Korzystanie z cudzych sieci WLAN

Palmtop

Przed rokiem w centrum Warszawy – w okolicach Pałacu Kultury i Nauki – ekipie CHIP-a udało się namierzyć 334 sieci, z których jedna czwarta nie miała żadnych zabezpieczeń. Teraz ich liczba wzrosła ponad dwukrotnie: w centrum miasta znaleźliśmy 769 sieci WLAN, spośród których aż 113 w ogóle nie było chronionych. Co więcej, wiele sieci bezprzewodowych zabezpieczonych jest tylko pozornie. Ekipa ekspertów CHIP-a dokonała testowych włamań. Ku przestrodze stwierdzamy: większość sieci jest bezbronnych!

To, co wardriverom pozwala uniknąć opłat za Internet, dla właścicieli sieci może być źródłem kłopotów. Do naszej redakcji zwracały się o pomoc osoby, które dopiero od policji dowiedziały się, że przez ich sieci dokonywano przestępstw. Poniżej wyjaśniamy, jak wardriverzy niemal w dowolnym zakątku świata zapewniają sobie bezpłatny dostęp do Internetu. Zaczynamy od wykorzystywanych przez nich narzędzi.

Komputer kieszonkowy pracujący pod kontrolą Windows Mobile, obsługujący sieć WLAN i wyposażony w odbiornik GPS, to podstawowe narzędzie pracy wardrivera (najprostszy można kupić za około 1000 zł). W niewielkim, a przez to dyskretnym urządzeniu zintegrowane mogą być wszystkie narzędzia niezbędne do tego rodzaju polowania. Jeśli mamy palmtopa bez WLAN-u, to wystarczy dokupić kartę rozszerzeń (moduł bezprzewodowy instalowany w gnieździe kart SD kosztuje około 200 zł), a jeśli kupujemy nowego palmtopa, lepiej od razu wybrać urządzenie z modułem WLAN, bo różnice w cenach sięgają 150–200 złotych. Równie proste jest wyposażenie palmtopa w odbiornik GPS (w wielu modelach jest on już zintegrowany) najprościej podłączyć go przez Bluetooth. Odbiornik GPS, który pozwala odbierać sygnał z nawet 20 satelitów jednocześnie, można kupić za około 200 zł.

WiFiFoFum

Odpowiednio wyposażony palmtop stanie się narzędziem wardrivera dopiero po zainstalowaniu w nim odpowiedniego oprogramowania, np. darmowego programu WiFiFoFum. To jedna z najlepszych aplikacji do wardrivingu pracujących pod kontrolą systemu Windows Mobile. Przechwytuje szczegółowe dane o sieciach. W przejrzystej tabeli znajdziemy adres MAC rutera czy punktu dostępowego, identyfikator sieci SSID (Service Set ID), kanał, na którym pracuje sieć, informacje o stosowanych zabezpieczeniach oraz dane na temat producenta urządzenia dostępowego.

Ponadto WiFiFoFum wyświetla i przechowuje wyniki pomiaru sygnału sieci, m.in. chwilowego, maksymalnego i minimalnego poziomu RSSI (Received Signal Strength – wskaźnika poziomu mocy odbieranego sygnału) oraz godzinę pierwszego i ostatniego pomiaru parametrów i sygnału danej sieci.

Mapa i GPS

Program WirelessLAN Configurator pozwala wyświetlić informacje o sieciach WLAN w okolicy.
Program WirelessLAN Configurator pozwala wyświetlić informacje o sieciach WLAN w okolicy.

By móc w pełni korzystać z wykrytej sieci bezprzewodowej, warto określić dokładną lokalizację punktu dostępowego, czy – mówiąc inaczej – znaleźć miejsce, w którym sygnał danej sieci jest najsilniejszy. Poszukiwania takie ułatwia “radar”, w jaki została wyposażona aplikacja WiFiFoFum. Prezentuje on graficznie moc sygnału wykrytych WLAN-ów.

WiFiFoFum może także współpracować z systemami nawigacji satelitarnej. Gdy PDA wyposażony jest w odbiornik GPS, użytkownik dostaje dodatkowo informacje o szerokości i długości geograficznej punktu dostępowego, wraz z parametrem HDOP (Horizontal Diliution of Position), który określa szacunkową precyzję pomiaru. Jeśli wskaźnik ten jest mniejszy od 3, dane uznawane są za bardzo dokładne. Na ich podstawie można stworzyć mapę sieci WLAN w okolicy. Jedynym ograniczeniem w tworzeniu takich map są naturalne ograniczenia systemu GPS. Poruszając się po mieście, często przechodzimy pod balkonami czy podcieniami budynków, wówczas palmtop traci zasięg satelitów, a dane o namierzonych tam sieciach bezprzewodowych pozbawione zostają informacji o ich położeniu.

Bardzo użyteczne, graficzne dane na temat lokalizacji punktów dostępowych pozwala uzyskać także zestaw narzędzi Wi-Fi Companion Software. Pakiet na czytelnym diagramie prezentuje sieci bezprzewodowe będące w zasięgu oraz informuje o ich parametrach i zabezpieczeniach.

Notebook do łamania haseł

Przenośny komputer przyda się zarówno do przetwarzania danych zgromadzonych podczas pieszych wędrówek z palmtopem, jak i do przechwytywania oraz analizowania pakietów… w celu sforsowania słabo zabezpieczonych sieci WLAN. Do takich zadań idealny jest notebook z wbudowanym modułem Wi-Fi (co jest już standardem) i odbiornikiem GPS. Jeśli komputer nie zawiera któregoś z tych elementów, możemy podłączyć je jako urządzenia zewnętrzne. Na poszukiwania warto też zabrać dodatkowe ogniwa bądź uniwersalny zasilacz samochodowy. Nieustannie pracujące moduły WLAN, GPSi Bluetooth mocno obciążają baterię.

Mapa sieci

GPSVisualizer pozwala na wyświetlanie danych z programów Network Stumbler bądź WifiFofum na mapie.
GPSVisualizer pozwala na wyświetlanie danych z programów Network Stumbler bądź WifiFofum na mapie.

Do analizy danych zebranych za pomocą palmtopa albo notebooka służą programy NetStumbler lub Wireshark (następca popularnego wśród wardriverów programu Ethereal). Do pierwszej z tych aplikacji można wyeksportować zapis trasy z WiFiFoFum, co pozwoli wygenerować cyfrową mapę sieci bezprzewodowych w danej okolicy (stworzoną z wykorzystaniem informacji z GPS-u). NetStumblera można zainstalować też na palmtopie – mobilna wersja tej aplikacji nazywa się MiniStumbler.

Ze stworzeniem mapy namierzonych punktów poradzi sobie także bezpłatne narzędzie GPS Vizualizer, działające na stronie internetowej www.gpsvisualizer.com/map. Aplikacja – korzystając z danych zapisanych w plikach XML, np. z WiFiFoFum bądź z NetStumblera – generuje dane w postaci map Google Earth lub pliku JPG.

Przechwytywanie pakietów

Wspomniany Wireshark służy do śledzenia ruchu informacji w sieciach, ale przede wszystkim jako sniffer, czyli program do przechwytywania pakietów danych w celu ich dalszej analizy. Jest ona niezbędna, gdy chcemy się zmierzyć z sieciami zabezpieczonymi za pomocą protokołu WEP, ponieważ do złamania klucza potrzebujemy nawet kilku milionów pakietów danych.

Nie każdy moduł Wi-Fi jest jednak przystosowany do przechwytywania danych. Czasem trzeba pobrać i zaktualizować sterownik karty Wi-Fi oraz zainstalować WinPcap – bibliotekę umożliwiającą prawidłowe analizowanie i przechwytywanie ruchu w sieci. Po ich instalacji możemy skorzystać z wspomnianego Wiresharka albo np. z programu Cain & Abel, który nie tylko przechwytuje dane, ale też umożliwia selekcjonowanie niezbędnych do łamania szyfrowania WEP unikalnych wektorów inicjalizacyjnych klucza szyfrującego – tak zwanych wektorów IVs.

Wytrychy otwierają drzwi

Spora część narzędzi służących do wardrivingu działa w Linuksie. Ponieważ jednak większość użytkowników ma w swoich laptopach Windows i to właśnie pod kontrolą tego systemu chce korzystać z sieci, w naszych polowaniach posługiwaliśmy się jedynie narzędziami przeznaczonymi do systemu z Redmond. Jednym z najlepszych jest AirSnort, który analizuje pakiety zgromadzone przez sniffery w celu uzyskania z nich klucza WEP. Program wymaga wcześniejszego przechwycenia pakietów, a według twórców do analizy potrzebuje ich około miliona – wówczas klucz WEP można pozyskać w kilka sekund. Przechwycenie takiej liczby pakietów wymaga jednak kilkunastu minut nasłuchiwania.

Anteny wzmacniają sygnał

Wardriverowi przydają się zewnętrzne anteny. Służą one zarówno do zwiększenia dokładności pomiaru położenia (antena GPS), jak i do poprawy czułości odbiornika sieci (antena WLAN). O ile poprawa sygnału GPS w dobie montowanych standardowo 20-kanałowych odbiorników nie ma specjalnego sensu, to jednak zewnętrzna antena WLAN wydaje się niezbędna.

Podłączana do laptopa poprzez port USB antena wyposażona we własny moduł WLAN i wzmacniacz kosztuje ok. 150 zł. Można ją zamontować na dachu samochodu za pomocą magnesu bądź przyssawek. Duża antena 9 dbi pozwala w otwartej przestrzeni wyłapać stacje oddalone nawet o kilka kilometrów. W praktyce w miejscu, w którym laptop z wbudowaną kartą Wi-Fi “widział” zaledwie kilka sieci, my znaleźliśmy ich kilkadziesiąt.

Minisłowniczek bezprzewodowego włamywacza

Wardriving – wyszukiwanie miejsc, w których dostępne są sieci bezprzewodowe. Określenie pochodzi z języka angielskiego i powstało z wyrazów “war” (skrót od wireless access revolution – rewolucja bezprzewodowego dostępu, ale także wojna) oraz “driving” (jazda samochodem).

Warchalking – oznaczanie miejsc, w których dostępne są sieci bezprzewodowe. Geneza przedrostka “war” jest identyczna jak w wardrivingu, zaś “chalking” to mazanie kredą. Wykryte sieci oznacza się za pomocą specjalnych symboli – patrz obok – które wardriverzy rysują kredą na murach, ulicach czy słupach.

WarXing – połączenie wszelkich technik wyszukiwania i pokonywania zabezpieczeń sieci bezprzewodowych. Pojęcie powstało z połączenia “wardrivingu” i “hackingu”.

WEP – (Wired Equivalent Privacy) – standard szyfrowania w sieciach WLAN. Zabezpieczenie to dość prosto sforsować.

WPA – (WiFi Protected Access) – udoskonalony standard szyfrowania wykorzystywany w sieciach bezprzewodowych. Z tak zabezpieczonej sieci wardriverowi najczęściej nie udaje się skorzystać

Poradnik wardrivera

Szukamy sieci
Do wyszukiwania sieci bezprzewodowych wystarczy komputer czy palmtop wyposażony w moduł WLAN. Standardowe narzędzia Windows pozwalają odnaleźć jedynie te sieci, które publicznie rozgłaszają swój identyfikator SSID (Service Set ID). Darmowe programy pobierane z Sieci, np. NetStumbler czy Wireshark, wyświetlają szczegółowe parametry wszystkich sieci WLAN.

Logowanie się do otwartych sieci
Logowanie się do niezabezpieczonych sieci bezprzewodowych (bez szyfrowania pakietów i filtrowania adresów) nie różni się niczym od uzyskiwania dostępu do naszych zwykłych domowych sieci WLAN. Wybieramy sieć z listy, naciskamy klawisz »Połącz«,
i możemy swobodnie surfować po Internecie.

Podszywanie się pod MAC-adres
Część sieci WLAN do weryfikacji użytkowników wykorzystuje filtrowanie adresów MAC kart sieciowych. Programy do podsłuchiwania sieci (np. Wireshark) podadzą nam jednak adresy kart sieciowych wszystkich pracujących w niej urządzeń. Wtedy otwieramy program MacMakeUp lub SMAC – MAC Address Changer i, wybierając z listy naszą kartę bezprzewodową, wpisujemy adres MAC uzyskany z nasłuchu. Pamiętajmy, aby pod żadnym pozorem nie wybierać adresu bramy (zazwyczaj zakończony jest on jedynką). Wówczas bowiem zablokujemy ruter, z którego chcieliśmy pozyskać sygnał sieciowy.

Gromadzenie pakietów
By dostać się do sieci chronionej kluczem WEP, musimy ustalić SSID i numer kanału, na którym pracuje WLAN. Informacje te uzyskamy za pomocą programu WiFiFoFum, Wireshark bądź Cain & Abel. Owe aplikacje będą także potrzebne w kolejnym kroku – jako sniffery, czyli narzędzia do przechwytywania pakietów. Ta operacja wymaga czasu i… cierpliwości. Chodzi bowiem o kilkaset tysięcy czy nawet miliony unikalnych pakietów, co wiąże się z podsłuchaniem wielu megabajtów przesyłanych danych. Czas ten nie zależy od liczby przesyłanych pakietów, ale od tego, czy zawierają one wystarczającą liczbę wektorów inicjalizacyjnych – w programie Cain & Abel oznaczone są one jako Unique WEP IVs.

Wyciągamy klucz WEP
Gdy zgromadzimy już odpowiednią liczbę pakietów zawierających unikalne wektory inicjalizacyjne IVs, możemy wydobyć z nich klucz WEP. Służy do tego m.in. AirSnort. Algorytmy tego programu analizują zgromadzone pakiety, w wyniku czego po kilkudziesięciu sekundach dostajemy klucz, dzięki któremu możemy zalogować się do zabezpieczonej sieci.

Ekipa CHIP-a na tropie hotspotów

Przy kawie i przy piwie

Najwygodniejszym sposobem darmowego korzystania z sieci są publiczne hotspoty, oferowane przez władze miast i różne instytucje. W centrum Warszawy, gdzie mieszczą się popularne w stolicy kluby i kawiarnie, natrafić można na kilkanaście ogólnodostępnych sieci bezprzewodowych. Z takiej możliwości skorzystała ekipa CHIP-a. Podłączyliśmy się do sieci bezprzewodowej udostępnianej przez kawiarnię mieszczącą się przy ul. Mariańskiej. Do takich kafejek przychodzą często ludzie korzystający z przerw w pracy bądź pracownicy biur, którzy w nieformalnej atmosferze toczą poważne rozmowy o biznesie. Siła sygnału i jakość transmisji była na tyle dobra, że bez problemu mogliśmy sprawdzić pocztę czy korzystać z komunikatorów internetowych, wręcz stojąc na chodniku przy ulicy Mariańskiej, a więc nie płacąc nawet za kawę. W ten sam sposób z Internetem połączymy się w centrach handlowych czy w hotelowych lobby.

Sieć za jeden klik

Bardzo łakomym kąskiem w czasie naszej ekspady były sieci, których użytkownicy nie korzystają z szyfrowania transmisji. Program WiFiFoFum informuje o tym komunikatem “Off” w polu WEP. Listę takich sieci można także uzyskać, włączając odpowiedni filtr w programie NetStumbler. W centrum Warszawy udało nam się zlokalizować ich aż 113, a ponad 40 spośród nich nie miało nawet zmienionego fabrycznego SSID. Poszukiwanie tych ostatnich jest o tyle ułatwione, że narzędzia do analizy sygnału sieci WLAN, np. wspominany NetStumbler, pozwalają automatycznie filtrować takie sieci.

Jedna z tych sieci, stworzona z wykorzystaniem rutera firmy Linksys zlokalizowanego przy ulicy Szpitalnej, nieopodal siedziby NBP i hotelu Gromada, o takim właśnie SSID, posłużyła nam do pierwszej darmowej wizyty w Internecie. To, że sieć jest otwarta, naraża jej nieroztropnego właściciela na spore niebezpieczeństwo. Pozostawienie ustawień fabrycznych prowokuje wręcz do tego, by (nawet korzystając z tej sieci) znaleźć w Internecie instrukcję obsługi rutera, zalogować się do niego jako administrator i przejąć nad nim kontrolę. Znaleziony przez nas ruter właśnie na to pozwalał.

WEP złamany w kwadrans

Większość sieci bezprzewodowych na wybranej przez nas trasie była zabezpieczona. O ile jednak szyfrowanie z wykorzystaniem protokołu WPA2 połączone np. z filtrowaniem MAC-adresów kart sieciowych było barierą nie do przejścia, to zabezpieczenie WEP nie sprawi większych kłopotów nawet początkującym wardriverom. Za cel obraliśmy jeden z ruterów Wi-Fi, którego sygnał udało nam się namierzyć w pobliżu rotundy PKO BP. Po wykryciu sieci WLAN, szyfrowanej z użyciem protokołu WEP, za pomocą NetStumblera ustaliliśmy jej SSID oraz kanał. Następnie uruchomiliśmy program Cain & Abel, rozpoczynając tym samym przechwytywanie pakietów sieciowych z unikalnymi wektorami inicjalizującymi. Operacja zajęła kilkanaście minut, gdyż konieczne było przechwycenie niemal miliona pakietów. Gdy zgromadziliśmy ich wystarczająco dużo, do akcji wkroczył program AirSnore. Po kilkunastu sekundach na ekranie pojawił się klucz WEP. Gdy go wpisaliśmy, kolejna sieć stanęła przed nami otworem.

Podmiana adresów MAC

Nie każda sieć, w której nie zastosowano szyfrowania, jest otwarta na gości z zewnątrz. Jedna z namierzonych przez nas sieci (jej SSID to “Domowa”), zlokalizowana nieopodal hotelu InterContinental i centrum handlowego Złote Tarasy, także wydawała się otwarta. Kilkukrotne próby połączenia spełzły jednak na niczym. Postanowiliśmy sprawdzić, czy użytkownik ten zastosował filtrowanie adresów MAC. Teoretycznie dzięki takiemu zabiegowi do sieci mogą zalogować się jedynie użytkownicy, których komputery zostały uprzednio wpisane na listę. W praktyce zabezpieczenie okazuje się zawodne. Wystarczyło, że za pomocą programu AirSnare poznaliśmy jeden z tych zaufanych adresów, by po chwili – za pomocą programu SMAC – podmienić MAC-adres naszej karty. W efekcie tego po zaledwie kilku minutach nasz komputer podszywał się pod zaufane urządzenie i mógł pracować w tej sieci.

Internet za SMS

Na trasie naszej wędrówki, zwłaszcza w okolicach centrów handlowych i dużych sieciowych kawiarni, pojawiło się też kilkanaście punktów dostępowych należących do operatorów sieci komórkowych (Era, Orange, Plus). Sieci te są niezabezpieczone, ale jest to zabieg celowy, bo operatorzy oferują dostęp do Internetu wszystkim chętnym. O ile jednak połączenie się z taką siecią nie sprawia trudności, to surfowanie po Internecie możliwe jest dopiero po zalogowaniu się na stronie WWW, na którą przekierowywany jest cały ruch wchodzący. Login i hasło otrzymujemy np. po wysłaniu SMS-a bądź wykupieniu tej usługi u operatora.

Ruter “n”– orzech nie do zgryzienia

Pod koniec naszej wycieczki, przy Sali Kongresowej, natrafiliśmy na sieć korzystającą z rutera klasy “n”, oferującego lepszy zasięg i przepustowość do 300 Mb/s. Niestety, sieć została zabezpieczona szyfrowaniem WPA2-PSK – na razie nie do pokonania nawet przez mistrza świata w wardrivingu.

Nie powinno się korzystać z sieci bez wiedzy właściciela

Michał Kołodziejczyk, adwokat z warszawskiej kancelarii KKR
Michał Kołodziejczyk, adwokat z warszawskiej kancelarii KKR

Co do zasady – nie powinno się korzystać z cudzej sieci WLAN, nawet jeśli nie jest zabezpieczona. Sam fakt braku zabezpieczeń nie stanowi bowiem zaproszenia do używania sieci, tak jak pozostawienie otwartych drzwi do mieszkania nie oznacza pozwolenia właściciela lokalu na dowolne wchodzenie do środka obcym osobom. Co innego hotspoty na lotniskach czy w kawiarniach, które są wyraźnie oznakowane i z definicji stworzone w celu zapewnienia swobodnego dostępu.

Niedozwolona jest natomiast jakakolwiek ingerencja w cudze urządzenia pracujące w niezabezpieczonej sieci lub w pracę samej sieci. Kodeks karny przewiduje szereg przepisów, które mogłyby mieć zastosowanie w takich okolicznościach, np. dotyczących niszczenia, usuwania, zmiany czy utrudniania dostępu do danych informatycznych, zakłócania ich przetwarzania, zakłócania pracy systemu komputerowego, a także naruszenia tajemnicy korespondencji. Włamanie się do zabezpieczonej sieci samo w sobie może być uznane za przestępstwo z art. 7 ustawy z dnia 5 lipca 2002 r. o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub polegających na dostępie warunkowym.

Jak się zabezpieczyć, czyli 7 porad CHIP-a

Zmień hasło i login administratora

Największym błędem niedoświadczonych użytkowników WLAN jest pozostawienie fabrycznych ustawień punktów dostępowych. W efekcie każdy może skorzystać z ich sieci. Przed upublicznieniem sieci należy więc uruchomić panel administracyjny i zmienić login i hasło administratora.

Ukryj SSID

By sieć WLAN była widoczna dla Windows, system musi widzieć ich identyfikator, czyli SSID. Prostym sposobem ochrony jest zatem ukrycie SSID. Umożliwiają to standardowe narzędzia administracyjne ruterów.

Ustaw filtrowanie MAC-adresu

Jednym z najpopularniejszych sposobów zabezpieczania WLAN jest stworzenie listy urządzeń (poprzez ich tzw. MAC-adresy), które mogą łączyć się z danym punktem dostępowym.

Zdefiniuj przyjazne IP

Doskonalszym sposobem filtrowania jest takie skonfigurowanie rutera, by określonym urządzeniom przypisywał stałe, z góry zdefiniowane IP. Wówczas nawet jeśli wardriver podszyje się pod nasz MAC-adres, to pojawi się konflikt sieciowy i jego urządzenie nie będzie działać w naszej sieci.

Unikaj szyfrowania WEP

Szyfrowanie WEP łatwo złamać. Nie używaj go!

Włącz szyfrowanie WPA

Za najbezpieczniejszy protokół szyfrowania uważa się dziś   WPA2. Większość współczesnych urządzeń obsługuje go, ale wciąż niewielu użytkowników używa go do transmisji w swoim WLAN.

Nie ograniczaj zasięgu

Uważa się, że skutecznym sposobem ochrony jest ograniczenie zasięgu rutera tak, by sygnał nie wychodził na zewnątrz. Potencjalni napastnicy stosują jednak anteny, które wychwytują nawet słaby sygnał, a więc poszkodowanymi będziemy my sami, gdyż pogorszymy sobie warunki transmisji.