Skrytá nebezpečí Wi-Fi hotspotů
Bezplatný bezdrátový přístup k internetu je k dispozici v hotelech, na letištích i v celé řadě restaurací a jeví se jako skvělá alternativa ke 3G. Tato místa jsou však zároveň prošpikována řadou hrozeb. Podívejme se, jak se chránit při připojení přes Wi-Fi hotspot.
JORG GEIGER, PATRIK KHUDHUR
SMS patří minulosti. Dnes frčí služby jako WhatsApp Messenger, jejichž prostřednictvím můžete kromě textu posílat i fotografie či videa. Stačí být připojen k internetu, třeba prostřednictvím Wi-Fi. Zde je však jádro pudla, neboť WhatsApp posílá zprávy v nešifrované formě. Poměrně snadno je tak může odchytit někdo nepovolaný, kdo je připojen ke stejnému hotspotu. Veřejné nezabezpečené přístupové body jsou tak vděčným cílem zlodějů dat. Podle údajů organizace Wireless Broadband Alliance je na světě asi 1,3 milionu hotspotů a již v roce 2015 má toto číslo narůst na 5,8 milionu. Důvodem tak překotného růstu jsou smartphony a tablety, jejichž prostřednictvím uživatelé s radostí přistupují k internetu. Datové tarify jsou však stále pro mnohé uživatele relativně drahé, navíc po dosažení omezeného limitu FUP klesne rychlost připojení na úroveň přežraného slimáka. A to ani nezmiňujeme zahraničí a datový roaming, který nejednomu uživateli přivodil po návratu z dovolené málem infarkt, když mu přišlo vyúčtování za datové služby a on musel za nevinné surfování u moře zaplatit několik tisíc korun. U veřejných hotspotů je však třeba být obezřetný. Nabourání cizí komunikace a krádež osobních dat zde není výsadou hackerských guru, naopak, se správnými nástroji jde až o děsivě snadnou záležitost. V tomto článku si povíme něco o tom, jak takový hacking funguje, a ukážeme si několik bezpečnostních tipů.
Trik 1: Špehování informací o připojení
NEBEZPEČÍ: Wi-Fi hotspoty mají jednu zásadní nevýhodu: fungují jako rádiové stanice. Proto může každý v jejich dosahu přijímat vysílaná data. To bohužel znamená, že zloději mohou získávat informace všeho druhu jen pomocí patřičných a vesměs poměrně levných aplikací pro smartphone, tablet nebo třeba notebook. Kolik přístupových bodů je v okolí? Jak se jmenují? Jaké využívají základnové stanice a s jakým šifrováním? Která zařízení jsou připojena na konkrétních adresách IP? Mají tato zařízení povolena sdílení obsahu? Všechny tyto informace lze využít při plánování cílených útoků (viz např. Trik 3 a 4). Ke sběru poznatků o Wi-Fi přitom stačí obyčejný síťový skener. Jedná se tedy o nástroje jako Zenmap, Inssider či Wifi Analyzer, které lze opatřit naprosto legitimním způsobem.
JAK SE BRÁNIT: Jediný způsob, jak se zcela ochránit proti sběru informací síťovými skenery, tkví v radikálním kroku: přestat využívat veřejné hotspoty. Dostatečným opatřením pro většinu uživatelů je však již to, že budou zapínat modul Wi-Fi ve svém zařízení pouze tehdy, když jej opravdu hodlají využívat. Kromě toho, že tak šetří baterii, se zároveň chrání proti tomu, aby se iPhone a spol. snažily o automatické připojení k internetu.
Trik 2: Čtení důvěrných informací
NEBEZPEČÍ: Datové pakety jsou vysílány na IP adresy jednotlivých zařízení a tak je udržováno bezdrátové připojení. Když je k jednomu hotspotu připojeno několik klientů, ignoruje každý pakety určené ostatním. Díky tomu nevzniká chaos a operační rychlost je udržována na přijatelné úrovni. Se správným ovladačem lze však naprogramovat adaptér Wi-Fi tak, aby na jediné frekvenci přijímal všechny pakety. Tento sledovací mod zaznamenává kompletní síťový provoz nezávisle na zamýšleném adresátovi datových paketů. Proradnost tkví v tom, že se tento „špion“ nemusí ověřovat a během odchytávání paketů zůstává zcela pasivní, neboť sám neodesílá žádná data. Místo toho zkrátka sleduje informace a „nahlíží přes rameno“ ostatním. Analýza v programech jako Wireshark (dříve Ethereal) dělá z tohoto špehování a zaznamenávání dat dětskou hříčku. Útočník může snadno určit, který rádiový kanál je nejvytíženější, a začít zaznamenávat datový provoz pomocí několika kliknutí myší. Wireshark je také vybaven filtrem pro případ, že chce „špion“ cílit na komunikaci jediného konkrétního klienta. Další nástroje pomáhají s vyhledáváním určitého obsahu v zaznamenaných datech, ať už jde o fotografie, nebo webové stránky.
JAK SE BRÁNIT: Mnoho hotspotů nevyužívá šifrování, je proto lepší vyvarovat se jejich používání. Ačkoli tento trik funguje také u šifrovaných přístupových bodů, tam musí útočník alespoň znát vaše přístupové heslo. Uživatelé, kteří si jen chtějí najít předpověď počasí nebo přečíst noviny, k tomu samozřejmě šifrování nepotřebují. V takovém případě je situace podobná, jako když vám někdo nakukuje do Chipu při jízdě v MHD. Pokud se však hodláte přihlašovat na své účty a přenášet osobní data, rozhodně upřednostňujte připojení přes HTTPS namísto HTTP. Při zadávání adresy zkrátka naťukejte přímo https://, abyste se hned vyhnuli nešifrované stránce (viz Trik 5). Nejjednodušší je pro tento účel dopředu vytvořit konkrétní záložky a ušetřit si tak otravné psaní na smartphonu či tabletu. Opatrnost doporučujeme také při využívání jednotlivých aplikací. U těch nemají uživatelé přehled o detailních nastaveních. Například Facebook má zabezpečené pouze přihlašování, následná komunikace je přenášena v textové podobě. Útočník tak nemůže vidět vaše heslo, může si však pročítat aktualizace statusů a konverzace s ostatními. Je proto lepší zcela se vyhnout využívání podobných aplikací při připojení k veřejnému hotspotu.
Alternativou je také využívání VPN (Virtual Private Network), pomocí níž můžete zřídit šifrovaný kanál pro své připojení k internetu. Útočník pak při zachycování paketů čte pouze nesrozumitelnou hatmatilku. Díky VPN můžete bezpečně používat i nezabezpečené aplikace a programy. Virtuální privátní síť nabízí celá řada providerů, jejichž služby se mohou lišit v komplexnosti i ceně. Většinou se však poplatky pohybují okolo nějakých 150 Kč/měsíčně. Kromě toho jsou dispozici také aplikace, jako například VPN One Click. Přesto berte v potaz, že VPN nezprovozníte u každého hotspotu, neboť některé zkrátka blokují potřebné porty.
Trik 3: Zcizení účtu na Facebooku
NEBEZPEČÍ: Vloupat se na cizí facebookový účet dříve dokázali spíše jen zkušení hackeři s patřičným know-how. Pak se na scéně objevily programy, které tento proces usnadnily. DroidSheep je pravděpodobně jedním z nejsnadnějších způsobů, jak se dostat na cizí Facebook. Dlouhou dobu byl přitom ke stažení oficiální cestou na Google Play (tehdy ještě nazývaném Android Market) a dnes stále koluje po internetu. DroidSheep využívá k útoku techniku zvanou ARP-Spoofing (Address Resolution Protocol Spoofing). Díky tomu je pro útočníka velmi snadné prolomit účet oběti, v podstatě mu k tomu stačí dvakrát poklepat na obrazovku smartphonu (viz grafika dole). K identifikaci uživatele nástroj využívá cookies, které se vytvoří po jeho přihlášení. Ty jsou z hlediska uživatele praktické, neboť bez nich by musel zadávat své heslo před každým dalším krokem na Facebooku či jiném webu.
DroidSheep dokáže z datového provozu vyhmátnout všechny tyto cookies a předložit je útočníkovi. Ten se tak může snadno dostat na cizí účet na Facebooku, Twitteru, eBay a mnoha dalších službách. DroidSheep dokáže odchytávat jak datový provoz mířící od uživatele k hotspotu (tváří se jako hotspot), tak v opačném směru, tedy z hotspotu k uživateli. Je-li ARP-Spoofing úspěšný, ukáže se útočníkovi v zařízení veškerá komunikace. Jemu pak stačí zvolit jednu ze stránek, na které se uživatel v průběhu připojení k hotspotu přihlásil, a krádež je na světě.
JAK SE BRÁNIT: Svým způsobem je ochrana podobná té v předchozí části (viz Trik 2). Připojení prostřednictvím protokolu HTTPS však v tomto případě nemusí být stoprocentní prevencí (což dokazuje například fakt, že mobilní Facebook lze s DroidSheepem prolomit i při zapnutém zabezpečeném připojení přes HTTPS v nastavení). Jistotou je však opět virtuální privátní síť, která útočníkovi znemožní jeho rejdy a nedovolí mu dostat se na cizí účty. Třetí možností je využití aplikací, jako je DroidSheep Guard (tu rovněž naprogramoval Andreas Koch, duchovní otec aplikace DroidSheep), které vás ochrání před podobnými útoky typu Man-in-the-middle.
Trik 4: Falšování hotspotů
NEBEZPEČÍ: Falšovaný hotspot zneužívá funkce, které byly do operačních systémů smartphonů, tabletů a notebooků implementovány za účelem zvýšení uživatelského pohodlí při komunikaci s Wi-Fi. Jednou z těchto funkcí je ta, která zařízení automaticky znovu připojuje k již známým (využitým) bezdrátovým sítím. Windows, iOS a další operační systémy uživateli dokonce najdou vždy tu síť Wi-Fi, která aktuálně nabízí nejlepší signál. Tolik komfortu si však vybírá svou daň na bezpečnosti: útočníkovi stačí najít nezabezpečený hotspot (například v kavárně) a zřídit si zde přístupový bod stejného názvu. Všichni uživatelé (až na čtenáře Chipu, kteří se nenechají opít rohlíkem), jimž falšovaný hotspot nabídne silnější signál, se automaticky připojí právě k němu.
Útočník přitom nemusí být technicky zručný. Každý smartphone s Androidem lze totiž poměrně snadno proměnit v nezabezpečený přístupový bod. Navíc si uživatel může vybrat pro svůj hotspot libovolný název, který často koresponduje s označením dané lokality či podniku, tedy například „Starbucks“, „Clarion“, „KFC“ nebo třeba „Sheraton“. Má-li pak nainstalovanou aplikaci jako Shark for Root, může snadno zaznamenávat veškerý datový provoz ve své podvržené síti. A útočníci se bohužel nezastaví ani před šifrovanými hotspoty a dokážou podstrčit podvodnou stránku žádající o údaje pro přihlášení. Ve výsledku tak může útočník za poskytované připojení ještě inkasovat peníze, které mu nic netušící uživatel pošle na účet PayPal. A kdokoli naletí na tento trik, nepřichází jen o peníze, ale také o cenné údaje pro přihlášení.
JAK SE BRÁNIT: Antivirus je jasnou volbou v ochraně proti napadením viry a měl by být součástí základní konfigurace systémů Windows i Android. Proti automatickému přihlašování do bezdrátových sítí, které nechcete používat, pomůže deaktivace adaptéru Wi-Fi. Je také vhodné čas od času projít seznam známých bezdrátových sítí a pečlivě jej promazat. Zůstat by měly jen sítě, kterým opravdu věříte: například firemní nebo domácí síť Wi-Fi. Ostatní bez milosti odstraňte. Ve Windows tak učiníte pod Správou bezdrátových sítí a v Androidu pod Nastavením Wi-Fi. To pod iOS je to o něco komplikovanější. Není zde totiž žádná volba pro odstranění již navštívených bezdrátových sítí. Proto skousněte kyselé jablko a odstraňte všechny známé sítě Wi-Fi. V současné verzi iOS to lze učinit pod volbou »Nastavení / Obecné / Obnovit / Obnovit nastavení sítě«. Poté doporučujeme nastavit hodnotu »Výzva pro připojení« na „0“ (sem se dostanete následujícím způsobem: »Nastavení / Obecné / Síť / Wi-Fi«).
Trik 5: Prolomení šifrování
NEBEZPEČÍ: Dobré šifrování celé komunikace je jako ochranná vesta. Útočníci však chtějí překonat i tuto instanci, aby se dostali k citlivým datům, jako jsou údaje kreditních karet, přístupy na PayPal a hesla pro elektronickou poštu či další webové služby. Přímý útok na šifrování nedává smysl, neboť to může být prolomeno pouze v případě, že šifrovací algoritmus obsahuje chybu. Proto útočníci raději těží z chyb v implementaci šifrování a chyb, jichž se dopouští samotní uživatelé. Útočník se nejprve musí dostat doprostřed komunikace, čehož docílí například pomocí falešného hotspotu k přesměrování datových paketů. Nyní se musí ujistit, že komunikace funguje, uživatelé jsou on-line a hotspot není zaplaven nedoručitelnými pakety. Když se nyní uživatel bude snažit přihlásit na šifrovanou stránku, může jej útočník přesměrovat na její nešifrovanou verzi a získat tak přístupové údaje či sledovat následnou komunikaci. Nepříjemné jsou v tomto ohledu nástroje proxy, které komunikují s šifrovanou službou jen proto, aby uživateli podstrčily její stránky v nešifrované formě. Útoky s falšovanými certifikáty jdou ještě o krok dále. Při nich útočník stále komunikuje s webovou službou přes šifrované připojení a šifrovaně zároveň komunikuje také s napadeným klientem. To všechno díky padělanému SSL certifikátu. V tomto scénáři se útočník samozřejmě dostane ke všem kýženým údajům.
JAK SE BRÁNIT: Kdyby poskytovatel webové služby implicitně šifroval úplně všechno, útočníci by těžko někoho ošálili přesměrováním na nezabezpečené stránky. Exkluzivní zabezpečená připojení přes SSL však nejsou standardem. Větší poskytovatelé je naštěstí nabízejí jako jednu z možností. Proto se vždy ujistěte, že volíte SSL verzi služby, a v adresním řádku zkontrolujte, zda se opravdu objeví HTTPS a realizuje se zabezpečená komunikace. Stejnou možnost však bohužel nemáte v rámci aplikací. Proto si u výrobce nejprve zjistěte, jakým způsobem řeší komunikaci a zda ji šifruje. Vezměte si například aplikaci Twitter. Adresní řádek prohlížeče poukazuje na šifrování a pohled na certifikát nabízí řadu užitečných tipů pro zajištění zabezpečeného připojení. Na druhou stranu ani zde si nemůžete být stoprocentně jisti, neboť výše zmíněné může znamenat jen to, že jste narazili na šikovného útočníka s falešnými certifikáty.
Závěr
Hotspoty jsou jednoznačně praktické, zároveň však nebezpečné, neboť vám nikdo nemůže zaručit, že vaše data zůstanou mimo ohrožení. Neexistuje totiž univerzální rada, která by vás na 100 % ochránila při připojení k libovolnému přístupovému bodu. Nejlepší volbou je bezesporu připojení přes VPN, využívání zabezpečeného připojení přes SSL a pravidelná aktualizace operačního systému i aplikací nainstalovaných ve vašem zařízení. Drasticky tak snížíte riziko potenciálního napadení. Přesto se raději vyhněte provádění citlivých operací při připojení k veřejným hotspotům. Stav účtu prostřednícím e-bankingu zkontrolujte raději až doma.
autor@chip.cz
BEZPEČNOSTNÍ TIPY
ANDROID
Základní ochrana Pravidelná aktualizace operačního systému i nainstalovaných aplikací je základní mantrou bezpečného zařízení s Androidem. Antivirus je rovněž takřka nutností. Bezplatná aplikace Avast Mobile Security je pro účely základní ochrany plně dostačující.
Kontrola automatizované Wi-Fi Zabraňte svému zařízení v automatickém připojování do bezdrátových sítí (detaily viz Trik 4).
Využívání VPN Když už se připojujete k veřejným přístupovým bodům, šifrujte veškerý datový provoz za pomoci VPN tunelu. To umožňuje kupříkladu aplikace VPN One Click.
IOS
Základní ochrana Pro iOS není k dispozici žádný antivirus. Nezbývá vám tedy než zajistit nejnovější aktualizace pro operační systém i nainstalované aplikace. Kontrola automatizované Wi-Fi V Triku 4 popisujeme, jak si uživatel zařízení s iOS poradí s automatizovaným připojováním k bezdrátovým sítím.
Využívání VPN Pro iPhone a iPad je k dispozici skvělá bezplatná VPN aplikace Hotspot Shield. Ačkoli samotné stažení je zdarma, za používání zaplatíte asi 20 Kč/měsíčně.
WINDOWS
Základní ochrana Také v případě Windows jsou pro bezpečnost velmi zásadní pravidelné aktualizace operačního systému a nainstalovaných programů, jako je antivirus a firewall.
Vždy přes SSL Při připojení k veřejným hotspotům se snažte využívat výhradně služby se šifrovaným přihlášením, které využívají komunikaci zabezpečenou vrstvou SSL. Pro Firefox jsou k dispozici doplňky jako HTTPS Finder nebo HTTPS Everywhere (ten je k dostání i ve verzi pro Chrome), které automaticky volí SSL verze stránek.
Využívání VPN Pro Windows doporučujeme program Hotspot Shield, což je bezplatný a poměrně spolehlivý VPN klient.
ÚTOK ZA POUŽITÍ APLIKACE DROIDSHEEP
Díky tomuto programu lze jednoduše realizovat ARP-Spoofing za pomoci telefonu s operačním systémem Android. Aplikace DroidSheep dokáže imitovat vysílání hotspotu a „přesvědčit“ tak zařízení, která se připojují k internetu prostřednictvím přístupového bodu v dosahu, že přístroj, ze kterého vysílá, je právě hotspotem. Program sdělí pravému hotspotu, že zařízení jsou dostupná na nové MAC adrese (která patří zařízení útočníka). Oklamaná zařízení tak vedou komunikaci přes zařízení s aplikací DroidSheep, která ji dále přeposílá k hotspotu, ale po cestě čte obsah datových paketů, které zároveň skenuje pro aktivní připojení k různým službám (Facebook, Twitter, eBay atd.). Tento útok je typu Man-in-the-middle, neboť útočník se nachází uprostřed komunikačního kanálu.
HOTSPOT 2.0
Počínaje rokem 2010 pracuje organizace Wi-Fi Alliance na novém certifikátu pro zařízení. Certifikát nese název Hotspot 2.0 a mj. má zajistit lepší zabezpečení hotspotů. Data by neměla být přenášena ve formě obyčejného textu a celá komunikace by měla probíhat v šifrované podobě. To je však pouze první krok. Pro ověření uživatele by byly využívány další techniky, například prostřednictvím certifikátu X.509, který v dnešní době zabezpečuje mnoho firemních bezdrátových sítí. Další zvažovanou možností je identifikace uživatelů při připojování k hotspotu prostřednictvím dat z jejich karet SIM. Operátor by uživatelům mohl navíc poskytnout dodatečné přihlašovací údaje ve formě uživatelských jmen a hesel. Více na toto téma naleznete na adrese bit.ly/JHODXH.
Foto popis | Obnovení nastavení sítě je jedinou možností pro odstranění seznamu použitých sítí Wi-Fi v zařízeních iPhone a iPad.
Foto popis | Certifikáty jsou užitečným vodítkem k zabezpečeným webovým stránkám, pokročilí útočníci však dokážou uživatelům podstrčit vlastní, falešné certifikáty.