Če je naše brezžično omrežje odprto, lahko v najboljšem primeru le delimo svojo ADSL/kabelsko povezavo z vsemi, ki se želijo v naše omrežje povezati, zaradi česar bo internet za nas verjetno deloval počasneje; v najslabšem primeru pa brezžičnim obiskovalcem ponujamo tudi dostop do zasebnih datotek in informacij v svojem računalniku ali celo v vseh računalnikih v krajevnem omrežju (npr. podjetja). Dodatna nevarnost so tudi nepridipravi, ki bodo vašo internetno povezavo in hkrati vaš IP zlorabili za kazniva dejanja, kot je vdiranje v tuje računalnike, razpečevanje zlonamerne programske opreme ali celo čisto navadno piratstvo. Pri pregonu takšnega početja, bodo namreč prišli prek vašega IP-naslova do vas. In kot pišemo v okvirčku Odprt Wi-Fi v Nemčiji prinaša kazen, se zna zgoditi, da boste bremenjeni polne odgovornosti za to početje. To pa lahko pomeni ukvarjanje s sodišči, kriminalisti, odvetniki, in v nobenem primeru ne pomeni nič dobrega, temveč veliko izgubljenih živcev in denarja!
KAKO SE ZAVAROVATI
Vsa brezžična omrežna oprema oziroma dostopne točke vsebujejo možnost šifriranja prometa. Podprtih je več šifrirnih mehanizmov, ki jih izberemo v nastavitvi dostopne točke (največkrat prek spletnega vmesnika), identične pa moramo nato nastaviti tudi v odjemalcih.
Navkljub pomanjkljivostim prvega standarda šifriranja brezžičnih povezav WEP (Wired Equivalent Privacy) je to vsekakor veliko bolje kot puščati omrežja povsem odprta. WEP je namreč odlična prva obramba, ki odvrne priložnostne padalce, ki želijo izkoriščati naše omrežje oziroma najverjetneje našo internetno povezavo. A že od leta 2004 dalje je znano, kako v z WEP-om zaščitena omrežja vdreti v roku 10 minut. Zato je šel razvoj šifriranja naprej.
Konec leta 2004 se je standardiziral nov varnostni šifrirni mehanizem WPA (Wi-Fi Protected Access). Ta je uvedel večino funkcij 802.11i. Sredi 2006 pa je organizacija Wi-Fi Alliance dokončala še njegovega naslednika WPA2.
Že WPA je uporabnikom ponujala izbiro med dvema močnejšima šifrirnima protokoloma (AES in TKIP). A kmalu se je TKIP (Temporal Key Integrity Protocol) izkazal za ranljivega, saj se je opiral na starejši, ranljiv šifrirnik. AES (advanced encryption standard) pa je do določene mere varen (odvisno od dolžine šifrirnega bloka oz. ključa).
WPA2 je uvedel dandanes najmočnejši in najvarnejši šifrirni protokol CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol).
Tako WPA kot WPA2 sta potencialno ranljiva za napade s slovarji (preizkušanje besed), tako da se za večjo varnost danes priporoča ključ dolžine vsaj 128 oz. 192 bitov. Najvarnejši je 256-bitni (AES-256) šifrirnik, katerega različico uporablja CCMP.
Vsi šifrirni mehanizmi imajo možnost delovanja z deljenim zasebnim ključem PSK (Private Shared Key), ki je primeren za domače uporabnike in manjša podjetja. Tu na obeh straneh določimo ujemajoče se geslo in ves promet je šifriran z njim.
Poslovni uporabniki imajo v večini primerov že uvedene dodatne zunanje varnostne rešitve, kot sta recimo avtentikacijski strežnik, ki pred vključitvijo odjemalca v omrežje preveri še uporabniško ime in geslo, in seznam dovoljenih odjemalcev (vsaka omrežna kartica ima unikaten fizični naslov), ki povečajo varnost omrežja za nekaj faktorjev.
Predvsem pa se je treba zavedati, da povsem varnega šifrirnika za brezžična omrežja ni. Če uporabljamo kratko in lahko uganljivo geslo, nam ne bo pomagal niti WPA2.
Dobro motivirani nepridipravi so za vdor v omrežje WPA-128 s šibkim geslom potrebovali le nekaj ur časa, in danes se lahko o tehnikah vdorov prek interneta v nekaj popoldnevih pouči praktično vsakdo. Daljša in težje uganljiva gesla (ki se jih ne da dobiti z napadom s slovarjem) pa napadajo kar z »golo silo«, pri čemer se naslanjajo na ogromno surovo moč vzporednega procesiranja, ki jo najdemo v grafičnih karticah novih generacij. Celo več kartic je moč povezati med seboj oziroma tako geslo napadati distribuirano. Saj se spomnite projektov Seti@Home oziroma Folding@Home – nekaj podobnega obstaja tudi v hekerskem svetu.
Hkrati so na voljo specializirani programi za analizo šifriranega prometa WPA, in spet šibkejši šifrirni ključ ob zadostni količini prometa odkrijejo v le nekaj urah. Ko je ključ razbit in je moč spremljati promet, so tudi vse druge zaščite, vgrajene v brezžično opremo, le manjša ovira, saj se njihovo varovanje meri le še v urah.
A večinoma nepridipravi delujejo po načelu »najprej oberimo nizko viseča jabolka«, kar pomeni, da so prva tarča napadalcev predvsem končni domači uporabniki, ki so brezžično opremo priklopili, in ko je delovala, pozabili nanjo. Taka omrežja so navadno še vedno nešifrirana, torej odprta, prepoznamo pa jih tudi po imenu omrežja SSID, kot je »default«, »linksys«, »netgear«, skratka, ostajajo pri privzeti vrednosti.
Odprt wi-fi v Nemčiji prinaša kazen
Sredi letošnjega maja je nemško zvezno sodišče odločilo, da so tudi lastniki odprtih brezžičnih omrežij odgovorni za vse, kar je prek njih storjeno. To je bil prvi tak primer, a ga lahko zato vzamemo za smernico sodne prakse v prihodnosti. V nemškem primeru je bil lastnik brezžičnega omrežja v času kriminalnih dejavnosti, ki so izhajale z njegovega IP-naslova, dokazano na počitnikovanju, a ga to ni razbremenilo odgovornosti. Tako je v Nemčiji zdaj v veljavi zakon, ki tudi od fizičnih oseb zahteva šifriranje brezžičnih omrežij, sicer jim nalaga kazen v višini 100 evrov. Dokaj mila kazen je seveda bolj kot ne informativnega značaja, saj želi vlada prek medijske odmevnosti, ki jo je sprožil nov zakon, ozavestiti širšo javnost, končne uporabnike, da aktivirajo šifriranje prometa in zaščitijo dostop do svojih brezžičnih omrežij. Uvedba kazni za odprta omrežja je sicer sprejeta kot del nemškega boja proti spletni distribuciji piratskih vsebin, sodišče pa upa, da bo s tem omejilo nepooblaščeno uporabo omrežij. Oglasili so se tudi že kritiki, ki so opozorili, da je sodba preveč površna, saj sodišče ni razmišljalo o praktični uporabi in ni zahtevalo nadziranja varnostnih nastavitev s strani uporabnikov, ampak govori samo ob prvem vklopu omrežja ter ne predpisuje šifrirnega mehanizma (kot pa vemo, WEP ne bo zaustavil nikogar). Vseeno je nemška organizacija za varovanje potrošnikov zakon označila za korak v pravo smer. Žal hkrati ostaja tudi veliko neznank, kot recimo, kaj se zgodi z namerno odprtimi omrežji, recimo v lokalih ali na letališčih, kjer je brezplačen dostop do omrežja za goste teh objektov dodana vrednost in hkrati konkurenčna prednost za ponudnika. Ali bo podobno postala stalna praksa v EU-ju, še ni znano, prav tako v Sloveniji za enkrat poslanci še niso razpravljali na to temo.
Moj mikro, Julij Avgust 2010 | Jaka Mele |
