Publika trådlösa nätverk: Man-in

Transcription

Publika trådlösa nätverk: Man-in
Examensarbete inom datavetenskap
Publika trådlösa nätverk
Man-in-the middle attacker och skydd
June 23, 2015
Författare: August W INBERG
Författare: Stefan Å BERG
Handledare: Oskar P ETTERSSON
Examinator: Jacob L INDEHOFF
Termin: VT2015
Ämne: Datavetenskap
Nivå: G1E
Kurskod: 1DV41E
Sammanfattning
Åtkomst till internet via trådlösa nätverk ses som en självklarhet för användare med
tillgång till mobil, dator eller annat typ av utrustning som kan skicka eller mottaga
datatrafik. Det har gjort att utvecklingen samt tillgängligheten av trådlösa nätverk
har blivit mer utbredd. Antingen via privatpersonens egna hem, via sin arbetsplats
eller skola samt företag som bedriver tillfälliga boende som hotell, café eller andra
platser som erbjuder internet via sitt privata nätverk. Med den ökade tillgängligheten
ökar även säkerhetsrisken för användaren antingen från yttre hot där användare vill
få tillgång till andra användares data eller direkt attack från ägaren av nätverket.
Användare kan känna sig säkra med de skydd som finns tillgängliga som exempel
antivirus och brandvägg men i och med att ansluta till ett publika nätverk kan en
rad nya säkerhetshot uppstå i former av man-in-the middle attacker mot användaren.
Lyckade attacker skulle kunna resultera i att användare blir avlyssnade eller bestulen
på känsliga information och eventuellt utan att användare märker av det eller innan
det är försent.
En litteraturstudie har genomförts för att undersöka säkerheten för användaren på
platser som erbjuder en tjänst att få tillgång till internet via en accesspunkt. Studien
ska se över de säkerhetshot som finns när användare ansluter trådlöst till ett publikt
nätverk, vilka hot som kan riktas mot användaren som använder nätverket och slutligen vilka tjänster som finns tillgängliga för användaren för att öka sin säkerhet vid
användning av nätverket.
Nyckelord: Network Security, Public Network, Wireless Security, Man-in-the middle, Publika trådlösa nätverk, Trådlösa nätverk
Abstract
Access to the internet through wireless networks are seen as a matter of course for
users with access to a mobile phone, computer, or other type of equipment that can
send or receive data traffic. It has resulted in the development and availability of
wireless networks has become greater. Either through the private person’s own home,
through their workplace or school, enterprises engaged in temporary accommodation such as hotels and other public areas that offers Internet access via its private
network, such as cafes. There is also an increasing security risk for the user, either
from external threats where users want to gain access to other user’s data or direct
attack from the owner of the network. Successful attacks could result in that users
will be intercepted or stolen sensitive information, and potentially without the user
noticing it or before it is too late.
A literature review has been carried out to investigate the safety of the user at sites
that offer a service to access the Internet through an access point. The study will
review the security threats that exist when users connect wirelessly to a public network, the threats that may be directed against the user who uses the network.
Keywords: Network Security, Public Network, Wireless Security, Man-in-the middle, Public wireless networks, Wireless networks
i
Innehåll
1
2
3
4
5
6
Introduktion
1.1 Inledning . . . . . .
1.2 Tidigare forskning . .
1.3 Problemformulering .
1.4 Frågeställning . . . .
1.5 Begränsning . . . . .
1.6 Målgrupp . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
1
2
3
3
3
4
Metod
2.1 Sökprocessen . . . . . . . . . . . .
2.2 Dataanalys . . . . . . . . . . . . . .
2.3 Urvalsprocess av attacker och skydd
2.4 Metoddiskussion . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5
5
5
5
6
Teori
3.1 Wifi . . . . . . . . . . . . . . .
3.2 Hårdvara . . . . . . . . . . . . .
3.2.1 Router . . . . . . . . . .
3.2.2 Accesspunkt . . . . . .
3.3 Anslutningsmöjligheter . . . . .
3.3.1 WEP . . . . . . . . . .
3.3.2 WPA . . . . . . . . . .
3.3.3 WPA2 . . . . . . . . . .
3.3.4 Publika trådlösa nätverk
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
7
7
7
7
8
8
8
8
9
9
Resultat
4.1 Attacker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.1 Rogue access point . . . . . . . . . . . . . . . . . . . . . . .
4.1.2 Attackens utförande . . . . . . . . . . . . . . . . . . . . . .
4.2 Mitmproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Evil twin attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Attacker mot ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4.1 Arp spoofing eller Arp poisoning . . . . . . . . . . . . . . .
4.5 Misstag av användaren . . . . . . . . . . . . . . . . . . . . . . . . .
4.5.1 Nätverksutdelningar och ange osäkra nätverk som hemnätverk
4.5.2 Ignorerar certifikat varningar . . . . . . . . . . . . . . . . . .
4.5.3 Icke uppdaterad dator och antivirus . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
9
9
10
10
11
12
12
13
14
14
14
15
.
.
.
.
.
.
16
16
17
17
18
20
20
Analys
6.1 Rogue access point . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
22
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Skydd
5.1 Brandvägg . . . . . . . . . . . . . . . .
5.2 IDS . . . . . . . . . . . . . . . . . . .
5.3 Anti-virus . . . . . . . . . . . . . . . .
5.4 VPN . . . . . . . . . . . . . . . . . . .
5.5 Skydd från tjänsteleverantören . . . . .
5.6 Sammanställning av attacker mot skydd
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
6.2
6.3
6.4
Evil twin attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mitmproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Arp-spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
23
24
7
Diskussion
7.1 Problemlösning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.2 Metodreflektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
25
26
8
Avslutning
8.1 Slutsats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.2 Förslag till fortsatt forskning . . . . . . . . . . . . . . . . . . . . . . . .
27
27
27
A Bilaga 1
A
B Bilaga 2
B
C Bilaga 3: Ordlista
C.1 MAC: . . . . .
C.2 Stream Cipher:
C.3 Checksummor:
C.4 Blockstorlek: .
C
C
C
C
D
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
Introduktion
Denna rapport kommer att handla om risker i publika trådlösa nätverk. Vilka risker som
finns samt vilka av de vanligaste skydd som kan skydda mot attackerna.
1.1
Inledning
Idag har många människor en livsstil som är väldigt mobil. Människan är inte längre
tvingad till att befinna sig på en arbetsplats eller i sitt hem för att komma åt data från
arbetsplatsen eller privat data i hemmet. Denna utveckling har medfört stora möjligheter
men också stora potentiella risker mot användare och företag som vill utnyttja den nya
tekniken. [1]
Till skillnad mot vanligt trådbundet nätverk ger trådlöst nätverk ökade risker då det är ett
medium som färdas i luften. Det ger en möjlighet för obehöriga att på avstånd lyssna av
trafiken och även påverka den. I ett trådbundet nätverk går en nätverkskabel till varje klient
som är ansluten till nätverket. För att kunna ansluta till det trådbundna nätverket måste
alla som ansluter ha tillgång till ett uttag och en kabel för att få tillgång till nätverket. I
ett trådlöst nätverk räcker det att någon har en enhet som stödjer trådlöst nätverk för att
kunna ansluta till det trådlösa nätverket. Det är alltså svårare att kontrollera vilka som kan
ansluta till det trådlösa nätverket. [2]
En skillnad mellan publika trådlösa nätverk och privata trådlösa nätverk är att vem som
helst kan ansluta till det publika. Det kommer att resultera i sämre kontroll över vilka som
ansluter till det publika och därmed öka risken för användare som är ansluta.
I och med att öppna nätverk i många fall inte har ett lösenord räcker det att ansluta sig till
nätverket för att få tillgång till internet. Det kan dock vara svårt för användaren att veta
exakt vilket nätverk som användaren är ansluten till. [1]
Om en användare eller ett företag skulle bli utsatt för en attack kan konsekvenserna bli
stora. En privatperson skulle potentiellt kunna få sitt kreditkort kapat och då få stora ekonomiska problem. En attackerare skulle även kunna komma åt användarens inloggningsuppgifter och eventuellt skriva dokument i offrets namn som bidrar till att offrets privatliv
blir lidande. Om en attackerare lyckas få åtkomst direkt till filerna i offrets dator kan
privata bilder läcka ut på hemsidor. I värsta fall skulle offret kunna bli utpressad av en
attackerare på grund av den data som användaren har blivit bestulen på.[3]
Företag kan bli utsatta för allt ifrån Denial of Service attacker mot deras hemsidor som
gör att besökare ej kan nå dem. Även företag kan bli utsatta för direkta intrång på deras
servrar. Vid intrången kan en attackerare förstöra eller stjäla data vilket kan bli väldigt
kostsamt för företaget. Det kan även vara att en grupp kommer åt inloggningsuppgifter
till andra sidor som i en attack mot Sony pictures [4]. I attacken mot Sony Pictures läcktes
ofärdiga filmer ut, E-post från chefer och även lösenord till sociala medier. Detta är ett
exempel på vad som kan hända om en obehörig lyckas ta sig in i ett företagsnätverk.
Platser som erbjuder tillgång till internet via deras nätverk är inte de enda som utsätter
1
sig för risker genom att tillåta okända användare att ansluta till nätverket. Även användare
som väljer att ansluta enheter till nätverket utsätter sig för risk. I och med att tekniken
utvecklas vill användare kunna använda fler mobila tjänster som finns i deras vardag. Allt
ifrån bankärende till att skicka meddelande mellan varandra. Detta har gjort att tjänster
och tekniker för att tillfredsställa användarnas behov har utvecklas för att komma åt denna typ av information. Antingen direkt riktade attacker mot användare eller mot ett helt
nätverk.[5][3]
Telefonoperatören Mobidia har sammanställt hur data transporteras hos sina användare.
Hela 62% använder wifi för att få tillgång till internet där resterande 38% använder tjänster som 3G eller 4G via mobilanätverk för att skicka data. [6] Enligt Cisco växte den
mobila enheter med 7.4 miljarder 2014 och de räknar med att växa till 11.5 miljarder till
2019. Om Ciscos beräkningar stämmer kommer en ökning av anslutna enheter till nätverk
inom de närmaste åren, antingen via mobila nätverk, wifi eller kabel att ske [7].
Hotell är ett exempel på företag som idag förutom boende erbjuder tillgång till internet
via wifi. En sökning via hotels.com visar att en majoritet av hotellen som kommer upp
erbjuder tillgång till internet via trådlöst nätverk [8]. Användare som använder enheter
med begränsad datakvot via mobila nätverk som 4G kan använda wifi eller kabel för att
inte slösa på denna. Tillgång till internet via wifi kan därför vara lockande vid boende på
hotell.[9]
En förberedande undersökning utfördes för att säkerställa att detta stämmer. Samtal till tio
olika hotell runt om i Sverige bekräftade att alla erbjöd internet av de tillfrågade erbjöd
wifi som tjänst vid frågan "Erbjuder ni wifi?".
Utöver hotell finns det en rad offentliga platser som erbjuder liknande tjänster i form
av wifi. Övriga platser som erbjuder trådlös uppkoppling i form av wifi till kunder och
besökare är platser som caféer och restauranger. Flygplatser är också vanliga platser att
erbjuda trådlösa nätverk som är tillgängliga för besökande av platsen. Vissa bibliotek
erbjuder även de trådlös uppkoppling till besökare.
Det finns studier som visar att användare oftast inte är medvetna om vilka säkerhetsrisker
de utsätter sig för genom att ansluta till öppna eller slutna nätverk, antingen genom direkt
kabel eller wifi [10] [11] .
1.2
Tidigare forskning
En studie av 147 stycken hotell i USA utförd av elever ifrån Cornell från 2008 påvisade
att det där fanns risker i hur nätverken var designade. I deras studie visade det sig även att
det fanns hotell som fortfarande använde sig av hubbar istället för switchar vilket drar ner
säkerheten på nätverket. De påvisar också att det var långt ifrån alla hotell som tillämpade
VLAN i sitt nätverk.[12]
En annan studie som används som utgångspunkt påvisar riskerna med att ansluta till okända nätverk och konsekvenserna det kan ha[13]. I studien användes Android telefoner. De
valdes ut då Android under studien var det vanligaste mobila operativsystemet. I denna
studie kunde de ändra reklamen som visades på mobilen genom att utföra en man-in-the
2
middle attack. Några av attackerna som nämns i studien går att applicera på mer än endast
Android telefoner samt att de går att använda i hotellnätverk. Saurabh Vishal har skrivit
en studie där hoten med en Rogue access point tas upp. Denna studie kommer använda en
del av Saurabh Vishals studie för att påvisa de hot som tas upp i denna studie. [14]
1.3
Problemformulering
Uppsatsen kommer att granska i teorin vilka risker som potentiellt finns i publika trådlösa
nätverk. De attacker som kommer vara i fokus för denna studie är man-in-the midddle
attacker utförda mot trådlösa nätverk.
1.4
Frågeställning
1. Vilka hot finns det för användare som ansluter till publika trådlösa nätverk?
2. Hur kan en man-in-the middle attack utföras i trådlösa nätverk?
3. Vilka tjänster finns det att skydda sig mot de listade attackerna?
1.5
Begränsning
Avgränsningar och begränsningar i undersökningen:
1. Den publika tilldelningen av internet kommer att ske via trådlöst-nätverk i teorin.
Anledningen till att just trådlöst nätverk har valts ut är att det är svårt att överblicka
vilka som faktiskt är inkopplade till det. Vilket ökar risken för att någonting skulle
kunna ske.
2. Målet med attackerna ska vara att samla in data och inloggningsuppgifter. Därför
har vissa attacker uteslutits. Exempel på uteslutna attack är Bruteforce attacker samt
Denial-of Services.
3. De enheter som kommer vara målet för attackerna är smartphones samt Windows
PC. Windows Pc:n kommer att ha brandvägg samt Anti-virus installerat. Windows
PC har valts ut då det är vanligaste operativsystemet på datorer under studien.
Smartphones är en enhet som många människor har tillgång när de är på resande
fot och där med en vanlig enhet att ha med sig på publika platser.[15]
4. Exploits kommer uteslutas ur studien. Exempel på detta är exploits som baseras på
ej patchad mjukvara eller hårdvara som är felkonstruerad. De utesluts då attackerna
i studien ej har fokus på buggar i mjukvara utan intrång via trådlösa nätverk. Studien
hade blivit för omfattande om Exploits skulle tas med.
5. Studien utgår ifrån attacker som går att utföra via det trådlösa nätverket. Switchar
och rackskåp ska ej gå att komma åt av attackeraren. Det finns inte heller möjlighet
för attackeraren att koppla in sig i nätverket via nätverkskablar. Trådlöst har valts
för att fler enheter är anslutna via trådlöst på exempel hotell där i många fall det
finns som gratis, erbjudande eller ingår i priset vid bokning av hotel för att locka
till sig gäster [8].
3
1.6
Målgrupp
Målgruppen för denna studie är personer med begränsad teknisk kunskap inom det skrivna
området. De har valts ut då de är mindre medvetna om risker och därmed mer benägna
att bli utsatta för attacker. Tanken med rapporten är att ge läsaren teoretiska kunskaper
om några av hoten som kan förekomma då de ansluter sig mot publika trådlösa nätverk.
Studien kommer även ge inblick i några av de vanligaste skydden som används samt vilka
skydd som i teorin kan användas för att säkra sin anslutning när uppkoppling mot publik
nätverk förekommer.
4
2
Metod
En litteraturöversikt har utförts för att få en översiktlig bild av vilka hot en användare
utsätter sig för genom att ansluta till publika nätverk. Studien kommer även att ta upp
de vanligaste skydden och analysera dem mot attackerna för att kunna avgöra vilka skydd
som fungerar mot attackerna. Information har samlats in genom att undersöka vilka kända
hot där användare kan utsättas för en man-in-the-middle attack. I och med framtagningen
av attackerna har även de vanligaste skydden tagits fram för att teoretisk jämföra ifall det
är möjligt att skydda sig mot attacken.
Studien har haft fokus på man-in-the-middle attacker då de kan vara svåra för användaren
att upptäcka. Alla teoretiska attacker kommer att utgå ifrån ett teoretiskt trådlöst nätverk
där svagheter i hårdvara eller svagheter i mjukvaruversioner ej kommer att tas med. Utan
endast kända attacker av typen man-in-the-middle mot ett trådlöst nätverk.
Varje attack och skydd kommer att analyseras i teorin hur de förhåller sig till varandra
och hur författarna ser på möjligheten att skydda sig med de skydd som har tagit fram och
vilka risker användare utsätter sig för genom att komma i kontakt med hoten.
2.1
Sökprocessen
I sökprocessen har sökmotorer används. De har varit inriktade på akademiska artiklar samt
fackmaterial. Även publicerade böcker som tar ämnen som nätverkssäkerhet och skydd.
Databaser som användes för att hitta material finns i bilaga A. Sökfraser som används
för att hitta material var i början fraser som “Network Protection”, “Man-in-the middle”.
Andra sökord som “IDS” och “Firewall” samt “Evil twin attack” är exempel som har
framkommit under studiens tid.
2.2
Dataanalys
I sökningen efter man-in-the middle attacker samt skydd har många artiklar hittats, dock
har de haft fokus på ej implementerade skydd. De påvisar exempelvis hur algoritmer kan
användas för att hitta man-in-the middle attacker. Kraven för vår studie är att skydden
mot attackerna redan ska gå att implementera, därav har de artiklarna valts bort i urvalet.
Istället har böcker från kända utgivare (exempelvis; William Stallings, Cisco, Microsoft)
används för att hitta information om attackerna.
2.3
Urvalsprocess av attacker och skydd
De attacker som valts ut har fokus på att de ska vara möjliga att utföra med tillgång
till trådlöst uppkoppling i form av wifi. Attacken ska klassas som en man-in-the-middle
attack eller ge möjlighet att utföra en man-in-the middle. Syftet med attacken ska vara
att fånga upp känslig data från användaren eller ges möjlighet att förändra data under
transport. Samma attack kan ha flera olika namn men utföras på samma sätt, i rapporten
har de namn som förekommit mest under sökningarna används. För att hitta attackerna har
5
tryckt material används som källor. Till dem menas material som vetenskapliga rapporter,
publicerade böcker, konferens material och artiklar används.
I studien har även misstag av användaren tagits upp. Den delen används för att påvisa
vad en användare skulle kunna göra för att potentiellt öppna upp sig för en attackerare
och ge möjlighet att ta sig in i datorn eller ges ökade möjligheter att utföra en attack mot
användaren. Denna del sticker ut ifrån övriga attacker då det inte är attacker utan endast
är tänkt att ge en överblick för användaren om vad resultaten kan bli om hen inte vet om
detta.
Skydden har valts ut först efter att attackerna har valts ut. De mest kända skydden för
persondatorer har valts ut för att försöka förhindra att attacken kan genomföras eller att
minimera risken för att bli utsatt för en attack.
Inga egna attacker har under arbetets gång konstruerats utan det är endast redan kända
attacker som har tagits med.
2.4
Metoddiskussion
Under studiens tid har endast ett fåtal attacker kunnat tas fram att jämföra mot skydd
analyserats. Varje attack har analyserats separat och jämfört med de skydd som finns
tillgängliga i teorin utifrån de studie och underlag som har varit möjliga att få fram om
respektive skydd och hot. Även här har inte alla typer av skydd varit möjliga att ta med
på grund av studiens begränsade tid. Skydden är endast i teorin skyddande mot attackerna
och är endast det genom hur författarna har tolkat information om skyddet samt attacken.
Anledningen till att fokus har varit på man-in-the middle är att de ej kräver attacker direkt
mot enheten utan endast behöver befinna sig i samma nätverk. I en man-in-the middle
attack kan även uppgifter samlas ihop och användas av attackeraren vid ett senare tillfälle
vilket för offret kan innebära att hen inte vet vart eller när uppgifterna blev stulna.
6
3
Teori
Följande information kommer ge en grundläggande teoretisk förståelse för hur trådlöst
nätverk som tjänst fungerar. Samt de möjliga hot som enheter utsätter sig för genom att
ansluta till nätverket. Slutligen kommer de skydd användare kan implementera för att
skydda sig att tas upp.
3.1
Wifi
Idag ses möjligheten till trådlöst internet som en självklarhet. Det är svårt att hitta en router för konsumentbruk som inte har stöd för trådlöst nätverk detta i och med att vi blir mer
mobila och inte längre är stationerade till en och samma arbetsplats. Med denna teknik
förväntas människor kunna göra de saker som görs framför en stationär dator även göra
via en mobil enhet uppkopplad mot trådlöst nätverk. Vid datorn idag kan mycket känslig
information hanteras. Det kan vara sådant som bankärenden eller företagsdokument som
inte får lämna företaget. Eller andra dokument eller tjänster som kräver sekretess hantering. I och med att detta behov har utvecklats har även nya säkra standarder, produkter
och tjänster tagits fram för att möta behoven. [16]
Institiute of Electrical and Electronics Engineers (IEEE) har tagit fram standarder som
används när enheter behöver kommunicera via trådlöst lan. Att ha en och samma standard
världen över ger möjligheten för produkter att vara kompatibla. IEEE har släppt en rad
olika standarder för hanteringen av trådlösa lokala nätverk. Några av de mest kända är
802.11a som ger möjlighet att sända data över 5.2GHz bandet samt 802.11b som ger
möjlighet att skicka data över 2,4GHz bandet. [17]
3.2
Hårdvara
För större mer komplicerade nätverk krävs en rad fler enheter för att skapa ett fungerande nätverk som switch och dedikerad brandvägg. De kommer inte tas upp i denna
studie.
3.2.1
Router
Router är en enhet i ett nätverk vars uppgift är att ge datorer möjligheten att kommunicera
mellan varandra över nätverk. Routers kan komma i flera olika typer beroende på vad produkten ska användas till. En sådan enhet kan både hantera vanliga nätverksanslutningar
samt trådlösa anslutningar. I många fall finns även brandvägg inbyggd i dem. Brandväggen bestämmer över trafiken som passera genom routern. Routrar tillverkas både till
hemmabruk för vanliga användare och till företag som hanterar stora mängder nätverkstrafik. [18] [19]
7
3.2.2
Accesspunkt
En accesspunkt eller access point ger möjlighet för enheter att ansluta till ett nätverk
trådlöst. Om ett trådlöst nätverk sträcker sig över ett större geografisk område kommer
en person med en trådlös enhet kunna förflytta sig inom det området. Om personen rör
sig utanför en accesspunkts räckvidd med enheten kommer nästa accesspunkt ta över när
enheten flyttar sig till räckvidden för den andra accesspunkten. På detta sätt kan trådlösa enheter alltid vara ansluten över en större yta förutsatt att accesspunkterna når dit.
[19]
3.3
Anslutningsmöjligheter
I och med att mer känslig data skickas genom trådlösa nätverk har kravet för att kunna
skicka data på ett säkert sätt ökat. På grund av detta har en rad säkerhetsmekanismer samt
tjänster för att besvara detta behov utvecklats. Allt från säkerhetsnycklar för att kunna
ansluta till trådlösa nätverk samt att kryptera trafiken innan den skickas via luften. Med
det ständigt ökande behovet av säkerhetslösningar har även utvecklingen av nya samt mer
avancerade attackmöjligheter mot trådlösa nätverk ökat. [20] [21]
3.3.1
WEP
När trådlös överföring som teknik blev möjlig blev det även möjligt att ansluta mot nätverket om enheten var i räckvidd till mottagaren. Utan någon typ av autentisering samt
utan kryptering blev det en möjlighet att avlyssna trafiken mellan två enheter genom luften. WEP (Wired Equivalent Privacy) var den första algoritm vars uppgift var att säkra
upp anslutningen mellan mobila enheter och accesspunkter. WEP tillhör IEEE 802.11
standarden och går att hitta både i hos privatpersoner samt företag och andra typer av organisationer som har behov av skicka data trådlöst[22]. RC4 var designat av Ron Rivest
1987 och är känt som ett stream cipher (förklaring av stream cipher finns i bilaga C). WEP
med RC4 fungerar genom att både mottagare och avsändare delar samma gemensamma
nyckel. Denna nyckel används för att kryptera och dekryptera data skickad mellan mottagare och sändare. WEP har en rad brister i säkerheten som publicerades våren 2001 av
Scott Fluhrer, Itsik Mantin och Adi Shamir. Problemet med WEP är att själva nyckeln
endast är ett par bitar lång och när data har gått genom RC4 kommer ett mönster att bildas
och algoritmen kan efter en tid knäckas[23]. En studie publicerades 2007 där författarna
påpekar att det är möjligt att knäcka 104 bitars WEP under 60 sekunder [24]. WEP anses
idag inte vara ett säkert protokoll att använda men går fortfarande att hitta i nätverk på
grund av produkter som fortfarande idag endast har stöd för WEP [25].
3.3.2
WPA
Utifrån de kända problem med WEP fanns behovet att ersätta protokollet med en säkrare kryptografiskmetod utan att enheter som då körde WEP skulle behöva byta hårdvara.
IEEE började bygga en förbättrad version av 802.11 (802.11i). Istället för att vänta på att
den skulle bli färdig släppte Wi-fi alliance Wi-fi protected Access (WPA) som är baserad
på 802.11i [26]. WPA var designat att ge högre säkerhet genom att använda TKIP (Temporal key Integrity Protocol) för att undvika att hårdvara skulle bli tvungen att bytas ut
8
för enheter som redan körde WEP. WPA var byggt för att adderas till WEPs redan existerande källkod. Detta gjorde det möjligt för WPA att kryptera varje datapaket med en unik
krypteringsnyckel och på detta sätt uppnå en högre säkerhet jämfört med WEP [27]. WPA
ger även möjlighet för användning av checksummor (förklaring av checksummor finns i
bilaga C) för att säkra dataintegriteten när data skickas över trådlösa nätverk kallat MIC
(Message integrity check) [26].
3.3.3
WPA2
IEEE 802.11i standarden som var grunden till WPA blev färdig mitten av 2004 och med
det godkändes av IEEE. I början av 2005 uppdaterade the Wi-fi Alliance WPA till WPA2.
Med namnuppdateringen tillkom en rad olika förändringar. Den mest noterbara förändringen är den krypteringsalgoritm som används i WPA2. WPA använder RC4 medan
WPA2 använder AES. AES står för Advanced Encryption Standard och krypteringen är
en säkrare kryptering än RC4 [28]. AES är en standardiserad krypteringsalgoritm av typen substitutions-permutations krypto. AES har möjligheten att använda kryptografiska
nyckel längder på 128, 192, 256 bitar för kryptering och dekryptering av data i 128 bitar blockstorlekar (för förklaring se bilaga C) [29]. Både WPA samt WPA2 har stöd för
WPA-Personal och WPA-Enterprise beroende på routerns funktion.
3.3.4
Publika trådlösa nätverk
Publika trådlösa nätverk skiljer tekniskt inte någonting ifrån ett hemmanätverk eller ett
företagsnätverk. De utnyttjar samma sorters krypteringsalgoritmer exempelvis WPA eller
WPA2 och samma typer av utrustning som accesspunkter och routers. Det som dock skiljer är att publika trådlösa nätverk är avsedda för att ge alla tillfälliga besökare eller kunder
nätverksuppkoppling via wifi. I ett hemnätverk och ett företagsnät är uppkopplingen endast avsedd för vissa personer.[1]
I det publika trådlösa nätverket vet den som ansluter ingenting om vilka andra som kan
ansluta eller är ansluta för tillfället. Säkerheten i det kan också vara svårt för besökaren
att få reda på. Det som går att se är vad för krypteringsalgoritm som används.
4
Resultat
I resultatet presenteras de attacker samt skydd som har framkommit under studiens tid.
Varje attack och skydd presenteras för att sedan sammanställas för att påvisa vilket som
fungerar mot vilken attack.
4.1
Attacker
I ett nätverk där alla enheter ansluts till varandra med kablar är det lättare att ha kontroll
på vilka som får ansluta till detta nätverk. Antalet som kan ansluta begränsas av antalet
uttag det finns. Det går även att stänga av uttag som är svåra att övervaka för att få mer
kontroll på nätverket.[1]
9
I trådlösa wifi nätverk kan denna begränsning vara svårare då det räcker med att vara
tillräckligt nära routern eller accesspunkten för att få möjlighet att ansluta till nätverket.
Detta betyder att en potentiellt illasinnad inte behöver vara i samma lokal som sina offer
för att få möjlighet att utföra en attack. Det räcker att vara inom nätverkets räckvidd. Det
ges flera möjligheter för attackeraren att ostört kunna attackera nätverket och även lura
andra att ansluta till attackerarens nätverk beskrivet i stycke 2.4 samt 2.4.3.
4.1.1
Rogue access point
En Rogue access point är en accesspunkt som ej ska finnas där. De är oftast uppsatta av
personer med illasinnade avsikter. Exempel på en rogue access point kan vara att ett företag som har ett legitimt trådlöst nätverk plötsligt får ett trådlöst nätverk som existerar
parallellt med deras. Det är uppsatt utan administratören av nätverkets godkännande eller
vetskap. Rogue access points kan även finnas på platser som inte har wifi-nät, det kan till
exempel vara caféer som saknar trådlöst nätverk. En rogue access point kan då namnges
till caféets namn för att få folk tro att det är ett legitimt nätverk som erbjuds av företaget
och därmed är riskfritt att ansluta till.[14]
De sätts upp i syfte att få folk att ansluta till dem. När ett offer har anslutit till nätverket
kan hen bli utsatt för en man-in-the middle attack. Trafik kan då avlyssnas för att få tag
på exempelvis lösenord och inloggningsuppgifter till olika sidor. Datapaketen kan även
modifieras vilket kan leda till att användaren får felaktig data tillbaka.
Då det är vanligt med trådlösa nätverk idag kan det vara svårt att veta vilka som är äkta
och vilka som är förfalskade. Saurabh Vishal påvisar att det är relativt enkelt att sätta upp
en sådan rogue access point vilket ökar hotet ännu mer.[14]
Figur 1: Bild på Rogue Accesspunkt
4.1.2
Attackens utförande
Förberedelser:
1. En bärbar dator med ett trådlöst nätverkskort samt en uppkoppling mot internet via
3g eller 4g används som hårdvara för attacken. Mobila uppkopplingen via 3g eller
4g är till för att kunna agera router och få offren att ansluta till de tjänster som de vill
komma åt. Genom att sätta upp en fungerande internet anslutning kan flera tjänster
10
nås och då potentiellt ge fler lösenord att spara ner. Offret kommer sannolikt att
stanna kvar längre om uppkopplingen mot internet fungerar.
2. Linux distributionen KALI Linux (tidigare Backtrack) har en stor mängd verktyg
som kan användas för att utföra en Man-in-the middle attack[30].
3. Ett av verktygen som går att använda är mitmproxy[31]. Programmet är utvecklat
för att kunna läsa och ändra http förfrågningar samt dekryptera HTTPS. Den går
förbi SSL krypteringen genom att självt agera Certificate Authority och skapa ett
eget certifikat.[31]
Denna attack kommer använda mitmproxy (stycke 4.2) för att dekryptera SSL/TLS trafik. Det är ett extra steg för att få bättre resultat vid insamlandet av lösenord och annan
känslig data. Utan mitmproxy kommer endast vanlig okrypterad http trafik från hemsidor
samt annan okrypterad trafik att kunna läsas av.
Stegvis beskrivning av attacken:
1. Den bärbara datorn konfigureras som en Rogue Access point. Trafik som kommer
in på det trådlösa nätverkskortet får passera genom laptoppen till den mobila 3g
eller 4g uppkopplingen.
2. För att få offren att ta emot certifikatet konfigureras en Captive Portal där de som
vill använda det trådlösa nätverket måste ta emot certifikatet. Certifikatet är skapat
av mitmproxy.
3. Sedan startas mitmproxy och attackeraren väntar på att någon ska ansluta.
4. Den som ansluter till accesspunkten kommer att gå till en portal där de måste ladda
ner ett certifikat för att få fortsätta.
5. Eftersom att de har attackerarens certifikat kommer all SSL-trafik att kunna dekrypteras när den passerar den bärbara datorn.
6. Innan SSL-trafiken lämnar den bärbara datorn krypteras den igen utan att offret
märker vad som har hänt då offret godkänt certifikatet. Enligt enheten som används
är detta giltig trafik och det ser ut som om krypteringen når ända till webbservern
som den är ansluten till.[32]
4.2
Mitmproxy
Mitmproxy är en proxy utvecklad för att kunna läsa och ändra på http requests. Det finns
även funktioner för att återsända gamla packet (även kallad replay-attack). Den är helt
skriven i Python vilket gör att egna konfigurationer kan läggas till samt stora delar kan
automatiseras via Python. När en vanlig http request skickas vidarebefordrar endast mitmproxyn förfrågan. Eftersom att det är okrypterad trafik kommer den att kunna läsas av från
början. [31]
Det som sker när någon kopplar upp sig till en https anslutning via mitmproxy är följande:
11
1. En ”GET-request” skickas till webservern för att hämta rätt html fil på webservern.
En vanlig proxy skickar bara vidare SSL anslutningen mellan servern och klienten
till skillnad mot mitmproxy. [32]
2. När en ”CONNECT” förfrågan kommer in till mitmproxy pausas klientens förfrågan i mitmproxy. [32]
3. Mitmproxyn gör en anslutning till servern som klienten har skickat connecten till.
Mitmproxyn slutför därefter SSL-Handskakningen mot servern och har då en krypterad anslutning till servern. [32]
4. Där efter utförs en SSL-handskakning mot klienten där det är mitmproxyns egna
certifikat som godkänner anslutningen. Vilket resulterar i en krypterad anslutning
som för offret ser ut att sträcka sig hela vägen till servern. [32]
5. Mitmproxy kan nu läsa och ändra all trafik som går genom den.[32]
4.3
Evil twin attack
Det som skiljer en rogue access point mot en evil twin är utförandet. De baseras på samma
teknik med ett undantag som skiljer dem åt. En rogue access point sätts upp som accesspunkt på ett ställe oavsett om det redan finns en existerande accesspunkt. I en evil twin
attack kopierar angriparen SSID och MAC-Adress från en legitim trådlös accesspunkt
och kan då ta över identiteten för accesspunkten. Offrets enhet kommer inte att kunna
skilja på den förfalskade accesspunkten och den äkta. Attackeraren kan även attackera
den ursprungliga accesspunkten och störa ut den. Genom att störa ut den legitima accesspunkten vars identitet har blivit stulen finns endast evil twin accesspunkten kvar att svara
på förfrågningar. Det ökar chanserna för attackeraren genom att fler kommer ansluta till
attackerarens accesspunkt då den legitima inte kommer kunna svara. [33] [34]
Denna attack är svår att skydda sig emot. Eftersom att identiteten för en legitim accesspunkt som ska finnas där har stulits. De som administrerar nätverket har inte någon aning
om att det är något märkligt med nätverket. Det är under förutsättningen att deras legitima
accesspunkt inte varnar om att något är felaktigt. En rogue access point som är uppsatt på
ett ställe där det ursprungligen inte finns något trådlöst nätverk blir lättare att upptäcka.
Detta då det dykt upp någonting som inte ska finnas där. Om en legitim identitet tas över
verkar det som om den legitima enheten finns där.
4.4
Attacker mot ARP
ARP (Adress Resolution Protocol) är ett protokoll som används för att koppla samman
MAC-adresser (förklaring för MAC finns i bilaga C) med en IP-adress på ett lokalt nätverk.
En MAC-adress används på datalänkskiktet för att skicka data mellan klienter. När en
klient ska skicka data till en IP-adress på ett lokalt nätverk kommer detta paket att kapslas
in till en frame för att sedan skickas till den MAC som motsvarar IP-adressen. För att
hålla reda på vilken IP-adress som tillhör vilken MAC-adress används en ARP-tabell.
Arp-tabellen innehåller två kolumner, en med IP-adresserna och en med MAC-adresserna
(se figur 2 ).[35]
12
Figur 2: Arp tabell
I figur 3 ska Klient A skicka data till Klient B. Klient A vet vilken IP som klient B har
men inte vilken MAC-adress som ska användas då detta saknas i ARP-tabellen. Klient
A kommer då att skicka ut en ARP request (figur 4) som broadcast Lager 2 till adressen
FF:FF:FF:FF:FF:FF. Eftersom att det skickas som broadcast kommer alla noder på samma
nätverksegment att ta emot detta och kontrollera IP-adressen i ARP queryn. Endast den
datorn som har rätt IP-adress kommer att svara på denna query med ett arp reply (figur
5). Klient A uppdaterar sin ARP tabell genom att koppla MAC-adressen för Klient B till
klientens IP. [35]
Figur 3: Arp scenario
Figur 4: Arp Request [35]
Figur 5: Arp reply [35]
4.4.1
Arp spoofing eller Arp poisoning
Målet med attacken är en man-in-the middle där ett offer luras att skicka data till någon
annan än exempelvis routern i nätverket. Denna data kan sedan läsas av och ändras. Attacken utnyttjar hur ARP fungerar. En stor svaghet är att det är statless protokoll och har
därmed ingen hantering för att kontrollera om en request har skickats. Den tar med andra
ord emot reply även om en request inte har skickats ut. En potentiell attackerare kan skapa sina egna replys utan att någon request skickats för att ta någons identitet i nätverket.
Genom att veta vilken MAC adress och IP en enhet har, exempelvis en gateway har kan
gatewayens identitet stjälas. På det viset skulle gatewayens identitet i nätverkets stjälas
för att få all trafik som ska ut ifrån nätverket skickat till sig. [35]
En programvara utformad för att kunna utföra Arp-Spoofing attacker är Ettercap. Denna
programvara stöds av en rad olika Linux distributioner samt olika BSD system. [36]
13
4.5
Misstag av användaren
Användaren som ansluter till nätverket kan av olika skäl i vissa fall självt öppna upp för
en attack. De skäl grundar sig till en stor del i okunskap. De kan vara extra farliga då
användaren i vissa fall ha gjort inställningar eller godkänna val som användare ej förstår konsekvenserna av. Nedan följer exempel på saker som kan öka sårbarheten på en
användares dator. [37]
4.5.1
Nätverksutdelningar och ange osäkra nätverk som hemnätverk
En användare har på sin dator delat ut en katalog till alla i sitt hemnätverk på datorn.
Rättigheterna är inställda att alla som ansluter till utdelningen har fulla rättigheter i den.
Denna användare tar sedan med sig datorn till hotellet där den kopplar upp sig på hotellets nätverk. När datorn har anslutit kommer en fråga upp om vad det är för nätverk som
datorn anslutits till.
Det finns olika profiler för brandväggen som är ”privat nätverk” (figur 6) vilket öppnar
upp datorns brandvägg mer än vad som är lämpligt i publika trådlösa nätverk.
Figur 6: Privatnätverksprofilen i brandväggsinställningar
”Gästnätverk eller offentligt nätverk” (figur 7) är nästa profil. Denna profil tillåter mycket
färre anslutningar in till datorn och blockerar även fildelningar vilket är önskvärt i en miljö
där säkerheten är okänd.
Figur 7: Gäst eller offentligtnätverks profilen i brandväggsinställningar
Om användaren anger nätverket som ”privat nätverk” när Windows frågar om anslutningen. Kommer brandväggen att öppna sig mer än vad som är rekommenderat. Det skulle
kunna leda till att användaren får bilder och dokument ifrån utdelningen stulna. I värsta
fall skulle en potentiell attackerare kunna ladda upp filer till utdelningen som innehåller
virus och skadlig kod för att senare få access till datorn. [38]
4.5.2
Ignorerar certifikat varningar
Alla de hemsidor som använder SSL eller TLS kryptering innehar ett certifikat. Certifikatet innehåller information om hemsidan för att kunna verifiera att hemsidan är den
korrekta användaren har anslutit sig till. Certifikaten är unika för varje sida och kan därför
14
ej finnas på flera. Om en användare ansluter till en hemsida med HTTPS berättar certifikatet för webbläsaren att den har kommit till rätt sida. Om användaren har anslutit till en
webbsida som ej överensstämmer med certifikatet kommer webbläsaren att visa en varning om certifikatfel för användaren. [39]
I figur 8 visas en varning för att sidan använder ett certifikat som blivit återkallat och inte
är aktuellt längre.
Figur 8: Certifikatsvarning i Internet Explorer 11
En känd sida med certifikatfel skulle kunna vara en illasinnad webbsida för att lura användaren till att ange sina inloggningsuppgifter genom att ta utseendet ifrån den legitima.
Om användaren väljer att fortsätta förbi varningen riskerar användaren att få sin trafik
avlyssnad eller komma till en felaktig sida. Sidor med certifikatfel bör undvikas om inte
användaren på något sätt vet att det är den önskade sidan som vill besökas. Dock kan
fortfarande trafiken möjligtvis avlyssnas då ett ej fungerande certifikat kan göra att krypteringen inte går att lita på. [40]
4.5.3
Icke uppdaterad dator och antivirus
Att uppdatera operativsystemet i datorn är ett enkelt sätt för användare att skydda sig.
Uppdateringarna korrigerar säkerhetshål och buggar som kan utnyttjas för att få kontroll
över en dator. Genom att alltid hålla sitt operativsystem uppdaterat finns det färre svaga
punkter att attackera jämfört med ett gammalt icke uppdaterat operativsystem. Ett operativsystem måste stödjas av tillverkarna då för gamla operativsystem inte längre uppdateras
vilket gör dem osäkra. Även om ett säkerhetshål hittas i dem kommer inte tillverkaren att
patcha det. En användare som använder ett föråldrat operativsystem som inte längre har
support ifrån tillverkaren ökar risken för att råka ut för virus och attacker. [41][42]
I Windows 8.1 finns ett inbyggt antivirus som uppdateras via Windows Update. Detta
hjälper till genom att hitta skadlig kod och förhindra att den kan köras. Det är även viktigt
att brandväggen på datorn är påslagen för att förhindra oönskad access till datorn.
15
5
Skydd
För att kunna presentera resultatet i denna studie har alla attacker som finns med i denna
rapport utretts och granskats. Attackerna har ställts mot skydden för att få en överblick
över vilka skydd som kan hindra vad för attacker. Då detta är ett teoretiskt arbete har inga
tester utförts utan det är endast teoretiskt resultat som presenteras.
Det finns en rad olika skydd att använda på enheter för att skydda dem mot intrång eller
attackförsök från illasinnade användare. I följande stycken kommer en rad olika tekniker
och produkter att tas upp som kan, i teorin, skydda mot attacker som tidigare tagits upp i
studien.
5.1
Brandvägg
En brandvägg är konstruerad för att hålla reda på vad för trafik som får komma in och ut
ur systemet. De är tänkta att skydda systemet eller nätverket från yttre hot. Brandväggar
finns både som hårdvara i nätverk och i datorer finns lokalt installerade mjukvaru baserade
brandväggar. Brandväggens huvudsakliga uppgift är att hantera både inkommande samt
utgående TCP/IP trafik. De reglerar vad som kommer in och lämnar enheten utifrån de
regler som är konfigurerade. En brandvägg behöver kunna utföra en rad olika funktioner:
[43]
• Brandväggen hanterar in samt utgående trafik. Detta för att avgöra om ett paket
ska stoppas kontrolleras vart datapaketen kom ifrån och vart paketet är destinerat
till. Utöver ursprung och destination kontrolleras även vilken port paket kommer
skickas genom. Om något av de olika kriterierna inte tillåts kommer paketet att
slängas. [43]
• Autentisering: Brandväggar kan ha autentiseringsmöjligheter för användare som
vill ha tillgång till system genom att brandväggen tillåter åtkomst till betrodda datorer eller användare. [43]
• Att vara en mellanhand mot trafik som vill in till ett system som skyddas av brandväggen. [43]
• Skydda tillgångar: Brandväggen ska kunna skydda resurser från hot mot system de
är tänkt att skydda. Detta uppnås oftast genom att regler är satta för system som
helthet eller specifika regler för enskilda program. [43]
• Logga och rapportera händelser: Kunna logga trafik eller händelse i brandväggen
för att sedan kunna meddela i form av rapporter. [43]
En personlig mjukvaru brandvägg är, till skillnad från en traditionell brandvägg, lokalt
installerad på en enhet. Det som skiljer dem åt i funktion är att en personlig brandvägg
endast kan skydda den enhet som den är installerad på. Brandväggar kan vara utseendemässigt och funktionellt annorlunda beroende på syfte och vad för system de är tänkta att
användas i. Dock har de alla samma grundfunktion som är att hindra obehörig trafik från
att ta sig in eller lämna system.[43] [44]
16
5.2
IDS
IDS står för Intrusion Detection System och är ett system som används för att få varningar
om att någonting suspekt sker i systemet. Exempel på detta kan vara att någon försöker
bryta sig in i systemet. I ett scenario där någon redan har lyckats ta sig förbi brandväggen in till maskinen utan användarens vetskap skulle en IDS kunna triggas för att varna
användaren om att någonting suspekt händer i systemet. [39]
Det finns olika typer av Intrusion Detection Systems:
Statistical Anomaly detection: Denna samlar ihop data och bygger upp en profil över vad
för aktiviteter en legitim användare utför på en dator. Profilen ger då en överblick över
vad som användaren normalt utför på datorn. Profilen används för att kunna avgöra om
det som sker i systemet är normalt eller om det är suspekt. [39]
Ett exempel på detta är en användare som i normala fall surfar på webben, redigerar bilder
och använder streamingtjänster. Om denna användare börja att försöka komma åt skyddade systemfiler kan detta beteende jämföras med den datan som finns i profilen. Då detta
skiljer sig drastiskt emot vad som är normalt beteende i systemet, skulle då intrusion detection systemet reagera och larma om att någonting inte stämmer.[39]
Det kan dock vara svårt i vissa fall att avgöra om det är något som sker eller om användaren endast bytt rutiner och då triggar systemet utan att göra något illasinnat.
Rule-based detection: I denna sätts regler upp för att identifiera vad som är normalt beteende och vad som inte är det. Denna är i sin tur uppdelad i två underkategorier. I den
första kategorin sätts regler för vad som är normalt beteende och sedan används detta för
att upptäcka beteende som skiljer sig ifrån detta. Den andra använder regler av säkerhetsexperter. Reglerna definierar vad som är typiskt beteende för en som försöker bryta sig in
i systemet och ger då larm om något stämmer överens med dem. [39]
En IDS stoppar inga attacker och kan inte heller förhindra dem från att ske. Den måste
vänta till dess att någonting har skett i systemet innan en IDS upptäcker det. Ett system
som däremot kan skydda och förhindra en attack är en IPS (intrusion prevention system).
IPS kan självt ändra exempelvis brandväggsregler för att stoppa ett intrång och även hindra dem från att ske igen.[39]
Som hemanvändare kan det vara svårt att hitta en IDS då många riktar in sig mot enterprise och företag istället för privata kunder. De finns dock inbyggda i en del anti-virus
mjukvaror.
5.3
Anti-virus
Anti-virus är en mjukvara för att leta upp och oskadliggöra skadlig kod på datorn. Exempel på illasinnad kod kan vara trojaner och virus. Det finns olika tekniker ett anti-virus
17
kan använda för att upptäcka skadlig kod nedan listas de tre vanligaste.
Signatur baserad:
Ett virus är ett skadligt program som följer med och gömmer sig i legitima program för
att förhindra att den blir upptäckt. Virus är programmerade att infektera flera filer och på
det viset sprida sig vidare. För att viruset ska veta vilka filer som redan är infekterade kan
det använda en signatur som skrivs dit i infekterade filer. Signaturen används för att viruset inte ska infektera den redan infekterade filen en gång till. Signaturbaserade anti-virus
använder sig av en databas som innehåller kända virus signaturer för att leta upp viruset.
Anti-viruset går igenom filerna för att försöka hitta kända signaturer för att sedan kunna
eliminera viruset.[39]
Heuristiska anti-virus:
Denna typ av anti-virus använder till skillnad ifrån signaturbaserad anti-virus istället beteende för att identifiera virus. Heuristiska anti-virus letar efter beteenden som är typiska för
virus för att kunna motverka dem. Exempel på beteende som anti-viruset skulle reagera
på är att ett program börjar kopiera sig till slumpmässiga filer i datorn. Det är få legitima
program som skulle göra på det sättet utan det är istället ett väldigt typiskt beteende för
ett virus.[39]
Moderna anti-virus använder både signaturbaserade och heuristiska detekteringsmetoder
för att hitta skadlig kod. De använder även nyare metoder där de låter programmen starta
i en skyddad miljö för att kontrollera vad programmet kommer göra. På det sättet kan
viruset upptäckas och stoppas innan det har körts i den riktiga miljön där viruset skulle
kunnat skada något. [39]
5.4
VPN
VPN (Virtual Private Network) är en metod att på ett säkert sätt skicka data krypterat
genom en virtuell tunnel över publika eller privata nätverk. VPN går att bygga genom
att koppla en enhet till ett privat nätverk genom en gateway eller koppla hela nätverk
mellan varandra vilket gör att en säker överföring går att upprätta mellan privata nätverk
[45].
Det kan finnas flera anledningar till att använda VPN beroende på vad personen ska använda det till. Exempel på detta kan vara personer som via sin anställning har möjlighet
att kunna jobba utanför arbetsplatsens privata nätverk. Den publika platsen skulle kunna
vara ett hotellrum som erbjuder internet via trådlöst nätverk. Personen som vill komma
åt företagets interna resurser står då inför problemet att varken hotellets nätverk eller de
nätverken som går mellan personen och företaget kan anses som tillräckligt säkert för att
skicka data genom. VPN erbjuder då möjligheten att skapa en säker anslutning genom
att använda en kryptera tunnel. Tunneln kommer göra all data som skickas mellan personen och företaget oläsligt för eventuella försök att avlyssna kommunikationen. Därmed
kommer data kunna skickas säkert mellan personen och företaget. [46]
Följande metod fungera även över betydligt större installation. Det kan röra sig om företag
som har geografiskt åtskilda kontor. Den enda möjliga kommunikation för dem går över
publika nätverk som exempelvis internet. I detta fall kan en VPN-tunnel säkert överföra
18
data genom att upprätta en konstant virtuell tunnel där företagets data säkert kan skickas
mellan de geografiskt åtskilda kontoren [47]. Den finns en rad olika typer av VPNs tillgängligt beroende på användarens behov. Varje typ kan ha fördelar samt nackdelar och
begränsningar beroende på vilken hårdvara eller mjukvara användaren använder:
PPTP VPN:
PPTP (Point-to-Point Tunneling Protocol) är ett vanligt använt VPN protokoll. VPN samarbetar med GRE (Generic Routing Encapsulation) protokoll för att skapa tunneln som
trafiken skickas genom. En av anledningarna varför PPTP är ett väldigt populärt protokoll
att använda är för att det inte kräver något certifikat. Det innebär att PPTP inte har möjlighet att ge någon sekretess eller kryptering för den som använder protokollet. PPTP har
även stöd för alla Windows plattformar. PPTP förlitar sig på tredje parts program för att
uppnå sekretess samt kryptering av data under transport [48] [49].
Site-to-site VPN:
Site-to-site VPN används för att koppla samman hela företag eller geografiskt skilda kontor. Det finns två typer av site-to-site VPN. Intranet-based där företag med olika geografiska platser kan koppla samman sina LAN för att kunna komma åt resurser i hela företaget
säkert. Extranet-based där företag skapar en säker anslutning mellan varandra och skapar
ett externt nät. I det externa nätet kan resurser delas och samtidigt hålla kontoren åtskilda
från varandras intranät[45].
L2TP VPN:
L2TP (Layer 2 Tunneling Protocol) är ett tunnelprotokoll i VPN. L2TP själv har inget
stöd för kryptering utan förlitar sig på andra program för att kryptera trafiken som sedan
skickas genom tunneln [47].
IPSec
IPsec har utvecklats för att för att säkra upp möjligheten att ge användaren konfidentialitet
och integritet samt autentisering. IPSec kan använda två olika protokoll för att uppnå denna säkert. ESP-protokollet som sköter autentisering samt kryptering genom att använda
kryptografiska algoritmer. Algoritmer som HMAC-SHA1 och 3DES samt AES används
för att skydda användarens data från att läsas under transport. AH-protokollet har inte
möjlighet att kryptera men kan användas för att skapa autentisering för användaren. Både
ESP samt AH kan kombineras för att användas under VPN session mellan två enheter
[47].
OPENVPN:
OpenVPN skiljer sig från de redan skrivna VPN teknikerna då det är byggd på öppen
källkod GLP 2 och har stöd för de vanligaste operativsystemen som; Linux, Mac OS X,
Microsoft Windows, Android och IOS. OpenVPN använder sig av OPENSSLs bibliotek
för autentisering av användaren samt kryptering. På grund av att OpenVPN använder
just SSL är den inte kompatibel med IPSec, L2TP, eller PPTP. [50] [51] I och med att
OpenVPN är licensfritt är det vanligt att privatpersoner använder det för att det finns till
flera olika operativsystem. Klientmjukvaran är oftast gratis att använda samt har stöd för
19
en rad olika krypteringsstandarder. [52].
5.5
Skydd från tjänsteleverantören
Även om en stor del av åtgärderna för att öka sin säkerhet ligger hos användaren finns det
mycket som ägaren av det publika nätverket kan göra för att säkra det ytterligare.
Det finns troligtvis två varianter av utrustning som leverantören kan välja. De två varianterna är antingen en vanlig router avsedd för privatpersoner eller enterprise utrustning
som är köpt och installerade av ett företag som specialiserat sig på lösningar för publika
trådlösa nätverk. Det som skulle kunna avgöra vad för utrustning som leverantören väljer
är troligtvis en budgetfråga. Då det är dyrare att köpa in enterprise utrustning än att köpa
in en router avsedd för privatpersoner för att kunna erbjuda kunder trådlöst nätverk.
Enterprise utrustning: Denna typ är avsedd för att användas just för publika wifi-nät och
har därmed högre säkerhet. De kan exempelvis separera alla klienterna i det trådlösa nätverket vilket bidrar till att de ej kan komma åt varandra och därmed göra vissa attacker
omöjliga. Har en användare en utdelning aktiv i det trådlösa nätverket kan denna inte hittas eftersom att de är separerade i olika nätverk. Det finns en hel del alternativ för mindre
företag där de köper eller hyr utrustning av exempelvis thecloud.net. Detta företag har
färdigkonfigurerad hårdvara som ägaren av exempelvis butiken bara behöver koppla mot
nätet. När det är utfört har de en anslutning som sköts av thecloud.net. Saker som de kan
konfigurera är reklambild för företaget när någon ansluter till nätet. Samt även filter till
vilka sidor som en användare ska få ansluta till. I Enterprise utrustning finns även tekniker för att upptäcka rogue access points samt inbyggda tjänster som IPS och IDS. [53][54]
Utrustning avsedd för privatpersoner: De enklare routrarna eller accesspunkterna för privatpersoner har inte samma typ av säkerhet som enterprise utrustning. De separerar inte
användarna i nätet vilket öppnar för attacker mot varandra. Företaget måste även byta alla
lösenord i routern själv och ställa in krypteringen på det trådlösa. Detta kan vara svårt för
någon som inte har kunskapen eller kännedom om riskerna som finns i dåligt konfigurerat
nätverk. Om de inte byter standardlösenord för inloggningen till administrationsgränssnittet i routern kan någon som känner till detta standardlösenorden ändra och potentiellt
sabotera nätverket.[55][56]
5.6
Sammanställning av attacker mot skydd
Resultatet påvisar att VPN är det enda av de listade skydden som faktiskt skyddar mot
alla attackerna. De andra skydden hjälper inte mot de typer av attacker som finns listade i
rapporten.
20
Figur 9: Attacker mot skydd
Tabellen (Figur: 9) visar att det enda som egentligen skyddar mot man-in-the middle
attacker är en VPN anslutning. Det är då brandväggarna och IDS samt anti-virus är tänkta
att skydda angrepp utifrån som ska in till datorn eller mot hot som finns i datorn och ej
utanför. Även om OpenVPN tillhör kategorin VPN bör den ej användas på grund av att
den använder SSL/TLS. Mitmproxy är specialiserad på att dekryptera och läsa av SSL.
Den VPN som bör användas av de listade VPN är L2TP med IPsec som kryptering.
21
6
Analys
Att besluta om en anslutning till ett publikt trådlöst nätverk bör upprättas eller ej borde
inte vara ett lätt beslut. Varje användare måste göra en riskanalys där behovet att få tillgång till internet vägs mot att utsätta sig för eventuella risker. Det är aldrig en lätt uppgift
om inte full tillgång till nätverksuppbyggnad eller den tekniska kunskapen finns att tillgå.
För att överhuvudtaget kunna ta beslutet att ansluta måste säkerhet mot tillit till nätverket
också övervägas. Användaren måste se till att företaget eller personen som tillhandahåller nätverket går att lita på. Saker som bör vara med i denna beräkning är vilken typ av
säkerhet nätverket har. Om nätverket exempelvis använder WEP som kryptering och inte
WPA2 bör användaren överväga om det överhuvudtaget är säkert nog att ansluta till.
Användare måste överväga följande punkter innan de ansluter till ett publik trådlöst nätverk:
1. Tilliten till nätverket/ägare
2. Säkerheten på nätverk
3. Vad ska göras när nätverket är anslutet
Som resultatet påvisar är det endast VPN som på ett lyckat sätt kan skydda mot de listade
attackerna. I detta stycke kommer attackerna och skydden att analyseras samt påvisa varför resultaten visade att VPN var det enda som ger tillräckligt skydd. Det är också viktigt
att välja rätt typ av VPN för att skydda sig mot attackerna. Då alla former av VPN ej har
skydd mot avlyssning utan måste förlita sig på tredjeparts program för att kunna säkra
datan med kryptering.
Användaren måste även se till vad uppkopplingen ska användas till. Om det är känslig
information som bankärende påvisar resultatet att det endast är VPN som på ett lyckat
sätt kan skydda mot de listade attackerna.
6.1
Rogue access point
En rogue access point attack bygger på att attackeraren får användaren att ansluta till en
falsk accesspunkt. Det görs genom att namnge accesspunkten ett namn som kan misstas
för att vara en del av det legitima nätverket hos exempel ett hotell eller ett café. På detta
sätt kan attackeraren lura användaren att ansluta sig fel.
Attacken är inte utformad att attackera användarens enhet direkt utan att istället analysera
och redigera data när det passerar genom den fientliga enheten. Det kommer att innebära
att personliga brandväggar, anti-virus och andra typer av IDS som är konstruerade för att
skydda mot direkta attacker utifrån klientens enhet samt hot inne i enheten inte kommer
att skydda mot attacken som sker utanför enheten.
Företag som erbjuder trådlöst nätverk kan ge extra säkerhet till användaren genom att
verifiera sig. Det görs enklast genom att ge en autentiseringsmetod. Detta är något som
inte skulle fungera för en rogue access point då färre kommer att kunna ansluta sig till den
om ett lösenord krävs för att få ansluta. Det minimerar antalet potentiella offer i attacken.
22
För att säkerställa att användarens data inte blir avlyssnad under transport ska kryptering
användas. VPN erbjuder detta genom att skicka data genom en krypterad tunnel mellan
två fasta punkter. Då VPN använder olika typer av protokoll måste användaren välja en
som är säkert nog att använda när data ska skickas över ett publikt nätverk. Om en för dålig
krypteringsalgoritm används ökar risken för att attackeraren med tiden ges möjlighet att
läsa data som skickas genom VPN tunneln. Detta är dock förutsatt att attackeraren har
möjligheterna och resurserna att knäcka nyckeln och det ges då möjlighet att utläsa att
dataanvändaren försöker skicka säkert.
6.2
Evil twin attack
En Evil twin attack bygger på att skapa en exakt kopia av en redan existerande access
punkt i nätverket. Det som är den stora skillnaden mellan en Evil twin attack och en Rogue access point är att Evil twin tar över identiteten för en legitim access punkt. Rogue
access point däremot kan existera tillsammans med den legitima accesspunkten.
Evil twin kan användas på flera olika sätt. Ett av sätten är att kopiera både SSID namnet
samt MAC adressen för den riktiga accesspunkten och låta den finnas tillgänglig vid sidan
om den riktiga accesspunkten. Om attackeraren har starkare signal än den riktiga kommer
offrens enheter att ansluta till attackerarens. En annan version av attacken är att attackeraren försöker inaktivera den riktiga access punkten genom att skicka falska förfrågningar
eller information till access punkten tills den inte kan hantera fler förfrågningar.
Denna attack är endast en annan variant av rogue access point. Vilket gör att samma typ
av skydd fungerar. Eftersom att denna typ av attack har ingen direkt påverka på användarens enhet. Innebär det att skydd på enheten som brandvägg och antivirus samt IDS
inte kommer kunna skydda mot denna typ av attack eftersom deras design är att skydda
nätverket från hot inom enheten eller yttre hot som försöker ta sig in. Trafiken måste ha
ett skydd när det lämnar enheten, om trafik kan läsa i klartext kommer attackeraren kunna
läsa data användaren inte vill dela med sig av olika anledningar. En form att kryptering
skulle i teorin lösa detta problem med de skydd som har presenteras är det endast VPN
som fyller det kriteriet.
6.3
Mitmproxy
Mitmproxy används tillsammans med antingen Rogue access point eller Evil twin och
används för att dekryptera SSL/TLS anslutningar för att kunna ta del av datan som skickas.
Mitmproxy kan endast dekryptera SSL/TLS trafik och det kan endast utföras om certifikatet har accepterats. Denna attack har samma principer som övriga. Inga attacker sker direkt mot klienten utan allt sker utanför. Det gör att brandvägg och anti-virus samt IDS blir
verkningslösa. VPN som krypterar datan som skickas genom Mitmproxyn är det skyddet
som fungerar mot detta.
23
6.4
Arp-spoofing
I Arp-spoofing luras offrets enhet att skicka paket till fel enhet genom att attackeraren utger sig för att vara någon annan och på detta vis kunna åstadkomma en man-in-the middle
attack. För att upptäcka denna attack måste arp-tabellen övervakas för att kunna upptäcka
förändringar i den. Om enhetens gateway får en helt annan MAC kan det vara en signal
på att någon tagit gatewayens identitet.
En brandvägg kan inte upptäcka det då brandväggen ej håller någon kontroll på arptabellen och kan därmed ej förhindra denna attack. Anti-virus har inte heller koll på arptabellen vilket gör att även den är verkningslös emot arp-spoofing. En IDS skulle kunna
upptäcka en sådan attack. Dock har ej några källor kunnat bekräfta det vilket gör att även
denna är verkningslös. VPN kan inte förhindra själva attacken men den kan göra attacken
verkningslös. Även om paketen skickas till fel nod i nätverket kan den ej läsas av då den
krypteras. Vilket innebär att VPN bör användas även mot denna attack.
24
7
Diskussion
Vi ville undersöka vad för olika man-in-the middle attacker som en användare kan bli
utsatt för i ett publikt trådlöst nätverk. För att sedan kunna utreda vilka av de mest grundläggande skydden som förhindrar de attackerna. Även om en användare både medvetet
eller omedvetet har skydd som brandvägg eller antivirus tillgängliga på sina enheter finns
det fortfarande användare som inte alltid känner till att de är utsatta. Attackerna är i många
fall dåligt dokumenterade i form av skrivna akademiska rapporter medan skydden är mer
dokumenterade i den formen.
De olika hoten som kan finnas för en användare som ansluter till ett publikt trådlöst nätverk är sådana som att det trådlösa nätverket kan vara dåligt konfigurerat. Exempel på det
kan vara att det publika trådlösa nätverket kan vara konfigurerat med för låg kryptering
eller helt utan kryptering. Vilket innebär att det inte går att säkerställa vem som kan se
datatrafiken som skickas genom det trådlösa nätverket.
De olika attacker som en användare kan utsättas för är sådana som:
1. Arp-spoofing
2. Rogue access point
3. Evil twin
Det finns flera attacker än de som är med i denna studie men de har uteslutits eftersom att
denna studie har fokus på de som kan leda till en man-in-the middle attack där användaren
riskerar att få sina känsliga uppgifter stulna.
Av de skydd som togs upp i studie var det endast VPN som kunde ge skydd mot de listade
attackerna. Dock måste rätt typ av VPN användas för att säkra anslutningen då allt typer
av VPN inte använder kryptering för att skydda användarna från att få sina meddelande
kapade eller lästa.
7.1
Problemlösning
Denna studie har som mål att öka förståelsen för riskerna som finns med publika trådlösa
nätverk för den vanliga användaren utan någon större teknisk bakgrund. Genom att påvisa
de attacker som användaren kan utsättas för hoppas vi att det ska kunna öka försiktigheten hos dem när de väljer att ansluta sig till publika trådlösa nätverk. Genom att påvisa
attackerna har även vanliga skydd granskats för att se om de skyddar mot de attacker som
är med i studien.
Många av attackerna är nästan omöjliga för användaren att veta om hen blir utsatt för
vilket gör det ännu svårare för användaren att skydda sig mot dem. Får användaren ingen
varning om att någonting är fel är det svårt att skydda sig.
Det visade sig att vanliga tjänster som brandvägg och anti-virus inte skyddar emot de påvisade attackerna. De är helt verkningslösa emot dem. Dock så skyddar de självklart mot
25
andra former av attacker än de som är med i denna studie.
För att kunna skydda sig från de man-in-the middle attackerna som tagits upp i studien ska
en VPN-tjänst användas. Det borde, hos de som använder eller har planer på att använda
publika trådlösa nätverk, vara ett måste att använda en VPN för att ens data säkert ska
kunna komma fram utan att den blivit förändrad eller sparad. Utan VPN ges attackeraren
möjlighet att spara ner inloggningsuppgifter och liknande för att vid en annan tidpunkt
använda dem.
Det går självt att sätta upp en VPN till sitt nätverk hemma eller om användaren inte kan
eller vill göra detta finns det färdiga VPN tjänster att köpa. Fördelen är att det går att
använda VPN till flera olika typer av enheter, allt ifrån mobiler till datorer.
De källor som vi utgått ifrån har tagit upp risker med man-in-the middle. Dock påvisar
de inte hur det är tänkt att skydda sig mot man-in-the middle vilket denna rapport har
tagit upp. Det behövs även göras tester för att säkerställa att VPN inte kan blockeras eller
förfalskas som det är möjligt med access punkter och om nu det skulle vara fallet vad det
finns för lösning att förhindra det.
7.2
Metodreflektion
I och med att inga egna tester gjordes för rapporten måste vi förlita oss på att den informationen från studier och andra källor är korrekt för att sedan göra en bedömning om
skydden kontra attacken. I och med att attackerna kunde utföras på många olika sätt hade
det varit svårt att täcka in alla. Det var då bättre att framhäva endast en version i rapporten. En allt för teknisk rapport hade inte heller varit lämplig då rapporten är tänkt att vara
riktad mot den vanliga användaren. Då det inte garanterat kan sägas att rapporten kommer
vara förståelig av alla som läser den måste risken med att ansluta sig till ett publik nätverk
via wifi tydligt framgå. Även det fakta att mer traditionsenliga skydd som anti-virus och
brandvägg som i flesta fall kommer med vid köp av en enhet inte kan erbjuda något skydd
vid en man-in-the-middle attack av typen som redovisas i rapporten. I och med att studien
är teoretisk framtagen utifrån det fakta som studerats och utifrån författarnas kunskap och
syn på både attackerna och skydd, skulle inget bättre sätt finnas att analysera relationen
mellan skydden samt attackerna utan att genomföra egna tester.
26
8
Avslutning
Efter att ha läst denna studie bör en användare ha ökande kunskaper om riskerna i publika trådlösa nätverk och vilka tjänster som bör användas för att skapa en säker anslutning.
8.1
Slutsats
Användare idag är väldigt mobila, vi röra oss mer idag med utrustning som kräver mer och
mer kommunikation mellan varandra än förut. Det gör varje användare till en potential mål
för attackera att komma över intressant data. Publika nätverk idag kan vara bra hjälpmedel
för användaren som vill att sin utrustning ska ha tillgång till internet eller nå externa källor
som inte är möjliga utan tillgång till någon form av nätverk. Man-in-the-middle attacker
är extra farliga på grund av att de inte kan upptäckas av standardiserade skydd idag som
brandvägg eller antivirus och kan resultera i att användare kan bli avlyssnade i många
fall utan att veta om det. Som studien har visat i teorin skyddar VPN mot de av attacker
som studien tagit upp. VPN ger ett extra skydd som i teorin ger användaren säkerhet mot
avlyssning av sitt data när den lämnar enheten.
8.2
Förslag till fortsatt forskning
Fortsatt forskning inom detta område skulle kunna vara att testa de attacker som tagits
upp i denna studie och även testa skydd mot de attackerna. Attacker mot publika trådlösa nätverk som inte är man-in-the middle skulle kunna tas upp och skydd testas mot
dem.
27
Referenser
[1] W. Lewis, LAN switching and wireless : CCNA exploration
companion guide., ser. Cisco Networking Academy series.
Indianapolis,
Ind.
:
Cisco,
cop.
2008,
2008.
[Online].
Available: http://proxy.lnu.se/login?url=http://search.ebscohost.com/login.aspx?direct=
true&db=cat00750a&AN=lineu.469189&site=eds-live&scope=site
[2] A. H. Mindi McDowell and M. Lytle. (2013) Security tip (st05-003). US-CERT is
part of the Department of Homeland Security.
[3] D. Sutta. (2014, 09) How hackers are using free wi-fi to steal your
information. CBS Miami. [Online]. Available: http://miami.cbslocal.com/2014/09/
23/how-hackers-are-using-free-wi-fi-to-hack-your-phone/ [Kontrollerad: 2015-0604]
[4] B. Russell. (2014, 11) Hackers shut down sony pictures’ computers and are blackmailing the studio. The Verge. [Online]. Available: http://www.theverge.com/2014/
11/24/7277451/sony-pictures-paralyzed-by-massive-security-compromise [Kontrollerad: 2015-05-12]
[5] fin24.com.
(2015,
05)
How
hackers
exploit
hotel
wifi. fin24.com. [Online]. Available: http://miami.cbslocal.com/2014/09/23/
how-hackers-are-using-free-wi-fi-to-hack-your-phone/ [Kontrollerad: 2015-06-04]
[6] mobidia. (2015, 01) How can our network data help your business? The Verge.
[Online]. Available: http://www.mobidia.com/analytics/network-data [Kontrollerad:
2015-05-17]
[7] Cisco. (2015, 02) Cisco visual networking index: Global mobile data traffic forecast update 2014–2019 white paper,. Cisco. [Online]. Available: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/
visual-networking-index-vni/white_paper_c11-520862.html [Kontrollerad: 201506-07]
[8] E. Inc. (2015, 05) Hotels. Expedia Inc. [Online]. Available: http://sv.hotels.com/
[Kontrollerad: 2015-05-17]
[9] Konferensvärlden.se. (2015, 06) Gratis wi-fi viktigast på hotellet. Konferensvärlden.se. [Online]. Available: http://www.konferensvarlden.se/nyheter/
gratis-wi-fi-viktigast-pa-hotellet.htm [Kontrollerad: 2015-06-04]
[10] L. Erik and V. H. Joachim. (2014, 07) Säkerhet i öppna wifi-nätverk. en
studie om hur användares medvetenhet om säkerhetsrisker vid interaktion med
öppna wifi-nätverk kan ökas,. IT-universitetet i Göteborg. [Online]. Available:
http://hdl.handle.net/2077/36459 [Kontrollerad: 2015-05-14]
[11] E. K. Attipoe. (2013, 08) End user’s perception about security of the public wireless
network,. Department of Computer Science University of Cape Coast Cape Coast.
[Online]. Available: http://www.ijsacs.org/vol2issue8/paper61.pdf [Kontrollerad:
2015-05-17]
[12] O. Josh, E. L. Wagner, and P. M. P. Talbert. (2008, 09) Hotel
network security: A study of computer networks in u.s. hotels. Cornell.
28
[Online]. Available: http://scholarship.sha.cornell.edu/cgi/viewcontent.cgi?article=
1104&context=chrpubs [Kontrollerad: 2015-04-10]
[13] M.-W. Park, Y.-H. Choi, J.-H. Eom, and T.-M. Chung, “Dangerous wi-fi
access point: attacks to benign smartphone applications.” Personal Ubiquitous Computing, vol. 18, no. 6, pp. 1373 – 1386, 2014. [Online]. Available: http://proxy.lnu.se/login?url=http://search.ebscohost.com/login.aspx?direct=
true&db=afh&AN=97178365&lang=sv&site=eds-live&scope=site
[14] S. Vishal. (2011, 09) Scanned wireless network setup fake access point its detection.
San José State University. [Online]. Available: http://scholarworks.sjsu.edu/cgi/
viewcontent.cgiarticle=1191&context=etd_projects [Kontrollerad: 2015-04-10]
[15] F. Linus and A. J. Pernilla. (2012, 08) ”jag blir nervös utan min mobil”. Dagens Nyheter. [Online]. Available: http://www.dn.se/arkiv/lordag-sondag/
jag-blir-nervos-utan-min-mobil [Kontrollerad: 2015-06-04]
[16] B. Marshall, W. Tracy V, and B. Johnson. (2015, 01) How wifi works. TU-Dresden.
[Online]. Available: http://computer.howstuffworks.com/wireless-network1.htm
[Kontrollerad: 2015-04-20]
[17] (2015) Ieee standard association. IEEE. [Online]. Available: http://standards.ieee.
org/ [Kontrollerad: 2015-05-10]
[18] (2011) Networking basics: What you need to know. Cisco. [Online]. Available: http://www.cisco.com/cisco/web/solutions/small_business/resource_center/
articles/connect_employees_and_offices/networking_basics/index.html [Kontrollerad: 2015-05-20]
[19] (2015) How do hubs, switches, routers, and access points differ?
Microsoft. [Online]. Available: http://windows.microsoft.com/en-us/windows/
hubs-switches-routers-access-points-differ#1TC=windows-7 [Kontrollerad: 201505-20]
[20] S. Institute. (2003, 10) An overview of wireless security issues,. TUDresden. [Online]. Available: http://www.sans.org/reading-room/whitepapers/
wireless/overview-wireless-security-issues-943 [Kontrollerad: 2015-04-20]
[21] S. Rosenblatt. (2013, 04) Top wi-fi routers easy to hack, says study,. Cnet. [Online].
Available: http://www.cnet.com/news/top-wi-fi-routers-easy-to-hack-says-study/
[Kontrollerad: 2015-06-07]
[22] B. Martin and T. Erik. (2008, 10) Practical attacks against wep and wpa,.
TU-Dresden. [Online]. Available: http://dl.aircrack-ng.org/breakingwepandwpa.pdf
[Kontrollerad: 2015-04-20]
[23] F. Scott and S. Itsik, Mantin och Adi. (2001) Weaknesses in the key scheduling
algorithm of rc4,. Cisco systemes. [Online]. Available: http://saluc.engr.uconn.edu/
refs/stream_cipher/fluhrer01weaknessRC4.pdf [Kontrollerad: 2015-04-21]
[24] T. Erik, W. Ralf-Philipp, and P. Andrei. (2007) Breaking 104 bit wep in less than 60
seconds,. Cisco systemes. [Online]. Available: http://link.springer.com/content/pdf/
10.1007%2F978-3-540-77535-5_14.pdf [Kontrollerad: 2015-04-20]
29
[25] Nintendo. (2015, 04) Nintendo ds and wireless security compatibility (wep
wpa),. Nintendo. [Online]. Available: http://www.nintendo.com/consumer/wfc/en_
na/ds-security.jsp [Kontrollerad: 2015-04-20]
[26] Wireless
security
protocols
–
how
wpa
and
wpa2
work.
techtarget. [Online]. Available: http://searchnetworking.techtarget.com/tip/
Wireless-security-protocols-How-WPA-and-WPA2-work [Kontrollerad: 2015-0420]
[27] Tkip
(temporal
key
integrity
protocol).
techtarget.
[Online].
Available:
http://searchnetworking.techtarget.com/tip/
Wireless-security-protocols-How-WPA-and-WPA2-work [Kontrollerad: 2015-0420]
[28] F. Glenn and E. Adam C, Take Control of Your Wi-Fi Security, 1st ed.
Publishing, Inc, 2009.
CTidBITS
[29] F. Information. (2001, 11) Advanced encryption standard (aes). Federal Information
Processing Standards Publication 197. [Online]. Available: http://csrc.nist.gov/
publications/fips/fips197/fips-197.pdf [Kontrollerad: 2015-04-21]
[30] (2015) Kali linux tools listing. Offensive Security. [Online]. Available: http:
//tools.kali.org/tools-listing [Kontrollerad: 2015-04-10]
[31] (2014) Scanned wireless network setup fake access point its detection. Mitmproxy
project. [Online]. Available: http://mitmproxy.org/doc/index.html [Kontrollerad:
2015-04-15]
[32] (2014) How mitmproxy works. Mitmproxy project. [Online]. Available: http:
//mitmproxy.org/doc/howmitmproxy.html [Kontrollerad: 2015-04-15]
[33] L. Phifer. Anatomy of a wireless “evil twin” attack. Core Competence,
Inc. [Online]. Available: http://www.watchguard.com/infocenter/editorial/27061.
asp [Kontrollerad: 2015-04-20]
[34] AnirudhAnand.
Man
in
the
middle
attack
using
evil
twins
in kali-linux! [Online]. Available: http://www.security.securethelock.com/
man-in-the-middle-attack-using-evil-twins-in-kali-linux/ [Kontrollerad: 2015-0420]
[35] A. Lockhart, Network Security Hacks, 2nd Edition Tips Tools for Protecting Your
Privacy , 2nd ed. O’Reilly Media, 10 2006.
[36] About ettercap. Ettercap Project. [Online]. Available: http://ettercap.github.io/
ettercap/about.html [Kontrollerad: 2015-04-20]
[37] R. A. Grimes. (2015, 05) Get real about user security training. infoworld. [Online]. Available: http://www.infoworld.com/article/2920804/security/
get-real-about-user-security-training.html [Kontrollerad: 2015-06-04]
[38] C. A. Rusen. (2014, 9) Lesson 3: Customizing your network sharing
settings. Howtogeek. [Online]. Available: http://www.howtogeek.com/school/
windows-network-sharing/lesson3/all/ [Kontrollerad: 2015-06-04]
[39] W. Stallings and B. R. Chandavarkar, Network security essentials. [electronic resource] : applications and standards., 5th ed. Boston : Pearson, [2014], 2014.
30
[40] tweakservers.com. (2011, 12) Risk of expired ssl certificate. tweakservers.com.
[Online]. Available: http://www.tweakservers.com/risk-of-expired-ssl-certificate/
[Kontrollerad: 2015-06-04]
[41] K. Aseem. (2013, 12) Why you should no longer be using windows xp. Onlinetech-tips. [Online]. Available: http://www.online-tech-tips.com/computer-tips/
longer-using-windows-xp/ [Kontrollerad: 2015-06-04]
[42] S. Tina. (2012, 04) 3 reasons why you should be running the latest windows security
patches updates. Makeusof. [Online]. Available: http://www.makeuseof.com/tag/
3-reasons-running-latest-windows-security-patches-updates/ [Kontrollerad: 201506-04]
[43] D. Ido and N. Wes, Firewall Fundamentals, 1st ed.
San Jose: Cisco Press, 2006.
[44] Microsoft. (2009) How to enable authenticated firewall bypass. Microsoft. [Online].
Available: https://technet.microsoft.com/sv-se/library/cc753463%28v=ws.10%29.
aspx [Kontrollerad: 2015-04-21]
[45] T. Jeff and C. Stephanie. (2011) How vpns work. howstuffworks. [Online].
Available: http://computer.howstuffworks.com/vpn.htm [Kontrollerad: 2015-04-20]
[46] Microsoft. (2015) What is vpn? Microsoft. [Online]. Available: https://technet.
microsoft.com/sv-se/library/cc739294%28v=ws.10%29.aspx [Kontrollerad: 201505-21]
[47] Cisco.
(2015)
How
virtual
private
networks
work.
Cisco.
[Online]. Available: http://www.cisco.com/c/en/us/support/docs/security-vpn/
ipsec-negotiation-ike-protocols/14106-how-vpn-works.html [Kontrollerad: 201505-21]
[48] A. Chris, A. Andrew, D. Omar, and Guy.
[49] F. Jazib, S. Omar, and O. Andrew, Cisco ASA: All-in-One Next-Generation Firewall,
IPS, and VPN Services, Third Edition, 3rd ed. Cisco Press, 2014.
[50] OpenVPN. (2013) Openvpn community software,. OPENVPN.
[51] ——. (2013) Openvpn community software,. OPENVPN.
[52] P. Zaborszky. (2013) 5 best vpns for openvpn,. BESTVPN.
[53] Cisco. (2007, 09) Rogue detection under unified wireless networks. Cisco.
[Online]. Available: http://www.cisco.com/c/en/us/support/docs/wireless-mobility/
wireless-lan-wlan/70987-rogue-detect.html [Kontrollerad: 2015-04-20]
[54] Aerohive. (2015) Building secure wireless lans. Aerohive. [Online]. Available:
http://www.aerohive.com/solutions/applications/secure.html [Kontrollerad: 201504-20]
[55] H. Michael. (2007, 04) Home routers can be dangerous. very
dangerous. [Online]. Available: http://michaelhorowitz2.blogspot.se/2007/03/
home-routers-can-be-dangerous-very.html [Kontrollerad: 2015-06-04]
[56] H. Ken. (2008, 04) Defending your router, and your identity, with a password
change. Davescomputertips. [Online]. Available: http://www.davescomputertips.
31
com/why-you-should-change-the-default-username-and-password-on-your-router/
[Kontrollerad: 2015-06-04]
[57] M. A. Dye, R. McDonald, and A. W. Rufi, Network fundamentals : CCNA exploration companion guide., ser. CCNA exploration companion guide. Indianapolis, Ind.
: Cisco Press ; London : Pearson Education [distributor], 2007, 2007. [Online]. Available: http://proxy.lnu.se/login?url=http://search.ebscohost.com/login.aspx?direct=
true&db=cat00750a&AN=lineu.468599&site=eds-live&scope=site
32
A
Bilaga 1
Använda sökmotorer och sidor vid artikelsökande:
• http://ieeexplore.ieee.org/Xplore/home.jsp
• Onesearch (http://lnu.se/ub/soka/artiklar–databaser/onesearch)
• http://ieeexplore.ieee.org
• http://dl.acm.org/dl.cfm
• http://books.google.se
• http://ulrichsweb.serialssolutions.com
• http://scholar.google.se/
• http://tools.ietf.org/html/
• https://www.safaribooksonline.com/
A
B
Bilaga 2
Att tänka på innan anslutning mot ett publikt trådlöst nätverk sker:
1. Uppdatera alltid datorn med senaste uppdateringar (detta utförs innan hemmet lämnas)
2. Kontrollera att Anti-virus är igång samt uppdaterat
3. Kontrollera så att brandväggen i datorn är aktiverad
4. Kontrollera så att platsen du är på faktiskt har ett nätverk. Om det inte finns något
skulle någon eventuellt kunna ha placerat ut en Rogue access point i närheten
B
C
C.1
Bilaga 3: Ordlista
MAC:
En MAC-adress är 48-bitar lång och skrivs med hexadecimalt talsystem. MAC-adresser
används på Lokala nätverk (LAN) för att veta till vilken enhet data ska skickas. Alla enheter har unika MAC-adresser. [57]
C.2
Stream Cipher:
Ett vanligt Stream Cipher är ett skiffer designat för att kryptera eller dekryptera text och
data.[39] För en illustration av ett stream cipher se figur 10.
Figur 10: Illustration av stream cipher [39]
C.3
Checksummor:
En checksumma är en matematisk uträkning av innehållet i en fil eller data. De används
för att säkerställa att data inte har ändrats under transport. Det finns olika algoritmer för
att räkna ut värdet. [39]
I figur 11 kontrolleras checksumman av filen testfil med algoritmen sha1 och får ut en
unik checksumma.
Figur 11: Checksumma av fil innehållandes texten 1234
I figur 12 kontrolleras checksumman av samma fil med algoritmen sha1 men nu är innehållet i filen ändrad och checksumman blir därför annorlunda.
C
Figur 12: Checksumma av samma fil. Denna gång med innehållet 1235
C.4
Blockstorlek:
En blockstorlek är ett antal tecken eller bitar av bestämd storlek. Större blockstorlek ökar
säkerheten då fler tecken får plats.
D