Bezpieczeństwo

Podróże kosztują…

8

Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem. Wcześniejsze wpisy z tego cyklu znajdziecie pod tym linkiem - CSI. Pierwszą część dzisiejszego opowiadania znajdziecie pod tym adresem - Mam pociąg do danych.

Janusz zajął miejsce możliwie najbliżej środka wagonu i z plecaka wyciągnął mały bezprzewodowy router. Szybko dokręcił do niego antenę i podpiął baterrypacka. Kiedy urządzenie zaczęło migać diodami, schował je do plecaka, który umieścił na górnej półce na bagaż. Po minucie urządzenie rozpoczęło swoją pracę – czyli kradzież danych ze smartphonów, tabletów i laptopów współpasażerów Janusza. Nikt, kto miał Wi-Fi nie mógł czuć się bezpiecznie.

Router wykorzystywał słabość sieci bezprzewodowych, a dokładnie mechanizm znany pod nazwą "auto join". Prawie każde urządzenie wyposażone w sieć Wi-Fi domyślnie zapamiętuje sieci bezprzewodowe, do których w przeszłości się łączyło, i o czym niewielu już wie, co jakiś czas wysyła w eter na częstotliwościach charakterystycznych dla sieci Wi-Fi kilka(naście) ostatnich nazw sieci. Upraszczając, urządzenia wysyłają zapytanie w stylu:

.

A jeśli w pobliżu taka sieć się znajduje, to Access Point z takim SSID, odpowiada

"

...i urządzenie automatycznie łączy się ze "znaną" sobie siecią. Ten mechanizm można zaobserwować, wracając do domu i patrząc jak telefon automatycznie przepina się na domową sieć Wi-Fi.

Żeby było piękniej, w zależności od producenta, niektóre z urządzeń "zapytania" o znaną sieć wysyłają regularnie, nawet jak są uśpione i spoczywają w kieszeni niczego nieświadomego podróżnego. A że router Janusza był wyposażony w modem GSM, to wszystkich przechwyconych klientów łączył z internetem.

Urządzenia ściągały sobie maile, łączyły się z serwerami aplikacji, a Janusz był w stanie podsłuchiwać nieszyfrowany ruch swoich współpasażerów. To jednak, w czasach post-Snowdenowych, nie pozwala na zdobycie interesujących informacji – obecnie prawie każdy szyfruje, prawie wszystko.

Dlatego Janusz wyciągnął swojego smartphona i podpiął się do interfejsu zarządzającego routerem. Okazało się, że w przeciągu paru minut, lista "przechwyconych" urządzeń urosła do kilkudziesięciu.

I jak tu nie kochać braku internetu w pociągu? – pomyślał Janusz i skonfigurował atak sslstrip, wydając następujące polecenie:

6

Dzięki temu, był w stanie przejmować dane logowania do wszystkich serwisów internetowych, które niepoprawnie przekierowywały użytkowników na HTTPS. Po kilkunastu minutach w logach miał kilkadziesiąt haseł.

Zauważył jednak, że jeden z serwisów jest bardzo popularny wśród współpasażerów i choć poprawnie implementuje formatkę logowania, tak że atak sslstrip nie jest możliwy, to nie ustawia nagłówka HSTS. Postanowił więc wzbogacić swoją konfigurację innym atakiem typu main in the middle – pharmingem. Pod adresem 172.16.42.1 przygotował stronę udającą stronę logowania do znanego portalu dla biznesu, a na router wydał następujące polecenia:

t

Atak ten polega na skierowaniu ofiary, która wpisze jakąś domenę nie na prawdziwy adres IP, a na kontrolowany przez siebie, gdzie strona logowania co prawda będzie wyglądać identycznie jak prawdziwa, ale wpisany login i hasło zostanie poznane przez Janusza. Po kilku minutach w logach zauważył pojawiające się dane logowania na kilka kont. "Będzie co sprawdzać jak wrócę do domu". Zazwyczaj ludzie korzystają z jednego hasła do wielu serwisów, więc Janusz podejrzewał, że wykradzione dane będą także pasować do skrzynek pocztowych przynajmniej części współpasażerów.

Bilecik poproszę! – głos konduktora oderwał Janusza od przeglądania logów z ataku. Dwa kliknięcie i na telefonie Janusza pojawił się kod Aztec, z jakiego korzysta system rezerwacji biletów.

Awarię mamy, nie mogę czytać kodów, niech mi Pan poda nazwisko i ten numerek transakcji, nad kodem jest – odburknął kodkuktor, a Janusz dopiero teraz zauważył, że zamiast czytnika podszedł do niego z kartką i długopisem.

Czyli błąd w systemie rezerwacji biletów dalej nie jest usunięty – zachichotał w duchu Janusz, dyktując konduktorowi fałszywe dane. Tuż przed wejściem do pociągu, w internetowym systemie rezerwacji biletów wyklikał bilet nie za 150 PLN, a za 24 PLN, na zniżkę pracownika kolei, a w polu nazwiska wpisał znak "#".

Kiedy lista pasażerów jest importowana z systemu rezerwacji na urządzenia konduktorów, znak ten powoduje błąd parsera i konduktorzy są pozbawiani możliwości weryfikacji poprawności biletów w danym pociągu. Co to oznacza? Podróż za prawie darmo, a patrząc na wykradzione w trakcie biegu pociągu dane, nawet ze sporą dopłatą...

Komentarz ekspercki

Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.

Bezpłatne hotspoty są obecnie sporym udogodnieniem dla użytkowników. Niestety, darmowy dostęp do sieci nie zawsze idzie w parze z bezpieczeństwem. Jak zatem skutecznie ograniczyć ryzyko ataku i utraty danych?

Po pierwsze, należy wyłączyć w naszych urządzeniach funkcję automatycznego łączenie się z siecią. Dzięki temu uchronimy się przed zalogowaniem bez naszej zgody do nieznanego
i niezabezpieczonego hotspotu.

Po drugie, korzystajmy z prywatnej sieci VPN (Viral Private Network). Dzięki funkcji VPN nasz ruch w wirtualnej przestrzeni będzie kierowany poprzez bezpieczne sieci, a nasze dane będą chronione, nawet podczas korzystania z niezabezpieczonych punktów dostępowych.

Po trzecie, należy upewnić się, czy nasze urządzenie posiada aktywny program antywirusowy. Warto wybrać aplikację, która dodatkowo będzie blokowała szkodliwe strony internetowe, co dodatkowo ograniczy ryzyko ataku.

Nie zapominajmy, że smartfon czy tablet również należy chronić, w taki sam sposób jak komputer! Aby zapewnić sobie jak najlepszą ochronę, warto więc wybrać program, który integruje wyżej wymienione narzędzia.

Zastosowanie się do powyższych zasad powinno uchronić nas przed atakiem i kradzieżą danych.

Zawsze jednak powinniśmy zachować ostrożność. W przypadku wątpliwości co do bezpieczeństwa sieci, warto potwierdzić nazwę sieci u pracownika czy właściciela miejsca, w którym chcemy skorzystać z Internetu.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy:

csi