Redes Wi-Fi e información sobre amenazas seguridad.
Belorusov Dmitry Ivanovich
Mikhail Sergeevich Koreshkov
RICOM, Moscú
Redes Wi-Fi y amenazas a la seguridad de la información
El artículo analiza las amenazas directas e indirectas a la seguridad de la información que surgen en relación con el desarrollo de la tecnología de acceso inalámbrico WiFi. Se ha demostrado que el uso de la tecnología WiFi puede amenazar no sólo la información transmitida directamente mediante equipos WiFi, sino también la información de voz en el sitio.
El uso generalizado de redes de datos inalámbricas basadas en la tecnología IEEE 802.11, más conocida como WiFi, no puede dejar de atraer la atención de los especialistas en seguridad de la información de las instalaciones. En este artículo, los autores pretenden familiarizar a los lectores con los resultados de la investigación sobre nuevas amenazas a la seguridad de la información de un objeto asociado a las redes WiFi.
Inicialmente, la tecnología WiFi se centró en organizar puntos de acceso rápido a Internet (hotspots) para usuarios móviles. La tecnología permite el acceso simultáneo de un gran número de suscriptores a Internet, principalmente en lugares públicos (aeropuertos, restaurantes, etc.). Las ventajas del acceso inalámbrico son evidentes, sobre todo porque la tecnología WiFi se convirtió inicialmente en un estándar de facto y los fabricantes de ordenadores móviles no tienen dudas sobre la compatibilidad de los puntos de acceso y los dispositivos móviles.
Poco a poco, las redes WiFi se han ido ampliando. extendido a oficinas grandes y pequeñas para la organización de redes o subredes intracorporativas.
Al mismo tiempo, los grandes operadores de telecomunicaciones comenzaron a desarrollar sus propios servicios para proporcionar acceso inalámbrico a Internet de pago basado en tecnología WiFi. Estas redes constan de una gran cantidad de puntos de acceso que organizan áreas de cobertura de distritos enteros de la ciudad, de manera similar a las comunicaciones celulares.
Como resultado, actualmente en cualquier gran ciudad, cerca de casi cualquier objeto, hay al menos varias redes WiFi con sus puntos de acceso y clientes, cuyo número puede llegar a cientos.
Pasemos a considerar las amenazas a la seguridad de la información que surgen en relación con el uso de redes WiFi. Todas las amenazas se pueden dividir en dos clases:
- recto — amenazas a la seguridad de la información que surgen al transmitir información a través de la interfaz inalámbrica IEEE 802.11;
- indirecta: amenazas asociadas con la presencia de una gran cantidad de redes WiFi en el sitio y cerca del sitio que se pueden usar para transmitir información , incluido y recibido no autorizado.
Las amenazas indirectas son relevantes para absolutamente todas las organizaciones y, como se mostrará a continuación, representan un peligro no solo para la información procesada en las redes informáticas, sino también, lo más importante, para la información del habla.
Veamos las amenazas directas. Para organizar un canal de comunicación inalámbrica en tecnología WiFi, se utiliza una interfaz de transmisión de datos por radio. Como canal de transmisión de información, es potencialmente susceptible a intervenciones no autorizadas con el objetivo de interceptar, distorsionar o bloquear información.
Al desarrollar la tecnología WiFi, sin embargo, se tuvieron en cuenta algunos problemas de seguridad de la información, como en la práctica. muestra, no lo suficiente.
Numerosos «agujeros» en la seguridad de WiFi dieron lugar a una tendencia separada en la industria de la piratería informática, el llamado wardriving. Conductores de guerra — Se trata de personas que piratean las redes WiFi de otras personas por interés «deportivo», lo que, sin embargo, no disminuye el peligro de la amenaza.
Aunque la tecnología WiFi proporciona autenticación y cifrado para proteger el tráfico contra la interceptación en el A nivel de enlace, estos elementos de seguridad no funcionan con suficiente eficacia.
En primer lugar, el uso de cifrado reduce varias veces la velocidad de transmisión de información a través del canal y, a menudo, los administradores de red desactivan deliberadamente el cifrado para optimizar el tráfico. En segundo lugar, el uso de la tecnología de cifrado WEP, bastante común en redes WiFi, ha estado desacreditado durante mucho tiempo debido a las debilidades del algoritmo de distribución de claves RC4, que se utiliza junto con WEP. Existen numerosos programas que le permiten seleccionar claves WEP «débiles». Este ataque se denominó FMS por las primeras letras de las iniciales de los desarrolladores. Cada paquete que contiene una clave débil tiene una probabilidad del 5% de recuperar un byte de la clave secreta, por lo que el número total de paquetes que un atacante debe enviar para llevar a cabo un ataque depende principalmente de su grado de suerte. En promedio, se necesitan alrededor de seis millones de paquetes cifrados para descifrarlos. Los piratas informáticos del H1kari de DasbOden Labs reforzaron el algoritmo FMS, reduciendo el número de paquetes necesarios de seis millones a 500 mil. Y en algunos casos, una clave de 40/104 bits puede descifrarse con sólo tres mil paquetes, lo que permite atacar incluso puntos de acceso domésticos sin sobrecargarlos con un exceso de tráfico.
Si hay poco o nada Si falta el intercambio de datos entre clientes legítimos y el punto de acceso, el atacante puede obligar a la víctima a generar una gran cantidad de tráfico sin siquiera conocer la clave secreta. Basta con interceptar el paquete correcto y, sin descifrarlo, retransmitirlo de nuevo.
Los desarrolladores de equipos reaccionaron de manera bastante adecuada, cambiando el algoritmo para generar vectores de inicialización para que ya no surjan claves débiles.
En agosto de 2004, un hacker llamado KoreK demostró el código fuente de un nuevo criptoanalizador que podía romper incluso vectores de inicialización fuertes. Para recuperar una clave de 40 bits, solo necesitaba 200.000 paquetes con vectores de inicialización únicos, y para una clave de 104 bits — 500 mil. La cantidad de paquetes con vectores únicos en promedio es aproximadamente el 95% de la cantidad total de paquetes cifrados, por lo que un atacante necesitará muy poco tiempo para recuperar la clave.
Los nuevos equipos WiFi utilizan WPA — WiFi Protected Access (acceso WiFi protegido), donde se ha vuelto a reforzar la seguridad de los dispositivos inalámbricos. WEP ha sido reemplazado por TKIP (Protocolo de integridad de clave temporal), que genera claves dinámicas que se reemplazan entre sí en intervalos cortos. A pesar de la relativa novedad de esta tecnología, algunas utilidades de piratas informáticos ya incluyen un módulo especial que muestra una de las claves del protocolo. Esto fue suficiente para una conexión no autorizada a un punto de acceso protegido por tecnología WPA.
El estándar IEEE 802.11i describe un sistema de seguridad más avanzado (conocido como WPA2) basado en el algoritmo criptográfico AES. Todavía no existen utilidades listas para usar para hackearlo en forma abierta, por lo que puedes sentirte seguro con esta tecnología. Al menos durará un tiempo.
La amenaza de bloquear información en un canal WiFi fue prácticamente ignorada durante el desarrollo de la tecnología, lo cual es en vano. Por supuesto, bloquear un canal en sí no es peligroso, ya que las redes WiFi casi siempre son auxiliares, pero el bloqueo suele ser solo una etapa preparatoria para un ataque de intermediario, cuando aparece un tercer dispositivo entre el cliente y el acceso. punto, que redirige el tráfico entre ellos a través de ellos mismos. En este caso, no sólo existe la amenaza de interceptación de información, sino también su distorsión. Se conocen al menos varios ataques procesados a redes WiFi asociados a denegación de servicio DOS (Denail-of-Service), pero en el marco de este artículo no nos detendremos en su consideración, nos limitaremos únicamente a constatar la presencia de ataques reales. amenazas.
Pasemos a considerar las amenazas indirectas a la seguridad de la información de un objeto que están directamente relacionadas con la tecnología WiFi.
Los canales de red WiFi son extremadamente atractivos para su uso como infraestructura de transporte de dispositivos para la recepción no autorizada de información para un número de razones:
1. Las señales de los dispositivos WiFi tienen una estructura bastante compleja y un amplio espectro, por lo que estas señales, y más aún las que rodean a los dispositivos WiFi, no pueden ser identificadas por las herramientas de monitoreo de radio convencionales.
Como lo ha demostrado la práctica, la detección confiable de una señal WiFi por parte de los modernos complejos de monitoreo de radio en una amplia banda de frecuencia sólo es posible basándose en el criterio de energía en presencia de bandas de análisis paralelas de varias decenas de MHz de ancho a una velocidad de al menos 400 MHz/s y solo en la zona cercana. Las señales de los puntos de acceso ubicados en el campo lejano están por debajo del nivel de ruido del receptor.
La detección de transmisores WiFi durante el escaneo secuencial con receptores de banda estrecha es generalmente imposible.
2. En casi todas las instalaciones o cerca de ellas se implementan redes WiFi privadas o redes WiFi públicas. Rodeado de tales redes, es extremadamente difícil distinguir a los clientes legales propios y de las redes vecinas de los clientes con la capacidad de recibir información en secreto, lo que permite enmascarar efectivamente la transmisión no autorizada de información entre canales WiFi legales.
El transmisor WiFi emite la llamada «señal OFDM». Esto significa que en un momento dado el dispositivo transmite una señal, ocupando una amplia banda de frecuencia (alrededor de 20 MHz), varias que transportan información — subportadoras de canales de información que están ubicados tan cerca unos de otros que cuando se reciben en un dispositivo receptor convencional, la señal parece una única «cúpula». Es posible separar las subportadoras en dicha “cúpula” e identificar los dispositivos transmisores sólo con un receptor especial.
3. En las grandes ciudades, las redes WiFi públicas tienen un área de cobertura suficiente para garantizar la posibilidad de conectarse a ellas para transmitir información desde casi cualquier punto. Esto elimina la necesidad de utilizar un punto de recepción de información móvil cerca del sitio, ya que la información puede transmitirse mediante un dispositivo no autorizado a través de un punto de acceso público y luego a través de Internet a cualquier ubicación.
4. Los recursos que brindan los canales de la red WiFi permiten transmitir sonido, datos y video en tiempo real. Este hecho abre amplias posibilidades para los dispositivos de interceptación de información. Ahora no sólo está en riesgo la información de audio, sino también los datos de vídeo de ordenadores o redes locales.
Todas las ventajas de la tecnología WiFi comentadas anteriormente desde el punto de vista de la protección de la información en el sitio son desventajas. Además, los dispositivos WiFi de pequeño tamaño se producen y venden de forma absolutamente legal, lo que permite la transferencia de datos, información de voz o vídeo, por ejemplo, de forma inalámbrica. Cámaras de vídeo WiFi, que pueden convertirse fácilmente para usarse como dispositivos para obtener información en secreto.
Fig. 1. Señal del transmisor WiFi en la zona cercana
Fig. 2. Cámara WEB inalámbrica con interfaz WiFi
A continuación, consideraremos la implementación práctica de amenazas indirectas utilizando ejemplos reales del uso de canales por dispositivos WiFi para acceso no autorizado a información.
1. En la habitación se instaló una videocámara WiFi no autorizada con micrófono. Para aumentar el alcance de la transmisión de información, se instala un punto de acceso WiFi en el techo de la instalación, que funciona en modo repetidor (uno de los modos de funcionamiento estándar de un punto de acceso WiFi) con una antena direccional. En este caso, la información de la habitación en la que está instalada la cámara eléctrica WiFi estándar del cliente se puede recibir en un punto de control ubicado a varios kilómetros del sitio, incluso en una ciudad.
2. Mediante un programa especial (virus), el teléfono inteligente de uno de los empleados de la empresa se puede cambiar a un modo en el que la información de la voz del micrófono se grabará y se transmitirá al punto de control mediante el módulo WiFi integrado.
Para aumentar el secreto, el punto de control también se puede utilizar en uno de los modos estándar de puntos de acceso WiFi — «transmisión con nombre oculto». En este caso, el punto de acceso será invisible para los programas de exploración de redes inalámbricas. Cabe señalar que en estos programas WiFi los clientes nunca son visibles en absoluto.
3. Y finalmente, consideremos la opción cuando el régimen en la instalación no permite que los medios de almacenamiento se muevan fuera de sus límites, el acceso a Internet está ausente o es limitado. ¿Cómo puede un atacante transferir una cantidad suficientemente grande de datos de un objeto así sin ser detectado? Respuesta: necesita conectarse de manera absolutamente legal a una red de transmisión WiFi vecina y transmitir información, pasando desapercibido entre un número suficientemente grande de clientes WiFi de redes vecinas que transmiten información fuera de la instalación.
Fig. . 3. Modelo de amenazas indirectas
Conclusiones:
La tecnología WiFi es ciertamente conveniente y universal para organizar el acceso inalámbrico a la información. Sin embargo, conlleva muchas amenazas graves a la seguridad de la información de un objeto. Al mismo tiempo, existen amenazas directas e indirectas a la seguridad de la información. Y si puede deshacerse de las amenazas directas negándose a utilizar dispositivos WiFi en la infraestructura de la red corporativa y no utilizando redes WiFi en las instalaciones, entonces existen amenazas indirectas independientemente del uso de la tecnología WiFi en las instalaciones. Además, las amenazas indirectas son más peligrosas que las directas, ya que afectan no sólo a la información en las redes informáticas, sino también a la información del habla en la instalación.
En conclusión, me gustaría señalar que la tecnología WiFi no es actualmente la única tecnología de transmisión de datos inalámbrica muy extendida que puede representar una amenaza para la seguridad de la información de un objeto.
Los dispositivos Bluetooth también se pueden utilizar para iniciar transferencias de datos inalámbricas no autorizadas. En comparación con WiFi, los dispositivos Bluetooth tienen capacidades significativamente menores en términos de alcance de transmisión de información y capacidad de canal, pero tienen una ventaja importante: el bajo consumo de energía, lo cual es extremadamente importante para un transmisor no autorizado.
Otra tecnología El que está empezando a competir con WiFi en el suministro de acceso inalámbrico de banda ancha es WiMAX. Sin embargo, a día de hoy, los dispositivos WiMAX son mucho menos comunes y es más probable que su presencia sea un factor de desenmascaramiento que para ocultar un canal de transmisión de información no autorizado.
Así, actualmente WiFi no es sólo el más común acceso a la tecnología inalámbrica, pero también el más conveniente desde el punto de vista de la recepción y transmisión no autorizada de información.
Literatura
- Karolik A., Kaspersky K. Vamos a descubrirlo Qué es wardriving y cómo utilizarlo //Hacker. — No.059. — S. 059-0081. http://xakep.ru/magazine/xs/059/008/1.asp
- Complejo de hardware y software para monitorear redes WiFi «Zodiac»