Как происходит атака типа перехват клиента в технологии wi fi

Как происходит атака типа перехват клиента в технологии wi fi

Пример решения: Защита беспроводных сетей с помощью ALTELL Wi-Fi

Современную информационную среду сложно представить без использования беспроводных каналов передачи данных, постороенных с применением технологии Wi-Fi. В связи с этим актуальность проблемы защиты передаваемых по такому каналу данных только растет.

Архитектурно беспроводные каналы связи содержат ряд присущих им уязвимостей, среди которых наиболее распространенными считают:

• Подключение неавторизованных клиентов. В случае с беспроводными решениями злоумышленнику достаточно попасть в зону действия сети, и он при помощи радиооборудования может инициировать подключение.
• Клонирование точки доступа. Для связи клиентское оборудование обычно выбирает точку доступа с наиболее качественным сигналом. Подменить базовую точку доступа не составляет труда: для этого нужно выставить для клонированной точки идентичный оригинальной SSID (а без дополнительных настроек он известен всем) и обеспечить сильный сигнал в выбранной зоне.
• Атаки типа «отказ в обслуживании» (DoS-атаки) использующие стандартные механизмы защиты от НСД встроенные в протокол WPA. Механизм атаки следующий: злоумышленник посылает каждую секунду два пакета со случайными ключами шифрования, в результате чего точка доступа следующая стандарту, приняв эти пакеты, решает, что произведена попытка НСД, и закрывает все соединения.
• Подбор ключей. В связи с тем, что все передаваемые данные, включая обмен необходимый для выработки сессионных ключей, элементарно перехватываются, их можно сохранить и проводить подбор используемого PSK ключа в оффлайне с использованием любых доступных злоумышленнику ресурсов. С учётом возможности таких атак пароли длиной до 20 символов считаются потенциально опасным.
• Перехват трафика пользователей с известным PSK. Несмотря на то, что при использовании протокола WPA и авторизации на основе разделяемого ключа для каждого клиента вырабатывается свой сессионный ключ и невозможно расшифровать чужой трафик напрямую даже зная сам PSK, злоумышленник владеющий PSK может легко вызвать пересоздание сессионного ключа с помощью встроенных механизмов WPA. При этом, наблюдая диалог выработки сессионного ключа между точкой и клиентом с самого начала, он сможет воссоздать этот ключ, а затем без труда расшифровывать трафик между точкой и клиентом. Проблема особенно актуальна при необходимости обеспечения гостевого доступа к сети.

Так каким же образом бороться с многочисленными угрозами в беспроводной сети — перехватом данных из эфира вещания, атаками отказа в обслуживании (DoS), внедрением ложной точки доступа (AP)?

Авторизация и методы верификации

Для авторизации клиентов рекомендуется использовать авторизацию EAP-TLS с использованием инфраструктуры PKI. Развёрнутая инфраструктура PKI позволяет легче решать проблемы разграничения доступа (включая настройку защищённого гостевого входа), а использование авторизации в режиме EAP-TLS решает как проблему подбора пароля, так и проблему перехвата чужого трафика. При настройке по умолчанию с использованием авторизации точки доступа на клиентах также решается проблема клонирования точки доступа.

Для усиления защиты от клонирования точки доступа и проведения DoS-атак применяются также следующие методы:

• Использование модифицированных протоколов. Этот метод признан наиболее действенным способом борьбы, поскольку вводит в заблуждение программное обеспечение, применяемое при сканировании эфира, и делает анализ перехваченных пакетов невозможным.
• Определение временных и специфических характеристик протоколов и ОС для удостоверения неизменности конечных точек. Используя данный подход, можно создавать «отпечаток» ОС, проверка которого позволяет исключить внедрение ложной точки доступа или проведение атаки man-in-the-middle.

Для дополнительной защиты может также использоваться связка Wi-Fi и VPN. В этом случае программное обеспечение VPN-сервера проводит окончательную идентификацию и аутентификацию пользователя и осуществляет его связь с ресурсами защищенной сети.

Для защиты данных, передаваемых в Wi-Fi сетях, компанией «АльтЭль» была разработана защищенная точка доступа, получившая название ALTELL NEO Wi-Fi. Конструктивно, точка доступа представляет собой аппаратное устройство в настольном исполнении (возможна поставка комплекса в защищенном исполнении в соответствии с требованиями заказчика), оснащенное несколькими портами типа Ethernet для подключения проводных сетей. Доступ к точке осуществляется удалённо, через проводной или беспроводной интерфейс, либо через RS232-порт.

К преимуществам комплекса ALTELL Wi-Fi можно отнести:

• Защита от сканирования управляющего трафика. Управляющая информация, способствующая проведению атак — например, пароли и имена пользователей защищена СКЗИ (средством криптографической защиты информации).
• Многофакторная авторизация пользователя. Авторизация пользователя производится с помощью пароля и защищенного носителя типа USB-token, что предотвращает несанкционированный доступ.
• Защита от подмены программных компонентов. Реализован многоуровневый контроль целостности ПО точки доступа на уровне базовой системы ввода-вывода (BIOS), что обеспечивает полный контроль над программным обеспечением точки доступа.
• Защита от использования возможных уязвимостей программного обеспечения точки доступа. Реализованы механизмы защиты от переполнения буфера, случайное выделение и маскировка памяти, мандатный механизм контроля доступа.
• Доверенная базовая система ввода-вывода (BIOS) ALTELL HyperBIOS с функциями защиты от несанкционированного доступа на АРМ. Авторизация пользователя осуществляется на уровне БСВВ (BIOS) с использованием многофакторной авторизации.
• Контроль целостности базовой системы ввода-вывода (BIOS) и загружаемых компонентов. В момент загрузки BIOS проверяет целостность себя самого и загружаемых компонентов.
• Гипервизор, встроенный в базовую систему ввода-вывода (BIOS) на АРМ. Конструктивно гипервизор находится в микросхеме EEPROM, где размещён образ BIOS; при этом сам гипервизор является неотъемлемой составной частью BIOS.
• Изоляция пользовательского окружения на АРМ. Пользовательское окружение запущено в полностью виртуальной машине под управлением ОС Windows. Драйвер Wi-Fi адаптера, стек IEEE 802.11, СКЗИ и программное обеспечение управления и авторизации запущены и работают в виртуальной машине монитора. Гипервизор обеспечивает изоляцию, пользователь полностью отделён от управляющих компонентов, и не может на них повлиять. Доступ к беспроводной сети осуществляется через виртуальный сетевой интерфейс, организованный средствами гипервизора.

Точка доступа ALTELL NEO Wi-Fi имеет в своем составе весь спектр архитектурных и технологических решений, необходимых для реализации безопасной беспроводной сети. Кроме того, ALTELL NEO Wi-Fi полностью гарантирует безопасность работы в локальной сети, Интернете и с электронной почтой.

Для защиты передаваемы по беспроводному каналу данных применяется модифицированный протокол WPA2 с поддержкой шифрования на основе алгоритмов ГОСТ как для симметричного шифрования передаваемого трафика, как и в инфраструктуре PKI используемой для аутентификации и выработки сессионного ключа. В случае применения процедуры централизованной авторизации на некой точке принятия решений, возможна выработка политики безопасности, ограничивающей доступ к различным ресурсам и обеспечивающей наблюдение и контроль за действиями пользователей.

Точка доступа ALTELL Wi-Fi обладает функциональными возможностями, присущими всему модельному ряду устройств серии ALTELL NEO (межсетевым экранам, VPN-шлюзам и UTM-устройствам):

Защита локальной сети

• Межсетевой экран с фильтрацией трафика с учетом заданного контекста
• Межсетевой экран с фильтрацией протоколов пользовательского уровня
• Защита от DoS/DDoS-атак, сканирования портов, вредоносного ПО и BotNet-атак
• Система предотвращения вторжений: более 7500 правил, автоматическое обновление базы сигнатур
• Поддержка VPN-подключений и удаленного доступа: SSL, IPSec, PPTP
• Поддержка подключений Site-to-Site IPsec и SSL VPN

Защита Интернет-подключений

• Фильтрация HTTP, HTTPS и FTP-трафика
• Фильтрующий и кэширующий proxy (возможно использование массивов 0,1,5 уровня, либо striped)
• Фильтрация URL-адресов (база URL-адресов содержит 96 различных категорий веб-сайтов на 65 языках, более 2000000 записей базы данных различных категорий)
• Гибко настраиваемые политики доступа: возможность ограничения доступа по времени/адресу, имени пользователя, группе
• Поддержка каталогов пользователей(Active Directory, LDAP, SQL)
• Возможность блокирования/ограничения полосы пропускания для IM/P2P-приложений: Skype, ICQ, MSN, Jabber, GTalk, Yahoo, IRC, BitTorrent и др.
• Блокировка активного контента веб-сайтов (Java, ActiveX, Flash, cookies, VBScript, JavaScript)

Антивирусная защита

• Модуль антивирусной защиты с двумя независимыми движками и регулярно обновляемыми базами (содержат более 800000 сигнатур вирусов на настоящий момент)
• Проверка входящих и исходящих почтовых сообщений на наличие угроз
• Обнаружение зараженных, подозрительных, защищенных паролем и недоступных для проверки объектов
• Обезвреживание обнаруженных в файлах и почтовых сообщениях угроз, лечение зараженных объектов
• Сохранение резервных копии сообщений перед их антивирусной обработкой и фильтрацией
• Восстановление сообщений из резервных копий
• Обработка почтовых сообщений согласно правилам, заданным для групп отправителей и получателей
• Выполнение фильтрации почтовых сообщений по имени, типу и размеру вложений
• Уведомление отправителя, получателей и администратора об обнаружении сообщений, содержащих зараженные, подозрительные, защищенные паролем и недоступные для проверки объекты
• Формирование статистики и отчетов о результатах работы
• PUSH-технология обновления баз данных антивирусов
• Настройка параметров и управление работой приложения как локально (стандартными средствами операционной системы с помощью параметров командной строки, сигналов и модификацией конфигурационного файла приложения), так и удаленно через веб-интерфейс

Антиспам

• Модуль защиты от нежелательной почты (спама) со встроенной технологией мониторинга вспышек спам-активности во всемирной сети Интернет
• Два независимых движка защиты от спама
• Проверка адреса отправителя и получателя (из envelope), размера письма, а также различных заголовков письма (включая заголовки From и To)
• Проверка адреса отправителя письма (e-mail и/или IP-адрес) с помощью «черных» и «белых» списков, проверка наличия IP-адреса отправителя в выбранном списке сервисов DNS-based RealTime
• Поддержка DNS Black List (DNSBL)
• Проверка наличия DNS-записи о сервере-отправителе (reverse DNS lookup)
• Проверка IP-адреса отправителя на соответствие списку разрешенных адресов для домена с помощью технологии Sender Policy Framework (SPF)
• адреса и ссылки на сайты, присутствующие в тексте письма проверяются с помощью сервиса Spam URI Realtime Blocklists (SURBL)
• Использование байесовских фильтров
• Передовые методы фильтрации спама: DomainKeys, DKIM, Razor

Средства управления безопасностью сети

• Интуитивно понятная и простая система управления на основе веб-браузера
• Полнофункциональный интерфейс управления на основе командной строки
• Подключения по защищенному каналу управления
• Встроенная функция регулярного формирования отчетов
• Контроль целостности файлов устройства
• Интерактивная справка при настройке устройства
• Система автоматического обновления сигнатурных баз Altell NEO

Сетевые подключения

• Интерфейсы: Ethernet, DSL, Cable, 802.1q VLAN, PPP, FC
• Режимы функционирования маршрутизатора: static, policy, OSPF, BGPv4, RIPv2, IS-IS, NAT, PAT, Bridging
• Маршрутизация VPN соединений
• Поддержка IPv6
• Поддержка H232, SIP, включая проксирование VoIP трафика
• Агрегирование подключений 802.3ad
• Функция балансировки нагрузки
• Управление полосой пропускания

Модель точки доступа ALTELL NEO Wi-Fi

Модель абонентского пункта Wi-Fi

Как провести перехват и скрытый анализ WiFi трафика без подключения к роутеру

Определение уязвимых устройств и веб-сервисов на вашем целевом беспроводном маршрутизаторе может стать сложной задачей, так как хакеры способны провести атаку на вашу беспроводную сеть, не оставив следов в ваших лог-файлах, а также других признаков своей активности. В этом материале мы расскажем про способ организовать скрытый перехват, дешифровку и анализ WiFi-активности без какого-либо подключения к беспроводной сети!

Хакеры, в попытках взломать защиту на беспроводных маршрутизаторах, могут использовать самые разнообразные методы для получения доступа к вашей конфиденциальной информации: от ресурсоемких атак грубой силы, осуществляемых с помощью различных программ по подбору простых «словарных» паролей, до изящных схем социальной инженерии, таких как фишинг Wi-Fi-паролей путем блокировки соединения и создания поддельных точек доступа, против которых бессильны даже самые надежные пароли. Как только учетные данные Wi-Fi будут получены, у злоумышленников появляются огромные возможности по скрытому захвату и анализу сетевого трафика скомпрометированной беспроводной сети, с применением различных методологий и специализированного инструментария для выявления и дальнейшего использования личной информации пользователей, передаваемой по этой сети.

Сканеры портов будут создавать огромное количество шума в беспроводных сетях. Атаки «человек посередине» могут быть слишком агрессивными, что может насторожить пользователей и предупредить сетевого администратора о присутствии хакера. Кроме того, маршрутизаторы сохраняют в лог-файлы информацию о каждом устройстве, подключаемом к сети. Таким образом, каждое злонамеренное действие, выполняемое при подключении к скомпрометированному Wi-Fi-роутеру, рано или поздно может быть обнаружено, и защита сети восстановлена.

Однако, злоумышленникам, после получения доступа к учетным данным Wi-Fi, вовсе не обязательно подключаться к беспроводной сети (а, значит, оставлять следы своего присутствия), чтобы продолжить развивать свою атаку.

Основные принципы реализации срытой атаки на WiFi сеть

В рамках данного практического руководства мы детально разберемся с тем, как злоумышленники перехватывают сетевые пакеты при их беспроводной передаче с и на Wi-Fi-роутер с помощью утилиты Airodump-ng, а затем практически в режиме реального времени дешифруют трафик WPA2 с помощью сниффера Wireshark.

Wireshark — самый популярный в мире и наиболее часто используемый анализатор сетевого трафика. Он позволяет пользователям буквально на микроскопическом уровне видеть то, что происходит в их сетях, и является де-факто основным инструментом сетевого аудита для коммерческих и некоммерческих организаций, а также государственных и образовательных учреждений.

Однако, прекрасная функциональность, встроенная в Wireshark, привлекает и злоумышленников, которые с помощью этого сетевого анализатора могут расшифровывать и просматривать в виде простого текста всю передаваемую по воздуху сетевую активность скомпрометированного беспроводного маршрутизатора.

Утилита Airodump-ng — это набор программ для обнаружения беспроводных сетей и перехвата передаваемого по этим сетям трафика, доступная для всех популярных операционных систем, включая UNIX, Linux, Mac OS X и Windows, которая, в том числе, способна работать на виртуальных машинах и одноплатных компьютерах Raspberry Pi. Airodump-ng также, как и Wireshark, широко применяется для сетевого аудита, как, впрочем, и используется злоумышленниками.

Итак, давайте детально разберемся на основе пошагового практического примера, как злоумышленники могут реализовать скрытый взлом Wi-Fi-сети, чтобы в дальнейшем мы могли детально оценить, насколько уязвимы наши беспроводные сети. В рамках данного практического руководства мы будем использовать систему на базе Kali Linux для сбора, дешифровки и анализа беспроводных сетевых данных, генерируемых Wi-Fi-роутером, которым мы сами же и управляем.

Шаг 1 Определение целевого Wi-Fi-роутера.

Чтобы с помощью утилиты Airodump-ng включить режим мониторинга на беспроводном адаптере, используйте следующую команду:

«airmon-ng start wlan0»

Скриншот визуального представления запуска данной команды представлен на рисунке 1.

Рисунок 1. Демонстрация запуска команды «airmon-ng start wlan0» для включения режима мониторинга на беспроводном адаптере с помощью утилиты Airodump-ng.

Затем следует найти целевую беспроводную сеть (для нашего практического примера был использован маршрутизатор «Null Byte»). Для просмотра работающих в зоне вашей доступности сетей Wi-Fi используйте следующую команду:

Скриншот визуального представления запуска данной команды представлен на рисунке 2.

Рисунок 2. Демонстрация запуска команды «airodump-ng wlan0mon» для просмотра доступных в окрестности сетей Wi-Fi с помощью утилиты Airodump-ng.

Обратите пристальное внимание на такие характеристики выбранной вами Wi-Fi-сети, как «BSSID», «CH», и «ESSID». Эта информация понадобиться для идентификации данных, передаваемых на беспроводный маршрутизатор, чтобы успешно реализовать процесс по их захвату и сбору.

Шаг 2. Захвата WiFi трафика

Чтобы начать сбор данных, относящихся к целевой WiFi сети, используйте следующую команду (обратите внимание, что в данной команде вам следует заменить выделенные курсивом и подчеркнутые части на те, которые актуальны для вашего конкретного случая):

«airodump-ng —bssid TargetMACaddressHere —essid RouterNameHere -c ChannelNumber -w SaveDestination wlan0mon»

• «TargetMACaddressHere» — это MAC-адрес целевого Wi-Fi-роутера (или значение «BSSID» из примера выше);
• «RouterNameHere» — это имя целевого Wi-Fi-роутера (или значение «ESSID» из примера выше);
• «ChannelNumber» — это номер канала целевого Wi-Fi-роутера (или значение «CH» из примера выше);
• «SaveDestination» — это выбранный для сохранения каталог и имя создаваемого файла.

Скриншот визуального представления с примером ввода данной команды представлен на рисунке 3.

Рисунок 3. Пример ввода команды из утилиты Airodump-ng для старта сбора данных, относящихся к целевому Wi-Fi-роутеру «Null Byte».

Как вы можете видеть, в нашем примере мы указываем папку для сохранения собранных данных «/tmp» и имя файла «null_byte», используя аргумент «-w». Программа Airodump-ng автоматически добавит число в конец имени файла, поэтому на самом деле собранные данные в нашем практическом примере были сохранены в файле с именем «null_byte-01.cap». На рисунке 4 проиллюстрировано, что можно увидеть на запущенном терминале утилиты Airodump-ng.

Рисунок 4. Скриншот запущенного терминала утилиты Airodump-ng.

Самой важной вещью, которую вы можете наблюдать на запущенном терминале утилиты Aireplay-ng, является рукопожатие WPA («WPA handshake»), расположенное в правом верхнем углу экрана (смотрите рисунок 4). «Рукопожатие» должно произойти, чтобы Wireshark позже смог расшифровать захваченный трафик Wi-Fi. Другими словами, после того, как вы начали сбор данных с помощью Aireplay-ng, вам необходимо переподключить подсоединенные к целевому Wi-Fi-роутеру устройства, трафик которых вы собираетесь проанализировать. К слову, для этих целей можно использовать встроенные возможности Aireplay-ng по принудительному отключению устройств от сети, чтобы инициировать переподключение и, соответственно, запуск процесса рукопожатия WPA. Но этот шаг может причинить неудобство и вызвать подозрения у пользователей, подключенных к сети.

Пока терминал Airodump-ng запущен, данные будут накапливаться. Терминал Airodump-ng может работать несколько часов или даже дней. В нашем практическом примере сеанс Airodump-ng по сбору пакетов длился чуть более 15 минут. Длительность сеанса можно увидеть в верхнем левом углу терминала (смотрите рисунок 4).

Обратите внимание также на столбец «#Data» (смотрите рисунок 4). Это число собранных пакетов данных. Чем выше это число, тем больше вероятность того, что в них можно обнаружить конфиденциальные данные, которые злоумышленники могут использовать для дальнейшей компрометации цели или последующего разворачивания атаки внутрь корпоративной локальной сети (например, с помощью pivoting-техник).

Когда будет собрано достаточное количество данных, сеанс Airodump-ng можно остановить, нажав «Ctrl + C». Теперь в каталоге «/tmp» будет файл «null_byte-01.cap» (или как вы его назвали). Этот файл с расширением «.cap» можно будет открыть с помощью Wireshark.

Шаг 3. Установка последней версии сниффера Wireshark

По умолчанию Wireshark включен почти во все версии Kali Linux (https://www.kali.org/downloads/). Однако, есть несколько версий, которые не включают Wireshark, поэтому мы быстро расскажем, как установить Wireshark в Kali Linux.

Прежде всего, необходимо запустить из консоли команду обновления «apt-get», чтобы получить доступ к загрузке последней, протестированной и поддерживаемой (разработчиками Kali Linux) версии Wireshark. Для этого откройте терминал и введите следующую команду:

«sudo apt-get update»

Затем используйте следующую команду для установки Wireshark:

«sudo apt-get install wireshark»

К слову, вы можете использовать символ двойного амперсанда «&&» между двумя этими командами. Это даст указание терминалу сначала синхронизировать индекс пакета с его источниками (репозиториями Kali Linux). А затем (и только при условии успешного обновления) будет установлен Wireshark. Скриншот выполнения этих команд представлен на рисунке 5.

Рисунок 5. Установка сниффера Wireshark в Kali Linux.

Шаг 4. Запуск инструментария Wireshark

Wireshark, после успешной установки, можно будет найти в категории «Sniffing & Spoofing» в меню «Applications». Чтобы запустить Wireshark, просто кликните на значок (смотрите рисунок 6).

Рисунок 6. Запуск инструментария Wireshark в Kali Linux.

Шаг 5. Настройка Wireshark для дешифровки трафика WiFi

Чтобы использовать Wireshark для дешифрования данных, находящихся в файле с расширением «.cap», нажмите кнопку «Edit» в верхней панели, затем выберите «Preferences», и разверните раскрывающееся меню «Protocols». Визуальный скриншот представлен на рисунке 7.

Рисунок 7. Раскрывающееся меню «Protocols» в разделе «Preferences» в Wireshark.

После этого прокрутите вниз и выберите опцию «IEEE 802.11». Поле добавления, расположенное рядом со значением «Enable decryption», должно быть отмечено галочкой. Затем кликните на кнопке «Edit», чтобы добавить ключи дешифрования («Decryption keys») для конкретной сети Wi-Fi. Визуальный скриншот представлен на рисунке 8.

Рисунок 8. Выбор ключей дешифрования для конкретной сети Wi-Fi в Wireshark

Откроется новое окно, в котором необходимо указать пароль и имя Wi-Fi-роутера. Для этого, прежде всего, выберите для значения «Key type» параметр «wpa-pwd». Этот тип ключа необходим для добавления пароля WPA в виде обычного текста. При вводе учетных данных пароль и имя беспроводного маршрутизатора разделяется двоеточием (например, так — «password:router_name»). В нашем практическом примере для Wi-Fi-сети «Null Byte» был использован сверхнадежный пароль в виде длинной закодированной стоки, поэтому текст для значения «Key» получился следующим: «bWN2a25yMmNuM2N6amszbS5vbmlvbg==:Null Byte» (визуальный скриншот представлен на рисунке 9). Если же у вас, к примеру, пароль «Wonderfulboat555» к Wi-Fi-роутеру «NETGEAR72», то у вас должна получиться следующая строка: «Wonderfulboat555:NETGEAR72».

Рисунок 9. Установленные ключи дешифрования для конкретной сети Wi-Fi в Wireshark

Нажмите «ОК», чтобы сохранить учетные данные. Теперь, после импортирования файла с расширением «.cap», в котором находятся данные перехваченного беспроводного трафика, Wireshark сможет автоматически расшифровывать данные, относящиеся к Wi-Fi-сети «Null Byte».

Шаг 6. Проведение подробного анализа пакетов (Perform Deep Packet Inspection, DPI)

Чтобы импортировать файл с захваченными и сохранными пакетами данных, нажмите на кнопку «File» на верхней панели, а затем выберете «Open». В нашем случае файл с расширением «.cap» был сохранен в каталоге «/tmp»; выбираем его и нажимаем «Open». В зависимости от того, как долго утилита Airodump-ng собирала данные, Wireshark может потребоваться несколько минут для импорта и дешифрования всех данных. Визуальный скриншот этого действия представлен на рисунке 10.

Рисунок 10. Импортирование файла с расширением «.cap» в Wireshark.

После открытия файла с расширением «.cap» в Wireshark вы можете обнаружить тысячи строк необработанного веб-трафика. На первый взгляд это может выглядеть пугающим. К счастью, в Wireshark есть фильтры отображения («Display Filters»), которые можно использовать для сортировки и фильтрации ненужных пакетов. В сети вы можете найти огромное количество фильтров отображения, которые помогают пользователям провести тонкую настройку Wireshark, чтобы точечно идентифицировать актуальную и деликатную информацию. Далее, в рамках данного практического руководства, мы расскажем о нескольких наиболее эффективных фильтрах отображения, которых злоумышленники очень часто используют для проверки активности, происходящей в сети.

1. Поиск данных, содержащих запросы метода POST

Метод запроса POST, который поддерживается протоколом HTTP, часто используется при загрузке файла или отправке имен пользователей и паролей на веб-сайт. Другими словами, когда кто-то, например, входит в Facebook или оставляет комментарий под статьей на Интернет-портале, это скорее всего делается с помощью запроса POST.

Поэтому велика вероятность того, что данные POST в файлах с расширением «.cap» будут содержать персональную и компрометирующую информацию. Так, злоумышленники могут найти имена пользователей, пароли, настоящие имена людей и их домашние адреса, адреса электронной почты, логи чата и многое другое.

Итак, чтобы использовать фильтр для получения данных, содержащих POST-запросы, введите приведенную ниже строку в поле ввода фильтра отображения Wireshark:

Рисунок 11. Фильтр отображения для идентификации данных POST-запросов в Wireshark.

Для нашего практического руководства мы использовали имитацию пользовательской активности в виде подписки на электронную рассылку публикаций технологического сайта («http://www.foodanddrinktechnology.com/zmember/subscribers/register?lasturl=http://www.foodanddrinktechnology.com/»), случайно найденного на просторах Всемирной сети. Ведь запрос на получение уведомлений по электронной почте от своих любимых сайтов — распространенная в наши дни практика.

Если в файле с расширением «.cap» Wireshark найдет POST-запросы, то он отобразит их в информационном в столбце «Info» в виде строк, содержащие данные POST. Двойной щелчок по одной из этих строк приведет к появлению нового окна Wireshark, содержащего дополнительную информацию. Прокрутите вниз и разверните раскрывающийся список «HTML Form», чтобы просмотреть данные.

В нашем случае при проверке данных, собранных только из этого единственного запроса POST, было обнаружено много информации, которая в реальных условиях могла бы принадлежать кому-то в сети. Собранные данные включали в себя имя, фамилию, место работы, а также пароль для регистрации на сервисе и адрес электронной почты, которые впоследствии могут быть использованы для фишинга или целевых хакерских атак.

Более детальная информация представлена на рисунке 12.

Рисунок 12. Личная и конфиденциальная информация, найденная сниффером Wireshark при использовании фильтра отображения данных, содержащих POST-запросы

Как вы можете видеть, веб-сайт запросил введение формы пароля, который при обнаружении злоумышленники могут добавить в списки паролей и использовать его при проведении дальнейших атак грубой силы на сеть (с использованием метода перебора). Кроме того, люди часто используют идентичные пароли для нескольких учетных записей. Вполне возможно, что найденный пароль может предоставить злоумышленникам доступ к электронному адресу Gmail, также указанному в данных POST.

Кроме того, в перехваченных данных было обнаружено название компании, где, предположительно, работает Кристофер Хаднаги. Эта информация может быть использована злоумышленником для дальнейшей атаки на этого человека с использованием техник социальной инженерии.

Еще немного пролистав вниз перехваченные и дешифрованные данные POST, можно найти еще больше информации (скриншот представлен на рисунке 13). К примеру, полный домашний адрес, почтовый индекс и номер телефона, которые также были включены в этот же единственный запрос POST. Эта информация сообщит злоумышленнику, где живет пользователь, и он сможет использовать телефонный номер в мошеннических целях, применяя техники социальной инженерии. Например, отправляя поддельные SMS-сообщения или использовать телефонный звонок для получения дополнительной информации о человеке и/или вымогательства.

Рисунок 13. Личная информация, найденная Wireshark при использовании фильтра отображения данных, содержащих POST-запросы.

Поиск данных, содержащих запросы метода GET

Метод запроса GET, который также поддерживается протоколом HTTP, часто используется для извлечения или загрузки данных с веб-серверов. Например, если кто-то просматривает чью-то учетную запись в Twitter, его браузер будет использовать GET-запрос для извлечения необходимой информации с веб-серверов twitter.com. Пристальная проверка файлов с расширением «.cap» (с перехваченным беспроводным трафиком) для GET-запросов не выявит имен пользователей или адресов электронной почты, но позволит злоумышленникам разработать полный профиль поведения пользователей в Интернете.

Чтобы использовать фильтр для получения данных, содержащих GET-запросы, введите приведенную ниже строку в поле ввода фильтра отображения Wireshark:

Рисунок 14. Скриншот примера использования фильтра отображения для идентификации данных GET-запросов в Wireshark

Многие веб-сайты добавляют окончания «.html» или «.php» к концу своих URL-адресов (смотрите рисунок 14). Эта закономерность может быть использована в качестве индикатора веб-сайтов, просматриваемых кем-то в сети Wi-Fi.

Кроме того, для оптимизации поиска будет не лишним отсеять все GET-запросы, связанные с CSS (Cascading Style Sheets, каскадные таблицы стилей), для описания стилей и шрифтов, так как эти виды запросов не задаются пользователями напрямую, а происходят в фоновом режиме, когда кто-то просматривает веб-страницы в Интернете. Чтобы использовать фильтр для получения данных, содержащих GET-запросы и одновременно отфильтровать содержимое CSS, введите приведенную ниже строку в поле ввода фильтра отображения Wireshark:

«http.request.method == «GET» && !(http.request.line matches «css»)»

Как вы можете видеть, символ двойного амперсанда «&&» здесь буквально означает «и». Символ «!» (восклицательный знак) в данном случае используется как «нет». Таким образом, мы инструктируем Wireshark отображать только запросы GET, игнорируя при этом все строки HTTP-запросов, которые каким-либо образом соответствуют «css». Используя этот фильтр, вы отсеете часть бесполезной для вас информации, связанной со служебной информацией, используемой веб-ресурсами в фоновом режиме.

Кликнув на одну из найденных строк, мы сможем развернуть и просмотреть более детальные данные «Hypertext Transfer Protocol» («протокола передачи гипертекста» или просто HTTP) с более подробной информацией об активности пользователя.

Рисунок 15. Отображение в Wireshark подробной информацией об активности пользователя через данные «Hypertext Transfer Protocol»

Из информации, которую пересылает о себе клиентское приложение User-agent, мы можем идентифицировать, что наша жертва использует компьютер под управлением Windows и браузер Chrome. Эта информация очень ценна для злоумышленников, так они теперь смогут более целенаправленно выбирать «полезные нагрузки» (payload) при осуществлении атаки эксплоита для получения доступа к системе этого пользователя, учитывая специфические свойства и уязвимости используемой им версии операционной системы Windows.

Строка «Referer» укажет нам на веб-сайт, который пользователь, поведенческую модель которого мы анализируем в данный момент, просматривал непосредственно перед тем, как перешел по ссылке на статью на веб-сайте «tomsitpro.com». Так как это поисковый веб-сайт «duckduckgo.com», то практически наверняка это означает, что статью о карьере этичного хакера («white hat hacker career») пользователь нашел с помощью некого запроса в этой поисковой системе.

Что эта тривиальная и на первый взгляд «неопасная» информация может сказать злоумышленнику? Много. Прежде всего, использование поисковой системы DuckDuckGo вместо стандартной для большинства Google, может указывать на человека, который заботится о своей конфиденциальности, поскольку Google известен своими агрессивными политиками в области собирания и использования личных данных своих пользователей. А тот, кто заботится о конфиденциальности, может также интересоваться защитным программным обеспечением, таким как антивирусные программы. И это то, что хакеры также будут учитывать при создании «полезной нагрузки» для этого пользователя.

3. Поиск данных DNS-запросов

Для передачи зашифрованного интернет-трафика (HTTPS) по умолчанию используется TCP-порт 443. Поэтому для того, чтобы понять, какие веб-сайты просматривает выбранный пользователь, на первый взгляд было бы логично воспользоваться фильтром отображения «tcp.port == 443». Но это обычно приводит к получению большого списка необработанных IP-адресов (в цифровом виде) в столбце назначения, что не очень удобно для быстрой идентификации доменов. Фактически, более эффективным способом для идентификации веб-сайтов, отправляющих и получающих зашифрованные данные, является фильтрация DNS-запросов.

Система доменных имен (Domain Name System, DNS) используется для преобразования имен веб-сайтов в машиночитаемые IP-адреса, такие как «https://144.76.198.94». Таким образом, когда мы посещаем, к примеру, такой домен, как «https://networkguru.ru», наш компьютер преобразует понятное человеку доменное имя в IP-адрес. Это происходит каждый раз, когда мы используем доменное имя для просмотра веб-сайтов, отправки электронной почты или общения онлайн.

Поиск DNS-запросов в файле с разрешением «.cap» (с перехваченным беспроводным трафиком) поможет злоумышленникам понять, какие веб-сайты часто посещают люди, подключенные к целевому маршрутизатору. Злоумышленники также смогут увидеть доменные имена, принадлежащие веб-сайтам, которые получают и отправляют зашифрованные данные на такие веб-сайты, как Facebook, Twitter и Google.

Чтобы использовать фильтр для получения данных, содержащих DNS-запросы, введите приведенную ниже строку в поле ввода фильтра отображения Wireshark:

Рисунок 16. Скриншот примера использования фильтра отображения для идентификации данных DNS-запросов в Wireshark

Анализ DNS-запросов может дать некоторую интересную информацию. К примеру, если вернуться к нашему практическому примеру, то мы можем увидеть (смотрите рисунок 16), что пользователь целевого маршрутизатора часто просматривает туристические сайты, такие как «expedia.com» и «kayak.com». И с большой долей вероятности это может означать, что пользователь скоро будет отсутствовать дома в течение длительного периода времени.

Сами данные зашифрованы, поэтому таким образом злоумышленники не смогут узнать ни время отъезда, ни место назначения. Но злоумышленники могут использовать информацию, полученную благодаря анализу DNS-запросов, для оттачивания методов социальной инженерии, направленных на этого пользователя, с целью получения от него личной и/или финансовой информации.

Например, если среди DNS-запросов был обнаружен домен веб-сайта одного из банков, то хакеры могли бы попытаться подделать электронное письмо от этого банка, в котором бы сообщалось, что только что произошла крупная транзакция по кредитной карте Expedia. Это поддельное письмо также могло бы содержать некую дополнительную информацию, собранную в ходе анализа беспроводного трафика и нацеленную непосредственно на жертву, чтобы заставить его или ее зайти по ссылке на поддельный веб-сайт банка (который на самом деле контролируется злоумышленником и предназначен для сбора банковских учетных данных).

Как защититься от взлома WiFi сети и перехвата трафика?

На первый взгляд, все личные данные, обнаруженные нами в ходе анализа файла «.cap» с перехваченным трафиком беспроводной сети, кажутся обыденными и безвредными. Однако, проанализировав всего несколько пакетов, мы смогли узнать, как имя учетной записи пользователя, так и настоящее имя этого человека, место его работы, один из используемых им паролей, адрес электронной почты, домашний адрес, номер телефона, производителя оборудования, операционную систему, веб-браузер, а также поведенческие привычки пользователя по серфингу в Интернете и многое другое.

И все эти данные можно собрать без подключения к беспроводному маршрутизатору. Конечно, для этого сразу надо было узнать или подобрать пароль от беспроводной сети. Но вряд ли стоит доверять свою безопасность всецело только паролю от беспроводной сети. У жертв просто не будет ни единой возможности узнать, что с ними что-то происходит. Впоследствии эта информация может быть использована злоумышленниками для запуска продуманного и целенаправленного взлома компаний и частных лиц.

Также не следует забывать, что вся личная информация, обнаруженная в этой статье, доступна вашим Интернет-провайдерам и провайдерам мобильной связи. А эти компании, особенно крупные игроки, каждый день используют анализ DPI (Deep Packet Inspection, глубокая проверка пакетов), то есть проводят глубокий анализ полного содержимого вашего трафика и накапливают статистические данные о вас.

Чтобы защитить себя от такого пристального внимания посторонних к вашим личным данным, мы можем:

• Использовать надежные пароли для защиты беспроводных сетей. Слабые пароли, уязвимые к атаке грубой силы, — основной способ у злоумышленников для получения доступа к чужим Wi-Fi-роутерам.
• Использовать виртуальную частную сеть (Virtual Private Network, VPN). При установлении безопасного соединения между вами и провайдером VPN все личные данные, обнаруженные в этой статье, не были бы доступны злоумышленнику. Но в этом случае все ваши личные данные доступны вашему провайдеру VPN, в том числе для проведения им анализа глубокой проверки пакетов. Вы также не застрахованы от того, что ваши данные не будут переданы вашим провайдером VPN третьим лицам.
• Использовать Tor. В отличие от сетей VPN, сеть Tor построена на совершенно другой модели безопасности, которая не использует для передачи всех ваших данных единую сеть или единого сервис-провайдера.
• Использовать криптографические протоколы SSL/TLS для защищенной передачи данных в сети Интернет, чтобы обезопасить себя от прослушивания пакетов и осуществления несанкционированного доступа к вашим личным данным. К примеру, данные в протоколе HTTPS передаются поверх криптографических протоколов SSL или TLS, что зашифрует веб-трафик между вашим браузером и веб-сайтом. А такие инструменты, как HTTPS Everywhere («https://www.eff.org/https-everywhere»), могут помочь вам осуществлять шифрование данных вашего веб-трафика.

Появились вопросы или нужна консультация? Обращайтесь!

Вечный параноик, Антон Кочуков.

Уязвимости WiFi сетей и методы защиты — подробный разбор со скриншотами и комментариями

Данная статья не является мануалом по взлому Wi-Fi сетей, не является призывом к взлому, нанесению ущерба или к чему-либо. Автор не поощряет действия хакеров и сам не является таковым. Всё, что рассказано в этой статье, имеет исключительно образовательный характер. Полную ответственность за ваши дальнейшие действия несёте лично вы сами. Статья написана исключительно для всеобщего осведомления о существовании таких уязвимостей и способах защиты.

Введение

Wi-Fi — беспроводная технология, которая стала неотъемлемой частью нашей повседневной жизни, предоставляет нам возможность подключаться к Интернету практически из любой точки мира. От домашних сетей до общественных точек доступа в кафе, аэропортах и гостиницах, Wi-Fi позволяет нам оставаться на связи, работать и развлекаться, где бы мы ни находились.

Несмотря на все его преимущества, неправильно настроенный Wi-Fi роутер также представляет собой потенциальную угрозу для нашей безопасности. Взлом Wi-Fi сети может привести к краже личной информации, включая пароли, банковские данные и другую конфиденциальную информацию. Кроме того, злоумышленники могут использовать взломанные сети для распространения вредоносного ПО или проведения других мошеннических действий.

Вы должны понимать, что безопасность Wi-Fi — это не проблема, которую можно игнорировать. Это не только вопрос защиты вашей личной информации, но и для организаций и предприятий — вопрос защиты корпоративных данных и управления рисками. Несоблюдение мер безопасности может привести к серьезным последствиям, включая финансовые потери и ущерб репутации.

В этой статье мы подробно рассмотрим различные угрозы безопасности, связанные с использованием Wi-Fi, а также методы и стратегии защиты, которые помогут вам или вашей организации оставаться в безопасности. Мы начнем с обзора основных типов атак на Wi-Fi и их последствий.

Основные угрозы безопасности

Wi-Fi, несмотря на свое удобство и широкое распространение, имеет ряд различных уязвимостей, которые могут подвергнуть рискам как личные данные отдельных пользователей, так и корпоративные сети. Рассмотрим некоторые из наиболее распространенных угроз.

1. Подбор простого пароля: одной из самых распространенных угроз безопасности Wi-Fi является использование слабых или стандартных паролей. Хакеры могут использовать специальные программы и утилиты для подбора паролей, которые автоматически пробуют тысячи различных комбинаций в надежде найти правильную. Если пароль состоит только из 8 цифр, то его можно подобрать за несколько часов, не говоря уже о стандартных паролях типа «adminadmin», «12345678» и т.д.
2. Поддельные точки доступа: хакеры могут создавать поддельные точки доступа Wi-Fi, которые выглядят как безопасные. Например, они могут заглушить вашу настоящую точку доступа и подменить ее. Если пользователь подключается к такой сети, указывая свой пароль, то хакер мгновенно его получает.
3. MITM — «человек посередине»: этот тип атаки заключается в перехвате и возможном изменении информации, передаваемой между роутером и сервером. В контексте Wi-Fi это может означать, что хакер, находящийся в радиусе действия сети, может перехватывать трафик между пользователем и сайтом, который в данный момент используется.
4. Атаки на протоколы WEP и WPA: это протоколы безопасности, используемые для шифрования данных в сетях Wi-Fi. Однако оба протокола имеют свои уязвимости. WEP, более старый протокол, считается устаревшим и легко взламываемым. WPA, хоть и является более безопасным, также подвержен определенным видам атак.
5. Атаки на протоколы WPS: (Wi-Fi Protected Setup) — это функция, которая позволяет пользователям легко подключаться к защищенной сети Wi-Fi, но она также имеет свои недостатки, позволяющие получать пароль за считанные секунды. Хакеры могут использовать атаку «грубой силы» для подбора PIN-кода WPS, а затем самого пароля для подключения.
6. Ddos-атаки (отказ в обслуживании) могут быть использованы для перегрузки сети Wi-Fi, делая ее недоступной для обычных пользователей. Злоумышленники отправляют огромное количество запросов, что приводит к быстрой перегрузке и отключению сети на все время атаки. Это может быть особенно разрушительно для офисов, работа которых может прекратиться на некоторое время. Хакеры часто используют такой метод, если хотят, чтобы их соседи немного отдохнули от интернета.

Сегодня я протестирую данные методы взлома на своей сети и объясню, как от них защищаться

Пентест

Мы плавно подошли к самому интересному — к практике (я буду выполнять все действия исключительно на своей wi-fi сети и в образовательных целях. Данный материал не является инструкцией по взлому wi-fi сетей, он написан для ознакомления. Я не призываю вас к повторению моих действий или взлому, за все ваши дальнейшие действия несете ответственность только вы сами).

Для тестирования всех этих методов на своей сети я буду использовать ОС Kali Linux, созданную для проверки безопасности различных систем. И так, приступим!

Подготовка:

1. Для начала мне нужна точка доступа wi-fi и двухдиапазонный адаптер, поддерживающий режим мониторинга, работу в режиме точки доступа, инъекцию пакетов и совместимость с kali linux. Идеальным вариантом является адаптер TP-Link Archer T2U Plus с чипом ac600, он имеет все выше перечисленное, а также хорошую дальность покрытия.

2. После установки и настройки виртуальной машины Kali Linux, я запускаю ее и подключаю к ней Wi-Fi адаптер. Проверить порты usb на наличие подключенного адаптера можно этой командой:

lsusb

3. Командой iwconfig вывожу беспроводные интерфейсы и вижу, что необходимо скачивать драйвера т.к wlan0 отсутствует.

iwconfig

Делаем это командой ������ и ждем завершения обновления

sudo apt update && sudo apt upgrade -y

4. Скачиваем драйвера для сетевой карты

sudo apt install realtek-rtl88xxau-dkms -y 

Перезагружаем виртуальную машину и проверяем наличие wlan0:

iwconfig

Теперь с помощью адаптера можно подключаться к wifi , он находится в режиме managed и готов к работе.

Подбор пароля:

Это, пожалуй, самый надежный способ проверки своей сети на прочность. Его смысл заключается в том, что пентестер сначала перехватывает пароль в зашифрованном виде (хендшейк), а потом расшифровывает его с помощью заранее подготовленного словаря с миллионами паролей. Каждый пароль из этого списка шифруется и сверяется с перехваченным хендшейком; если они совпали, подобранный пароль верный.

1. Первым делом я убеждаюсь в том, что адаптер подключен и готов к использованию.

2. Для успешного брутфорса нужен словарь с несколькими миллионами паролей. Такие словари могут содержать в себе имена, даты, часто используемые пароли и т. д. Если злоумышленник знает какую-либо информацию о потенциальной жертве, он может сгенерировать словарь, сообразно с ней.

Для теста я специально сгенерировал словарь с 8-значными паролями только из цифр, они используются чаще всего. Такой текстовый документ содержит 100 миллионов строк и весит ~850 МБ без сжатия.

3. Теперь необходимо перевести сетевую карту (адаптер) в режим сканирования сети; мне могут помешать другие сетевые процессы, поэтому я уничтожаю их.

4. Начинаю сканирование трафика и вижу 2 рабочие сети — одна из них моя. Завершаю скан и копирую BSSID (идентификатор сети), а также канал, на котором она работает.

Сканирование сетей вокруг

5. Осталось перехватить хендшейк и подобрать пароль. Запускаю целенаправленное сканирование только нужной сети; теперь нужно, чтобы кто-то подключился к ней, а я перехвачу handshake с паролем. Ждать, пока кто-то подключится сам, можно очень долго, поэтому я нахожу уже подключенного пользователя и начинаю DDoS-атаку с целью его отключения. Как только Kali начал забрасывать клиента пакетами, он сразу отключился. Завершаем атаку, чтобы устройство снова могло подключиться к Wi-Fi. Юзер даже ничего не заметит, т. к. данная операция длится считанные секунды. В момент подключения устройство жертвы отправляет хендшейк роутеру, а я его перехватываю; он записывается в определенный файл.

Перехват хендшейка, после переподключения устройства. Пентест

6. Очистка хендшейка. Я оставляю в хендшейке только зашифрованный пароль, остальное мне не понадобится.

Очищенный handshake в 430 раз меньше обычного

7. Перебор паролей — в этом не быстром процессе происходит сам подбор пароля. Сначала берется одна строка из словаря, шифруется и сравнивается с перехваченным зашифрованным паролем; если они совпали, то пароль верный. Все это происходит со скоростью ~9000 паролей/сек, но может занять несколько часов или даже дней в зависимости от длины и сложности пароля.

8. Пароль подобран! Я только что проверил на безопасность свою сеть.

Пароль подобран, пентест

Как защититься?

Для защиты от данного метода взлома используйте пароли длиной 9-10 символов или более, состоящие из цифр, символов и букв разного регистра. На их подбор уйдет от ~1500 лет на мощном ПК.

Поддельная точка доступа:

Данный способ использует социальную инженерию для кражи пароля. Пентестеру требуется 2 адаптера. Первый нужен для создания фейковой сети, а второй для глушения оригинальной. У меня имеется только одна сетевая карта, поэтому я не буду проверять это на своей сети, а вместо этого расскажу, как это работает.

1. Два адаптера переводятся в режим монитора.

2. На одном из них запускается фейковая точка доступа, второй начинает атаку деаутентификации и настоящая сеть глушится.

3. Пользователь больше не может подключиться к своей сети, но видит такую же без пароля. Большинство пользователей подумают, что это глюки роутера и попытаются подключиться к клону своей сети. Их встречает такое окно, где просят указать пароль для «обновления прошивки роутера».

4. После того, как в таком окне будет указан пароль, пентестер его получит.

Как защититься?

Не заполняйте подозрительные формы. В большинстве случаев в формах для подключения в общественных местах запрашивают только номер телефона. Если у вас запрашивают что-либо еще — отключайтесь от этой WiFi сети и не используйте ее. Будьте бдительны и не подключайтесь к подозрительным сетям.

MITM:

Атака «человек посередине» заключается в том, что пентестер с помощью ARP пакетов заставляет весь трафик проходить через свое устройство (в моем случае виртуальная машина Kali Linux).

Таким образом все посещаемые сайты, их данные, файлы куки, пароли и прочая важная и конфиденциальная информация будет в реальном времени попадать к атакующему. Пентестер должен знать пароль от сети, в рамках которой будет проводиться атака.

1. Подключаюсь к СВОЕЙ wifi сети.

2. Запускаю обнаружение сетевых хостов.

3. Настраиваю параметры атаки так, чтобы внедрялась вредоносная нагрузка, а механизм HSTS (механизм, активирующий защищённое соединение через протокол HTTPS) был обойден методом замены адреса в адресной строке браузера жертвы на похожие символы.

4. После запуска атаки, все запросы проходят через ПК пентестера. Но т.к. моя атака довольно примитивная, информацию с сайтов, использующих https, я получить не смогу. Протокол https шифрует данные перед отправкой, однако более опытный пентестер сможет побороть и эту проблему.

После успешного взлома wifi сети, хакер может зайти в настройки роутера на своем ПК. Теперь, когда у него есть полная власть над сетью, он может изменять ее название, пароль, тип шифрования, управлять подключенными устройствами.

Как защититься?

Чтобы ответить на этот вопрос, стоит обратить внимание на первый пункт плана атаки. Хакеру необходимо знать пароль от сети, чтобы подключиться к ней и начать атаку. Исходя из этого, мы понимаем, что наша задача — затруднить процесс взлома пароля. Рекомендуется использовать длинные и сложные пароли.

Атаки на протоколы WEP и WPA

Для получения доступа к сетям, защищенным этими протоколами, достаточно подобрать пароль по словарю. Поэтому следует использовать методы защиты, описанные в первом пункте: используйте длинные и сложные пароли, меняйте их время от времени.

Wps

WPS, или Wi-Fi Protected Setup — это стандарт, разработанный Wi-Fi Alliance для облегчения установки и настройки беспроводных сетей Wi-Fi. Wi-Fi Alliance — это некоммерческая организация, основанная в 1999 году, которая объединяет крупных производителей технологий беспроводной связи, таких как Intel, Apple, Cisco, Microsoft и другие. Цель Wi-Fi Alliance — создание и содействие стандартам для беспроводной связи, а также улучшение безопасности. Технология существует с 2006 года и стала общепринятым методом подключения устройств к беспроводной сети без ручного ввода пароля.

WPS работает двумя основными способами:

1. Метод PIN (Personal Identification Number): Этот метод использует восьмизначный PIN-код, который обычно указан на наклейке на обратной стороне маршрутизатора. При подключении к сети устройство или пользователь вводит этот PIN-код, и маршрутизатор автоматически передает информацию о сети.

2. Метод кнопки WPS (Push Button): Этот метод использует физическую или виртуальную кнопку на маршрутизаторе и устройстве. Пользователь нажимает кнопку WPS на обоих устройствах, и они автоматически подключаются друг к другу, передавая нужные пакеты.

Устройства, поддерживающие WPS, могут подключиться к сети по обычному паролю или с помощью PIN, который обычно указан на самом роутере. Если устройство подключается через PIN, то в ответ оно получает еще и обычный пароль.

Поскольку WPS PIN состоит из 8 цифр, то всего существует 10^8 (100 млн) его вариантов, на подбор которых уйдет уйма времени. Но как оказалось, последняя цифра PIN является контрольной и вычисляется исходя из других семи по формуле. Теперь число вариантов PIN сокращается до 10^7 (10 млн). Но это еще не все.

Как показано на схеме выше, в случае отправки роутеру правильного PIN, он возвращает отправителю сообщение об успешном подключении. Если же первые четыре цифры кода неверные, то роутер отправляет устройству пакет M4, а если неверны последние четыре, то пакет M6.

Таким образом, можно узнать, что какая-то часть кода верна. В итоге вместо 100 миллионов вариантов остается лишь 11 000

Как это происходит на практике?

Представим, что правильный Pin код маршрутизатора — 34460729. Подобрать нужно только 7 первых цифр т.к последняя — контрольная и ее нужно рассчитывать исходя из других. Например начиная перебор с 0000000x (где x — контрольная цифра) и получая от роутера пакет M4, мы понимаем, что первые 4 цифры точно неверные. Продолжаем изменять их, когда мы дойдем до 3446000x получим пакет M6, означающий, что теперь неверные только последние четыре цифры кода. Начинаем подбирать пятую, шестую и седьмую, а последнюю считаем на сонове 7 подобранных. Так когда начиная с 3446000x мы дойдем до 34460729 и получим сообщение об успехе и обычный пароль, будем подключены.

Используя специальную утилиту можно получить pin и пароль сети с wps за несколько секунд

Как защититься?

Все очень просто — отключите wps на своем роутере. На некоторых современных роутерах со свежими прошивками данная проблема устранена.

Ddos или Dos атаки

DoS (Denial of Service) и DDoS (Distributed Denial of Service) — это два типа атак, которые используются для перегрузки системы или сети, делая их недоступными для пользователей.

DoS-атака

DoS-атака происходит, когда злоумышленник использует один компьютер и одно интернет-соединение для перегрузки целевой системы или сети. Это достигается путем отправки большого количества запросов на целевую систему, что приводит к ее перегрузке и, в конечном итоге, к отказу в обслуживании.

DDoS-атака

DDoS-атака аналогична DoS-атаке, но в этом случае злоумышленник использует множество компьютеров. Эти компьютеры, известные как «ботнет», могут быть заражены вредоносным ПО, позволяющим злоумышленнику контролировать их и использовать для проведения атаки. Это делает DDoS-атаки более мощными и сложными для предотвращения, поскольку они исходят из множества источников.

виды атак «отказ в обслуживании»

Сейчас буду испытывать свою сеть Dos атакой.

Тут все очень просто, с помощью специальной утилиты, название которой я раскрывать не буду, я сканирую сети, нахожу свою, выбираю тип атаки и она начинается. Уже через пять секунд все мои устройства потеряли доступ к точке и не могли восстановить его вплоть до завершения атаки. При наличии мощного адаптера Wi-Fi и производительного ПК/ноутбука злоумышленник может незаконно отключить все сети в своем доме и, возможно, в соседних.

Как защититься?

На данный момент способов защиты от DoS-атаки на Wi-Fi просто не существует. Помните, что если кто-то серьезно настроен задосить именно вашу сеть, то вам ничего не поможет, кроме платных сервисов защиты от DDoS и DoS-атак. Также можно обратиться к провайдеру, но тоже не факт, что он как-то вам поможет.

Опровержение фейковых методов защиты

Теперь вы знаете о базовых способах защиты своей сети от проникновения и кражи личных данных. Часто сталкиваюсь с мнением, что Wi-Fi сеть можно защитить от всего и вся обычной MAC-фильтрацией. Это означает, что даже с верным паролем пользователь не сможет подключиться к точке, если его MAC-адреса нет в белом списке роутера. Ха-ха, очень смешно. Убедительно заявляю, что в Kali Linux (и не только) MAC-адрес адаптера меняется всего в три команды. При сканировании сети пентестер видит все подключенные к ней устройства, их MAC-адреса и т.д. Ему остается лишь сменить заводской BSSID (BSSID = MAC) на адрес из белого списка. Роутер даже не заметит подвоха.

Скрытие SSID (имени сети) тоже бесполезно. Имя сети пентестерами не используется. Все, что им нужно для начала атаки, это BSSID, а его вы никак не скроете.

Ограничение количества пользователей также не является решением. Естественно, что для получения пароля не нужно подключаться к точке (ну сами подумайте, как хакер без пароля подключится?). Если речь идет о использовании и проникновении, то если лимит подключенных устройств исчерпан, пентестер глушит одно из легитимных подключенных устройств DoS-атакой. Таким образом, пентестер освобождает себе «место» и подключается. Ну а что будет дальше, зависит от его фантазии и задач.

Заключение

В современном мире вопросы информационной безопасности становятся все более актуальными. Важность этих вопросов подчеркивается многочисленными угрозами, которые мы рассмотрели в этой статье. Я подробно рассмотрел технические детали этих атак, чтобы дать читателям понимание того, как они работают и каковы их последствия. Это знание критически важно для того, чтобы понять, как эффективно защитить свои Wi-Fi сети от подобных угроз. Я также обсудил различные стратегии и лучшие практики по обеспечению безопасности Wi-Fi точек доступа. Важно отметить, что существуют и недействительные методы защиты Wi-Fi, которые могут создать ложное чувство безопасности. Я разоблачил некоторые из этих мифов, чтобы помочь читателям избежать распространенных ошибок и сохранить свои конфиденциальные данные. Я надеюсь, что эта статья поможет вам обеспечить безопасность ваших Wi-Fi сетей. Помните, что технологии развиваются, постоянно появляются новые протоколы безопасности и методы защиты. Но как бы это не было печально осознавать, инструменты, которыми пользуются хакеры, всегда опережают технологии защиты.

Что вы думаете по этому поводу? Пишите свое мнение в комментариях.

Перехват данных по сети

Перехватом данных по сети считается получение любой информации с удаленного компьютерного устройства. Она может состоять из личных сведений пользователя, его сообщений, записей о посещении веб-сайтов. Захват данных может осуществляться программами-шпионами или при помощи сетевых снифферов.

Шпионские программы представляют собой специальное программное обеспечение, способное записывать всю передаваемую по сети информацию с конкретной рабочей станции или устройства.

Сниффером называют программу или компьютерную технику, перехватывающую и анализирующую трафик, который проходит через сеть. Сниффер позволяет подключаться к веб-сессии и осуществлять разные операции от имени владельца компьютера.

Если сведения передаются не в режиме реального времени, шпионские программы формируют отчеты, по которым удобно смотреть и анализировать информацию.

Перехват по сети может организовываться на законных основаниях или выполняться противозаконно. Главным документом, фиксирующим законность завладения информацией, является Конвенция о киберпреступности. Она создана в Венгрии в 2001 году. Правовые требования разных государств могут несколько различаться, но ключевой смысл одинаков для всех стран.

Классификация и способы перехвата данных по сети

В соответствии со сказанным выше перехват информации по сети можно разделить на два вида: санкционированный и несанкционированный.

Санкционированный захват данных осуществляется с разной целью, начиная от защиты корпоративной информации и заканчивая обеспечением безопасности государства. Основания для выполнения такой операции определяются законодательством, специальными службами, работниками правоохранительных органов, специалистами административных организаций и служб безопасности компаний.

Существуют международные стандарты выполнения перехвата данных. Европейский институт телекоммуникационных стандартов сумел привести к единой норме ряд технических процессов (ETSI ES 201 158 «Telecommunications security; Lawful Interception (LI); Requirements for network functions»), на которых базируется перехват информации. В результате была разработана системная архитектура, которая помогает специалистам секретных служб, сетевым администраторам законно завладеть данными из сети. Разработанная структура реализации перехвата данных по сети применяется для проводных и беспроводных систем вызова голосом, а также к переписке по почте, передаче голосовых сообщений по IP, обмену информацией по SMS.

Несанкционированный перехват данных по сети осуществляется злоумышленниками, желающими завладеть конфиденциальными данными, паролями, корпоративными тайнами, адресами компьютерных машин сети и т.д. Для реализации своих целей хакеры обычно используют сетевой анализатор трафика — сниффер. Данная программа или устройство аппаратно-программного типа дает мошеннику возможность перехватывать и анализировать информацию внутри сети, к которой подключен пользователь-жертва, включая зашифрованный SSL-трафик через подмену сертификатов. Данными из трафика можно завладеть разными способами:

• прослушиванием интерфейса сети,
• подключением устройства перехвата в разрыв канала,
• созданием ветки трафика и ее дублированием на сниффер,
• путем проведения атаки.

Существуют и более сложные технологии перехвата важных сведений, позволяющие вторгаться в сетевое взаимодействие и изменять данные. Одна из таких технологий — это ложные запросы ARP. Суть способа состоит в подмене IP-адресов между компьютером жертвы и устройством злоумышленника. Еще один метод, с помощью которого можно выполнить перехват данных по сети, — ложная маршрутизация. Он заключается в подмене IP-адреса маршрутизатора сети своим адресом. Если киберпреступник знает, как организована локальная сеть, в которой находится жертва, то он сможет легко организовать получение информации с машины пользователя на свой IP-адрес. Захват TCP-соединения тоже служит действенным способом перехвата данных. Злоумышленник прерывает сеанс связи путем генерации и отправки на компьютер жертвы ТСР-пакетов. Далее сеанс связи восстанавливается, перехватывается и продолжается преступником вместо клиента.

Объект воздействия

Объектами перехвата данных по сети могут быть государственные учреждения, промышленные предприятия, коммерческие структуры, рядовые пользователи. Внутри организации или бизнес-компании может реализовываться захват информации с целью защиты инфраструктуры сети. Спецслужбы и органы правопорядка могут осуществлять массовый перехват информации, передаваемой от разных владельцев, в зависимости от поставленной задачи.

Если говорить о киберпреступниках, то объектом воздействия с целью получения передаваемых по сети данных может стать любой пользователь или организация. При санкционированном доступе важна информативная часть полученных сведений, в то время как злоумышленника больше интересуют данные, с помощью которых можно завладеть денежными средствами или ценной информацией для ее последующей продажи.

Чаще всего жертвами перехвата информации со стороны киберпреступников становятся пользователи, подключающиеся к общественной сети, например в кафе с точкой доступа Wi-Fi. Злоумышленник подключается к веб-сессии с помощью сниффера, подменяет данные и осуществляет кражу личной информации. Подробнее о том, как это происходит, рассказывается в статье об атаке посредника (Man in the Middle, MitM).

Источник угрозы

Санкционированным перехватом сведений в компаниях и организациях занимаются операторы инфраструктуры сетей общего пользования. Их деятельность направлена на защиту персональных данных, коммерческих тайн и другой важной информации. На законных основаниях за передачей сообщений и файлов могут следить спецслужбы, правоохранительные органы и разные государственные структуры для обеспечения безопасности граждан и государства.

Незаконным перехватом данных занимаются злоумышленники. Чтобы не стать жертвой киберпреступника, нужно соблюдать некоторые рекомендации специалистов. Например, не стоит выполнять операции, требующие авторизации и передачи важных данных, в местах, где подключение происходит к общедоступным сетям. Безопаснее выбирать сети с шифрованием, а еще лучше — использовать личные 3G- и LTE-модемы. При передаче личные данные советуют зашифровать, используя протокол HTTPS или личный VPN-туннель.

Защитить компьютер от перехвата сетевого трафика можно с помощью криптографии, антиснифферов; снизит риски коммутируемый, а не беспроводной доступ к сети.