Публикации

Лето — время беспроводной связи

Введение

Вот наконец-то и отпуск! Вы уже упаковали все, что вам может понадобиться и, конечно, не забыли ноутбук. В конце концов, компьютер — вещь совершенно необходимая в хозяйстве, он дает возможность систематизировать и архивировать ваши фотографии, проверять личную (и рабочую!) почту. Этот отель предлагает беспроводной доступ в интернет, что и стало одним из решающих факторов при его выборе — ведь каждый знает, как важно быть всегда в курсе событий.

Итак, вы располагаетесь в гостиничном номере, открываете свой ноутбук, активируете карту WLAN и ищете сеть отеля, через которую собираетесь выходить в интернет. Вы находитесь в зоне покрытия нескольких точек доступа, и вы выбираете ту, идентификатор сети (SSID, Service Set Identifier) которой содержит название вашего отеля. Наконец, соединение установлено, и первая страница, которую вы видите, — это, как обычно, регистрационная страница отеля, на которой вам предлагается выбрать способ оплаты. И, как обычно, цена непомерно высока — 20 евро в сутки! Столько вы заплатите дома за целый месяц пользования высокоскоростной абонентской цифровой линией (DSL)! Но в гостинице у вас просто нет выбора… Или есть? Среди возможных точек доступа есть предложение, которое кажется весьма заманчивым — высокие скорости, дополнительные меры безопасности, и всё это по нереально низкой цене — всего 6 евро в день. Не желая тратить лишние деньги, вы соединяетесь с «бюджетным» провайдером, выбираете оплату кредитной картой и, довольные выгодной сделкой, вводите реквизиты кредитной карты.

И вот вы уже можете связаться со всем миром с помощью интернета. Сначала вы проверяете свою почту, потом решаете сравнить цены на цифровой фотоаппарат, который привлек ваше внимание в магазине сегодня утром. Как обычно, вы сравниваете местные цены с интернет-предложениями, приходите к выводу, что в Сети дешевле, и решаете заказать этот фотоаппарат, чтобы быть уверенным, что к следующему отпуску у вас будет всё необходимое. Вы вновь оплачиваете покупку кредитной картой — ведь это так удобно!

Описанная выше сцена типична, и большинство людей в той или иной степени сталкивались с подобными ситуациями. Возможно, один-два человека и задумаются о том, безопасно ли использовать неизвестную точку доступа, но большинство не станут вникать в подробности. В конце концов, что может случиться?

На первый взгляд ничего, но на самом деле подводные камни существуют, и далее мы поговорим о них подробнее.

Подводные камни

Ситуация, описанная в примере, имеет свое название — атака «man-in-the-middle» (буквально «человек посередине»). Кто-то в отеле создал простую страницу регистрации или скопировал страницу отеля для того, чтобы у пользователя не возникало сомнений в том, что он находится на официальной странице входа в систему Wi-Fi. (Каких-то специальных знаний для этого не требуется. Среди возможных вариантов — эмуляция точки доступа с помощью обыкновенного Wi-Fi-маршрутизатора с модифицированной прошивкой или использование ноутбука с активированным Wi-Fi адаптером для создания ad-hoc-сети.) За фасадом страницы регистрации в Wi-Fi-сети стоит уже установленное интернет-соединение, специально созданное, чтобы убедить пользователя, будто процесс регистрации происходит без проблем.

Все данные, вводимые пользователем, попадают в руки киберпреступников, организовавших атаку. Одна из целей подобных атак — получить доступ к реквизитам кредитных карт. Еще одна цель — собрать дополнительную информацию об учетных записях пользователей в системе электронной почты, интернет-магазинах и финансовых учреждениях.


Рис.1: Регистрационная страница отеля, предоставляющая доступ
в Wi-Fi-сеть после предварительной оплаты

Теперь киберпреступникам остается только ждать: даже если хотя бы одна жертва попадется на крючок, их усилия будут вознаграждены. А что же жертва? Wi-Fi соединение, предоставляемое отелем по несколько более высоким ценам, обошлось бы дешевле… Однако даже легитимные сети нельзя считать полностью безопасными.

Поскольку данные передаются через не имеющую пространственных ограничений среду, они могут быть легко перехвачены. При этом пакеты данных выуживаются с помощью специальных программ прямо «из воздуха», и — при условии, что эти пакеты не зашифрованы — из них сразу же без труда извлекаются данные. Расстояние, на котором возможен перехват пакетов, зависит как от силы сигнала, генерируемого точкой доступа, так и от используемого стандарта Wi-Fi. Как правило,Wi-Fi-маршрутизаторы, использующие стандарт 802.11b, имеют зону покрытия почти 100 метров, при этом сигнал расходится кругами от передающего устройства. Стены и другие препятствия уменьшают радиус распространения сигнала, но зона покрытия не ограничивается стенами здания, в котором находится маршрутизатор. Это значит, что информацию можно перехватывать и вне помещения, например, на улице.

Однако расстояние, о котором шла речь выше, — это радиус действия встроенных антенн сетевых адаптеров. Специальные внешние антенны (продаваемые отдельно) способны принимать даже очень слабый сигнал, что существенно расширяет радиус приема, а СВЧ-антенны могут увеличивать дальность передачи во много раз. На многих сайтах в интернете можно найти инструкции, позволяющие самостоятельно изготовить подобные антенны, причем для этого нужны лишь легкодоступные материалы и очень небольшие усилия.

Многие программные анализаторы сетевых пакетов (снифферы) имеют также функции дешифровки информации, зашифрованной с помощью SSL. Это значит, что нельзя гарантировать безопасность даже так называемых безопасных соединений с регистрационными страницами. В зависимости от степени шифрования трафика киберпреступникам может потребоваться больше или меньше усилий на его расшифровку — усилий, которые они прилагают, пока успокоенные ложным чувством безопасности жертвы производят банковские операции онлайн или проверяют свою почту.

Последствия

Последствия для жертвы атаки типа man-in-the-middle зависят от тех действий, которые пользователь производил во время сессии.

В приведенном выше примере прежде всего перехватывается информация, вводимая пользователем для входа в электронную почту. Это дает возможность злоумышленникам использовать учетную запись пользователя для рассылки спама. Имея в своем распоряжении данные, позволяющие получить доступ в электронную почту пользователя, атакующий также может воспользоваться и другой конфиденциальной информацией, содержащейся в письмах. Например, когда пользователи регистрируются в интернет-магазинах, на сайтах социальных сетей или на онлайн-форумах, им, как правило, присылают сообщения с регистрационными данными. Если электронный адрес является корпоративным, то потенциальный ущерб возрастает во много раз. Потери от кражи финансовой информации бывает не просто трудно подсчитать, в некоторых случаях уходят годы на то, чтобы полностью оценить весь причиненный ущерб. Если в результате атаки была украдена и предана огласке конфиденциальная информация (отчеты компании, техническая документация, клиентская база), репутации компании может быть нанесен сокрушительный удар — потеря доверия со стороны клиентов и партнеров, резкое сокращение сбыта продукции компании и даже крах бизнеса. Следовательно, нужно соблюдать особую осторожность всякий раз, когда вы пользуетесь адресом рабочей электронной почты.

Если в чужие руки попадает информация по кредитным картам, последствия могут оказаться весьма серьезными. Реквизиты этих карт злоумышленники используют для оплаты товаров и услуг по всему миру, естественно, за счет жертвы. Это продолжается до тех пор, пока пострадавший не обнаруживает пропажу денег со счета, что, как правило, происходит лишь в конце месяца, когда он получает выписку по счету. Обычно компания-эмитент кредитных карт возвращает жертве деньги, если доказано, что 1) держатель карты не сам производил покупки и 2) держатель карты не допускал халатности в отношении информации о своей кредитной карте. Если с первым пунктом можно разобраться достаточно легко, то доказать второе, как правило, гораздо труднее, причем каждая компания-эмитент кредитных карт имеет свою политику рассмотрения подобных ситуаций. Но даже если вы в конце концов и вернете свои деньги, на это уйдет много сил и времени. С другой стороны, сознательное или несознательное осуществление платежей через небезопасные беспроводные (WLAN) соединения может, естественно, рассматриваться как халатность или беспечность. В таких случаях жертве все же придется самой нести расходы, и это, как правило, недешевый урок.


Рис. 2: Страницы регистрации

Безопасность большинства интернет-сайтов, имеющих страницы регистрации, обеспечивается с помощью SSL (Secure Socket Layer). И хотя у киберпреступников есть множество инструментов для взлома этого типа шифрования и получения доступа к передаваемым данным, все же часть регистрационных данных остается скрытой. Однако существуют и другие способы получения этих данных. Еще до того как логин и пароль будут переданы в интернет, их можно перехватить на компьютере пользователя с помощью шпионских программ или простого клавиатурного шпиона. Когда пользователь регистрируется на фальшивом сайте точки доступа, злоумышленникам не составляет труда заразить его компьютер вредоносными программами с помощью метода drive-by загрузки, например поместив JavaScript, iFrame или эксплойт для браузера в исходный HTML-код инфицированной страницы. Затем с их помощью вредоносный код загружается прямо на компьютер жертвы. Заражение машины вредоносным ПО гарантирует, что она останется открытой для дальнейших вторжений киберпреступников, и ущерб, который может нанести эта программа, ограничивается лишь рамками воображения вирусописателя.

Все может произойти в считанные секунды, при этом пользователь даже не заподозрит, что происходит что-то не то. В этом состоит отличие современных вредоносных программ и сетевых атак от более ранних, которые проводились с целью произвести максимальные разрушения. Тогда нередко можно было заметить, что с компьютером происходит что-то странное, однако эти времена уже давно в прошлом. Сегодняшние киберпреступники стараются действовать как можно более скрытно, чтобы иметь возможность похищать больше конфиденциальной информации в течение длительного времени.

У пользователей всегда есть возможность защититься от подобного рода атак. Для начала рассмотрим некоторые настройки операционной системы и шифрования данных, — подход, который способен устранить потенциально слабые места в сетях общего пользования.

Шифрование трафика

Наиболее эффективный способ шифрования трафика — использование виртуальных частных сетей VPN (Virtual Private Network). Для этого организуется так называемый VPN-тоннель между ноутбуком (клиентским компьютером) и точкой назначения, или сервером. Весь трафик, циркулирующий между этими двумя точками, шифруется, а это значит, что промежуточные устройства, обрабатывающие и пересылающие трафик, не имеют доступа к его содержанию. Более того, через VPN-тоннель проходит весь трафик, обходя таким образом любые блокировки портов, установленные провайдером точки доступа. Порт 80, используемый для НТТР-запросов, как правило, не блокируется, тогда как другие сервисы, например, интернет-пейджеры и электронная почта, пересылаемая по протоколам POP3 и IMAP, блокируются.

VPN-сервер, с которым соединяется клиентский компьютер, должен быть доверенным компьютером, работающим в безопасной среде. Этот сервер выполняет для клиентской машины функцию «руки-манипулятора», отправляя запросы на серверы в интернете и передавая пользователю искомые данные в зашифрованном виде. Подключение удаленного пользователя к VPN-серверу производится классическим способом — введением имени пользователя и пароля.

Этот тип VPN-сервера можно настраивать по-разному, и любой пользователь, обладающий некоторым багажом специальных знаний, может произвести эти настройки. Есть три варианта размещения компьютера, который будет функционировать как платформа:

Сервер может быть взят в аренду у информационного центра, причем это может быть как физический, так и виртуальный сервер. Такая возможность особенно привлекательна для людей, уже пользующихся подобным компьютером, например, для размещения собственного почтового или веб-сервера. Чтобы иметь возможность соединяться с сервером в любое время, необходим также статический IP-адрес (в случае если используется динамический IP-адрес, необходимо прибегнуть к помощи сервиса DynDNS). Виртуальные серверы — особенно привлекательный вариант, поскольку цены на них начинаются от 10 евро в месяц, а для обслуживания VPN-сервиса требуется минимум ресурсов. Важно только иметь в виду неизбежный рост трафика, связанный с тем, что при использовании VPN-сервера весь трафик маршрутизируется через него.

Второй вариант — использование домашнего компьютера. Если у вас дома широкополосное подключение к интернету, например, DSL, с фиксированной абонентской платой, вы можете добавить внешний компьютер как часть домашней сети. У этого варианта есть то дополнительное преимущество, что он обеспечивает вам доступ к своим личным данным в любое время при условии, что у вас есть подходящий для этого инструментарий — всегда включенный компьютер с папками, открытыми для коллективного доступа, или сетевой накопитель (Network Attached Storage device — NAS).

VPN-каналы часто обеспечиваются работодателями, особенно теми, что позволяют персоналу работать удаленно или чьи работники проводят значительную часть времени на территории клиентов. В подобных случаях VPN позволяет сотрудникам выполнять связанные с работой задачи, например, проверять почту на корпоративном почтовом сервере или работать с сетевыми дисками или корпоративным интранетом, находясь за пределами корпоративной сети. Возможности использования сервиса для не связанных с работой целей зависят от конкретной компании — пользователям необходимо свериться с условиями обслуживания или задать вопрос администратору сервиса.

И последний вариант — по порядку, но не по значению. Некоторые сервис-провайдеры предлагают VPN-сервисы для путешественников. Эти компании предоставляют серверы, с помощью которых можно организовывать безопасные VPN-соединения. Цены начинаются с 10 евро в месяц. Как правило, имеется несколько тарифных планов, позволяющих пользователям выбирать условия, максимально отвечающие их потребностям. В этом случае также необходимо принимать во внимания условия предоставления сервиса каждым провайдером.

VPN-соединение действительно снижает скорость передачи данных, однако с появлением стандарта беспроводной связи, известного как Draft N (теоретически позволяющего достигать скорости передачи данных при соединениях Wi-Fi до 300 Mбит/с), эта проблема теряет свою актуальность, особенно в случаях, когда не предполагается обмен большими объемами информации.

Существует и альтернативный вариант, дающий пользователю больше свободы — UMTS (технология сотовой связи третьего поколения). Он позволяет выходить в интернет в любое время без использования технологии Wi-Fi при условии нахождения в зоне распространения сигнала. При этом зона покрытия довольно велика (от 60 до 90% территории европейских государств, в зависимости от страны и города). В этом состоит коренное отличие данной технологии от Wi-Fi с ее точками доступа, которые, хоть и многочисленны, но, как правило, имеют небольшой радиус действия. Технология UMTS уже доступна по относительно невысоким ценам, которые варьируются от 5 евро (при этом трафик оплачивается отдельно по тарифам, устанавливаемым провайдером) до 30 евро в месяц за неограниченный доступ. Это более чем конкурентоспособные цены, особенно если сравнивать их часто с запредельной платой за Wi-Fi доступ в гостиницах. Еще одно преимущество состоит в том, что структура цен с самого начала прозрачна для пользователей: прибыв на отдых, вы не будете неприятно удивлены уровнем тарифов за пользование интернетом.

Несмотря на то что сети UMTS из соображений совместимости построены на стандарте GSM второго поколения, стандарты третьего поколения также поддерживаются. Этот последний стандарт предпочтителен с точки зрения безопасности, поскольку системы третьего поколения используют оптимизированные алгоритмы аутентификации пользователей и сетей. Скорость передачи данных, которая в теории может достигать 14,6 Мбит/с при использовании технологий HSDPA и HSUPA, также более чем достаточна для большинства задач.

Таким образом, UMTS, вероятно, окажется востребованной альтернативой Wi-Fi, особенно для тех, кто часто путешествует, поскольку базовые тарифы рассчитываются за месяц, а не за более короткие промежутки времени.

Основные меры предосторожности

Помимо шифрования данных (в основном из соображений безопасности) существуют и другие факторы, которые стоит принимать в расчет при конфигурации вашего компьютера.

Чтобы сделать обмен данными между компьютерами более удобным, папки и файлы можно конфигурировать как совместно используемые в рамках сети. Иными словами, к этим объектам возможен доступ внутри сети независимо от того, беспроводная это сеть или проводная. В зависимости от настройки совместно используемых объектов, пользователи сети получают к ним доступ напрямую (в соответствии с разрешениями на чтение/запись) или путем авторизации с введением имени пользователя и пароля. Поэтому после того, как вы подготовитесь к отпуску, закачав в свой ноутбук музыку, фильмы, клипы, а также внутренние документы компании, над которыми вы, возможно, захотите поработать, очень важно отключить функцию коллективного доступа. Вряд ли вы готовы позволить всем соседям по сети просматривать ваши файлы. Многие точки доступа применяют технологии, позволяющие скрыть каждый компьютер от других машин в сети, но напрямую проверить наличие этой функции невозможно.

Хотя деактивация функции коллективного доступа значительно повышает уровень безопасности, по-прежнему остается риск прямой хакерской атаки, обеспечивающей злоумышленникам доступ ко всем данным на вашем компьютере. Это опасно в любом случае, но если речь идет о конфиденциальных данных, то степень опасности еще больше возрастает. Для того чтобы надежнее защитить подобного рода информацию, ее резервную копию следует создавать в зашифрованном виде на других носителях. Существуют даже программы, специально разработанные для этих целей и бесплатно распространяемые по лицензии GPL (General Public License). Их можно использовать для создания зашифрованных контейнерных файлов, которые открываются только с помощью пароля. Шифрование, применяемое для создания этих контейнеров, очень сильное — даже суперкомпьютеру потребовались бы годы для их взлома методом подбора пароля. Необходимым условием надежной защиты является надежный пароль, который должен состоять более чем из восьми символов, содержать буквы верхнего и нижнего регистра, цифры и специальные символы. Необходимо также соблюдать известные принципы: подобные защищённые контейнеры следует открывать только по необходимости и затем сразу же закрывать. В конце концов, даже самый надежный сейф бесполезен, если оставить его открытым. Кроме повышения степени защищенности Wi-Fi сетей, принятие таких мер предосторожности обеспечивают еще одно существенное преимущество — если вы потеряете свой ноутбук, конфиденциальная информация останется конфиденциальной.

Также очень важно установить на ваш компьютер эффективную систему защиты от интернет-угроз. Это должно быть комплексное решение, в котором помимо базового функционала (защита от вредоносного ПО) реализованы модули защиты сети, а именно сетевой экран и модуль фильтрации активности приложений, использующий систему HIPS (Host Intrusion Prevention System). Ведь что толку от самого безопасного сетевого соединения, если сама система взломана? Программа производит комплексный анализ неизвестных приложений, выполняемых на компьютере, и присваивает им рейтинг безопасности. Этот рейтинг служит основой для присвоения каждой программе прав доступа к ресурсам. Если приложение классифицируется как подозрительное, оно не получит доступа (или получит ограниченный доступ) к важным ресурсам — таким как операционная система, сеть, конфиденциальная информация, системные привилегии или определенные устройства. Это ограничивает возможности заражения компьютера вредоносным кодом.

Многих это раздражает — каждые несколько дней одна из установленных программ или сама операционная система объявляет о том, что имеются обновления. Установка этих обновлений непременно потребует времени и как раз именно тогда, когда вы захотите ознакомиться с последними мировыми новостями. Одна из причин, по которым пользователи не хотят устанавливать обновления, состоит в том, что изменения, вносимые в систему этими обновлениями, редко бывают очевидны. Однако обновления создаются для того, чтобы закрыть уязвимости в программном обеспечении и таким образом повысить защищенность компьютера от атак. Следовательно, очень важно быть терпеливыми и всегда устанавливать эти обновления — исключительно для вашей собственной безопасности.

И последнее — по порядку, но не по значимости. Чтобы повысить уровень безопасности, не достаточно технологии — пользователям всегда следует вести себя осмотрительно. Применительно к описываемой в настоящей статье ситуации, это означает, что необходимо оценивать, насколько можно доверять Wi-Fi сети, с которой вы соединяетесь. Это не всегда просто. Как правило, к незнакомым сетям следует относиться со здоровым скептицизмом — просто потому, что у вас практически нет возможности влиять на то, как передаются ваши данные и кому будет предоставлен к ним доступ. Из этого следует сделать вывод, что можно делать, а чего делать не стоит. Иногда имеет смысл просто потерпеть и дождаться возможности доступа к сети, заслуживающей большего доверия.

Заключение

Бизнес по организации точек беспроводного доступа в интернет процветает. По прогнозам, в 2009 году объем продаж по всему миру должен вырасти до 3,46 миллиардов долларов по сравнению с 969 миллионами долларов в 2005 году. Этот впечатляющий рост связан прежде всего с увеличением числа точек доступа. В 2005 году их было 100 000, а в 2009 — почти в 2 раза больше, причем наибольший рост отмечается в индустрии общественного питания. Лидируют крупные сети быстрого питания с масштабными проектами размещения точек доступа, но кафе и рестораны тоже не остаются в стороне (www.itfacts.biz/revenue-from-wireless-hotspots-to-reach-969-bln-in-2005-346-bln-in-2009/4941). При этом пользователи позитивно относятся к этой тенденции: в США 25% взрослого населения (или 34% всех пользователей интернета) используют свои ноутбуки для подключения к точкам доступа и соединения с интернетом, находясь вне дома или рабочего места (www.itfacts.biz/34-of-us-internet-users-used-wifi-away-from-homework/11477). Такому развитию событий способствует и ситуация на рынке портативных компьютеров, поскольку за последние несколько лет цены на подобные устройства значительно снизились. Более того, в 2008 году — впервые за все время — продажи мобильных компьютеров превысили продажи настольных.

К сожалению, зачастую методы шифрования беспроводного трафика недоступны пониманию обычных пользователей. Решения типа plug-and-play («подключи и работай») пока отсутствуют. Если такое решение будет создано, его успех будет зависеть от готовности владельцев точек доступа принять его в качестве стандарта и использовать его для подключения пользователей, а также от его поддержки операционными системами. Очевидно, что даже когда стандарт будет разработан, успешность его внедрения будет зависеть от многих факторов.

Если отвлечься от технической стороны вопроса, то ключ к защите ваших данных и вашего компьютера — хорошее понимание вами проблем информационной безопасности. Если вы не можете полностью доверять сети, что характерно при подключении к незнакомым точкам доступа, надо с особой осторожностью относиться к тому, какую информацию вы выпускаете во «внешний мир». В подобных обстоятельствах никогда не следует вводить конфиденциальную информацию, такую как регистрационные данные, в системах интернет-банкинга или платежной системе Paypal. Лучше перестраховаться, чем остаться с опустошенным банковским счетом.

В конечном счете уровень безопасности определяется множеством факторов. Если же пользователь будет иметь минимальные знания и при этом приложит небольшие усилия, он сможет значительно повысить уровень своей защищенности. Необходимо изучать проблемы безопасности и вырабатывать в себе чутье на потенциально опасные ситуации. Учитывая степень риска и возможные последствия пренебрежения мерами безопасности, заметим, что результат того стоит!

Лето — время беспроводной связи

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике