Авторы
Отправляясь в Китай на ежегодную конференцию антивирусных специалистов Азиатско-Тихоокеанского региона AVAR 2005, я запланировал проведение паралелльных исследований беспроводных сетей городов Тяньцзинь и Пекин (Китай).
Исследование проводилось 17-19 ноября 2005 года. Местом проведения исследования были центральные бизнес-кварталы данных городов, а также аэропорт города Пекина. В ходе исследования были собраны данные приблизительно о 300 точках доступа.
В рамках исследования не осуществлялось попыток подключения к обнаруженным сетям, а также перехвата и дешифрования трафика в беспроводных сетях. Я не знаком с китайским законодательством в данной области, однако исходя из норм международного права, считаю что подобный сбор данных и их анализ не является противозаконным.
Никакая информация о конкретных параметрах обнаруженных сетей (как-то: точные GPS-координаты и название сети) оглашена не будет.
Помимо исследования беспроводных сетей были проведены исследования по сбору статистики о Bluetooth-устройствах в режиме «видимости для всех» и попытки обнаружения мобильных телефонов, зараженных вирусами, передающимися через Bluetooth.
Это мой первый опыт проведения подобных тестов, поэтому я допускаю, что из-за недостаточного знания особенностей работы использованного аппаратного и программного обеспечения какие-то данные могли быть мной неверно интерпретированы. Однако, сопоставляя их с аналогичными исследованиями, я не нахожу серьезных расхождений и фактологических ошибок.
Несомненно, проблемы безопасности беспроводных сетей, а также мобильных устройств, с каждым днем становятся все более и более значимыми и актуальными. Данной публикацией «Лаборатория Касперского» обозначает свою заинтересованность в данной области информационной безопасности.
Исследование Wi-Fi-сетей
Скорость передачи данных
В ходе исследования было выявлено значительное преобладание сетей со скоростью передачи данных 11 Mbps — более 58%, на втором месте — сети со скоростью 54 Mbps (36,62%). Интересно, что некоторые из точек доступа функционировали на скорости 2 Mbps, по всей видимости в них использовался метод FHSS.
Скорость передачи данных в процентном соотношении.
Количественное соотношение AP по скорости передачи данных.
Производители оборудования
Всего было обнаружено оборудование 21 наименования. 10 наименований (производителей) являются наиболее распространенными и используются в 56% процентах беспроводных сетей Пекина и Тяньцзиня. Еще в 4% случаев использовано оборудование еще 11 производителей.
Наиболее распространенными видами оборудования являются:
- Agere/Proxim Orinoco — 13,73%
- Cisco — 10,21%
- D-Link — 7,04%
- Linksys — 6,69%
- Intel — 4,94%
- Agere/Proxim WaveLAN — 3,52%
- Senao — 3,17%
- Z-Com — 2,28%
- Netgear — 2,46%
- Accton — 2,11%
Как видно из этих данных, абсолютными лидерами среди производителей являются компании Agere Systems (Proxim Orinoco/WaveLAN) — 17,25% и Cisco (Linksys) — 16,9%.
Использованное оборудование, в процентах от общего числа обнаруженных сетей.
В значительном числе случаев (39,08%) производитель оборудования установлен не был (Unknown, Fake или User Defined).
Соотношение определенного и не определенного оборудования.
Шифрование трафика
Согласно данным исследований, проводимых wardriver’ами в различных городах мира, количество сетей беспроводного доступа, в которых не применяется никаких методов шифрования трафика, составляет около 70%. Эти данные подтверждаются исследованием беспроводных сетей г. Москвы, проведенных в течение 2005 года Лабораторией сетевой безопасности учебного центра «Информзащита», — 68-69% для Москвы (часть первая, часть вторая).
Для Китая этот показатель весьма значительно отличается от общемирового уровня.
Соотношение сетей с шифрованием трафика и без шифрования.
Число незащищенных шифрованием сетей составляет менее 60%, однако, с другой стороны, не было обнаружено ни одной сети, в которой применялся бы новый усовершествованный стандарт шифрования WPA или 802.11i.
Учитывая, что, по данным исследований wardriver’ов в других странах мира, в значительной части таких незащищенных сетей доступ к роутеру открыт через веб-интерфейс, можно предположить, что подобные выводы будут актуальны и для Пекина/Тяньцзиня. Однако еще раз отметим, что подобные тесты в данном исследовании не проводились.
Типы сетей доступа
Большая часть обнаруженных сетей (89%) построена на основе точек доступа (ESS/AP). Это практически совпадает с общемировыми данными. Соответственно, остальные 11% сетей представляют собой соединение типа «компьютер—компьютер» (IBSS/Peer). В единственном случае тип сети определить не удалось.
Типы сетей.
Настройки по умолчанию
Одним из наиболее действенных способов защиты от wardriving является отключение широковещательной рассылки идентификатора сети (SSID). В ходе исследования было обнаружено, что подобную методику используют всего в 6% сетей. Интересно, что практически в 99% процентах таких сетей было включено и WEP-шифрование.
Другой интересный показатель — default SSID. Как правило, он свидетельствует о том, что администратор точки доступа не изменил имя маршрутизатора. Это может также являться косвенным фактом того, что и аккаунт администратора имеет пароль по умолчанию.
Процентное соотношение сетей с настройками по умолчанию.
Исследование Bluetooth-устройств
Основной целью данного исследования был сбор статистических данных о количестве BT-устройств, работающих в режиме «видимости для всех», а также о качественном составе подобных устройств.
Одной из целей исследования также была попытка «ловли на живца», а именно — на передвижной honeypot, также находящийся в режиме «видимости для всех» с включенным режимом автоматического приема и сохранения всех входящих файлов.
Методика исследования была довольно простой. Использовался ноутбук с внешним BT-адаптером Bluetake, радиус действия которого составляет около 100 метров. В качестве программного обеспечения использовался пакет BlueSoliel.
Для проведения контрольных замеров были выбраны места наибольшего скопленния людей (что применительно к Китаю звучит весьма забавно) — международный пекинский аэропорт Capital, улица Ванфуцзин (Wanfgfujing) — главная торговая улица Пекина. Также проводились тесты в ходе конференции AVAR2005 в городе Тяньцзинь.
Если в Пекине и Тяньцзине основной упор в тестах был сделан на сбор статистики об активных BT-устройствах, то основная часть работы в режиме honeypot осуществлялась в международном аэропорту.
Окно программы BlueSoliel в режиме сканирования.
Что касается результатов, то они оказались весьма неожиданными, лично для меня. Причем сразу в обеих категориях проведенных тестов.
Всего в ходе тестирования было обнаружено около 50 различных BT-устройств.
Количество обнаруженных устройств в режиме «видимости для всех».
Обращает на себя внимание относительно малое число подобных устройств. Суммарное время тестирования составило более 12 часов, и — учитывая темпы развития мобильных устройств в мире, а также большие людские массы в местах проведения замеров — я ожидал, что количество обнаруженных устройств будет составлять хотя бы трехзначное число. И если для AVAR2005 9 подобных устройств, по моему мнению, даже превышает допустимый предел (все-таки участники конференции являются экспертами в области безопасности и должны знать об опасностях, связанных с активным и «видимым» BT), то для остальных точек (Ванфуцзин и аэропорт) зафиксированные показатели оказались ниже ожидаемых.
И это несмотря на то, что помимо большого числа людей, в этих точках наблюдается значительная дифференциация по национальному признаку (большое количество иностранных туристов).
Я пока не готов обьяснить, чем именно вызвано столь большое расхождение между ожидаемыми и реальными цифрами, но, несомненно, эта проблема требует дополнительных тестов в других городах мира.
Что касается качественного состава обнаруженных устройств, то в целом тесты подтвердили данные о том, что Nokia является абсолютным лидером на рынке смартфонов/коммуникаторов. Однако я ожидал более широкого спектра марок телефонов, а также какой-то доли КПК. К сожалению, и эти мои предположения не подтвердились.
Производители оборудования.
Данные результаты позволяют сделать еще один весьма немаловажный вывод. А именно — о том какая операционная система для смартфонов/коммуникаторов наиболее распространена.
Если объединить в одну группу Nokia, SonyEricsson и Siemens как использующие в качестве базовой ОС Symbian, а в другую — Motorola и Qtek как использующие Windows Mobile, то преимущество первых будет выглядеть просто подавляющим.
Операционные системы.
Это служит еще одним обьяснением того факта, почему в настоящее время мы обнаруживаем вредоносные программы, созданные исключительно для Symbian. Как и в области операционных систем для персональных компьютеров, так и здесь вирусописатели атакуют самую популярную платформу.
Но, пожалуй, самые неожиданные результаты были получены в результате ловли «на живца». Несмотря на то, что наша компания имеет представительство в Китае уже несколько лет, а «Антивирус Касперского» в Китае является одним из самых популярных антивирусов, мы никогда не получали сообщений от наших китайских пользователий о том, что у них имеется факт заражения каким-либо мобильным червем, передающимся через Bluetooth. Да, мы знаем о том, что ряд модификаций червя Cabir, а также большое количество троянцев для Symbian были созданы в Китае, но подтвержденных случаев заражения у нас не было.
Но мы внимательно следим за данными об эпидемиях мобильных червей, которые регулярно публикуют наши коллеги из финской компании F-Secure. По их данным Cabir был обнаружен в Китае еще год назад, а суммарное количество стран, пострадавших от него превысило три десятка. А примерно три месяца назад я обнаружил Cabir, пытающийся проникнуть в мой телефон, находясь непосредственно у себя дома, что оказалось самым надежным подтверждением того факта, что по-крайней мере в Москве эпидемия Cabir действительно существует.
Учитывая все это я надеялся в Китае не только получить собственное документальное подтверждение факта «Cabir-в-Китае», но возможно обнаружить новые, еще неизвестные вирусы для мобильных устройств.
12 часов тестов, из которых около 5 часов — в международном пекинском аэропорту. Аэропорт Пекина является одним из самых крупных аэропортов мира, а после завершения строительства пятого терминала его размеры увеличатся вдвое и он станет крупнейшим в мире. Точками замеров были выбраны места наибольшего людского трафика — зона паспортного контроля, зона регистрации, выходы к терминалам — то есть все то, что неминуемо придется пройти любому пассажиру, вылетающему из Пекина. Учитывая небольшой радиус действия BT-адаптеров в большинстве смартфоновкоммуникаторов — я выбирал точки замеров таким образом, чтобы расстояние между honeypot и местами следования пассажиров не превышало 10 метров.
О малом числе обнаруженных BT-устройств я уже писал выше. Исходя из этого я уже не удивился тому, что за все 12 часов не было зафиксировано ни одной попытки передачи файлов на honeypot. Я тщательно проверял все оборудование и софт, практически в ходе всех тестов — результаты дополнительно сверялись при помощи моего мобильного телефона. Абсолютный ноль. Ни Cabir, ни какого либо троянца с Cabir внутри, ни какого либо нового неизвестного вируса.
Весьма странные результаты, которые, очевидно, являются следствием малого числа устройств, что в свою очередь пока не имеет обьяснения. Для сравнения, в московском метро число в 50 обнаруженных BT-устройств довольного легко достигается в ходе пары часов экспериментов, а попытки передачи файлов с них также не редкость.
В ближайшее время я планирую провести сравнительное тестирование в Москве, в точках примерно сопоставимых с теми, что были выбраны в Китае (крупные торговые центры, аэропорты, центральные и бизнес-кварталы).
Также мы планируем создание сети honeypot для обнаружения мобильных вирусов, сначала в Москве, а в будущем, возможно, и в других городах мира.
Если вас заинтересовали собранные мной данные и вы хотите поделиться своими мыслями и выводами, а также обсудить методики подобных тестов — я буду рад получить от вас письмо.
Авторы
От тех же авторов
В той же категории
Wardriving в Китае