В последнее время активно пропагандируется идея открытого Интернета, в рамках которой компании и граждане стремятся облагодетельствовать окружающих, предоставляя свободный беспроводной доступ в Интернет в общественных местах. Популярным каналом коммуникации становится и модель «реклама в обмен на доступ к Интернету», или по-научному «Wi-Fi-маркетинг». Это удобно и рекламодателям, и пользователям. Но везде есть свои подводные камни.
Начнем с банального: провайдер добрых услуг рискует стать подозреваемым в мошенничестве в сфере компьютерной информации. Выполняя атаку, киберпреступники стремятся максимально скрыть место своего выхода в Интернет, и использование общедоступного или взломанного беспроводного доступа – один из самых эффективных приемов. Расследование такой атаки обязательно приведет правоохранителей к владельцу точки доступа. Оказаться фигурантом уголовного дела даже на время – то еще удовольствие.
Вторая опасность скрывается в недостаточной изоляции открытой гостевой сети от внутренних сетей компании. Как правило, гостевая сеть – это сегмент локальной сети компании, отделенный от ее ядра маршрутизацией или межсетевыми экранами. В идеале он должен быть изолированным, но на практике есть длинный перечень ошибок, которые IT-персонал допускает при проектировании и эксплуатации сети и которые позволяют хакеру выбраться за пределы этого сегмента в основную сеть компании. Еще более сложная ситуация складывается тогда, когда компании предоставляют пользователям гостевой беспроводной сети доступ к веб-интерфейсам некоторых своих внутренних информационных систем: веб-порталам, витринам бизнес-приложений, демостендам. Уязвимость в любом из этих интерфейсов предоставляет хакеру отличную возможность проникнуть во внутреннюю сеть организации и атаковать уже внутренние информационные ресурсы. По результатам нашего собственного исследования, которое будет анонсировано в мае на форуме по безопасности PHDays V, внутреннему злоумышленнику в 100% случаев удается получить несанкционированный доступ к критическим ресурсам (банковским системам, ERP-системам), а в 78% случаев нарушитель получает полный контроль над всей информационной инфраструктурой организации.
Но самая непростая задача – это защита самих пользователей гостевого сегмента. Детская болезнь большинства существующих на сегодня протоколов проводной и беспроводной передачи данных в сети – существование эффективных, специфичных для каждого такого протокола приемов, позволяющих хакеру перенаправить сетевой трафик между любым клиентским устройством той же сети и внешним миром через свой компьютер. Это дает ему широкий набор возможностей – от простого прослушивания трафика с перехватом идентификаторов и паролей пользователей до социальной инженерии.
И здесь у компании возникают две проблемы. Первая – это атаки, направленные на мобильные устройства посетителей. Практически в каждое клиентское устройство вбито некоторое количество хранимых учетных записей для доступа к почте, социальным сетям, системам мгновенных сообщений. Вслучае незащищенной общедоступной беспроводной сети компания фактически создает среду, в которой хакер способен получить доступ к различной информации пользователей. Но,что гораздо хуже, пользователями таких сетей иногда становятся и сотрудники самой компании. В результате хакеру удается получать учетные записи к корпоративным почтовым ящикам и интерфейсам удаленного доступа.
Предоставление беспроводного доступа всегда связано с определенными рисками. Проектируя гостевую сеть Wi-Fi, нужно очень хорошо представлять, какие приемы и инструменты используют для достижения своих целей хакеры, и заранее заботиться о соответствующих мерах защиты.
Автор: Дмитрий Кузнецов,директор по методологии и стандартизации Positive Technologies