Artikel top billede

(Foto: Computerworld)

Læg en fælde for WiFi-tyvene - del 2

Sæt gang i sikkerheden og find ud af, om der er nogen, der snylter på din båndbredde.

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Sidst sluttede vi af midt i opdagelsen i netværket. Vi sluttede af, hvor vi var inde og kigge i Inssider, hvor vi så på, hvordan vi kunne se signalstyrkene i de omgivende signaler. Vi fortsætter, hvor vi slap.

Søjlen RSSI (Received Signal Strength Indication) i tabellen er en nyttig angivelse af afstanden mellem dig og netværkets base. Den kan du bruge til at få en fornemmelse for, hvis netværk du kan se, hvis de ikke er blevet identificeret ud fra deres SSID.

SSID står for »service set ID«. Det er netværkets brugerdefinerede navn. Når du køber et nyt trådløst access-point, bliver SSID som regel sat til en standardværdi.

Hvis du lader den være, som den er, giver den folk et godt tegn på, at der kun er foregået lidt eller slet ingen konfiguration eller sikkerhedsarbejde.

Hvis netværket også bruger WEP-kryptering (eller endnu værre, slet ingen kryptering), er det nemt at misbruge det. Inssider giver glimrende mulighed for at se, hvilke WiFi-netværk der er i nabolaget.

Men hvis du finder et netværk helt uden beskyttelse, skal du ikke lade friste til at snylte på båndbredde. Det kan meget vel være en inkompetent nabo, der har sat det op og ikke ved, at det er i farezonen.

Men det kan lige så godt være blevet opsat sådan med vilje. Det er muligt, at nogle har installeret et værktøj til dataindsamling såsom Wireshark på det åbne netværk. Hvis du forbinder dig med det netværk, vil den person, der ejer det, kunne se alt, hvad du laver.

Fang hackeren

Lad os vende spillet. Lad os bruge teknikken til at lægge en fælde for folk i nærheden, der holder af at udforske netværk og snylte på båndbredde, der ikke tilhører dem. Du kan også bruge denne teknik til at overvåge trafik på dine egne netværk.

Vi skal bruge det, der kaldes en »honeypot« – en pc eller et netværk, der ser ubeskyttet ud. De er udviklet til at friste hackere og malware til at undersøge og inficere dem.

I virkeligheden bliver de massivt overvåget. Forskere bruger dem til at finde nye former for malware, og vi skal bruge et trådløst honeypot-netværk til at fange båndbreddesnyltere.

Teknikken betyder, at man opstiller et trådløst netværk og overvåger det for at afsløre uautoriserede forbindelser. Netværket er fysisk isoleret, men det ved de, der illegalt kobler på det, ikke. Det ligner blot en saftig forbindelse, der venter på at bliver udnyttet.

Når du skal etablere en simpel honeypot, skal du først bruge et ekstra trådløst access-point, som potentielle hackere og snyltere kan prøve at få adgang til. Det bliver sluttet til en gammel netværkshub.

Hubben er vigtig, for uanset hvilken trafik den modtager på en port, gentransmitterer den denne trafik på alle de andre. Det sker ikke i en netværksswitch, og det er derfor, vi skal bruge en hub.

Vi kan slutte en pc med et trafikovervågningsprogram til en anden port på hubben, begynde at indsamle data og vente på, at festen tager sin begyndelse.

Det overvågningsprogram, vi skal bruge, er Wireshark. Denne applikation bliver brugt af eksperter i netværkssikkerhed over hele verden, og det er meget nemt at installere og bruge.

Læg fælden

Gå til www.wireshark.org og hent den seneste Windowsversion. Den er kompatibel med alle understøttede versioner af Windows fra XP og opefter.

Installationen består i at køre den eksekverbare fil og acceptere standardværdierne. I modsætning til Linux har Windows ikke evnen til automatisk at lægge sine netkort i »promiskuøs« tilstand (hvorved det accepterer al trafik, så Wireshark kan overvåge, hvad der flyder igennem).

For at opnå det bliver der installeret et bibliotek ved navn WicPcap. Når Wireshark er installeret, skal du køre programmet og vælge dit netkort på grænsefladelisten. Det sætter gang i en indsamling.

Du bør begynde at se trafik blive sendt med få sekunders mellemrum ved det trådløse access-point, mens det overvåger og afdækker ressourcer og finder ud af, hvilken maskine der har hvilken ip-adresse. Du vil også se trafik fra den pc, Wireshark kører på.

På den overvågende pc logger du ind i det trådløse access-points webbaserede styringsside og indstiller sikkerheden til »none«. Hvis der er en funktion, der gendanner fabriksindstillingerne, skal du køre den for at nulstille alle kodeord.

Afprøv nu dit værk ved at tilslutte netværket trådløst fra en anden pc. På den tilsluttede computer åbner du en kommandolinje og skriver kommandoen ipconfig/all.

Find det trådløse netkorts oplysninger i det morads af information, der kommer frem. Noter dets ip-adresse. Hvis du nu klikker på søjlerne for kilde eller destination i Wireshark for at sortere den indgående information, kan du nemt finde den trafik, der bliver genereret af denne ip-adresse.

Trafikken afslører en forbavsende mængde detaljer, herunder maskinens navn og dens MAC-adresse. Hvis du under overvågningen finder andre computere, der slutter sig til netværket, bliver maskinens Windowsnavn, MAC-adresse og nuværende ip-adresse registreret af Wireshark.

Hvis du har fundet en anden pc, har dens ejer tydeligvis scannet nabolaget i søgen efter nye netværk, man kan slutte sig til. Hvorfor ikke få lidt sjov ud af det og lade ham vide, at du har afsløret ham?

Prøv at ændre netværkets navn til navnet på hans pc eller en anden form for afslørende information og skru sikkerheden op til WPA2, så han ikke kan gøre noget ved det. Det kan måske skræmme ham så meget, at han lader dig være i fremtiden.

Somme tider kan en blanding af slap sikkerhed og deciderede kriminelle handlinger føre til kolossale datalækager. I 18 måneder fra juli 2005 mistede detailkæden TK Maxx 45,7 millioner debet- og kreditposteringer.

Angrebet ramte såmænd blot en åben WiFi-forbindelse hos en tøjforretning i USA. Den blev brugt til at udveksle data mellem kasser, prismaskiner og centrale computere.

Forbindelsen brugte den usikre WEP-kryptering, som tyvene hurtigt fik brudt. Derefter ledte de efter brugeroplysninger og brugte dem til at logge ind på betalingssystemer. I en meddelelse fra juli 2008 skrev direktør Carol Meyrowitz, at flere mennesker var blevet sigtet for det, hun beskrev som »et avanceret kriminelt angreb på vores computersystem«.

Den gode nyhed er, at den gruppe, der kører TK Maxx nu er certificeret ifølge betalingskortbranchens Data Security Standard. Men hvad betyder det? Jo, standarden er lavet som en reaktion på stigningen af svindel og identitetstyveri, der omfatter stjålne kontokortdata.

Når kortdata bliver kompromitteret, kan handlende, der ikke lever op til standarden, være ansvarlige for de tab, der skyldes en sikkerhedsbrist. Firmaer, der ikke efterlever standarden, kan miste retten til at modtage kontokortbetalinger, og de kan få en bød

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]

Det skal du bruge…

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Ressourcer

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Fup-applikationer

[/themepacific_accordion_section]
[/themepacific_accordion]