r   e   k   l   a   m   a
r   e   k   l   a   m   a

Evil twin – i jak tu ufać hotspotom? Ofiarą tego ataku może paść każdy

Strona główna AktualnościBEZPIECZEŃSTWO

Przyjrzeliśmy się już bliżej kilku typom ataków na sieci bezprzewodowe. Można jednak powiedzieć, że świadomi zagrożenia użytkownicy są na nie odporni: aktualne firmware routera, wyłączony WPS i silne, kilkunastoznakowe hasło WPA2/PSK wystarczą, by domowa sieć była bezpieczna. Jest jednak atak na Wi-Fi, przed którym zwykły użytkownik prawie nie ma szans się obronić. Co prawda nie pozwoli on raczej napastnikowi na wykorzystanie naszego dostępu do Internetu, ale potencjalnie stanowi jeszcze większe zagrożenie, pozwalając napastnikowi przechwycić nasz ruch sieciowy, a nawet poprzez wstrzyknięcie złośliwego oprogramowania przejąć kontrolę nad naszym komputerem.

Otwartych sieci bezprzewodowych jest sporo. Restauracje, kawiarnie i puby, hotele, lotniska, publiczne hotspoty firm telekomunikacyjnych – przykłady można mnożyć. Co w tym kontekście oznacza „otwartych”? Ano niezamkniętych, takich, do których nie potrzeba żadnego hasła WEP/WPA/WPA2. Nierzadko to podłączenie do otwartego punktu dostępowego to dopiero pierwszy krok, w następnym użytkownik zostaje skierowany na webową bramkę proxy, gdzie podaje wykupione lub otrzymane za darmo hasło, by po jego weryfikacji otrzymać wreszcie dostęp do Internetu. Takie rozwiązanie, atrakcyjne z perspektywy operatora hotspotu (ludzie potrafią wpisywać hasła do przeglądarek, łatwo też wprowadzić system kodów jednorazowych) jest z perspektywy bezpieczeństwa wręcz tragiczne. Nie tylko komunikacja między klientem a punktem dostępowym może być podsłuchana przez każdego, ale też nie mamy żadnej gwarancji, że to darmowe Wi-Fi w restauracji, do którego podłączyliśmy się z naszym laptopem, faktycznie należy do restauracji.

Wyglądają tak samo

Evil Twin („zły bliźniak”) – tak się określa wspomniany typ ataku. W tej formie bezprzewodowego phishingu napastnik rekonfiguruje pozostający pod jego kontrolą punkt dostępowy tak, aby był nieodróżnialny dla klientów od prawdziwego punktu dostępowego, a następnie zmusza ich do połączenia się z tym sfałszowanym. Niewiele tu potrzeba – na etapie negocjacji połączenia nie ma żadnej wstępnej weryfikacji tożsamości. By klient podłączył się do oszusta, musi on po prostu identycznie się przedstawić (takim samym adresem MAC i nazwą SSID), generować mocniejszy sygnał radiowy i pozwolić na dostęp do Internetu.

r   e   k   l   a   m   a

Nawet jeśli klient jest już podłączony do prawdziwego punktu dostępowego, nie jest to problemem – odpowiednia sekwencja pakietów deautentykacji „zrzuci go z rowerka”. Wówczas próbując przywrócić połączenie w ramach listy znanych, preferowanych sieci, automatycznie połączy się z punktem generującym najsilniejszy sygnał. Napastnik może wówczas zająć się podsłuchem ruchu sieciowego, może wstrzykiwać w niego własne pakiety, może pokusić się o fałszowanie odpowiedzi serwerów DNS i przekierowywanie przeglądarki ofiary na strony hostujące złośliwe oprogramowanie, może wreszcie spróbować wyłudzić hasła technikami inżynierii społecznej.

Niektórzy ostrzegają przed atakami złego bliźniaka przeciwko punktom dostępowym korzystającym z szyfrowania. W rzeczywistości WPA/WPA2 uodparnia sieć na taki atak: klient i punkt dostępowy wzajemnie się tu uwierzytelniają, więc napastnik nie może zestawić fałszywego punktu dostępowego, odtwarzającego wszystkie właściwości punktu oryginalnego, gdyż nie zna hasła. Znane są jednak ataki przeciwko sieciom WPA/WPA2, które wykorzystują naiwność użytkowników, by hasło to od nich wydobyć. Skuteczność tych metod okazała się na tyle duża, że powstały gotowe narzędzia, automatyzujące tego typu ataki.

Trzeba pamiętać, że atak taki może zostać przeprowadzony wszędzie, nie tylko w miejscach publicznych. Sieci w hotelach czy firmach (nawet te, gdzie używa się uwierzytelniania przez serwer RADIUS) również są na złego bliźniaka podatne – i w większości wypadków trudno jest im zapobiec.

Technika oszustwa

Do stworzenia złego bliźniaka najwygodniej oczywiście wykorzystać Kali Linuksa (wszystkie narzędzia pod ręką, a sterowniki kart sieciowych potrafią wszystko), ale można oczywiście skorzystać z innych dystrybucji. Pierwszym krokiem jest oczywiście zdobycie informacji o atakowanym punkcie dostępowym. W tym celu przełączamy kartę sieciową w tryb monitorowania (airmon-ng start wlan0), a następnie robimy zrzut aktywności sieciowej w otoczeniu poleceniem airodump-ng wlan0mon.

Na liście wyświetlonych urządzeń wyszukujemy SSID sieci (czyli jej nazwę), BSSID (czyli adres MAC punktu dostępowego) i kanał. Odnotowujemy je, a następnie przełączamy się na monitorowanie wyłącznie wybranego urządzenia, poleceniem

airodump-ng wlan0mon -c [numer kanału] --bsid [adres MAC punktu dostępowego]

Na liście klientów zobaczymy wówczas adresy urządzeń połączonych z atakowanym punktem dostępowym. Je również należy sobie odnotować (albo pozostawić wyniki w jednym okienku i otworzyć sobie drugi terminal).

Złego bliźniaka tworzy się narzędziem airbase-ng. Wygląda to tak:

airbase-ng -a [adres MAC punktu dostępowego] --essid [nazwa sieci] -c [kanał] wlan0mon

czyli np. airbase-ng -a 94:0c:6d:ac:57:02 --essid KAWIARNIA -c 8 wlan0mon.

W teorii do sklonowania wystarczy podać tylko nazwę sieci, ale ustawienie takiego samego adresu MAC i kanału urealni złego bliźniaka. Niektóre klienty Wi-Fi potrafią zidentyfikować punkty dostępowe nie tylko po nazwie, po połączeniu wszystkich tych danych jednak i one ulegną.

Wycieczka do Boliwii

Stworzenie złego bliźniaka nie spowoduje, że ofiara automatycznie się do niego podłączy. Napastnik musi ją w tę stronę popchnąć, wysyłając pakiety deautentykacji. Służy do tego narzędzie aireplay-ng, a składnia jego użycia wygląda następująco:

aireplay-ng -0 10 -a [adres MAC punktu dostępowego] -c [adres MAC atakowanego klienta] wlan0mon

Flaga -0 oznacza wysłanie pakietu deautentykacji, 10 to liczba takich pakietów wysłanych w ataku. Podając tylko adres punktu dostępowego, doprowadzimy do rozłączenia wszystkich podpiętych klientów.

Zaatakowane urządzenie straci dostęp do Sieci – i co teraz? Wcale nie ma gwarancji na to, że nie renegocjuje połączenia z prawdziwym punktem dostępowym. Z przeprowadzonych przez nas eksperymentów wynika, że wszystko zależy tutaj od odległości między napastnikiem, ofiarą i punktem dostępowym. W większości wypadków (7/10), gdy odległość między napastnikiem i ofiarą a ofiarą i punktem dostępowym była mniej więcej równa (po ok. 5 metrów), ofiara renegocjowała jednak połączenie z prawdziwym punktem dostępowym. Gdy napastnik był od ofiary oddalony dwa razy dalej (10 m), w dziesięciu próbach tylko raz udało się zmusić ją do połączenia ze złym bliźniakiem. Nawet gdy napastnik był oddalony od ofiary o tylko trzy metry, połączenie ze złym bliźniakiem nastąpiło tylko w 5/10 wypadków. Powód jest prosty – podczas gdy punktem dostępowym był przyzwoity router TP-Linka (1043ND), laptop napastnika miał do dyspozycji tylko prosty moduł USB z jedną antenką.

By zwiększyć swoje szanse w tym wyścigu sygnałów, napastnik może jednak zrobić prostą sztuczkę. Oczywiście wiąże się ona z naruszeniem prawa, ale raczej trudno się spodziewać, by regulacje prawa telekomunikacyjnego powstrzymały ludzi, którzy zakładają złośliwe punkty dostępowe. Chodzi o zmianę mocy nadajnika w karcie bezprzewodowej. Możliwości wielu kart są sztucznie ograniczone przez ich oprogramowanie. I tak przy ustawieniu domeny regulacyjnej dla karty na PL (Polska), maksymalna moc nadajnika to raptem 200 mW, (23 dBm). Są jednak kraje, w których prawo dopuszcza działanie nadajników o mocy nawet 1 W (30 dBm). Moduły Wi-Fi o takiej mocy (np. Alfa AWUS036H), są do kupienia już za ok. 160 zł. Napastnik wyposażony w taki moduł może następnie zmienić domenę regulacyjną karty na Boliwię, poleceniem

iw reg set BO

a następnie podbić jej moc do maksymalnego poziomu poleceniem

iwconfig wlan0 txpower 30

Routerowi bardzo trudno będzie wygrać z wielokrotnie silniejszym sygnałem.

Inną metodą wykorzystywaną w tego typu atakach jest po prostu permanentny DDoS. Nawet jeśli sygnał napastnika jest słabszy, to stałe bombardowanie pakietami deautentykacji prawdziwego punktu dostępowego sprawi, że w końcu ofiara podłączy się do złego bliźniaka. Połączenie takie nie będzie jednak działało zbyt stabilnie.

Złośliwy dostawca Internetu

Punkt dostępowy musi zapewniać dostęp do Internetu – prawda? Jednak w obecnej konfiguracji ani ofiara, ani napastnik dostępu takiego nie mają. Klient podłączony do złego bliźniaka może tylko zgrzytać zębami, denerwując się co z tą siecią. Kali Linux zapewnia jednak wszystkie narzędzia, które pozwalają napastnikowi wyposażyć złego bliźniaka w sieć, np. z modemu komórkowego czy innej karty Wi-Fi.

Przede wszystkim trzeba wiedzieć, jak się nazywa interfejs karty czy modemu. Jeśli główna karta Wi-Fi to wlan0, druga będzie zwykle nazywała się wlan1. Karta Ethernetu to najczęściej eth0, z kolei modem komórkowy będzie nosił nazwę ppp0. Zły bliźniak założony przez airbase-ng to at0.

Do połączenia interfejsów wlan1 i at0 wykorzystamy narzędzie do zarządzania mostami sieciowymi brctl z pakietu bridge-utils (warto zapoznać się z obszernym artykułem mu poświęconym na Wikibooks). Można to zrobić oczywiście za pomocą iptables i trasowania, ale metoda z mostkiem wydaje się prostsza. Wydajemy kolejno polecenia

brctl addbr bridge0 #założenie mostu bridge0
brctl addif bridge0 wlan1 #połączenie mostu z interfejsem wlan1 (albo eth0/ppp0)
brctl addif bridge0 at0 #połączenie mostu z interfejsem at0
ifconfig wlan1 0.0.0.0 up #aktywacja wlan1
ifconfig at0 0.0.0.0 up #aktywacja at0
ifconfig bridge0 up #aktywacja mostu
dhclient bridge0 & #automatyczna konfiguracja DHCP

W ten sposób zły bliźniak punktu dostępowego też zaczął oferować dostęp do Sieci.

Między ustami a brzegiem pucharu

Napastnik może teraz swobodnie przyglądać się wszystkiemu, co robi ofiara, nieświadoma że połączyła się ze złym bliźniakiem hotelowego routera. Do obserwacji można oczywiście wykorzystać popularnego Wiresharka, to proste narzędzie z graficznym interfejsem, nie wymagające specjalnych wyjaśnień, można też skorzystać z Ettercapa do automatycznego logowania do pliku wszystkiego, co dzieje się na at0. W tym celu wystarczy wydać polecenie

ettercap --silent -T -q -p --log-msg eviltwin.log -i at0 &

Możliwości jest oczywiście znacznie więcej. Ofiara może korzystać z tunelu TLS, by szyfrować swoje połączenie z witryną internetową po HTTPS. Narzędzie SSLStrip nie pozwoli na to, w zamian zestawiając tunel między napastnikiem i witryną, a ofierze pozostawiając tylko jawny tekst (i fawikonkę, która będzie wyglądała jak kłódeczka).

Popularnym typem ataków jest też wstrzykiwanie złośliwego kodu w przeglądane przez ofiarę strony internetowe, z wykorzystaniem narzędzia Sergio Proxy, albo jak już wcześniej wspomnieliśmy, próba wyłudzenia hasła WPA/WPA2 – pozwalają na to takie narzędzia jak wifiphisher czy infernal-twin. Ten ostatni który potrafi zresztą znacznie więcej, automatyzując większość ataków na sieci bezprzewodowe.

Jak się mimo wszystko obronić?

Mimo że nie istnieją bezpośrednie metody obrony przez atakiem typu evil twin, nie znikną też raczej otwarte sieci bezprzewodowe, przeprowadzające uwierzytelnienie co najwyżej przez jakieś webowe proxy, to jednak można ograniczyć zagrożenie. Sugerujemy więc, abyście:

  • unikali wszystkich otwartych hotspotów o niepasujących do miejsca nazwach (np. dlink),
  • wyłączyli automatyczne podłączanie się do otwartych punktów dostępowych,
  • uważali na dziwne przekierowania DNS do sieci wewnętrznych (10.x.x.x i 192.168.x.x),
  • nie lekceważyli informacji o podejrzanych, samodzielnie podpisanych certyfikatach witryn internetowych.

Przede wszystkim jednak zabezpieczajcie swój ruch sieciowy za pomocą wirtualnej sieci prywatnej (VPN).

VPN to jednak metoda pasywna, która chroni jedynie przed podsłuchem. Co można poradzić administratorom, którzy chcieliby się zabezpieczyć przez złymi bliźniakami swoich punktów dostępowych? W zeszłym roku pojawiło się narzędzie EvilAP_Defender, które nie tylko potrafi wykryć takie zagrożenia w naszej sieci i informować administratora e-mailem czy SMS-em, ale też jest w stanie aktywnie je zwalczać za pomocą ataku DoS. Uzbrojeni w nie administratorzy mogą wykorzystać metody ofensywnego bezpieczeństwa, by na bieżąco likwidować potencjalne zagrożenia w środowisku, którym zarządzają. Trzeba pamiętać bowiem, że dziś wrogim punktem dostępowym nie musi być laptop hakera, może to być np. jednopłytkowy komputerek w rodzaju Raspberry Pi, podłączony do akumulatorka i ukryty gdzieś wśród biurowych mebli i roślinek. Jutro takimi złymi bliźniakami mogą stać się urządzenia wielkości guzika, takie jak intelowe komputerki Curie. Braku proaktywnego podejścia do tego zagrożenia można więc będzie gorzko żałować.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.