Varnost Wi-Fi omrežij v Sloveniji

WLAN omrežje oziroma t. i. Wi-Fi dostopna točka (ali več dostopnih točk) služi brezžični povezavi v
omrežje. Najsi gre za notranje omrežje podjetja oziroma ustanove ali pa za ločeno omrežje, morajo
lastniki teh omrežij vložiti veliko truda v to, da bi povečali stopnjo njihove varnosti, saj so v
primerjavi z žičnimi omrežji brezžična manj varna. Ali lahko Wi-Fi omrežje popolnoma zaščitimo? Ne.
Lahko pa močno povečamo stopnjo njegove varnosti in s tem preprečimo večino morebitnih
kibernetskih napadov.

Kako je z varnostjo Wi-Fi omrežij v Sloveniji?

Po naših izkušnjah je splošna varnost Wi-Fi omrežij v Sloveniji v primerjavi s sosednjimi državami
nižja. To je še posebej opazno pri večini podjetij oziroma organizacij, pa tudi pri fizičnih osebah (še
posebej tam, kjer so varnostne nastavitve še vedno tovarniške in ostanejo nespremenjene tudi več
let). Slaba praksa, da se programska oprema omrežne infrastrukture ne posodablja dovolj pogosto,
je sicer primerljiva s sosednjimi državami.

Vsaj tako so pokazale naše ugotovitve:

  • redka implementacija RADIUS ali podobnih rešitev in uporaba t. i. PSK načina (Pre-shared
    key – kar pomeni, da imajo vsi uporabniki enako geslo za dostop do omrežja),
  • enostavnost gesel,
  • zanašanje na nevidne dostopne točke,
  • pogosta raba zastarelih metod kriptiranja (npr. uporaba WPA1 ali WEP).

Najbolj pogoste napake in kako jih napadalci izkoristijo

Velika večina malih in srednje velikih podjetij, pa tudi javnih ustanov v Sloveniji pri brezžičnem
dostopu ne uporablja sistema posameznega določevanja pravic uporabnika (ki določa, do katerega
dela omrežja, naprav in podatkov ima uporabnik dostop), kot tudi ne posameznega uporabniškega
imena in gesla. Tako imajo vsi uporabniki določenega brezžičnega omrežja enako geslo in enake
pravice.

Opažamo, da je uporaba načina PSK (enako geslo za vse uporabnike) tako razširjena zaradi same
enostavnosti implementacije. V vpeljavo boljših mehanizmov (npr. RADIUS-a) je sicer potrebno
vložiti nekoliko več časa, vendar lahko s tem občutno povečamo varnost brezžičnega omrežja,
nastavimo pa lahko tudi različne pravice dostopov za različne uporabnike.

Potrebno pa je omeniti, da tudi RADIUS sistemi ne morejo zagotoviti 100 % zaščite, saj lahko
napadalci na primer s pomočjo metode lažnih dostopnih točk (“Evil Twin” napad ipd.) prestrezajo
uporabniška imena in druge podatke uporabnikov, v primeru kakršnihkoli napak pri implementaciji
sistema gesla pa lahko le-tega tudi ugotovijo. Še vedno pa so napadalci omejeni na pravice dostopov,
dodeljenih uporabniku, katerega prijavne podatke so uspeli pridobiti.

Pre-shared način (protokol WPA/WPA2-PSK), ki ga uporablja večina lastnikov brezžičnih omrežij, pa
je že v sami osnovi manj varen, saj vsem uporabnikom (ki dobijo enako geslo) omogoča dostop prek
dostopne točke do omrežja. Da imajo vsi uporabniki enako geslo, za domačo uporabo ni sporno,
manj primerno pa je za uporabo pri poslovnih omrežjih. Prav tako s tem načinom ni mogoče določiti
individualnih pravic, tj. kdo lahko dostopa do katerega dela omrežja, do katerih naprav ipd. Tako je
varnost dostopa do omrežja (prepogosto kar do celotnega, glavnega podomrežja podjetja ali
ustanove) odvisna le od enega samega gesla.

Močna gesla lahko povečajo varnost vašega omrežja

Napadalci v primerih, kjer je uporabljen PSK način, geslo poskušajo pridobiti tako, da pregledajo
seznam možnih gesel. V praksi to pomeni, da prestrežejo omrežne pakete začetne komunikacije (t. i.
handshake), zadnja leta pa jim je to olajšano še s pomočjo metode “PKMID”. To pomeni, da lahko
napadalci napade izvajajo tudi na točkah, ki v trenutku napada nimajo aktivnih odjemalcev. Po
opravljenem napadu lahko zapustijo fizično lokacijo, kjer se nahaja Wi-Fi dostopna točka in t. i.
primerjanje možnih gesel izvedejo s katerekoli druge lokacije. Samo primerjanje po navadi poteka s
pomočjo katerega od znanih programov za iskanje gesel. Ker je uspeh napadalcev pri takšnih
metodah odvisen od tega, ali imajo na svojem seznamu možnih gesel pravo geslo žrtve, je varnost
samega gesla odvisna od tega, kako močno je le-to.

Napadalci med izdelavo seznama možnih gesel po navadi upoštevajo dejstvo, da velik delež podjetij,
ustanov in posameznikov uporablja šibka gesla, ki so (pre)večkrat sestavljena iz logičnih besed, kot so
ime podjetja ali ustanove, po navadi v kombinaciji z nekaj številkami in mogoče kakšnim znakom. Kar
nekaj skript omogoča hitro in enostavno izdelavo dolgega seznama možnih gesel – npr. pri
izmišljenemu podjetju Podjetje d. o. o. napadalci lahko v le nekaj minutah izdelajo slovar, ki vsebuje
nekaj deset milijonov možnih gesel, ki nekje v geslu vsebujejo besedo “Podjetje” (ime podjetja),
številke in kakšen znak, na primer pomišljaj, klicaj, itd.

Te z lahkoto ustvarjene sezname napadalci nato primerjajo s kriptiranim geslom (ki so ga pridobili s
pomočjo handshakea ali metode PKMID). Geslo, ki vsebuje logične besede, četudi v kombinaciji s
številkami in drugimi znaki, torej nikoli ni varno in ga je v večini primerov možno pridobiti v relativno
kratkem času. Naše izkušnje kažejo, da kar tretjina podjetij še vedno uporablja gesla, ki so
sestavljena iz logičnih besed oziroma vsebujejo le-te (ime podjetja ali ustanove, katera od ključnih
besed v povezavi s podjetjem, katera od besed, ki je vsaj enkrat omenjena nekje na spletni strani
podjetja ali ustanov itd.).

Poleg klasičnega načina pridobivanja gesel, ki so kriptirana z WPA/WPA2-PSK, kar nekaj spletnih
storitev omogoča pridobivanje gesel s pomočjo močnih računalnikov, ki preizkušajo veliko količino
možnih kombinacij. Nekatere storitve to omogočajo s kar 40–50 % učinkovitostjo, kar pomeni, da
lahko pridobijo vsako drugo pravo geslo. Takšna storitev je v večini primerov plačljiva, vendar so
cene teh storitev relativno nizke, napadalcu pa lahko pomagajo pridobiti geslo ter nadaljevati samo
izvedbo napada.

Kako povečati varnost Wi-Fi omrežij?

Kot že omenjeno, v letu 2021 še vedno lahko najdemo brezžična omrežja, ki uporabljajo kodiranje
WEP. Ta standard je že več kot desetletje razbit in zanj obstajajo napadi, ki hitro razkrijejo geslo
omrežja. Pri načinu kodiranja po protokolu WEP (namesto po protokolih WPA/WPA2) lahko
napadalec brez kakršnegakoli razumevanja kodiranj/kriptiranj s 100 % gotovostjo pride do gesla z le
nekaj kliki. Žal to zelo zastarelo in nevarno metodo kodiranja uporabljajo nekatere industrijske in
druge naprave, ki zaradi zastarelosti ne podpirajo kriptiranj WPA/WPA2. Delež naprav z WEP
kodiranjem je po naših dosedanjih izkušnjah v Sloveniji večji kot v vseh sosednjih državah.

Veliko število lastnikov Wi-Fi omrežij poskuša varnost le-teh povečati tako, da na podlagi MAC številk
odjemalcev (unikatnih »serijskih« številk naprav) omeji, kdo lahko dostopa do omrežja. Takšna
zaščita v resnici ne pomaga, saj napadalci v “pasivnem načinu” vidijo, kdo vse se prijavlja na
določene brezžične točke ter njihove MAC številke, na podlagi tega pa lahko ponaredijo svojo MAC
številko, da ustreza kateri od tistih, ki jih dostopna točka spusti v omrežje.

Še ena od neučinkovitih metod, ki se jih poslužujejo lastniki Wi-Fi omrežij, je skrivanje imena
dostopne točke (non broadcasting SSID). To pomeni, da uporabniki, kadar v “aktivnem načinu” na
računalniku iščejo Wi-Fi omrežja okoli sebe, ne vidijo tistih, ki imajo skrita imena in so tako s tem za
njih nevidna. Ta metoda je za zaščito pred morebitnimi napadalci popolnoma neučinkovita, saj lahko
vsak napadalec s pravim orodjem za merjenje brezžičnega prometa v “pasivnem načinu” najde
imena teh omrežij.

Tudi če na primer poskrbimo za kriptiranje po protokolu WPA2 ter nastavimo dovolj dolgo in dovolj
zapleteno geslo, to še ne pomeni, da smo dovolj zaščiteni. Če programska oprema na omrežni
infrastrukturi ni dovolj pogosto posodobljena, lahko napadalec brez težav najde varnostne luknje za
določeno verzijo programske opreme (varnostne luknje so javno dostopne na spletu) in jih izkoristi.
V nekaterih primerih to pomeni, da lahko napadalec do omrežja dostopi kar brez gesla.

Še nekaj nasvetov za izboljšavo varnosti

Priporočljivo je preveriti topologijo omrežja, ki ima brezžične dostopne točke in določiti, ali je
smotrno imeti “managed” sistem (npr. RADIUS), ne le s stališča varnosti ampak tudi z vidika
urejenosti internega omrežja.

  • Če uporabljamo “managed” sistem namesto enostavnega PSK načina, moramo poskrbeti za
    pravilno implementacijo celotnega sistema, saj lahko sistem, ki sicer v osnovi omogoča višji
    nivo varnosti, v primeru nepravilne implementacije povzroči ravno nasprotno – močno
    zmanjša varnost omrežja.
  • Priporočljivo je zamenjati opremo, ki ne omogoča protokola WPA2, hkrati pa moramo biti
    pozorni na prihajajoč protokol WPA3, ki bo začel nadomeščati WPA2 in bo onemogočil
    dosedanje metode pridobivanja gesel.
  • V primeru uporabe protokola WPA2-PSK (uporaba enakega gesla za vse) naj bo geslo dovolj
    dolgo (vsaj 13 znakov) in dovolj zapleteno (brez kakršnihkoli logičnih besed, kombinacija tako
    velikih kot malih črk, številk in drugih znakov).
  • Ne zanašajmo se na skrivanje imena dostopne točke (hidden SSID) in/ali na omejevanje
    dostopa glede na MAC številko uporabnikov, ker te nastavitve dajejo le lažen občutek
    varnosti, v resnici pa ne prispevajo k dejanski varnosti.
  • Redno nadgrajujmo programsko opremo brezžičnih usmerjevalnikov in dostopnih točk.
  • Priporočljivo je imeti posebno omrežje za goste in ga ustrezno ločiti od omrežja, kamor se
    povezujejo zaposleni in naprave v podjetju. Nemalokrat je omrežje za goste napačno
    implementirano, kar napadalcu, ko se prijavi v omrežje za goste, omogoča dostop do
    “glavnega” omrežja, kar je seveda velika varnostna pomanjkljivost.
  • Priporočljiva je uporaba posebnih “protivlomnih” dostopnih točk, ki prepoznajo nekatere
    metode pridobivanja gesel pri protokolih WPA/WPA2-PSK in morebitne poskuse
    prisluškovanja prometu na omrežjih (Man In Middle Attack).

Brezžičnih omrežij torej nikoli ne moremo povsem zaščititi. Lahko pa poskrbimo za visoko stopnjo
varnosti, kar močno oteži delo nepridipravom in tako omrežje za večino potencialnih napadalcev
naredi neprivlačno.