Krátký průzkum, který provedla firma Z/Yen Limited na zakázku RSA Security, opět potvrdil to, čeho se mnozí obávali - Wi-Fi sítě jsou velmi nebezpečné pro data svých provozovatelů. Situace se přitom rapidně zhoršuje.
Podle průzkumu bylo celých 63 % přístupových bodů ponecháno pouze se základním nastavením (ne)bezpečnosti. Firmy, které v tomto průzkumu provozují Wi-Fi hot-spoty, uvádějí jako hlavní důvod využívání této bezdrátové technologie pohodlí zaměstnanců. Mohou chodit po budově, i mezi budovami, a jsou stále připojeni do sítě.
Největší nebezpečí napadení hrozí uživatelským notebookům s bezdrátovými kartami. Jak se uvádí v průzkumu, tato zařízení jsou obvykle ne příliš dobře chráněna, přesto ovšem sdílejí přístup k dalším firemním zdrojům. Pak se stačí jednoduše dostat na takový notebook a útočník má přístup ke všem zdrojům, ke kterým má přístup uživatel z notebooku.
Medová návnada na hackery zabrala
V rámci dalšího experimentu nazvaného HoneyPot (více zde) vytvořili průzkumníci z firmy Z/Yen Limited v Londýně dvě falešné bezdrátové sítě a zaznamenávali počet hackerů, kteří se pokusí zneužít je k protizákonnému jednání.
Během třítýdenního experimentu hackeři sítě odhalili a využili v průměru každý druhý den. K oběma bezdrátovým sítím bylo realizováno 29 neautorizovaných připojení, přičemž každý čtvrtý neoprávněný uživatel se pokusil využít síť protizákonně. Zbývajících 75 % uživatelů se k síti připojilo nejspíš neúmyslně. Vinen byl pravděpodobně operační systém Windows XP na jejich laptopech. Je-li totiž nastaven určitým způsobem, může rozpoznat nové bezdrátové sítě ve svém okolí a připojit se k nim automaticky.
Sítě mají být pojmenovány nicneříkajícně
Jedním z detailů, který není příliš známý, je také pojmenovávání provozované sítě. Ideální je nicneříkající název, který náhodného „návštěvníka“ nebude lákat ke vstupu. Bohužel třetina sítí v průzkumu nesla jméno své organizace, takže bylo jasné, o koho se jedná.
Zde se dostáváme k ponechání základního nastavení - pokud totiž necháme na softwaru, aby zařízení automaticky standardně nastavil, vytvoří jméno přístupového bodu jako složeninu názvu výrobce, MAC adresy zařízení či další zajímavé informace, která se bude jistě hodit potenciálnímu útočníkovi.
WEP bez šancí
Bezpečnost Wi-Fi zajišťovaná pomocí technologie WEP (Wired Equivalent Privacy) je dnes již zastaralou metodou, které se nelekne ani hackerský elév. Na to upozorňuje i bezpečnostní expert Juraj Bednár, který tvrdí, že WEP opravdu není příliš seriózní ochranou. „Osobně nepoužívám WEPem šifrovanou síť, ale protokol CIPE (Crypto IP Encapsulation), který tvoří bezpečný tunel k mému serveru,“ vysvětluje způsob zabezpečení své bezdrátové komunikace Juraj Bednár a dodává také na adresu bezpečné komunikace: „Velmi důležité je uvědomit si, že pokud někdo chce bezpečné a stabilní spojení, momentálně jediné rozumné řešení je optický kabel.“ Na otázku, zda si opravdu myslí, že je zbytečné používat WEP, stručně odpovídá: „Ano.“
Wi-Fi už není jen 802.11b
„Tento rok bude rokem zásadního zvýšení bezpečnosti bezdrátových sítí,“ soudí Dennis Eaton, předseda neziskové Wi-Fi aliance (www.weca.net - Wi-Fi Alliance), která mj. například certifikuje produkty pro standardy 802.11 dané organizací IEEE (Institute Electrical and Electronics Engineers). Aliance určuje rovněž také to, co se bude nazývat zkratkou Wi-Fi (Wireless Fidelity). Zatím se totiž jednalo o standard 802.11b, ale nově by se mělo označení Wi-Fi týkat i standardu 802.11a a přicházejícího 802.11g.
Nejpoužívanější 802.11b standard pracuje na frekvenci 2,4 GHz elektromagnetického spektra a dovoluje uživatelům transfer dat o maximální teoretické rychlosti 11 Mb/s. Bohužel většina bezdrátových produktů, jako jsou například bezdrátové telefony, otvírače garáží a další, používají právě tuto frekvenci, takže její rušení je silné.
Standard 802.11a pracuje na frekvenci 5 GHz, která není tolik rušena a dovoluje teoretickou rychlost transferu dat 54 Mb/s. Má ovšem kratší dosah - zhruba od 15 do 22,5 metrů. Produkty 802.11a také nejsou kompatibilní s produkty pro 802.11b kvůli rozdílným frekvencím. 802.11a hot-spoty rovněž nelze jednoduše nalézt.
IEEE připravuje finální specifikaci pro standard 802.11g, který kombinuje využití frekvence 2,4 GHz s rychlostmi, jež nabízí 802.11a. Produkty jsou k mání dokonce již nyní, postavené na základě pracovní verze standardu. Výrobci přitom tvrdí, že poté, co bude standard v polovině roku finalizován, stačí jen update firmwaru produktů a budou pracovat bez problémů.
Nebezpečí vidí také aliance
WEP již nestačí, takže se chystá novinka - Wi-Fi Protected Access (WPA), jejíž specifikace bude známa na konci dubna. „WPA poskytne mnohem vyšší úroveň bezpečnosti než WEP. Technologie by měla zamezit útokům známým v současnosti a rovněž bude pracovat se stávajícími produkty,“ říká Dennis Eaton.
WPA bude obsahovat několik nových technologií, které se ve WEPu nenacházejí: například zlepšený management klíčů a TKIP (Temporal Key Integrity Protocol). Jakmile bude tento rok ratifikována finální verze bezpečnostního standardu 802.11i pro bezdrátové sítě, přibude nový bezpečnostní protokol známý jako CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol).
I podle analytiků by se měla bezpečnost těmito kroky výrazně zvýšit. Analytik Isaac Ro z Aberdeen Group soudí, že manažeři IT budou dnes ještě stále vyčkávat s instalací další bezdrátových sítí, protože WEP opravdu není bezpečný, současná vylepšení příliš proprietární a WPA je ještě kus cesty před nimi.
Článek přinášíme ve spolupráci s časopisem Computerworld.
