Alle kan sniffe trådløse nett

Å hente ut informasjon fra trådløse nettverk er enklere mange tror – det kan gjelde både passord og kommunikasjonsdata. Og det er ikke bare i fremmende trådløsnett man skal være forsiktig.

Publisert Sist oppdatert

Vi har i tidligere artikler vært inne på hvor enkelt det kan være å hacke trådløse nettverk. Dette gjelder ikke bare nettverk som benytter eldre autentiseringsteknologi som WEP, men også WPA og WPA2 kan med visse forutsetninger ha sine svakheter – som for eksempel dårlige passord.

For ikke lenge siden kom det også fram at et stort antall rutere de siste årene har en dårlig implementering av teknologien WPS (se neste side i artikkelen).

Men sikkerhetsutfordringene for trådløse nettverk er ikke bare hvorvidt noen kan få tilgang til det trådløse nettverket. I en del tilfeller kan det handle like mye om hva de som har legal tilgang til nettverket kan se.

I i bedriftens eget trådløse nettverk kan ansatte enkelt se andre ansattes trafikk, samt plukke opp brukernavn og passord. Mange benytter seg av andres nettverk – for eksempel på offentlige steder som spisesteder, flyplasser og hos andre bedrifter.

Sniffing

Å spionere på datatrafikken i nettverket er referert til som sniffing. Det finnes et bredt utvalg av programmer på feltet. Det er både gratis og kommersielle, og til alle plattformer. Det finnes programmer for en rekke forskjellige nivå – avanserte løsninger for nettverkseksperter og enkle «brukervennlige» løsninger som har til formål å hente ut trafikk for spesifikke tjenester/programmer – for eksempel webadresser, webtrafikk, e-poster eller direktemeldinger (chat).

Andre programmer kan kun konsentrere seg om passord. For en del løsninger i dag er passord kryptert – enkelte programmer kan imidlertid ha integrert funksjonalitet for å dekryptere (dårlige) passord eller at man får hentet ut det krypterte passordet for å benytte andre programmer for passord-cracking.

Det er ikke nødvendig med ekstra programmer for å dekryptere passordet – det finnes en rekke websider etter hvert hvor kryptert passord bli dekryptert. Dette kan fungere svært raskt for dårlige og vanlige passord.

Bakgrunnen i dag for at det har blitt såpass farlig å «miste» en del typer krypterte passord er datakraften man har for å dekryptere passord kryptert med de teknologiene man har brukt til nå. Dette gjelder i hvert fall hvis man har dårlige passord, som vil ta kort tid å dekryptere (det vil si et kort passord, passord som finnes i ordlister eller passord som også andre kan ha brukt og som finnes i passordlister fra for eksempel websider som har blitt hacket).

Skytjenester for cracking av passord der et stort antall prosessorer, og grafikkprosessorer, settes på oppgaven er tilgjengelig – som kommersielle produkter der man betaler noen kroner for å få et passord dekryptert. I tillegg finnes programvare som for eksempel Hashcat, som på en vanlig pc kan være svært effektivt i kombinasjon med nye kraftige grafikkort – og spesielt hvis man har flere av dem.

LES OGSÅ:

Slik knekkes passordet på Windows og trådløsnett

Sniffeprogrammene

For å sniffe nettverkstrafikk kan man si at det finnes to typer verktøy – eller i hvert fall at utviklerne så for seg forskjellige typer bruk.

Formelt sett kaller man verktøyene for pakkeanalyseverktøy. Dette er programmer som ikke er designet for å direkte spionere på brukere, men avdekke problemer i nettverket. Eksempler her kan være programmene Wireshark, Ettercap og tcpdump. Dette er programmer som krever en viss kompetanse for å brukes – eller i hvert fall få noe ut av.

Videre har man programmene som er mer dedikert laget for å hente ut spesifikke data – som brukernavn og passord. Cain & Able er på dette området en «klassiker» og har mange talenter. Programmet kan sniffe nettverket og hente ut krypterte og ukrypterte passord for en rekke tjenester – websider de i nettverket besøker, for nettverksressurser de i nettverket benytter, brukernavn og passord for e-post, hacking av WEP-baserte nettverk og mer til.

Her er det også mulighet for å gjøre opptak av ip-telefonisamtaler for noen systemer. Integrert har det også muligheten for å dekryptere passord. Riktignok er programmet på dette området i dag ikke spesielt avansert – med andre ord, det finnes programmer mer dedikert for dette som gjør en bedre jobb. Men Cain & Able er gjerne programmet mange vil velge å benytte i kombinasjon med disse passordcrack-programmene.

Cain & Able er et av de vanligste verktøyene å benytte for å spionere i nettverk – spesielt med tanke på å hente ut brukernavn og passord. Programmet blir også et verktøy for å sjekke egen sikkerhet, eller potensielle sikkerhetsproblemer for bedriftens systemer.

Cain & Able er også et program som krever liten forkunnskap. Man velger ut pc-er på nettet som man skal hente kommunikasjonsdata for og videre har man en automatisk filtrering på flere områder. Videre trenger det ikke være mye brukerne må gjøre enn å vente på at andre i nettverket skal logge seg inn på tjenester – for dårlig sikrede tjenester går brukernavn og passord i klartekst og man kan i løpet av få minutter ha hentet inn svært mye informasjon, og har et grunnlag til å spionere på også andre tjenester gjennom å bruke brukernavnene og passordene som er hentet inn.

Cain & Able er et relativt generelt verktøy. I tillegg har man programmer som går på helt konkrete tjenester. For eksempel går samtaler via Microsofts MSN Live Messenger-tjeneste ukryptert over nettverket. Det finnes programmer både for Messenger og en rekke andre chat-tjenester. Eksempel her er MessengerDetect, som gir muligheter for å hente inn andres samtaler i MSN Live Messenger, Yahoo Messenger, eBuddy med mer. Riktignok kan en del av chat-tjenestene som er støttet, kjøre via kryptering. Å hente ut meldinger vil være langt vanskeligere i slike tilfeller.

I noen tilfeller trenger man ikke å få tak i passordet for å utnytte det. Et eksempel som fikk mye oppmerksomhet, er Firesheep. Dette var en løsning som var spesialdesignet til å kapre cookies som ble benyttet ved pålogging til Facebook, og man kunne gjennom kapringen få tilgang til andres Facebook-brukerkonto. Også for andre webtjenester kan samme teknikk benyttes.

LES OGSÅ:

Klart for neste generasjon wlan

Bruk VPN

Både når du benytter andres nettverk og i ditt eget nettverk, kan bruk av VPN gjøre kommunikasjonen sikrere.

VPN står for Virtual Private Network og benyttes av mange bedrifter i dag til å gi ansatte tilgang til bedriftens lokalnettverk via internett. Det vil da kunne settes opp slik at all internett-trafikk går via denne forbindelsen. Har bedriften VPN kjørende, vil vi anbefale at man benytter dette når man er ute i andre nett – selv om det ikke er nødvendig for oppgavene man skal gjøre.

Det finnes flere selskaper som tilbyr VPN-forbindelse som en tjeneste. Mange har de siste årene benyttet slike tjenester også for å framstå som å sitte i et annet land enn de egentlig gjør – dette for å få tilgant til tjenester som er begrenset i henhold til lokasjon.. For eksempel gjelder dette en rekke tjenester for film- og tv-streaming i USA.

Bruk av VPN internt i eget nett trenger ikke å bety at man setter opp en dedikert VPN-tjener. Det finnes bredbåndsrutere/wlan-rutere som har dette som integrert funksjonalitet. I utgangspunktet er funksjonaliteten tiltenkt at man skal koble seg på sitt eget nettverk via internett, men det er også mulig å koble seg på VPN internt på nettverket for at all kommunikasjon går i en kryptert tunnel.

Også på mange mobiltelefoner er det i dag muligheter for å bruke VPN for internett-trafikk. Det er ellers å anbefale at man bruker mobilnettet hvis man er redd for at informasjon og autorisasjonsdata skal komme på avveie.

Husk også at mange tjenester har mulighet for å benytte en kryptert forbindelse. For websider er det normalt sett HTTPS-protokollen som benyttes i stedet for vanlig HTTP. Også ved innlogging på e-posttjenere er det hos mange satt opp muligheter for å benytte kryptert innlogging for både inngående og utgående e-post-tjener. Hos noen aktører er dette satt opp slik at man må benytte kryptering, mens hos andre fungerer det både med og uten.

For oppsett av nettverk vil bruk av klientisolasjon, hvilket også mange wlan-rutere/aksess-punkt for konsumentmarkedet nå støtter, være en fordel. Dette er en løsning som har til hensikt at klienter på nettverket ikke skal kunne snakke med hverandre, med mindre det ikke settes opp unntak. Å sette opp slike unntak er det ikke alle wlan-rutere/aksesspunkt som støtter. Likevel vil man her ikke være sikret mot at nettverkets krypterte trafikk avlyttes, og selv ved bruk av dette vil bruk av andre sikkerhetstiltak være anbefalt.

LES OGSÅ:

Ekstra sikker innlogging på Hotmail

Samme passord

Et utbredt problem er at mange benytter det samme passordet omtrent over alt. Det trenger da ikke hjelpe at man har verdens beste passord når passordet ved innlogging på en tjeneste går i klartekst. Dette kan videre være det samme passordet man bruker for sin e-postkonto, hvilket igjen betyr at man kan få tilsendt nytt passord eller endret passord på en rekke andre tjenester på nettet.

I dag er det for de fleste svært mange forskjellige tjenester man bruker passord på. I tillegg bør passord endres ved jevne mellomrom. Å ha varierte passord kan gjøre det vanskelig å huske hvilket passord man har til hvilken tjeneste. Å bruke passordadministrasjonsprogrammer kan være god løsning. Riktignok er det en sjanse for at slike løsninger kan hackes også.

Husk ellers at et godt passord i dag handler mer om lengde enn kompleksitet. Korte passord er lettere for en pc å gjette seg fram til.

Lytte på kablet?

At man sitter på et kablet nettverk er ingen garanti mot å ikke bli avlyttet. Det er imidlertid vanskeligere ettersom det vil kreve en helt annen form for fysisk tilgang til nettverket. Man må i tillegg være tilkoblet på et sted i nettverket der trafikk for flere maskiner går gjennom. Ved bruk av svitsjer i nettverket går trafikken kun mellom enhetene datapakkene er adressert til. Det vil imidlertid være mulig å for eksempel koble inn en hub, en pc som trafikk går gjennom eller en omkonfigurert svitsj. For eksempel ved bruk av administrerbare (managed) svitsjer kan det settes opp at trafikk til en port også skal sendes til en annen port. Et sikkerhetselement her er at mange slike svitsjer er i bruk med standardpassordet fra fabrikk.

En annen eksempel er såkalt ARP-spoofing, som gjør at data tiltenkt en annen ip-adresse rutes om til en annen maskin også på kablede nettverk.

Les videre på neste side...