Rogue AP — фальшивые точки доступа

62e96fdd93234a33a7b0ce60c5f325df.png

Большинство современных устройств запоминают название Wi-Fi сети, к которой они успешно подключались хотя-бы один раз, и сразу же соединяются с ней, если «увидят» её в беспроводном эфире. Эту фичу беспроводных технологий всё чаще и чаще используют злоумышленники — создают т.н. rogue AP (поддельную точку доступа). Такие атаки с каждым годом становятся всё масштабнее, учитывая постоянно увеличивающийся рынок BYOD-устройств и количество критичной информации, содержащейся на них.

Fake Wi-Fi


При настройке беспроводного адаптера на автоматическое подключение к известным беспроводным сетям пользователь подвергает себя риску стать жертвой атаки «человек посередине» (man in the middle). Злоумышленник может создать доверенную Wi-Fi точку доступа. В результате клиентское устройство автоматически подсоединится к такой точке доступа и будет работать через нее, а атакующий получит возможность перехватывать «весь трафик» своей жертвы, либо атаковать устройство, находящееся с ним в одном сегменте сети.

Для обнаружения точек доступа устройство, оснащенное модулем Wi-Fi сканирует радиоэфир на наличие фреймов Beacon передаваемых точкой доступа, в которых содержится указание известного SSID. По всем каналам рассылаются широковещательные фреймы Probe-Request, ожидая отклик известной точки доступа. Во фреймах Probe-Request может указываться или не указываться SSID сети, которую ищет мобильное устройство. Отвечая на Probe-Request, точка доступа шлет фреймы Probe Response, содержащие аналогичную информацию, что и пакеты Beacon.

Полагаясь на полученные данные, такие как имя сети, отношения сигнал/шум, поддерживаемые стандарты 802.11 собственную конфигурацию устройство принимает решение о соединении с одной из доступных известных сетей (точек доступа).

Задача злоумышленника сводится к «поднятию» клона сети, к которой у потенциальной жертвы может быть сконфигурирован доступ (как с зашитой, так и без). Также, при наличии рядом легитимной точки доступа, злоумышленник может попытаться ее «погасить», чтобы перенаправить клиентов на свою точку доступа.

Примеры поддельных точек доступа:

  • название и/или модель роутера: DIR-300, ASUS;
  • название по-умолчанию: default, %provider_name%;
  • бесплатный Wi-Fi: MosMetro_Free, Beeline_Free_Wi-Fi;
  • точки доступа, прошитые оператором: attwifi
  • точки доступа различных заведений: %airport_name_free%, McDonalds_WiFi_Free;
  • точки доступа, с отсутствующим шифрованием: h0lyava, MaminHackir, blondinka.


После успешного соединения с точкой доступа злоумышленник реализует один или несколько векторов атаки, в том числе и с применением социотехнических векторов:

  • «классические» Man in the Middle атаки, перехват данных;
  • «сложные» Man in the Middle атаки — sslstrip, обход HSTS и SSL-pinning и т.д.;
  • модификация трафика (подмена URL, содержимого);
  • страница доступа к роутеру/веб-панели для ввода пароля, captive-портала;
  • поддельный Radius для перехвата MS-CHAPv2 хешей (многие из пользователей легко «принимают» поддельный или недоверенный сертификат);
  • прямые атаки на устройства в одном сегменте сети.


Примеры атак


Сотрудники компании Avast в преддверии международной выставки Mobile World Congress 2016 провели своеобразный эксперимент. За день до открытия в аэропорту Барселоны было развернуто несколько Wi-Fi-точек доступа с SSID-идентификаторами Starbucks, Airport_Free_Wifi_AENA и MWC Free WiFi. Целью Avast была демонстрация того, насколько пользователи подвергают себя риску при пользовании публичными Wi-Fi-точками.

Всего за четыре часа специалисты Avast перехватили более 8 млн пакетов данных от более двух тысяч пользователей. Для сохранения приватности пользователей все данные сразу же удалялись. Компании удалось собрать следующую статистику в ходе эксперимента:

  • 50,1% пользователей использовали устройство Apple, 43,4% — гаджет под управлением Android, 6,5% — устройства с Windows Phone;
  • 61,7% посетителей выставки занимались поиском в Google и проверяли свою почту Gmail;
  • 14,9% воспользовались поиском Yahoo;
  • приложение Facebook было установлено на 52,3% устройств, а Twitter оказался менее популярен — всего 2,4%.


Как отметили эксперты, многие знают о том, что открытая Wi-Fi-сеть таит в себе опасности, но тем не менее продолжают их использовать. Успешность эксперимента обусловлена еще и тем, что в аэропортах многие находятся в роуминге и не могут воспользоваться мобильным интернетом, поэтому пытаются найти бесплатные сети.

Часто атаке подвергаются пользователи наиболее распространенных сетей из хулиганских побуждений:

Хакеры взломали бесплатную Wi-Fi-сеть московского метро около 11:30. В результате хулиганства тысячи пассажиров увидели порно на экранах своих телефонов и планшетов вместо привычной стартовой страницы и приглашения войти в сеть

При подключении к сети WI-FI, как стало известно журналистам РЕН ТВ, на мобильных телефонах пассажиров появилась нецензурная надпись: «Идите на х… огрызки и ведроиды! Х… вам, а не интернет».

Пресс-секретарь «МаксимаТелеком» Илья Грабовский заявил, что возможность взлома их сети исключена. По его словам, кто-то из пассажиров создал сеть WI-FI без доступа в интернет, назвал ее похожим именем. Грабовский отметил, что кто-то из граждан по ошибке подключился к этой сети.


Что говорить о простых пользователях, если даже «продвинутые» посетители конференций по информационной безопасности становятся жертвами таких атак:

Bo0oM:

Поэтому я раздавал фейковую Wi-Fi точку, да не простую, а с ARP, DNS, NB, ЕЩЕ-КАКАЯ-ТО-АББРЕВИАТУРА-spoofing«ом, подменой сертификатов, обходом HSTS и прочими модными штучками.

Это позволяло пропускать весь трафик подключенных пользователей через себя, подламывая по пути крылья (переводя с зашифрованного соединения на незашифрованный). Таким образом мне удалось подключить 108 устройств. В большинстве случаев — мобильники, меньшинство — ноутбуки. Стандартный клиент почты для iphone отлично допускает MiTM (видимо по этой причине удалось перехватить 6 паролей от gmail аккаунтов), icloud передает логин и пароль в заголовке с каждым запросом (Basic Auth).


Инструментарий


На сегодняшний день существует довольно многих утилит для проведения такого рода атак, ниже представлено краткое описание наиболее популярных из них.

Важно: использование некоторых из них может быть запрещено законодательством и преследоваться по закону.

Mdk3 — утилита, содержащая несколько технологий деаутентификации клиента и техник атаки точки доступа, приводящих к её «зависанию» (DoS) или перезагрузке.

Mana toolkit — это модифицированный hostapd (программная точка доступа) и несколько скриптов, которые позволяют создавать и использовать поддельные точки доступа: KARMA-атака; различные виды MitM-атак; обход HSTS; захват cookies; перехват EAP.

Wifi phisher — предназначена для фишинговой атаки на WiFi сети в целях получения паролей от точки доступа и другой персональной информации. Этот инструмент основан на атаке социальной инженерии.

Wifi pumpkin — инструмент создаёт поддельную точку доступа Wi-Fi, при этом влияет на легитимную точку доступа (отключает клиентов). Может использоваться для захвата учётных данных с помощью Man in the Middle атак, также использует такие атаки как (в том числе и социтехнические): DHCP Starvation; фишинг; Windows Update; обход HSTS; прозрачный прокси и т.д.

Linset — утилита, сочетающая в себе поддельную точку доступа и социотехническую составляющую. Инструмент интересный, но требует некоторых доработок.

Bdfproxy — инструмент позволяет «на лету» видоизменять бинарные файлы, например для внедрения вредоносного функционала или бэкдоров. Функционал прекрасно работает с разного рода update-сервисами, поставляющих обновления в виде исполняемых файлов.

Waidps — средство обнаружения атак в Wi-Fi сетях. Это многоцелевой инструмент, созданный для аудита сетей, обнаружения беспроводного вторжения (атаки WEP/WPA/WPS), а также предотвращения вторжения (остановка связи станции с точкой доступа). Кроме этого, программа собирает всю информацию об окружающих Wi-Fi сетях и сохраняет в базе данных.

Способы защиты


Самый кардинальный — выключить Wi-Fi адаптер.

Профилактические — включить «подтверждение подключения» даже к известным сетям; использовать VPN; проводить мониторинг эфира для выявления аномалий; не использовать критично-важные программы (например банк-клиент) в открытых сетях.

© Habrahabr.ru