Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wardriving w Chinach

Tagi:

Alexander Gostev
Senior Virus Analyst, Kaspersky Lab

Niedawno byłem w Chinach na konferencji AVAR 2005, corocznym spotkaniu ekspertów z dziedziny oprogramowania antywirusowego z rejonu Azji i Pacyfiku. Przy okazji przeprowadziłem badania sieci bezprzewodowych w głównych miastach Chin: Tianjinie i Pekinie.

Badanie zostało przeprowadzone w dniach 17-19 listopada 2005 roku i objęło dzielnice handlowe Tianjinu i Pekinu oraz lotnisko w Pekinie. Dane zostały zebrane z około 300 punktów dostępowych.

Nie próbowałem podłączać się do żadnej z wykrytych sieci Wi-Fi, ani przechwycić i odszyfrować przesyłanych za ich pomocą danych. Nie znam się na chińskim prawodawstwie dotyczącym sieci Wi-Fi; sądzę jednak, że międzynarodowe prawo nie zabrania zbierania i analizowania danych. Raport ten nie zawiera konkretnych informacji (np. dokładnych współrzędnych GPS lub nazw sieci) o wykrytych sieciach.

Oprócz analizy sieci bezprzewodowych zbierałem jeszcze dane statystyczne dotyczące wielu różnych urządzeń Bluetooth w trybie "widoczny dla wszystkich". Próbowałem również zgromadzić dane odnośnie telefonów komórkowych zainfekowanych szkodnikami dla urządzeń przenośnych rozprzestrzeniających się za pomocą Bluetootha.

Takie badania przeprowadzałem po raz pierwszy; przyznaję, że mój brak doświadczenia może być przyczyną błędnej interpretacji niektórych danych. Gdy jednak porównałem swoje wyniki z danymi innego badania, nie znalazłem znacznych rozbieżności ani błędów rzeczowych.

Problem bezpieczeństwa sieci bezprzewodowych i urządzeń przenośnych ma teraz coraz większe znaczenie. Niniejszy artykuł świadczy o tym, że firma Kaspersky Lab poważnie traktuje tę kwestię i będzie nad nią pracowała w przyszłości.

Sieci Wi-Fi

Prędkość transmisji

Badania jasno pokazują, że większość sieci (ponad 58% tych wykrytych) przesyłały dane z szybkością 11 MB na sekundę. 36,2% posiadało prędkość transmisji 54 MB na sekundę. Niektóre punkty dostępu działały z prędkością 2 MB na sekundę i wykorzystywały FHSS.

Prędkość transmisji
Prędkość transmisji

Liczba punktów dostępowych ze względu na prędkość transmisji
Liczba punktów dostępowych ze względu na prędkość transmisji

Producenci sprzętu

W sumie wykryto 21 różnych typów urządzeń. Najpopularniejsze z nich - 10 znanych marek (producentów) - stanowiły 56% sieci bezprzewodowych w Tianjinie i Pekinie. W 4% wszystkich przypadków stosowano sprzęt innych producentów.

Do najpopularniejszych marek sprzętu należą:

  • Proxim (Agere) Orinoco – 13,73%
  • Cisco – 10,21%
  • D-Link – 7,04%
  • Linksys – 6,69%
  • Intel – 4,94%
  • Proxim (Agere/WaveLAN) – 3,52%
  • Senao – 3,17%
  • Z-Com – 2,28%
  • Netgear – 2,46%
  • Accton – 2,11%

Jak wykazują powyższe dane, ogólnymi liderami są Agere Systems (producenci Orinoco/WaveLan), który uzyskał 17,25% oraz Cisco (producenci Linksysa), który uzyskał 16,9%.

Wykorzystywany sprzęt jako odsetek liczby wykrytych sieci
Wykorzystywany sprzęt jako odsetek liczby wykrytych sieci

W znacznej liczbie przypadków (39,08%) nie zidentyfikowano producenta (Nieznany, Fałszywy lub Użytkownik zidentyfikowany).

Zidentyfikowany / niezidentyfikowany sprzęt
Zidentyfikowany / niezidentyfikowany sprzęt

Szyfrowanie ruchu

Dane pochodzące od war-driverów na całym świecie pokazują, że około 70% sieci bezprzewodowych nie szyfruje danych w żaden sposób. Według rosyjskich badań przeprowadzonych w 2005 roku przez Informazaschita, w Moskwie odsetek ten wynosił 68-69% (tekst w j. rosyjskim, pierwsza część, druga część).

W Chinach stosunek sieci chronionych do sieci niechronionych znacznie różni się od tych w innych państwach.

Szyfrowane / nieszyfrowane sieci
Szyfrowane / nieszyfrowane sieci

Niecałe 60% sieci nie wykorzystywało żadnego szyfrowania. Nie wykryto żadnych sieci stosujących nowe ulepszone standardy szyfrowania WPA lub 802.11i.

Dane dostarczane przez war-driverów w innych państwach ukazują, że w większości niechronionych sieci można było uzyskać dostęp do routera poprzez przeglądarkę internetową. Można sądzić, że to samo odnosi się również do Pekinu i Tianjinu, jednak ten aspekt nie został zbadany.

Typy sieci

Ogromna większość wykrytych sieci (89%) skonstruowana jest wokół punktów dostępowych. Podobną liczbę odnotowano w innych państwach. Pozostałe 11% to sieci typu komputer - komputer (IBSS/Peer). W jednym przypadku określenie typu komputera okazało się niemożliwe.

Typy sieci
Typy sieci

Konfiguracja domyślna

Jednym z najbardziej skutecznych sposobów ochrony sieci przed tzw. wardrivingiem jest wyłączenie SSID. Nasze badanie wykazało, że zostało to zaimplementowane tylko w 6% sieci.

Kolejnym problemem jest domyślny SSID, który oznacza z reguły, że administrator punktu dostępowego nie zmienił nazwy routera. Może wskazywać również na to, że konto administratora wciąż ma domyślne hasło.

Domyślna konfiguracja
Domyślna konfiguracja

Urządzenia Bluetooth

Głównym celem mojego badania było zebranie danych statystycznych odnośnie liczby urządzeń Bluetooth w trybie "widoczny dla wszystkich" oraz typów tych urządzeń.

Kolejnym celem było złapanie wirusów na wolności przy użyciu mobilnego "wabika". Wabik działał w trybie "widoczny dla wszystkich" i został skonfigurowany w taki sposób, aby automatycznie przyjmował i zapisywał wszystkie przychodzące pliki.

Zastosowana metoda była stosunkowo prosta. Użyto laptopa, który posiadał Bluetake (zewnętrzny adapter BT) o zasięgu około 100 metrów. Wykorzystanym oprogramowaniem był BlueSoleil.

Aby zebrać maksymalną liczbę próbek celowo wybrano ruchliwe miejsca: międzynarodowe lotnisko w Pekinie oraz Wangfujing, główną ulicę sklepową w Pekinie. Przeprowadzono również testy podczas konferencji AVAR 2005 w Tianjinie.

W Pekinie i Tianjinie skoncentrowałem się na zebraniu danych statystycznych dotyczących aktywnych urządzeń Bluetooth. Większość prac wykorzystujących wabik została wykonana na lotnisku.

Blue Soleil w trybie skanowania
Blue Soleil w trybie skanowania

W obu miejscach wyniki badania były zadziwiające.

W sumie wykryto 50 różnych urządzeń Bluetooth.

Liczba urządzeń Bluetooth
Liczba urządzeń Bluetooth

Moją uwagę zwróciła stosunkowo niewielka liczba urządzeń Bluetooth. W sumie badanie trwało około 12 godzin; biorąc pod uwagę obecny wzrost użytku urządzeń przenośnych na całym świecie oraz dużą liczbę ludzi na obszarach, gdzie przeprowadzane były testy, spodziewałem się, że wykryję setki, jeśli nie więcej urządzeń. Na konferencji AVAR 2005 wykryłem 9 urządzeń Bluetooth w trybie "widoczny dla wszystkich", zbyt dużo według mnie. W końcu uczestnicy konferencji są ekspertami bezpieczeństwa i powinni być świadomi zagrożeń. Jednak w pozostałych punktach - na Wangfujing i lotnisku wykryłem mniej urządzeń, niż się spodziewałem.

To zaskakujące biorąc pod uwagę ogromną liczbę ludzi i duży odsetek turystów zagranicznych w miejscach, gdzie przeprowadzono badania.

Na ten moment nie potrafię jeszcze wyjaśnić, dlaczego pojawiła się tak duża rozbieżność między rzeczywistymi liczbami a zakładanymi wielkościami; tę kwestię należy rozwiązać przeprowadzając dodatkowe badania w innych miastach.

Jeśli chodzi o wykryte urządzenia, badanie potwierdziło hipotezę (w oparciu o dane), zgodnie z którą Nokia jest liderem na rynku smartfonów. Spodziewałem się innych rezultatów: większej różnorodności smartfonów oraz kilku urządzeń PDA.

Producenci sprzętu, wartości procentowe
Producenci sprzętu, wartości procentowe

Wyniki pozwalają na udzielenie odpowiedzi na jedno istotne pytanie: jaki jest najpowszechniejszy system operacyjny dla smartfonów?

Jeśli umieścimy Nokię, Sony Ericssona i Siemensa (które działają pod kontrolą systemu Symbian OS) w jednej grupie, a Motorolę i Qteka (które działają pod kontrolą systemu Windows Mobile) w innej, nie będzie wątpliwości, który system operacyjny jest liderem na rynku.

Systemy operacyjne
Systemy operacyjne

To wyjaśnia, dlaczego wykrywamy tak dużo złośliwych programów stworzonych dla Symbiana. Podobnie jak w przypadku systemu Windows, twórcy wirusów atakują najpopularniejszą platformę.

Jednak najbardziej zaskakujące wyniki dały poszukiwania wirusów na wolności. Chociaż nasza firma posiada oddział w Chinach już od wielu lat, a Kaspersky Anti-Virus jest jednym z najlepiej sprzedających się rozwiązań na chińskim rynku antywirusowym, nigdy nie otrzymaliśmy od chińskich użytkowników żadnych raportów o infekcji spowodowanej szkodnikami dla urządzeń mobilnych rozprzestrzeniających się za pomocą Bluetooth. Wiemy, że w Chinach powstało wiele wariantów Cabira oraz ogromne ilości trojanów dla Symbiana, nie ma jednak żadnych potwierdzonych przypadków infekcji.

Jesteśmy na bieżąco z informacjami na temat epidemii wywołanych złośliwymi robakami dla urządzeń przenośnych publikowanych przez naszych fińskich kolegów z branży, pracujących w firmie F-Secure. Według danych tej firmy, Cabir został wykryty w Chinach rok temu, zwiększając liczbę państw, w których odnotowano tego szkodnika, do trzydziestu. Jeśli chodzi o pojawienie się Cabira w Rosji - wykryłem go na wolności trzy miesiące temu. Robak ten próbował przeniknąć do mojego telefonu, kiedy spokojnie siedziałem w domu, co potwierdza, że w Moskwie jest epidemia Cabira.

Mając na uwadze powyższe, miałem nadzieję, że zdobędę dowód na istnienie Cabira w Chinach oraz być może wykryję nowego, nieznanego jeszcze szkodnika dla urządzeń przenośnych.

Jak już wspomniałem, badanie trwało 12 godzin, w tym 5 godzin na Międzynarodowym Lotnisku w Pekinie. Lotnisko to jest obecnie jednym z największych na świecie, a po otwarciu piątego terminalu jego rozmiary zwiększą się dwukrotnie i stanie się największym na świecie. Punkty, w których przeprowadzałem badania zostały starannie wybrane pod względem wielkości ruchu - kontrola paszportowa, wyjścia z terminali itd., tzn. wszystkie miejsca, przez które przechodzi pasażer wylatujący z Pekinu. Uwzględniając stosunkowo niewielki promień Bluetootha w większości smartfonów, wybrałem takie punkty kontroli, aby odległość między wabikiem a pasażerami nie była większa niż 10 metrów.

Jak pisałem wcześniej, wykryłem stosunkowo niewielką liczbę urządzeń Bluetooth. W rezultacie nie byłem zaskoczony, że nie byłem światkiem żadnej próby przesyłania plików do wabika. Sprawdziłem cały sprzęt i oprogramowanie oraz porównałem wyniki z własnym telefonem komórkowym. Wynik: absolutnie nic.

Wydaje się, że ten zaskakujący wynik związany jest z tym, że wykryto niewiele urządzeń mobilnych. Jak do tej pory nie stwierdziliśmy, co jest tego przyczyną. Dla porównania: kilka godzin w metrze moskiewskim wystarczy, aby wykryć 50 urządzeń Bluetooth, które często będą próbowały przesyłać pliki.

Teraz planuję przeprowadzić badanie w Moskwie podobne do tego w Chinach z wykorzystaniem podobnych punktów kontrolnych zlokalizowanych w centrach handlowych, na lotniskach oraz w dzielnicach głównych i handlowych. Zamierzamy również stworzyć sieć wabików do wykrywania urządzeń przenośnych, najpierw w Moskwie, później być może w innych miastach na świecie.

Wszystkich, którzy są zainteresowani przedstawionymi tutaj informacjami i chcieliby podzielić się swoimi przemyśleniami, wnioskami i sugestiami proszę o kontakt ze mną.

Źródło:
Kaspersky Lab