Menu

Je vaše Wi-Fi síť bezpečná?

NA DVD

Všechny v článku zmíněné programy najdete na Chip DVD. Nechybí nástroje pro nastavení routeru, pro zabezpečení sítě, ale také správce hesel. Programy najdete pod indexem: Wi-Fi

Je vaše Wi-Fi síť bezpečná?

Jak zajistit Wi-Fi síť? Mnoho tipů pro její zabezpečení již dávno neplatí. Ukážeme vám, jak skutečně ochránit bezdrátovou síť.
VRATISLAV KLEGA

Kdo chce mít bezpečné připojení, ten se většinou bezdrátové síti vyhýbá. Šifrování, které bylo ještě nedávno považováno za bezpečné, je prolomeno. Šifrování, které používáme nyní a které v současné době považujeme za bezpečné, bude také jednou prolomeno. Jak ale vytvořit co nejvíce bezpečnou síť? Bude stačit dlouhé heslo nebo filtr MAC adres? V případě šifrování WEP toho moc nepomůže, tato technologie je již překonaná. I když ale použijete nejmodernější šifrování, je třeba myslet na to, že heslo musí být dostatečně dlouhé a hlavně "neuhodnutelné".

Nebezpečí otevřených sítí

Snad každému se stalo, že se přihlásil do nezabezpečené sítě. Třeba to nemuselo být ani úmyslně – některé smartphony a tablety se automaticky připojují k sítím, které nejsou zabezpečené. Štěstí je, že z právního hlediska se nic neděje. Pokud se nepokoušíte do Wi-Fi sítě "vlámat", neděláte nic nelegálního. Problém nastává, pokud byste v takové síti třeba sdíleli autorsky chráněný obsah. Podle rozhodnutí evropských soudů je provozovatel Wi-Fi sítě odpovědný za to, co se v síti děje. Proto veřejné sítě, které bývají třeba v restauracích, mívají úvodní obrazovku, ve které je třeba odsouhlasit podmínky pro používání sítě. Nic to však nemění na tom, že svou Wi-Fi síť byste měli mít zabezpečenou, aby se do ní nemohl kdokoliv připojit.

Slabý WEP

V Chipu neustále opakujeme, že šifrování WEP je dávno překonané a nenabízí potřebnou míru bezpečí. V Chipu 7/09 jsme dokonce přinesli návod, jak je překonat. Proč je ale šifrování WEP nebezpečné?
Šifrování WEP je symetrické – používá se stejný algoritmus a stejný klíč jak pro šifrování, tak pro dešifrování. Základem je 40bitový klíč, který je však stejný pro všechny uživatele sítě. Pro autentizaci proti přístupovému bodu se používá právě tento klíč + MAC adresa síťové karty, kterou si kdokoliv může změnit. Při přístupu tedy nedochází k žádnému ověření uživatele, ale jen klíče, který je veřejný, a MAC adresy síťové karty, kterou si můžeme libovolně zvolit. Samotná data jsou pak přenášena 64bitovým klíčem: ten je tvořen oním 40bitovým známým klíčem a zbylých 24 bitů tvoří inicializační vektor, který je nový pro každý jednotlivý paket. Jelikož je tento 64bitový klíč z velké části tvořen stále stejným 40bitovým klíčem, lze statistickým útokem WEP velmi rychle prolomit.
Jak zabezpečit síť, která používá jen WEP šifrování? To jde opravdu těžko. Existují složité metody, jako je třeba RADIUS, kde se ještě před připojením do sítě musí identifikovat samotný uživatel (místo síťové karty), ale za mnoho úsilí stejně nedostanete dostatečné zabezpečení. Jediným řešením zůstává VPN tunel – v rámci byť nezabezpečené sítě vytvoříte šifrovaný tunel. Hacker zachytí všechny pakety, které posíláte, ale stejně v nich nic neuvidí, protože ty jsou součástí šifrovaného streamu.

WPA: Také prolomeno

Rok poté, co se veřejně ví, že WEP není dostatečně bezpečný, přichází šifrování WPA. To odstraňuje hlavní nevýhodu WEP, tedy statické klíče. Na řadu přichází tzv. TKIP (Temporal Key Integrity Protocol). Díky tomuto protokolu vypadá WEP mnohem více sofistikovaně – TKIP klíč má 40 bitů a je originální pro každý paket. Šifrovací klíče se tak neustále mění, což zvyšuje bezpečnost. Nevýhodou je, že na straně klienta musí běžet démon, který spravuje šifrovací klíče. U počítačů to není problém, u málo výkonných zařízení, jako jsou třeba mobilní telefony, však tento démon odčerpává výkon. WPA používá 128bitový šifrovací klíč, což je oproti WEP opět krok k bezpečnosti, i když je použita stejná šifra.
Velkou výhodou je také kontrola integrity dat. Zatímco WEP používal starý algoritmus CRC-32, WPA používá moderní MAC (Message Authentication Code), algoritmus Michael. Jeho součástí je počítadlo rámců, díky kterým je nemožné opakovat paketovou komunikaci, která již proběhla. Přístupový bod ví, že tato komunikace již "vypršela", a nebude se s hackerem snažícím se dostat do sítě vůbec "bavit".
Jenže i WPA-TKIP byl prolomen, stačí k tomu velmi vysoký výkon a dostatek času. Kdo chce mít bezpečí, měl by tedy použít WPA2. Toto šifrování ale zase neumí všechna zařízení. Jaké je řešení? Některé routery umí kombinaci WPA+AES. On to vlastně ani žádný standard není, protože AES šifrování má být až ve WPA2, ale pokud takto zařízení fungují, máte síť dostatečně zabezpečenou. A jestliže už musíte použít TKIP, vypněte na routeru podporu QoS. Právě QoS je totiž slabinou, přes kterou se útoky provádí.

WPA2: Nejbezpečnější

Bylo by naivní si myslet, že šifrování WPA2 bude neprolomitelné. Dokonce již existují zprávy, že WPA2 bylo prolomeno za použití velmi výkonných grafických karet nVidia (s technologií CUDA), prozatím jde však o velmi specifické útoky, kterých se domácnosti zdaleka nemusí obávat. Vše je ale samozřejmě jen otázkou času a výkonu. Odhadujeme, že do tří let bude šifrování WPA2 relativně jednoduše prolomitelné.
"Wi-Fi Protected Access 2" používá velmi bezpečné šifrování AES (Advanced Encryption Standard). Vedle TKIP se používá také CCMP (Counter-Mode/CBCMAC Protocol), který je rovněž postavený na AES.
Slabinou WPA2 je možnost útoku pomocí slovníkové metody a hrubé síly. Slovníková metoda obsahuje hotová slova, ale také kombinace čísel. Heslo jako "12345678" je prolomeno velmi rychle. Útok hrubou silou pak jednoduše kombinuje veškeré kombinace znaků – to sice trvá značně dlouho, ale pokud je heslo krátké a jednoduché (neobsahuje čísla a speciální znaky), může se k němu útočník dostat již za pár minut. Právě proto byste měli používat heslo, které má šestnáct znaků, obsahuje malá i velká písmena, čísla i speciální znaky. Rozlousknout takto komplikované a dlouhé heslo by trvalo minimálně desetiletí (při současném výkonu počítačů). Nechce se vám složité heslo vymýšlet? Na Chip DVD najdete generátor hesel.
Stejně bezpečné heslo byste měli použít i pro přístup ke svému routeru – tedy administrátorské heslo. U některých routerů se lze dostat do nastavení konfigurace i přímo z internetu, takže útočník by mohl přes webové rozhraní zjistit heslo k Wi-Fi, nebo jej aspoň změnit.  A přestože nemáte konfiguraci "z WAN" portu povolenu, stále nemáte vyhráno. Pomocí zmanipulované webové stránky, kterou otevřete na svém počítači, se může útočník dostat do nastavení konfigurace vašeho routeru. Heslo tedy rozhodně nastavte dostatečně bezpečné.

Filtrování podle MAC adresy

Mít silné šifrování je naprostý základ. Některá starší zařízení si však neporadí s novými standardy šifrování, a to nejen s WPA2, ale ani s WPA. Pak nezbývá nic jiného než použít šifrování WEP. V tom případě je třeba aktivovat nějakou další ochranu, například povolení přístupu jen na konkrétní MAC adresy. Co to znamená? K access pointu se budou moci připojit jen zařízení s ověřenou síťovou kartou. Ostatní zařízení, i když budou znát správné heslo, se do sítě zkrátka nepřipojí.
Otevřete webové rozhraní svého routeru a v části pro konfiguraci Wi-Fi sítě hledejte položku, která se jmenuje "MAC filter". Zde pak nastavte, že připojovat se mohou jen zařízení s konkrétní MAC adresou (Allow). Do řádku zadejte MAC adresu konkrétního počítače nebo zařízení, které se má připojovat. Jak adresu zjistíte? Spusťte příkazový řádek a zadejte příkaz
ipconfig –all
Ve výpisu si najdete bezdrátovou síťovou kartu (většinou má v názvu Wireless). Zde pak uvidíte položku "Fyzická adresa". Tu napište do zadaného řádku. Je třeba dávat pozor na to, v jakém stavu chce router adresu znát: někdy jen jako neoddělená čísla, někdy je mezi nimi třeba udělat dvojtečku a někdy musíte adresu opsat s pomlčkou. U smartphonu najdete MAC adresu většinou na sériovém štítku schovaném pod baterií. U iPadu najdete MAC adresu přímo v menu s nastavením.
Proč je filtrování přístupu podle MAC adres jen berličkou? Router sice nedovolí, aby se připojila jiná síťová karta než ta, která je v seznamu, problémem je ale to, že každý si může nastavit libovolnou MAC adresu na své síťové kartě. Pro zkušeného hackera není problém zjistit ani to, jakou MAC adresu má váš notebook. Nejde tedy o skutečné zabezpečení, spíše o jakousi překážku pro potenciálního útočníka.

Skrytí sítě

Poslední maličkostí, kterou můžete udělat, je skrytí sítě. Většinou se funkce jmenuje jako Hide SSID, tzn. skryj SSID neboli název sítě. Pokud síť skryjete, náhodný "kolemjdoucí" ji neuvidí a nebude se pokoušet k ní připojit. Abyste se k síti připojili, musíte znát nejen heslo, ale také právě SSID, tedy název sítě. Bez znalosti jména sítě se k ní nepřipojíte. Opět to ale není kdovíjak sofistikovaná metoda, kterou byste síť ochránili, jedná se spíše o klacíček hozený pod nohy.

Pro domácnost bezpečné

To, že Wi-Fi sítě nejsou dostatečně bezpečné, není překvapující. Pro výrobní podniky nebo banky tak nepřipadá v úvahu, že by se počítače nebo jiná zařízení připojovala bezdrátově. Riziko je příliš vysoké. V domácím použití však nemusíte mít žádný strach. Výpočetní výkon, který je potřeba k prolomení byť obyčejného WPA, je vysoký a jen těžko bude stát útočníkovi za námahu. Pokud tedy doma budete mít nasazené šifrování WPA2 a k tomu dostatečně silné heslo, můžete být zcela bez obav.
AUTOR@CHIP.CZ

Nechráněná Wi-Fi
Žádné Wi-Fi heslo
Útok: Žádný útok není potřeba, síť je otevřená
Doba prolomení: Okamžitě
Bezpečnost: Veškerá komunikace je nezabezpečená a kdokoliv ji může prakticky bez práce ukládat

Špatně zabezpečená Wi-Fi
WEP klíč, MAC filtr, zamaskování SSID
Útok: PTW útok, FMS/KoreK
Doba prolomení: 5 – 15 minut
Bezpečnost: Do sítě se dokáže dostat i méně zkušený nebo začínající hacker.

Málo zabezpečená Wi-Fi
Krátké WPA2 heslo
Útok: Slovníkovou metodou nebo hrubou silou
Doba prolomení: 20–120 minut
Bezpečnost: Zkušený hacker dokáže s dostatečným výkonem takovou síť prolomit do dvou hodin.

Dobře chráněná Wi-Fi
Dlouhý WPA2 klíč
Útok: Slovníková metoda, hrubá síla
Doba prolomení: několik let
Bezpečnost: Hacker nemá šanci se do sítě dostat.


Plná verze: FTP klient nejen pro Wi-Fi
S FTP servery můžete pracovat přímo z prostředí Průzkumníka Windows nebo Internet Exploreru – zdaleka ovšem ne s takovým komfortem jako při použití plnohodnotného FTP klienta.
Plná verze FTP klienta WISE-FTP z Chip DVD nabízí všechny potřebné funkce pro připojení a pohodlnou výměnu dat s FTP servery a ještě mnohem víc. Vedle nastavení parametrů připojení k FTP serverům, jako je typicky rychlost přenosu dat, nabízí WISE-FTP například i automatickou kompresi nebo šifrování dat nahrávaných na FTP servery. Třeba i pro zálohování dat na FTP servery můžete použít plánovač úloh a nastavit si v něm pravidelné, automaticky prováděné přenosy dat. Přestože WISE-FTP nemá uživatelské rozhraní v češtině, je program snadno ovladatelný i pro méně zkušené uživatele. V programu najdete i několik desítek přednastavených FTP serverů se zajímavým obsahem.
Tuto plnou verzi a další programy k článku najdete na Chip DVD pod indexem Wi-Fi.


NEJHORŠÍ HESLA
32 milionů hesel ukradli hackeři ze sociální sítě RockYou, která se orientuje na hry a zábavu. Závěr: Většina uživatelů používá velmi jednoduchá hesla.

Heslo    Počet uživatelů s tímto heslem
123456        290 731
12345              7 978
123456789    76 790
Passwort       61 958
iloveyou         51 622
princess        35 231
rockyou         22 588
1234567       21 726
12345678     20 553
abc123         17 542



Bezpečné surfování v otevřeném hotspotu
Veřejně přístupné hotspoty jsou rájem zlodějů dat. Nikdo je zde neruší, nenápadně tak mohou získávat data. Obzvláště když hackerské programy jsou tak snadno dostupné.
Máte malý FUP u svého 3G internetu? Pak jistě používáte také veřejné hotspoty, které najdete v kavárnách nebo obchodních centrech – ty jsou zdarma a zcela nezabezpečené. Útočník tak odchytává ze vzduchu veškerou vaši komunikaci a vše, co není šifrované, okamžitě vidí – hesla, e-maily, webové stránky. Ukrást takové pakety je mnohem jednodušší, než se může zdát.
Cookie Díky cookie se nemusíte přihlašovat ke svým účtům na Facebooku, Googlu nebo Seznamu. Prohlížeč si pamatuje údaje o připojení, takže nemusíte pokaždé zadávat jméno a heslo, což příjemně šetří čas. Problém je, pokud hacker cookie ukrade, což je velmi jednoduché. Sice tím nezíská přímo přihlašovací údaje, nicméně může prohlížet váš účet stejně, jako by údaje znal, protože se prostřednictvím svého browseru přihlásí k vašemu účtu. Řešení tohoto problému nabízí aplikace HTTPS Everywhere, kterou najdete na Chip DVD. Tento doplněk pro Firefox vynucuje připojení pomocí zabezpečeného protokolu HTTPS. Pokud je totiž komunikace řešena výhradně pomocí HTTPS, pak nejsou útočníkovi ukradené pakety k ničemu, protože se nedostane k jejich obsahu. Pro jiné prohlížeče bohužel takový doplněk neexistuje, zde si musíte ručně hlídat, aby komunikace procházela jen přes HTTPS. Doplněk samozřejmě může fungovat jen u takových služeb, které HTTPS podporují, ze zmíněných jsou to naštěstí všechny.
Problémové smartphony Díky masivnímu rozvoji smartphonů s operačním systémem Android se tato platforma stala zajímavým cílem pro hackery, a tak nechybělo dlouho a v systému byly objeveny velké bezpečnostní mezery. Útočník se mohl dostat k fotografiím na serveru Picasa, ale také do Google kalendáře a kontaktů v telefonu. Google na chyby zareagoval a v Androidu verze 2.3.4 jsou všechny bezpečnostní mezery zavřené. Pokud máte starší verzi Androidu, pak doporučujeme aplikaci SyncGuard, kterou najdete na Chip DVD.
Bezpečnostním problémem je pak samozřejmě Wi-Fi, ke které se smartphony připojují. Veškerá nešifrovaná data jsou útočníkovi podávána na stříbrném podnose. Řešením je buď zcela zakázat Wi-Fi, nebo používat VPN tunel.

Foto: Wi-Fi mezery: Starší Androidy mají bezpečnostní mezery. Náprava přišla až s verzí 2.3.4.
Foto: Zloději dat: Nenápadní hackeři odchytávají komunikaci v nezabezpečených sítích. Tak získají hesla, ale také cookies, díky kterým se mohou přihlásit ke službám uživatelů, kteří surfují v nezabezpečené síti.


BEZPEČNÉ HESLO
Trik pro bezpečné heslo spočívá ve využití libovolné věty místo samotného slova. Pokud poté použijete v hesle první znaky z každého slova věty, vytvoříte kombinaci, se kterou si žádný hackerský software neporadí.
Příklad: Věta 'V Brně jsem potkal 3 opilé kočky s Karlem v tramvaji číslo 12' vytvoří heslo 'VBjp3oksKvtč12', které patří do kategorie 'hackerova noční můra'.
Ideální samozřejmě je, pokud máte pro každou službu (nebo program) jiné heslo. Pokud už vám ale paměť příliš neslouží, zjednodušte si práci přidáním specifického řetězce. K výše zmiňovanému bezpečnému heslu si pro heslo na Seznamu přidejte 'Szn', u archivů třeba 'rar' a na Facebooku 'fb' zjednoduší to zapamatování a ztíží to práci hackerům.
Podobným způsobem si lze ulehčit i pravidelnou obměnu hesla - na počátek či konec přidejte kód pro vybrané období - mohou to být čísla 1211 pro prosinec 2011 nebo 04 pro poslední kvartál letošního roku.


PŘÍLIŠ KRÁTKÁ HESLA
32 milionů uživatelů, tedy téměř polovina použila příliš krátké heslo.
26 %     6 znaků.
20 %     8 znaků.
19 %     7 znaků.
12 %     9 znaků.
9 %     10 znaků.
4 %     11 znaků.
4 %       5 znaků
2 %     12 znaků
1 %     13 znaků.


Kdo je wardriver?
Noční můra pro bezpečnostní experty, nebo neškodná práce kartografů? Motivace jednotlivých wardriverů se liší.
Wardriver je osoba, která s notebookem, případně smartphonem, vyhledává Wi-Fi sítě a informace o nich pečlivě zapisuje – tedy jméno sítě, šifrování, její umístění, a to včetně GPS souřadnic. Tyto informace pak zanáší do mezinárodní databáze.
Motiv: Motivy, proč to lidé dělají, jsou tři. Prvním je skutečný zájem o Wi-Fi sítě, kdy si komunita navzájem vytváří mapu s pokrytím Wi-Fi sítí. Nechtějí síť vůbec využívat, jen zanáší informace o tom, kde se síť nachází. Zkrátka vytváří databázi. Druhou skupinou jsou uživatelé, kteří chtějí síť používat pro soukromé účely, třeba když jedou na dovolenou do cizího města, tak si vyhlédnou, kde je volná Wi-Fi a odtud si stáhnou e-maily nebo odešlou fotografie. Třetí skupinou jsou pak záškodníci, kteří otevřené sítě zneužívají a používají je třeba pro šíření škodlivého softwaru, nebo útoku na počítače.
Seznam sítí: Pokud se chcete zařadit do druhé skupiny, nezbude vám nic jiného než hledat na internetu. Komunit, které takto sdílí informace o bezplatných hotspotech, jsou tisíce, nejjednodušší je použít Google. Dobré zkušenosti máme se službou www.wefi.com. Zde najdete již přes 100 milionů hotspotů, které jsou po celém světě, Českou republiku nevyjímaje.

Foto: Výbava: Správný wardriver je vybaven notebookem s výkonnou Wi-Fi kartou (externí anténa s lepším dosahem) a často také GPS přijímačem, aby mohl přesně určit polohu Wi-Fi sítě.


Bluesnarfing: Nebezpečí přes Bluetooth
Hackeři se mohou prostřednictvím Bluetooth dostat do vašeho telefonu, aniž byste o tom věděli.
Nejen Wi-Fi je nástrojem hackerů. Také pomocí Bluetooth je možné manipulovat se zařízeními. Pokud hacker provede útok na Bluetooth funkce telefonu, může telefonovat, číst a psát SMS, pracovat s kontakty, a dokonce může telefon vypnout. Riziko tohoto útoku je však nízké, protože majitel telefonu musí potvrdit připojení Bluetooth. Bez povolení se hacker nikam nedostane. Samozřejmě může použít skenování portů a telefon třeba i zahltit, ale tím se nedostane k datům, která jsou v telefonu uložena. Důležité je, aby uživatelé nepřijímali požadavky na Bluetooth spojení.
U chytrých telefonů jsou novým problémem QR kódy. Stačí totiž, aby je uživatel se svým smartphonem vyfotil, a automaticky se otevře webová stránka, která je zakódovaná v QR kódu. Na pozadí internetové stránky se stáhne do telefonu malware a bez vědomí uživatele se nainstaluje. Takový malware pak může třeba odesílat prémiové SMS zprávy s vysokou sazbou. Dejte si proto pozor, které QR kódy snímáte.


SNADNÁ HESLA
Uživatelé volí jednoduchá hesla, která obsahují jména, nebo jako heslo volí "heslo". To je příležitost pro slovníkové útoky.
Vlastní jména
Jméno kamaráda
Slovo „heslo“



Foto: WeFi: V databázi jsou miliony Wi-Fi sítí.
Foto: WeFi: Přímo v mapě vidíte, které hotspoty jsou zdarma a kde přesně se nachází.
Foto: Bezpečně: Kombinace šifrování WPA2 a dlouhé složité heslo jsou zárukou bezpečné sítě.
Foto: Filtrování: Na routeru můžete povolit připojení jen konkrétních síťových karet. Pro zkušeného hackera je to však jen klacek pod nohy.