Jan T. Grusznic
Dostępność sieci Wi-Fi w hotelu jest dla każdego gościa ważne – wie to każdy specjalista od marketingu w branży hotelarskiej. Jak pokazują badania, ponad połowa podróżujących uważa, że dostęp do Wi-Fi jest ważnym argumentem przy wyborze miejsca noclegu.
Trzy na cztery osoby potwierdzają korzystanie z bezprzewodowego dostępu do globalnej sieci, gdy jest on bezpłatny [1]. Nikt nie wątpi, że darmowe Wi-Fi stanowi jedno z podstawowych i ważniejszych udogodnień w hotelu. Pojawia się pytanie, czy korzystanie z publicznych sieci i urządzeń do nich podłączonych jest bezpieczne?
Nie tak dawno temu
W listopadzie 2014 r. CERT opublikował raport dotyczący podszywania się pod konkretne osoby (spear-phishing) w wyniku dystrybucji złośliwego oprogramowania (malware) o nazwie Darkhotel (inna nazwa Tapaoux). Według analityków przestępcy od 2007 r. infekowali sieci komputerowe luksusowych hoteli w Japonii, w których zatrzymywali się pracownicy kadry kierowniczej i R&D firm z branż: elektronicznej, farmaceutycznej i motoryzacyjnej. W wyniku działań grupy hotelowe sieci Wi-Fi wymagały od potencjalnych ofiar podania nazwiska oraz numeru pokoju, dzięki czemu przestępcy precyzyjnie wybierali swoje ofiary. Infekcja odbywała się w momencie pobierania sugerowanych potencjalnej ofierze aktualizacji popularnych pakietów oprogramowania, uprzednio zarażonych koniem trojańskim. Oprogramowanie instalujące zainfekowane „aktualizacje” nie wzbudzało podejrzeń ze względu na podpisanie go kluczem poświadczonym przez urząd certyfikacji. Zarażone oprogramowanie tworzyło na komputerze ofiary tzw. backdoory, umożliwiające pobranie z przeglądarek internetowych danych dostępowych do kont pocztowych i serwisów społecznościowych.
Co ciekawe, pierwsze połączenie zainfekowanego komputera z serwerem C&C (Command & Control)1) następowało zazwyczaj po około 180 dniach od infekcji, a zmiana strony kodowej systemu operacyjnego na język koreański powodowała samoczynne usunięcie złośliwego oprogramowania. Na podstawie danych z systemu n62) CERT ustalił 36 zainfekowanych unikalnych adresów IP pochodzących z Polski, w tym 16 należących do sieci mobilnych [2].
Z kolei w połowie października br. świat obiegła apokaliptyczna wiadomość dotycząca sieci Wi-Fi zabezpieczonych protokołem IEEE 802.11i, czyli tzw. WPA2 (Wi-Fi Procted Access II). Należy zaznaczyć, że większość zabezpieczonych sieci wykorzystuje właśnie protokół WPA2 do ochrony prywatności przesyłanych danych. Ujawniony przez Mathy’ego Vanhoefa sposób na podsłuchanie danych przesyłanych przez sieć zabezpieczoną protokołem WPA2 bez konieczności znajomości hasła dostępu do niej jest możliwy, jeśli osoba atakująca znajduje się w pobliżu Wi-Fi, ale nie za blisko oryginalnego punktu dostępowego (tzw. Access Point, w skrócie AP)3), a ofiara musi korzystać z nieszyfrowanych protokołów.
Co więcej, trzy lata temu na poświęconej bezpieczeństwu konferencji Black Hat eksperci z Kaspersky Lab, wykorzystując zwykły komputer i standardowy kabel USB, zdołali ukradkiem zainstalować w smartfonie aplikację, bazując na zestawie ogólnodostępnych poleceń w Internecie. Czyli włamali się do telefonu bez złośliwego, specjalistycznego oprogramowania.
Wykazali przy tym, że urządzenia mobilne ujawniają komputerowi wiele danych podczas tzw. uścisku dłoni (handshake) – procesu „przywitania się” urządzenia z komputerem, do którego jest podłączone. Obejmują one: nazwę urządzenia i producenta, typ, numer seryjny, informacje dotyczące oprogramowania układowego (tzw. firmware), informacje dotyczące systemu operacyjnego, systemu plików, listę plików oraz identyfikator procesora. Odpowiednio przygotowany komputer umieszczony w sfałszowanej ładowarce w miejscu publicznym może otworzyć nieuprawnionym dostęp do wielu informacji, które użytkownicy przechowują w swoich urządzeniach mobilnych.
Dzisiaj
Większość z nas posiada dobrze zabezpieczone komputery. Dostęp do zasobów jest możliwy po podaniu hasła, dane są przechowywane w formie szyfrowanej, a na straży stoi dobrze chroniona sieć firmowa. W miejscu pracy prawdopodobieństwo przeprowadzenia skutecznego ataku w celu przechwycenia informacji jest znacznie mniejsze. W delegacji jednak pozwalamy sobie na nieco więcej swobody i przez to nieuwagi. Porty USB, przez które można naładować urządzenia mobilne, są dostępne w coraz większej liczbie miejsc noclegowych. I trudno oprzeć się pokusie. Staram się oczywiście wozić ze sobą ładowarkę, ale bywa różnie. Kiedyś sprawdzałem, czy gniazdo, do którego zamierzałem podłączyć ładowarkę, służy tylko do zasilania, czy może „potrafi” coś jeszcze? Szczęśliwie produkowało tylko 5 V. Teraz do ładowania telefonu używam gniazda USB w komputerze (z oznaczeniem „pioruna” – czyli tzw. port USB Charge+). Tak na wszelki wypadek…
Hotele, restauracje i centra biznesowe udostępniają czasem gościom tablety lub komputery z podłączeniem do Internetu. Korzystając z tych urządzeń, użytkownik zwykle pozostawia na nich mnóstwo prywatnych informacji, które mogą potencjalnie zostać wykorzystane przez osoby nieuprawnione. Nie można mieć pewności, czy na takim urządzeniu nie został zainstalowany keylogger4) lub inne szkodliwe oprogramowanie, które przechwytuje dane, łącznie z nazwami użytkownika i hasłami. Tego rodzaju urządzenia powinny być stosowane jedynie do odwiedzania oficjalnych serwisów informacyjnych. Nie polecałbym ich do dokonywania zakupów online czy do celów służbowych, takich jak redagowanie dokumentów czy też odwiedzanie jakichkolwiek stron wymagających poświadczenia uprawnień.
W przypadku sieci bezprzewodowych warto zajrzeć do hotelowego regulaminu korzystania z nich (jeżeli istnieje). W jednym z hoteli, w których byłem gościem, oprócz ograniczenia odpowiedzialności za zakłóconą i przerwaną dostępność usług Wi-Fi, znalazłem stosowny punkt dotyczący bezpieczeństwa:
Użytkownicy we własnym zakresie i na własny koszt zapewniają sobie możliwość korzystania z urządzeń przenośnych, ich zabezpieczenie przed niepowołanym dostępem osób trzecich, wyposażenie w odpowiednie oprogramowanie antywirusowe oraz kompatybilność urządzeń z usługą Wi-Fi.
Innymi słowy: Polaku, chroń się sam!
Podłączając swój komputer, pamiętaj, że na ogół stanowi on aktywny element bardzo rozległej, płaskiej struktury sieci i jesteśmy widoczni dla innych użytkowników sieci hotelowej. Korzystając z ogólnodostępnych narzędzi w Internecie, możemy przeszukać sieć w celu znalezienia interesujących nas zasobów oraz sprawdzić, czy urządzenie, które wybraliśmy, nie jest podatne na atak z powodu nieaktualizowania oprogramowania.
Rozbudowane bazy danych, takie jak CVE Details [4] zawierają bardzo dobrze udokumentowane informacje o najnowszych lukach w zabezpieczeniach, więc można (trzeba) z nich korzystać do woli.
Hotelowa sieć Wi-Fi ma wiele luk w zabezpieczeniach, z których większość jest podobna do tych, jakie występują w innych sieciach dostępnych publicznie. Jak informuje gros agencji czuwających nad bezpieczeństwem, przypadki zaatakowania złośliwym oprogramowaniem oraz inne ataki są obecnie bardzo wyrafinowane. Stefan Hiller z portalu e-Hotelier podaje, że cyberprzestępczość pojawia się na radarze bezpieczeństwa jako jedno z najwyższych rodzajów ryzyka, na jakie jest narażona branża hotelarska. Hotele muszą stale odpierać ataki z zakresu inżynierii społecznej, takie jak phishing, a teraz także APT (Advanced Persistent Threats)5). Na całym świecie ataki APT są uważane za najbardziej niebezpieczny rodzaj cyberataków, ponieważ omijają istniejące mechanizmy obronne systemów zaprojektowane w celu odparcia większości prób przejęcia danych. Dotyczy to wewnętrznej sieci hotelowej, ale także Wi-Fi dla gości. Hotelowe sieci bezprzewodowe są znane z braku zabezpieczeń. Stanowią „otwarte drzwi” dla hakerów, narażając dane klientów na duże zagrożenie.
Mimo że większość routerów i punktów dostępowych ma obecnie zaawansowane funkcje zabezpieczeń, wciąż nie przekłada się to na bezpieczeństwo danych lub poufnych informacji klientów. W sieci Wi-Fi wciąż rośnie podatność gości na atak MitM (Man in the Middle)6), który może zagrażać danym osobowym klientów. Ideą tej metody jest umieszczenie złośliwego kodu pomiędzy ofiarą a zasobami, takimi jak strony logowania udostępnione przez hotel. Najbardziej zaawansowane ataki tego typu są przeprowadzane za pomocą przeglądarki. W tym przypadku złośliwe oprogramowanie rejestruje w tle przesyłanie danych pomiędzy przeglądarką użytkownika a stroną logowania hotelu. Takie ataki nie wymagają, aby atakujący znajdował się w pobliżu ofiary i mogą zostać wymierzone w dużą grupę ludzi. Nie wymagają także zbyt dużego wysiłku ze strony atakującego.
Spear-phishing, czyli atak za pomocą backdoorów, jest równie prawdopodobny. We wspomnianym raporcie CERT wskazano na możliwości tego typu ataku. W większości przypadków wystarczy podać nazwisko gościa i numer pokoju lub spersonalizowany kod dostępu, aby pracować w sieci jako wybrana osoba. Następnie napastnicy, korzystając już z hotelowej sieci Wi-Fi, zaczynają wysyłać fałszywe wiadomości, zmuszając gości do pobrania specjalnie przygotowanych backdoorów. Najczęstszym uzasadnieniem ich pobrania jest aktualizacja oprogramowania, np. Adobe Flash lub Google Toolbar.
Popularnym rodzajem ataku na hotelowe sieci Wi-Fi jest ARP spoofing, polegający na zalaniu sieci pakietami. Technika ta pozwala analizować ruch w sieci oraz modyfikować wymianę danych. Hakerzy wysyłają fałszywe wiadomości ARP (Address Resolution Protocol)7), aby powiązać adres MAC atakującego z IP ofiary. W efekcie wszystkie dane przeznaczone dla adresu IP ofiary równocześnie trafiają do atakującego. Atakujący może także uruchomić atak Denial of Service8) przez utworzenie połączenia z nieistniejącym adresem fizycznym urządzenia.
Jak się bronić?
W hotelach w zasadzie nie zwraca się uwagi na bezpieczeństwo informacji. Jak pokazuje przytaczany wyciąg z regulaminu, w większości zostało to scedowane na gościa. A szkoda…
Korzystając z przeglądarki internetowej, powinno się wykorzystywać coraz popularniejszą szyfrowaną wersję protokołu http- czyli https- zapewniającego bezpieczną wymianę danych między klientem (przeglądarką) a serwerem. Widać to również na stronach hotelowych umożliwiających rezerwację. Nie jest jednak tak „różowo”, jak mogłoby się wydawać, ponieważ tylko 6,41% [5] polskiego Internetu jest obsługiwane przez zabezpieczony protokół https. Niemniej ten odsetek rośnie przy stałej wartości wykorzystania protokołu niezabezpieczonego http, który wciąż króluje wśród formularzy weryfikujących dostęp do Internetu.
Zdarza się jeszcze, że niektóre hotele pobierają dodatkową opłatę za korzystanie z sieci Wi-Fi. Są to najczęściej połączenia oznaczone jako premium lub business, a opłata zwykle jest przekazywana na usługi dodatkowe, np. na zwiększenie zabezpieczenia tych sieci. Sieci Wi-Fi są odizolowane od całego ruchu przez stworzenie wirtualnych sieci lokalnych, tzw. VLAN (Virtual Local Area Network). Bardzo często są ograniczone do kilku urządzeń autoryzujących się silnym hasłem dostępu. W hotelach klasy business można z kolei spotkać inne rozwiązanie, np. każdy pokój ma małą, odizolowaną i zabezpieczoną sieć prywatną.
Odkąd pamiętam, najlepszym sposobem, aby zablokować większość ataków, jest korzystanie z wirtualnej sieci prywatnej – VPN (Virtual Private Network), zwłaszcza gdy wykorzystujemy podłączenie do Internetu przez ogólnodostępną sieć bezprzewodową.
Podstawowym zadaniem VPN jest stworzenie tunelu między komputerem a serwerem znajdującym się w firmie, domu lub innym miejscu (np. usługodawcy dostępu do Internetu). Połączenie to zapewnia dostęp do zasobów tak, jakbyśmy byli podłączeni lokalną siecią do naszego serwera (może niekoniecznie w aspekcie prędkości połączenia). Zadaniem VPN jest również szyfrowanie całej komunikacji między komputerem a serwerem i zapobieganie przechwyceniu prywatnych danych przez atakującego, a więc jest to istotne rozwiązanie pozwalające zwiększać swoją prywatność.
Dla przypomnienia, ruch oparty na protokole https szyfruje tylko dane między oknem przeglądarki a serwerem.
Niezależnie, czy korzysta się z sieci prywatnej, czy nie, ważne jest posiadanie włączonej i zaktualizowanej zapory sieciowej, czyli tzw. firewalla. Oprogramowanie to jest dzisiaj obecne w większości systemów operacyjnych oraz jest składnikiem programów antywirusowych. Zapora sieciowa blokuje nieautoryzowany dostęp do komputera, uniemożliwiając w ten sposób ataki hakerskie oraz ataki za pomocą złośliwego oprogramowania. Reguluje także, jakie dane mogą, a jakie nie mogą być przekazywane do komputera. Co ważne, prawidłowo skonfigurowana zapora blokuje ruch nie tylko wchodzący, ale także wychodzący, uniemożliwiając np. zainfekowanym plikom wykonawczym wysłanie pakietów danych do serwera C&C.
Utrzymanie aktualnych wersji oprogramowania oraz bazy sygnatur wirusów w obecnych czasach jest niezwykle ważne, by zapwenić bezpieczeństwo informacji. Podcza korzystania z sieci hotelowych należy zawsze ignorować niezamówione oferty aktualizacji oprogramowania. Każda strona internetowa, która oferuje aktualizację oprogramowania, niezależnie od oficjalnej strony sprzedawcy, może zawierać wirusy albo złośliwe oprogramowanie. Można oczywiście skorzystać z innych urządzeń, aby sprawdzić ostrzeżenia o bezpieczeństwie.
| Najważniejsze zasady korzystania z hotelowego Wi-Fi
|
Nie wprowadzaj poufnych informacji na stronie logowania do sieci hotelu!
|
CERT Polska na (cyber)straży CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty (z ang. Computer Emergency Response Team). Działa w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej) – instytutu badawczego prowadzącego działalność naukową, krajowy rejestr domen .pli dostarczającego zaawansowane usługi teleinformatyczne. Dzięki prężnej działalności od 1996 r. w środowisku zespołów reagujących stał się rozpoznawalnym i doświadczonym podmiotem w dziedzinie bezpieczeństwa komputerowego. |
1) Serwer C&C zarządza zainfekowanymi maszynami, monitoruje ich status i przesyła instrukcje do wykonania. Najprostszą strukturą sieci botnet jest centralna architektura, w której centralnie umieszczony serwer C&C zarządza siatką bezpośrednio przyłączonych maszyn.
2) Platforma n6 to stworzony przez CERT Polska system służący do gromadzenia, przetwarzania i przekazywania informacji o zdarzeniach bezpieczeństwa w sieci. Funkcjonuje w pełni automatycznie, a dostęp do niej jest bezpłatny i nie wymaga instalacji jakichkolwiek sond w sieci.
3) Jeśli atakujący jest blisko (oryginalny, prawdziwy sygnał AP jest „silny”), to złośliwe komunikaty potrzebne do przeprowadzenia udanego ataku, a wysyłane przez atakującego zostaną zignorowane.
4) Oprogramowanie do zainstalowania na komputerze lub urządzenie podłączane do komputera. W podstawowej wersji zapisuje wszystkie teksty utworzone przez użytkownika za pomocą klawiatury komputera. W wersji zaawansowanej ma więcej funkcji, np. robienie zrzutów ekranu, wysyłanie e-mailem raportów, rejestrowanie historii otwieranych okien i programów itp.
5) Tłumacząc dosłownie, to zaawansowane trwałe zagrożenia. To określenie pozwala wskazać, o co w przypadku APT chodzi – cyberprzestępcy wybierają na ofiarę konkretny podmiot, np. instytucję lub przedsiębiorstwo. W tym podmiocie, po wstępnej inwigilacji, bardzo często typują osobę, która stanie się wektorem ataku i posłuży do tego, by na starannie wyselekcjonowanej ofierze po prostu zarobić jak najwięcej.
6) Atak polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.
7) Protokół sieciowy umożliwiający mapowanie logicznych adresów warstwy sieciowej na fizyczne adresy warstwy łącza danych.
8) Blokada usługi. Atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania.
Literatura [1] 3 fakty o Wi-Fi w hotelach, o których nie masz pojęcia, BROG Marketing, www.horecanet.pl [2] CERT Polska Raport 2014 [3] Ładowanie urządzeń mobilnych może stanowić zagrożenie dla danych i poufności, www.kaspersky.pl [4] www.cvedetails.com [5] Statystyki polskiego Internetu, www.amudom.pl
Jan T. Grusznic
Z branżą wizyjnych systemów zabezpieczeń związany od 2004 r. Ma bogate doświadczenie w zakresie projektowania i wdrażania rozwiązań dozoru wizyjnego w aplikacjach o rozproszonej strukturze i skomplikowanej dystrybucji sygnałów. Ceniony diagnosta zintegrowanych systemów wspomagających bezpieczeństwo.
