Korzystanie z sieci Wi-Fi wiąże się z zagrożeniami, które często pozostają niewidoczne dla użytkownika i są trudne do zauważenia na pierwszy rzut oka. W Komunikacie IOD-y przedstawiono zarówno zasady bezpiecznego korzystania z sieci bezprzewodowych, jak i przykładowe scenariusze ataków.
Jednym z istotnych zagrożeń jest spoofing SSID, czyli podszywanie się pod sieci poprzez nadawanie nowoutworzonym nazw identycznych lub bardzo podobnych do już istniejących (tzw. „evil twin”, z ang. zły bliźniak) albo takich, które mają wzbudzać zaufanie użytkownika (np. sugerujących związek z danym miejscem lub organizacją). Proceder ten może prowadzić do sytuacji, w której użytkownik łączy się z infrastrukturą oszusta, nie mając tego świadomości.
CZYM JEST SSID
SSID, czyli nazwa sieci bezprzewodowej, w praktyce pełni dla użytkownika rolę identyfikatora i – co ważniejsze – może być nośnikiem zaufania. Jeżeli nazwa sieci jest tożsama z nazwą hotelu, uczelni czy firmy, w których się znajdujemy, (często słuszne) nasuwa się przypuszczenie, że jest to hot spot udostępniony przez właśnie tę organizację. Tymczasem z technicznego punktu widzenia nazwa sieci nie jest w żaden sposób zastrzeżona. Każdy może stworzyć punkt dostępowy o dowolnym SSID, w tym identycznym jak już istniejący.
Oznacza to, że decyzja użytkownika o połączeniu się z siecią opiera się na informacji, którą niezwykle łatwo sfingować. SSID nie daje żadnej gwarancji autentyczności – jest wyłącznie etykietą.
NA CZYM POLEGA SPOOFING SSID
W celu przeprowadzenia tego ataku cyberprzestępca nie musi przełamywać zabezpieczeń ani uzyskiwać dostępu do istniejącej infrastruktury. Wystarczy, że uruchomi własny punkt dostępowy i nada mu odpowiednią nazwę.
Z perspektywy użytkownika wszystko wygląda poprawnie. Na liście dostępnych sieci pojawia się znajome SSID, często nawet z silniejszym sygnałem niż oryginał. W tym momencie użytkownik zaczyna korzystać z Internetu za pośrednictwem urządzenia kontrolowanego przez osobę trzecią, nie mając tego świadomości.
Atak ma na celu przechwytywanie komunikacji między urządzeniem użytkownika a Internetem. Użytkownik łączy się z siecią, a cały jego ruch przechodzi przez infrastrukturę atakującego. W praktyce oznacza to możliwość podsłuchiwania transmisji, przechwytywania danych logowania, a nawet modyfikowania treści wyświetlanych stron. Użytkownik może korzystać z poczty, systemów firmowych czy bankowości elektronicznej, nie zdając sobie sprawy, że jego dane są na bieżąco analizowane.
SKUTECZNOŚĆ ATAKU
Spoofing SSID nie wykorzystuje skomplikowanych luk technicznych. Jego skuteczność wynika z architektury sieci Wi-Fi oraz nawyków użytkowników. Urządzenia mogą automatycznie łączyć się z zapamiętanymi sieciami, a użytkownicy przyzwyczajają się do konkretnych nazw i przestają je weryfikować. Atakujący może to wykorzystać, tworząc sieć o tej samej nazwie. Urządzenie może połączyć się z nią automatycznie, bez udziału użytkownika. Nawet jeśli oryginalna sieć jest zabezpieczona hasłem, nie zablokuje to cyberataku, kiedy atakujący wykorzysta w swojej to samo hasło. Wynika to z faktu, że urządzenia zapisują parametry sieci (nazwę, typ zabezpieczenia oraz hasło) i automatycznie szukają dostępnych sieci o tych parametrach.
Miejscami, w których ryzyko tego typu ataków jest największe, są hotele bądź lotniska. W takich lokalizacjach użytkownicy aktywnie poszukują sieci Wi-Fi i są przyzwyczajeni do łączenia się z hot spotami o nazwach, które się z nimi kojarzą. W efekcie mogą połączyć się z fałszywą siecią, a następnie zostać przekierowywani na fałszywe strony logowania lub korzystać z Internetu w sposób całkowicie kontrolowany przez atakującego.
SKUTKI SPOOFINGU SSID
Skutki spoofingu SSID mogą być poważne zarówno dla osób fizycznych, jak i dla organizacji. Oznacza to ryzyko dostępu do danych firmowych, dokumentów czy informacji objętych tajemnicą przedsiębiorstwa. Co istotne, administratorzy często mają ograniczone możliwości zapobiegania takim sytuacjom, ponieważ dochodzi do nich poza kontrolowaną przez nich infrastrukturą. Przechwycenie danych przesyłanych pocztą elektroniczną otwiera drogę do dalszych ataków.
JAK UCHRONIĆ SIĘ PRZED ATAKIEM
W celu uchronienia się przed omawianym zagrożeniem kluczowe jest odejście od założenia, że sama nazwa sieci świadczy o jej bezpieczeństwie. W praktyce powinno to spowodować większą ostrożność przy łączeniu się z Wi-Fi, nawet jeżeli sieć wygląda znajomo lub była wcześniej używana. Warto wyłączać automatyczne łączenie się z nowymi sieciami oraz każdorazowo upewnić się, czy dana sieć rzeczywiście pochodzi z zaufanego źródła (np. poprzez potwierdzenie jej nazwy u pracownika danej organizacji).
Istotne jest również korzystanie z dodatkowych zabezpieczeń transmisji, takich jak połączenia szyfrowane (HTTPS) czy VPN, które ograniczają ryzyko przechwycenia danych. W miarę możliwości należy unikać łączenia się z publicznymi hot spotami, a zamiast tego korzystać z własnego dostępu do Internetu, np. poprzez tzw. tetherting, czyli udostępnianie go z telefonu (najlepiej z wykorzystaniem kabla USB). W związku z tym w regulacjach wewnętrznych wielu organizacji wprowadza się ograniczenia dotyczące korzystania z niezaufanych sieci Wi-Fi. Często przewidują one również obowiązek korzystania ze służbowych urządzeń dopiero po uprzednim uruchomieniu połączenia VPN.