Evil twin – i jak tu ufać hotspotom? Ofiarą tego ataku może paść każdy
Przyjrzeliśmy się już bliżej kilku typom ataków na siecibezprzewodowe. Można jednak powiedzieć, że świadomi zagrożeniaużytkownicy są na nie odporni: aktualne firmware routera, wyłączonyWPS i silne, kilkunastoznakowe hasło WPA2/PSK wystarczą, by domowasieć była bezpieczna. Jest jednak atak na Wi-Fi, przed którymzwykły użytkownik prawie nie ma szans się obronić. Co prawda niepozwoli on raczej napastnikowi na wykorzystanie naszego dostępu doInternetu, ale potencjalnie stanowi jeszcze większe zagrożenie,pozwalając napastnikowi przechwycić nasz ruch sieciowy, a nawetpoprzez wstrzyknięcie złośliwego oprogramowania przejąć kontrolęnad naszym komputerem.
15.03.2016 | aktual.: 23.03.2016 11:32
Otwartych sieci bezprzewodowych jest sporo. Restauracje, kawiarniei puby, hotele, lotniska, publiczne hotspoty firm telekomunikacyjnych– przykłady można mnożyć. Co w tym kontekście oznacza„otwartych”? Ano niezamkniętych, takich, do których niepotrzeba żadnego hasła WEP/WPA/WPA2. Nierzadko to podłączenie dootwartego punktu dostępowego to dopiero pierwszy krok, w następnymużytkownik zostaje skierowany na webową bramkę proxy, gdzie podajewykupione lub otrzymane za darmo hasło, by po jego weryfikacjiotrzymać wreszcie dostęp do Internetu. Takie rozwiązanie,atrakcyjne z perspektywy operatora hotspotu (ludzie potrafiąwpisywać hasła do przeglądarek, łatwo też wprowadzić systemkodów jednorazowych) jest z perspektywy bezpieczeństwa wręcztragiczne. Nie tylko komunikacja między klientem a punktemdostępowym może być podsłuchana przez każdego, ale też nie mamyżadnej gwarancji, że to darmowe Wi-Fi w restauracji, do któregopodłączyliśmy się z naszym laptopem, faktycznie należy dorestauracji.
Wyglądają tak samo
Evil Twin („zły bliźniak”) – tak się określa wspomnianytyp ataku. W tej formie bezprzewodowego phishingu napastnikrekonfiguruje pozostający pod jego kontrolą punkt dostępowy tak,aby był nieodróżnialny dla klientów od prawdziwego punktudostępowego, a następnie zmusza ich do połączenia się z tymsfałszowanym. Niewiele tu potrzeba – na etapie negocjacjipołączenia nie ma żadnej wstępnej weryfikacji tożsamości. Byklient podłączył się do oszusta, musi on po prostu identyczniesię przedstawić (takim samym adresem MAC i nazwą SSID), generowaćmocniejszy sygnał radiowy i pozwolić na dostęp do Internetu.
Nawet jeśli klient jest już podłączony do prawdziwego punktudostępowego, nie jest to problemem – odpowiednia sekwencjapakietów deautentykacji „zrzuci go z rowerka”. Wówczas próbującprzywrócić połączenie w ramach listy znanych, preferowanychsieci, automatycznie połączy się z punktem generującymnajsilniejszy sygnał. Napastnik może wówczas zająć siępodsłuchem ruchu sieciowego, może wstrzykiwać w niego własnepakiety, może pokusić się o fałszowanie odpowiedzi serwerów DNSi przekierowywanie przeglądarki ofiary na strony hostujące złośliweoprogramowanie, może wreszcie spróbować wyłudzić hasłatechnikami inżynierii społecznej.
Niektórzy ostrzegają przed atakami złego bliźniaka przeciwkopunktom dostępowym korzystającym z szyfrowania. W rzeczywistościWPA/WPA2 uodparnia sieć na taki atak: klient i punkt dostępowywzajemnie się tu uwierzytelniają, więc napastnik nie możezestawić fałszywego punktu dostępowego, odtwarzającego wszystkiewłaściwości punktu oryginalnego, gdyż nie zna hasła. Znane sąjednak ataki przeciwko sieciom WPA/WPA2, które wykorzystująnaiwność użytkowników, by hasło to od nich wydobyć. Skutecznośćtych metod okazała się na tyle duża, że powstały gotowenarzędzia, automatyzujące tego typu ataki.
Trzeba pamiętać, że atak taki może zostać przeprowadzonywszędzie, nie tylko w miejscach publicznych. Sieci w hotelach czyfirmach (nawet te, gdzie używa się uwierzytelniania przez serwerRADIUS) również są na złego bliźniaka podatne – i w większościwypadków trudno jest im zapobiec.
Technika oszustwa
Do stworzenia złego bliźniaka najwygodniej oczywiściewykorzystać Kali Linuksa (wszystkie narzędzia pod ręką, asterowniki kart sieciowych potrafią wszystko), ale można oczywiścieskorzystać z innych dystrybucji. Pierwszym krokiem jest oczywiściezdobycie informacji o atakowanym punkcie dostępowym. W tym celuprzełączamy kartę sieciową w tryb monitorowania (airmon-ng startwlan0), a następnie robimy zrzut aktywności sieciowej w otoczeniupoleceniem airodump-ng wlan0mon.
Na liście wyświetlonych urządzeń wyszukujemy SSID sieci (czylijej nazwę), BSSID (czyli adres MAC punktu dostępowego) i kanał.Odnotowujemy je, a następnie przełączamy się na monitorowaniewyłącznie wybranego urządzenia, poleceniem airodump-ng wlan0mon -c[numer kanału] --bsid [adres MAC punktu dostępowego] Na liście klientów zobaczymy wówczas adresy urządzeń połączonych z atakowanympunktem dostępowym. Je również należy sobie odnotować (albopozostawić wyniki w jednym okienku i otworzyć sobie drugi terminal).
Złego bliźniaka tworzy się narzędziem airbase-ng. Wygląda totak: airbase-ng -a [adres MAC punktu dostępowego] --essid [nazwasieci] -c [kanał] wlan0mon czyli np. airbase-ng -a94:0c:6d:ac:57:02 --essid KAWIARNIA -c 8 wlan0mon.
W teorii do sklonowania wystarczy podać tylko nazwę sieci, aleustawienie takiego samego adresu MAC i kanału urealni złegobliźniaka. Niektóre klienty Wi-Fi potrafią zidentyfikować punktydostępowe nie tylko po nazwie, po połączeniu wszystkich tychdanych jednak i one ulegną.
Wycieczka do Boliwii
Stworzenie złego bliźniaka nie spowoduje, że ofiaraautomatycznie się do niego podłączy. Napastnik musi ją w tęstronę popchnąć, wysyłając pakiety deautentykacji. Służy dotego narzędzie aireplay-ng, a składnia jego użycia wyglądanastępująco: aireplay-ng -0 10 -a [adres MAC punktu dostępowego]-c [adres MAC atakowanego klienta] wlan0mon Flaga -0 oznaczawysłanie pakietu deautentykacji, 10 to liczba takich pakietówwysłanych w ataku. Podając tylko adres punktu dostępowego,doprowadzimy do rozłączenia wszystkich podpiętych klientów.
Zaatakowane urządzenie straci dostęp do Sieci – i co teraz?Wcale nie ma gwarancji na to, że nie renegocjuje połączenia zprawdziwym punktem dostępowym. Z przeprowadzonych przez naseksperymentów wynika, że wszystko zależy tutaj od odległościmiędzy napastnikiem, ofiarą i punktem dostępowym. W większościwypadków (7/10), gdy odległość między napastnikiem i ofiarą aofiarą i punktem dostępowym była mniej więcej równa (po ok. 5metrów), ofiara renegocjowała jednak połączenie z prawdziwympunktem dostępowym. Gdy napastnik był od ofiary oddalony dwa razydalej (10 m), w dziesięciu próbach tylko raz udało się zmusić jądo połączenia ze złym bliźniakiem. Nawet gdy napastnik byłoddalony od ofiary o tylko trzy metry, połączenie ze złymbliźniakiem nastąpiło tylko w 5/10 wypadków. Powód jest prosty –podczas gdy punktem dostępowym był przyzwoity router TP-Linka(1043ND), laptop napastnika miał do dyspozycji tylko prosty modułUSB z jedną antenką.
By zwiększyć swoje szanse w tym wyścigu sygnałów, napastnik może jednakzrobić prostą sztuczkę. Oczywiście wiąże się ona z naruszeniemprawa, ale raczej trudno się spodziewać, by regulacje prawatelekomunikacyjnego powstrzymały ludzi, którzy zakładają złośliwepunkty dostępowe. Chodzi o zmianę mocy nadajnika w karciebezprzewodowej. Możliwości wielu kart są sztucznie ograniczoneprzez ich oprogramowanie. I tak przy ustawieniu domeny regulacyjnejdla karty na PL (Polska), maksymalna moc nadajnika to raptem 200 mW,(23 dBm). Są jednak kraje, w których prawo dopuszcza działanienadajników o mocy nawet 1 W (30 dBm). Moduły Wi-Fi o takiej mocy(np. Alfa AWUS036H), są do kupienia już za ok. 160 zł. Napastnikwyposażony w taki moduł może następnie zmienić domenęregulacyjną karty na Boliwię, poleceniem iw reg set BO a następniepodbić jej moc do maksymalnego poziomu poleceniem iwconfig wlan0txpower 30 Routerowi bardzo trudno będzie wygrać z wielokrotniesilniejszym sygnałem.
Inną metodą wykorzystywaną w tego typu atakach jest po prostupermanentny DDoS. Nawet jeśli sygnał napastnika jest słabszy, tostałe bombardowanie pakietami deautentykacji prawdziwego punktudostępowego sprawi, że w końcu ofiara podłączy się do złegobliźniaka. Połączenie takie nie będzie jednak działałozbyt stabilnie.
Złośliwy dostawca Internetu
Punkt dostępowy musi zapewniać dostęp do Internetu – prawda?Jednak w obecnej konfiguracji ani ofiara, ani napastnik dostęputakiego nie mają. Klient podłączony do złego bliźniaka możetylko zgrzytać zębami, denerwując się co z tą siecią. KaliLinux zapewnia jednak wszystkie narzędzia, które pozwalająnapastnikowi wyposażyć złego bliźniaka w sieć, np. z modemukomórkowego czy innej karty Wi-Fi.
Przede wszystkim trzeba wiedzieć, jak się nazywa interfejs kartyczy modemu. Jeśli główna karta Wi-Fi to wlan0, druga będziezwykle nazywała się wlan1. Karta Ethernetu to najczęściej eth0, zkolei modem komórkowy będzie nosił nazwę ppp0. Zły bliźniakzałożony przez airbase-ng to at0.
Do połączenia interfejsów wlan1 i at0 wykorzystamy narzędziedo zarządzania mostami sieciowymi brctl z pakietu bridge-utils(warto zapoznać się z obszernym artykułemmu poświęconym na Wikibooks). Można to zrobić oczywiście zapomocą iptables i trasowania, ale metoda z mostkiem wydaje sięprostsza. Wydajemy kolejno polecenia
brctl addbr bridge0 #założenie mostu bridge0 brctl addif bridge0 wlan1 #połączenie mostu z interfejsem wlan1 (albo eth0/ppp0) brctl addif bridge0 at0 #połączenie mostu z interfejsem at0 ifconfig wlan1 0.0.0.0 up #aktywacja wlan1 ifconfig at0 0.0.0.0 up #aktywacja at0 ifconfig bridge0 up #aktywacja mostu dhclient bridge0 & #automatyczna konfiguracja DHCP
W ten sposób zły bliźniak punktu dostępowego też zacząłoferować dostęp do Sieci.
Między ustami a brzegiem pucharu
Napastnik może teraz swobodnie przyglądać się wszystkiemu, corobi ofiara, nieświadoma że połączyła się ze złym bliźniakiemhotelowego routera. Do obserwacji można oczywiście wykorzystaćpopularnego Wiresharka, to proste narzędzie z graficznyminterfejsem, nie wymagające specjalnych wyjaśnień, można teżskorzystać z Ettercapa do automatycznego logowania do pliku wszystkiego, codzieje się na at0. W tym celu wystarczy wydać polecenie ettercap--silent -T -q -p --log-msg eviltwin.log -i at0 &
Możliwości jest oczywiście znacznie więcej. Ofiara możekorzystać z tunelu TLS, by szyfrować swoje połączenie z witrynąinternetową po HTTPS. Narzędzie SSLStripnie pozwoli na to, w zamian zestawiając tunel między napastnikiem iwitryną, a ofierze pozostawiając tylko jawny tekst (i fawikonkę,która będzie wyglądała jak kłódeczka).
Popularnym typem ataków jest też wstrzykiwanie złośliwego koduw przeglądane przez ofiarę strony internetowe, z wykorzystaniemnarzędzia SergioProxy, albo jak już wcześniej wspomnieliśmy, próba wyłudzeniahasła WPA/WPA2 – pozwalają na to takie narzędzia jak wifiphisherczy infernal-twin.Ten ostatni który potrafi zresztą znacznie więcej, automatyzującwiększość ataków na sieci bezprzewodowe.
Jak się mimo wszystko obronić?
Mimo że nie istnieją bezpośrednie metody obrony przez atakiem typu evil twin, nie znikną też raczej otwarte sieci bezprzewodowe, przeprowadzające uwierzytelnienie co najwyżej przez jakieś webowe proxy, to jednak można ograniczyć zagrożenie. Sugerujemy więc, abyście:
- unikali wszystkich otwartych hotspotów o niepasujących do miejsca nazwach (np. dlink),
- wyłączyli automatyczne podłączanie się do otwartych punktów dostępowych,
- uważali na dziwne przekierowania DNS do sieci wewnętrznych (10.x.x.x i 192.168.x.x),
- nie lekceważyli informacji o podejrzanych, samodzielnie podpisanych certyfikatach witryn internetowych.
Przede wszystkim jednak zabezpieczajcie swój ruch sieciowy za pomocą wirtualnej sieci prywatnej (VPN).
VPN to jednak metoda pasywna, która chroni jedynie przedpodsłuchem. Co można poradzić administratorom, którzy chcielibysię zabezpieczyć przez złymi bliźniakami swoich punktówdostępowych? W zeszłym roku pojawiło się narzędzieEvilAP_Defender,które nie tylko potrafi wykryć takie zagrożenia w naszej sieci iinformować administratora e-mailem czy SMS-em, ale też jest wstanie aktywnie je zwalczać za pomocą ataku DoS. Uzbrojeni w nie administratorzy mogą wykorzystać metody ofensywnego bezpieczeństwa, by na bieżąco likwidować potencjalne zagrożenia w środowisku, którym zarządzają. Trzeba pamiętać bowiem, że dziś wrogim punktem dostępowym nie musi być laptop hakera, może to być np. jednopłytkowy komputerek w rodzaju Raspberry Pi, podłączony do akumulatorka i ukryty gdzieś wśród biurowych mebli i roślinek. Jutro takimi złymi bliźniakami mogą stać się urządzenia wielkości guzika, takie jak intelowe komputerki Curie. Braku proaktywnego podejścia do tego zagrożenia można więc będzie gorzko żałować.