English
بازگشت به بلاگ

امنیت (نا امنی) در شبکه های WiFi (بی سیم) و خطر شنود اطلاعات

۲۰ فروردین ۱۳۹۳، دسته: آموزش.

برچسب ها: , , , , , , , , , , , , , , , , , .

اینترنت wifi

شاید خیلی ها اصلا اطلاعاتی در مورد انواع روش های رمزگذاری بر روی شبکه های بی سیم خانگی/سازمانی/عمومی نداشته باشند و در اینجا هم قرار نیست در مورد جزییات فنی مربوط به این روش ها صحبت کنم اما به طور خلاصه، تبادل اطلاعاتی که بین کاربر (کامپیوتر/تلفن همراه/تبلت و …)  و مودم/روتر/اکسس پوینت wifi صورت می گیرد، به دو روش انجام می شود: با رمزگذاری و بدون رمزگذاری.

 

شبکه های بی سیم فاقد رمزگذاری خطرناک

شبکه اینترنت عمومیهمان دسته از شبکه هایی می باشند که بدون نیاز به داشتن رمز می توان به آنها متصل شد. بالطبع در عمده ی مواقع، حتی اگر شبکه عمومی نباشد، بسیار نا امن هستند و به سادگی و بدون هیچ نوع تجهیزات خاص و اضافی می توان تمام اطلاعات تبادلی را رصد/شنود کرد و از میان آنها به اطلاعاتی شخصی از جمله رمز های عبور و شماره کارت های بانکی و عکس های خصوصی دست پیدا کرد. از این قبیل شبکه ها در فرودگاه ها و بسیاری از اماکن عمومی می توان یافت که در نگاه اول با وجود اینترنت مجانی و ذوق و شوقی که وجود دارد، اغلب به چنین مسئله ای فکر نمی کنیم و سریع به شبکه وصل شده و به کارهای روزمره خود می پردازیم، بدون آنکه به این نکته که هرکسی که بتواند از این شبکه استفاده کند، می تواند به اطلاعات تبادلی تمام کاربر های شبکه دسترسی داشته باشد توجه کنیم.

اگر شبکه خصوصی است و این امکان برای ایجاد تغییرات در تنظیمات مودم/روتر/اکسس پوینت wifi وجود دارد، توصیه می کنم بلافاصله بعد از خواندن این مطلب، تنظیمات آن را تغییر داده و رمز روی شبکه بی سیم خود تنظیم کنید.

در مورد شبکه های عمومی هم توصیه می کنم که اصلا وارد سایت های حساس (پرداخت اینترنتی و بانک ها و …) نشده و از تبادل اطلاعات خصوصی که مایل نیستید در اختیار دیگران قرار بگیرند جدا خودداری نمایید.

راهکار مقابله با شنود اطلاعات: امکان رمزگذاری ارتباط در چنین شبکه هایی از طریق برقراری تونل های امن و استفاده از VPN های خاصی وجود دارد اما خود این تونل ها و VPN ها هم درصورت ارائه توسط شرکت ها و اشخاص نا شناس و کم تجربه می توانند از لحاظ امنیتی بسیار مخرب تر از خود شبکه ی اصلی عمل کنند. این مورد تنها شامل ارائه کنندگان سودجو نمی شود که خود به شنود و پردازش این اطلاعات تبادلی می پردازند و ممکن است به دلیل بی تجربگی/کم تجربگی گردانندگان این شبکه ها، تنظیمات امنیتی سرور های برقرار کننده ی سرویس دچار حفره های امنیتی باشد و به دیگران اجازه نفوذ و شنود دهد. نهایتا نیز استفاده از این سرویس های اضافی، تضمین کننده ی امنیت کامل در اینترنت نیست، چرا که همواره حفره های امنیتی جدیدی در انواع سرویس های اینترنتی شناسایی می شوند و می توان گفت که امنیت در فضای اینترنت بطور کامل وجود نداشته و تمام این راهکار ها و سرویس های اضافی تنها سرعت دسترسی و تعداد افراد دارای دسترسی به اطلاعات شما را کاهش می دهند.

 

شبکه های بی سیم رمزگذاری شده

اینترنت wifi رمزگذاری شدههمانطور که از عنوان این قبیل شبکه ها پیداست، اطلاعات تبادلی در این شبکه ها رمزگذاری می شوند اما نباید با فرض رمزگذاری شده بودن این شبکه ها گمان کنیم که امنیت اطلاعاتی برقرار است و با آرامش خاطر می توانیم از این شبکه ها استفاده کنیم. رمزگذاری اطلاعات در این شبکه ها با الگو ها و الگوریتم های متفاوتی صورت می گیرد. بعضی از آنها بسیار پیچیده و دارای امنیت بالا -در این موارد نیز امنیت ۱۰۰% وجود ندارد- بوده و برخی در کمتر از چند ثانیه قابل شکستن و نفوذ می باشند.

نقطه ی مشترک تمام الگوریتم های رمزگذاری استفاده شده در این شبکه ها، یک کلید رمز است که بر اساس آن تمامی اطلاعات دریافتی و ارسالی بین دستگاه شما و مودم/روتر/اکسس پوینت شبکه رمزگذاری و رمزگشایی می شوند. برخی از این کلیدها به روش های زیر تعریف و مورد استفاده قرار میگیرند:

  • رمز کوتاه متنی (چند حرف تا چند ده حرف) که به واسطه ی آن می توانید به یک شبکه خاص وصل شوید (که مطمئنا با آن آشنا هستید و بطور روزمره از این قبیل رمز/کلید ها استفاده می کنید).
  • یک فایل کوچک متنی (یا گواهی امنیتی) که دربردارنده رمزی طولانی تر از روش قبل بوده و توسط سرویس دهنده قابل شناسایی می باشد.
  • استفاده از سخت افزار جانبی از قبیل کارت خوان کارت های هوشمند (مانند کارت های بانکی) و یا هر نوع دستگاه دیگری که یک کلید امنیتی در داخل آن ثبت و درصورت درخواست توسط سرویسی، مورد استفاده قرار گیرد (امضا های دیجیتال یا توکن ها).
  • ترکیبی از روش های فوق.

امنیت کلی شبکه ها نیز در ابتدا به واسطه الگوریتم امنیتی مورد استفاده و سپس بر اساس میزان امنیت این کلید رمز مشخص می شود. در میان روش های مذکور نیز در اینجا تنها به مورد اول که رایج ترین روش استفاده و به اشتراک گذاشتن اینترنت برای کاربران عادی می باشد می پردازم که خود این روش هم در حال حاضر از ۲ الگوریتم اصلی رمزگذاری بهره میگیرد:

 

رمزگذاری به روش WEP خطرناک

wep به سادگی هک می شودناامن ترین روش کدگذاری شبکه، همین WEP می باشد که به غیر از چند نسخه غیر رایج و غیر استاندارد، مابقی را می توان با حداقل امکانات و با صرف حداقل زمان رمزگشایی و سپس اقدام به شنود و سرقت اطلاعات نمود. این روش کدگذاری شاید تنها روش کدگذاری در مودم/روتر/اکسس پوینت های قدیمی بوده و در مودم های جدیدتر نیز یکی از موارد قابل انتخاب در تنظیمات کدگذاری می باشد.

برای شکستن رمز شبکه های WEP نیازی به دانش فنی و تجهیزات خاصی نیست و با جستجوی کوچکی در گوگل و دانلود نرم افزار های لازم و ورود چند سطر دستور و یا با چند کلیک، در مواقعی ظرف چند ثانیه و در مواقعی چند روز (بسته به طول رمز و تنوع حروف و اعداد به کار گرفته شده، میزان استفاده و حجم ترافیکی شبکه ی مورد نظر، قدرت سیگنال و کیفیت و قابلیت های کارت شبکه ی خود) رمز شبکه را بدست آورده و علاوه بر استفاده از اینترنت دیگران به تمام اطلاعات تبادلی نیز دست یافت (از آن جایی که شاید فکر کنید هر کسی از پس این کار بر نمی آید، در مطالبی که ظرف روز های آینده بر روی بلاگ می گذارم، سادگی این کار را  صرفا جهت اطلاع رسانی، با چند مثال کلی به نمایش خواهم گذاشت).

راهکار: در مودم های قدیمی تر که گزینه ای جز WEP وجود ندارد، ابتدا از طریق وب سایت سازنده ی مودم/روتر به دنبال firmware update مربوط به مودم خود بگردید و آخرین نسخه firmware (به عبارتی سیستم عامل) مودم خود را با رعایت تمامی مراحل و جزییات اعلام شده دانلود و نصب نمایید (در برخی از مودم ها از طریق صفحات تنظیمات مودم  و با چند کلیک ساده، دستگاه آخرین firmware را مستقیما دانلود و بر روی خود نصب می کند). با این کار به احتمال خیلی زیادی، گزینه دیگری (WPA یا WPA2) به گزینه های انتخابی اضافه می شود که می بایست از آنها استفاده نمود. چنانچه بعد از به روز کردن firmware باز هم فقط گزینه ی WEP موجود بود، یا باید مودم جدید تهیه نمایید و یا دائم رمز شبکه خود را تغییر دهید تا اطلاعات قبلی جمع آوری شده توسط هکر ها کارایی خود را از دست داده و با اطلاعات موجود ایجاد سر در گمی نماید.  در سایر موارد هم همانطور که توضیح دادم حتما از گزینه های WPA و حتی الامکان WPA2 استفاده نمایید (البته WPA/WPA2 هم  عمدتا ایراد دیگری دارند که به آن هم اشاره خواهم کرد و در اغلب مواقع حفره ی امنیتی موجود را هم می توان بست).

 

رمزگذاری به روش WPA/WPA2

در حال حاضر امن ترین روش اشتراک گذاری و اتصال به شبکه های بی سیم خانگی و کوچک، مشروط به استفاده از رمز مناسب و غیر فعال نمودن بخشی از سرویس ها، WPA2 و یا نسخه ی قدیمی تر آن WPA می باشد. رمز های این قبیل شبکه ها به مانند WEP مستقیما قابل شکستن نیستند و تجهیزات پردازشی گران قیمتی لازم است تا بتوان یک شبکه ی امن با کدگذاری WPA/WPA2 را هک نمود. در اینجا نیز این نکته را باید متذکر شد که تمامی شبکه های کدگذاری شده به روش WPA/WPA2 نیز بطور کامل امن نمی باشند و باید به چند نکته توجه داشت:

  • رمز مورد استفاده در تنظیمات این شبکه نباید حاوی کلمات موجود در دیکشنری (فرهنگ لغات) (مثلا appletest) و یا ترکیب های ساده/صرفا عددی (مثلا ۱۲۳۴۵۶۷۸۹۰) و علی الخصوص رمز پیش فرض مودم (مثلا password)  باشد. در انتخاب رمز مناسب باید از عبارت های فاقد معنی با ترکیب حروف بزرگ و کوچک و اعداد و کاراکتر های نوشتاری و با طول بالا استفاده شود (مثلا NhjgH!*y9A@9889hp). درست است که ورود این عبارت در گوشی یا کامپیوتر کار دشواری است اما بر روی هر دستگاه فقط کافیست که ۱ بار این کار را انجام دهید و قرار نیست که هر روز رمز را تغییر داده و از رمز جدیدی استفاده نمایید. علاوه بر آن، سرویس دیگری که در بند زیر به آن اشاره شده، برای ایجاد سهولت در همین امر تهیه شده است.
  • خطرناک به دلیل طولانی تر بودن رمز های این نوع از شبکه ها و در راستای ایجاد سهولت برای ورود رمز/کلید کدگذاری شبکه، امکانیشبکه نا امن با مودم دارای قابلیت WPS بر روی اغلب مودم های جدیدتر فراهم شده که با فشردن یک دگمه بر روی مودم و یا ورود یک کد مشتمل بر ۸ رقم، رمز اصلی بطور خودکار بین مودم و دستگاه شما (کامپیوتر/گوشی/تبلت) تبادل میگردد و نیازی به ورود این رمز طولانی نیست. این سرویس تحت عنوان WPS بوده و رمز پیش فرض آن نیز معمولا در زیر/پشت مودم نوشته شده است. نسخه رایج و قدیمی تر این سیستم که هنوز بر روی اغلب مودم ها وجود دارد، دارای مشکل امنیتی بزرگی است. این دفعه پیدا کردن رمزی که صرفا از ۸ رقم عدد تشکیل شده حتی از پیدا کردن رمز WEP نیز ساده تربوده و جالب است بدانید که نیاز به یافتن یک عدد ۸ رقمی هم نیست، بلکه تنها باید ۲ عدد ۴ رقمی شناسایی شوند که انجام این کار بصورت دستی نیز چندان دشوار نیست. با بکار گیری نرم افزار مربوطه و کارت شبکه های خاص (که در عین حال بسیار هم رایج و ارزان هستند) این کار نیز در مواقعی ظرف چند ثانیه (درصورتیکه رمز پیش فرض WPS بدون تغییر مانده باشد) و حداکثر چند ساعت تا ۱ روز (اگر سیگنال های شبکه ضعیف تر بوده یا برخی پارامتر های امنیتی فعال باشد) صورت می گیرد. در مودم های جدیدتر (و در صورت به روز کردن firmware مودم های قدیمی تر) موارد امنیتی به این سرویس افزوده می شود که درصورت شناسایی چنین حمله هایی موقتا سرویس را قطع کرده و پس از چند دقیقه مجددا راه اندازی می نماید. در برخی از مودم ها این سرویس تنها برای دستگاهی که شروع به حمله و شناسایی کرده قطع می گردد که با استفاده از کارت های شبکه ای که به آن اشاره شد و با چند خط دستور اضافه تر، می توان این مورد را نیز به سادگی دور زد. پیچیده ترین روش های مقابله با این نوع حمله نیز نمی توانند مانع از بدست آوردن رمز شوند و با صرف حداکثر چند روز می توان رمز سرویس WPS را شناسایی و سپس به واسطه آن رمز اصلی شبکه را پیدا کرد. برای مقابله با این نوع حمله، بهترین کار، غیر فعال کردن سرویس WPS از طریق صفحات تنظیمات مودم خود می باشد. هر زمان که لازم دانستید، می توانید به سادگی چند کلیک آن را مجددا راه اندازی کرده، دستگاه دلخواه خود را به شبکه متصل نمایید و مجددا آن را غیر فعال کنید.

 

سخن آخر

فضای اینترنت و شبکه، فضای بسیار ناامنی است. همواره اخبار مختلفی پیرامون شکسته شدن مطمئن ترین روش های کدگذاری و پیدا شدن حفره های امنیتی در سرویس های رایج اینترنتی در سایت ها و شبکه های خبری در حال انتشار می باشد. در عصر حاضر، اطلاعات شخصی به با ارزش ترین کالاهای مبادلاتی در فضای مجازی تبدیل شده اند. قبل از نوشتن هر مطلبی و قبل از ارسال هر عکس و فایلی بدانید احتمال اینکه این اطلاعات در اختیار افرادی به غیر از مخاطب مورد نظر شما قرار بگیرند، همواره وجود دارد. سرقت اطلاعات و نقض حریم خصوصی همواره در حال صورت گرفتن می باشد. اطلاعات شخصی خود را در هرجایی وارد ننمایید، از رمزهای قوی استفاده کنید، دائما رمز های خود را تغییر دهید. در زمان اتصال به شبکه های عمومی نیز احتیاط عمل بیشتری به خرج دهید.

۳ نظر/دیدگاه

گلی ۲۰ فروردین ۱۳۹۳ - ۳:۰۳ ق.ظ

خب اینطور که من متوجه شدم ما هر کاری بکنیم آخرش هم امکان ِ هک شدن ِ اطلاعات هست گویا… شاید بهتر باشه کلاً بساط اینترنت رو جمع کنیم و به جاش یه سیستم ِ امن ِ دیگری رو جایگزین کنیم… که البته این هم تقریباً غیر ممکنه :/

پاسخ دادن

Nima ۲۰ فروردین ۱۳۹۳ - ۴:۱۱ ق.ظ

فی الواقع همینطور است. بهترین راه حل این است که انسان ها از نبود این امنیت مطلع بوده و اطلاعات حساس و شخصی خود را به راحتی در هر کجایی قرار ندهند و از هر طریقی جابجا ننمایند! روش های آسانی برای رمزگذاری فایل ها و ایمیل ها وجود دارد که مجددا همانطور که در متن هم نوشتم امنیت ۱۰۰٪ تامین نمی کنند اما سرعت دسترسی و تعداد افرادی که می توانند دسترسی پیدا کنند را به شدت کاهش می دهد.

پاسخ دادن

گلی ۲۰ فروردین ۱۳۹۳ - ۴:۱۶ ق.ظ

ممنون از شما بزرگوار که این مسائل رو روشن توضیح می دهید. سعی می کنیم یاد بگیریم.

پاسخ دادن

نوشتن نظر/دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *