Eksperiment: avatud WiFi-võrkude turvalisus jätab soovida

Hendrik Alla
Copy
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Veljo Haamer, Wifi.ee aktivist.
Veljo Haamer, Wifi.ee aktivist. Foto: Toomas Huik / Postimees

Tallinnas Viru tänava Hesburgeri laua taga istub mees, kes väidab, et võib loetud minutite jooksul selle söögikoha keldris tegutseva alkoholipoe R-Alko tegevuse peatada. Selleks tuleks tal oma telefoniga mõned manipulatsioonid teha ja poe kassa «kukub maha» – turistid, kes enamasti selle poe klientuuri moodustavad, jääksid kuiva kurguga, kirjutab Hendrik Alla.

Veljo Haamer, kes tutvustab end kui WiFi maaletoojat, seda ei tee. Ta lihtsalt tõestab, et levinud Thomson Speedtouch WiFi-ruuterit kasutav võrk on kodukasutajale mõeldud ja et sellesse võib pääseda igaüks, kellel vähegi teadmisi ning motivatsiooni.

Haameri nutitelefoni ekraanil on üles loetud kõik seadmed, mis parasjagu poe WiFi-võrku kasutavad, kõigi IP-aadressid kenasti näha. Nende hulgas on lisaks nutitelefonidele ja meediamängijatele «Kassa» ja «Server».

«Kui ma tean IP-aadresse, saaksin ühe vabavaralise programmijupi abil need seadmed võrgust välja visata. Ja kui kassa võrguühendus katkestada, jääb R-Alkos müük seisma,» ütleb Haamer.
Selleks pole isegi arvutit tarvis, piisab nutitelefonist.

«See ei ole normaalne, et kui külastaja tuleb kohvikusse või asutusse, siis ta näeb üle WiFi keskserverit, teistest kasutajatest rääkimata. See pilt näitab, et võrk on ebapädevalt üles ehitatud. Võrgu ehitajad ei tunne piisavalt teemat või on lihtsalt laisad olnud,» nendib Haamer.

Kergesti haavatavad

Avalikus WiFi võrgus ei tohi kasutaja teisi võrku ühendatud kasutajaid näha, aga selles võrgus on see võimalik. Haameri programm näitab, et netiühendust pakub kauplusele Starman.

Oleme siin Eestis harjunud, et tasuta WiFi ja ajalehed on osake kohviku igapäevaelust, kuid WiFi peab olema selleks sobivalt seadistatud.

Haamer näitab, et kõnealust WiFi-võrku tekitab Thomson Speedtouch ruuter, mis on mõeldud digitelevisiooni edastamiseks. Nagu Postimees eelmisel nädalal kirjutas, on need ruuterid tehaseseadistuses ebaturvalised.

«Levinuim WiFi ruuter Thomson Speedtouch ei sobi avaliku WiFi tarvis, sest kliendid pääsevad võrgus ligi ettevõtjale ja niisamuti üksteisele. See, et pruugitakse digitaaltelevisiooni edastamiseks mõeldud ruutereid lokaalvõrgu keskseadmena, on sisuliselt ebapädev kasutus,» hoiatab Haamer.

«Sel juhul tuleb lisada eraldi WiFi saatja. Korralik WiFi saatja loob mitu erinevat SSID-võrku ning pakub ühenduse klientidele ja kassaterminalidele eraldiseisvana,» lisab ta.

Viru tänava alkoholipood pole kindlasti ainuke koht, mille WiFi-võrk on kergesti haavatav.

«Eestis on Thomsoni aparaate üle 100 000, enamik neist muidugi kodudes. Igas Eesti linnas leian ma mõne ettevõtte, kus on samasugune ebapädevalt seadistatud võrk nagu siin,» räägib WiFi maaletooja.

Haamer lisab, et Eestis on olnud juhuseid, kus ministeeriumi ebapädevalt üles ehitatud WiFi-võrgu kaudu oli võimalik möödujal heita pilk kas või ministri arvutisse. Ta kiidab majandus- ja kommunikatsiooniministeeriumi, mille hoonestut hõlmav võrk on renoveeritud.

Teenusepakkujal suur roll

Teise katse teeme Liivalaia tänaval asuvas Tiina Pizzas, mille ust ehib Elioni kleebis. Ostame limonaadi, istume lauda ja ajakirjanik ühendab oma telefoni Tiina Pizza WiFi-võrku.

Haamer käivitab oma telefonis võrguskaneerimise tarkvara ja näitab, et WiFit tekitab seal samasugune Thomsoni koduruuter. Võrgus on näha ka ajakirjaniku telefon, selle valmistaja, IP-aadress ja MAC-aadress.

«Sellest mulle piisab, et selle telefoniga n-ö toimetama hakata. Näiteks võiksin selle telefoni kolme sekundiga võrgust välja lülitada. Lubamatu on see, et avalikke võrke ehitatakse viisil, et mööduja suudab võrgu «välja joonistada»,» nendib Haamer.

«Professionaalne on ehitada võrku nii, et kasutaja pääseb otse internetti, aga ei näe enda ümber kohtvõrku. Kõik toimetavad eraldi kanalites. Aga seda peaks tegema teenusepakkuja, mitte kohvikupidaja. Me ei saa eeldada, et inimene, kes teeb suurepäraseid pitsasid, teab midagi WiFi võrgus ehitamisest,» lisab WiFi ekspert.

Haameri kinnitusel on Thomson Speedtouchi ruuterid mõeldud eeskätt kodukasutuseks. Elion pruugib neid digitelevisiooni edastamiseks.

Juba paar aastat pole eriline saladus, et tehaseseadistuses Thomson Speedtouch ruuterid on kergesti muugitavad. Seade annab enda tekitatud võrgule nime ja vabavaralise programmi abil saab tehaseseadistuses ruuteri parooli lahti murda. See lubab võõral tasuta Elioni kliendi koduvõrku kasutada. Elioni töötajad hakkasid alles tänavu mais kodukasutajatele helistama, et need oma võrgu (SSID) nime ära muudaksid – siis poleks nii lihtne võrgu nime järgi parooli ära arvata.

«Vabrikuseadistuses Thomson Speedtouchi ruuteri puhul piisab võrgunimest: kui see on käes, siis oled kuningas. Ja sel puhul ei ole ma lihtsalt pealtkuulaja, nagu näiteks R-Alko või Tiina Pizza näitel, vaid pääsen ruuterisse sisse. Ja sealtkaudu juba kõikjale, mis selle ruuteriga on ühendatud,» rääkis Haamer.

«Sissetungija võib muuta ruuteri seadistusi ja jälgida kõiki seadmeid, mis selle ruuteriga suhtlevad. Kõige lihtsam on seadmeid võrgust välja visata, kuid ohus on ka isiklik teave. Kui kasutaja on mingid kaustad välja jaganud, siis sealtkaudu pääseb sissetungija sisse. Ning siis on võimalik paigaldada väike programmike, mis hakkab arvutis toimetama,» lisas ta.

Haamer tõi näiteks nn keylogger’id ehk programmid, mis salvestavad kasutaja klahvivajutusi ja saadavad need siis üle interneti peremehele. Nii saab teada veebiteenuste kasutajanimesid ja salasõnasid ning halvemal juhul võib see viia rahaliste kaotusteni.

WiFi kui mugavusteenus

Haamer selgitas, et kui Elioni soovitusel haavatava Thomsoni ruuteri nimi ära muuta, ei aita see sugugi nende inimeste vastu, kes on varem parooli ära arvanud. Nad lihtsalt logivad uue nimega võrku vana parooliga. Selle vältimiseks tuleb kindlasti ära muuta ka parool.

«WEP-paroolid on nõrgad ja nende väljaarvutamine suhteliselt kiire. Kodus tuleks kasutada WPA2 paroole, sest nende murdmine nõuab rohkem ressurssi ja on seega kulukam. Parooli valikul pidage silmas, et see ei oleks hõlpsasti äraarvatav,» soovitas ta.

«Pole mõtet panna parooliks näiteks QWERTY või lemmiklooma nime, mille teised võivad ära arvata. Võrku võib sulgeda ka staatilise IP-aadressiga, mida teab ainult kasutaja ise. Üldse on kõige parem kodust ära minnes WiFi välja lülitada: mis ta ikka kiirgab, kui keegi ei kasuta,» soovitas ta.

Haamer toonitas, et WiFi on n-ö mugavusteenus, mis muudab igapäevaelu lihtsamaks ja kiiremaks, aga oleks ebaõige väita, et see oleks lõputult turvaline.

Oskamatut WiFi-kasutajat ohustab identiteedivargus: kasutajanimed ja paroolid on võõrale kättesaadavad. Turvalist internetisuhtlust pakub SSH-tunnel, mille kaudu suhtlevad kliendiga näiteks pangad, Gmail, Skype ja veel mõned teenused.

Turvalise ühenduse tunneb ära selle järgi, et veebilehitseja aadressireale on kirjutatud https://, mitte aga http://. Paistab, et vahe on vaid ühes tähes, kuid see näitab krüpteeritud turvatunneli kasutamist.

Kogu muud veebiliiklust, mis toimub halvasti turvatud WiFivõrgus kasutaja arvuti ja interneti vahel, on võimalik jälgida. Näiteks Elioni veebipostiteenuse hot.ee liiklus toimis aastaid läbi turvamata kanali ja piisavalt asjatundlik inimene saaks sellises auklikus WiFi-võrgus võõraid kirju salaja lugeda.

Kriminaalne tegu
•    Võõrasse arvutisse tungimise eest saab karistada rahatrahvist kuni viieaastase vangistuseni.
•    Kui oled sattunud IT-kuriteo ohvriks, tuleb teavitada võimalikult ruttu politseid. Mida kiiremini saab politsei teada toimunud kuriteost, seda suurem on lootus saada kätte teo toimepanija.
•    Kindlasti ei tohiks arvutit enne politseipoolset tõendite kogumist puhastada, kõik arvutis olev tuleb säilitada, et politseil oleks võimalik avastada jäljed ja koguda tõendid. Konto ebaseadusliku kasutamise korral või ka nn libakonto puhul teavita sellest kohe ka portaali pidajat.
•    Ettevõtte arvutisse tungimisel saab karistada samade seadusepügalate alusel mis eraisikute arvutisse tungimise puhul.
Allikas: politsei

Kommentaarid
Copy

Märksõnad

Tagasi üles