Författare:
August W
INBERGFörfattare:
Stefan Å
BERGHandledare:
Oskar P
ETTERSSONExaminator:
Jacob L
INDEHOFFTermin:
VT2015
Ämne:
Datavetenskap
Examensarbete inom datavetenskap
Publika trådlösa nätverk
Man-in-the middle attacker och skydd
Sammanfattning
Åtkomst till internet via trådlösa nätverk ses som en självklarhet för användare med tillgång till mobil, dator eller annat typ av utrustning som kan skicka eller mottaga datatrafik. Det har gjort att utvecklingen samt tillgängligheten av trådlösa nätverk har blivit mer utbredd. Antingen via privatpersonens egna hem, via sin arbetsplats eller skola samt företag som bedriver tillfälliga boende som hotell, café eller andra platser som erbjuder internet via sitt privata nätverk. Med den ökade tillgängligheten ökar även säkerhetsrisken för användaren antingen från yttre hot där användare vill få tillgång till andra användares data eller direkt attack från ägaren av nätverket. Användare kan känna sig säkra med de skydd som finns tillgängliga som exempel antivirus och brandvägg men i och med att ansluta till ett publika nätverk kan en rad nya säkerhetshot uppstå i former av man-in-the middle attacker mot användaren. Lyckade attacker skulle kunna resultera i att användare blir avlyssnade eller bestulen på känsliga information och eventuellt utan att användare märker av det eller innan det är försent.
En litteraturstudie har genomförts för att undersöka säkerheten för användaren på platser som erbjuder en tjänst att få tillgång till internet via en accesspunkt. Studien ska se över de säkerhetshot som finns när användare ansluter trådlöst till ett publikt nätverk, vilka hot som kan riktas mot användaren som använder nätverket och slut-ligen vilka tjänster som finns tillgängliga för användaren för att öka sin säkerhet vid användning av nätverket.
Nyckelord: Network Security, Public Network, Wireless Security, Man-in-the midd-le, Publika trådlösa nätverk, Trådlösa nätverk
Abstract
Access to the internet through wireless networks are seen as a matter of course for users with access to a mobile phone, computer, or other type of equipment that can send or receive data traffic. It has resulted in the development and availability of wireless networks has become greater. Either through the private person’s own home, through their workplace or school, enterprises engaged in temporary accommoda-tion such as hotels and other public areas that offers Internet access via its private network, such as cafes. There is also an increasing security risk for the user, either from external threats where users want to gain access to other user’s data or direct attack from the owner of the network. Successful attacks could result in that users will be intercepted or stolen sensitive information, and potentially without the user noticing it or before it is too late.
Innehåll
1 Introduktion 1 1.1 Inledning . . . 1 1.2 Tidigare forskning . . . 2 1.3 Problemformulering . . . 3 1.4 Frågeställning . . . 3 1.5 Begränsning . . . 3 1.6 Målgrupp . . . 4 2 Metod 5 2.1 Sökprocessen . . . 5 2.2 Dataanalys . . . 52.3 Urvalsprocess av attacker och skydd . . . 5
2.4 Metoddiskussion . . . 6 3 Teori 7 3.1 Wifi . . . 7 3.2 Hårdvara . . . 7 3.2.1 Router . . . 7 3.2.2 Accesspunkt . . . 8 3.3 Anslutningsmöjligheter . . . 8 3.3.1 WEP . . . 8 3.3.2 WPA . . . 8 3.3.3 WPA2 . . . 9
3.3.4 Publika trådlösa nätverk . . . 9
4 Resultat 9 4.1 Attacker . . . 9
4.1.1 Rogue access point . . . 10
4.1.2 Attackens utförande . . . 10
4.2 Mitmproxy . . . 11
4.3 Evil twin attack . . . 12
4.4 Attacker mot ARP . . . 12
4.4.1 Arp spoofing eller Arp poisoning . . . 13
4.5 Misstag av användaren . . . 14
4.5.1 Nätverksutdelningar och ange osäkra nätverk som hemnätverk . . 14
4.5.2 Ignorerar certifikat varningar . . . 14
4.5.3 Icke uppdaterad dator och antivirus . . . 15
5 Skydd 16 5.1 Brandvägg . . . 16 5.2 IDS . . . 17 5.3 Anti-virus . . . 17 5.4 VPN . . . 18 5.5 Skydd från tjänsteleverantören . . . 20
5.6 Sammanställning av attacker mot skydd . . . 20
6.2 Evil twin attack . . . 23 6.3 Mitmproxy . . . 23 6.4 Arp-spoofing . . . 24 7 Diskussion 25 7.1 Problemlösning . . . 25 7.2 Metodreflektion . . . 26 8 Avslutning 27 8.1 Slutsats . . . 27 8.2 Förslag till fortsatt forskning . . . 27
1
Introduktion
Denna rapport kommer att handla om risker i publika trådlösa nätverk. Vilka risker som finns samt vilka av de vanligaste skydd som kan skydda mot attackerna.
1.1 Inledning
Idag har många människor en livsstil som är väldigt mobil. Människan är inte längre tvingad till att befinna sig på en arbetsplats eller i sitt hem för att komma åt data från arbetsplatsen eller privat data i hemmet. Denna utveckling har medfört stora möjligheter men också stora potentiella risker mot användare och företag som vill utnyttja den nya tekniken. [1]
Till skillnad mot vanligt trådbundet nätverk ger trådlöst nätverk ökade risker då det är ett medium som färdas i luften. Det ger en möjlighet för obehöriga att på avstånd lyssna av trafiken och även påverka den. I ett trådbundet nätverk går en nätverkskabel till varje klient som är ansluten till nätverket. För att kunna ansluta till det trådbundna nätverket måste alla som ansluter ha tillgång till ett uttag och en kabel för att få tillgång till nätverket. I ett trådlöst nätverk räcker det att någon har en enhet som stödjer trådlöst nätverk för att kunna ansluta till det trådlösa nätverket. Det är alltså svårare att kontrollera vilka som kan ansluta till det trådlösa nätverket. [2]
En skillnad mellan publika trådlösa nätverk och privata trådlösa nätverk är att vem som helst kan ansluta till det publika. Det kommer att resultera i sämre kontroll över vilka som ansluter till det publika och därmed öka risken för användare som är ansluta.
I och med att öppna nätverk i många fall inte har ett lösenord räcker det att ansluta sig till nätverket för att få tillgång till internet. Det kan dock vara svårt för användaren att veta exakt vilket nätverk som användaren är ansluten till. [1]
Om en användare eller ett företag skulle bli utsatt för en attack kan konsekvenserna bli stora. En privatperson skulle potentiellt kunna få sitt kreditkort kapat och då få stora eko-nomiska problem. En attackerare skulle även kunna komma åt användarens inloggnings-uppgifter och eventuellt skriva dokument i offrets namn som bidrar till att offrets privatliv blir lidande. Om en attackerare lyckas få åtkomst direkt till filerna i offrets dator kan privata bilder läcka ut på hemsidor. I värsta fall skulle offret kunna bli utpressad av en attackerare på grund av den data som användaren har blivit bestulen på.[3]
Företag kan bli utsatta för allt ifrån Denial of Service attacker mot deras hemsidor som gör att besökare ej kan nå dem. Även företag kan bli utsatta för direkta intrång på deras servrar. Vid intrången kan en attackerare förstöra eller stjäla data vilket kan bli väldigt kostsamt för företaget. Det kan även vara att en grupp kommer åt inloggningsuppgifter till andra sidor som i en attack mot Sony pictures [4]. I attacken mot Sony Pictures läcktes ofärdiga filmer ut, E-post från chefer och även lösenord till sociala medier. Detta är ett exempel på vad som kan hända om en obehörig lyckas ta sig in i ett företagsnätverk.
sig för risker genom att tillåta okända användare att ansluta till nätverket. Även användare som väljer att ansluta enheter till nätverket utsätter sig för risk. I och med att tekniken utvecklas vill användare kunna använda fler mobila tjänster som finns i deras vardag. Allt ifrån bankärende till att skicka meddelande mellan varandra. Detta har gjort att tjänster och tekniker för att tillfredsställa användarnas behov har utvecklas för att komma åt den-na typ av information. Antingen direkt riktade attacker mot användare eller mot ett helt nätverk.[5][3]
Telefonoperatören Mobidia har sammanställt hur data transporteras hos sina användare. Hela 62% använder wifi för att få tillgång till internet där resterande 38% använder tjäns-ter som 3G eller 4G via mobilanätverk för att skicka data. [6] Enligt Cisco växte den mobila enheter med 7.4 miljarder 2014 och de räknar med att växa till 11.5 miljarder till 2019. Om Ciscos beräkningar stämmer kommer en ökning av anslutna enheter till nätverk inom de närmaste åren, antingen via mobila nätverk, wifi eller kabel att ske [7].
Hotell är ett exempel på företag som idag förutom boende erbjuder tillgång till internet via wifi. En sökning via hotels.com visar att en majoritet av hotellen som kommer upp erbjuder tillgång till internet via trådlöst nätverk [8]. Användare som använder enheter med begränsad datakvot via mobila nätverk som 4G kan använda wifi eller kabel för att inte slösa på denna. Tillgång till internet via wifi kan därför vara lockande vid boende på hotell.[9]
En förberedande undersökning utfördes för att säkerställa att detta stämmer. Samtal till tio olika hotell runt om i Sverige bekräftade att alla erbjöd internet av de tillfrågade erbjöd wifi som tjänst vid frågan "Erbjuder ni wifi?".
Utöver hotell finns det en rad offentliga platser som erbjuder liknande tjänster i form av wifi. Övriga platser som erbjuder trådlös uppkoppling i form av wifi till kunder och besökare är platser som caféer och restauranger. Flygplatser är också vanliga platser att erbjuda trådlösa nätverk som är tillgängliga för besökande av platsen. Vissa bibliotek erbjuder även de trådlös uppkoppling till besökare.
Det finns studier som visar att användare oftast inte är medvetna om vilka säkerhetsrisker de utsätter sig för genom att ansluta till öppna eller slutna nätverk, antingen genom direkt kabel eller wifi [10] [11] .
1.2 Tidigare forskning
En studie av 147 stycken hotell i USA utförd av elever ifrån Cornell från 2008 påvisade att det där fanns risker i hur nätverken var designade. I deras studie visade det sig även att det fanns hotell som fortfarande använde sig av hubbar istället för switchar vilket drar ner säkerheten på nätverket. De påvisar också att det var långt ifrån alla hotell som tillämpade VLAN i sitt nätverk.[12]
middle attack. Några av attackerna som nämns i studien går att applicera på mer än endast Android telefoner samt att de går att använda i hotellnätverk. Saurabh Vishal har skrivit en studie där hoten med en Rogue access point tas upp. Denna studie kommer använda en del av Saurabh Vishals studie för att påvisa de hot som tas upp i denna studie. [14]
1.3 Problemformulering
Uppsatsen kommer att granska i teorin vilka risker som potentiellt finns i publika trådlösa nätverk. De attacker som kommer vara i fokus för denna studie är man-in-the midddle attacker utförda mot trådlösa nätverk.
1.4 Frågeställning
1. Vilka hot finns det för användare som ansluter till publika trådlösa nätverk? 2. Hur kan en man-in-the middle attack utföras i trådlösa nätverk?
3. Vilka tjänster finns det att skydda sig mot de listade attackerna?
1.5 Begränsning
Avgränsningar och begränsningar i undersökningen:
1. Den publika tilldelningen av internet kommer att ske via trådlöst-nätverk i teorin. Anledningen till att just trådlöst nätverk har valts ut är att det är svårt att överblicka vilka som faktiskt är inkopplade till det. Vilket ökar risken för att någonting skulle kunna ske.
2. Målet med attackerna ska vara att samla in data och inloggningsuppgifter. Därför har vissa attacker uteslutits. Exempel på uteslutna attack är Bruteforce attacker samt Denial-of Services.
3. De enheter som kommer vara målet för attackerna är smartphones samt Windows PC. Windows Pc:n kommer att ha brandvägg samt Anti-virus installerat. Windows PC har valts ut då det är vanligaste operativsystemet på datorer under studien. Smartphones är en enhet som många människor har tillgång när de är på resande fot och där med en vanlig enhet att ha med sig på publika platser.[15]
4. Exploits kommer uteslutas ur studien. Exempel på detta är exploits som baseras på ej patchad mjukvara eller hårdvara som är felkonstruerad. De utesluts då attackerna i studien ej har fokus på buggar i mjukvara utan intrång via trådlösa nätverk. Studien hade blivit för omfattande om Exploits skulle tas med.
1.6 Målgrupp
2
Metod
En litteraturöversikt har utförts för att få en översiktlig bild av vilka hot en användare utsätter sig för genom att ansluta till publika nätverk. Studien kommer även att ta upp de vanligaste skydden och analysera dem mot attackerna för att kunna avgöra vilka skydd som fungerar mot attackerna. Information har samlats in genom att undersöka vilka kända hot där användare kan utsättas för en man-in-the-middle attack. I och med framtagningen av attackerna har även de vanligaste skydden tagits fram för att teoretisk jämföra ifall det är möjligt att skydda sig mot attacken.
Studien har haft fokus på man-in-the-middle attacker då de kan vara svåra för användaren att upptäcka. Alla teoretiska attacker kommer att utgå ifrån ett teoretiskt trådlöst nätverk där svagheter i hårdvara eller svagheter i mjukvaruversioner ej kommer att tas med. Utan endast kända attacker av typen man-in-the-middle mot ett trådlöst nätverk.
Varje attack och skydd kommer att analyseras i teorin hur de förhåller sig till varandra och hur författarna ser på möjligheten att skydda sig med de skydd som har tagit fram och vilka risker användare utsätter sig för genom att komma i kontakt med hoten.
2.1 Sökprocessen
I sökprocessen har sökmotorer används. De har varit inriktade på akademiska artiklar samt fackmaterial. Även publicerade böcker som tar ämnen som nätverkssäkerhet och skydd. Databaser som användes för att hitta material finns i bilaga A. Sökfraser som används för att hitta material var i början fraser som “Network Protection”, “Man-in-the middle”. Andra sökord som “IDS” och “Firewall” samt “Evil twin attack” är exempel som har framkommit under studiens tid.
2.2 Dataanalys
I sökningen efter man-in-the middle attacker samt skydd har många artiklar hittats, dock har de haft fokus på ej implementerade skydd. De påvisar exempelvis hur algoritmer kan användas för att hitta man-in-the middle attacker. Kraven för vår studie är att skydden mot attackerna redan ska gå att implementera, därav har de artiklarna valts bort i urvalet. Istället har böcker från kända utgivare (exempelvis; William Stallings, Cisco, Microsoft) används för att hitta information om attackerna.
2.3 Urvalsprocess av attacker och skydd
tryckt material används som källor. Till dem menas material som vetenskapliga rapporter, publicerade böcker, konferens material och artiklar används.
I studien har även misstag av användaren tagits upp. Den delen används för att påvisa vad en användare skulle kunna göra för att potentiellt öppna upp sig för en attackerare och ge möjlighet att ta sig in i datorn eller ges ökade möjligheter att utföra en attack mot användaren. Denna del sticker ut ifrån övriga attacker då det inte är attacker utan endast är tänkt att ge en överblick för användaren om vad resultaten kan bli om hen inte vet om detta.
Skydden har valts ut först efter att attackerna har valts ut. De mest kända skydden för persondatorer har valts ut för att försöka förhindra att attacken kan genomföras eller att minimera risken för att bli utsatt för en attack.
Inga egna attacker har under arbetets gång konstruerats utan det är endast redan kända attacker som har tagits med.
2.4 Metoddiskussion
3
Teori
Följande information kommer ge en grundläggande teoretisk förståelse för hur trådlöst nätverk som tjänst fungerar. Samt de möjliga hot som enheter utsätter sig för genom att ansluta till nätverket. Slutligen kommer de skydd användare kan implementera för att skydda sig att tas upp.
3.1 Wifi
Idag ses möjligheten till trådlöst internet som en självklarhet. Det är svårt att hitta en rou-ter för konsumentbruk som inte har stöd för trådlöst nätverk detta i och med att vi blir mer mobila och inte längre är stationerade till en och samma arbetsplats. Med denna teknik förväntas människor kunna göra de saker som görs framför en stationär dator även göra via en mobil enhet uppkopplad mot trådlöst nätverk. Vid datorn idag kan mycket känslig information hanteras. Det kan vara sådant som bankärenden eller företagsdokument som inte får lämna företaget. Eller andra dokument eller tjänster som kräver sekretess hante-ring. I och med att detta behov har utvecklats har även nya säkra standarder, produkter och tjänster tagits fram för att möta behoven. [16]
Institiute of Electrical and Electronics Engineers (IEEE) har tagit fram standarder som används när enheter behöver kommunicera via trådlöst lan. Att ha en och samma standard världen över ger möjligheten för produkter att vara kompatibla. IEEE har släppt en rad olika standarder för hanteringen av trådlösa lokala nätverk. Några av de mest kända är 802.11a som ger möjlighet att sända data över 5.2GHz bandet samt 802.11b som ger möjlighet att skicka data över 2,4GHz bandet. [17]
3.2 Hårdvara
För större mer komplicerade nätverk krävs en rad fler enheter för att skapa ett funge-rande nätverk som switch och dedikerad brandvägg. De kommer inte tas upp i denna studie.
3.2.1 Router
3.2.2 Accesspunkt
En accesspunkt eller access point ger möjlighet för enheter att ansluta till ett nätverk trådlöst. Om ett trådlöst nätverk sträcker sig över ett större geografisk område kommer en person med en trådlös enhet kunna förflytta sig inom det området. Om personen rör sig utanför en accesspunkts räckvidd med enheten kommer nästa accesspunkt ta över när enheten flyttar sig till räckvidden för den andra accesspunkten. På detta sätt kan tråd-lösa enheter alltid vara ansluten över en större yta förutsatt att accesspunkterna når dit. [19]
3.3 Anslutningsmöjligheter
I och med att mer känslig data skickas genom trådlösa nätverk har kravet för att kunna skicka data på ett säkert sätt ökat. På grund av detta har en rad säkerhetsmekanismer samt tjänster för att besvara detta behov utvecklats. Allt från säkerhetsnycklar för att kunna ansluta till trådlösa nätverk samt att kryptera trafiken innan den skickas via luften. Med det ständigt ökande behovet av säkerhetslösningar har även utvecklingen av nya samt mer avancerade attackmöjligheter mot trådlösa nätverk ökat. [20] [21]
3.3.1 WEP
När trådlös överföring som teknik blev möjlig blev det även möjligt att ansluta mot nät-verket om enheten var i räckvidd till mottagaren. Utan någon typ av autentisering samt utan kryptering blev det en möjlighet att avlyssna trafiken mellan två enheter genom luf-ten. WEP (Wired Equivalent Privacy) var den första algoritm vars uppgift var att säkra upp anslutningen mellan mobila enheter och accesspunkter. WEP tillhör IEEE 802.11 standarden och går att hitta både i hos privatpersoner samt företag och andra typer av or-ganisationer som har behov av skicka data trådlöst[22]. RC4 var designat av Ron Rivest 1987 och är känt som ett stream cipher (förklaring av stream cipher finns i bilaga C). WEP med RC4 fungerar genom att både mottagare och avsändare delar samma gemensamma nyckel. Denna nyckel används för att kryptera och dekryptera data skickad mellan mot-tagare och sändare. WEP har en rad brister i säkerheten som publicerades våren 2001 av Scott Fluhrer, Itsik Mantin och Adi Shamir. Problemet med WEP är att själva nyckeln endast är ett par bitar lång och när data har gått genom RC4 kommer ett mönster att bildas och algoritmen kan efter en tid knäckas[23]. En studie publicerades 2007 där författarna påpekar att det är möjligt att knäcka 104 bitars WEP under 60 sekunder [24]. WEP anses idag inte vara ett säkert protokoll att använda men går fortfarande att hitta i nätverk på grund av produkter som fortfarande idag endast har stöd för WEP [25].
3.3.2 WPA
för enheter som redan körde WEP. WPA var byggt för att adderas till WEPs redan existe-rande källkod. Detta gjorde det möjligt för WPA att kryptera varje datapaket med en unik krypteringsnyckel och på detta sätt uppnå en högre säkerhet jämfört med WEP [27]. WPA ger även möjlighet för användning av checksummor (förklaring av checksummor finns i bilaga C) för att säkra dataintegriteten när data skickas över trådlösa nätverk kallat MIC (Message integrity check) [26].
3.3.3 WPA2
IEEE 802.11i standarden som var grunden till WPA blev färdig mitten av 2004 och med det godkändes av IEEE. I början av 2005 uppdaterade the Wi-fi Alliance WPA till WPA2. Med namnuppdateringen tillkom en rad olika förändringar. Den mest noterbara föränd-ringen är den krypteringsalgoritm som används i WPA2. WPA använder RC4 medan WPA2 använder AES. AES står för Advanced Encryption Standard och krypteringen är en säkrare kryptering än RC4 [28]. AES är en standardiserad krypteringsalgoritm av ty-pen substitutions-permutations krypto. AES har möjligheten att använda kryptografiska nyckel längder på 128, 192, 256 bitar för kryptering och dekryptering av data i 128 bi-tar blockstorlekar (för förklaring se bilaga C) [29]. Både WPA samt WPA2 har stöd för WPA-Personal och WPA-Enterprise beroende på routerns funktion.
3.3.4 Publika trådlösa nätverk
Publika trådlösa nätverk skiljer tekniskt inte någonting ifrån ett hemmanätverk eller ett företagsnätverk. De utnyttjar samma sorters krypteringsalgoritmer exempelvis WPA eller WPA2 och samma typer av utrustning som accesspunkter och routers. Det som dock skil-jer är att publika trådlösa nätverk är avsedda för att ge alla tillfälliga besökare eller kunder nätverksuppkoppling via wifi. I ett hemnätverk och ett företagsnät är uppkopplingen en-dast avsedd för vissa personer.[1]
I det publika trådlösa nätverket vet den som ansluter ingenting om vilka andra som kan ansluta eller är ansluta för tillfället. Säkerheten i det kan också vara svårt för besökaren att få reda på. Det som går att se är vad för krypteringsalgoritm som används.
4
Resultat
I resultatet presenteras de attacker samt skydd som har framkommit under studiens tid. Varje attack och skydd presenteras för att sedan sammanställas för att påvisa vilket som fungerar mot vilken attack.
4.1 Attacker
I trådlösa wifi nätverk kan denna begränsning vara svårare då det räcker med att vara tillräckligt nära routern eller accesspunkten för att få möjlighet att ansluta till nätverket. Detta betyder att en potentiellt illasinnad inte behöver vara i samma lokal som sina offer för att få möjlighet att utföra en attack. Det räcker att vara inom nätverkets räckvidd. Det ges flera möjligheter för attackeraren att ostört kunna attackera nätverket och även lura andra att ansluta till attackerarens nätverk beskrivet i stycke 2.4 samt 2.4.3.
4.1.1 Rogue access point
En Rogue access point är en accesspunkt som ej ska finnas där. De är oftast uppsatta av personer med illasinnade avsikter. Exempel på en rogue access point kan vara att ett fö-retag som har ett legitimt trådlöst nätverk plötsligt får ett trådlöst nätverk som existerar parallellt med deras. Det är uppsatt utan administratören av nätverkets godkännande eller vetskap. Rogue access points kan även finnas på platser som inte har wifi-nät, det kan till exempel vara caféer som saknar trådlöst nätverk. En rogue access point kan då namnges till caféets namn för att få folk tro att det är ett legitimt nätverk som erbjuds av företaget och därmed är riskfritt att ansluta till.[14]
De sätts upp i syfte att få folk att ansluta till dem. När ett offer har anslutit till nätverket kan hen bli utsatt för en man-in-the middle attack. Trafik kan då avlyssnas för att få tag på exempelvis lösenord och inloggningsuppgifter till olika sidor. Datapaketen kan även modifieras vilket kan leda till att användaren får felaktig data tillbaka.
Då det är vanligt med trådlösa nätverk idag kan det vara svårt att veta vilka som är äkta och vilka som är förfalskade. Saurabh Vishal påvisar att det är relativt enkelt att sätta upp en sådan rogue access point vilket ökar hotet ännu mer.[14]
Figur 1: Bild på Rogue Accesspunkt
4.1.2 Attackens utförande Förberedelser:
nås och då potentiellt ge fler lösenord att spara ner. Offret kommer sannolikt att stanna kvar längre om uppkopplingen mot internet fungerar.
2. Linux distributionen KALI Linux (tidigare Backtrack) har en stor mängd verktyg som kan användas för att utföra en Man-in-the middle attack[30].
3. Ett av verktygen som går att använda är mitmproxy[31]. Programmet är utvecklat för att kunna läsa och ändra http förfrågningar samt dekryptera HTTPS. Den går förbi SSL krypteringen genom att självt agera Certificate Authority och skapa ett eget certifikat.[31]
Denna attack kommer använda mitmproxy (stycke 4.2) för att dekryptera SSL/TLS tra-fik. Det är ett extra steg för att få bättre resultat vid insamlandet av lösenord och annan känslig data. Utan mitmproxy kommer endast vanlig okrypterad http trafik från hemsidor samt annan okrypterad trafik att kunna läsas av.
Stegvis beskrivning av attacken:
1. Den bärbara datorn konfigureras som en Rogue Access point. Trafik som kommer in på det trådlösa nätverkskortet får passera genom laptoppen till den mobila 3g eller 4g uppkopplingen.
2. För att få offren att ta emot certifikatet konfigureras en Captive Portal där de som vill använda det trådlösa nätverket måste ta emot certifikatet. Certifikatet är skapat av mitmproxy.
3. Sedan startas mitmproxy och attackeraren väntar på att någon ska ansluta.
4. Den som ansluter till accesspunkten kommer att gå till en portal där de måste ladda ner ett certifikat för att få fortsätta.
5. Eftersom att de har attackerarens certifikat kommer all SSL-trafik att kunna dekryp-teras när den passerar den bärbara datorn.
6. Innan SSL-trafiken lämnar den bärbara datorn krypteras den igen utan att offret märker vad som har hänt då offret godkänt certifikatet. Enligt enheten som används är detta giltig trafik och det ser ut som om krypteringen når ända till webbservern som den är ansluten till.[32]
4.2 Mitmproxy
Mitmproxy är en proxy utvecklad för att kunna läsa och ändra på http requests. Det finns även funktioner för att återsända gamla packet (även kallad replay-attack). Den är helt skriven i Python vilket gör att egna konfigurationer kan läggas till samt stora delar kan automatiseras via Python. När en vanlig http request skickas vidarebefordrar endast mitm-proxyn förfrågan. Eftersom att det är okrypterad trafik kommer den att kunna läsas av från början. [31]
1. En ”GET-request” skickas till webservern för att hämta rätt html fil på webservern. En vanlig proxy skickar bara vidare SSL anslutningen mellan servern och klienten till skillnad mot mitmproxy. [32]
2. När en ”CONNECT” förfrågan kommer in till mitmproxy pausas klientens förfrå-gan i mitmproxy. [32]
3. Mitmproxyn gör en anslutning till servern som klienten har skickat connecten till. Mitmproxyn slutför därefter SSL-Handskakningen mot servern och har då en kryp-terad anslutning till servern. [32]
4. Där efter utförs en SSL-handskakning mot klienten där det är mitmproxyns egna certifikat som godkänner anslutningen. Vilket resulterar i en krypterad anslutning som för offret ser ut att sträcka sig hela vägen till servern. [32]
5. Mitmproxy kan nu läsa och ändra all trafik som går genom den.[32]
4.3 Evil twin attack
Det som skiljer en rogue access point mot en evil twin är utförandet. De baseras på samma teknik med ett undantag som skiljer dem åt. En rogue access point sätts upp som acces-spunkt på ett ställe oavsett om det redan finns en existerande accesacces-spunkt. I en evil twin attack kopierar angriparen SSID och MAC-Adress från en legitim trådlös accesspunkt och kan då ta över identiteten för accesspunkten. Offrets enhet kommer inte att kunna skilja på den förfalskade accesspunkten och den äkta. Attackeraren kan även attackera den ursprungliga accesspunkten och störa ut den. Genom att störa ut den legitima access-punkten vars identitet har blivit stulen finns endast evil twin accessaccess-punkten kvar att svara på förfrågningar. Det ökar chanserna för attackeraren genom att fler kommer ansluta till attackerarens accesspunkt då den legitima inte kommer kunna svara. [33] [34]
Denna attack är svår att skydda sig emot. Eftersom att identiteten för en legitim access-punkt som ska finnas där har stulits. De som administrerar nätverket har inte någon aning om att det är något märkligt med nätverket. Det är under förutsättningen att deras legitima accesspunkt inte varnar om att något är felaktigt. En rogue access point som är uppsatt på ett ställe där det ursprungligen inte finns något trådlöst nätverk blir lättare att upptäcka. Detta då det dykt upp någonting som inte ska finnas där. Om en legitim identitet tas över verkar det som om den legitima enheten finns där.
4.4 Attacker mot ARP
ARP (Adress Resolution Protocol) är ett protokoll som används för att koppla samman MAC-adresser (förklaring för MAC finns i bilaga C) med en IP-adress på ett lokalt nät-verk.
Figur 2: Arp tabell
I figur 3 ska Klient A skicka data till Klient B. Klient A vet vilken IP som klient B har men inte vilken MAC-adress som ska användas då detta saknas i ARP-tabellen. Klient A kommer då att skicka ut en ARP request (figur 4) som broadcast Lager 2 till adressen FF:FF:FF:FF:FF:FF. Eftersom att det skickas som broadcast kommer alla noder på samma nätverksegment att ta emot detta och kontrollera IP-adressen i ARP queryn. Endast den datorn som har rätt IP-adress kommer att svara på denna query med ett arp reply (figur 5). Klient A uppdaterar sin ARP tabell genom att koppla MAC-adressen för Klient B till klientens IP. [35]
Figur 3: Arp scenario
Figur 4: Arp Request [35]
Figur 5: Arp reply [35]
4.4.1 Arp spoofing eller Arp poisoning
Målet med attacken är en man-in-the middle där ett offer luras att skicka data till någon annan än exempelvis routern i nätverket. Denna data kan sedan läsas av och ändras. At-tacken utnyttjar hur ARP fungerar. En stor svaghet är att det är statless protokoll och har därmed ingen hantering för att kontrollera om en request har skickats. Den tar med andra ord emot reply även om en request inte har skickats ut. En potentiell attackerare kan ska-pa sina egna replys utan att någon request skickats för att ta någons identitet i nätverket. Genom att veta vilken MAC adress och IP en enhet har, exempelvis en gateway har kan gatewayens identitet stjälas. På det viset skulle gatewayens identitet i nätverkets stjälas för att få all trafik som ska ut ifrån nätverket skickat till sig. [35]
4.5 Misstag av användaren
Användaren som ansluter till nätverket kan av olika skäl i vissa fall självt öppna upp för en attack. De skäl grundar sig till en stor del i okunskap. De kan vara extra farliga då användaren i vissa fall ha gjort inställningar eller godkänna val som användare ej för-står konsekvenserna av. Nedan följer exempel på saker som kan öka sårbarheten på en användares dator. [37]
4.5.1 Nätverksutdelningar och ange osäkra nätverk som hemnätverk
En användare har på sin dator delat ut en katalog till alla i sitt hemnätverk på datorn. Rättigheterna är inställda att alla som ansluter till utdelningen har fulla rättigheter i den. Denna användare tar sedan med sig datorn till hotellet där den kopplar upp sig på hotel-lets nätverk. När datorn har anslutit kommer en fråga upp om vad det är för nätverk som datorn anslutits till.
Det finns olika profiler för brandväggen som är ”privat nätverk” (figur 6) vilket öppnar upp datorns brandvägg mer än vad som är lämpligt i publika trådlösa nätverk.
Figur 6: Privatnätverksprofilen i brandväggsinställningar
”Gästnätverk eller offentligt nätverk” (figur 7) är nästa profil. Denna profil tillåter mycket färre anslutningar in till datorn och blockerar även fildelningar vilket är önskvärt i en miljö där säkerheten är okänd.
Figur 7: Gäst eller offentligtnätverks profilen i brandväggsinställningar
Om användaren anger nätverket som ”privat nätverk” när Windows frågar om anslutning-en. Kommer brandväggen att öppna sig mer än vad som är rekommenderat. Det skulle kunna leda till att användaren får bilder och dokument ifrån utdelningen stulna. I värsta fall skulle en potentiell attackerare kunna ladda upp filer till utdelningen som innehåller virus och skadlig kod för att senare få access till datorn. [38]
4.5.2 Ignorerar certifikat varningar
ej finnas på flera. Om en användare ansluter till en hemsida med HTTPS berättar certifi-katet för webbläsaren att den har kommit till rätt sida. Om användaren har anslutit till en webbsida som ej överensstämmer med certifikatet kommer webbläsaren att visa en var-ning om certifikatfel för användaren. [39]
I figur 8 visas en varning för att sidan använder ett certifikat som blivit återkallat och inte är aktuellt längre.
Figur 8: Certifikatsvarning i Internet Explorer 11
En känd sida med certifikatfel skulle kunna vara en illasinnad webbsida för att lura an-vändaren till att ange sina inloggningsuppgifter genom att ta utseendet ifrån den legitima. Om användaren väljer att fortsätta förbi varningen riskerar användaren att få sin trafik avlyssnad eller komma till en felaktig sida. Sidor med certifikatfel bör undvikas om inte användaren på något sätt vet att det är den önskade sidan som vill besökas. Dock kan fortfarande trafiken möjligtvis avlyssnas då ett ej fungerande certifikat kan göra att kryp-teringen inte går att lita på. [40]
4.5.3 Icke uppdaterad dator och antivirus
5
Skydd
För att kunna presentera resultatet i denna studie har alla attacker som finns med i denna rapport utretts och granskats. Attackerna har ställts mot skydden för att få en överblick över vilka skydd som kan hindra vad för attacker. Då detta är ett teoretiskt arbete har inga tester utförts utan det är endast teoretiskt resultat som presenteras.
Det finns en rad olika skydd att använda på enheter för att skydda dem mot intrång eller attackförsök från illasinnade användare. I följande stycken kommer en rad olika tekniker och produkter att tas upp som kan, i teorin, skydda mot attacker som tidigare tagits upp i studien.
5.1 Brandvägg
En brandvägg är konstruerad för att hålla reda på vad för trafik som får komma in och ut ur systemet. De är tänkta att skydda systemet eller nätverket från yttre hot. Brandväggar finns både som hårdvara i nätverk och i datorer finns lokalt installerade mjukvaru baserade brandväggar. Brandväggens huvudsakliga uppgift är att hantera både inkommande samt utgående TCP/IP trafik. De reglerar vad som kommer in och lämnar enheten utifrån de regler som är konfigurerade. En brandvägg behöver kunna utföra en rad olika funktioner: [43]
• Brandväggen hanterar in samt utgående trafik. Detta för att avgöra om ett paket ska stoppas kontrolleras vart datapaketen kom ifrån och vart paketet är destinerat till. Utöver ursprung och destination kontrolleras även vilken port paket kommer skickas genom. Om något av de olika kriterierna inte tillåts kommer paketet att slängas. [43]
• Autentisering: Brandväggar kan ha autentiseringsmöjligheter för användare som vill ha tillgång till system genom att brandväggen tillåter åtkomst till betrodda da-torer eller användare. [43]
• Att vara en mellanhand mot trafik som vill in till ett system som skyddas av brand-väggen. [43]
• Skydda tillgångar: Brandväggen ska kunna skydda resurser från hot mot system de är tänkt att skydda. Detta uppnås oftast genom att regler är satta för system som helthet eller specifika regler för enskilda program. [43]
• Logga och rapportera händelser: Kunna logga trafik eller händelse i brandväggen för att sedan kunna meddela i form av rapporter. [43]
5.2 IDS
IDS står för Intrusion Detection System och är ett system som används för att få varningar om att någonting suspekt sker i systemet. Exempel på detta kan vara att någon försöker bryta sig in i systemet. I ett scenario där någon redan har lyckats ta sig förbi brandväg-gen in till maskinen utan användarens vetskap skulle en IDS kunna triggas för att varna användaren om att någonting suspekt händer i systemet. [39]
Det finns olika typer av Intrusion Detection Systems:
Statistical Anomaly detection: Denna samlar ihop data och bygger upp en profil över vad för aktiviteter en legitim användare utför på en dator. Profilen ger då en överblick över vad som användaren normalt utför på datorn. Profilen används för att kunna avgöra om det som sker i systemet är normalt eller om det är suspekt. [39]
Ett exempel på detta är en användare som i normala fall surfar på webben, redigerar bilder och använder streamingtjänster. Om denna användare börja att försöka komma åt skydda-de systemfiler kan skydda-detta beteenskydda-de jämföras med skydda-den datan som finns i profilen. Då skydda-detta skiljer sig drastiskt emot vad som är normalt beteende i systemet, skulle då intrusion de-tection systemet reagera och larma om att någonting inte stämmer.[39]
Det kan dock vara svårt i vissa fall att avgöra om det är något som sker eller om använda-ren endast bytt rutiner och då triggar systemet utan att göra något illasinnat.
Rule-based detection: I denna sätts regler upp för att identifiera vad som är normalt be-teende och vad som inte är det. Denna är i sin tur uppdelad i två underkategorier. I den första kategorin sätts regler för vad som är normalt beteende och sedan används detta för att upptäcka beteende som skiljer sig ifrån detta. Den andra använder regler av säkerhets-experter. Reglerna definierar vad som är typiskt beteende för en som försöker bryta sig in i systemet och ger då larm om något stämmer överens med dem. [39]
En IDS stoppar inga attacker och kan inte heller förhindra dem från att ske. Den måste vänta till dess att någonting har skett i systemet innan en IDS upptäcker det. Ett system som däremot kan skydda och förhindra en attack är en IPS (intrusion prevention system). IPS kan självt ändra exempelvis brandväggsregler för att stoppa ett intrång och även hind-ra dem från att ske igen.[39]
Som hemanvändare kan det vara svårt att hitta en IDS då många riktar in sig mot enter-prise och företag istället för privata kunder. De finns dock inbyggda i en del anti-virus mjukvaror.
5.3 Anti-virus
kan använda för att upptäcka skadlig kod nedan listas de tre vanligaste.
Signatur baserad:
Ett virus är ett skadligt program som följer med och gömmer sig i legitima program för att förhindra att den blir upptäckt. Virus är programmerade att infektera flera filer och på det viset sprida sig vidare. För att viruset ska veta vilka filer som redan är infekterade kan det använda en signatur som skrivs dit i infekterade filer. Signaturen används för att viru-set inte ska infektera den redan infekterade filen en gång till. Signaturbaserade anti-virus använder sig av en databas som innehåller kända virus signaturer för att leta upp viruset. Anti-viruset går igenom filerna för att försöka hitta kända signaturer för att sedan kunna eliminera viruset.[39]
Heuristiska anti-virus:
Denna typ av anti-virus använder till skillnad ifrån signaturbaserad anti-virus istället bete-ende för att identifiera virus. Heuristiska anti-virus letar efter betebete-enden som är typiska för virus för att kunna motverka dem. Exempel på beteende som anti-viruset skulle reagera på är att ett program börjar kopiera sig till slumpmässiga filer i datorn. Det är få legitima program som skulle göra på det sättet utan det är istället ett väldigt typiskt beteende för ett virus.[39]
Moderna anti-virus använder både signaturbaserade och heuristiska detekteringsmetoder för att hitta skadlig kod. De använder även nyare metoder där de låter programmen starta i en skyddad miljö för att kontrollera vad programmet kommer göra. På det sättet kan viruset upptäckas och stoppas innan det har körts i den riktiga miljön där viruset skulle kunnat skada något. [39]
5.4 VPN
VPN (Virtual Private Network) är en metod att på ett säkert sätt skicka data krypterat genom en virtuell tunnel över publika eller privata nätverk. VPN går att bygga genom att koppla en enhet till ett privat nätverk genom en gateway eller koppla hela nätverk mellan varandra vilket gör att en säker överföring går att upprätta mellan privata nätverk [45].
Det kan finnas flera anledningar till att använda VPN beroende på vad personen ska an-vända det till. Exempel på detta kan vara personer som via sin anställning har möjlighet att kunna jobba utanför arbetsplatsens privata nätverk. Den publika platsen skulle kunna vara ett hotellrum som erbjuder internet via trådlöst nätverk. Personen som vill komma åt företagets interna resurser står då inför problemet att varken hotellets nätverk eller de nätverken som går mellan personen och företaget kan anses som tillräckligt säkert för att skicka data genom. VPN erbjuder då möjligheten att skapa en säker anslutning genom att använda en kryptera tunnel. Tunneln kommer göra all data som skickas mellan perso-nen och företaget oläsligt för eventuella försök att avlyssna kommunikatioperso-nen. Därmed kommer data kunna skickas säkert mellan personen och företaget. [46]
data genom att upprätta en konstant virtuell tunnel där företagets data säkert kan skickas mellan de geografiskt åtskilda kontoren [47]. Den finns en rad olika typer av VPNs till-gängligt beroende på användarens behov. Varje typ kan ha fördelar samt nackdelar och begränsningar beroende på vilken hårdvara eller mjukvara användaren använder:
PPTP VPN:
PPTP (Point-to-Point Tunneling Protocol) är ett vanligt använt VPN protokoll. VPN sam-arbetar med GRE (Generic Routing Encapsulation) protokoll för att skapa tunneln som trafiken skickas genom. En av anledningarna varför PPTP är ett väldigt populärt protokoll att använda är för att det inte kräver något certifikat. Det innebär att PPTP inte har möj-lighet att ge någon sekretess eller kryptering för den som använder protokollet. PPTP har även stöd för alla Windows plattformar. PPTP förlitar sig på tredje parts program för att uppnå sekretess samt kryptering av data under transport [48] [49].
Site-to-site VPN:
Site-to-site VPN används för att koppla samman hela företag eller geografiskt skilda kon-tor. Det finns två typer av site-to-site VPN. Intranet-based där företag med olika geografis-ka platser geografis-kan koppla samman sina LAN för att kunna komma åt resurser i hela företaget säkert. Extranet-based där företag skapar en säker anslutning mellan varandra och skapar ett externt nät. I det externa nätet kan resurser delas och samtidigt hålla kontoren åtskilda från varandras intranät[45].
L2TP VPN:
L2TP (Layer 2 Tunneling Protocol) är ett tunnelprotokoll i VPN. L2TP själv har inget stöd för kryptering utan förlitar sig på andra program för att kryptera trafiken som sedan skickas genom tunneln [47].
IPSec
IPsec har utvecklats för att för att säkra upp möjligheten att ge användaren konfidentialitet och integritet samt autentisering. IPSec kan använda två olika protokoll för att uppnå den-na säkert. ESP-protokollet som sköter autentisering samt kryptering genom att använda kryptografiska algoritmer. Algoritmer som HMAC-SHA1 och 3DES samt AES används för att skydda användarens data från att läsas under transport. AH-protokollet har inte möjlighet att kryptera men kan användas för att skapa autentisering för användaren. Både ESP samt AH kan kombineras för att användas under VPN session mellan två enheter [47].
OPENVPN:
en rad olika krypteringsstandarder. [52].
5.5 Skydd från tjänsteleverantören
Även om en stor del av åtgärderna för att öka sin säkerhet ligger hos användaren finns det mycket som ägaren av det publika nätverket kan göra för att säkra det ytterligare.
Det finns troligtvis två varianter av utrustning som leverantören kan välja. De två vari-anterna är antingen en vanlig router avsedd för privatpersoner eller enterprise utrustning som är köpt och installerade av ett företag som specialiserat sig på lösningar för publika trådlösa nätverk. Det som skulle kunna avgöra vad för utrustning som leverantören väljer är troligtvis en budgetfråga. Då det är dyrare att köpa in enterprise utrustning än att köpa in en router avsedd för privatpersoner för att kunna erbjuda kunder trådlöst nätverk.
Enterprise utrustning:Denna typ är avsedd för att användas just för publika wifi-nät och har därmed högre säkerhet. De kan exempelvis separera alla klienterna i det trådlösa nät-verket vilket bidrar till att de ej kan komma åt varandra och därmed göra vissa attacker omöjliga. Har en användare en utdelning aktiv i det trådlösa nätverket kan denna inte hit-tas eftersom att de är separerade i olika nätverk. Det finns en hel del alternativ för mindre företag där de köper eller hyr utrustning av exempelvis thecloud.net. Detta företag har färdigkonfigurerad hårdvara som ägaren av exempelvis butiken bara behöver koppla mot nätet. När det är utfört har de en anslutning som sköts av thecloud.net. Saker som de kan konfigurera är reklambild för företaget när någon ansluter till nätet. Samt även filter till vilka sidor som en användare ska få ansluta till. I Enterprise utrustning finns även tekni-ker för att upptäcka rogue access points samt inbyggda tjänster som IPS och IDS. [53][54]
Utrustning avsedd för privatpersoner:De enklare routrarna eller accesspunkterna för pri-vatpersoner har inte samma typ av säkerhet som enterprise utrustning. De separerar inte användarna i nätet vilket öppnar för attacker mot varandra. Företaget måste även byta alla lösenord i routern själv och ställa in krypteringen på det trådlösa. Detta kan vara svårt för någon som inte har kunskapen eller kännedom om riskerna som finns i dåligt konfigurerat nätverk. Om de inte byter standardlösenord för inloggningen till administrationsgräns-snittet i routern kan någon som känner till detta standardlösenorden ändra och potentiellt sabotera nätverket.[55][56]
5.6 Sammanställning av attacker mot skydd
Figur 9: Attacker mot skydd
6
Analys
Att besluta om en anslutning till ett publikt trådlöst nätverk bör upprättas eller ej borde inte vara ett lätt beslut. Varje användare måste göra en riskanalys där behovet att få till-gång till internet vägs mot att utsätta sig för eventuella risker. Det är aldrig en lätt uppgift om inte full tillgång till nätverksuppbyggnad eller den tekniska kunskapen finns att tillgå. För att överhuvudtaget kunna ta beslutet att ansluta måste säkerhet mot tillit till nätverket också övervägas. Användaren måste se till att företaget eller personen som tillhandahål-ler nätverket går att lita på. Saker som bör vara med i denna beräkning är vilken typ av säkerhet nätverket har. Om nätverket exempelvis använder WEP som kryptering och inte WPA2 bör användaren överväga om det överhuvudtaget är säkert nog att ansluta till.
Användare måste överväga följande punkter innan de ansluter till ett publik trådlöst nät-verk:
1. Tilliten till nätverket/ägare 2. Säkerheten på nätverk
3. Vad ska göras när nätverket är anslutet
Som resultatet påvisar är det endast VPN som på ett lyckat sätt kan skydda mot de listade attackerna. I detta stycke kommer attackerna och skydden att analyseras samt påvisa var-för resultaten visade att VPN var det enda som ger tillräckligt skydd. Det är också viktigt att välja rätt typ av VPN för att skydda sig mot attackerna. Då alla former av VPN ej har skydd mot avlyssning utan måste förlita sig på tredjeparts program för att kunna säkra datan med kryptering.
Användaren måste även se till vad uppkopplingen ska användas till. Om det är känslig information som bankärende påvisar resultatet att det endast är VPN som på ett lyckat sätt kan skydda mot de listade attackerna.
6.1 Rogue access point
En rogue access point attack bygger på att attackeraren får användaren att ansluta till en falsk accesspunkt. Det görs genom att namnge accesspunkten ett namn som kan misstas för att vara en del av det legitima nätverket hos exempel ett hotell eller ett café. På detta sätt kan attackeraren lura användaren att ansluta sig fel.
Attacken är inte utformad att attackera användarens enhet direkt utan att istället analysera och redigera data när det passerar genom den fientliga enheten. Det kommer att innebära att personliga brandväggar, anti-virus och andra typer av IDS som är konstruerade för att skydda mot direkta attacker utifrån klientens enhet samt hot inne i enheten inte kommer att skydda mot attacken som sker utanför enheten.
För att säkerställa att användarens data inte blir avlyssnad under transport ska kryptering användas. VPN erbjuder detta genom att skicka data genom en krypterad tunnel mellan två fasta punkter. Då VPN använder olika typer av protokoll måste användaren välja en som är säkert nog att använda när data ska skickas över ett publikt nätverk. Om en för dålig krypteringsalgoritm används ökar risken för att attackeraren med tiden ges möjlighet att läsa data som skickas genom VPN tunneln. Detta är dock förutsatt att attackeraren har möjligheterna och resurserna att knäcka nyckeln och det ges då möjlighet att utläsa att dataanvändaren försöker skicka säkert.
6.2 Evil twin attack
En Evil twin attack bygger på att skapa en exakt kopia av en redan existerande access punkt i nätverket. Det som är den stora skillnaden mellan en Evil twin attack och en Ro-gue access point är att Evil twin tar över identiteten för en legitim access punkt. RoRo-gue access point däremot kan existera tillsammans med den legitima accesspunkten.
Evil twin kan användas på flera olika sätt. Ett av sätten är att kopiera både SSID namnet samt MAC adressen för den riktiga accesspunkten och låta den finnas tillgänglig vid sidan om den riktiga accesspunkten. Om attackeraren har starkare signal än den riktiga kommer offrens enheter att ansluta till attackerarens. En annan version av attacken är att attackera-ren försöker inaktivera den riktiga access punkten genom att skicka falska förfrågningar eller information till access punkten tills den inte kan hantera fler förfrågningar.
Denna attack är endast en annan variant av rogue access point. Vilket gör att samma typ av skydd fungerar. Eftersom att denna typ av attack har ingen direkt påverka på använ-darens enhet. Innebär det att skydd på enheten som brandvägg och antivirus samt IDS inte kommer kunna skydda mot denna typ av attack eftersom deras design är att skydda nätverket från hot inom enheten eller yttre hot som försöker ta sig in. Trafiken måste ha ett skydd när det lämnar enheten, om trafik kan läsa i klartext kommer attackeraren kunna läsa data användaren inte vill dela med sig av olika anledningar. En form att kryptering skulle i teorin lösa detta problem med de skydd som har presenteras är det endast VPN som fyller det kriteriet.
6.3 Mitmproxy
Mitmproxy används tillsammans med antingen Rogue access point eller Evil twin och används för att dekryptera SSL/TLS anslutningar för att kunna ta del av datan som skic-kas.
6.4 Arp-spoofing
I Arp-spoofing luras offrets enhet att skicka paket till fel enhet genom att attackeraren ut-ger sig för att vara någon annan och på detta vis kunna åstadkomma en man-in-the middle attack. För att upptäcka denna attack måste arp-tabellen övervakas för att kunna upptäcka förändringar i den. Om enhetens gateway får en helt annan MAC kan det vara en signal på att någon tagit gatewayens identitet.
7
Diskussion
Vi ville undersöka vad för olika man-in-the middle attacker som en användare kan bli utsatt för i ett publikt trådlöst nätverk. För att sedan kunna utreda vilka av de mest grund-läggande skydden som förhindrar de attackerna. Även om en användare både medvetet eller omedvetet har skydd som brandvägg eller antivirus tillgängliga på sina enheter finns det fortfarande användare som inte alltid känner till att de är utsatta. Attackerna är i många fall dåligt dokumenterade i form av skrivna akademiska rapporter medan skydden är mer dokumenterade i den formen.
De olika hoten som kan finnas för en användare som ansluter till ett publikt trådlöst nät-verk är sådana som att det trådlösa nätnät-verket kan vara dåligt konfigurerat. Exempel på det kan vara att det publika trådlösa nätverket kan vara konfigurerat med för låg kryptering eller helt utan kryptering. Vilket innebär att det inte går att säkerställa vem som kan se datatrafiken som skickas genom det trådlösa nätverket.
De olika attacker som en användare kan utsättas för är sådana som: 1. Arp-spoofing
2. Rogue access point 3. Evil twin
Det finns flera attacker än de som är med i denna studie men de har uteslutits eftersom att denna studie har fokus på de som kan leda till en man-in-the middle attack där användaren riskerar att få sina känsliga uppgifter stulna.
Av de skydd som togs upp i studie var det endast VPN som kunde ge skydd mot de listade attackerna. Dock måste rätt typ av VPN användas för att säkra anslutningen då allt typer av VPN inte använder kryptering för att skydda användarna från att få sina meddelande kapade eller lästa.
7.1 Problemlösning
Denna studie har som mål att öka förståelsen för riskerna som finns med publika trådlösa nätverk för den vanliga användaren utan någon större teknisk bakgrund. Genom att påvisa de attacker som användaren kan utsättas för hoppas vi att det ska kunna öka försiktighe-ten hos dem när de väljer att ansluta sig till publika trådlösa nätverk. Genom att påvisa attackerna har även vanliga skydd granskats för att se om de skyddar mot de attacker som är med i studien.
Många av attackerna är nästan omöjliga för användaren att veta om hen blir utsatt för vilket gör det ännu svårare för användaren att skydda sig mot dem. Får användaren ingen varning om att någonting är fel är det svårt att skydda sig.
på-andra former av attacker än de som är med i denna studie.
För att kunna skydda sig från de man-in-the middle attackerna som tagits upp i studien ska en VPN-tjänst användas. Det borde, hos de som använder eller har planer på att använda publika trådlösa nätverk, vara ett måste att använda en VPN för att ens data säkert ska kunna komma fram utan att den blivit förändrad eller sparad. Utan VPN ges attackeraren möjlighet att spara ner inloggningsuppgifter och liknande för att vid en annan tidpunkt använda dem.
Det går självt att sätta upp en VPN till sitt nätverk hemma eller om användaren inte kan eller vill göra detta finns det färdiga VPN tjänster att köpa. Fördelen är att det går att använda VPN till flera olika typer av enheter, allt ifrån mobiler till datorer.
De källor som vi utgått ifrån har tagit upp risker med man-in-the middle. Dock påvisar de inte hur det är tänkt att skydda sig mot man-in-the middle vilket denna rapport har tagit upp. Det behövs även göras tester för att säkerställa att VPN inte kan blockeras eller förfalskas som det är möjligt med access punkter och om nu det skulle vara fallet vad det finns för lösning att förhindra det.
7.2 Metodreflektion
8
Avslutning
Efter att ha läst denna studie bör en användare ha ökande kunskaper om riskerna i pub-lika trådlösa nätverk och vilka tjänster som bör användas för att skapa en säker anslut-ning.
8.1 Slutsats
Användare idag är väldigt mobila, vi röra oss mer idag med utrustning som kräver mer och mer kommunikation mellan varandra än förut. Det gör varje användare till en potential mål för attackera att komma över intressant data. Publika nätverk idag kan vara bra hjälpmedel för användaren som vill att sin utrustning ska ha tillgång till internet eller nå externa källor som inte är möjliga utan tillgång till någon form av nätverk. Man-in-the-middle attacker är extra farliga på grund av att de inte kan upptäckas av standardiserade skydd idag som brandvägg eller antivirus och kan resultera i att användare kan bli avlyssnade i många fall utan att veta om det. Som studien har visat i teorin skyddar VPN mot de av attacker som studien tagit upp. VPN ger ett extra skydd som i teorin ger användaren säkerhet mot avlyssning av sitt data när den lämnar enheten.
8.2 Förslag till fortsatt forskning
Referenser
[1] W. Lewis, LAN switching and wireless : CCNA exploration
companion guide., ser. Cisco Networking Academy series.
In-dianapolis, Ind. : Cisco, cop. 2008, 2008. [Online].
Avai-lable: http://proxy.lnu.se/login?url=http://search.ebscohost.com/login.aspx?direct= true&db=cat00750a&AN=lineu.469189&site=eds-live&scope=site
[2] A. H. Mindi McDowell and M. Lytle. (2013) Security tip (st05-003). US-CERT is part of the Department of Homeland Security.
[3] D. Sutta. (2014, 09) How hackers are using free wi-fi to steal your information. CBS Miami. [Online]. Available: http://miami.cbslocal.com/2014/09/ 23/how-hackers-are-using-free-wi-fi-to-hack-your-phone/ [Kontrollerad: 2015-06-04]
[4] B. Russell. (2014, 11) Hackers shut down sony pictures’ computers and are black-mailing the studio. The Verge. [Online]. Available: http://www.theverge.com/2014/ 11/24/7277451/sony-pictures-paralyzed-by-massive-security-compromise [Kon-trollerad: 2015-05-12]
[5] fin24.com. (2015, 05) How hackers exploit hotel
wi-fi. fin24.com. [Online]. Available: http://miami.cbslocal.com/2014/09/23/ how-hackers-are-using-free-wi-fi-to-hack-your-phone/ [Kontrollerad: 2015-06-04] [6] mobidia. (2015, 01) How can our network data help your business? The Verge. [Online]. Available: http://www.mobidia.com/analytics/network-data [Kontrollerad: 2015-05-17]
[7] Cisco. (2015, 02) Cisco visual networking index: Global mobile da-ta traffic forecast update 2014–2019 white paper,. Cisco. [Onli-ne]. Available: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/ visual-networking-index-vni/white_paper_c11-520862.html [Kontrollerad: 2015-06-07]
[8] E. Inc. (2015, 05) Hotels. Expedia Inc. [Online]. Available: http://sv.hotels.com/ [Kontrollerad: 2015-05-17]
[9] Konferensvärlden.se. (2015, 06) Gratis wi-fi viktigast på hotellet. Kon-ferensvärlden.se. [Online]. Available: http://www.konferensvarlden.se/nyheter/ gratis-wi-fi-viktigast-pa-hotellet.htm [Kontrollerad: 2015-06-04]
[10] L. Erik and V. H. Joachim. (2014, 07) Säkerhet i öppna wifi-nätverk. en studie om hur användares medvetenhet om säkerhetsrisker vid interaktion med öppna wifi-nätverk kan ökas,. IT-universitetet i Göteborg. [Online]. Available: http://hdl.handle.net/2077/36459 [Kontrollerad: 2015-05-14]
[11] E. K. Attipoe. (2013, 08) End user’s perception about security of the public wireless network,. Department of Computer Science University of Cape Coast Cape Coast. [Online]. Available: http://www.ijsacs.org/vol2issue8/paper61.pdf [Kontrollerad: 2015-05-17]
[Online]. Available: http://scholarship.sha.cornell.edu/cgi/viewcontent.cgi?article= 1104&context=chrpubs [Kontrollerad: 2015-04-10]
[13] M.-W. Park, Y.-H. Choi, J.-H. Eom, and T.-M. Chung, “Dangerous wi-fi access point: attacks to benign smartphone applications.” Personal Ubiqui-tous Computing, vol. 18, no. 6, pp. 1373 – 1386, 2014. [Online]. Avai-lable: http://proxy.lnu.se/login?url=http://search.ebscohost.com/login.aspx?direct= true&db=afh&AN=97178365&lang=sv&site=eds-live&scope=site
[14] S. Vishal. (2011, 09) Scanned wireless network setup fake access point its detection. San José State University. [Online]. Available: http://scholarworks.sjsu.edu/cgi/ viewcontent.cgiarticle=1191&context=etd_projects [Kontrollerad: 2015-04-10] [15] F. Linus and A. J. Pernilla. (2012, 08) ”jag blir nervös utan min
mo-bil”. Dagens Nyheter. [Online]. Available: http://www.dn.se/arkiv/lordag-sondag/ jag-blir-nervos-utan-min-mobil [Kontrollerad: 2015-06-04]
[16] B. Marshall, W. Tracy V, and B. Johnson. (2015, 01) How wifi works. TU-Dresden. [Online]. Available: http://computer.howstuffworks.com/wireless-network1.htm [Kontrollerad: 2015-04-20]
[17] (2015) Ieee standard association. IEEE. [Online]. Available: http://standards.ieee. org/ [Kontrollerad: 2015-05-10]
[18] (2011) Networking basics: What you need to know. Cisco. [Online]. Avai-lable: http://www.cisco.com/cisco/web/solutions/small_business/resource_center/ articles/connect_employees_and_offices/networking_basics/index.html [Kontrolle-rad: 2015-05-20]
[19] (2015) How do hubs, switches, routers, and access points differ? Microsoft. [Online]. Available: http://windows.microsoft.com/en-us/windows/ hubs-switches-routers-access-points-differ#1TC=windows-7 [Kontrollerad: 2015-05-20]
[20] S. Institute. (2003, 10) An overview of wireless security issues,. TU-Dresden. [Online]. Available: http://www.sans.org/reading-room/whitepapers/ wireless/overview-wireless-security-issues-943 [Kontrollerad: 2015-04-20]
[21] S. Rosenblatt. (2013, 04) Top wi-fi routers easy to hack, says study,. Cnet. [Online]. Available: http://www.cnet.com/news/top-wi-fi-routers-easy-to-hack-says-study/ [Kontrollerad: 2015-06-07]
[22] B. Martin and T. Erik. (2008, 10) Practical attacks against wep and wpa,. TU-Dresden. [Online]. Available: http://dl.aircrack-ng.org/breakingwepandwpa.pdf [Kontrollerad: 2015-04-20]
[23] F. Scott and S. Itsik, Mantin och Adi. (2001) Weaknesses in the key scheduling algorithm of rc4,. Cisco systemes. [Online]. Available: http://saluc.engr.uconn.edu/ refs/stream_cipher/fluhrer01weaknessRC4.pdf [Kontrollerad: 2015-04-21]
[25] Nintendo. (2015, 04) Nintendo ds and wireless security compatibility (wep wpa),. Nintendo. [Online]. Available: http://www.nintendo.com/consumer/wfc/en_ na/ds-security.jsp [Kontrollerad: 2015-04-20]
[26] Wireless security protocols – how wpa and wpa2 work.
techtarget. [Online]. Available: http://searchnetworking.techtarget.com/tip/ Wireless-security-protocols-How-WPA-and-WPA2-work [Kontrollerad: 2015-04-20]
[27] Tkip (temporal key integrity protocol). techtarget.
[On-line]. Available: http://searchnetworking.techtarget.com/tip/ Wireless-security-protocols-How-WPA-and-WPA2-work [Kontrollerad: 2015-04-20]
[28] F. Glenn and E. Adam C, Take Control of Your Wi-Fi Security, 1st ed. CTidBITS Publishing, Inc, 2009.
[29] F. Information. (2001, 11) Advanced encryption standard (aes). Federal Information Processing Standards Publication 197. [Online]. Available: http://csrc.nist.gov/ publications/fips/fips197/fips-197.pdf [Kontrollerad: 2015-04-21]
[30] (2015) Kali linux tools listing. Offensive Security. [Online]. Available: http: //tools.kali.org/tools-listing [Kontrollerad: 2015-04-10]
[31] (2014) Scanned wireless network setup fake access point its detection. Mitmproxy project. [Online]. Available: http://mitmproxy.org/doc/index.html [Kontrollerad: 2015-04-15]
[32] (2014) How mitmproxy works. Mitmproxy project. [Online]. Available: http: //mitmproxy.org/doc/howmitmproxy.html [Kontrollerad: 2015-04-15]
[33] L. Phifer. Anatomy of a wireless “evil twin” attack. Core Competence, Inc. [Online]. Available: http://www.watchguard.com/infocenter/editorial/27061. asp [Kontrollerad: 2015-04-20]
[34] AnirudhAnand. Man in the middle attack using evil twins
in kali-linux! [Online]. Available: http://www.security.securethelock.com/ man-in-the-middle-attack-using-evil-twins-in-kali-linux/ [Kontrollerad: 2015-04-20]
[35] A. Lockhart, Network Security Hacks, 2nd Edition Tips Tools for Protecting Your Privacy, 2nd ed. O’Reilly Media, 10 2006.
[36] About ettercap. Ettercap Project. [Online]. Available: http://ettercap.github.io/ ettercap/about.html [Kontrollerad: 2015-04-20]
[37] R. A. Grimes. (2015, 05) Get real about user security training. in-foworld. [Online]. Available: http://www.inin-foworld.com/article/2920804/security/ get-real-about-user-security-training.html [Kontrollerad: 2015-06-04]
[38] C. A. Rusen. (2014, 9) Lesson 3: Customizing your network sharing settings. Howtogeek. [Online]. Available: http://www.howtogeek.com/school/ windows-network-sharing/lesson3/all/ [Kontrollerad: 2015-06-04]
[40] tweakservers.com. (2011, 12) Risk of expired ssl certificate. tweakservers.com. [Online]. Available: http://www.tweakservers.com/risk-of-expired-ssl-certificate/ [Kontrollerad: 2015-06-04]
[41] K. Aseem. (2013, 12) Why you should no longer be using windows xp. Online-tech-tips. [Online]. Available: http://www.online-tech-tips.com/computer-tips/ longer-using-windows-xp/ [Kontrollerad: 2015-06-04]
[42] S. Tina. (2012, 04) 3 reasons why you should be running the latest windows security patches updates. Makeusof. [Online]. Available: http://www.makeuseof.com/tag/ 3-reasons-running-latest-windows-security-patches-updates/ [Kontrollerad: 2015-06-04]
[43] D. Ido and N. Wes, Firewall Fundamentals, 1st ed. San Jose: Cisco Press, 2006. [44] Microsoft. (2009) How to enable authenticated firewall bypass. Microsoft. [Online].
Available: https://technet.microsoft.com/sv-se/library/cc753463%28v=ws.10%29. aspx [Kontrollerad: 2015-04-21]
[45] T. Jeff and C. Stephanie. (2011) How vpns work. howstuffworks. [Online]. Available: http://computer.howstuffworks.com/vpn.htm [Kontrollerad: 2015-04-20] [46] Microsoft. (2015) What is vpn? Microsoft. [Online]. Available: https://technet. microsoft.com/sv-se/library/cc739294%28v=ws.10%29.aspx [Kontrollerad: 2015-05-21]
[47] Cisco. (2015) How virtual private networks work. Cisco.
[Online]. Available: http://www.cisco.com/c/en/us/support/docs/security-vpn/ ipsec-negotiation-ike-protocols/14106-how-vpn-works.html [Kontrollerad: 2015-05-21]
[48] A. Chris, A. Andrew, D. Omar, and Guy.
[49] F. Jazib, S. Omar, and O. Andrew, Cisco ASA: All-in-One Next-Generation Firewall, IPS, and VPN Services, Third Edition, 3rd ed. Cisco Press, 2014.
[50] OpenVPN. (2013) Openvpn community software,. OPENVPN. [51] ——. (2013) Openvpn community software,. OPENVPN. [52] P. Zaborszky. (2013) 5 best vpns for openvpn,. BESTVPN.
[53] Cisco. (2007, 09) Rogue detection under unified wireless networks. Cisco. [Online]. Available: http://www.cisco.com/c/en/us/support/docs/wireless-mobility/ wireless-lan-wlan/70987-rogue-detect.html [Kontrollerad: 2015-04-20]
[54] Aerohive. (2015) Building secure wireless lans. Aerohive. [Online]. Available: http://www.aerohive.com/solutions/applications/secure.html [Kontrollerad: 2015-04-20]
[55] H. Michael. (2007, 04) Home routers can be dangerous. very dangerous. [Online]. Available: http://michaelhorowitz2.blogspot.se/2007/03/ home-routers-can-be-dangerous-very.html [Kontrollerad: 2015-06-04]
com/why-you-should-change-the-default-username-and-password-on-your-router/ [Kontrollerad: 2015-06-04]
A
Bilaga 1
B
Bilaga 2
Att tänka på innan anslutning mot ett publikt trådlöst nätverk sker:
1. Uppdatera alltid datorn med senaste uppdateringar (detta utförs innan hemmet läm-nas)
2. Kontrollera att Anti-virus är igång samt uppdaterat 3. Kontrollera så att brandväggen i datorn är aktiverad
C
Bilaga 3: Ordlista
C.1 MAC:
En MAC-adress är 48-bitar lång och skrivs med hexadecimalt talsystem. MAC-adresser används på Lokala nätverk (LAN) för att veta till vilken enhet data ska skickas. Alla en-heter har unika MAC-adresser. [57]
C.2 Stream Cipher:
Ett vanligt Stream Cipher är ett skiffer designat för att kryptera eller dekryptera text och data.[39] För en illustration av ett stream cipher se figur 10.
Figur 10: Illustration av stream cipher [39]
C.3 Checksummor:
En checksumma är en matematisk uträkning av innehållet i en fil eller data. De används för att säkerställa att data inte har ändrats under transport. Det finns olika algoritmer för att räkna ut värdet. [39]
I figur 11 kontrolleras checksumman av filen testfil med algoritmen sha1 och får ut en unik checksumma.
Figur 11: Checksumma av fil innehållandes texten 1234
Figur 12: Checksumma av samma fil. Denna gång med innehållet 1235
C.4 Blockstorlek:
