3. Что хотим
Проверить защищенность wifi своих (!) точек доступа
Протестировать защищенность корпоративных мобильных устройств
с wifi адаптерами
4. Возможные сценарии атаки
Пассивный анализ трафика Wifi при отсутствии шифрования (open)
или при знании PSK (pre-shared key), например – в кафе.
Взлом WEPWPAWPA2, в том числе автоматически, при
обнаружении точки доступа
Сбор данных об имеющихся точках доступа (ESSID, BSSID)
Сбор handshake
5. Инструменты
a) Можно использовать практически любой дистрибутив *nix. Из
избранных: Ubuntu, Centos, BackTrack.
b) Из программного обеспечения могут пригодиться:
a) Aircrack-ng (airmon-ng, airodump-ng, aircrack-ng)
b) Macchanger
c) Wifite.py
d) ….
c) Любимые wifi –адаптеры с возможностью
перевода в promisc – alfa awus 036H
(другие модификации 036 показали себя нестабильно, горят)
d) Направленная антенна для
получения лучших результатов ------------------
6. Мобильность
a) Ноутбук даже маленький не хочется с собой таскать
b) Направленная антенна может испугать неподготовленного человека
c) Процесс хочется автоматизировать
7. Компактность, незаметность, мо
бильность
a) и b) можно заменить на более простое и компактное устройство:
Wifi Pineapple Mark IV
http://hakshop.myshopify.com/collections/gadgets/products/wifi-
pineapple
Встроенного в Mark IV wifi адаптера вполне хватит на помещение до
80 кв.м
В помещениях можно использовать и всенаправленную антенну, но
увеличить её приемные характеристики до 8-9 dBi
9. Возможности …
Автоматическое подключение на себя пользовательских устройств
Mitm
Spoofing
Массовая и точечная деаутентификация пользователей с wifi точек
Внедрение js, iframe, кейлогера
Сниффинг
Взлом wifi: WEP, WPA, WPA2
………..
Безграничны …
10. Ограничения…
Устройство поставляется с операционной системой, с базовыми
пакетами (карма = MK4 Karma)
Можно установить модули (infusions) для получения необходимых
возможностей
Работать все будет, но до боевого набора естественно нужны
навыки, понимание и доработки (базовые знания питона и скриптов)
Хорошо, что хоть какие-то есть
Функциональности Mark IV можно
добиться и на простом нетбуке.
11. Как это работает
a) Когда вы подключаетесь к wifi точке, устройство сохраняет её SSID
(имя), BSSID (mac адрес) и учетные данные для подключения
(последние – зависит от действий пользователя)
b) После потери связи с точкой доступа, устройство при включенном
wifi ищет точку рассылая широковещательные запросы (broadcast).
С этим SSID. В заголовках содержится BSSID.
c) Устройство ищет ВСЕ сохраненные точки доступа.
12. Крючок для рыбки
a) MK4 Karma видит поиск вашим устройством точек доступа с SSID-ами
b) Определяется BSSID для этой точки
c) Автоматически поднимается ложная точка с SSID и BSSID искомой
вашим устройством точки
d) Не важно, какой протокол, какой пароль и уровень шифрования был у
вашей настоящей точки. По умолчанию, будет установлено open
соединение.
13. «И делай с ним что хошь»
a) Можно использовать infusion «randomroll» и показывать жертве
цветные картинки в ответ на любой Url в браузере
b) Можно незаметно провожать жертву в интернет через nat и
подключенный usb модем, либо ethernet кабель к ноутбуку и
сниффать учетные данные
c) Можно просканировать подключенное устройство и использовать
эксплойт
d) Можно использовать js кейлогер
e) Все что угодно, пока устройство подключено к ложной точке доступа
Угроза! Что будет, если медвежонок подключит по wifi ноутбук сотрудника,
подключенного в этот момент к корпоративной сети по другому адаптеру или
Ethernet?! Злоумышленник может получить доступ к вашу инфраструктуру!
14. А если настоящая точка доступа в этом же
помещении?!
• Не важно, какой у неё уровень шифрования
• Не важно, что пользователи уже подключены к настоящей точке
1) Воспользовавшись этим же инструментом, мы делаем де-
аутентификацию пользователей от легитимной точки
2) Добиваемся повышения сигнала ложной точки доступа по
сравнению с настоящей (изменение региона в OS и смены TXRX
power, используем адаптеры внешние, направленные антенны, ну
или просто сесть поближе к жертве).
15. Как защититься?
a) Снять настройку «автоматически подключаться» в настройках
подключения для каждого соединения (по умолчанию она –
«подключаться автоматически»)
b) Удалять неиспользуемые точки доступа в настройках подключения
c) Использовать WPA2 CCMP (естественно, с проверкой сертификатов)
d) Проверять статус установленного соединения (что не open)
По результатам тестирования, автоматически подключаются устройства: на
базе IOS 4-5 (6,7 не тестировались), Android (все версии), WinXP
SP23, Win7, Windows for mobile (в т.ч. 8ка).
Не подвержены: MacOS v.x Детально не искались причины.
16. Конец рассказа
Спасибо за внимание
Олеся Шелестова
oshelestova@ptsecurity.ru
системный аналитик
Positive Technologies