Tuhanded Elioni DigiTV koduvõrgud ründajale valla
Nimelt tuleb DigiTVga kaasa wifi-ruuter (seade, mis levitab traadita võrku), millele on algseadistusena pandud peale vananenud WEP-turvalisus ja parool puudub hoopiski. Suur hulk kasutajaid ei viitsi seadeid muuta ega tõsta turvalisuse astet WPA peale, mis teeks häkkerite elu palju keerulisemaks. Kui kasutajanime/parooli ei muudeta, saab ühe sekundiga sisse murda ka poisike. Ent ka muudetud parooliga on WEPiga turvatud wifi-ühenduse üle võtmine häkkerile käkitegu.
Wifi.ee toimetaja Veljo Haameri sõnul võib seda nimetada Elioni veaks oma teenuse pakkumisel, mille ettevõte peaks kiiremas korras parandama – kasutama peaks WPAd või veel parem oleks WPA2. Teisalt ütleb ta, et probleem on tekkinud linnades koduste wifide kiire leviku tõttu ning kasutajate teadlikkus on jäänud puudulikuks. “Ruhnul pole turvatõkkeid vaja paigutada, sest kurjam on aknast näha. Korrusmaja ees või sees ei pruugi sissetungija nii kergelt tuvastatav olla,” nendib ta.
Elionil on koduse wifi turvaliseks seadistamise teenus tasuline. Ning ehkki juhend on nende veebis www.elion.ee olemas, ei jõua sinna ilmselt kuigi paljud kliendid.
Eesti üks tuntumaid arvutiturbeeksperte Tõnu Samuel ütleb, et olukord traadita andmeside turvalisusega on masendav. “On loomulik, et laiatarbekauba pakkuja ei lähe turvalisusega kuigi kaugele,” märkis Samuel. Hiljuti toimunud traadita andmeside ohtusid käsitleva ürituse “Wardriving” käigus sõideti Suur-Patarei tänavalt Viru keskuseni ja registreeriti teel pea viissada võrku, millest suur osa on haavatavad.
Tartu IT-firmades töötavad tudengid Tanel Ainla ja Steve Perkson väidavad, et neil on koguni olemas terviklahendus Elioni digiTV ülevõtmiseks.
“Click and run, mitte hüpoteetiline jutt. Kui vaja on, võime ka hanza.neti sessioone liftida ja raha kantida. Seda muidugi hüpoteetiliselt, me ei suppordi põhimõtteliselt kuritegevust... Kui ruuter on minu käpa all, siis käib ka kogu liiklus läbi minu masina. Serveerin võltssertifikaadi ja suhtlen ise internetipangaga nagu õige mees,” on nende kõige kangem väide, mis peaks ettevaatlikuks tegema iga koduse wifi-kasutaja, kes ei viitsi tavaliselt sertifikaadi õiguseski veenduda.
Tanel lisab: “Paljud arvavad, et see tulesid plingitav asi (ruuter) on nagu mingi harukarp. Ei ole, see on arvuti, mida on võimalik programmeerida.” Ülevõetud ruuteri puhul ei aita ka see, et toksite arvutisse www.hanza.net. Ainsana reedabki häkkeri see, et ekraanile ilmub teade, et panga turvalisuse sertifikaadiga on midagi viga. Ent paljud kasutajad klõpsavad automaatselt kõigele “Yes”.
Arvutikaitse.ee toimetaja Aare Kirna nendib, et ka pelgalt MSNi ja meilikliendi kasutamine paljastab võimalikule pealtkuulajale nii kasutajatunnuse kui ka parooli, rääkimata e-kirjade ja sõnumivestluste sisust. “Sellepärast tulebki kasutada ID-kaarti, selle puhul on man-in-the-middle rünnak hoopis keerulisem, kui mitte võimatu,” märgib Kirna.
Pangaülekannetesse massilise sekkumise osas on ta siiski skeptiline. Ent ta lisab: “Mis sa arvad, et pangad lambist oma koodikaarditehingute limiite alla tõmbavad?”
- Seadistada turvalisuseks WEP asemel WPA krüpteering
- Muuta võrgu nimi ära, pannes sinna mõni eestikeelne liitsõna
- Parool vähemalt 20 märki pikaks ja võimalusel ilma sõnadeta
- Lisada MAC-aadressi filtreering – võrku lubatakse vaid kindlad arvutid
- Ära lase ruuteril kuulutada laiale maailmale oma nime ehk SSIDd
- Kasuta VPN-tunnelit (virtual private network) ehk privaatvõrku (vt http://en.wikipedia.org/wiki/Vpn ) isikliku teabe edastamisel (e-post, e-pank, e-riik jne)
- Piirata wifi leviala, näiteks seina ja saatja vahele plekktahvel või fooliumileht, wifi-saatja aknast kaugemale ja võimsus maha
- Kasuta võimalusel ID-kaarti
- Turvalise ühenduse kontrollimiseks jälgi, et turvalisussertifikaat oleks autentne ja all paremal nurgas oleks tabaluku ikoon
- Kui sa wifit ei kasuta, lülita see välja
Elion: Oleme valmis turvaseadeid muutma
- Tõsi, WEP võtmed on lahti “muugitavad”, kuid selle takistamiseks soovitame tungivalt kliendil endal oma seadmed vastavalt WPA seadetega ja MAC aadresside filtriga seadistada. Seadmetega kaasas olevas eesti- ja venekeelses juhendis on kirjeldatud, kuidas seadistusi muuta, samad juhendid on leitavad ka Elioni kodulehtedelt.
- Vastu tulles klientide soovidele on Elioni poolt müüdavates seadmetes wifi siiski vaikimisi aktiveeritud. WEP64 võtit kasutatakse seepärast, et suur osa seni veel kasutuses olevaid seadmeid ja opsüsteeme ei toeta WPAd.
- Wifi osas pole olemas absoluutset kaitset. Parim kaitse on wifi välja lülitada ja mitte seda kasutada. Elion on valmis suuremate riskide ilmnemisel muutma ka vastavalt oma müüdavate seadmete algseadistusi.
Valeri Raag
Elioni DigiTV arendusjuht
Eksperiment: kuidas hävitada teie kodune wifivõrk
Tartu tudengid Tanel ja Steve tahavad õhinal näidata, kui lihtne on kodustesse wifivõrkudesse sisse murda, mõne korterelamu rajooni näitel. Hmm. Teise inimese wifivõrku sissemurdmine on ilmselt kriminaalne. Seda me nüüd ka ei taha. Pakun välja, et murrame sisse ikka mõne sellise kodaniku võrku, kes selleks loa annab. Õnneks on mul Tartu kesklinnas üks vana sõber, kes ootamatult tulnud kõne peale kõhklemata selleks loa annab.
Sõidame poiste autoga tolle maja suunas. Vahepeal jõuame ühe kortermaja juures peatuse teha, ja kiire kontroll näitab, et seal on kümmekond wifi-võrku, millest suurem osa on haavatavad. Manitsen neid siiski siin mitte sisse murdma, vaid liikuma nö lubatud sissemurdmiskohta.
Nii.. ja siis hakkab pihta. Steve käivitab oma sülearvutis vajaliku programmi („see on internetis vabalt saadaval"), mis skaneerib lähiümbruse võrke. Tuvastanud sobiva võrgu, hakkab toimuma suhtlus Steve´i sülearvuti ja koduse wifivõrgu ruuteri vahel.
Tanel kummutab kommentaariks levinud väärarusaama: „Paljud arvavad, et see tulesid plingitav asi (ruuter) on nagu mingi harukarp. Ei ole, see on arvuti, mida on võimalik programmeerida."
Ekraanil hakkavad jooksma mingid arvude ja tähtede read, ent Steve on rahulolematu. Selgub, et midagi on valesti. Suhtlus kahe arvuti vahel jääb puudulikuks. Signaaliga on midagi nihu. Lähema autost välja, ja kuna kapotil on kaks meest arvutitega ning meie ümber tiirleb klõpsutav fotograaf, jäävad möödakäijad meid huviga põrnitsema.
Ent mida ei tule, on oodatud häkkimisdemonstratsioon. Meil hakkab külm ja otsustame vahepeatuseks kuskile kohvikusse maha istuda. Seda me ka teeme.
„Külm, vastik ja veel mingi probleem," on Steve rahulolematu, samal ajal laua taga oma sülearvutiga midagi klõbistades. „Kui väga püüad, siis juhtub ikka nii, et ei tule midagi välja."
Ent siis venib ta nägu naerule. Ta on avastanud, et kohvikusse levib kellegi väheturvatud koduvõrk ning on edukalt algatanud sellesse sissemurdmise protsessi. See, mis varem välja ei tulnud, tuli nüüd. Tehniliselt poolelt näeb see välja nii, et kuulatakse pealt teatud hulka andmeid, ning nende põhjal saadakse materjal, millest muugitakse välja WEP tehnoloogiaga turvatud parool. Tõenäosus on 95% ja ajakuluks 5 minutit.
Sealt edasi saab kurjade kavatsustega isik juba üsna omatahtsi käituda, võttes üle kasutaja ruuteri ja kontrollides kõike, mida kasutaja internetis teeb.
Seda teadlaste ööd korraldanud tudengid ei tee: „Üritame miljonäriks saada pigem nii, et hakkama knowhow´d jagama."