WiFi ja mobiilside turvalisus
Avalik WiFi
Avalikuks WiFiks kutsutakse krüpteerimata ühendusega WiFi võrku. Avalik WiFi on mugav turistidele ja külalistele, aga mugavusega kaasnevad märkimisväärsed riskid nii WiFi pakkujale kui ka kasutajatele.
Avaliku WiFi võrgu pakkuja
Lisaks tavalistele kasutajatele pakub avalik WiFi võrk anonüümset internetiühendust inimestele, kes ei taha, et neid identifitseeritaks. Avalikku võrku saab kasutada küberrünnakute jaoks, piraatluse jaoks, anonüümsete postituste tegemiseks, jne. Sealjuures võib olla vastutav WiFi võrgus toimunud rünnakute või piraatluse eest võrgu pakkuja. Näiteks Saksamaal oli avaliku võrgu pakkuja vastutav kõige eest mida võrgu kasutajad teevad ning seetõttu oli Saksamaal väga vähe avalikke WiFi võrke. Viimasel ajal on hakatud Saksamaal vastavat seadusandlust muutma.
Lahenduseks on luua võimalus kasutaja identifitseerimiseks või siis piirata juurdepääsu võrgule. Esimene variant eeldab juurdepääsusüsteemi ehitamist, mis nõuaks kasutajate tuvastamist. Teine lahendus on kaitsta WiFi võrku parooliga ja pakkuda parooli klientidele.
Kindlasti peab avaliku WiFi võrgu pakkuja muutma WiFi ruuteri seadeid nii, et ruuteri juurdepääsu kasutajanimi ja parool erineksid tehase seadetest. Samuti peab ruuteri juurdepääsu parool olema piisavalt keeruline, et seda ei saaks lahti murda.
Avaliku WiFi võrgu tarbija
Avaliku võrgu tarbija, kes ei kasuta lisameetmeid enda kaitsmiseks jätab andmeside kaitsmise teenuste ja veebilehtede hooleks. Kahjuks paljud veebilehed ei kasuta krüpteeritud HTTPS ühendust.
Seega peab avaliku võrgu kasutaja eeldama, et suurem osa andmesidest on maailmale nähtav. Seega kaob avalikus WiFi võrgus privaatsus, võõrad inimesed saavad jälgida avaliku võrgu kasutajaid ja salvestada vastavat andmesidet.
Avaliku võrgu kasutaja võib kogemata lekitada:
- kasutajanimesid ja paroole
- sessiooni küpsiseid
- privaatseid isikuandmeid
- enda suhtlusvõrgustikku
Avaliku võrgu ründaja
Ründaja saab olla passiivne ja koguda võrgu kasutajate andmeid, et neid hiljem ära kasutada. Aktiivne ründaja saab näiteks üle võtta avaliku võrgu kasutajate sessioone, luua oma avaliku WiFi võrgu, et sinna ohvreid meelitada ja kasutada vahendusrünnet.
Demo: Avaliku WiFi võrgu pealtkuulamine. Praktikumi juhendaja on üles seadnud avatud WiFi võrgu, mida on võimalik Wireshark abil pealt kuulata. Selleks on vaja seadistada võrgukaarti nii, et see oleks vastuvõtvas režiimis (promiscuous mode ).
WiFi seadistamine
Ühenduse krüpteerimine
Krüpteerimata WiFi võrgus liikuvat andmesidet saab lihtsalt pealt kuulata ja seega on krüpteerimata WiFi võrku kasutades võrgus liikuv info avalik. Nii võib võõrastesse kätesse sattuda kirjavahetus, kasutjanimed, paroolid, sessiooni küpsised, jne.
Järgnevalt lühike ülevaade WiFi liikluse krüpteerimislahendustest:
WEP - vanema põlvkonna turvaprotokoll, mis võeti kasutusele 1999. aastal. WEP (Wired Equivalent Privacy) kasutab andmeside krüpteerimiseks 64 bitiseid või 128 bitiseid võtmeid. WEP sisaldab mitmeid turvaauke, mis võivaldavad ründajatel võrgule paari minutiga juurde pääseda. Isegi kui turvaauke ei leiduks, siis tekiksid turvaprobleemid juhul kui kasutusel oleks 64 bitine WEP versioon, sest 64 bitist on võtme jaoks reserveeritud 40 bitti ja 24 bitti on juhuslikkuse (IV) jaoks.
WPA - turvaprotokoll, mis võeti kasutusele 2003 aastal ja mis asendas WEP. WPA (Wi-Fi Protected Access) kasutab andmeside krüpteerimiseks 256 bitiseid võtmeid. Erinevalt WEP-st sisaldab WPA terviklikkusse kontrolli, mis tagab selle, et andmepakette ei modifitseeritaks. WPA režiim TKIP sisaldab turvaauku, mistõttu tuleks kasutada režiimi AES. WPA on turvaline juhul kui vastav parool on piisavalt turvaline - kasutage minimaalselt 13 sümboli pikkust parooli, mis ei sisalda sõnu ega nimesid.
WPA2 - WPA edasiarendus, standardne turvaprotokoll, mida toetab riistvara, mis on toodetud alates 2006 aastast. WPA2 turvaprotokoll kasutab krüpteerimiseks AES šifrit ning selle vastu ei ole teada ühtegi rünnet. WPA2 tagab turvalisuse ainult juhul kui kasutusel on tugev parool. Suuremates ettevõtetes kasutatakse enamasti WPA2 Enterprise versiooni, mille korral toimub kasutajate autentimine eraldi võtmeserveri abil ning puudub kõigi kasutajate jaoks ühine jagatud wifi parool. WPA2 Enterprise versiooni ründamine on oluliselt keerukam kui tavakasutajatele mõeldud WPA2 ründamine, kuid see on teatud tingimustel siiski võimalik: Attacking WPA2 Enterprise.
WiFi ruuter tuleks seadistada nii, et see kasutaks turvaprotokolli WPA2. Kui WPA2 ei sobi kõikidele võrgus olevatele seadmetele, siis seadistage WiFi ruuter kasutama turvaprotokolli WPA, kasutades võimalusel TKIP asemel AES režiimi. Ärge kasutage turvaprotokolli WEP, kuna see on ebaturvaline. Väga oluline on kasutada turvalist parooli, sest nõrga parooli kasutamisel on wifi võrgu ründamine äärmiselt lihtne. Näiteks saavad TÜ andmeturbe aine praktikumis teise kursuse informaatikatudengid hakkama nii WEP, WPA kui ka WPA2 murdmisega ilma varasemaid eelteadmisi omamata. Kui teid huvitab vastavate rünnete praktiline pool, siis võite uurida andmeturbe wifi praktikumi juhendit: https://courses.cs.ut.ee/2018/turve/spring/Main/Praktikum9.
2017 aasta oktoobris avalikustati WPA2 turvaprobleem (KRACK), mis võimaldas krüptovõtme kokkuleppimist rünnata ning selle kaudu saada juurdepääs võtmele. Vastava ründe abil õnnestuks WPA2 liiklust dekrüpteerida ning sõltuvalt võrgu seadistusest võib olla võimalik ka pakettide modfitseerimine ning ründaja poolsete pakettide lisamine. Probleem tulenes otseselt WPA2 protokolli spetsifikatsioonist, mistõttu olid kõik rakendused, mis protokolli kirjeldust täpselt järgisid turvaprobleemi poolt mõjutatud. Vea leidmiseks kulus aastaid hoolimata sellest, et vastavat protokolli kasutasid miljardid seadmed. Põhjus peitub selles, et IEEE standardite loomise protsess pole avalik ning vastavatele standarditele on raske juurdepääsu saada. Täpsemalt kirjutas antud probleemist Matthew Green: Falling through the KRACKs. KRACK parandamiseks tuleb paigata Wifi klientseadmete püsivara (firmware), aga seda saavad teha ainult vastavad riistvara ja tarkvara tootjad. Wifi tugijaamad ei olnud kirjeldatud vea poolt mõjutatud juhul kui nad ei käitunud klientseadmetena.
SSID muutmise olulisus
SSID ehk tugijaama nimi võib lihtsustada WiFi võrgu vastast rünnet. Ründaja võib tehase poolt määratud SSID abil tuvastada ruuteri tootja ja mudeli ning vastava mudeli turvaauke ära kasutades ruuterit rünnata. Samuti kasutatakse SSID ehk tugijaama nime koduste WiFi-ruuterite WPA ja WPA2 võtme tuletamisel soolana, mistõttu võib levinud SSID kasutamine muuta WPA / WPA2 vastase brute force ründe lihtsamaks, sest levinumate SSID nimede jaoks on vastavad räside tabelid valmis arvutatud. Näiteks Elioni poolt jagatavate Thomson ruuterite vaikimisi võrgunimest (SpeedTouchXXXXXX või ThomsonXXXXXX) saab lihtsa vaevaga konkreetse seadme "unikaalse" vaikimisi seadistatud parooli tuletada.
WPS
Turvalist krüpteerimislahendust (WPA2) kasutav WiFi on turvaline ainult siis kui kasutusel on ka tugev parool. Kuna kasutajad ei oska oma WiFi tugijaama turvaliselt seadistada ning tugeva parooli sisestamine klientseadmetesse (eriti nutiseadmetesse) on tülikas, on selle lihtsustamiseks loodud Wi-Fi Protected Setup (WPS).
Üks, kõige levinum WPS lahendus on see, et ruuteril olevale kleepsule on trükitud PIN kood, mis tuleb klientseadmes sisestada ning selle abil saab klientseade ruuterilt teada juba pikema andmeside krüpteerimiseks kasutatava parooli. 2011. aasta lõpus avaldati rünne, mis võimaldas jõu meetodil (brute-force attack) WPS PIN koodi ära arvata. Põhjus on selles, et WPS protokoll kontrollib 7-kohalise PIN koodi korrektsust sõltumatult kahes osas. Selle tulemusena ei pea ründaja ära arvama mitte 7-kohalist koodi (10 000 000 varianti), vaid 4-kohalise koodi (10 000 varianti) ja 3-kohalise koodi (1000 varianti). 11 000 variandi läbiproovimine on aga tehtav umbes tunni ajaga. Kui WPS PIN on teada, siis edasi saab ruuterilt juba WPA/WPA2 parooli.
WiFi ruuteri seadistamise kokkuvõte
- administreerimise kasutjanime ja parooli vahetamine
- WiFi tugijaama nime (SSID) muutmine
- WiFi krüpteerimise seadistamine
- ruuteri tulemüüri seadistamine
- WPS keelamine, arvestades, et see funktsionaalsus võib esineda ka teiste nimede all, näiteks QSS
Mobiilside
Kõige levinumas mobiilsidevõrgus ehk GSM võrgus kasutatakse andmete krüpteerimiseks algoritmi nimega A5/1. A5/1 arendati välja kaheksakümnendatel ja algoritm hoiti salajas kuni 1994 aastani. Algoritmi täielik spetsifikatsioon sai avalikuks alles 1999 aastal ja tänu pöördkodeerimisele. GSM standardi loomise ajal oli vaja otsustada kas GSM võrgus liikuvaid andmeid on vaja kaitsta tugeva krüpto algoritmiga või nõrgestatud krüpto algoritmiga, mis võimaldaks riikidel GSM võrku pealt kuulata. Antud arutelu täpset tulemust pole teada, aga on teada, et vastav krüpto algoritm loodi kahes versioonis. Esimene versioon oli A5/1, mis sai üldiseks standardiks ja teine variant oli nõrgestatud A5/2, mida pakuti ekspordiks väljaspoole Euroopat.
Praeguseks on teada, et mõlemad algorimid on ebaturvalised. Seetõttu keelati 2006 aastal GSMA poolt A5/2 kasutamine GSM telefonides. 2007 aastal otsustas 3GPP, et uued telefonid ei tohi omada A5/2 tuge, sest turvalisem A5/1 on laialdaselt kasutusel.
Krüptoalgoritmi A5/1 vastu on leitud mitmeid erinevaid ründeid, nende kohta saab täpsemat infot vastavast Wikipedia artiklist: https://en.wikipedia.org/wiki/A5/1#Security. Meie jaoks on olulised alates 2007 aastas pärinevad ründed, mis kasutavad ettearvutatud infot. Näiteks 2008 aastal loodi 3TB suurune teatmetabel (look-up table), mis teoorias peaks võimaldama peaaegu reaalajas telefonikõnede ja SMS-de pealtkuulamist. Pealtkuulamiseks on vaja teatmetabelist leida korrektne krüpteerimisvõti, aga selle leidmine peaks võtma ainult paar minutit. Oluline on see, et loodud tabeleid ei avalikustatud.
Järgmine oluline sündmus oli Chris Paget ja Karsten Nohl poolt loodud ettearvutatud teatmetabelite avalikustamine 2009 aastal. Seda tehti projekti "A5/1 Cracking Project" raames. Selle kohta saab rohkem lugeda järgnevalt veebilehelt: https://srlabs.de/bites/decrypting-gsm/. Nende tabelite abil (kui need on täielikult avaldatud) peaks saama GSM sidet ehk 2G sidet reaalajas pealt kuulata, sest sobiva krüpteerimisvõtme leidmiseks kulub väga vähe aega. Sellise ründe korraldamine ei ole väga kallis, aga see nõuab vastavat raadiotehnikat, mille abil saab GSM sidet salvestada. Oluline on teada, et isegi 3G ja 4G võrgu kasutajate kõned võivad liikuda 2G võrku kaudu ja seega pole ka 3G / 4G võrgu kasutajad vastava ründe eest alati kaitstud. Seetõttu võiksid mobiiltelefonide omanikud teada kas nende mobiilsideoperaator kasutab telefonikõnede edastamiseks 2G, 3G või 4G võrku.
Edward Snowden-i 2013 aastal lekitatud dokumentidest selgus, et NSA suudab peal kuulata GSM võrgus toimuvat infovahetust juhul kui kasutatakse algoritmi A5/1. Sellega muutus avalikuks infoks NSA võimekus murda algoritmi A5/1. Vastavast uudisest saab ülevaate arstechnica artiklist: Archaic but widely used crypto cipher allows NSA to decode most cell calls. Samas artiklis ütleb Nohl, et uuema 3G võrgus kasutatava A5/3 murdmine on 100000 korda raskem kui A5/1 murdmine ja seega saab NSA tõenäoliselt ka 3G võrku pealt kuulata, aga mitte nii suures ulatuses kui 2G võrku, sest ressurssi kulub rohkem.
Kui tahate detailsemat infot GSM võrgu kohta, siis soovitame lugeda järgnevat lühiraportit: Eavesdropping on GSM-communications
Mobiilseadme jälgimine (eestikeelne info on Moodle loengusalvestuses)
Mobile phones are constantly sending small requests to the closest cellular towers (base stations) to check if the signal is still there. The user is identified by the use of international mobile subscriber identity (IMSI), which is included in the request. IMSI is assigned to each SIM card and thus it can be linked to the user who owns the SIM card.
Some law enforcement agencies use special devices that act like base stations. These fake base stations are often called IMSI catchers. They are used to track the mobile devices by intercepting requests that contain IMSI. In addition, the fake base stations can be used to intercept calls and SMS messages. In addition, the mobile device also sends out a temporary mobile subscriber identity (TMSI). As the user moves the phone connects to new base stations and this leaves logs, which can be used to triangulate and geographically track the user.
Another weak spot in the architecture of mobile networks is the way how calls are routed internationally. This is done using a protocol called signaling system. Currently the 7th version of this protocol is used and it is called SS7. Due to the weaknesses in the protocol it can be used to track users and also to intercept the calls and SMS messages. Importantly, it does not matter if 3G or 4G is used as SS7 is always used for international roaming. Therefore, an attacker who is able to access any carrier network could track and intercept calls & SMS messages worldwide. In the spring of 2017 the vulnerabilities in SS7 were used to intercept SMS messages for two factor authentication, you can find more info about the attack from the following links.
- After years of warnings, mobile network hackers exploit SS7 flaws to drain bank accounts (2017)
- SS7 hack explained: what can you do about it? (2017)
- You Can Spy Like the NSA for a Few Thousand Bucks (2017)
- How spies can use your cellphone to find you – and eavesdrop on your calls and texts too (2018)
- A letter by Ron Wyden to US Senate about the problems of SS7 (2018)
GSM võrkude turvalisuse kohta saab täpsemalt lugeda artiklist: Mobile networks differ widely in security, none protect well in all dimensions. GSM võrkude turvalisuse kohta on olemasolevate andmete põhjal koostatud järgnev kaart http://gsmmap.org/. Selle projekti raames kogutud andmete põhjal on automaatselt koostatud ka Eesti kohta käivad raportid:
- Report about the security of Estonian mobile networks (2013)
- Report about the security of Estonian mobile networks (2014)
- Report about the security of Estonian mobile networks (2015)
- Report about the security of Estonian mobile networks (2016)
- Report about the security of Estonian mobile networks (2017)
Sarnaseid raporteid saab leida ka teiste riikide kohta kui muuta eelnevalt viidatud linkides riigi nimetust.
Kasulikud lingid
- Erinevad ründed
- Wireshark
- Mobiilside turvalisus