Publika trådlösa nätverk

Transkript

1 Examensarbete inom datavetenskap Publika trådlösa nätverk Risker och skydd May 26, 2015 Författare: August WINBERG Författare: Stefan ÅBERG Handledare: Oskar PETTERSSON Examinator: Jacob LINDEHOFF Termin: VT2015 Ämne: Datavetenskap Nivå: G1E Kurskod: 1DV41E

2 Sammanfattning Åtkomst till internet via trådlösa nätverk ses som en självklarhet för användare med tillgång till mobil, dator eller annat typ av utrustning som kan skicka eller mottaga datatrafik. Det har gjort att utvecklingen samt tillgängligheten av trådlösa nätverk har blivit mer utbredd. Antingen via privatpersonens egna hem, via sin arbetsplats eller skola samt företag som bedriver tillfälliga boende som hotell, café eller andra platser som erbjuder internet via sitt privata nätverk. Med den ökade tillgängligheten ökar även säkerhetsrisken för användaren antingen från yttre hot där användare vill få tillgång till andra användares data eller direkt attack från ägaren av nätverket. En litteraturstudie har genomförts för att undersöka säkerheten för användaren på platser som erbjuder en tjänst att få tillgång till internet via en accesspunkt. Studien ska se över de säkerhetshot som finns när användare ansluter trådlöst till ett publikt nätverk, vilka hot som kan riktas mot användaren som använder nätverket och slutligen vilka tjänster som finns tillgängliga för användaren för att öka sin säkerhet vid användning av nätverket. Nyckelord: Network Security, Public Network, Wireless Security, Man-in-the middle, Publika trådlösa nätverk, Trådlösa nätverk Abstract Access to the internet through wireless networks are seen as a matter of course for users with access to the mobile phone, computer, or other type of equipment that can send or receive data traffic. It has resulted in the development and availability of wireless networks has become greater. Either through the private person s own home, through their workplace or school. Enterprises engaged in temporary accommodation such as hotels, cafe or other sites that offer Internet access via its private network are also accessible. There is also an increasing security risk for the user either from external threats where users want to gain access to other user s data or direct attack from the owner of the network. A literature review has been carried out to investigate the safety of the user at sites that offer a service to access the Internet through an access point. The study will review the security threats that exist when users connect wirelessly to a public network, the threats that may be directed against the user who uses the network. Keywords: Network Security, Public Network, Wireless Security, Man-in-the middle, Public wireless networks, Wireless networks i

3 Innehåll 1 Introduktion Inledning Tidigare forskning Problemformulering Syfte och frågeställning Begränsning Målgrupp Metod Sökprocessen Dataanalys Urvalsprocess av attacker och skydd Metoddiskussion Teori Wifi Hårdvara Anslutningsmöjligheter WEP WPA WPA Publika trådlösa nätverk Attacker Rogue access point Attackens utförande Mitmproxy Evil twin attack Attacker mot ARP Arp spoofing eller Arp poisoning Misstag av användaren Nätverksutdelningar och ange osäkra nätverk som hemnätverk Ignorerar certifikat varningar Icke uppdaterad dator och antivirus Skydd Brandvägg IDS Anti-virus VPN Skydd från tjänsteleverantören Sammanställning av attacker mot skydd Analys Rogue access point Evil twin attack Mitmproxy Arp-spoofing

4 7 Diskussion Problemlösning Metodreflektion Avslutning Slutsats Förslag till fortsatt forskning A Bilaga 1 A B Bilaga 2 B

5 1 Introduktion Denna rapport kommer att handla om risker i publika trådlösa nätverk. Vilka risker som finns samt vilka av de vanligaste skydd som kan åtgärda dessa. 1.1 Inledning Idag har många människor en livsstil som är väldigt mobil. Människan är inte längre tvingad till att befinna sig på en arbetsplats eller i sitt hem för att komma åt data från arbetsplatsen eller privat data i hemmet. Denna utveckling har medfört stora möjligheter men också stora potentiella risker mot användare och företag som vill utnyttja den nya tekniken. Till skillnad mot vanligt trådbundet nätverk ger trådlöst nätverk ökade risker då det är ett medium som färdas i luften. Det ger en möjlighet för obehöriga att på avstånd lyssna av trafiken och även påverka den. I ett trådbundet nätverk går en nätverkskabel till varje klient som är ansluten till nätverket. För att kunna ansluta till det trådbundna nätverket måste alla som ansluter ha tillgång till ett uttag och en kabel för att få tillgång till nätverket. I ett trådlöst nätverk räcker det att någon har en enhet som stödjer trådlöst nätverk för att kunna ansluta till det trådlösa nätverket. Det är alltså svårare att kontrollera vilka som kan ansluta till det trådlösa nätverket. Om en användare eller ett företag skulle bli utsatt för en attack kan konsekvenserna bli stora. En privatperson skulle potentiellt kunna få sitt kreditkort kapat och då få stora ekonomiska problem. En attackerare skulle även kunna komma åt användarens inloggningsuppgifter och eventuellt skriva dokument i offrets namn som bidrar till att offrets privatliv blir lidande. Om en attackerare lyckas få åtkomst direkt till filerna i offrets dator kan privata bilder läcka ut på hemsidor. I värsta fall skulle offret kunna bli utpressad av en attackerare på grund av den data som användaren har blivit bestulen på. Företag kan bli utsatta för allt ifrån Denial of Service attacker mot deras hemsidor som gör att besökare ej kan nå dem. Även företag kan bli utsatta för direkta intrång på deras servrar. Vid intrången kan en attackerare förstöra eller stjäla data vilket kan bli väldigt kostsamt för företaget. Det kan även vara att en grupp kommer åt inloggningsuppgifter till andra sidor som i en attack mot Sony pictures [1]. I attacken mot Sony Pictures läcktes ofärdiga filmer ut, E-post från chefer och även lösenord till sociala medier. Detta är ett exempel på vad som kan hända om en obehörig lyckas ta sig in i ett företagsnätverk. Platser som erbjuder tillgång till internet via deras nätverk är inte de enda som utsätter sig för risker genom att tillåta okända användare att ansluta till nätverket. Även användare som väljer att ansluta enheter till nätverket utsätter sig för risk. I och med att tekniken utvecklas vill användare kunna använda fler mobila tjänster som finns i deras vardag. Allt ifrån bankärende till att skicka meddelande mellan varandra. Detta har gjort att tjänster och tekniker för att tillfredsställa användarnas behov har utvecklas för att komma åt denna typ av information. Antingen direkt riktade attacker mot användare eller mot ett helt nätverk. 1

6 Telefonoperatören Mobidia har sammanställt hur data transporteras hos sina användare. Hela 62% använder wifi för att få tillgång till internet där resterande 38% använder tjänster som 3G eller 4G via mobilanätverk för att skicka data. Enligt Cisco växte den mobila enheter med 7.4 miljarder 2014 och de räknar med att växa till 11.5 miljarder till 2019 [2]. Om Ciscos beräkningar stämmer kommer en ökning av anslutna enheter till nätverk inom de närmaste åren, antingen via mobila nätverk, wifi eller kabel att ske. Hotell är ett exempel på företag som idag förutom boende erbjuder tillgång till internet via wifi. En sökning via hotels.com visar att en majoritet av hotellen som kommer upp erbjuder tillgång till internet via trådlöst nätverk [3]. Användare som använder enheter med begränsad datakvot via mobila nätverk som 4G kan använda wifi eller kabel för att inte slösa på denna. Tillgång till internet via wifi kan därför vara lockande vid boende på hotell. En förberedande undersökning utfördes för att säkerställa att detta stämmer. Samtal till tio olika hotell runt om i Sverige bekräftade att alla erbjöd internet av de tillfrågade erbjöd wifi som tjänst vid frågan "Erbjuder ni wifi?". Utöver hotell finns det en rad offentliga platser som erbjuder liknande tjänster i form av wifi. Övriga platser som erbjuder trådlös uppkoppling i form av wifi till kunder och besökare är platser som caféer och restauranger. Flygplatser är också vanliga platser att erbjuda trådlösa nätverk som är tillgängliga för besökande av platsen. Vissa bibliotek erbjuder även de trådlös uppkoppling till besökare. Det finns studier som visar att användare oftast inte är medvetna om vilka säkerhetsrisker de utsätter sig för genom att ansluta till öppna eller slutna nätverk, antingen genom direkt kabel eller wifi [4] [5]. 1.2 Tidigare forskning En studie av 147 stycken hotell i USA utförd av elever ifrån Cornell från 2008 påvisade att det där fanns risker i hur nätverken var designade. I deras studie visade det sig även att det fanns hotell som fortfarande använde sig av hubbar istället för switchar vilket drar ner säkerheten på nätverket. De påvisar också att det var långt ifrån alla hotell som tillämpade VLAN i sitt nätverk.[6] En annan studie som används som utgångspunkt påvisar riskerna med att ansluta till okända nätverk och konsekvenserna det kan ha[7]. I studien användes Android telefoner. De valdes ut då Android under studien var det vanligaste mobila operativsystemet. I denna studie kunde de ändra reklamen som visades på mobilen genom att utföra en man-in-the middle attack. Några av attackerna som nämns i studien går att applicera på mer än endast Android telefoner samt att de går att använda i hotellnätverk. Saurabh Vishal har skrivit en studie där hoten med en Rogue access point tas upp. Denna studie kommer använda en del av Saurabh Vishals studie för att påvisa de hot som tas upp i denna studie. [8] 2

7 1.3 Problemformulering Uppsatsen kommer att granska i teorin vilka risker som potentiellt finns i publika trådlösa nätverk. De attacker som kommer vara i fokus för denna studie är man-in-the midddle attacker utförda mot trådlösa nätverk. 1.4 Syfte och frågeställning 1. Vilka hot finns det för användare som ansluter till publika trådlösa nätverk? 2. Vilka attacker finns det mot publika trådlösa nätverk som erbjuder wifi till besökare? 3. Vilka tjänster finns det att skydda sig mot de listade attackerna? 1.5 Begränsning Avgränsningar och begränsningar i undersökningen: 1. Den publika tilldelningen av internet kommer att ske via trådlöst-nätverk i teorin. Anledningen till att just trådlöst nätverk har valts ut är att det är svårt att överblicka vilka som faktiskt är inkopplade till det. Vilket ökar risken för att någonting skulle kunna ske. 2. Målet med attackerna ska vara att samla in data och inloggningsuppgifter. Därför har vissa attacker uteslutits. Exempel på uteslutna attack är Bruteforce attacker samt Denial-of Services. 3. De enheter som kommer vara målet för attackerna är smartphones samt Windows PC. Windows Pc:n kommer att ha brandvägg samt Anti-virus installerat. Windows PC har valts ut då det är vanligaste operativsystemet på datorer under studien. Smartphones är en enhet som många människor har tillgång när de är på resande fot och där med en vanlig enhet att ha med sig på publika platser. 4. Exploits kommer uteslutas ur studien. Exempel på detta är exploits som baseras på ej patchad mjukvara eller hårdvara som är felkonstruerad. De utesluts då attackerna i studien ej har fokus på buggar i mjukvara utan intrång via trådlösa nätverk. Studien hade blivit för omfattande om Exploits skulle tas med. 5. Studien utgår ifrån attacker som går att utföra via det trådlösa nätverket. Switchar och rackskåp ska ej gå att komma åt av attackeraren. Det finns inte heller möjlighet för attackeraren att koppla in sig i nätverket via nätverkskablar. Trådlöst har valts för att fler enheter är anslutna via trådlöst på caféer och hotell än med kabel. 1.6 Målgrupp Målgruppen för denna studie är personer med begränsad teknisk kunskap inom det skrivna området. De har valts ut då de är mindre medvetna om risker och därmed mer benägna att bli utsatta för attacker. Tanken med rapporten är att ge läsaren teoretiska kunskaper om några av hoten som kan förekomma då de ansluter sig mot publika trådlösa nätverk. 3

8 Studien kommer även ge inblick i några av de vanligaste skydden som används samt vilka skydd som i teorin kan användas för att säkra sin anslutning när uppkoppling mot publik nätverk förekommer. 4

9 2 Metod En litteraturöversikt har utförts för att få en översiktlig bild av vilka hot en användare utsätter sig för genom att ansluta till publika nätverk. Studien kommer även att ta upp de vanligaste skydden och analysera dem mot attackerna för att kunna avgöra vilka skydd som fungerar mot attackerna. Information har samlats in genom att undersöka vilka kända hot där användare kan utsättas för en man-in-the-middle attack. I och med framtagningen av attackerna har även de vanligaste skydden tagits fram för att teoretisk jämföra ifall det är möjligt att skydda sig mot attacken. Studien kommer att ha fokus på man-in-the-middle attacker då de kan vara svåra för användaren att upptäcka. Alla teoretiska attacker kommer att utgå ifrån ett teoretiskt trådlöst nätverk där svagheter i hårdvara eller svagheter i mjukvaruversioner ej kommer att tas med. Utan endast kända attacker av typen man-in-the-middle mot ett trådlöst nätverk. Varje attack och skydd kommer att analyseras i teorin hur de förhåller sig till varandra och hur författarna ser på möjligheten att skydda sig med de skydd som har tagit fram och vilka risker användare utsätter sig för genom att komma i kontakt med hoten. 2.1 Sökprocessen I sökprocessen har sökmotorer används. De har varit inriktade på akademiska artiklar samt fackmaterial. Även publicerade böcker som tar ämnen som nätverkssäkerhet och skydd. Databaser som användes för att hitta material finns i bilaga A. Sökfraser som används för att hitta material var i början fraser som Network Protection, Man-in-the middle. Andra sökord som IDS och Firewall samt Evil twin attack är exempel som har framkommit under studiens tid. 2.2 Dataanalys I sökningen efter man-in-the middle attacker samt skydd har många artiklar hittats, dock har de haft fokus på ej implementerade skydd. De påvisar exempelvis hur algoritmer kan användas för att hitta man-in-the middle attacker. Kraven för vår studie är att skydden mot attackerna redan ska gå att implementera, därav har de artiklarna valts bort i urvalet. Istället har böcker från kända utgivare (exempelvis; William Stallings, Cisco, Microsoft) används för att hitta information om attackerna. 2.3 Urvalsprocess av attacker och skydd De attacker som valts ut har fokus på att de ska vara möjliga att utföra med tillgång till trådlöst uppkoppling i form av wifi. Attacken ska klassas som en man-in-the-middle attack eller ge möjlighet att utföra en man-in-the middle. Syftet med attacken ska vara att fånga upp känslig data från användaren eller ges möjlighet att förändra data under transport. Samma attack kan ha flera olika namn men utföras på samma sätt, i rapporten har de namn som förekommit mest under sökningarna används. För att hitta attackerna har 5

10 tryckt material används som källor. Till dem menas material som vetenskapliga rapporter, publicerade böcker, konferens material och artiklar används. I studien har även misstag av användaren tagits upp. Den delen används för att påvisa vad en användare skulle kunna göra för att potentiellt öppna upp sig för en attackerare och ge möjlighet att ta sig in i datorn eller ges ökade möjligheter att utföra en attack mot användaren. Denna del sticker ut ifrån övriga attacker då det inte är attacker utan endast är tänkt att ge en överblick för användaren om vad resultaten kan bli om hen inte vet om detta. Skydden har valts ut först efter att attackerna har valts ut. De mest kända skydden för persondatorer har valts ut för att försöka förhindra att attacken kan genomföras eller att minimera risken för att bli utsatt för en attack. Inga egna attacker har under arbetets gång konstruerats utan det är endast redan kända attacker som har tagits med. 2.4 Metoddiskussion Under studiens tid har endast ett fåtal attacker kunnat analyserats. Varje attack har analyserats separat och jämfört med de skydd som finns tillgängliga i teorin utifrån de studie och underlag som har varit möjliga att få fram om respektive skydd och hot. Även här har inte alla typer av skydd varit möjliga att ta med på grund av studiens begränsade tid. Skydden är endast i teorin skyddande mot attackerna och är endast det genom hur författarna har tolkat information om skyddet samt attacken. Anledningen till att fokus har varit på man-in-the middle är att de ej kräver attacker direkt mot enheten utan endast behöver befinna sig i samma nätverk. I en man-in-the middle attack kan även uppgifter samlas ihop och användas av attackeraren vid ett senare tillfälle vilket för offret kan innebära att hen inte vet vart eller när uppgifterna blev stulna. 6

11 3 Teori Följande information kommer ge en grundläggande teoretisk förståelse för hur trådlöst nätverk som tjänst fungerar. Samt de möjliga hot som enheter utsätter sig för genom att ansluta till nätverket. Slutligen kommer de skydd användare kan implementera för att skydda sig att tas upp. 3.1 Wifi Idag ses möjligheten till trådlöst internet som en självklarhet. Det är svårt att hitta en router för konsumentbruk som inte har stöd för trådlöst nätverk detta i och med att vi blir mer mobila och inte längre är stationerade till en och samma arbetsplats. Med denna teknik förväntas människor kunna göra de saker som görs framför en stationär dator även göra via en mobil enhet uppkopplad mot trådlöst nätverk. Vid datorn idag kan mycket känslig information hanteras. Det kan vara sådant som bankärenden eller företagsdokument som inte får lämna företaget. Eller andra dokument eller tjänster som kräver sekretess hantering. I och med att detta behov har utvecklats har även nya säkra standarder, produkter och tjänster tagits fram för att möta behoven. [9] Institiute of Electrical and Electronics Engineers (IEEE) har tagit fram standarder som används när enheter behöver kommunicera via trådlöst lan. Att ha en och samma standard världen över ger möjligheten för produkter att vara kompatibla. IEEE har släppt en rad olika standarder för hanteringen av trådlösa lokala nätverk. Några av de mest kända är a som ger möjlighet att sända data över 5.2GHz bandet samt b som ger möjlighet att skicka data över 2,4GHz bandet. [10] 3.2 Hårdvara Router är en enhet i ett nätverk vars uppgift är att ge datorer möjligheten att kommunicera mellan varandra över nätverk. Routers kan komma i flera olika typer beroende på vad produkten ska användas till. En sådan enhet kan både hantera vanliga nätverksanslutningar samt trådlösa anslutningar. I många fall finns även brandvägg inbyggd i dem. Brandväggen bestämmer över trafiken som passera genom routern. Routrar tillverkas både till hemmabruk för vanliga användare och till företag som hanterar stora mängder nätverkstrafik. [11] [12] En accesspunkt eller access point ger möjlighet för enheter att ansluta till ett nätverk trådlöst. Om ett trådlöst nätverk sträcker sig över ett större geografisk område kommer en person med en trådlös enhet kunna förflytta sig inom det området. Om personen rör sig utanför en accesspunkts räckvidd med enheten kommer nästa accesspunkt ta över när enheten flyttar sig till räckvidden för den andra accesspunkten. På detta sätt kan trådlösa enheter alltid vara ansluten över en större yta förutsatt att accesspunkterna når dit. [12] För större mer komplicerade nätverk krävs en rad fler enheter för att skapa ett fungerande nätverk som switch och dedikerad brandvägg. De kommer inte tas upp i denna studie. 7

12 3.3 Anslutningsmöjligheter I och med att mer känslig data skickas genom trådlösa nätverk har kravet för att kunna skicka data på ett säkert sätt ökat. På grund av detta har en rad säkerhetsmekanismer samt tjänster för att besvara detta behov utvecklats. Allt från säkerhetsnycklar för att kunna ansluta till trådlösa nätverk samt att kryptera trafiken innan den skickas via luften. Med det ständigt ökande behovet av säkerhetslösningar har även utvecklingen av nya samt mer avancerade attackmöjligheter mot trådlösa nätverk ökat WEP När trådlös överföring som teknik blev möjlig blev det även möjligt att ansluta mot nätverket om enheten var i räckvidd till mottagaren. Utan någon typ av autentisering samt utan kryptering blev det en möjlighet att avlyssna trafiken mellan två enheter genom luften. WEP (Wired Equivalent Privacy) var den första algoritm vars uppgift var att säkra upp anslutningen mellan mobila enheter och accesspunkter. WEP tillhör IEEE standarden och går att hitta både i hos privatpersoner samt företag och andra typer av organisationer som har behov av skicka data trådlöst[13]. RC4 var designat av Ron Rivest 1987 och är känt som ett stream cipher. WEP med RC4 fungerar genom att både mottagare och avsändare delar samma gemensamma nyckel. Denna nyckel används för att kryptera och dekryptera data skickad mellan mottagare och sändare. WEP har en rad brister i säkerheten som publicerades våren 2001 av Scott Fluhrer, Itsik Mantin och Adi Shamir. Problemet med WEP är att själva nyckeln endast är ett par bitar lång och när data har gått genom RC4 kommer ett mönster att bildas och algoritmen kan efter en tid knäckas[14]. En studie publicerades 2007 där författarna påpekar att det är möjligt att knäcka 104 bitars WEP under 60 sekunder [15]. WEP anses idag inte vara ett säkert protokoll att använda men går fortfarande att hitta i nätverk på grund av produkter som fortfarande idag endast har stöd för WEP [16] WPA Utifrån de kända problem med WEP fanns behovet att ersätta protokollet med en säkrare kryptografiskmetod utan att enheter som då körde WEP skulle behöva byta hårdvara. IEEE började bygga en förbättrad version av (802.11i). Istället för att vänta på att den skulle bli färdig släppte Wi-fi alliance Wi-fi protected Access (WPA) som är baserad på i [17]. WPA var designat att ge högre säkerhet genom att använda TKIP (Temporal key Integrity Protocol) för att undvika att hårdvara skulle bli tvungen att bytas ut för enheter som redan körde WEP. WPA var byggt för att adderas till WEPs redan existerande källkod. Detta gjorde det möjligt för WPA att kryptera varje datapaket med en unik krypteringsnyckel och på detta sätt uppnå en högre säkerhet jämfört med WEP [18]. WPA ger även möjlighet för användning av checksummor för att säkra dataintegriteten när data skickas över trådlösa nätverk kallat MIC (Message integrity check) [17] WPA2 IEEE i standarden som var grunden till WPA blev färdig mitten av 2004 och med det godkändes av IEEE. I början av 2005 uppdaterade the Wi-fi Alliance WPA till WPA2. 8

13 Med namnuppdateringen tillkom en rad olika förändringar. Den mest noterbara förändringen är den krypteringsalgoritm som används i WPA2. WPA använder RC4 medan WPA2 använder AES. AES står för Advanced Encryption Standard och krypteringen är en säkrare kryptering än RC4 [19]. AES är en standardiserad krypteringsalgoritm av typen substitutions-permutations krypto. AES har möjligheten att använda kryptografiska nyckel längder på 128, 192, 256 bitar för kryptering och dekryptering av data i 128 bitar blockstorlekar [20]. Både WPA samt WPA2 har stöd för WPA-Personal och WPA- Enterprise beroende på routerns funktion Publika trådlösa nätverk Publika trådlösa nätverk skiljer tekniskt inte någonting ifrån ett hemmanätverk eller ett företagsnätverk. De utnyttjar samma sorters krypteringsalgoritmer exempelvis WPA eller WPA2 och samma typer av utrustning som accesspunkter och routers. Det som dock skiljer är att publika trådlösa nätverk är avsedda för att ge alla tillfälliga besökare eller kunder nätverksuppkoppling via wifi. I ett hemnätverk och ett företagsnät är uppkopplingen endast avsedd för vissa personer. I det publika trådlösa nätverket vet den som ansluter ingenting om vilka andra som kan ansluta eller är ansluta för tillfället. Säkerheten i det kan också vara svårt för besökaren att få reda på. Det som går att se är vad för krypteringsalgoritm som används. 4 Attacker I ett nätverk där alla enheter ansluts till varandra med kablar är det lättare att ha kontroll på vilka som får ansluta till detta nätverk. Antalet som kan ansluta begränsas av antalet uttag det finns. Det går även att stänga av uttag som är svåra att övervaka för att få mer kontroll på nätverket. I trådlösa wifi nätverk kan denna begränsning vara svårare då det räcker med att vara tillräckligt nära routern eller accesspunkten för att få möjlighet att ansluta till nätverket. Detta betyder att en potentiellt illasinnad inte behöver vara i samma lokal som sina offer för att få möjlighet att utföra en attack. Det räcker att vara inom nätverkets räckvidd. Det ges flera möjligheter för attackeraren att ostört kunna attackera nätverket och även lura andra att ansluta till attackerarens nätverk beskrivet i stycke 2.4 samt Rogue access point En Rogue access point är en accesspunkt som ej ska finnas där. De är oftast uppsatta av personer med illasinnade avsikter. Exempel på en rogue access point kan vara att ett företag som har ett legitimt trådlöst nätverk plötsligt får ett trådlöst nätverk som existerar parallellt med deras. Det är uppsatt utan administratören av nätverkets godkännande eller vetskap. Rogue access points kan även finnas på platser som inte har wifi-nät, det kan till exempel vara caféer som saknar trådlöst nätverk. En rogue access point kan då namnges till caféets namn för att få folk tro att det är ett legitimt nätverk som erbjuds av företaget och därmed är riskfritt att ansluta till.[8] 9

14 De sätts upp i syfte att få folk att ansluta till dem. När ett offer har anslutit till nätverket kan hen bli utsatt för en man-in-the middle attack. Trafik kan då avlyssnas för att få tag på exempelvis lösenord och inloggningsuppgifter till olika sidor. Datapaketen kan även modifieras vilket kan leda till att användaren får felaktig data tillbaka. Då det är vanligt med trådlösa nätverk idag kan det vara svårt att veta vilka som är äkta och vilka som är förfalskade. Saurabh Vishal påvisar att det är relativt enkelt att sätta upp en sådan rogue access point vilket ökar hotet ännu mer.[8] Figur 1: Bild på Rogue Accesspunkt Attackens utförande Förberedelser: 1. En bärbar dator med ett trådlöst nätverkskort samt en uppkoppling mot internet via 3g eller 4g används som hårdvara för attacken. Mobila uppkopplingen via 3g eller 4g är till för att kunna agera router och få offren att ansluta till de tjänster som de vill komma åt. Genom att sätta upp en fungerande internet anslutning kan flera tjänster nås och då potentiellt ge fler lösenord att spara ner. Offret kommer sannolikt att stanna kvar längre om uppkopplingen mot internet fungerar. 2. Linux distributionen KALI Linux (tidigare Backtrack) har en stor mängd verktyg som kan användas för att utföra en Man-in-the middle attack[21]. 3. Ett av verktygen som går att använda är mitmproxy[22]. Programmet är utvecklat för att kunna läsa och ändra http förfrågningar samt dekryptera HTTPS. Den går förbi SSL krypteringen genom att självt agera Certificate Authority och skapa ett eget certifikat. Denna attack kommer använda mitmproxy (stycke 4.2) för att dekryptera SSL/TLS trafik. Det är ett extra steg för att få bättre resultat vid insamlandet av lösenord och annan känslig data. Utan mitmproxy kommer endast vanlig okrypterad http trafik från hemsidor samt annan okrypterad trafik att kunna läsas av. Stegvis beskrivning av attacken: 1. Den bärbara datorn konfigureras som en Rogue Access point. Trafik som kommer in på det trådlösa nätverkskortet får passera genom laptoppen till den mobila 3g eller 4g uppkopplingen. 10

15 2. För att få offren att ta emot certifikatet konfigureras en Captive Portal där de som vill använda det trådlösa nätverket måste ta emot certifikatet. Certifikatet är skapat av mitmproxy. 3. Sedan startas mitmproxy och attackeraren väntar på att någon ska ansluta. 4. Den som ansluter till accesspunkten kommer att gå till en portal där de måste ladda ner ett certifikat för att få fortsätta. 5. Eftersom att de har attackerarens certifikat kommer all SSL-trafik att kunna dekrypteras när den passerar den bärbara datorn. 6. Innan SSL-trafiken lämnar den bärbara datorn krypteras den igen utan att offret märker vad som har hänt då offret godkänt certifikatet. Enligt enheten som används är detta giltig trafik och det ser ut som om krypteringen når ända till webbservern som den är ansluten till. 4.2 Mitmproxy Mitmproxy är en proxy utvecklad för att kunna läsa och ändra på http requests. Det finns även funktioner för att återsända gamla packet (även kallad replay-attack). Den är helt skriven i Python vilket gör att egna konfigurationer kan läggas till samt stora delar kan automatiseras via Python. När en vanlig http request skickas vidarebefordrar endast mitmproxyn förfrågan. Eftersom att det är okrypterad trafik kommer den att kunna läsas av från början. [22] Det som sker när någon kopplar upp sig till en https anslutning via mitmproxy är följande: [23] 1. En GET-request skickas till webservern för att hämta rätt html fil på webservern. En vanlig proxy skickar bara vidare SSL anslutningen mellan servern och klienten till skillnad mot mitmproxy. 2. När en CONNECT förfrågan kommer in till mitmproxy pausas klientens förfrågan i mitmproxy. 3. Mitmproxyn gör en anslutning till servern som klienten har skickat connecten till. Mitmproxyn slutför därefter SSL-Handskakningen mot servern och har då en krypterad anslutning till servern. 4. Där efter utförs en SSL-handskakning mot klienten där det är mitmproxyns egna certifikat som godkänner anslutningen. Vilket resulterar i en krypterad anslutning som för offret ser ut att sträcka sig hela vägen till servern. 5. Mitmproxy kan nu läsa och ändra all trafik som går genom den. 4.3 Evil twin attack Det som skiljer en rogue access point mot en evil twin är utförandet. De baseras på samma teknik med ett undantag som skiljer dem åt. En rogue access point sätts upp som acces- 11

16 spunkt på ett ställe oavsett om det redan finns en existerande accesspunkt. I en evil twin attack kopierar angriparen SSID och MAC-Adress från en legitim trådlös accesspunkt och kan då ta över identiteten för accesspunkten. Offrets enhet kommer inte att kunna skilja på den förfalskade accesspunkten och den äkta. Attackeraren kan även attackera den ursprungliga accesspunkten och störa ut den. Genom att störa ut den legitima accesspunkten vars identitet har blivit stulen finns endast evil twin accesspunkten kvar att svara på förfrågningar. Det ökar chanserna för attackeraren genom att fler kommer ansluta till attackerarens accesspunkt då den legitima inte kommer kunna svara. [24] [25] Denna attack är svår att skydda sig emot. Eftersom att identiteten för en legitim accesspunkt som ska finnas där har stulits. De som administrerar nätverket har inte någon aning om att det är något märkligt med nätverket. Det är under förutsättningen att deras legitima accesspunkt inte varnar om att något är felaktigt. En rogue access point som är uppsatt på ett ställe där det ursprungligen inte finns något trådlöst nätverk blir lättare att upptäcka. Detta då det dykt upp någonting som inte ska finnas där. Om en legitim identitet tas över verkar det som om den legitima enheten finns där. 4.4 Attacker mot ARP ARP (Adress Resolution Protocol) är ett protokoll som används för att koppla samman MAC-adresser med en IP-adress på ett lokalt nätverk. En MAC-adress används på datalänkskiktet för att skicka data mellan klienter. När en klient ska skicka data till en IP-adress på ett lokalt nätverk kommer detta paket att kapslas in till en frame för att sedan skickas till den MAC som motsvarar IP-adressen. För att hålla reda på vilken IP-adress som tillhör vilken MAC-adress används en ARP-tabell. Arp-tabellen innehåller två kolumner, en med IP-adresserna och en med MAC-adresserna (se figur 2 ).[26] Figur 2: Arp tabell I figur 3 ska Klient A skicka data till Klient B. Klient A vet vilken IP som klient B har men inte vilken MAC-adress som ska användas då detta saknas i ARP-tabellen. Klient A kommer då att skicka ut en ARP request (figur 4) som broadcast Lager 2 till adressen FF:FF:FF:FF:FF:FF. Eftersom att det skickas som broadcast kommer alla noder på samma nätverksegment att ta emot detta och kontrollera IP-adressen i ARP queryn. Endast den datorn som har rätt IP-adress kommer att svara på denna query med ett arp reply (figur 5). Klient A uppdaterar sin ARP tabell genom att koppla MAC-adressen för Klient B till klientens IP. [26] 12

17 Figur 3: Arp scenario Figur 4: Arp Request [26] Figur 5: Arp reply [26] Arp spoofing eller Arp poisoning Målet med attacken är en man-in-the middle där ett offer luras att skicka data till någon annan än exempelvis routern i nätverket. Denna data kan sedan läsas av och ändras. Attacken utnyttjar hur ARP fungerar. En stor svaghet är att det är statless protokoll och har därmed ingen hantering för att kontrollera om en request har skickats. Den tar med andra ord emot reply även om en request inte har skickats ut. En potentiell attackerare kan skapa sina egna replys utan att någon request skickats för att ta någons identitet i nätverket. Genom att veta vilken MAC adress och IP en enhet har, exempelvis en gateway har kan gatewayens identitet stjälas. På det viset skulle gatewayens identitet i nätverkets stjälas för att få all trafik som ska ut ifrån nätverket skickat till sig. [26] En programvara utformad för att kunna utföra Arp-Spoofing attacker är Ettercap. Denna programvara stöds av en rad olika Linux distributioner samt olika BSD system. [27] 4.5 Misstag av användaren Användaren som ansluter till nätverket kan av olika skäl i vissa fall självt öppna upp för en attack. De skäl grundar sig till en stor del i okunskap. De kan vara extra farliga då användaren i vissa fall ha gjort inställningar eller godkänna val som användare ej förstår konsekvenserna av. Nedan följer exempel på saker som kan öka sårbarheten på en användares dator Nätverksutdelningar och ange osäkra nätverk som hemnätverk En användare har på sin dator delat ut en katalog till alla i sitt hemnätverk på datorn. Rättigheterna är inställda att alla som ansluter till utdelningen har fulla rättigheter i den. 13

18 Denna användare tar sedan med sig datorn till hotellet där den kopplar upp sig på hotellets nätverk. När datorn har anslutit kommer en fråga upp om vad det är för nätverk som datorn anslutits till. Det finns olika profiler för brandväggen som är privat nätverk (figur 6) vilket öppnar upp datorns brandvägg mer än vad som är lämpligt i publika trådlösa nätverk. Figur 6: Privatnätverksprofilen i brandväggsinställningar Gästnätverk eller offentligt nätverk (figur 7) är nästa profil. Denna profil tillåter mycket färre anslutningar in till datorn och blockerar även fildelningar vilket är önskvärt i en miljö där säkerheten är okänd. Figur 7: Gäst eller offentligtnätverks profilen i brandväggsinställningar Om användaren anger nätverket som privat nätverk när Windows frågar om anslutningen. Kommer brandväggen att öppna sig mer än vad som är rekommenderat. Det skulle kunna leda till att användaren får bilder och dokument ifrån utdelningen stulna. I värsta fall skulle en potentiell attackerare kunna ladda upp filer till utdelningen som innehåller virus och skadlig kod för att senare få access till datorn Ignorerar certifikat varningar Alla de hemsidor som använder SSL eller TLS kryptering innehar ett certifikat. Certifikatet innehåller information om hemsidan för att kunna verifiera att hemsidan är den korrekta användaren har anslutit sig till. Certifikaten är unika för varje sida och kan därför ej finnas på flera. Om en användare ansluter till en hemsida med HTTPS berättar certifikatet för webbläsaren att den har kommit till rätt sida. Om användaren har anslutit till en webbsida som ej överensstämmer med certifikatet kommer webbläsaren att visa en varning om certifikatfel för användaren. I figur 8 visas en varning för att sidan använder ett certifikat som blivit återkallat och inte är aktuellt längre. 14

19 Figur 8: Certifikatsvarning i Internet Explorer 11 En känd sida med certifikatfel skulle kunna vara en illasinnad webbsida för att lura användaren till att ange sina inloggningsuppgifter genom att ta utseendet ifrån den legitima. Om användaren väljer att fortsätta förbi varningen riskerar användaren att få sin trafik avlyssnad eller komma till en felaktig sida. Sidor med certifikatfel bör undvikas om inte användaren på något sätt vet att det är den önskade sidan som vill besökas. Dock kan fortfarande trafiken möjligtvis avlyssnas då ett ej fungerande certifikat kan göra att krypteringen inte går att lita på Icke uppdaterad dator och antivirus Att uppdatera operativsystemet i datorn är ett enkelt sätt för användare att skydda sig. Uppdateringarna korrigerar säkerhetshål och buggar som kan utnyttjas för att få kontroll över en dator. Genom att alltid hålla sitt operativsystem uppdaterat finns det färre svaga punkter att attackera jämfört med ett gammalt icke uppdaterat operativsystem. Ett operativsystem måste stödjas av tillverkarna då för gamla operativsystem inte längre uppdateras vilket gör dem osäkra. Även om ett säkerhetshål hittas i dem kommer inte tillverkaren att patcha det. En användare som använder ett föråldrat operativsystem som inte längre har support ifrån tillverkaren ökar risken för att råka ut för virus och attacker. I Windows 8.1 finns ett inbyggt antivirus som uppdateras via Windows Update. Detta hjälper till genom att hitta skadlig kod och förhindra att den kan köras. Det är även viktigt att brandväggen på datorn är påslagen för att förhindra oönskad access till datorn. 15

20 5 Skydd För att kunna presentera resultatet i denna studie har alla attacker som finns med i denna rapport utretts och granskats. Attackerna har ställts mot skydden för att få en överblick över vilka skydd som kan hindra vad för attacker. Då detta är ett teoretiskt arbete har inga tester utförts utan det är endast teoretiskt resultat som presenteras. Det finns en rad olika skydd att använda på enheter för att skydda dem mot intrång eller attackförsök från illasinnade användare. I följande stycken kommer en rad olika tekniker och produkter att tas upp som kan, i teorin, skydda mot attacker som tidigare tagits upp i studien. 5.1 Brandvägg En brandvägg är konstruerad för att hålla reda på vad för trafik som får komma in och ut ur systemet. De är tänkta att skydda systemet eller nätverket från yttre hot. Brandväggar finns både som hårdvara i nätverk och i datorer finns lokalt installerade mjukvaru baserade brandväggar. Brandväggens huvudsakliga uppgift är att hantera både inkommande samt utgående TCP/IP trafik. De reglerar vad som kommer in och lämnar enheten utifrån de regler som är konfigurerade. En brandvägg behöver kunna utföra en rad olika funktioner: [28] Brandväggen hanterar in samt utgående trafik. Detta för att avgöra om ett paket ska stoppas kontrolleras vart datapaketen kom ifrån och vart paketet är destinerat till. Utöver ursprung och destination kontrolleras även vilken port paket kommer skickas genom. Om något av de olika kriterierna inte tillåts kommer paketet att slängas. [28] Autentisering: Brandväggar kan ha autentiseringsmöjligheter för användare som vill ha tillgång till system genom att brandväggen tillåter åtkomst till betrodda datorer eller användare. Att vara en mellanhand mot trafik som vill in till ett system som skyddas av brandväggen. Skydda tillgångar: Brandväggen ska kunna skydda resurser från hot mot system de är tänkt att skydda. Detta uppnås oftast genom att regler är satta för system som helthet eller specifika regler för enskilda program. Logga och rapportera händelser: Kunna logga trafik eller händelse i brandväggen för att sedan kunna meddela i form av rapporter. En personlig brandvägg är, till skillnad från en traditionell brandvägg, lokalt installerad på en enhet. Det som skiljer dem åt i funktion är att en personlig brandvägg endast kan skydda den enhet som den är installerad på. Brandväggar kan vara utseendemässigt och funktionellt annorlunda beroende på syfte och vad för system de är tänkta att användas i. Dock har de alla samma grundfunktion som är att hindra obehörig trafik från att ta sig in eller lämna system.[28] [29] 16

21 5.2 IDS IDS står för Intrusion Detection System och är ett system som används för att få varningar om att någonting suspekt sker i systemet. Exempel på detta kan vara att någon försöker bryta sig in i systemet. I ett scenario där någon redan har lyckats ta sig förbi brandväggen in till maskinen utan användarens vetskap skulle en IDS kunna triggas för att varna användaren om att någonting suspekt händer i systemet. [30] Det finns olika typer av Intrusion Detection Systems: Statistical Anomaly detection: Denna samlar ihop data och bygger upp en profil över vad för aktiviteter en legitim användare utför på en dator. Profilen ger då en överblick över vad som användaren normalt utför på datorn. Profilen används för att kunna avgöra om det som sker i systemet är normalt eller om det är suspekt. [30] Ett exempel på detta är en användare som i normala fall surfar på webben, redigerar bilder och använder streamingtjänster. Om denna användare börja att försöka komma åt skyddade systemfiler kan detta beteende jämföras med den datan som finns i profilen. Då detta skiljer sig drastiskt emot vad som är normalt beteende i systemet, skulle då intrusion detection systemet reagera och larma om att någonting inte stämmer.[30] Det kan dock vara svårt i vissa fall att avgöra om det är något som sker eller om användaren endast bytt rutiner och då triggar systemet utan att göra något illasinnat. Rule-based detection: I denna sätts regler upp för att identifiera vad som är normalt beteende och vad som inte är det. Denna är i sin tur uppdelad i två underkategorier. I den första kategorin sätts regler för vad som är normalt beteende och sedan används detta för att upptäcka beteende som skiljer sig ifrån detta. Den andra använder regler av säkerhetsexperter. Reglerna definierar vad som är typiskt beteende för en som försöker bryta sig in i systemet och ger då larm om något stämmer överens med dem. [30] En IDS stoppar inga attacker och kan inte heller förhindra dem från att ske. Den måste vänta till dess att någonting har skett i systemet innan en IDS upptäcker det. Ett system som däremot kan skydda och förhindra en attack är en IPS (intrusion prevention system). IPS kan självt ändra exempelvis brandväggsregler för att stoppa ett intrång och även hindra dem från att ske igen.[30] Som hemanvändare kan det vara svårt att hitta en IDS då många riktar in sig mot enterprise och företag istället för privata kunder. De finns dock inbyggda i en del anti-virus mjukvaror. 5.3 Anti-virus Anti-virus är en mjukvara för att leta upp och oskadliggöra skadlig kod på datorn. Exempel på illasinnad kod kan vara trojaner och virus. Det finns olika tekniker ett anti-virus 17

22 kan använda för att upptäcka skadlig kod nedan listas de tre vanligaste. Signatur baserad: Ett virus är ett skadligt program som följer med och gömmer sig i legitima program för att förhindra att den blir upptäckt. Virus är programmerade att infektera flera filer och på det viset sprida sig vidare. För att viruset ska veta vilka filer som redan är infekterade kan det använda en signatur som skrivs dit i infekterade filer. Signaturen används för att viruset inte ska infektera den redan infekterade filen en gång till. Signaturbaserade anti-virus använder sig av en databas som innehåller kända virus signaturer för att leta upp viruset. Anti-viruset går igenom filerna för att försöka hitta kända signaturer för att sedan kunna eliminera viruset.[30] Heuristiska anti-virus: Denna typ av anti-virus använder till skillnad ifrån signaturbaserad anti-virus istället beteende för att identifiera virus. Heuristiska anti-virus letar efter beteenden som är typiska för virus för att kunna motverka dem. Exempel på beteende som anti-viruset skulle reagera på är att ett program börjar kopiera sig till slumpmässiga filer i datorn. Det är få legitima program som skulle göra på det sättet utan det är istället ett väldigt typiskt beteende för ett virus.[30] Moderna anti-virus använder både signaturbaserade och heuristiska detekteringsmetoder för att hitta skadlig kod. De använder även nyare metoder där de låter programmen starta i en skyddad miljö för att kontrollera vad programmet kommer göra. På det sättet kan viruset upptäckas och stoppas innan det har körts i den riktiga miljön där viruset skulle kunnat skada något. [30] 5.4 VPN VPN (Virtual Private Network) är en metod att på ett säkert sätt skicka data krypterat genom en virtuell tunnel över publika eller privata nätverk. VPN går att bygga genom att koppla en enhet till ett privat nätverk genom en gateway eller koppla hela nätverk mellan varandra vilket gör att en säker överföring går att upprätta mellan privata nätverk [31]. Det kan finnas flera anledningar till att använda VPN beroende på vad personen ska använda det till. Exempel på detta kan vara personer som via sin anställning har möjlighet att kunna jobba utanför arbetsplatsens privata nätverk. Den publika platsen skulle kunna vara ett hotellrum som erbjuder internet via trådlöst nätverk. Personen som vill komma åt företagets interna resurser står då inför problemet att varken hotellets nätverk eller de nätverken som går mellan personen och företaget kan anses som tillräckligt säkert för att skicka data genom. VPN erbjuder då möjligheten att skapa en säker anslutning genom att använda en kryptera tunnel. Tunneln kommer göra all data som skickas mellan personen och företaget oläsligt för eventuella försök att avlyssna kommunikationen. Därmed kommer data kunna skickas säkert mellan personen och företaget. [32] Följande metod fungera även över betydligt större installation. Det kan röra sig om företag som har geografiskt åtskilda kontor. Den enda möjliga kommunikation för dem går över publika nätverk som exempelvis internet. I detta fall kan en VPN-tunnel säkert överföra 18

23 data genom att upprätta en konstant virtuell tunnel där företagets data säkert kan skickas mellan de geografiskt åtskilda kontoren [33]. Den finns en rad olika typer av VPNs tillgängligt beroende på användarens behov. Varje typ kan ha fördelar samt nackdelar och begränsningar beroende på vilken hårdvara eller mjukvara användaren använder: PPTP VPN: PPTP (Point-to-Point Tunneling Protocol) är ett vanligt använt VPN protokoll. VPN samarbetar med GRE (Generic Routing Encapsulation) protokoll för att skapa tunneln som trafiken skickas genom. En av anledningarna varför PPTP är ett väldigt populärt protokoll att använda är för att det inte kräver något certifikat. Det innebär att PPTP inte har möjlighet att ge någon sekretess eller kryptering för den som använder protokollet. PPTP har även stöd för alla Windows plattformar. PPTP förlitar sig på tredje parts program för att uppnå sekretess samt kryptering av data under transport [34] [35]. Site-to-site VPN: Site-to-site VPN används för att koppla samman hela företag eller geografiskt skilda kontor. Det finns två typer av site-to-site VPN. Intranet-based där företag med olika geografiska platser kan koppla samman sina LAN för att kunna komma åt resurser i hela företaget säkert. Extranet-based där företag skapar en säker anslutning mellan varandra och skapar ett externt nät. I det externa nätet kan resurser delas och samtidigt hålla kontoren åtskilda från varandras intranät[31]. L2TP/IPsec VPN: L2TP (Layer 2 Tunneling Protocol) är ett tunnelprotokoll i VPN. L2TP själv har inget stöd för kryptering utan förlitar sig på andra program för att kryptera trafiken som sedan skickas genom tunneln. IPsec kombineras med L2TP för att säkra upp möjligheten att ge användaren konfidentialitet och integritet samt autentisering. IPSec kan använda två olika protokoll för att uppnå denna säkert. ESP-protokollet som sköter autentisering samt kryptering genom att använda kryptografiska algoritmer. Algoritmer som HMAC-SHA1 och 3DES samt AES används för att skydda användarens data från att läsas under transport. AH-protokollet har inte möjlighet att kryptera men kan användas för att skapa autentisering för användaren. Både ESP samt AH kan kombineras för att användas under VPN session mellan två enheter. [33] 5.5 Skydd från tjänsteleverantören Även om en stor del av åtgärderna för att öka sin säkerhet ligger hos användaren finns det mycket som ägaren av det publika nätverket kan göra för att säkra det ytterligare. Det finns troligtvis två varianter av utrustning som leverantören kan välja. De två varianterna är antingen en vanlig router avsedd för privatpersoner eller enterprise utrustning som är köpt och installerade av ett företag som specialiserat sig på lösningar för publika trådlösa nätverk. Det som skulle kunna avgöra vad för utrustning som leverantören väljer är troligtvis en budgetfråga. Då det är dyrare att köpa in enterprise utrustning än att köpa 19