Архив новостей

Wardriving в Китае

Отправляясь в Китай на ежегодную конференцию антивирусных специалистов Азиатско-Тихоокеанского региона AVAR 2005, я запланировал проведение паралелльных исследований беспроводных сетей городов Тяньцзинь и Пекин (Китай).

Исследование проводилось 17-19 ноября 2005 года. Местом проведения исследования были центральные бизнес-кварталы данных городов, а также аэропорт города Пекина. В ходе исследования были собраны данные приблизительно о 300 точках доступа.

В рамках исследования не осуществлялось попыток подключения к обнаруженным сетям, а также перехвата и дешифрования трафика в беспроводных сетях. Я не знаком с китайским законодательством в данной области, однако исходя из норм международного права, считаю что подобный сбор данных и их анализ не является противозаконным.
Никакая информация о конкретных параметрах обнаруженных сетей (как-то: точные GPS-координаты и название сети) оглашена не будет.

Помимо исследования беспроводных сетей были проведены исследования по сбору статистики о Bluetooth-устройствах в режиме «видимости для всех» и попытки обнаружения мобильных телефонов, зараженных вирусами, передающимися через Bluetooth.

Это мой первый опыт проведения подобных тестов, поэтому я допускаю, что из-за недостаточного знания особенностей работы использованного аппаратного и программного обеспечения какие-то данные могли быть мной неверно интерпретированы. Однако, сопоставляя их с аналогичными исследованиями, я не нахожу серьезных расхождений и фактологических ошибок.

Несомненно, проблемы безопасности беспроводных сетей, а также мобильных устройств, с каждым днем становятся все более и более значимыми и актуальными. Данной публикацией «Лаборатория Касперского» обозначает свою заинтересованность в данной области информационной безопасности.

Исследование Wi-Fi-сетей

Скорость передачи данных

В ходе исследования было выявлено значительное преобладание сетей со скоростью передачи данных 11 Mbps — более 58%, на втором месте — сети со скоростью 54 Mbps (36,62%). Интересно, что некоторые из точек доступа функционировали на скорости 2 Mbps, по всей видимости в них использовался метод FHSS.

Скорость передачи данных в процентном соотношении.
Скорость передачи данных в процентном соотношении.
Количественное соотношение AP по скорости передачи данных.
Количественное соотношение AP по скорости передачи данных.

Производители оборудования

Всего было обнаружено оборудование 21 наименования. 10 наименований (производителей) являются наиболее распространенными и используются в 56% процентах беспроводных сетей Пекина и Тяньцзиня. Еще в 4% случаев использовано оборудование еще 11 производителей.

Наиболее распространенными видами оборудования являются:

  • Agere/Proxim Orinoco — 13,73%
  • Cisco — 10,21%
  • D-Link — 7,04%
  • Linksys — 6,69%
  • Intel — 4,94%
  • Agere/Proxim WaveLAN — 3,52%
  • Senao — 3,17%
  • Z-Com — 2,28%
  • Netgear — 2,46%
  • Accton — 2,11%

Как видно из этих данных, абсолютными лидерами среди производителей являются компании Agere Systems (Proxim Orinoco/WaveLAN) — 17,25% и Cisco (Linksys) — 16,9%.

Использованное оборудование, в процентах от общего числа обнаруженных сетей.
Использованное оборудование, в процентах от общего числа обнаруженных сетей.

В значительном числе случаев (39,08%) производитель оборудования установлен не был (Unknown, Fake или User Defined).

Соотношение определенного и не определенного оборудования.
Соотношение определенного и не определенного оборудования.

Шифрование трафика

Согласно данным исследований, проводимых wardriver’ами в различных городах мира, количество сетей беспроводного доступа, в которых не применяется никаких методов шифрования трафика, составляет около 70%. Эти данные подтверждаются исследованием беспроводных сетей г. Москвы, проведенных в течение 2005 года Лабораторией сетевой безопасности учебного центра «Информзащита», — 68-69% для Москвы (часть первая, часть вторая).

Для Китая этот показатель весьма значительно отличается от общемирового уровня.

Соотношение сетей с шифрованием трафика и без шифрования.
Соотношение сетей с шифрованием трафика и без шифрования.

Число незащищенных шифрованием сетей составляет менее 60%, однако, с другой стороны, не было обнаружено ни одной сети, в которой применялся бы новый усовершествованный стандарт шифрования WPA или 802.11i.

Учитывая, что, по данным исследований wardriver’ов в других странах мира, в значительной части таких незащищенных сетей доступ к роутеру открыт через веб-интерфейс, можно предположить, что подобные выводы будут актуальны и для Пекина/Тяньцзиня. Однако еще раз отметим, что подобные тесты в данном исследовании не проводились.

Типы сетей доступа

Большая часть обнаруженных сетей (89%) построена на основе точек доступа (ESS/AP). Это практически совпадает с общемировыми данными. Соответственно, остальные 11% сетей представляют собой соединение типа «компьютер—компьютер» (IBSS/Peer). В единственном случае тип сети определить не удалось.

Типы сетей.
Типы сетей.

Настройки по умолчанию

Одним из наиболее действенных способов защиты от wardriving является отключение широковещательной рассылки идентификатора сети (SSID). В ходе исследования было обнаружено, что подобную методику используют всего в 6% сетей. Интересно, что практически в 99% процентах таких сетей было включено и WEP-шифрование.

Другой интересный показатель — default SSID. Как правило, он свидетельствует о том, что администратор точки доступа не изменил имя маршрутизатора. Это может также являться косвенным фактом того, что и аккаунт администратора имеет пароль по умолчанию.

Процентное соотношение сетей с настройками по умолчанию.
Процентное соотношение сетей с настройками по умолчанию.

Исследование Bluetooth-устройств

Основной целью данного исследования был сбор статистических данных о количестве BT-устройств, работающих в режиме «видимости для всех», а также о качественном составе подобных устройств.

Одной из целей исследования также была попытка «ловли на живца», а именно — на передвижной honeypot, также находящийся в режиме «видимости для всех» с включенным режимом автоматического приема и сохранения всех входящих файлов.

Методика исследования была довольно простой. Использовался ноутбук с внешним BT-адаптером Bluetake, радиус действия которого составляет около 100 метров. В качестве программного обеспечения использовался пакет BlueSoliel.

Для проведения контрольных замеров были выбраны места наибольшего скопленния людей (что применительно к Китаю звучит весьма забавно) — международный пекинский аэропорт Capital, улица Ванфуцзин (Wanfgfujing) — главная торговая улица Пекина. Также проводились тесты в ходе конференции AVAR2005 в городе Тяньцзинь.

Если в Пекине и Тяньцзине основной упор в тестах был сделан на сбор статистики об активных BT-устройствах, то основная часть работы в режиме honeypot осуществлялась в международном аэропорту.

Окно программы BlueSoliel в режиме сканирования.
Окно программы BlueSoliel в режиме сканирования.

Что касается результатов, то они оказались весьма неожиданными, лично для меня. Причем сразу в обеих категориях проведенных тестов.

Всего в ходе тестирования было обнаружено около 50 различных BT-устройств.


Количество обнаруженных устройств в режиме «видимости для всех».

Обращает на себя внимание относительно малое число подобных устройств. Суммарное время тестирования составило более 12 часов, и — учитывая темпы развития мобильных устройств в мире, а также большие людские массы в местах проведения замеров — я ожидал, что количество обнаруженных устройств будет составлять хотя бы трехзначное число. И если для AVAR2005 9 подобных устройств, по моему мнению, даже превышает допустимый предел (все-таки участники конференции являются экспертами в области безопасности и должны знать об опасностях, связанных с активным и «видимым» BT), то для остальных точек (Ванфуцзин и аэропорт) зафиксированные показатели оказались ниже ожидаемых.

И это несмотря на то, что помимо большого числа людей, в этих точках наблюдается значительная дифференциация по национальному признаку (большое количество иностранных туристов).

Я пока не готов обьяснить, чем именно вызвано столь большое расхождение между ожидаемыми и реальными цифрами, но, несомненно, эта проблема требует дополнительных тестов в других городах мира.

Что касается качественного состава обнаруженных устройств, то в целом тесты подтвердили данные о том, что Nokia является абсолютным лидером на рынке смартфонов/коммуникаторов. Однако я ожидал более широкого спектра марок телефонов, а также какой-то доли КПК. К сожалению, и эти мои предположения не подтвердились.

Производители оборудования.
Производители оборудования.

Данные результаты позволяют сделать еще один весьма немаловажный вывод. А именно — о том какая операционная система для смартфонов/коммуникаторов наиболее распространена.

Если объединить в одну группу Nokia, SonyEricsson и Siemens как использующие в качестве базовой ОС Symbian, а в другую — Motorola и Qtek как использующие Windows Mobile, то преимущество первых будет выглядеть просто подавляющим.

Операционные системы.
Операционные системы.

Это служит еще одним обьяснением того факта, почему в настоящее время мы обнаруживаем вредоносные программы, созданные исключительно для Symbian. Как и в области операционных систем для персональных компьютеров, так и здесь вирусописатели атакуют самую популярную платформу.

Но, пожалуй, самые неожиданные результаты были получены в результате ловли «на живца». Несмотря на то, что наша компания имеет представительство в Китае уже несколько лет, а «Антивирус Касперского» в Китае является одним из самых популярных антивирусов, мы никогда не получали сообщений от наших китайских пользователий о том, что у них имеется факт заражения каким-либо мобильным червем, передающимся через Bluetooth. Да, мы знаем о том, что ряд модификаций червя Cabir, а также большое количество троянцев для Symbian были созданы в Китае, но подтвержденных случаев заражения у нас не было.

Но мы внимательно следим за данными об эпидемиях мобильных червей, которые регулярно публикуют наши коллеги из финской компании F-Secure. По их данным Cabir был обнаружен в Китае еще год назад, а суммарное количество стран, пострадавших от него превысило три десятка. А примерно три месяца назад я обнаружил Cabir, пытающийся проникнуть в мой телефон, находясь непосредственно у себя дома, что оказалось самым надежным подтверждением того факта, что по-крайней мере в Москве эпидемия Cabir действительно существует.

Учитывая все это я надеялся в Китае не только получить собственное документальное подтверждение факта «Cabir-в-Китае», но возможно обнаружить новые, еще неизвестные вирусы для мобильных устройств.

12 часов тестов, из которых около 5 часов — в международном пекинском аэропорту. Аэропорт Пекина является одним из самых крупных аэропортов мира, а после завершения строительства пятого терминала его размеры увеличатся вдвое и он станет крупнейшим в мире. Точками замеров были выбраны места наибольшего людского трафика — зона паспортного контроля, зона регистрации, выходы к терминалам — то есть все то, что неминуемо придется пройти любому пассажиру, вылетающему из Пекина. Учитывая небольшой радиус действия BT-адаптеров в большинстве смартфоновкоммуникаторов — я выбирал точки замеров таким образом, чтобы расстояние между honeypot и местами следования пассажиров не превышало 10 метров.

О малом числе обнаруженных BT-устройств я уже писал выше. Исходя из этого я уже не удивился тому, что за все 12 часов не было зафиксировано ни одной попытки передачи файлов на honeypot. Я тщательно проверял все оборудование и софт, практически в ходе всех тестов — результаты дополнительно сверялись при помощи моего мобильного телефона. Абсолютный ноль. Ни Cabir, ни какого либо троянца с Cabir внутри, ни какого либо нового неизвестного вируса.

Весьма странные результаты, которые, очевидно, являются следствием малого числа устройств, что в свою очередь пока не имеет обьяснения. Для сравнения, в московском метро число в 50 обнаруженных BT-устройств довольного легко достигается в ходе пары часов экспериментов, а попытки передачи файлов с них также не редкость.

В ближайшее время я планирую провести сравнительное тестирование в Москве, в точках примерно сопоставимых с теми, что были выбраны в Китае (крупные торговые центры, аэропорты, центральные и бизнес-кварталы).

Также мы планируем создание сети honeypot для обнаружения мобильных вирусов, сначала в Москве, а в будущем, возможно, и в других городах мира.

Если вас заинтересовали собранные мной данные и вы хотите поделиться своими мыслями и выводами, а также обсудить методики подобных тестов — я буду рад получить от вас письмо.

Wardriving в Китае

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике