Evil twin – i jak tu ufać hotspotom? Ofiarą tego ataku może paść każdy

Evil twin – i jak tu ufać hotspotom? Ofiarą tego ataku może paść każdy15.03.2016 21:01

Przyjrzeliśmy się już bliżej kilku typom ataków na siecibezprzewodowe. Można jednak powiedzieć, że świadomi zagrożeniaużytkownicy są na nie odporni: aktualne firmware routera, wyłączonyWPS i silne, kilkunastoznakowe hasło WPA2/PSK wystarczą, by domowasieć była bezpieczna. Jest jednak atak na Wi-Fi, przed którymzwykły użytkownik prawie nie ma szans się obronić. Co prawda niepozwoli on raczej napastnikowi na wykorzystanie naszego dostępu doInternetu, ale potencjalnie stanowi jeszcze większe zagrożenie,pozwalając napastnikowi przechwycić nasz ruch sieciowy, a nawetpoprzez wstrzyknięcie złośliwego oprogramowania przejąć kontrolęnad naszym komputerem.

Otwartych sieci bezprzewodowych jest sporo. Restauracje, kawiarniei puby, hotele, lotniska, publiczne hotspoty firm telekomunikacyjnych– przykłady można mnożyć. Co w tym kontekście oznacza„otwartych”? Ano niezamkniętych, takich, do których niepotrzeba żadnego hasła WEP/WPA/WPA2. Nierzadko to podłączenie dootwartego punktu dostępowego to dopiero pierwszy krok, w następnymużytkownik zostaje skierowany na webową bramkę proxy, gdzie podajewykupione lub otrzymane za darmo hasło, by po jego weryfikacjiotrzymać wreszcie dostęp do Internetu. Takie rozwiązanie,atrakcyjne z perspektywy operatora hotspotu (ludzie potrafiąwpisywać hasła do przeglądarek, łatwo też wprowadzić systemkodów jednorazowych) jest z perspektywy bezpieczeństwa wręcztragiczne. Nie tylko komunikacja między klientem a punktemdostępowym może być podsłuchana przez każdego, ale też nie mamyżadnej gwarancji, że to darmowe Wi-Fi w restauracji, do któregopodłączyliśmy się z naszym laptopem, faktycznie należy dorestauracji.

Wyglądają tak samo

Evil Twin („zły bliźniak”) – tak się określa wspomnianytyp ataku. W tej formie bezprzewodowego phishingu napastnikrekonfiguruje pozostający pod jego kontrolą punkt dostępowy tak,aby był nieodróżnialny dla klientów od prawdziwego punktudostępowego, a następnie zmusza ich do połączenia się z tymsfałszowanym. Niewiele tu potrzeba – na etapie negocjacjipołączenia nie ma żadnej wstępnej weryfikacji tożsamości. Byklient podłączył się do oszusta, musi on po prostu identyczniesię przedstawić (takim samym adresem MAC i nazwą SSID), generowaćmocniejszy sygnał radiowy i pozwolić na dostęp do Internetu.

Ja jestem punktem dostępowym: żartobliwe ale trafne przedstawienie ataku (źródło: github.com/sophron/)
Ja jestem punktem dostępowym: żartobliwe ale trafne przedstawienie ataku (źródło: github.com/sophron/)

Nawet jeśli klient jest już podłączony do prawdziwego punktudostępowego, nie jest to problemem – odpowiednia sekwencjapakietów deautentykacji „zrzuci go z rowerka”. Wówczas próbującprzywrócić połączenie w ramach listy znanych, preferowanychsieci, automatycznie połączy się z punktem generującymnajsilniejszy sygnał. Napastnik może wówczas zająć siępodsłuchem ruchu sieciowego, może wstrzykiwać w niego własnepakiety, może pokusić się o fałszowanie odpowiedzi serwerów DNSi przekierowywanie przeglądarki ofiary na strony hostujące złośliweoprogramowanie, może wreszcie spróbować wyłudzić hasłatechnikami inżynierii społecznej.

Niektórzy ostrzegają przed atakami złego bliźniaka przeciwkopunktom dostępowym korzystającym z szyfrowania. W rzeczywistościWPA/WPA2 uodparnia sieć na taki atak: klient i punkt dostępowywzajemnie się tu uwierzytelniają, więc napastnik nie możezestawić fałszywego punktu dostępowego, odtwarzającego wszystkiewłaściwości punktu oryginalnego, gdyż nie zna hasła. Znane sąjednak ataki przeciwko sieciom WPA/WPA2, które wykorzystująnaiwność użytkowników, by hasło to od nich wydobyć. Skutecznośćtych metod okazała się na tyle duża, że powstały gotowenarzędzia, automatyzujące tego typu ataki.

Trzeba pamiętać, że atak taki może zostać przeprowadzonywszędzie, nie tylko w miejscach publicznych. Sieci w hotelach czyfirmach (nawet te, gdzie używa się uwierzytelniania przez serwerRADIUS) również są na złego bliźniaka podatne – i w większościwypadków trudno jest im zapobiec.

Technika oszustwa

Do stworzenia złego bliźniaka najwygodniej oczywiściewykorzystać Kali Linuksa (wszystkie narzędzia pod ręką, asterowniki kart sieciowych potrafią wszystko), ale można oczywiścieskorzystać z innych dystrybucji. Pierwszym krokiem jest oczywiściezdobycie informacji o atakowanym punkcie dostępowym. W tym celuprzełączamy kartę sieciową w tryb monitorowania (airmon-ng startwlan0), a następnie robimy zrzut aktywności sieciowej w otoczeniupoleceniem airodump-ng wlan0mon.

Na liście wyświetlonych urządzeń wyszukujemy SSID sieci (czylijej nazwę), BSSID (czyli adres MAC punktu dostępowego) i kanał.Odnotowujemy je, a następnie przełączamy się na monitorowaniewyłącznie wybranego urządzenia, poleceniem airodump-ng wlan0mon -c[numer kanału] --bsid [adres MAC punktu dostępowego] Na liście klientów zobaczymy wówczas adresy urządzeń połączonych z atakowanympunktem dostępowym. Je również należy sobie odnotować (albopozostawić wyniki w jednym okienku i otworzyć sobie drugi terminal).

Złego bliźniaka tworzy się narzędziem airbase-ng. Wygląda totak: airbase-ng -a [adres MAC punktu dostępowego] --essid [nazwasieci] -c [kanał] wlan0mon czyli np. airbase-ng -a94:0c:6d:ac:57:02 --essid KAWIARNIA -c 8 wlan0mon.

W teorii do sklonowania wystarczy podać tylko nazwę sieci, aleustawienie takiego samego adresu MAC i kanału urealni złegobliźniaka. Niektóre klienty Wi-Fi potrafią zidentyfikować punktydostępowe nie tylko po nazwie, po połączeniu wszystkich tychdanych jednak i one ulegną.

Wycieczka do Boliwii

Stworzenie złego bliźniaka nie spowoduje, że ofiaraautomatycznie się do niego podłączy. Napastnik musi ją w tęstronę popchnąć, wysyłając pakiety deautentykacji. Służy dotego narzędzie aireplay-ng, a składnia jego użycia wyglądanastępująco: aireplay-ng -0 10 -a [adres MAC punktu dostępowego]-c [adres MAC atakowanego klienta] wlan0mon Flaga -0 oznaczawysłanie pakietu deautentykacji, 10 to liczba takich pakietówwysłanych w ataku. Podając tylko adres punktu dostępowego,doprowadzimy do rozłączenia wszystkich podpiętych klientów.

Zaatakowane urządzenie straci dostęp do Sieci – i co teraz?Wcale nie ma gwarancji na to, że nie renegocjuje połączenia zprawdziwym punktem dostępowym. Z przeprowadzonych przez naseksperymentów wynika, że wszystko zależy tutaj od odległościmiędzy napastnikiem, ofiarą i punktem dostępowym. W większościwypadków (7/10), gdy odległość między napastnikiem i ofiarą aofiarą i punktem dostępowym była mniej więcej równa (po ok. 5metrów), ofiara renegocjowała jednak połączenie z prawdziwympunktem dostępowym. Gdy napastnik był od ofiary oddalony dwa razydalej (10 m), w dziesięciu próbach tylko raz udało się zmusić jądo połączenia ze złym bliźniakiem. Nawet gdy napastnik byłoddalony od ofiary o tylko trzy metry, połączenie ze złymbliźniakiem nastąpiło tylko w 5/10 wypadków. Powód jest prosty –podczas gdy punktem dostępowym był przyzwoity router TP-Linka(1043ND), laptop napastnika miał do dyspozycji tylko prosty modułUSB z jedną antenką.

By zwiększyć swoje szanse w tym wyścigu sygnałów, napastnik może jednakzrobić prostą sztuczkę. Oczywiście wiąże się ona z naruszeniemprawa, ale raczej trudno się spodziewać, by regulacje prawatelekomunikacyjnego powstrzymały ludzi, którzy zakładają złośliwepunkty dostępowe. Chodzi o zmianę mocy nadajnika w karciebezprzewodowej. Możliwości wielu kart są sztucznie ograniczoneprzez ich oprogramowanie. I tak przy ustawieniu domeny regulacyjnejdla karty na PL (Polska), maksymalna moc nadajnika to raptem 200 mW,(23 dBm). Są jednak kraje, w których prawo dopuszcza działanienadajników o mocy nawet 1 W (30 dBm). Moduły Wi-Fi o takiej mocy(np. Alfa AWUS036H), są do kupienia już za ok. 160 zł. Napastnikwyposażony w taki moduł może następnie zmienić domenęregulacyjną karty na Boliwię, poleceniem iw reg set BO a następniepodbić jej moc do maksymalnego poziomu poleceniem iwconfig wlan0txpower 30 Routerowi bardzo trudno będzie wygrać z wielokrotniesilniejszym sygnałem.

Inną metodą wykorzystywaną w tego typu atakach jest po prostupermanentny DDoS. Nawet jeśli sygnał napastnika jest słabszy, tostałe bombardowanie pakietami deautentykacji prawdziwego punktudostępowego sprawi, że w końcu ofiara podłączy się do złegobliźniaka. Połączenie takie nie będzie jednak działałozbyt stabilnie.

Złośliwy dostawca Internetu

Punkt dostępowy musi zapewniać dostęp do Internetu – prawda?Jednak w obecnej konfiguracji ani ofiara, ani napastnik dostęputakiego nie mają. Klient podłączony do złego bliźniaka możetylko zgrzytać zębami, denerwując się co z tą siecią. KaliLinux zapewnia jednak wszystkie narzędzia, które pozwalająnapastnikowi wyposażyć złego bliźniaka w sieć, np. z modemukomórkowego czy innej karty Wi-Fi.

Przede wszystkim trzeba wiedzieć, jak się nazywa interfejs kartyczy modemu. Jeśli główna karta Wi-Fi to wlan0, druga będziezwykle nazywała się wlan1. Karta Ethernetu to najczęściej eth0, zkolei modem komórkowy będzie nosił nazwę ppp0. Zły bliźniakzałożony przez airbase-ng to at0.

Do połączenia interfejsów wlan1 i at0 wykorzystamy narzędziedo zarządzania mostami sieciowymi brctl z pakietu bridge-utils(warto zapoznać się z obszernym artykułemmu poświęconym na Wikibooks). Można to zrobić oczywiście zapomocą iptables i trasowania, ale metoda z mostkiem wydaje sięprostsza. Wydajemy kolejno polecenia

brctl addbr bridge0 #założenie mostu bridge0 brctl addif bridge0 wlan1 #połączenie mostu z interfejsem wlan1 (albo eth0/ppp0) brctl addif bridge0 at0 #połączenie mostu z interfejsem at0 ifconfig wlan1 0.0.0.0 up #aktywacja wlan1 ifconfig at0 0.0.0.0 up #aktywacja at0 ifconfig bridge0 up #aktywacja mostu dhclient bridge0 & #automatyczna konfiguracja DHCP

W ten sposób zły bliźniak punktu dostępowego też zacząłoferować dostęp do Sieci.

Między ustami a brzegiem pucharu

Napastnik może teraz swobodnie przyglądać się wszystkiemu, corobi ofiara, nieświadoma że połączyła się ze złym bliźniakiemhotelowego routera. Do obserwacji można oczywiście wykorzystaćpopularnego Wiresharka, to proste narzędzie z graficznyminterfejsem, nie wymagające specjalnych wyjaśnień, można teżskorzystać z Ettercapa do automatycznego logowania do pliku wszystkiego, codzieje się na at0. W tym celu wystarczy wydać polecenie ettercap--silent -T -q -p --log-msg eviltwin.log -i at0 &

Możliwości jest oczywiście znacznie więcej. Ofiara możekorzystać z tunelu TLS, by szyfrować swoje połączenie z witrynąinternetową po HTTPS. Narzędzie SSLStripnie pozwoli na to, w zamian zestawiając tunel między napastnikiem iwitryną, a ofierze pozostawiając tylko jawny tekst (i fawikonkę,która będzie wyglądała jak kłódeczka).

Popularnym typem ataków jest też wstrzykiwanie złośliwego koduw przeglądane przez ofiarę strony internetowe, z wykorzystaniemnarzędzia SergioProxy, albo jak już wcześniej wspomnieliśmy, próba wyłudzeniahasła WPA/WPA2 – pozwalają na to takie narzędzia jak wifiphisherczy infernal-twin.Ten ostatni który potrafi zresztą znacznie więcej, automatyzującwiększość ataków na sieci bezprzewodowe.

Aktualizacja firmware: proszę podać hasło WPA. Ile osób się na to nabierze?
Aktualizacja firmware: proszę podać hasło WPA. Ile osób się na to nabierze?

Jak się mimo wszystko obronić?

Mimo że nie istnieją bezpośrednie metody obrony przez atakiem typu evil twin, nie znikną też raczej otwarte sieci bezprzewodowe, przeprowadzające uwierzytelnienie co najwyżej przez jakieś webowe proxy, to jednak można ograniczyć zagrożenie. Sugerujemy więc, abyście:

  • unikali wszystkich otwartych hotspotów o niepasujących do miejsca nazwach (np. dlink),
  • wyłączyli automatyczne podłączanie się do otwartych punktów dostępowych,
  • uważali na dziwne przekierowania DNS do sieci wewnętrznych (10.x.x.x i 192.168.x.x),
  • nie lekceważyli informacji o podejrzanych, samodzielnie podpisanych certyfikatach witryn internetowych.

Przede wszystkim jednak zabezpieczajcie swój ruch sieciowy za pomocą wirtualnej sieci prywatnej (VPN).

VPN to jednak metoda pasywna, która chroni jedynie przedpodsłuchem. Co można poradzić administratorom, którzy chcielibysię zabezpieczyć przez złymi bliźniakami swoich punktówdostępowych? W zeszłym roku pojawiło się narzędzieEvilAP_Defender,które nie tylko potrafi wykryć takie zagrożenia w naszej sieci iinformować administratora e-mailem czy SMS-em, ale też jest wstanie aktywnie je zwalczać za pomocą ataku DoS. Uzbrojeni w nie administratorzy mogą wykorzystać metody ofensywnego bezpieczeństwa, by na bieżąco likwidować potencjalne zagrożenia w środowisku, którym zarządzają. Trzeba pamiętać bowiem, że dziś wrogim punktem dostępowym nie musi być laptop hakera, może to być np. jednopłytkowy komputerek w rodzaju Raspberry Pi, podłączony do akumulatorka i ukryty gdzieś wśród biurowych mebli i roślinek. Jutro takimi złymi bliźniakami mogą stać się urządzenia wielkości guzika, takie jak intelowe komputerki Curie. Braku proaktywnego podejścia do tego zagrożenia można więc będzie gorzko żałować.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na