concluded Freenet chapter

This commit is contained in:
surtur 2020-05-01 23:57:58 +02:00
parent 862c79a74b
commit 812a134cd8
Signed by: wanderer
GPG Key ID: 19CE1EC1D9E0486D
3 changed files with 34 additions and 8 deletions

BIN
tex/graphics/mariott.jpeg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 59 KiB

BIN
tex/graphics/the_cloud.png Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 41 KiB

@ -20,8 +20,11 @@ Venovať sa v tejto práci \b{nebudem} celulárnym rádiovým sietiam (takzvaný
\n{1}{Rizikové zóny}
S trochou nadsázky, pod rizikovými zónami môžeme rozumieť oblasti s dosahom predmetného typu siete.
S trochou zveličenia môžeme pod rizikovými zónami rozumieť oblasti s dosahom predmetného typu bezdrôtovej siete. Mám na mysli tieto konkrétne typy sietí: Freenet (Open net), WPA, WPA2. Samozrejme, mimo Freenetu závisí od partikulárnej implementácie bezpečnostných protokolov, t.j. že nálepka na škatuľke Wi-Fi™ routra s názvom protokolu neznamená automaticky aj maximálnu mieru teoretickej bezpečnosti poskytovanú spomínaným protokolom. Riziko, o ktorom je reč, môže existovať v podobe pasívneho zberu dát na sieti, manipulácie sieťovej komunikácie medzi účastníkmi a AP, takisto v podobe miery rizika pre poskytovateľa siete samotného (či už ide o verejnú alebo neverejnú službu).
Niektoré rizikové zóny sa typický vyskytujú vo sfére hoteliérstva, gastroslužieb, pohostinstiev a zariadení cestovného ruchu častejšie ako kdekoľvke inde.
\vspace{2cm}\obr{Hotel Free Wi-Fi™}{fig:mariott}{1}{graphics/mariott.jpeg}
\n{1}{Freenet}
@ -50,7 +53,7 @@ Len pre ilustráciu, táto relatívne mladá databáza (približne štvormesačn
\obr{WiGLE databáza}{fig:wigledb}{1}{graphics/wigledb.png}
...a nachádza sa v nej \b{33489} unikátnych záznamov typu Wi-Fi™ (databáza obsahuje tiež záznamenané údaje o celulárnych vežiach a Bluetooth™ zariadeniach).
Nachádza sa v nej 33489 unikátnych záznamov typu Wi-Fi™ (databáza obsahuje tiež záznamenané údaje o celulárnych vežiach a Bluetooth™ zariadeniach).
\obr{WiGLE net count}{fig:wiglenetcount}{1}{graphics/wigle_net_count.png}
@ -109,17 +112,38 @@ f4:f2:6d:52:8b:3a & KnowSpot & 2462 & {[}ESS{]} & -67 & W \\
\n{2}{Riziká používania}
Ako môžeme z tabuľky vyčítať, natrafil som pri potulkách na viacero sietí s podobným alebo rovnakým SSID. Prevažne ide o SSIDs používané v regionálnej doprave. Veľmi ťažko je však možné len tak na pohľad určiť, ktoré zo sietí su autentické (to znamená reálne prevádzkované napríklad dopravcami) a kde by sme mohli hovoriť o tzv. \it{"rogue"} - "záškodnom" AP. \\
Ako môžeme z tabuľky vyčítať, natrafil som pri potulkách na viacero sietí s podobným alebo rovnakým SSID. Prevažne ide o SSIDs používané v regionálnej doprave. Veľmi ťažko je však možné len tak na pohľad určiť, ktoré zo sietí su autentické (to znamená reálne prevádzkované napríklad dopravcami), ktoré sú potenciálne \it{\href{https://web.archive.org/web/20090918210959/http://www.sans.org/resources/idfaq/honeypot3.php}{honeypots}} a pri~ktorom by sme mohli hovoriť o tzv. \it{"rogue"} - "záškodnom" AP. \\
Týmto pomenovaním sa označuje AP, ktorý vystupuje navonok ako legitímny AP, no beží na ňom škodlivý software a je prevádzkovaný s cieľom získať citlivé informácie alebo kontrolu nad zariadením nič netušiaceho používateľa.
Prevádzkovateľ takéhoto zariadenia si nevyberie SSID náhodou, ale dobre si zváži rozšírenosť práve niektorých konkrétnych názvov, pri ktorých je vysoká šanca, že sú zapamätané na celom množstve zariadení ľudí využivajúcich počas svojej rannej cesty do zamestnania bezplatné internetové pripojenie. Mobilné operačné systémy Android a iOS so zapnutou Wi-Fi™ vo východzom nastavení hľadajú už asociované siete a sú nastavené na automatické znovupripojenie v prípade, že je zapamätaná sieť opäť v dosahu. \\
Prevádzkovateľ takéhoto zariadenia si nevyberie SSID náhodou, ale dobre si zváži rozšírenosť práve niektorých konkrétnych názvov, pri ktorých je vysoká šanca, že sú zapamätané na celom množstve zariadení ľudí využivajúcich počas svojej rannej cesty do zamestnania bezplatné internetové pripojenie.
Mobilné operačné systémy Android a iOS so zapnutou Wi-Fi™ vo východzom nastavení hľadajú už asociované siete a sú nastavené na automatické znovupripojenie v prípade, že je zapamätaná sieť opäť v dosahu. \\
Takto nastavené zariadenia sú nebezpečné pre svojich majiteľov práve tým, že sa snažia "uľahčovať" (autoconnect) život.
Zariadenie sa pripojí k útočníkovej sieti úplne rovnako ako k "legitímnej" - zapämatanej, podľa SSID. Sieť kontrolovaná záškodným útočníkom mu dáva možnosť alterovať obsah správ akéhokoľvek plaintext protokolu - ARP, DNS (bez DNSSEC), HTTP, ktoré môžu byť len vstupnou bránou pre \it{privesc} (privilege escalation - eskalovanie používateľských oprávnení) alebo zneužitie nezaplátaných zraniteľností. \\
Základnou ochranou proti spomínaným rizikám by bolo vôbec sa nepripájať na verejné resp. nezabezpečené siete (pokiaľ to nie je absolútne nevyhnutné), poprípade manuálne zakázať automatické pripájanie k takýmto sieťam. Ja osobne si tiež vypínam funkncionalitu oznámení systému o nezabezpečenej sieti v dosahu. \\
Vyhnúť sa riziku nasledovania falošných DNS záznamov od rogue AP dá tiež používaním \it{\href{https://www.torproject.org/download/#android}{Tor Browser for Android}}. Ten sa na zariadení správa ako VPN a všetku internetovú komunikáciu (vrátane DNS) routuje cez \href{https://www.torproject.org/about/history/}{Tor} (celý traffic je chránený TLS spojením medzi klientom a Tor \it{first hop} serverom, prípadne Tor \it{bridge}), takže lokálny útočník naň nemá dosah.
Zariadenie sa pripojí k útočníkovej sieti úplne rovnako ako k "legitímnej" - zapämatanej, podľa SSID. Sieť kontrolovaná záškodným útočníkom mu dáva možnosť alterovať obsah správ akéhokoľvek plaintext protokolu - ARP, DNS (bez DNSSEC), HTTP, ktoré môžu byť len vstupnou bránou pre \it{privesc} (privilege escalation - eskalovanie používateľských oprávnení) alebo zneužitie nezaplátaných zraniteľností.
Základnou ochranou proti spomínaným rizikám by bolo vôbec sa nepripájať na verejné resp. nezabezpečené siete (pokiaľ to nie je absolútne nevyhnutné), poprípade manuálne zakázať automatické pripájanie k takýmto sieťam. Ja osobne si tiež na svojích zariadeniach vypínam funkncionalitu oznámení systému o nezabezpečenej sieti v dosahu. \\
Vyhnúť sa riziku nasledovania falošných DNS záznamov od rogue AP dá tiež používaním \it{\href{https://www.torproject.org/download/#android}{Tor Browser for Android}}. Ten sa na zariadení správa ako VPN a všetku internetovú komunikáciu (vrátane DNS) routuje cez \href{https://www.torproject.org/about/history/}{Tor} (celý traffic je chránený TLS spojením medzi klientom a Tor \it{first hop} serverom, prípadne Tor \it{\href{https://support.torproject.org/censorship/censorship-7/}{bridge}}), takže lokálny útočník naň nemá dosah.
\n{2}{Riziká poskytovania Freenetu}
citácia freewifi \cite{freewifi}
Poskytovaníe Freenetu má rôzne implikácie. Napriek všeobecnej obľube bežných používateľov môcť sa pripojiť na free Wi-Fi™, existujú značné riziká, ktoré sú spojené s potenciálnou trestnoprávnou zodpovednosťou na strane poskytovateľov internetovej služby alebo prinajmenšom s nepríjemnosťami.
Pri poskytovaní takejto služby treba brať do úvahy nemožnosť dokonalo alebo akokoľvek uspokojivo zaručiť bezpečnosť užívateľom. \\
Napríklad: v prípade spáchania trestnej činnosti z internetovej adresy poskytovateľa nezabezpečenej siete bz mohlo prísť k dočasnému uzatvoreniu prevádzky a poskytovateľ by tak musel znášať negatívne nepriame náklady späté s touto službou a tiež prípadne zažívať mediálny tlak a čeliť vyšetrovaniu a zruinovaniu reputácie.
\newpage
Keďže signál bezdrôtovej siete môže mať alebo štandardne má dosah aj mimo priestorov, pre ktoré je určený, je možné uvažovať o scenári, kde sa útočník pripojí do siete z priestorov mimo prevádzky (veľmi pravdepodobne mimo kamerového záznamu prevádzky), čo môže výsledné pátranie exponenciálne sťažiť až znemožniť.
V závislosti od konkrétneho usporiadania priestoru je predstaviteľný scenár malého Raspberry Pi naprogramovaného na pasívny automatizovaný zber dát/aktívne ohrozovanie (alebo exploitovanie) klientov dokým by neprišlo k odhaleniu respektíve odpojeniu od siete, alebo skrátka pokým sa nevybije baterka.
Inými slovami, je racionálne uvažovať takým spôsobom, že akékoľvek zneužitie, ktoré by vzišlo z predmetnej internetovej služby alias Freenetu, by bolo primárne najskôr dohľadávané a riešené vyšetrovacími orgánmi s poskytovateľom služby.
Myslím si, že tieto negatívne možné dôsledky si poskytovatelia Freenetu veľakrát vôbec neuvedomujú. \\
Pre úplnosť by som rád dodal, že ani siete využívajúce zabezpečenie nie sú úplne odolné voči potenciálnemu vnútornému útočníkovi ("insider"), ale o tom sa zmienim trochu neskôr.
Na záver by som si vás dovolil odkázať na \href{https://smallbiztrends.com/2015/11/small-businesses-need-offer-free-wifi-customers.html}{webstránku}, kde je vymenovaných a znázornených značné množstvo dôvodov, prečo nemusí byť dobrý nápad používať Freenet.
\it{"Offering free WiFi does not just benefit the customers. If you can control the network connection, you can set your website as the homepage, accumulate customer data and target ads directly to devices."} \cite{freewifi}
\n{2}{The Cloud}
\obr{\href{https://xkcd.com/908/}{The Cloud: There's planned downtime every night when we turn on the Roomba and it runs over the cord.}}{fig:thecloud}{1}{graphics/the_cloud.png}
\n{1}{WEP}
@ -128,6 +152,8 @@ V tejto kapitole bude pozornosť upriamená na protokol WEP.
\n{2}{Čo je to WEP?}
WEP (Wired Equivalent Privacy) je bezpečnostný algoritmus na zabezpečenie bezdrôtových sietí, pôvodne vydaný ako súčasť špecifikácie 802.11 z roku 1997. Pracuje s využitím prúdovej šifry RC4. V roku 2004 bol oficiálne vyhlásený za zastaraný, napriek tomu ostáva dodnes využívaný.
\n{1}{WPA}
\n{2}{Pôvod WPA}