Моя сеть — моя крепость

Дисклеймер гласит, что данный пост рассчитан не на хардкорных технарей и хакеров, а на обычных пользователей технологии Wi-Fi — то есть на всех, кто не кладёт вставную челюсть в стакан на ночь. Многие концепции и принципы будут намеренно примитивизированы, кое-что и вовсе будет опущено. В целом, по моей задумке, к концу данного текста любому должно стать понятно, какие шаги предпринять, чтобы его соседи не смотрели Игру Престолов за его счёт.

Все любят вай-фай. Некоторые — чужой вай-фай. Так уж вышло, что я кое-что знаю об этом и потому решил написать, какими же способами злонамеренный сосед может попасть в вашу уютную стомегабитную сеть. Подчеркну, что речь пойдёт именно о домашней беспроводной сети. Об ужасах публичных сетей можно написать целый трактат, так что не будем об этом. По крайней мере, не в этот раз.

Итак, для удобства усвоения, я разделю методы несанкционированного доступа к Вашей уютной домашней сети на два раздела: воздух и провод. Описав атаки, я опишу и методы защиты от них.

Воздух

Под воздухом я подразумеваю ту самую беспроводную составляющую, благодаря которой технология Wi-Fi и снискала такую распространённость. Поскольку пост, как гласит дисклеймер, рассчитан не на специалистов, то нет смысла углубляться в саму технологию и сыпать аббревиатурами. Для того, чтобы понять написанное ниже, следует знать одну абсолютно очевидную вещь — Вашу беспроводную сеть видно не только Вам. Даже если она скрыта в настройках роутера (ну ладно, вот это, может быть, уже не совсем очевидно, но это тоже следует знать). Если у злонамеренного соседа длинная антенна и правильная операционная система, то он достанет Вас и из соседнего подъезда (или даже соседнего дома), если уж Ваша сеть ему чем-либо приглянется. Чтобы понимать, как защищаться, нужно понимать, как нашу уютную сеть могут атаковать. На воздух могут покушаться различными способами:

  • Атака на технологию защиты WEP;
  • Атака на технологию защиты WPA (2);
  • Атака на стандарт WPS.

Если Ваша сеть защищена по технологии WEP, то даже ленивый в течение пары минут может оказаться внутри. Можно считать, что она почти что открытая. Вот, собственно, и всё, что нужно знать в 2016-м году про WEP. Беспроводные точки с такой защитой встречаются уже довольно редко, но всё же стоит проверить, на всякий случай, а не доверяете ли вы шифрованию, которое может быть скомпрометировано в считанные секунды.

Большинство же современных домашних сетей защищены при помощи WPA/WPA2. WPA не ломается так легко как WEP, а если и ломается, то по иному принципу. Чтобы взломать сеть, защищённую по данной технологии, злоумышленнику потребуется застать момент, когда одно из Ваших устройств подключается к сети. Предположим, Вам известно, что Вашу любимую песню сегодня поставят в эфире радио, но не известно когда. Если Вам очень хочется её услышать именно по радио, то у вас есть два пути: включить приёмник, настроиться на нужную волну и ждать весь день или позвонить на радио, передать привет бабуле и коту, после чего попросить ведущего поставить нужный трек. Примерно так может действовать и злоумышленник. Он может ждать, когда Вы придёте домой и Ваш смартфон подключится к домашней сети автоматически или же он может вежливо попросить роутер отключить от сети вообще все устройства и наблюдать за тем, как они присоединяются обратно. Зачем ему это нужно? Если говорить простым языком, то во время присоединения Вашего планшетика к Wi-Fi сети, по воздуху передаётся и Ваш пароль, к счастью — в зашифрованном виде (называется это хэндшейк или рукопожатие, на мужицком русском языке). Раз Ваша сеть видна всем вокруг, то и зашифрованный пароль может перехватить любой, кто в этом заинтересован. Перехватив хэндшейк, злоумышленник может начать сравнивать его с паролями из огромной базы (несколько миллиардов паролей, например), пока один из них не совпадёт с Вашим. Поскольку успех данной атаки полностью зависит от того, найдётся ли Ваш пароль в словаре, следует выбирать сложный пароль, похожий скорее на Vfr#T6@7ty, чем на Vitalya1337.

Ещё один верный путь в Вашу домашнюю сеть — технология WPS. Технологию WPS придумали, чтобы люди имели возможность подключаться к защищённой сети без ввода пароля. Типичная иллюстрация из инструкции к роутеру:

wps-demo

Всё заманчиво просто: нажал кнопку на конечном устройстве (например, на чайнике, ведь у него нет клавиатуры для ввода пароля), нажал кнопку на роутере — и вот они уже снюхались и работают вместе, как давние коллеги. Но на деле всё оказалось довольно печально. Защита WPS основывается на восьмисимвольном пин-коде, а из-за грубой ошибки в стандарте злоумышленнику нужно подобрать всего 4 цифры. Если Ваш роутер не обучен защите от такого кунг-фу, то злонамеренный сосед подберёт необходимую комбинацию гарантированно максимум за 10 часов. Если повезёт, то и раньше, но ключевым здесь является слово «гарантированно».

Более того, есть и ещё одна, совершенно бессовестная атака под названием Pixie Dust, позволяющая в ряде случаев (зависит от внутренностей Вашего роутера) осуществить взлом стандарта WPS за пару секунд.

Некоторые производители обновили прошивки своих роутеров так, чтобы они могли противостоять перебору пин-кода WPS. Одна попытка в минуту или 5 попыток в день: даже если это растягивает перебор на недели, то кого устроит тот факт, что в какой-то момент времени сеть всё равно будет взломана? Потому есть только один правильный выход: полностью отключить WPS на роутере. Забавно, но некоторые роутеры не позволяют просто снять галку и выключить WPS, иногда для этого требуется обновить прошивку, чтобы данная опция появилась.

Провод

Большинство статей о безопасности Wi-Fi ограничиваются той частью, которая связана с воздухом. Но в роутере есть ещё и провод! Да-да, тот самый, который выходит из стены в коридоре и тут же попадает в коробку с лампочками и антенной. Перед тем, как разобраться с тем, что нам угрожает из этого самого провода, напомню, как роутеры обычно настраиваются. Для того, чтобы изменить параметры сети (сменить пароль, название и т.д.), обычные люди идут в веб-панель администрирования роутера. Обычно, она находится по таким адресам как 192.168.1.1 или 192.168.0.1.

Веб-панель администрирования роутера выглядит, как страница с кучей непонятных цифр и значков:

asus-interface dlink-interface tplink-interface zyxel-interface

Панель администрирования принято защищать логином и паролем — и вот тут-то начинается самое интересное. Большинство современных роутеров имеют примитивную стандартную пару логин-пароль, которая для удобства заботливо написана на задней стороне железки, выглядит это как-то так:

wifi-sticker

Дабы не загружать пользователя, производители ставят пары логин-пароль типа: admin/admin, admin/пусто, admin/1234, admin/password и т.д. Некоторые современные роутеры заставляют пользователя придумывать свой пароль, дабы отказаться от стандартного, но те выбирают пароли, не сильно отличающиеся от вышеприведённых. Казалось бы, а в чём проблема? Для того, чтобы иметь возможность обратиться к роутеру по прямому адресу, нужно сначала подключиться к беспроводной сети. Наш пароль Vfr#T6@7ty и WPS выключен, а значит злонамеренный сосед никогда не попадёт внутрь и не сможет воспользоваться простой парой логин-пароль, чтобы попасть в роутер. Или сможет?

Так вот, где-то там, за проводом, находится вожделенный Интернет, но перед тем, как попасть туда, Ваша информация проходит по внутренней сети Вашего провайдера. Вот здесь-то и находится самое интересное. Да простят меня сетевые инженеры, но мы договорились не умничать в этом посте, потому попытаюсь объяснить суть проблемы при помощи вот этой вот диаграммы:

isp-dumb-scheme

Если у Вашего соседа тот же провайдер, что и у Вас, то вместе вы будете подключены к одной и той же внутренней сети. Тогда Ваш сосед (красный роутер) сможет подключиться к Вам (зелёный роутер) так же, как Вы подключаетесь внутри своей сети к собственному принтеру или телевизору со SmartTV.

Обратившись к Вашему роутеру изнутри сети провайдера, Ваш злонамеренный сосед увидит предложение ввести логин-пароль от веб-панели администрирования роутера.

Упс!

Если эта пара стандартная или примитивная (а она, скорее всего, стандартная или примитивная), то он попадёт в панель управления, где сможет увидеть и название сети и пароль и даже все устройства, подключённые к сети на данный момент. Записав на бумажку название и пароль, он найдёт Вашу сеть в радиоэфире и подключится к ней совершенно обычным образом, введя сложный пароль Vfr#T6@7ty.

Обязательным способом противодействия является установка сложного пароля для доступа к панели администрирования. Если Вы не способны сделать это самостоятельно, то попросите своего друга (сына, внука, но только не соседа, пожалуйста) программиста, ведь на то он и программист.

К сожалению, сложный пароль не всегда обеспечивает надёжную защиту. Некоторые роутеры имеют целый ворох уязвимостей, позволяющих успешно атаковать их из внутренней сети провайдера, даже не зная пароль. В таком случае, роутер выдаст и пароль от панели и пароль от сети. Важно обновлять прошивку роутера, а если Вы не способны сделать это самостоятельно, то… ну, Вы поняли.

К ещё большему сожалению, для некоторых роутеров не существует штатной прошивки, которая закрывала бы все уязвимости и тут остаётся только пожать плечами и посоветовать купить более современный роутер. Это к вопросу о том, зачем его менять, ведь он всё равно работает. Если Вы не способны самостоятельно выбрать роутер, то…

Главное, не разозлите Вашего тыж-программиста.oho-camo

Кому я нужен?

Резонный вопрос. Не стану расписывать подробно, но варианты эксплуатации подключения к Вашей сети имеются:

  • Перехватывать трафик внутри Вашей сети for fun and profit. Злоумышленник может, при желании, изучить всё, что Вы делаете в своей уютной сети — пишете ли вы сообщение ВК или платите за коммунальные услуги на сайте банка;
  • Использовать подключение к Вашей сети для выхода в Интернет. А уж зачем оно злоумышленнику понадобилось — на его совести. Может, он скачает кинцо, а может атакует государственные сайты, кто знает. При этом стоит понимать, что подключение к Вашей сети возможно как по воздуху, так и из внутренней сети провайдера. Учитывая, что провайдеры, зачастую, оказывают услуги сразу в нескольких регионах страны, то вполне возможно, что пароль к панели администрирования Вашего роутера подберёт некто из совершенно другого города и начнёт ходить в Интернет через Вас, заметая следы для своих тёмных дел;
  • Заражение Вашего роутера вредоносной прошивкой и использование его для атак на веб-сайты. Тоже возможно. Пока Вы спите, Ваш роутер по команде злоумышленника отправляет миллионы запросов на какой-то левый сайт, вызывая его перегрузку и падение (модная аббревиатура — DDoS).

Напоследок, покажу кусочек одной карты, составляемой энтузиастами. Эта карта содержит беспроводные сети вместе с названиями и паролями. Рекомендую представить, что было бы, если бы сервис пользовался массовой популярностью и там находилась Ваша сеть.

wifi-map

Легко заметить, что пароли есть и простые и сложные, а всё потому, что об угрозах со стороны провода никто не думает и не говорит.

Итоги

Просуммируем всё, чему мы научились в данном посте:

  • Категорически важно использовать сложный несловарный пароль;
  • Нужно включить технологию защиты WPA/WPA2, если она ещё не включена;
  • Критически важно выключить WPS, иначе Ваша сеть может быть гарантированно взломана в разумные сроки;
  • Пойти и установить сложный несловарный пароль на панель администрирования роутера. Очевидно, не такой же, как на саму сеть;
  • Периодически обновлять прошивку роутера, чтобы закрывать уязвимости, позволяющие осуществить компрометацию сети;
  • Если на Вашем роутере написано DIR-300 или DIR-320, то следует задуматься о том, чтобы купить себе устройство посовременнее.

Если Вы чувствуете в себе силы, то в качестве ещё более надёжной меры безопасности отключите веб-панель администрирования или перенесите её с порта 80 или 8080 на другой, менее очевидный порт. Массовые сканеры проверяют только стандартные порты.

Вот и всё, что я хотел рассказать Вам о защите домашних роутеров от злонамеренных соседей.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *