Большинство современных устройств запоминают название Wi-Fi сети, к которой они успешно подключались хотя-бы один раз, и сразу же соединяются с ней, если «увидят» её в беспроводном эфире. Эту фичу беспроводных технологий всё чаще и чаще используют злоумышленники — создают т.н. rogue AP (поддельную точку доступа). Такие атаки с каждым годом становятся всё масштабнее, учитывая постоянно увеличивающийся рынок BYOD-устройств и количество критичной информации, содержащейся на них.
Fake Wi-Fi
При настройке беспроводного адаптера на автоматическое подключение к известным беспроводным сетям пользователь подвергает себя риску стать жертвой атаки «человек посередине» (man in the middle). Злоумышленник может создать доверенную Wi-Fi точку доступа. В результате клиентское устройство автоматически подсоединится к такой точке доступа и будет работать через нее, а атакующий получит возможность перехватывать «весь трафик» своей жертвы, либо атаковать устройство, находящееся с ним в одном сегменте сети.
Для обнаружения точек доступа устройство, оснащенное модулем Wi-Fi сканирует радиоэфир на наличие фреймов Beacon передаваемых точкой доступа, в которых содержится указание известного SSID. По всем каналам рассылаются широковещательные фреймы Probe-Request, ожидая отклик известной точки доступа. Во фреймах Probe-Request может указываться или не указываться SSID сети, которую ищет мобильное устройство. Отвечая на Probe-Request, точка доступа шлет фреймы Probe Response, содержащие аналогичную информацию, что и пакеты Beacon.
Полагаясь на полученные данные, такие как имя сети, отношения сигнал/шум, поддерживаемые стандарты 802.11 собственную конфигурацию устройство принимает решение о соединении с одной из доступных известных сетей (точек доступа).
Задача злоумышленника сводится к «поднятию» клона сети, к которой у потенциальной жертвы может быть сконфигурирован доступ (как с зашитой, так и без). Также, при наличии рядом легитимной точки доступа, злоумышленник может попытаться ее «погасить», чтобы перенаправить клиентов на свою точку доступа.
Примеры поддельных точек доступа:
- название и/или модель роутера: DIR-300, ASUS;
- название по-умолчанию: default, %provider_name%;
- бесплатный Wi-Fi: MosMetro_Free, Beeline_Free_Wi-Fi;
- точки доступа, прошитые оператором: attwifi
- точки доступа различных заведений: %airport_name_free%, McDonalds_WiFi_Free;
- точки доступа, с отсутствующим шифрованием: h0lyava, MaminHackir, blondinka.
После успешного соединения с точкой доступа злоумышленник реализует один или несколько векторов атаки, в том числе и с применением социотехнических векторов:
- «классические» Man in the Middle атаки, перехват данных;
- «сложные» Man in the Middle атаки — sslstrip, обход HSTS и SSL-pinning и т.д.;
- модификация трафика (подмена URL, содержимого);
- страница доступа к роутеру/веб-панели для ввода пароля, captive-портала;
- поддельный Radius для перехвата MS-CHAPv2 хешей (многие из пользователей легко «принимают» поддельный или недоверенный сертификат);
- прямые атаки на устройства в одном сегменте сети.
Примеры атак
Сотрудники компании Avast в преддверии международной выставки Mobile World Congress 2016 провели своеобразный эксперимент. За день до открытия в аэропорту Барселоны было развернуто несколько Wi-Fi-точек доступа с SSID-идентификаторами Starbucks, Airport_Free_Wifi_AENA и MWC Free WiFi. Целью Avast была демонстрация того, насколько пользователи подвергают себя риску при пользовании публичными Wi-Fi-точками.
Всего за четыре часа специалисты Avast перехватили более 8 млн пакетов данных от более двух тысяч пользователей. Для сохранения приватности пользователей все данные сразу же удалялись. Компании удалось собрать следующую статистику в ходе эксперимента:
- 50,1 % пользователей использовали устройство Apple, 43,4 % — гаджет под управлением Android, 6,5 % — устройства с Windows Phone;
- 61,7 % посетителей выставки занимались поиском в Google и проверяли свою почту Gmail;
- 14,9 % воспользовались поиском Yahoo;
- приложение Facebook было установлено на 52,3 % устройств, а Twitter оказался менее популярен — всего 2,4 %.
Как отметили эксперты, многие знают о том, что открытая Wi-Fi-сеть таит в себе опасности, но тем не менее продолжают их использовать. Успешность эксперимента обусловлена еще и тем, что в аэропортах многие находятся в роуминге и не могут воспользоваться мобильным интернетом, поэтому пытаются найти бесплатные сети.
Часто атаке подвергаются пользователи наиболее распространенных сетей из хулиганских побуждений:
Хакеры взломали бесплатную Wi-Fi-сеть московского метро около 11:30. В результате хулиганства тысячи пассажиров увидели порно на экранах своих телефонов и планшетов вместо привычной стартовой страницы и приглашения войти в сеть
При подключении к сети WI-FI, как стало известно журналистам РЕН ТВ, на мобильных телефонах пассажиров появилась нецензурная надпись: «Идите на х… огрызки и ведроиды! Х… вам, а не интернет».
Пресс-секретарь «МаксимаТелеком» Илья Грабовский заявил, что возможность взлома их сети исключена. По его словам, кто-то из пассажиров создал сеть WI-FI без доступа в интернет, назвал ее похожим именем. Грабовский отметил, что кто-то из граждан по ошибке подключился к этой сети.
Что говорить о простых пользователях, если даже «продвинутые» посетители конференций по информационной безопасности становятся жертвами таких атак:
Поэтому я раздавал фейковую Wi-Fi точку, да не простую, а с ARP, DNS, NB, ЕЩЕ-КАКАЯ-ТО-АББРЕВИАТУРА-spoofing’ом, подменой сертификатов, обходом HSTS и прочими модными штучками.
Это позволяло пропускать весь трафик подключенных пользователей через себя, подламывая по пути крылья (переводя с зашифрованного соединения на незашифрованный). Таким образом мне удалось подключить 108 устройств. В большинстве случаев — мобильники, меньшинство — ноутбуки. Стандартный клиент почты для iphone отлично допускает MiTM (видимо по этой причине удалось перехватить 6 паролей от gmail аккаунтов), icloud передает логин и пароль в заголовке с каждым запросом (Basic Auth).
Инструментарий
На сегодняшний день существует довольно многих утилит для проведения такого рода атак, ниже представлено краткое описание наиболее популярных из них.
Важно: использование некоторых из них может быть запрещено законодательством и преследоваться по закону.
Mdk3 — утилита, содержащая несколько технологий деаутентификации клиента и техник атаки точки доступа, приводящих к её «зависанию» (DoS) или перезагрузке.
Mana toolkit — это модифицированный hostapd (программная точка доступа) и несколько скриптов, которые позволяют создавать и использовать поддельные точки доступа: KARMA-атака; различные виды MitM-атак; обход HSTS; захват cookies; перехват EAP.
Wifi phisher — предназначена для фишинговой атаки на WiFi сети в целях получения паролей от точки доступа и другой персональной информации. Этот инструмент основан на атаке социальной инженерии.
Wifi pumpkin — инструмент создаёт поддельную точку доступа Wi-Fi, при этом влияет на легитимную точку доступа (отключает клиентов). Может использоваться для захвата учётных данных с помощью Man in the Middle атак, также использует такие атаки как (в том числе и социтехнические): DHCP Starvation; фишинг; Windows Update; обход HSTS; прозрачный прокси и т.д.
Linset — утилита, сочетающая в себе поддельную точку доступа и социотехническую составляющую. Инструмент интересный, но требует некоторых доработок.
Bdfproxy — инструмент позволяет «на лету» видоизменять бинарные файлы, например для внедрения вредоносного функционала или бэкдоров. Функционал прекрасно работает с разного рода update-сервисами, поставляющих обновления в виде исполняемых файлов.
Waidps — средство обнаружения атак в Wi-Fi сетях. Это многоцелевой инструмент, созданный для аудита сетей, обнаружения беспроводного вторжения (атаки WEP/WPA/WPS) а также предотвращения вторжения (остановка связи станции с точкой доступа). Кроме этого, программа собирает всю информацию об окружающих Wi-Fi сетях и сохраняет в базе данных.
Способы защиты
Самый кардинальный — выключить Wi-Fi адаптер.
Профилактические — включить «подтверждение подключения» даже к известным сетям; использовать VPN; проводить мониторинг эфира для выявления аномалий; не использовать критично-важные программы (например банк-клиент) в открытых сетях.
Автор: Pentestit