docPublika trådlösa nätverk: Man-in
download 
Report Transcription
Publika trådlösa nätverk: Man-in
Examensarbete inom datavetenskap Publika trådlösa nätverk Man-in-the middle attacker och skydd June 23, 2015 Författare: August W INBERG Författare: Stefan Å BERG Handledare: Oskar P ETTERSSON Examinator: Jacob L INDEHOFF Termin: VT2015 Ämne: Datavetenskap Nivå: G1E Kurskod: 1DV41E Sammanfattning Åtkomst till internet via trådlösa nätverk ses som en självklarhet för användare med tillgång till mobil, dator eller annat typ av utrustning som kan skicka eller mottaga datatrafik. Det har gjort att utvecklingen samt tillgängligheten av trådlösa nätverk har blivit mer utbredd. Antingen via privatpersonens egna hem, via sin arbetsplats eller skola samt företag som bedriver tillfälliga boende som hotell, café eller andra platser som erbjuder internet via sitt privata nätverk. Med den ökade tillgängligheten ökar även säkerhetsrisken för användaren antingen från yttre hot där användare vill få tillgång till andra användares data eller direkt attack från ägaren av nätverket. Användare kan känna sig säkra med de skydd som finns tillgängliga som exempel antivirus och brandvägg men i och med att ansluta till ett publika nätverk kan en rad nya säkerhetshot uppstå i former av man-in-the middle attacker mot användaren. Lyckade attacker skulle kunna resultera i att användare blir avlyssnade eller bestulen på känsliga information och eventuellt utan att användare märker av det eller innan det är försent. En litteraturstudie har genomförts för att undersöka säkerheten för användaren på platser som erbjuder en tjänst att få tillgång till internet via en accesspunkt. Studien ska se över de säkerhetshot som finns när användare ansluter trådlöst till ett publikt nätverk, vilka hot som kan riktas mot användaren som använder nätverket och slutligen vilka tjänster som finns tillgängliga för användaren för att öka sin säkerhet vid användning av nätverket. Nyckelord: Network Security, Public Network, Wireless Security, Man-in-the middle, Publika trådlösa nätverk, Trådlösa nätverk Abstract Access to the internet through wireless networks are seen as a matter of course for users with access to a mobile phone, computer, or other type of equipment that can send or receive data traffic. It has resulted in the development and availability of wireless networks has become greater. Either through the private person’s own home, through their workplace or school, enterprises engaged in temporary accommodation such as hotels and other public areas that offers Internet access via its private network, such as cafes. There is also an increasing security risk for the user, either from external threats where users want to gain access to other user’s data or direct attack from the owner of the network. Successful attacks could result in that users will be intercepted or stolen sensitive information, and potentially without the user noticing it or before it is too late. A literature review has been carried out to investigate the safety of the user at sites that offer a service to access the Internet through an access point. The study will review the security threats that exist when users connect wirelessly to a public network, the threats that may be directed against the user who uses the network. Keywords: Network Security, Public Network, Wireless Security, Man-in-the middle, Public wireless networks, Wireless networks i Innehåll 1 2 3 4 5 6 Introduktion 1.1 Inledning . . . . . . 1.2 Tidigare forskning . . 1.3 Problemformulering . 1.4 Frågeställning . . . . 1.5 Begränsning . . . . . 1.6 Målgrupp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1 2 3 3 3 4 Metod 2.1 Sökprocessen . . . . . . . . . . . . 2.2 Dataanalys . . . . . . . . . . . . . . 2.3 Urvalsprocess av attacker och skydd 2.4 Metoddiskussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5 5 5 6 Teori 3.1 Wifi . . . . . . . . . . . . . . . 3.2 Hårdvara . . . . . . . . . . . . . 3.2.1 Router . . . . . . . . . . 3.2.2 Accesspunkt . . . . . . 3.3 Anslutningsmöjligheter . . . . . 3.3.1 WEP . . . . . . . . . . 3.3.2 WPA . . . . . . . . . . 3.3.3 WPA2 . . . . . . . . . . 3.3.4 Publika trådlösa nätverk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 7 7 7 8 8 8 8 9 9 Resultat 4.1 Attacker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.1 Rogue access point . . . . . . . . . . . . . . . . . . . . . . . 4.1.2 Attackens utförande . . . . . . . . . . . . . . . . . . . . . . 4.2 Mitmproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Evil twin attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4 Attacker mot ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.1 Arp spoofing eller Arp poisoning . . . . . . . . . . . . . . . 4.5 Misstag av användaren . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.1 Nätverksutdelningar och ange osäkra nätverk som hemnätverk 4.5.2 Ignorerar certifikat varningar . . . . . . . . . . . . . . . . . . 4.5.3 Icke uppdaterad dator och antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 9 10 10 11 12 12 13 14 14 14 15 . . . . . . 16 16 17 17 18 20 20 Analys 6.1 Rogue access point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 22 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Skydd 5.1 Brandvägg . . . . . . . . . . . . . . . . 5.2 IDS . . . . . . . . . . . . . . . . . . . 5.3 Anti-virus . . . . . . . . . . . . . . . . 5.4 VPN . . . . . . . . . . . . . . . . . . . 5.5 Skydd från tjänsteleverantören . . . . . 5.6 Sammanställning av attacker mot skydd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 6.3 6.4 Evil twin attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mitmproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arp-spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 23 24 7 Diskussion 7.1 Problemlösning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Metodreflektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 25 26 8 Avslutning 8.1 Slutsats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2 Förslag till fortsatt forskning . . . . . . . . . . . . . . . . . . . . . . . . 27 27 27 A Bilaga 1 A B Bilaga 2 B C Bilaga 3: Ordlista C.1 MAC: . . . . . C.2 Stream Cipher: C.3 Checksummor: C.4 Blockstorlek: . C C C C D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Introduktion Denna rapport kommer att handla om risker i publika trådlösa nätverk. Vilka risker som finns samt vilka av de vanligaste skydd som kan skydda mot attackerna. 1.1 Inledning Idag har många människor en livsstil som är väldigt mobil. Människan är inte längre tvingad till att befinna sig på en arbetsplats eller i sitt hem för att komma åt data från arbetsplatsen eller privat data i hemmet. Denna utveckling har medfört stora möjligheter men också stora potentiella risker mot användare och företag som vill utnyttja den nya tekniken. [1] Till skillnad mot vanligt trådbundet nätverk ger trådlöst nätverk ökade risker då det är ett medium som färdas i luften. Det ger en möjlighet för obehöriga att på avstånd lyssna av trafiken och även påverka den. I ett trådbundet nätverk går en nätverkskabel till varje klient som är ansluten till nätverket. För att kunna ansluta till det trådbundna nätverket måste alla som ansluter ha tillgång till ett uttag och en kabel för att få tillgång till nätverket. I ett trådlöst nätverk räcker det att någon har en enhet som stödjer trådlöst nätverk för att kunna ansluta till det trådlösa nätverket. Det är alltså svårare att kontrollera vilka som kan ansluta till det trådlösa nätverket. [2] En skillnad mellan publika trådlösa nätverk och privata trådlösa nätverk är att vem som helst kan ansluta till det publika. Det kommer att resultera i sämre kontroll över vilka som ansluter till det publika och därmed öka risken för användare som är ansluta. I och med att öppna nätverk i många fall inte har ett lösenord räcker det att ansluta sig till nätverket för att få tillgång till internet. Det kan dock vara svårt för användaren att veta exakt vilket nätverk som användaren är ansluten till. [1] Om en användare eller ett företag skulle bli utsatt för en attack kan konsekvenserna bli stora. En privatperson skulle potentiellt kunna få sitt kreditkort kapat och då få stora ekonomiska problem. En attackerare skulle även kunna komma åt användarens inloggningsuppgifter och eventuellt skriva dokument i offrets namn som bidrar till att offrets privatliv blir lidande. Om en attackerare lyckas få åtkomst direkt till filerna i offrets dator kan privata bilder läcka ut på hemsidor. I värsta fall skulle offret kunna bli utpressad av en attackerare på grund av den data som användaren har blivit bestulen på.[3] Företag kan bli utsatta för allt ifrån Denial of Service attacker mot deras hemsidor som gör att besökare ej kan nå dem. Även företag kan bli utsatta för direkta intrång på deras servrar. Vid intrången kan en attackerare förstöra eller stjäla data vilket kan bli väldigt kostsamt för företaget. Det kan även vara att en grupp kommer åt inloggningsuppgifter till andra sidor som i en attack mot Sony pictures [4]. I attacken mot Sony Pictures läcktes ofärdiga filmer ut, E-post från chefer och även lösenord till sociala medier. Detta är ett exempel på vad som kan hända om en obehörig lyckas ta sig in i ett företagsnätverk. Platser som erbjuder tillgång till internet via deras nätverk är inte de enda som utsätter 1 sig för risker genom att tillåta okända användare att ansluta till nätverket. Även användare som väljer att ansluta enheter till nätverket utsätter sig för risk. I och med att tekniken utvecklas vill användare kunna använda fler mobila tjänster som finns i deras vardag. Allt ifrån bankärende till att skicka meddelande mellan varandra. Detta har gjort att tjänster och tekniker för att tillfredsställa användarnas behov har utvecklas för att komma åt denna typ av information. Antingen direkt riktade attacker mot användare eller mot ett helt nätverk.[5][3] Telefonoperatören Mobidia har sammanställt hur data transporteras hos sina användare. Hela 62% använder wifi för att få tillgång till internet där resterande 38% använder tjänster som 3G eller 4G via mobilanätverk för att skicka data. [6] Enligt Cisco växte den mobila enheter med 7.4 miljarder 2014 och de räknar med att växa till 11.5 miljarder till 2019. Om Ciscos beräkningar stämmer kommer en ökning av anslutna enheter till nätverk inom de närmaste åren, antingen via mobila nätverk, wifi eller kabel att ske [7]. Hotell är ett exempel på företag som idag förutom boende erbjuder tillgång till internet via wifi. En sökning via hotels.com visar att en majoritet av hotellen som kommer upp erbjuder tillgång till internet via trådlöst nätverk [8]. Användare som använder enheter med begränsad datakvot via mobila nätverk som 4G kan använda wifi eller kabel för att inte slösa på denna. Tillgång till internet via wifi kan därför vara lockande vid boende på hotell.[9] En förberedande undersökning utfördes för att säkerställa att detta stämmer. Samtal till tio olika hotell runt om i Sverige bekräftade att alla erbjöd internet av de tillfrågade erbjöd wifi som tjänst vid frågan "Erbjuder ni wifi?". Utöver hotell finns det en rad offentliga platser som erbjuder liknande tjänster i form av wifi. Övriga platser som erbjuder trådlös uppkoppling i form av wifi till kunder och besökare är platser som caféer och restauranger. Flygplatser är också vanliga platser att erbjuda trådlösa nätverk som är tillgängliga för besökande av platsen. Vissa bibliotek erbjuder även de trådlös uppkoppling till besökare. Det finns studier som visar att användare oftast inte är medvetna om vilka säkerhetsrisker de utsätter sig för genom att ansluta till öppna eller slutna nätverk, antingen genom direkt kabel eller wifi [10] [11] . 1.2 Tidigare forskning En studie av 147 stycken hotell i USA utförd av elever ifrån Cornell från 2008 påvisade att det där fanns risker i hur nätverken var designade. I deras studie visade det sig även att det fanns hotell som fortfarande använde sig av hubbar istället för switchar vilket drar ner säkerheten på nätverket. De påvisar också att det var långt ifrån alla hotell som tillämpade VLAN i sitt nätverk.[12] En annan studie som används som utgångspunkt påvisar riskerna med att ansluta till okända nätverk och konsekvenserna det kan ha[13]. I studien användes Android telefoner. De valdes ut då Android under studien var det vanligaste mobila operativsystemet. I denna studie kunde de ändra reklamen som visades på mobilen genom att utföra en man-in-the 2 middle attack. Några av attackerna som nämns i studien går att applicera på mer än endast Android telefoner samt att de går att använda i hotellnätverk. Saurabh Vishal har skrivit en studie där hoten med en Rogue access point tas upp. Denna studie kommer använda en del av Saurabh Vishals studie för att påvisa de hot som tas upp i denna studie. [14] 1.3 Problemformulering Uppsatsen kommer att granska i teorin vilka risker som potentiellt finns i publika trådlösa nätverk. De attacker som kommer vara i fokus för denna studie är man-in-the midddle attacker utförda mot trådlösa nätverk. 1.4 Frågeställning 1. Vilka hot finns det för användare som ansluter till publika trådlösa nätverk? 2. Hur kan en man-in-the middle attack utföras i trådlösa nätverk? 3. Vilka tjänster finns det att skydda sig mot de listade attackerna? 1.5 Begränsning Avgränsningar och begränsningar i undersökningen: 1. Den publika tilldelningen av internet kommer att ske via trådlöst-nätverk i teorin. Anledningen till att just trådlöst nätverk har valts ut är att det är svårt att överblicka vilka som faktiskt är inkopplade till det. Vilket ökar risken för att någonting skulle kunna ske. 2. Målet med attackerna ska vara att samla in data och inloggningsuppgifter. Därför har vissa attacker uteslutits. Exempel på uteslutna attack är Bruteforce attacker samt Denial-of Services. 3. De enheter som kommer vara målet för attackerna är smartphones samt Windows PC. Windows Pc:n kommer att ha brandvägg samt Anti-virus installerat. Windows PC har valts ut då det är vanligaste operativsystemet på datorer under studien. Smartphones är en enhet som många människor har tillgång när de är på resande fot och där med en vanlig enhet att ha med sig på publika platser.[15] 4. Exploits kommer uteslutas ur studien. Exempel på detta är exploits som baseras på ej patchad mjukvara eller hårdvara som är felkonstruerad. De utesluts då attackerna i studien ej har fokus på buggar i mjukvara utan intrång via trådlösa nätverk. Studien hade blivit för omfattande om Exploits skulle tas med. 5. Studien utgår ifrån attacker som går att utföra via det trådlösa nätverket. Switchar och rackskåp ska ej gå att komma åt av attackeraren. Det finns inte heller möjlighet för attackeraren att koppla in sig i nätverket via nätverkskablar. Trådlöst har valts för att fler enheter är anslutna via trådlöst på exempel hotell där i många fall det finns som gratis, erbjudande eller ingår i priset vid bokning av hotel för att locka till sig gäster [8]. 3 1.6 Målgrupp Målgruppen för denna studie är personer med begränsad teknisk kunskap inom det skrivna området. De har valts ut då de är mindre medvetna om risker och därmed mer benägna att bli utsatta för attacker. Tanken med rapporten är att ge läsaren teoretiska kunskaper om några av hoten som kan förekomma då de ansluter sig mot publika trådlösa nätverk. Studien kommer även ge inblick i några av de vanligaste skydden som används samt vilka skydd som i teorin kan användas för att säkra sin anslutning när uppkoppling mot publik nätverk förekommer. 4 2 Metod En litteraturöversikt har utförts för att få en översiktlig bild av vilka hot en användare utsätter sig för genom att ansluta till publika nätverk. Studien kommer även att ta upp de vanligaste skydden och analysera dem mot attackerna för att kunna avgöra vilka skydd som fungerar mot attackerna. Information har samlats in genom att undersöka vilka kända hot där användare kan utsättas för en man-in-the-middle attack. I och med framtagningen av attackerna har även de vanligaste skydden tagits fram för att teoretisk jämföra ifall det är möjligt att skydda sig mot attacken. Studien har haft fokus på man-in-the-middle attacker då de kan vara svåra för användaren att upptäcka. Alla teoretiska attacker kommer att utgå ifrån ett teoretiskt trådlöst nätverk där svagheter i hårdvara eller svagheter i mjukvaruversioner ej kommer att tas med. Utan endast kända attacker av typen man-in-the-middle mot ett trådlöst nätverk. Varje attack och skydd kommer att analyseras i teorin hur de förhåller sig till varandra och hur författarna ser på möjligheten att skydda sig med de skydd som har tagit fram och vilka risker användare utsätter sig för genom att komma i kontakt med hoten. 2.1 Sökprocessen I sökprocessen har sökmotorer används. De har varit inriktade på akademiska artiklar samt fackmaterial. Även publicerade böcker som tar ämnen som nätverkssäkerhet och skydd. Databaser som användes för att hitta material finns i bilaga A. Sökfraser som används för att hitta material var i början fraser som “Network Protection”, “Man-in-the middle”. Andra sökord som “IDS” och “Firewall” samt “Evil twin attack” är exempel som har framkommit under studiens tid. 2.2 Dataanalys I sökningen efter man-in-the middle attacker samt skydd har många artiklar hittats, dock har de haft fokus på ej implementerade skydd. De påvisar exempelvis hur algoritmer kan användas för att hitta man-in-the middle attacker. Kraven för vår studie är att skydden mot attackerna redan ska gå att implementera, därav har de artiklarna valts bort i urvalet. Istället har böcker från kända utgivare (exempelvis; William Stallings, Cisco, Microsoft) används för att hitta information om attackerna. 2.3 Urvalsprocess av attacker och skydd De attacker som valts ut har fokus på att de ska vara möjliga att utföra med tillgång till trådlöst uppkoppling i form av wifi. Attacken ska klassas som en man-in-the-middle attack eller ge möjlighet att utföra en man-in-the middle. Syftet med attacken ska vara att fånga upp känslig data från användaren eller ges möjlighet att förändra data under transport. Samma attack kan ha flera olika namn men utföras på samma sätt, i rapporten har de namn som förekommit mest under sökningarna används. För att hitta attackerna har 5 tryckt material används som källor. Till dem menas material som vetenskapliga rapporter, publicerade böcker, konferens material och artiklar används. I studien har även misstag av användaren tagits upp. Den delen används för att påvisa vad en användare skulle kunna göra för att potentiellt öppna upp sig för en attackerare och ge möjlighet att ta sig in i datorn eller ges ökade möjligheter att utföra en attack mot användaren. Denna del sticker ut ifrån övriga attacker då det inte är attacker utan endast är tänkt att ge en överblick för användaren om vad resultaten kan bli om hen inte vet om detta. Skydden har valts ut först efter att attackerna har valts ut. De mest kända skydden för persondatorer har valts ut för att försöka förhindra att attacken kan genomföras eller att minimera risken för att bli utsatt för en attack. Inga egna attacker har under arbetets gång konstruerats utan det är endast redan kända attacker som har tagits med. 2.4 Metoddiskussion Under studiens tid har endast ett fåtal attacker kunnat tas fram att jämföra mot skydd analyserats. Varje attack har analyserats separat och jämfört med de skydd som finns tillgängliga i teorin utifrån de studie och underlag som har varit möjliga att få fram om respektive skydd och hot. Även här har inte alla typer av skydd varit möjliga att ta med på grund av studiens begränsade tid. Skydden är endast i teorin skyddande mot attackerna och är endast det genom hur författarna har tolkat information om skyddet samt attacken. Anledningen till att fokus har varit på man-in-the middle är att de ej kräver attacker direkt mot enheten utan endast behöver befinna sig i samma nätverk. I en man-in-the middle attack kan även uppgifter samlas ihop och användas av attackeraren vid ett senare tillfälle vilket för offret kan innebära att hen inte vet vart eller när uppgifterna blev stulna. 6 3 Teori Följande information kommer ge en grundläggande teoretisk förståelse för hur trådlöst nätverk som tjänst fungerar. Samt de möjliga hot som enheter utsätter sig för genom att ansluta till nätverket. Slutligen kommer de skydd användare kan implementera för att skydda sig att tas upp. 3.1 Wifi Idag ses möjligheten till trådlöst internet som en självklarhet. Det är svårt att hitta en router för konsumentbruk som inte har stöd för trådlöst nätverk detta i och med att vi blir mer mobila och inte längre är stationerade till en och samma arbetsplats. Med denna teknik förväntas människor kunna göra de saker som görs framför en stationär dator även göra via en mobil enhet uppkopplad mot trådlöst nätverk. Vid datorn idag kan mycket känslig information hanteras. Det kan vara sådant som bankärenden eller företagsdokument som inte får lämna företaget. Eller andra dokument eller tjänster som kräver sekretess hantering. I och med att detta behov har utvecklats har även nya säkra standarder, produkter och tjänster tagits fram för att möta behoven. [16] Institiute of Electrical and Electronics Engineers (IEEE) har tagit fram standarder som används när enheter behöver kommunicera via trådlöst lan. Att ha en och samma standard världen över ger möjligheten för produkter att vara kompatibla. IEEE har släppt en rad olika standarder för hanteringen av trådlösa lokala nätverk. Några av de mest kända är 802.11a som ger möjlighet att sända data över 5.2GHz bandet samt 802.11b som ger möjlighet att skicka data över 2,4GHz bandet. [17] 3.2 Hårdvara För större mer komplicerade nätverk krävs en rad fler enheter för att skapa ett fungerande nätverk som switch och dedikerad brandvägg. De kommer inte tas upp i denna studie. 3.2.1 Router Router är en enhet i ett nätverk vars uppgift är att ge datorer möjligheten att kommunicera mellan varandra över nätverk. Routers kan komma i flera olika typer beroende på vad produkten ska användas till. En sådan enhet kan både hantera vanliga nätverksanslutningar samt trådlösa anslutningar. I många fall finns även brandvägg inbyggd i dem. Brandväggen bestämmer över trafiken som passera genom routern. Routrar tillverkas både till hemmabruk för vanliga användare och till företag som hanterar stora mängder nätverkstrafik. [18] [19] 7 3.2.2 Accesspunkt En accesspunkt eller access point ger möjlighet för enheter att ansluta till ett nätverk trådlöst. Om ett trådlöst nätverk sträcker sig över ett större geografisk område kommer en person med en trådlös enhet kunna förflytta sig inom det området. Om personen rör sig utanför en accesspunkts räckvidd med enheten kommer nästa accesspunkt ta över när enheten flyttar sig till räckvidden för den andra accesspunkten. På detta sätt kan trådlösa enheter alltid vara ansluten över en större yta förutsatt att accesspunkterna når dit. [19] 3.3 Anslutningsmöjligheter I och med att mer känslig data skickas genom trådlösa nätverk har kravet för att kunna skicka data på ett säkert sätt ökat. På grund av detta har en rad säkerhetsmekanismer samt tjänster för att besvara detta behov utvecklats. Allt från säkerhetsnycklar för att kunna ansluta till trådlösa nätverk samt att kryptera trafiken innan den skickas via luften. Med det ständigt ökande behovet av säkerhetslösningar har även utvecklingen av nya samt mer avancerade attackmöjligheter mot trådlösa nätverk ökat. [20] [21] 3.3.1 WEP När trådlös överföring som teknik blev möjlig blev det även möjligt att ansluta mot nätverket om enheten var i räckvidd till mottagaren. Utan någon typ av autentisering samt utan kryptering blev det en möjlighet att avlyssna trafiken mellan två enheter genom luften. WEP (Wired Equivalent Privacy) var den första algoritm vars uppgift var att säkra upp anslutningen mellan mobila enheter och accesspunkter. WEP tillhör IEEE 802.11 standarden och går att hitta både i hos privatpersoner samt företag och andra typer av organisationer som har behov av skicka data trådlöst[22]. RC4 var designat av Ron Rivest 1987 och är känt som ett stream cipher (förklaring av stream cipher finns i bilaga C). WEP med RC4 fungerar genom att både mottagare och avsändare delar samma gemensamma nyckel. Denna nyckel används för att kryptera och dekryptera data skickad mellan mottagare och sändare. WEP har en rad brister i säkerheten som publicerades våren 2001 av Scott Fluhrer, Itsik Mantin och Adi Shamir. Problemet med WEP är att själva nyckeln endast är ett par bitar lång och när data har gått genom RC4 kommer ett mönster att bildas och algoritmen kan efter en tid knäckas[23]. En studie publicerades 2007 där författarna påpekar att det är möjligt att knäcka 104 bitars WEP under 60 sekunder [24]. WEP anses idag inte vara ett säkert protokoll att använda men går fortfarande att hitta i nätverk på grund av produkter som fortfarande idag endast har stöd för WEP [25]. 3.3.2 WPA Utifrån de kända problem med WEP fanns behovet att ersätta protokollet med en säkrare kryptografiskmetod utan att enheter som då körde WEP skulle behöva byta hårdvara. IEEE började bygga en förbättrad version av 802.11 (802.11i). Istället för att vänta på att den skulle bli färdig släppte Wi-fi alliance Wi-fi protected Access (WPA) som är baserad på 802.11i [26]. WPA var designat att ge högre säkerhet genom att använda TKIP (Temporal key Integrity Protocol) för att undvika att hårdvara skulle bli tvungen att bytas ut 8 för enheter som redan körde WEP. WPA var byggt för att adderas till WEPs redan existerande källkod. Detta gjorde det möjligt för WPA att kryptera varje datapaket med en unik krypteringsnyckel och på detta sätt uppnå en högre säkerhet jämfört med WEP [27]. WPA ger även möjlighet för användning av checksummor (förklaring av checksummor finns i bilaga C) för att säkra dataintegriteten när data skickas över trådlösa nätverk kallat MIC (Message integrity check) [26]. 3.3.3 WPA2 IEEE 802.11i standarden som var grunden till WPA blev färdig mitten av 2004 och med det godkändes av IEEE. I början av 2005 uppdaterade the Wi-fi Alliance WPA till WPA2. Med namnuppdateringen tillkom en rad olika förändringar. Den mest noterbara förändringen är den krypteringsalgoritm som används i WPA2. WPA använder RC4 medan WPA2 använder AES. AES står för Advanced Encryption Standard och krypteringen är en säkrare kryptering än RC4 [28]. AES är en standardiserad krypteringsalgoritm av typen substitutions-permutations krypto. AES har möjligheten att använda kryptografiska nyckel längder på 128, 192, 256 bitar för kryptering och dekryptering av data i 128 bitar blockstorlekar (för förklaring se bilaga C) [29]. Både WPA samt WPA2 har stöd för WPA-Personal och WPA-Enterprise beroende på routerns funktion. 3.3.4 Publika trådlösa nätverk Publika trådlösa nätverk skiljer tekniskt inte någonting ifrån ett hemmanätverk eller ett företagsnätverk. De utnyttjar samma sorters krypteringsalgoritmer exempelvis WPA eller WPA2 och samma typer av utrustning som accesspunkter och routers. Det som dock skiljer är att publika trådlösa nätverk är avsedda för att ge alla tillfälliga besökare eller kunder nätverksuppkoppling via wifi. I ett hemnätverk och ett företagsnät är uppkopplingen endast avsedd för vissa personer.[1] I det publika trådlösa nätverket vet den som ansluter ingenting om vilka andra som kan ansluta eller är ansluta för tillfället. Säkerheten i det kan också vara svårt för besökaren att få reda på. Det som går att se är vad för krypteringsalgoritm som används. 4 Resultat I resultatet presenteras de attacker samt skydd som har framkommit under studiens tid. Varje attack och skydd presenteras för att sedan sammanställas för att påvisa vilket som fungerar mot vilken attack. 4.1 Attacker I ett nätverk där alla enheter ansluts till varandra med kablar är det lättare att ha kontroll på vilka som får ansluta till detta nätverk. Antalet som kan ansluta begränsas av antalet uttag det finns. Det går även att stänga av uttag som är svåra att övervaka för att få mer kontroll på nätverket.[1] 9 I trådlösa wifi nätverk kan denna begränsning vara svårare då det räcker med att vara tillräckligt nära routern eller accesspunkten för att få möjlighet att ansluta till nätverket. Detta betyder att en potentiellt illasinnad inte behöver vara i samma lokal som sina offer för att få möjlighet att utföra en attack. Det räcker att vara inom nätverkets räckvidd. Det ges flera möjligheter för attackeraren att ostört kunna attackera nätverket och även lura andra att ansluta till attackerarens nätverk beskrivet i stycke 2.4 samt 2.4.3. 4.1.1 Rogue access point En Rogue access point är en accesspunkt som ej ska finnas där. De är oftast uppsatta av personer med illasinnade avsikter. Exempel på en rogue access point kan vara att ett företag som har ett legitimt trådlöst nätverk plötsligt får ett trådlöst nätverk som existerar parallellt med deras. Det är uppsatt utan administratören av nätverkets godkännande eller vetskap. Rogue access points kan även finnas på platser som inte har wifi-nät, det kan till exempel vara caféer som saknar trådlöst nätverk. En rogue access point kan då namnges till caféets namn för att få folk tro att det är ett legitimt nätverk som erbjuds av företaget och därmed är riskfritt att ansluta till.[14] De sätts upp i syfte att få folk att ansluta till dem. När ett offer har anslutit till nätverket kan hen bli utsatt för en man-in-the middle attack. Trafik kan då avlyssnas för att få tag på exempelvis lösenord och inloggningsuppgifter till olika sidor. Datapaketen kan även modifieras vilket kan leda till att användaren får felaktig data tillbaka. Då det är vanligt med trådlösa nätverk idag kan det vara svårt att veta vilka som är äkta och vilka som är förfalskade. Saurabh Vishal påvisar att det är relativt enkelt att sätta upp en sådan rogue access point vilket ökar hotet ännu mer.[14] Figur 1: Bild på Rogue Accesspunkt 4.1.2 Attackens utförande Förberedelser: 1. En bärbar dator med ett trådlöst nätverkskort samt en uppkoppling mot internet via 3g eller 4g används som hårdvara för attacken. Mobila uppkopplingen via 3g eller 4g är till för att kunna agera router och få offren att ansluta till de tjänster som de vill komma åt. Genom att sätta upp en fungerande internet anslutning kan flera tjänster 10 nås och då potentiellt ge fler lösenord att spara ner. Offret kommer sannolikt att stanna kvar längre om uppkopplingen mot internet fungerar. 2. Linux distributionen KALI Linux (tidigare Backtrack) har en stor mängd verktyg som kan användas för att utföra en Man-in-the middle attack[30]. 3. Ett av verktygen som går att använda är mitmproxy[31]. Programmet är utvecklat för att kunna läsa och ändra http förfrågningar samt dekryptera HTTPS. Den går förbi SSL krypteringen genom att självt agera Certificate Authority och skapa ett eget certifikat.[31] Denna attack kommer använda mitmproxy (stycke 4.2) för att dekryptera SSL/TLS trafik. Det är ett extra steg för att få bättre resultat vid insamlandet av lösenord och annan känslig data. Utan mitmproxy kommer endast vanlig okrypterad http trafik från hemsidor samt annan okrypterad trafik att kunna läsas av. Stegvis beskrivning av attacken: 1. Den bärbara datorn konfigureras som en Rogue Access point. Trafik som kommer in på det trådlösa nätverkskortet får passera genom laptoppen till den mobila 3g eller 4g uppkopplingen. 2. För att få offren att ta emot certifikatet konfigureras en Captive Portal där de som vill använda det trådlösa nätverket måste ta emot certifikatet. Certifikatet är skapat av mitmproxy. 3. Sedan startas mitmproxy och attackeraren väntar på att någon ska ansluta. 4. Den som ansluter till accesspunkten kommer att gå till en portal där de måste ladda ner ett certifikat för att få fortsätta. 5. Eftersom att de har attackerarens certifikat kommer all SSL-trafik att kunna dekrypteras när den passerar den bärbara datorn. 6. Innan SSL-trafiken lämnar den bärbara datorn krypteras den igen utan att offret märker vad som har hänt då offret godkänt certifikatet. Enligt enheten som används är detta giltig trafik och det ser ut som om krypteringen når ända till webbservern som den är ansluten till.[32] 4.2 Mitmproxy Mitmproxy är en proxy utvecklad för att kunna läsa och ändra på http requests. Det finns även funktioner för att återsända gamla packet (även kallad replay-attack). Den är helt skriven i Python vilket gör att egna konfigurationer kan läggas till samt stora delar kan automatiseras via Python. När en vanlig http request skickas vidarebefordrar endast mitmproxyn förfrågan. Eftersom att det är okrypterad trafik kommer den att kunna läsas av från början. [31] Det som sker när någon kopplar upp sig till en https anslutning via mitmproxy är följande: 11 1. En ”GET-request” skickas till webservern för att hämta rätt html fil på webservern. En vanlig proxy skickar bara vidare SSL anslutningen mellan servern och klienten till skillnad mot mitmproxy. [32] 2. När en ”CONNECT” förfrågan kommer in till mitmproxy pausas klientens förfrågan i mitmproxy. [32] 3. Mitmproxyn gör en anslutning till servern som klienten har skickat connecten till. Mitmproxyn slutför därefter SSL-Handskakningen mot servern och har då en krypterad anslutning till servern. [32] 4. Där efter utförs en SSL-handskakning mot klienten där det är mitmproxyns egna certifikat som godkänner anslutningen. Vilket resulterar i en krypterad anslutning som för offret ser ut att sträcka sig hela vägen till servern. [32] 5. Mitmproxy kan nu läsa och ändra all trafik som går genom den.[32] 4.3 Evil twin attack Det som skiljer en rogue access point mot en evil twin är utförandet. De baseras på samma teknik med ett undantag som skiljer dem åt. En rogue access point sätts upp som accesspunkt på ett ställe oavsett om det redan finns en existerande accesspunkt. I en evil twin attack kopierar angriparen SSID och MAC-Adress från en legitim trådlös accesspunkt och kan då ta över identiteten för accesspunkten. Offrets enhet kommer inte att kunna skilja på den förfalskade accesspunkten och den äkta. Attackeraren kan även attackera den ursprungliga accesspunkten och störa ut den. Genom att störa ut den legitima accesspunkten vars identitet har blivit stulen finns endast evil twin accesspunkten kvar att svara på förfrågningar. Det ökar chanserna för attackeraren genom att fler kommer ansluta till attackerarens accesspunkt då den legitima inte kommer kunna svara. [33] [34] Denna attack är svår att skydda sig emot. Eftersom att identiteten för en legitim accesspunkt som ska finnas där har stulits. De som administrerar nätverket har inte någon aning om att det är något märkligt med nätverket. Det är under förutsättningen att deras legitima accesspunkt inte varnar om att något är felaktigt. En rogue access point som är uppsatt på ett ställe där det ursprungligen inte finns något trådlöst nätverk blir lättare att upptäcka. Detta då det dykt upp någonting som inte ska finnas där. Om en legitim identitet tas över verkar det som om den legitima enheten finns där. 4.4 Attacker mot ARP ARP (Adress Resolution Protocol) är ett protokoll som används för att koppla samman MAC-adresser (förklaring för MAC finns i bilaga C) med en IP-adress på ett lokalt nätverk. En MAC-adress används på datalänkskiktet för att skicka data mellan klienter. När en klient ska skicka data till en IP-adress på ett lokalt nätverk kommer detta paket att kapslas in till en frame för att sedan skickas till den MAC som motsvarar IP-adressen. För att hålla reda på vilken IP-adress som tillhör vilken MAC-adress används en ARP-tabell. Arp-tabellen innehåller två kolumner, en med IP-adresserna och en med MAC-adresserna (se figur 2 ).[35] 12 Figur 2: Arp tabell I figur 3 ska Klient A skicka data till Klient B. Klient A vet vilken IP som klient B har men inte vilken MAC-adress som ska användas då detta saknas i ARP-tabellen. Klient A kommer då att skicka ut en ARP request (figur 4) som broadcast Lager 2 till adressen FF:FF:FF:FF:FF:FF. Eftersom att det skickas som broadcast kommer alla noder på samma nätverksegment att ta emot detta och kontrollera IP-adressen i ARP queryn. Endast den datorn som har rätt IP-adress kommer att svara på denna query med ett arp reply (figur 5). Klient A uppdaterar sin ARP tabell genom att koppla MAC-adressen för Klient B till klientens IP. [35] Figur 3: Arp scenario Figur 4: Arp Request [35] Figur 5: Arp reply [35] 4.4.1 Arp spoofing eller Arp poisoning Målet med attacken är en man-in-the middle där ett offer luras att skicka data till någon annan än exempelvis routern i nätverket. Denna data kan sedan läsas av och ändras. Attacken utnyttjar hur ARP fungerar. En stor svaghet är att det är statless protokoll och har därmed ingen hantering för att kontrollera om en request har skickats. Den tar med andra ord emot reply även om en request inte har skickats ut. En potentiell attackerare kan skapa sina egna replys utan att någon request skickats för att ta någons identitet i nätverket. Genom att veta vilken MAC adress och IP en enhet har, exempelvis en gateway har kan gatewayens identitet stjälas. På det viset skulle gatewayens identitet i nätverkets stjälas för att få all trafik som ska ut ifrån nätverket skickat till sig. [35] En programvara utformad för att kunna utföra Arp-Spoofing attacker är Ettercap. Denna programvara stöds av en rad olika Linux distributioner samt olika BSD system. [36] 13 4.5 Misstag av användaren Användaren som ansluter till nätverket kan av olika skäl i vissa fall självt öppna upp för en attack. De skäl grundar sig till en stor del i okunskap. De kan vara extra farliga då användaren i vissa fall ha gjort inställningar eller godkänna val som användare ej förstår konsekvenserna av. Nedan följer exempel på saker som kan öka sårbarheten på en användares dator. [37] 4.5.1 Nätverksutdelningar och ange osäkra nätverk som hemnätverk En användare har på sin dator delat ut en katalog till alla i sitt hemnätverk på datorn. Rättigheterna är inställda att alla som ansluter till utdelningen har fulla rättigheter i den. Denna användare tar sedan med sig datorn till hotellet där den kopplar upp sig på hotellets nätverk. När datorn har anslutit kommer en fråga upp om vad det är för nätverk som datorn anslutits till. Det finns olika profiler för brandväggen som är ”privat nätverk” (figur 6) vilket öppnar upp datorns brandvägg mer än vad som är lämpligt i publika trådlösa nätverk. Figur 6: Privatnätverksprofilen i brandväggsinställningar ”Gästnätverk eller offentligt nätverk” (figur 7) är nästa profil. Denna profil tillåter mycket färre anslutningar in till datorn och blockerar även fildelningar vilket är önskvärt i en miljö där säkerheten är okänd. Figur 7: Gäst eller offentligtnätverks profilen i brandväggsinställningar Om användaren anger nätverket som ”privat nätverk” när Windows frågar om anslutningen. Kommer brandväggen att öppna sig mer än vad som är rekommenderat. Det skulle kunna leda till att användaren får bilder och dokument ifrån utdelningen stulna. I värsta fall skulle en potentiell attackerare kunna ladda upp filer till utdelningen som innehåller virus och skadlig kod för att senare få access till datorn. [38] 4.5.2 Ignorerar certifikat varningar Alla de hemsidor som använder SSL eller TLS kryptering innehar ett certifikat. Certifikatet innehåller information om hemsidan för att kunna verifiera att hemsidan är den korrekta användaren har anslutit sig till. Certifikaten är unika för varje sida och kan därför 14 ej finnas på flera. Om en användare ansluter till en hemsida med HTTPS berättar certifikatet för webbläsaren att den har kommit till rätt sida. Om användaren har anslutit till en webbsida som ej överensstämmer med certifikatet kommer webbläsaren att visa en varning om certifikatfel för användaren. [39] I figur 8 visas en varning för att sidan använder ett certifikat som blivit återkallat och inte är aktuellt längre. Figur 8: Certifikatsvarning i Internet Explorer 11 En känd sida med certifikatfel skulle kunna vara en illasinnad webbsida för att lura användaren till att ange sina inloggningsuppgifter genom att ta utseendet ifrån den legitima. Om användaren väljer att fortsätta förbi varningen riskerar användaren att få sin trafik avlyssnad eller komma till en felaktig sida. Sidor med certifikatfel bör undvikas om inte användaren på något sätt vet att det är den önskade sidan som vill besökas. Dock kan fortfarande trafiken möjligtvis avlyssnas då ett ej fungerande certifikat kan göra att krypteringen inte går att lita på. [40] 4.5.3 Icke uppdaterad dator och antivirus Att uppdatera operativsystemet i datorn är ett enkelt sätt för användare att skydda sig. Uppdateringarna korrigerar säkerhetshål och buggar som kan utnyttjas för att få kontroll över en dator. Genom att alltid hålla sitt operativsystem uppdaterat finns det färre svaga punkter att attackera jämfört med ett gammalt icke uppdaterat operativsystem. Ett operativsystem måste stödjas av tillverkarna då för gamla operativsystem inte längre uppdateras vilket gör dem osäkra. Även om ett säkerhetshål hittas i dem kommer inte tillverkaren att patcha det. En användare som använder ett föråldrat operativsystem som inte längre har support ifrån tillverkaren ökar risken för att råka ut för virus och attacker. [41][42] I Windows 8.1 finns ett inbyggt antivirus som uppdateras via Windows Update. Detta hjälper till genom att hitta skadlig kod och förhindra att den kan köras. Det är även viktigt att brandväggen på datorn är påslagen för att förhindra oönskad access till datorn. 15 5 Skydd För att kunna presentera resultatet i denna studie har alla attacker som finns med i denna rapport utretts och granskats. Attackerna har ställts mot skydden för att få en överblick över vilka skydd som kan hindra vad för attacker. Då detta är ett teoretiskt arbete har inga tester utförts utan det är endast teoretiskt resultat som presenteras. Det finns en rad olika skydd att använda på enheter för att skydda dem mot intrång eller attackförsök från illasinnade användare. I följande stycken kommer en rad olika tekniker och produkter att tas upp som kan, i teorin, skydda mot attacker som tidigare tagits upp i studien. 5.1 Brandvägg En brandvägg är konstruerad för att hålla reda på vad för trafik som får komma in och ut ur systemet. De är tänkta att skydda systemet eller nätverket från yttre hot. Brandväggar finns både som hårdvara i nätverk och i datorer finns lokalt installerade mjukvaru baserade brandväggar. Brandväggens huvudsakliga uppgift är att hantera både inkommande samt utgående TCP/IP trafik. De reglerar vad som kommer in och lämnar enheten utifrån de regler som är konfigurerade. En brandvägg behöver kunna utföra en rad olika funktioner: [43] • Brandväggen hanterar in samt utgående trafik. Detta för att avgöra om ett paket ska stoppas kontrolleras vart datapaketen kom ifrån och vart paketet är destinerat till. Utöver ursprung och destination kontrolleras även vilken port paket kommer skickas genom. Om något av de olika kriterierna inte tillåts kommer paketet att slängas. [43] • Autentisering: Brandväggar kan ha autentiseringsmöjligheter för användare som vill ha tillgång till system genom att brandväggen tillåter åtkomst till betrodda datorer eller användare. [43] • Att vara en mellanhand mot trafik som vill in till ett system som skyddas av brandväggen. [43] • Skydda tillgångar: Brandväggen ska kunna skydda resurser från hot mot system de är tänkt att skydda. Detta uppnås oftast genom att regler är satta för system som helthet eller specifika regler för enskilda program. [43] • Logga och rapportera händelser: Kunna logga trafik eller händelse i brandväggen för att sedan kunna meddela i form av rapporter. [43] En personlig mjukvaru brandvägg är, till skillnad från en traditionell brandvägg, lokalt installerad på en enhet. Det som skiljer dem åt i funktion är att en personlig brandvägg endast kan skydda den enhet som den är installerad på. Brandväggar kan vara utseendemässigt och funktionellt annorlunda beroende på syfte och vad för system de är tänkta att användas i. Dock har de alla samma grundfunktion som är att hindra obehörig trafik från att ta sig in eller lämna system.[43] [44] 16 5.2 IDS IDS står för Intrusion Detection System och är ett system som används för att få varningar om att någonting suspekt sker i systemet. Exempel på detta kan vara att någon försöker bryta sig in i systemet. I ett scenario där någon redan har lyckats ta sig förbi brandväggen in till maskinen utan användarens vetskap skulle en IDS kunna triggas för att varna användaren om att någonting suspekt händer i systemet. [39] Det finns olika typer av Intrusion Detection Systems: Statistical Anomaly detection: Denna samlar ihop data och bygger upp en profil över vad för aktiviteter en legitim användare utför på en dator. Profilen ger då en överblick över vad som användaren normalt utför på datorn. Profilen används för att kunna avgöra om det som sker i systemet är normalt eller om det är suspekt. [39] Ett exempel på detta är en användare som i normala fall surfar på webben, redigerar bilder och använder streamingtjänster. Om denna användare börja att försöka komma åt skyddade systemfiler kan detta beteende jämföras med den datan som finns i profilen. Då detta skiljer sig drastiskt emot vad som är normalt beteende i systemet, skulle då intrusion detection systemet reagera och larma om att någonting inte stämmer.[39] Det kan dock vara svårt i vissa fall att avgöra om det är något som sker eller om användaren endast bytt rutiner och då triggar systemet utan att göra något illasinnat. Rule-based detection: I denna sätts regler upp för att identifiera vad som är normalt beteende och vad som inte är det. Denna är i sin tur uppdelad i två underkategorier. I den första kategorin sätts regler för vad som är normalt beteende och sedan används detta för att upptäcka beteende som skiljer sig ifrån detta. Den andra använder regler av säkerhetsexperter. Reglerna definierar vad som är typiskt beteende för en som försöker bryta sig in i systemet och ger då larm om något stämmer överens med dem. [39] En IDS stoppar inga attacker och kan inte heller förhindra dem från att ske. Den måste vänta till dess att någonting har skett i systemet innan en IDS upptäcker det. Ett system som däremot kan skydda och förhindra en attack är en IPS (intrusion prevention system). IPS kan självt ändra exempelvis brandväggsregler för att stoppa ett intrång och även hindra dem från att ske igen.[39] Som hemanvändare kan det vara svårt att hitta en IDS då många riktar in sig mot enterprise och företag istället för privata kunder. De finns dock inbyggda i en del anti-virus mjukvaror. 5.3 Anti-virus Anti-virus är en mjukvara för att leta upp och oskadliggöra skadlig kod på datorn. Exempel på illasinnad kod kan vara trojaner och virus. Det finns olika tekniker ett anti-virus 17 kan använda för att upptäcka skadlig kod nedan listas de tre vanligaste. Signatur baserad: Ett virus är ett skadligt program som följer med och gömmer sig i legitima program för att förhindra att den blir upptäckt. Virus är programmerade att infektera flera filer och på det viset sprida sig vidare. För att viruset ska veta vilka filer som redan är infekterade kan det använda en signatur som skrivs dit i infekterade filer. Signaturen används för att viruset inte ska infektera den redan infekterade filen en gång till. Signaturbaserade anti-virus använder sig av en databas som innehåller kända virus signaturer för att leta upp viruset. Anti-viruset går igenom filerna för att försöka hitta kända signaturer för att sedan kunna eliminera viruset.[39] Heuristiska anti-virus: Denna typ av anti-virus använder till skillnad ifrån signaturbaserad anti-virus istället beteende för att identifiera virus. Heuristiska anti-virus letar efter beteenden som är typiska för virus för att kunna motverka dem. Exempel på beteende som anti-viruset skulle reagera på är att ett program börjar kopiera sig till slumpmässiga filer i datorn. Det är få legitima program som skulle göra på det sättet utan det är istället ett väldigt typiskt beteende för ett virus.[39] Moderna anti-virus använder både signaturbaserade och heuristiska detekteringsmetoder för att hitta skadlig kod. De använder även nyare metoder där de låter programmen starta i en skyddad miljö för att kontrollera vad programmet kommer göra. På det sättet kan viruset upptäckas och stoppas innan det har körts i den riktiga miljön där viruset skulle kunnat skada något. [39] 5.4 VPN VPN (Virtual Private Network) är en metod att på ett säkert sätt skicka data krypterat genom en virtuell tunnel över publika eller privata nätverk. VPN går att bygga genom att koppla en enhet till ett privat nätverk genom en gateway eller koppla hela nätverk mellan varandra vilket gör att en säker överföring går att upprätta mellan privata nätverk [45]. Det kan finnas flera anledningar till att använda VPN beroende på vad personen ska använda det till. Exempel på detta kan vara personer som via sin anställning har möjlighet att kunna jobba utanför arbetsplatsens privata nätverk. Den publika platsen skulle kunna vara ett hotellrum som erbjuder internet via trådlöst nätverk. Personen som vill komma åt företagets interna resurser står då inför problemet att varken hotellets nätverk eller de nätverken som går mellan personen och företaget kan anses som tillräckligt säkert för att skicka data genom. VPN erbjuder då möjligheten att skapa en säker anslutning genom att använda en kryptera tunnel. Tunneln kommer göra all data som skickas mellan personen och företaget oläsligt för eventuella försök att avlyssna kommunikationen. Därmed kommer data kunna skickas säkert mellan personen och företaget. [46] Följande metod fungera även över betydligt större installation. Det kan röra sig om företag som har geografiskt åtskilda kontor. Den enda möjliga kommunikation för dem går över publika nätverk som exempelvis internet. I detta fall kan en VPN-tunnel säkert överföra 18 data genom att upprätta en konstant virtuell tunnel där företagets data säkert kan skickas mellan de geografiskt åtskilda kontoren [47]. Den finns en rad olika typer av VPNs tillgängligt beroende på användarens behov. Varje typ kan ha fördelar samt nackdelar och begränsningar beroende på vilken hårdvara eller mjukvara användaren använder: PPTP VPN: PPTP (Point-to-Point Tunneling Protocol) är ett vanligt använt VPN protokoll. VPN samarbetar med GRE (Generic Routing Encapsulation) protokoll för att skapa tunneln som trafiken skickas genom. En av anledningarna varför PPTP är ett väldigt populärt protokoll att använda är för att det inte kräver något certifikat. Det innebär att PPTP inte har möjlighet att ge någon sekretess eller kryptering för den som använder protokollet. PPTP har även stöd för alla Windows plattformar. PPTP förlitar sig på tredje parts program för att uppnå sekretess samt kryptering av data under transport [48] [49]. Site-to-site VPN: Site-to-site VPN används för att koppla samman hela företag eller geografiskt skilda kontor. Det finns två typer av site-to-site VPN. Intranet-based där företag med olika geografiska platser kan koppla samman sina LAN för att kunna komma åt resurser i hela företaget säkert. Extranet-based där företag skapar en säker anslutning mellan varandra och skapar ett externt nät. I det externa nätet kan resurser delas och samtidigt hålla kontoren åtskilda från varandras intranät[45]. L2TP VPN: L2TP (Layer 2 Tunneling Protocol) är ett tunnelprotokoll i VPN. L2TP själv har inget stöd för kryptering utan förlitar sig på andra program för att kryptera trafiken som sedan skickas genom tunneln [47]. IPSec IPsec har utvecklats för att för att säkra upp möjligheten att ge användaren konfidentialitet och integritet samt autentisering. IPSec kan använda två olika protokoll för att uppnå denna säkert. ESP-protokollet som sköter autentisering samt kryptering genom att använda kryptografiska algoritmer. Algoritmer som HMAC-SHA1 och 3DES samt AES används för att skydda användarens data från att läsas under transport. AH-protokollet har inte möjlighet att kryptera men kan användas för att skapa autentisering för användaren. Både ESP samt AH kan kombineras för att användas under VPN session mellan två enheter [47]. OPENVPN: OpenVPN skiljer sig från de redan skrivna VPN teknikerna då det är byggd på öppen källkod GLP 2 och har stöd för de vanligaste operativsystemen som; Linux, Mac OS X, Microsoft Windows, Android och IOS. OpenVPN använder sig av OPENSSLs bibliotek för autentisering av användaren samt kryptering. På grund av att OpenVPN använder just SSL är den inte kompatibel med IPSec, L2TP, eller PPTP. [50] [51] I och med att OpenVPN är licensfritt är det vanligt att privatpersoner använder det för att det finns till flera olika operativsystem. Klientmjukvaran är oftast gratis att använda samt har stöd för 19 en rad olika krypteringsstandarder. [52]. 5.5 Skydd från tjänsteleverantören Även om en stor del av åtgärderna för att öka sin säkerhet ligger hos användaren finns det mycket som ägaren av det publika nätverket kan göra för att säkra det ytterligare. Det finns troligtvis två varianter av utrustning som leverantören kan välja. De två varianterna är antingen en vanlig router avsedd för privatpersoner eller enterprise utrustning som är köpt och installerade av ett företag som specialiserat sig på lösningar för publika trådlösa nätverk. Det som skulle kunna avgöra vad för utrustning som leverantören väljer är troligtvis en budgetfråga. Då det är dyrare att köpa in enterprise utrustning än att köpa in en router avsedd för privatpersoner för att kunna erbjuda kunder trådlöst nätverk. Enterprise utrustning: Denna typ är avsedd för att användas just för publika wifi-nät och har därmed högre säkerhet. De kan exempelvis separera alla klienterna i det trådlösa nätverket vilket bidrar till att de ej kan komma åt varandra och därmed göra vissa attacker omöjliga. Har en användare en utdelning aktiv i det trådlösa nätverket kan denna inte hittas eftersom att de är separerade i olika nätverk. Det finns en hel del alternativ för mindre företag där de köper eller hyr utrustning av exempelvis thecloud.net. Detta företag har färdigkonfigurerad hårdvara som ägaren av exempelvis butiken bara behöver koppla mot nätet. När det är utfört har de en anslutning som sköts av thecloud.net. Saker som de kan konfigurera är reklambild för företaget när någon ansluter till nätet. Samt även filter till vilka sidor som en användare ska få ansluta till. I Enterprise utrustning finns även tekniker för att upptäcka rogue access points samt inbyggda tjänster som IPS och IDS. [53][54] Utrustning avsedd för privatpersoner: De enklare routrarna eller accesspunkterna för privatpersoner har inte samma typ av säkerhet som enterprise utrustning. De separerar inte användarna i nätet vilket öppnar för attacker mot varandra. Företaget måste även byta alla lösenord i routern själv och ställa in krypteringen på det trådlösa. Detta kan vara svårt för någon som inte har kunskapen eller kännedom om riskerna som finns i dåligt konfigurerat nätverk. Om de inte byter standardlösenord för inloggningen till administrationsgränssnittet i routern kan någon som känner till detta standardlösenorden ändra och potentiellt sabotera nätverket.[55][56] 5.6 Sammanställning av attacker mot skydd Resultatet påvisar att VPN är det enda av de listade skydden som faktiskt skyddar mot alla attackerna. De andra skydden hjälper inte mot de typer av attacker som finns listade i rapporten. 20 Figur 9: Attacker mot skydd Tabellen (Figur: 9) visar att det enda som egentligen skyddar mot man-in-the middle attacker är en VPN anslutning. Det är då brandväggarna och IDS samt anti-virus är tänkta att skydda angrepp utifrån som ska in till datorn eller mot hot som finns i datorn och ej utanför. Även om OpenVPN tillhör kategorin VPN bör den ej användas på grund av att den använder SSL/TLS. Mitmproxy är specialiserad på att dekryptera och läsa av SSL. Den VPN som bör användas av de listade VPN är L2TP med IPsec som kryptering. 21 6 Analys Att besluta om en anslutning till ett publikt trådlöst nätverk bör upprättas eller ej borde inte vara ett lätt beslut. Varje användare måste göra en riskanalys där behovet att få tillgång till internet vägs mot att utsätta sig för eventuella risker. Det är aldrig en lätt uppgift om inte full tillgång till nätverksuppbyggnad eller den tekniska kunskapen finns att tillgå. För att överhuvudtaget kunna ta beslutet att ansluta måste säkerhet mot tillit till nätverket också övervägas. Användaren måste se till att företaget eller personen som tillhandahåller nätverket går att lita på. Saker som bör vara med i denna beräkning är vilken typ av säkerhet nätverket har. Om nätverket exempelvis använder WEP som kryptering och inte WPA2 bör användaren överväga om det överhuvudtaget är säkert nog att ansluta till. Användare måste överväga följande punkter innan de ansluter till ett publik trådlöst nätverk: 1. Tilliten till nätverket/ägare 2. Säkerheten på nätverk 3. Vad ska göras när nätverket är anslutet Som resultatet påvisar är det endast VPN som på ett lyckat sätt kan skydda mot de listade attackerna. I detta stycke kommer attackerna och skydden att analyseras samt påvisa varför resultaten visade att VPN var det enda som ger tillräckligt skydd. Det är också viktigt att välja rätt typ av VPN för att skydda sig mot attackerna. Då alla former av VPN ej har skydd mot avlyssning utan måste förlita sig på tredjeparts program för att kunna säkra datan med kryptering. Användaren måste även se till vad uppkopplingen ska användas till. Om det är känslig information som bankärende påvisar resultatet att det endast är VPN som på ett lyckat sätt kan skydda mot de listade attackerna. 6.1 Rogue access point En rogue access point attack bygger på att attackeraren får användaren att ansluta till en falsk accesspunkt. Det görs genom att namnge accesspunkten ett namn som kan misstas för att vara en del av det legitima nätverket hos exempel ett hotell eller ett café. På detta sätt kan attackeraren lura användaren att ansluta sig fel. Attacken är inte utformad att attackera användarens enhet direkt utan att istället analysera och redigera data när det passerar genom den fientliga enheten. Det kommer att innebära att personliga brandväggar, anti-virus och andra typer av IDS som är konstruerade för att skydda mot direkta attacker utifrån klientens enhet samt hot inne i enheten inte kommer att skydda mot attacken som sker utanför enheten. Företag som erbjuder trådlöst nätverk kan ge extra säkerhet till användaren genom att verifiera sig. Det görs enklast genom att ge en autentiseringsmetod. Detta är något som inte skulle fungera för en rogue access point då färre kommer att kunna ansluta sig till den om ett lösenord krävs för att få ansluta. Det minimerar antalet potentiella offer i attacken. 22 För att säkerställa att användarens data inte blir avlyssnad under transport ska kryptering användas. VPN erbjuder detta genom att skicka data genom en krypterad tunnel mellan två fasta punkter. Då VPN använder olika typer av protokoll måste användaren välja en som är säkert nog att använda när data ska skickas över ett publikt nätverk. Om en för dålig krypteringsalgoritm används ökar risken för att attackeraren med tiden ges möjlighet att läsa data som skickas genom VPN tunneln. Detta är dock förutsatt att attackeraren har möjligheterna och resurserna att knäcka nyckeln och det ges då möjlighet att utläsa att dataanvändaren försöker skicka säkert. 6.2 Evil twin attack En Evil twin attack bygger på att skapa en exakt kopia av en redan existerande access punkt i nätverket. Det som är den stora skillnaden mellan en Evil twin attack och en Rogue access point är att Evil twin tar över identiteten för en legitim access punkt. Rogue access point däremot kan existera tillsammans med den legitima accesspunkten. Evil twin kan användas på flera olika sätt. Ett av sätten är att kopiera både SSID namnet samt MAC adressen för den riktiga accesspunkten och låta den finnas tillgänglig vid sidan om den riktiga accesspunkten. Om attackeraren har starkare signal än den riktiga kommer offrens enheter att ansluta till attackerarens. En annan version av attacken är att attackeraren försöker inaktivera den riktiga access punkten genom att skicka falska förfrågningar eller information till access punkten tills den inte kan hantera fler förfrågningar. Denna attack är endast en annan variant av rogue access point. Vilket gör att samma typ av skydd fungerar. Eftersom att denna typ av attack har ingen direkt påverka på användarens enhet. Innebär det att skydd på enheten som brandvägg och antivirus samt IDS inte kommer kunna skydda mot denna typ av attack eftersom deras design är att skydda nätverket från hot inom enheten eller yttre hot som försöker ta sig in. Trafiken måste ha ett skydd när det lämnar enheten, om trafik kan läsa i klartext kommer attackeraren kunna läsa data användaren inte vill dela med sig av olika anledningar. En form att kryptering skulle i teorin lösa detta problem med de skydd som har presenteras är det endast VPN som fyller det kriteriet. 6.3 Mitmproxy Mitmproxy används tillsammans med antingen Rogue access point eller Evil twin och används för att dekryptera SSL/TLS anslutningar för att kunna ta del av datan som skickas. Mitmproxy kan endast dekryptera SSL/TLS trafik och det kan endast utföras om certifikatet har accepterats. Denna attack har samma principer som övriga. Inga attacker sker direkt mot klienten utan allt sker utanför. Det gör att brandvägg och anti-virus samt IDS blir verkningslösa. VPN som krypterar datan som skickas genom Mitmproxyn är det skyddet som fungerar mot detta. 23 6.4 Arp-spoofing I Arp-spoofing luras offrets enhet att skicka paket till fel enhet genom att attackeraren utger sig för att vara någon annan och på detta vis kunna åstadkomma en man-in-the middle attack. För att upptäcka denna attack måste arp-tabellen övervakas för att kunna upptäcka förändringar i den. Om enhetens gateway får en helt annan MAC kan det vara en signal på att någon tagit gatewayens identitet. En brandvägg kan inte upptäcka det då brandväggen ej håller någon kontroll på arptabellen och kan därmed ej förhindra denna attack. Anti-virus har inte heller koll på arptabellen vilket gör att även den är verkningslös emot arp-spoofing. En IDS skulle kunna upptäcka en sådan attack. Dock har ej några källor kunnat bekräfta det vilket gör att även denna är verkningslös. VPN kan inte förhindra själva attacken men den kan göra attacken verkningslös. Även om paketen skickas till fel nod i nätverket kan den ej läsas av då den krypteras. Vilket innebär att VPN bör användas även mot denna attack. 24 7 Diskussion Vi ville undersöka vad för olika man-in-the middle attacker som en användare kan bli utsatt för i ett publikt trådlöst nätverk. För att sedan kunna utreda vilka av de mest grundläggande skydden som förhindrar de attackerna. Även om en användare både medvetet eller omedvetet har skydd som brandvägg eller antivirus tillgängliga på sina enheter finns det fortfarande användare som inte alltid känner till att de är utsatta. Attackerna är i många fall dåligt dokumenterade i form av skrivna akademiska rapporter medan skydden är mer dokumenterade i den formen. De olika hoten som kan finnas för en användare som ansluter till ett publikt trådlöst nätverk är sådana som att det trådlösa nätverket kan vara dåligt konfigurerat. Exempel på det kan vara att det publika trådlösa nätverket kan vara konfigurerat med för låg kryptering eller helt utan kryptering. Vilket innebär att det inte går att säkerställa vem som kan se datatrafiken som skickas genom det trådlösa nätverket. De olika attacker som en användare kan utsättas för är sådana som: 1. Arp-spoofing 2. Rogue access point 3. Evil twin Det finns flera attacker än de som är med i denna studie men de har uteslutits eftersom att denna studie har fokus på de som kan leda till en man-in-the middle attack där användaren riskerar att få sina känsliga uppgifter stulna. Av de skydd som togs upp i studie var det endast VPN som kunde ge skydd mot de listade attackerna. Dock måste rätt typ av VPN användas för att säkra anslutningen då allt typer av VPN inte använder kryptering för att skydda användarna från att få sina meddelande kapade eller lästa. 7.1 Problemlösning Denna studie har som mål att öka förståelsen för riskerna som finns med publika trådlösa nätverk för den vanliga användaren utan någon större teknisk bakgrund. Genom att påvisa de attacker som användaren kan utsättas för hoppas vi att det ska kunna öka försiktigheten hos dem när de väljer att ansluta sig till publika trådlösa nätverk. Genom att påvisa attackerna har även vanliga skydd granskats för att se om de skyddar mot de attacker som är med i studien. Många av attackerna är nästan omöjliga för användaren att veta om hen blir utsatt för vilket gör det ännu svårare för användaren att skydda sig mot dem. Får användaren ingen varning om att någonting är fel är det svårt att skydda sig. Det visade sig att vanliga tjänster som brandvägg och anti-virus inte skyddar emot de påvisade attackerna. De är helt verkningslösa emot dem. Dock så skyddar de självklart mot 25 andra former av attacker än de som är med i denna studie. För att kunna skydda sig från de man-in-the middle attackerna som tagits upp i studien ska en VPN-tjänst användas. Det borde, hos de som använder eller har planer på att använda publika trådlösa nätverk, vara ett måste att använda en VPN för att ens data säkert ska kunna komma fram utan att den blivit förändrad eller sparad. Utan VPN ges attackeraren möjlighet att spara ner inloggningsuppgifter och liknande för att vid en annan tidpunkt använda dem. Det går självt att sätta upp en VPN till sitt nätverk hemma eller om användaren inte kan eller vill göra detta finns det färdiga VPN tjänster att köpa. Fördelen är att det går att använda VPN till flera olika typer av enheter, allt ifrån mobiler till datorer. De källor som vi utgått ifrån har tagit upp risker med man-in-the middle. Dock påvisar de inte hur det är tänkt att skydda sig mot man-in-the middle vilket denna rapport har tagit upp. Det behövs även göras tester för att säkerställa att VPN inte kan blockeras eller förfalskas som det är möjligt med access punkter och om nu det skulle vara fallet vad det finns för lösning att förhindra det. 7.2 Metodreflektion I och med att inga egna tester gjordes för rapporten måste vi förlita oss på att den informationen från studier och andra källor är korrekt för att sedan göra en bedömning om skydden kontra attacken. I och med att attackerna kunde utföras på många olika sätt hade det varit svårt att täcka in alla. Det var då bättre att framhäva endast en version i rapporten. En allt för teknisk rapport hade inte heller varit lämplig då rapporten är tänkt att vara riktad mot den vanliga användaren. Då det inte garanterat kan sägas att rapporten kommer vara förståelig av alla som läser den måste risken med att ansluta sig till ett publik nätverk via wifi tydligt framgå. Även det fakta att mer traditionsenliga skydd som anti-virus och brandvägg som i flesta fall kommer med vid köp av en enhet inte kan erbjuda något skydd vid en man-in-the-middle attack av typen som redovisas i rapporten. I och med att studien är teoretisk framtagen utifrån det fakta som studerats och utifrån författarnas kunskap och syn på både attackerna och skydd, skulle inget bättre sätt finnas att analysera relationen mellan skydden samt attackerna utan att genomföra egna tester. 26 8 Avslutning Efter att ha läst denna studie bör en användare ha ökande kunskaper om riskerna i publika trådlösa nätverk och vilka tjänster som bör användas för att skapa en säker anslutning. 8.1 Slutsats Användare idag är väldigt mobila, vi röra oss mer idag med utrustning som kräver mer och mer kommunikation mellan varandra än förut. Det gör varje användare till en potential mål för attackera att komma över intressant data. Publika nätverk idag kan vara bra hjälpmedel för användaren som vill att sin utrustning ska ha tillgång till internet eller nå externa källor som inte är möjliga utan tillgång till någon form av nätverk. Man-in-the-middle attacker är extra farliga på grund av att de inte kan upptäckas av standardiserade skydd idag som brandvägg eller antivirus och kan resultera i att användare kan bli avlyssnade i många fall utan att veta om det. Som studien har visat i teorin skyddar VPN mot de av attacker som studien tagit upp. VPN ger ett extra skydd som i teorin ger användaren säkerhet mot avlyssning av sitt data när den lämnar enheten. 8.2 Förslag till fortsatt forskning Fortsatt forskning inom detta område skulle kunna vara att testa de attacker som tagits upp i denna studie och även testa skydd mot de attackerna. Attacker mot publika trådlösa nätverk som inte är man-in-the middle skulle kunna tas upp och skydd testas mot dem. 27 Referenser [1] W. Lewis, LAN switching and wireless : CCNA exploration companion guide., ser. Cisco Networking Academy series. Indianapolis, Ind. : Cisco, cop. 2008, 2008. [Online]. Available: http://proxy.lnu.se/login?url=http://search.ebscohost.com/login.aspx?direct= true&db=cat00750a&AN=lineu.469189&site=eds-live&scope=site [2] A. H. Mindi McDowell and M. Lytle. (2013) Security tip (st05-003). US-CERT is part of the Department of Homeland Security. [3] D. Sutta. (2014, 09) How hackers are using free wi-fi to steal your information. CBS Miami. [Online]. Available: http://miami.cbslocal.com/2014/09/ 23/how-hackers-are-using-free-wi-fi-to-hack-your-phone/ [Kontrollerad: 2015-0604] [4] B. Russell. (2014, 11) Hackers shut down sony pictures’ computers and are blackmailing the studio. The Verge. [Online]. Available: http://www.theverge.com/2014/ 11/24/7277451/sony-pictures-paralyzed-by-massive-security-compromise [Kontrollerad: 2015-05-12] [5] fin24.com. (2015, 05) How hackers exploit hotel wifi. fin24.com. [Online]. Available: http://miami.cbslocal.com/2014/09/23/ how-hackers-are-using-free-wi-fi-to-hack-your-phone/ [Kontrollerad: 2015-06-04] [6] mobidia. (2015, 01) How can our network data help your business? The Verge. [Online]. Available: http://www.mobidia.com/analytics/network-data [Kontrollerad: 2015-05-17] [7] Cisco. (2015, 02) Cisco visual networking index: Global mobile data traffic forecast update 2014–2019 white paper,. Cisco. [Online]. Available: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/ visual-networking-index-vni/white_paper_c11-520862.html [Kontrollerad: 201506-07] [8] E. Inc. (2015, 05) Hotels. Expedia Inc. [Online]. Available: http://sv.hotels.com/ [Kontrollerad: 2015-05-17] [9] Konferensvärlden.se. (2015, 06) Gratis wi-fi viktigast på hotellet. Konferensvärlden.se. [Online]. Available: http://www.konferensvarlden.se/nyheter/ gratis-wi-fi-viktigast-pa-hotellet.htm [Kontrollerad: 2015-06-04] [10] L. Erik and V. H. Joachim. (2014, 07) Säkerhet i öppna wifi-nätverk. en studie om hur användares medvetenhet om säkerhetsrisker vid interaktion med öppna wifi-nätverk kan ökas,. IT-universitetet i Göteborg. [Online]. Available: http://hdl.handle.net/2077/36459 [Kontrollerad: 2015-05-14] [11] E. K. Attipoe. (2013, 08) End user’s perception about security of the public wireless network,. Department of Computer Science University of Cape Coast Cape Coast. [Online]. Available: http://www.ijsacs.org/vol2issue8/paper61.pdf [Kontrollerad: 2015-05-17] [12] O. Josh, E. L. Wagner, and P. M. P. Talbert. (2008, 09) Hotel network security: A study of computer networks in u.s. hotels. Cornell. 28 [Online]. Available: http://scholarship.sha.cornell.edu/cgi/viewcontent.cgi?article= 1104&context=chrpubs [Kontrollerad: 2015-04-10] [13] M.-W. Park, Y.-H. Choi, J.-H. Eom, and T.-M. Chung, “Dangerous wi-fi access point: attacks to benign smartphone applications.” Personal Ubiquitous Computing, vol. 18, no. 6, pp. 1373 – 1386, 2014. [Online]. Available: http://proxy.lnu.se/login?url=http://search.ebscohost.com/login.aspx?direct= true&db=afh&AN=97178365&lang=sv&site=eds-live&scope=site [14] S. Vishal. (2011, 09) Scanned wireless network setup fake access point its detection. San José State University. [Online]. Available: http://scholarworks.sjsu.edu/cgi/ viewcontent.cgiarticle=1191&context=etd_projects [Kontrollerad: 2015-04-10] [15] F. Linus and A. J. Pernilla. (2012, 08) ”jag blir nervös utan min mobil”. Dagens Nyheter. [Online]. Available: http://www.dn.se/arkiv/lordag-sondag/ jag-blir-nervos-utan-min-mobil [Kontrollerad: 2015-06-04] [16] B. Marshall, W. Tracy V, and B. Johnson. (2015, 01) How wifi works. TU-Dresden. [Online]. Available: http://computer.howstuffworks.com/wireless-network1.htm [Kontrollerad: 2015-04-20] [17] (2015) Ieee standard association. IEEE. [Online]. Available: http://standards.ieee. org/ [Kontrollerad: 2015-05-10] [18] (2011) Networking basics: What you need to know. Cisco. [Online]. Available: http://www.cisco.com/cisco/web/solutions/small_business/resource_center/ articles/connect_employees_and_offices/networking_basics/index.html [Kontrollerad: 2015-05-20] [19] (2015) How do hubs, switches, routers, and access points differ? Microsoft. [Online]. Available: http://windows.microsoft.com/en-us/windows/ hubs-switches-routers-access-points-differ#1TC=windows-7 [Kontrollerad: 201505-20] [20] S. Institute. (2003, 10) An overview of wireless security issues,. TUDresden. [Online]. Available: http://www.sans.org/reading-room/whitepapers/ wireless/overview-wireless-security-issues-943 [Kontrollerad: 2015-04-20] [21] S. Rosenblatt. (2013, 04) Top wi-fi routers easy to hack, says study,. Cnet. [Online]. Available: http://www.cnet.com/news/top-wi-fi-routers-easy-to-hack-says-study/ [Kontrollerad: 2015-06-07] [22] B. Martin and T. Erik. (2008, 10) Practical attacks against wep and wpa,. TU-Dresden. [Online]. Available: http://dl.aircrack-ng.org/breakingwepandwpa.pdf [Kontrollerad: 2015-04-20] [23] F. Scott and S. Itsik, Mantin och Adi. (2001) Weaknesses in the key scheduling algorithm of rc4,. Cisco systemes. [Online]. Available: http://saluc.engr.uconn.edu/ refs/stream_cipher/fluhrer01weaknessRC4.pdf [Kontrollerad: 2015-04-21] [24] T. Erik, W. Ralf-Philipp, and P. Andrei. (2007) Breaking 104 bit wep in less than 60 seconds,. Cisco systemes. [Online]. Available: http://link.springer.com/content/pdf/ 10.1007%2F978-3-540-77535-5_14.pdf [Kontrollerad: 2015-04-20] 29 [25] Nintendo. (2015, 04) Nintendo ds and wireless security compatibility (wep wpa),. Nintendo. [Online]. Available: http://www.nintendo.com/consumer/wfc/en_ na/ds-security.jsp [Kontrollerad: 2015-04-20] [26] Wireless security protocols – how wpa and wpa2 work. techtarget. [Online]. Available: http://searchnetworking.techtarget.com/tip/ Wireless-security-protocols-How-WPA-and-WPA2-work [Kontrollerad: 2015-0420] [27] Tkip (temporal key integrity protocol). techtarget. [Online]. Available: http://searchnetworking.techtarget.com/tip/ Wireless-security-protocols-How-WPA-and-WPA2-work [Kontrollerad: 2015-0420] [28] F. Glenn and E. Adam C, Take Control of Your Wi-Fi Security, 1st ed. Publishing, Inc, 2009. CTidBITS [29] F. Information. (2001, 11) Advanced encryption standard (aes). Federal Information Processing Standards Publication 197. [Online]. Available: http://csrc.nist.gov/ publications/fips/fips197/fips-197.pdf [Kontrollerad: 2015-04-21] [30] (2015) Kali linux tools listing. Offensive Security. [Online]. Available: http: //tools.kali.org/tools-listing [Kontrollerad: 2015-04-10] [31] (2014) Scanned wireless network setup fake access point its detection. Mitmproxy project. [Online]. Available: http://mitmproxy.org/doc/index.html [Kontrollerad: 2015-04-15] [32] (2014) How mitmproxy works. Mitmproxy project. [Online]. Available: http: //mitmproxy.org/doc/howmitmproxy.html [Kontrollerad: 2015-04-15] [33] L. Phifer. Anatomy of a wireless “evil twin” attack. Core Competence, Inc. [Online]. Available: http://www.watchguard.com/infocenter/editorial/27061. asp [Kontrollerad: 2015-04-20] [34] AnirudhAnand. Man in the middle attack using evil twins in kali-linux! [Online]. Available: http://www.security.securethelock.com/ man-in-the-middle-attack-using-evil-twins-in-kali-linux/ [Kontrollerad: 2015-0420] [35] A. Lockhart, Network Security Hacks, 2nd Edition Tips Tools for Protecting Your Privacy , 2nd ed. O’Reilly Media, 10 2006. [36] About ettercap. Ettercap Project. [Online]. Available: http://ettercap.github.io/ ettercap/about.html [Kontrollerad: 2015-04-20] [37] R. A. Grimes. (2015, 05) Get real about user security training. infoworld. [Online]. Available: http://www.infoworld.com/article/2920804/security/ get-real-about-user-security-training.html [Kontrollerad: 2015-06-04] [38] C. A. Rusen. (2014, 9) Lesson 3: Customizing your network sharing settings. Howtogeek. [Online]. Available: http://www.howtogeek.com/school/ windows-network-sharing/lesson3/all/ [Kontrollerad: 2015-06-04] [39] W. Stallings and B. R. Chandavarkar, Network security essentials. [electronic resource] : applications and standards., 5th ed. Boston : Pearson, [2014], 2014. 30 [40] tweakservers.com. (2011, 12) Risk of expired ssl certificate. tweakservers.com. [Online]. Available: http://www.tweakservers.com/risk-of-expired-ssl-certificate/ [Kontrollerad: 2015-06-04] [41] K. Aseem. (2013, 12) Why you should no longer be using windows xp. Onlinetech-tips. [Online]. Available: http://www.online-tech-tips.com/computer-tips/ longer-using-windows-xp/ [Kontrollerad: 2015-06-04] [42] S. Tina. (2012, 04) 3 reasons why you should be running the latest windows security patches updates. Makeusof. [Online]. Available: http://www.makeuseof.com/tag/ 3-reasons-running-latest-windows-security-patches-updates/ [Kontrollerad: 201506-04] [43] D. Ido and N. Wes, Firewall Fundamentals, 1st ed. San Jose: Cisco Press, 2006. [44] Microsoft. (2009) How to enable authenticated firewall bypass. Microsoft. [Online]. Available: https://technet.microsoft.com/sv-se/library/cc753463%28v=ws.10%29. aspx [Kontrollerad: 2015-04-21] [45] T. Jeff and C. Stephanie. (2011) How vpns work. howstuffworks. [Online]. Available: http://computer.howstuffworks.com/vpn.htm [Kontrollerad: 2015-04-20] [46] Microsoft. (2015) What is vpn? Microsoft. [Online]. Available: https://technet. microsoft.com/sv-se/library/cc739294%28v=ws.10%29.aspx [Kontrollerad: 201505-21] [47] Cisco. (2015) How virtual private networks work. Cisco. [Online]. Available: http://www.cisco.com/c/en/us/support/docs/security-vpn/ ipsec-negotiation-ike-protocols/14106-how-vpn-works.html [Kontrollerad: 201505-21] [48] A. Chris, A. Andrew, D. Omar, and Guy. [49] F. Jazib, S. Omar, and O. Andrew, Cisco ASA: All-in-One Next-Generation Firewall, IPS, and VPN Services, Third Edition, 3rd ed. Cisco Press, 2014. [50] OpenVPN. (2013) Openvpn community software,. OPENVPN. [51] ——. (2013) Openvpn community software,. OPENVPN. [52] P. Zaborszky. (2013) 5 best vpns for openvpn,. BESTVPN. [53] Cisco. (2007, 09) Rogue detection under unified wireless networks. Cisco. [Online]. Available: http://www.cisco.com/c/en/us/support/docs/wireless-mobility/ wireless-lan-wlan/70987-rogue-detect.html [Kontrollerad: 2015-04-20] [54] Aerohive. (2015) Building secure wireless lans. Aerohive. [Online]. Available: http://www.aerohive.com/solutions/applications/secure.html [Kontrollerad: 201504-20] [55] H. Michael. (2007, 04) Home routers can be dangerous. very dangerous. [Online]. Available: http://michaelhorowitz2.blogspot.se/2007/03/ home-routers-can-be-dangerous-very.html [Kontrollerad: 2015-06-04] [56] H. Ken. (2008, 04) Defending your router, and your identity, with a password change. Davescomputertips. [Online]. Available: http://www.davescomputertips. 31 com/why-you-should-change-the-default-username-and-password-on-your-router/ [Kontrollerad: 2015-06-04] [57] M. A. Dye, R. McDonald, and A. W. Rufi, Network fundamentals : CCNA exploration companion guide., ser. CCNA exploration companion guide. Indianapolis, Ind. : Cisco Press ; London : Pearson Education [distributor], 2007, 2007. [Online]. Available: http://proxy.lnu.se/login?url=http://search.ebscohost.com/login.aspx?direct= true&db=cat00750a&AN=lineu.468599&site=eds-live&scope=site 32 A Bilaga 1 Använda sökmotorer och sidor vid artikelsökande: • http://ieeexplore.ieee.org/Xplore/home.jsp • Onesearch (http://lnu.se/ub/soka/artiklar–databaser/onesearch) • http://ieeexplore.ieee.org • http://dl.acm.org/dl.cfm • http://books.google.se • http://ulrichsweb.serialssolutions.com • http://scholar.google.se/ • http://tools.ietf.org/html/ • https://www.safaribooksonline.com/ A B Bilaga 2 Att tänka på innan anslutning mot ett publikt trådlöst nätverk sker: 1. Uppdatera alltid datorn med senaste uppdateringar (detta utförs innan hemmet lämnas) 2. Kontrollera att Anti-virus är igång samt uppdaterat 3. Kontrollera så att brandväggen i datorn är aktiverad 4. Kontrollera så att platsen du är på faktiskt har ett nätverk. Om det inte finns något skulle någon eventuellt kunna ha placerat ut en Rogue access point i närheten B C C.1 Bilaga 3: Ordlista MAC: En MAC-adress är 48-bitar lång och skrivs med hexadecimalt talsystem. MAC-adresser används på Lokala nätverk (LAN) för att veta till vilken enhet data ska skickas. Alla enheter har unika MAC-adresser. [57] C.2 Stream Cipher: Ett vanligt Stream Cipher är ett skiffer designat för att kryptera eller dekryptera text och data.[39] För en illustration av ett stream cipher se figur 10. Figur 10: Illustration av stream cipher [39] C.3 Checksummor: En checksumma är en matematisk uträkning av innehållet i en fil eller data. De används för att säkerställa att data inte har ändrats under transport. Det finns olika algoritmer för att räkna ut värdet. [39] I figur 11 kontrolleras checksumman av filen testfil med algoritmen sha1 och får ut en unik checksumma. Figur 11: Checksumma av fil innehållandes texten 1234 I figur 12 kontrolleras checksumman av samma fil med algoritmen sha1 men nu är innehållet i filen ändrad och checksumman blir därför annorlunda. C Figur 12: Checksumma av samma fil. Denna gång med innehållet 1235 C.4 Blockstorlek: En blockstorlek är ett antal tecken eller bitar av bestämd storlek. Större blockstorlek ökar säkerheten då fler tecken får plats. D
![WLD-093-SP - Användarguide - 2013-01-22 [JB-2B]](http://s1.doczz.net/store/data/006934574_1-ee9fbb9fce7e6a8111cda259b68eb5d5-70x70.png "WLD-093-SP - Användarguide - 2013-01-22 [JB-2B]")
