Архив новостей

Исследование беспроводных сетей в Лондоне

Регулярные исследования в области беспроводных сетей и протоколов помогают нам получить представление о реальном положении дел в этой области. По мере возможностей мы стараемся освещать эти вопросы в наших статьях, чтобы привлечь к ним внимание пользователей. Основными объектами нашего исследования являются Wi-Fi точки доступа и мобильные устройства с поддержкой протокола Bluetooth.

Нами уже были опубликованы обзоры состояния беспроводных сетей в китайских городах Пекине и Тянцзине, сетей, работавших в ходе выставки CeBIT 2006, результаты исследования в Лондоне, Париже и Варшаве.

Спустя год после нашего первого лондонского исследования мы снова вернулись в этот город, для того чтобы получить новые данные и попробовать воочию оценить произошедшие изменения. Кроме этого нас весьма интересовало, действительно ли показатели, полученные нами в ноябре 2006 года в Париже, остаются самыми впечатляющими и непревзойденными.

Исследование проводилось 24-26 апреля 2007 года. Место проведения — деловые районы Canary Wharf и City, различные локации в Лондоне. В ходе исследования были собраны данные более чем о 800 точках доступа. В рамках исследования не осуществлялось попыток перехвата и дешифровки трафика в беспроводных сетях.

Статистическое распределение обнаруженных Wi-Fi-точек следующее:

  • Canary Wharf — более 400
  • Отдельные локации Лондона — более 400

В рамках статьи будут проанализированы изменения в данных по сравнению с нашим аналогичным исследованием 2006 года.

Скорость передачи данных


Рис. 1. Скорость передачи данных (Canary Wharf)


Рис. 2. Скорость передачи данных в Лондоне (суммарные сведения)

По результатам исследования в районе Canary Wharf, сети со скоростью 54 МБ/с составляют там более 82% от общего числа, тогда как аналогичный показатель 2006 года — 68%. Таким образом, за прошедший год доля высокоскоростных сетей в этом районе выросла более чем на 14%. По этому показателю лондонский район обошел аналогичный деловой центр Парижа — La Defense, для которого высокоскоростные сети составляют 77% (данные ноября 2006 года).

Вместе с тем мы продолжаем наблюдать интересную закономерность — в деловых районах европейских столиц доля высокоскоростных беспроводных сетей остается ниже, чем в других районах этих же городов. В прошлом году Canary Wharf по этому показателю отставал от остального Лондона на 4-5%. Для La Defense и Парижа в целом разрыв составлял 8% (77% и 85%). В этом году скорость сетей в Лондоне выросла, но разрыв остался и представляет из себя все те же 5% (82% и 87%).

Второе место по распространенности удерживают сети со скоростью передачи в 11 МБ/с (16%). Такие сети стремительно теряют свою популярность: в прошлом году на Canary Wharf таких сетей было более 25% от общего числа сетей. Для Лондона в целом падение еще более катастрофично — с 28,6% в до 12%.

Доля сетей со скоростью передачи данных 22-48 МБ/с нигде не превысило показателя 2%, зато впервые были обнаружены устройства, работающие на скорости 16,5 Мб/с.

Таким образом за последний год доля высокоскоростных сетей в беспроводных сетях Лондона значительно выросла, и в настоящий момент именно этот город является абсолютным лидером по данному показателю среди всех городов, где мы проводили наши исследования. Общегородской результат в 87% для 54 Мб/с — это потрясающая разница с, например, всего 14% в Варшаве.

Производители оборудования

Всего было обнаружено оборудование для передачи данных в беспроводных сетях 26 разных наименований. Это несколько меньше аналогичного показателя 2006 года (33 производителя).

В районе Canary Wharf было обнаружено оборудование 16 наименований, из которых 5 являются наиболее распространенными и используются в 15% сетей. Оборудование прочих 11 производителей используется менее чем в 10% сетей.

Показатель числа не определенного оборудования (Fake, Unknown, User Defined) вырос по сравнению с 2006 годом на 10% и составил 76%.

В Canary Wharf лидерство по популярности удалось сохранить оборудованию от Cisco, несмотря на почти двухкратное снижение его доли в общем количестве всего обнаруженного оборудования. А вот CyberTAN уступил второе место новичку наших отчетов — оборудованию от Airespace.


Рис. 3. Распределение производителей оборудования в Canary Wharf

По Лондону в целом, как уже было сказано выше, зафиксировано оборудование 26 производителей, из которых первая пятерка точно такие же, как и в Canary Wharf, используется в 15% сетей.

Показатель числа не определенного оборудования (Fake, Unknown, User Defined) вырос по сравнению с 2006 годом на 15% и составил 76%.

Основным отличием статистики по Лондону в целом от статистики по району Canary Wharf является состав лидирующей пятерки. Здесь Cisco уступила прошлогоднее лидерство CyberTAN; Aruba и 2Wire совсем никак себя не проявили, и их место заняли Linksys и Airespace. Без изменений остались только показатели Netgear.


Рис. 4. Распределение производителей оборудования в Лондоне (суммарные данные)

Шифрование трафика

Cамым важным и интересным показателем по беспроводным сетям является соотношение защищенных и незащищенных точек доступа. C начала наших исследований в 2005 году, в Пекине и Тянцзине, каждый новый город устанавливал все новые и новые рекорды по улучшению этого показателя.

Для Пекина полученный нами показатель доли незащищенных точек доступа составил менее 60%, на CeBIT 2006 он равнялся 55%, а в Лондоне в 2006 году — около 50%. Париж задал недостижимую, казалось бы, планку — всего лишь 29% сетей не использовали шифрование. Варшава этой весной показала неплохой результат в 42%, обойдя Лондон 2006 года.

Результаты очередного визита в британскую столицу нас порадовали. Для начала посмотрим на данные Canary Wharf: 65% защищенных точек доступа. Только 35% незащищенных сетей находятся в этом конгломерате из множества небоскребов во главе с самым высоким зданием Великобритании — 238-метровым Canada House. Отличный показатель (Canary Wharf удалось даже обойти парижский La Defense, где в ноябре прошлого года мы отметили 37% точек доступа без шифрования)!


Рис. 5. Шифрование трафика в Canary Wharf

Однако не все так хорошо, как хотелось бы. Год назад Canary Wharf показывал результат в 60% защищенных сетей. С одной стороны, налицо рост числа защищенных точек доступа. С другой стороны – за год ситуация в Canary Wharf улучшилась всего на 5%. И это произошло на фоне увеличения общего числа точек доступа за год в полтора раза! Получается, что при создании новых сетей не учитываются все потенциальные угрозы, о которых известно уже много лет. По-прежнему более трети всех точек доступа могут стать объектами хакерских атак. Между тем, в Canary Wharf расположены офисы множества всемирных банков (HSBC, Citibank и прочих), страховые компании, новостные агентства и т.д. Именно такие организации могут стать одной из главных мишеней хакеров и жертвами похитителей коммерческой информации.

Что еще более печально — общегородской показатель использования шифрования оказался выше, чем в деловом районе: 69% защищенных сетей (в 2006 году доля защищенных точек доступа в Лондоне составила 50%).


Рис. 6. Шифрование трафика в Лондоне в целом

В прошлом году Canary Wharf был лучше Лондона в целом по числу незащищенных точек доступа, в этом году ситуация ухудшилась, и незащищенные сети составили 35% и 31% соответственно.

Аналогичная ситуация была зафиксирована в Париже, где доля незащищенных точек доступа в Париже в целом и в La Defense составила 29% и 37%.

Получается, что общелондонский показатель защищенных точек доступа за год увеличился почти на 20%. Столице Великобритании не хватило совсем чуть-чуть, чтобы отобрать пальму первенства у Парижа, но данные настолько близки, что можно считать это примерным паритетом. А вот деловому центру Лондона необходимо еще значительно постараться, чтобы выйти на уровень безопасности беспроводных сетей La Defense.

Настройки по умолчанию

Сети с настройками по умолчанию являются самым лакомым куском для хакеров, «специализирующихся» на беспроводных сетях. Default SSID, как правило, означает, что администратор точки доступа не изменил имя маршрутизатора. Это может также являться косвенным показателем того, что и аккаунт администратора имеет пароль по умолчанию.

Интернет полон информации о том, какие пароли по умолчанию используются в том или ином сетевом оборудовании, и, обладая данными о производителе (см. раздел «Производители оборудования»), хакер может установить полный контроль над такой сетью.

Одним из наиболее действенных способов защиты от wardriving является отключение широковещательной рассылки идентификатора сети (SSID).

В 2006 году в Лондоне было выявлено 3,68% сетей с настройками по умолчанию для города в целом и немного более 3% — для делового центра Canary Wharf. Выключение SSID Broadcast в Canary Wharf было выявлено более чем в 30% сетей, в целом по Лондону этот показатель превысил 32%.

Рассмотрим обнаруженные в 2007 году сети с точки зрения этих двух показателей.


Рис. 7. Canary Wharf: доля сетей с Default SSID и с отключенным SSID

Как видно на графике, для Canary Wharf показатель Default SSID уменьшился вдвое и составил 1,5%. А вот использование способа отключения широковещательной рассылки идентификатора снизилось с рекордных 30% в 2006 году до более чем скромных 19,4%.

Напомним, что и здесь лидерство теперь принадлежит французам — в La Defense отключение SSID используется в 26% сетей.

Такое же снижение показателя отключения широковещательной рассылки идентификатора отмечается и для всего Лондона в целом — с 32% до 13% с небольшим. Впрочем, на фоне одновременного снижения использования настроек по умолчанию с 3,68% в 2006 году до 1,07% в 2007, этот фактор выглядит не столь огорчительным. Default SSID в 1,07% точек — это новый рекорд в наших наблюдениях.


Рис. 8. Лондов в целом: доля сетей с Default SSID и с отключенным SSID

Типы сетей доступа

Беспроводные сети могут быть организованы либо в виде точек доступа ESS/AP, либо в виде соединений типа «компьютер-компьютер» Peer/AdHoc. Известно, что около 90% WiFi сетей в мире — это именно ESS/AP.


Рис. 9. Распределение типов сетей доступа в Canary Wharf

В 2006 году Canary Wharf продемонстрировал практически 100% совпадение этого показателя с общемировым. В этом году количество Peer-соединений даже несколько сократилось и составило уже 7%. Это может свидетельствовать о некотором уменьшении популярности беспроводных устройств с подобным типом соединения (принтеры, например), хотя в целом данные находятся в пределах статистической погрешности.


Рис. 10. Распределение типов сетей доступа в Лондоне в целом

Для Лондона в целом показатель изменился совсем незначительно, впрочем, в отличие от Canary Wharf, в сторону увеличения числа Peer-соединений. Доля таких соединений увеличилась немного, всего на 1%, но с учетом общего увеличения числа беспроводных точек в Лондоне можно считать тенденцию явно выраженной. Посмотрим, может быть в будущем Лондон покажет результаты, близкие к парижским 13%.

Пассивная реклама

Интересным представляется использование имени точки доступа в качестве рекламы. Поскольку всякий клиент, пытающийся установить соединение с необходимой ему сетью, сначала должен просмотреть список доступных сетей, то использование веб-адресов в именах точек доступа может оказаться дополнительным средством привлечения новых клиентов на сайт. Впервые подобные точки мы обнаружили в Варшаве, где они составили около 3% от общего количества. В Лондоне такие точки также были обнаружены, и хотя их число не превысило 1%, это уже можно считать определенной тенденцией.

Выводы и наблюдения

Подводя итоги нашего очередного лондонского визита, необходимо отметить следующее:

  • Стремительное увеличение использования нового беспроводного оборудования, позволяющего работать на скорости 54 МБ/сек. Показатель в 87% является абсолютно лучшим за всю историю наших наблюдений.
  • Постепенное улучшение ситуации с шифрованием трафика в беспроводных сетях, однако темпы оставляют желать лучшего.
  • По-прежнему деловые районы уступают по уровню защищенности общегородским показателям.
  • Число точек доступа выросло почти в два раза, особенно для Canary Wharf. Мы старались следовать точно тем же маршрутом, что и год назад, и провели там примерно такое же количество времени. Впечатляющий показатель роста популярности Wi-Fi.
  • Примерное равенство по важным показателям между Парижем и Лондоном.

В этот раз мы не стали отдельно проводить исследование точек доступа в рамках выставки InfoSecurity London. Наблюдения на CeBIT2006, InfoSecurity London и InfoSecurity Paris в прошлом году показали практически 100% совпадение всех важных показателей для любых подобных выставок. Из собственных наблюдений за WiFi на лондонском InfoSecurity 2007 опять же отметим наличие некоторого количества точек с настройками по умолчанию, которые становились объектами атак или просто шуток. Так, например, одна из подобных точек на второй день выставки стала гордо сообщать окружающим свой SSID — «Hacked by Kevin Mitnick».

Исследование беспроводных сетей в Лондоне

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике