | 16,15% |
Intel | 5,50% |
Linksys | 1,72% |
D-Link | 1,37% |
Netgear | 1,37% |
Cisco | 1,03% |
Proxim (Agere) Orinoco | 1,03% |
Прочие производители | 5,51% |
Unknown, Fake, User Defined | 66,32% |
Наиболее распространенные производители оборудования, в %
Эти данные весьма отличаются от аналогичных по Китаю и Москве. Если в Китае наиболее распространено оборудование Agere и Cisco (Linksys), в Москве — Cisco и D-Link, то на CeBIT2006 лидерами являются Intel (5,5%) и Symbol (16,5%). Такая значительная разница в преобладающем оборудовании в различных странах мира, вероятно, вызвана исключительно позициями компаний-производителей в этих странах. Можно сделать вывод, что при выборе оборудования для создания Wi-Fi-сети ориентируются прежде всего на популярность/известность конкретной марки в данной стране.
К сожалению, в очень значительном числе случаев производитель оборудования установлен не был (Unknown, Fake или User Defined). Этот процент более чем в два раза превышает аналогичный показатель для Китая.
Оборудование с определенным и неопределенным производителем
Вероятней всего это вызвано тем, что было использовано много нового оборудования, которое еще не распознается существующими версиями сканеров Wi-Fi.
Шифрование трафика
Согласно данным исследований, проводимых wardriver’ами в различных городах мира, количество сетей беспроводного доступа, в которых не применяется никаких методов шифрования трафика, составляет около 70%. В нашем исследовании сетей Пекина и Тянцзиня было установлено, что для них этот показатель значительно меньше общемирового уровня — 59%.
Соотношение сетей с шифрованием трафика и без шифрования
Число незащищенных шифрованием сетей составляет менее 56%, что значительно лучше общемировой статистики и показателей китайской столицы в частности. Однако даже если вычесть из числа «открытых» сетей данные публичных точек доступа (которые, несомненно, функционируют на CeBIT 2006 и были нами идентифицированы), все равно общий процент незащищенных точек будет недопустимо высок. Не стоит забывать, что в массе своей все они являются точками доступа в локальные сети компаний, представленных на CeBIT, а значит, одной из главных целей хакеров.
Типы сетей доступа
Подавляющее число беспроводных сетей в мире (около 90%) построено на основе точек доступа (ESS/AP). Как мы уже заметили, CeBIT значительно отличается по инфраструктуре сетей от обычных мест. Это отразилось и в данном статистическом показателе.
Оказалось, что число соединений типа «компьютер-компьютер» (IBSS/Peer) превышает 40%! Очевидно, что это обусловлено именно тем, что они функционируют в рамках выставки (временного места) и требуется много соединений разных компьютеров друг с другом, без прокладки сетевых кабелей. Фактически все подобные точки можно считать 100% внутрикорпоративными.
Типы сетей доступа
Настройки по умолчанию
Одним из наиболее действенных способов защиты от wardriving является отключение широковещательной рассылки идентификатора сети (SSID). В ходе исследования было установлено, что подобную методику используют почти в 8% точек доступа на CeBIT2006. Из них в 89% использовалось и WEP-шифрование. Несомненно, именно эти точки доступа являются наиболее защищенными от атак злоумышленников.
Показатели SSID Broadcast и Default SSID
Другой интересный показатель — default SSID. Как правило, он свидетельствует о том, что администратор точки доступа не изменил имя маршрутизатора. Это может также являться косвенным показателем того, что и аккаунт администратора имеет пароль по умолчанию. Тут ситуация выглядит великолепно. Только 2 точки из почти 300 имели default SSID.
Исследование Wi-Fi-сетей на CeBIT 2006