Для получения несанкционированного доступа в корпоративные Wi-Fi сети приходится применять все новые способы атак. К примеру, большинство гостиничных сетей используют зашифрованную передачу учетных записей, что сводит перехват аккаунта на нет. Но, казалось бы, даже самую безвыходную ситуацию нам поможет разрешить новый метод атаки EvilTwin. Об особенностях данного нападения мы сейчас и поговорим.

Из истории...

26 апреля, 2005

«Участники конференции о беспроводных сетях, проходившей на минувшей неделе в Лондоне, подверглись массивной вирусной атаке, — сообщает Viruslist.ru., — Неизвестные злоумышленники проникли в помещение, в котором проходила конференция, и открыли ее участникам доступ к сайту, внешне похожему на ресурс для регистрации в Wi-Fi сети. После регистрации на сайте участники конференции получили на свои компьютеры 45 разных вредоносных программ».

16 мая, 2005

Компания AirDefence, продающая средства защиты беспроводных локальных сетей, предупредила мировую общественность о появлении еще одного способа мошеннических операций против пользователей сервисов беспроводного доступа. По словам пресс-службы AirDefence, суть обнаруженного экспертами компании метода состоит в том, что жертве подсовывается фальшивый интерфейс входа в общественную беспроводную сеть.

1 августа, 2005

Специалист по вопросам безопасности компьютерных сетей Адам Лори, выступая в субботу на конференции Defcon в Лас-Вегасе, описал удручающее состояние в системах защиты современных гостиничных телевизионных сетей. «Система защиты в гостиничных сетях, — резюмировал Лори, — отсутствует как таковая, что открывает простор для злоумышленников».

Это лишь некоторые, из широко описанных в СМИ, примеров того, что тип атаки Rogue AP (EvilTwin) все больше вторгается не только в нашу работу, но и в нашу жизнь. Для тех, кто по каким-либо причинам еще не сталкивался с представленной терминологией, придется пояснить:

Eviltwin – «дьявольский близнец»;

Rogue AP(Accsess Point) - не поддающаяся контролю, неконтролируемая точка доступа.

Два термина, по своей сути, идентичны и уже в расшифровке терминологии описывают вид атак в беспроводных сетях WiFi, основанный на внедрении в радиопространство существующей беспроводной сети, поддельных точек входа в сеть, но таким образом, чтобы для пользователя беспроводной сети данный факт остался незамеченным, «прозрачным».

Для тестирования-демонстрации данного вида атак была выбрана гостиничная сеть Marriot-hotel, включающая в себя несколько отелей в Москве premium-класса (5 звезд) и предлагающая для своих клиентов платный Wi-Fi доступ. Стоимость услуги беспроводного доступа и минимальное время заказа – 300 рублей за 1 час.

Все нижеописанное проверялось на отелях:

- Marriot Grand

- Marriot Royal Aurora

Все исследование-демонстрация проводилось на стареньком уже ноутбуке P3 с ОС MS Windows 2000 Pro SP4. Как базис. Функции и средства, применяемые в данной статье, прекрасно работают и на более «современных» операционных системах от Microsoft.

Исходные данные

Сканирование радиоэфира на частоте Wi-Fi выявило эту гостиничную сеть и подключенных к ней клиентов:

( SSID ) Type ( BSSID ) [ SNR Sig Noise ] LastChannel

( MoscomNET ) BSS ( 00:0d:29:1d:d7:dd ) [ 33 82 49 ] 0001 11

( MoscomNET ) BSS ( 00:07:85:b3:55:c1 ) [ 19 68 49 ] 0001 06

Это данные по точкам доступа, установленным в гостиничном комплексе. Итак, что нам необходимо знать при проведении атаки EvilTwin?

1.MAC-адрес точки доступа;

2.Рабочая частота точки доступа (канал);

3.Наименование (SSID) атакуемой сети (устройства);

4.Надо ли вообще проводить атаку EvilTwin? Не даст ли нам требуемой информации перехват сниферами беспроводного трафика?

5.«Популярность» данной публичной коммерческой беспроводной сети. Толку сидеть и ждать у моря погоды, если услугой пользуется директор заведения раз в сутки? Соответственно, эффективность атаки очень сильно зависит от числа обращений, подключения к сети, новых пользователей или ротация старых.

6.Сила сигнала точки доступа. Мы не будем нарушать заданный режим работы имеющегося оборудования в компании. «Гасить» реальные точки доступа не потребуется, хотя зачастую необходимость проведения DOS-атак на объекты инфраструктуры сети стоит очень остро.

В данном случае мы имеем:

Имя сети: MoscomNET

MAC-адрес: 00:0d:29:1d:d7:dd – сравнивая первые 3 октета MAC-адреса в базе OUI, становится понятно, что используется оборудование компании Cisco Systems.

Канал – 11.

Далее нас будет интересовать сетевая адресация, применяемая в сегменте сети:

Листинг: результат команды ipconfig /all

Настройка протокола IP для Windows 2000

Имя компьютера . . . . . . . . . : usthead1

Основной DNS-суффикс . . . . . . :

Тип узла . . . . . . . . . . . . : Гибридный

Включена IP-маршрутизация . . . . : Нет

Доверенный WINS-сервер . . . . . : Нет

Адаптер UST_WiFi_drvr:

DNS суффикс этого подключения . . :

Описание . . . . . . . . . . . . : UST_WiFi_drvr_Compx

Физический адрес. . . . . . . . . : 00-80-48-2B-84-34

DHCP разрешен . . . . . . . . . . : Да

Автонастройка включена . . . . . : Да

IP-адрес . . . . . . . . . . . . : 10.43.1.155

Маска подсети . . . . . . . . . . : 255.255.0.0

Основной шлюз . . . . . . . . . . : 10.43.1.1

DHCP-сервер . . . . . . . . . . . : 10.43.1.1

DNS-серверы . . . . . . . . . . . : 212.130.104.10

195.68.135.5

Основной WINS-сервер . . . . . . : 10.43.1.1

Собственно говоря, комментарии излишни. При попытке инициализации какой-либо http-сессии (обращении на какой-либо сайт) мы видим форму аутентификации в системе, оповещающую нас о поставщике услуг беспроводной связи и двухфакторной аутентификации в виде логина и пароля, каждый из которых состоит из 4-х цифровых символов. Аутентификация проходит с применением безопасного доступа HTTP Secured с применением SSL. Что, в свою очередь, практически сводит на нет перехват реквизитов доступа с помощью многочисленных беспроводных сниферов, к примеру, тем же самым, неоднократно упоминавшимся на страницах журнала Kismet’ом.

В итоге наша задача состоит из следующих этапов:

1. Поднятие своей точки доступа:

- обеспечение подключения клиентов к своей точке доступа в режиме Infrastructure;

- предоставление нашей точкой доступа DNS-, DHCP-сервисов.

2. Создание ложного веб-сервиса, эмулирующего работу реальной аутентификационной панели.

Конечная задача – доступ к выданным пользователям реквизитам доступа, аккаунтам на пользование услугами связи.

Исходное аппаратное и программное обеспечение:

1. Ноутбук, уже упоминавшийся выше;

2. Для реализации точки доступа на ноутбуке и превращения его в роутер есть три пути:

а) У тебя уже есть адаптер на чипсете agere/hermes, штатными средствами которого ты можешь перевести режим работы не только в ad-hoc (точка-точки) или infrastructure (многоточие-точка), но и в режим act as base station, то есть эмуляции точки доступа.

б) Использование программного средства SoftAP (http://www.pctel.com/softap.php), при условии, что имеющийся у тебя клиентский Wi-Fi адаптер поддерживается данным продуктом. Эта софтина платная.

в) SoftAP стоит порядка $30. За эту же сумму предпочтительнее обзавестить адаптером. Из использовавшихся в данном случае – это Compex WL11B, примечательной особенностью которого является не только чипсет Agere Hermes, но и наличие MC-MX разъема для подключения внешней антенны или усилителя. А цена его в московских магазинах — чуть меньше стоимости SoftAP.

3. В качестве DNS-сервера рекомендую использовать TreeWalk (http://ntcanuck.com). Преимущества: бесплатен, поддержка bind, простая конфигурация и использование.

4. В качестве DHCP-сервера рекомендую использовать NusyDHCP (http://sourceforge.net/projects/loosydhcp/). Преимущества аналогичны TreeWalk.

5. Веб-сервер Apache в пояснениях не нуждается. Будет использоваться данная сборка: apache_2.0.58-win32-x86-no_ssl.msi

6. Интерпретатор Perl в реализации ActiveState Perl в одной из последних сборок: ActivePerl-5.8.6.811-MSWin32-x86-122208.msi

7. Airsnarf for Windows от исследовательской группы Shmoo, которые одними из первых поведали отрасли и бизнесу об атаке RogueAP (http://airsnarf.shmoo.com).

В атаку!

Для места проведения атаки (установки точки доступа) был выбран ресторан в фойе гостиничного комплекса, где уже находились пользователи Wi-Fi. Место размещения обусловлено тем, что сила сигнала моей точки доступа должна превышать силу сигнала реальных точек доступа. Это сделано намеренно: ведь клиентские адаптеры при выборе сети для соединения, имеющих одинаковые идентификаторы (ssid+mac+channel), изберут точку с наиболее высокими показателями уровня сигнала.

Поэтому мой Wi-Fi адаптер был переведен в режим точки доступа, а идентификатор сети был выбран MoscomNET.

Присоединяясь к сети, мы уже получили представление о применяемой сетевой адресации, поэтому необходимо было внести в конфигурационный файл DHCP-сервера dhcpd.conf следующие строки:

subnet 255.255.0.0

router 10.43.1.1

dns 10.43.1.1

wins 10.43.1.1

В файле dhcp.iplist необходимо указать диапазон выдачи IP-адресов:

10.43.1.150

10.43.1.154

Единственное отличие, по сравнению с атакуемым сегментом, – это адрес DNS-сервера, в качестве которого выступает мой ноутбук.

Собственно говоря, следующим шагом мы произведем локальный DNS cache poisoning. Через управляющую панель DNS-сервера останавливаем сервис. После остановки сервиса потребуется отредактировать кэш сервера по следующему пути:

C:\\system32\dns\etc\named.cache

Редактирование заключается во внесении следующих строк в конфиг:

;local

www.xakep.ru 155000 A 10.43.1.1

Теперь все присоединенные ко мне клиенты беспроводной сети, захотев почитать новости на нашем сайте, получат ответ от локального веб-сервера, установленного на ноутбуке.

Веб-сервер мы настроим следующим образом: обязательно сохраним аутентификационную страницу с приглашением ввода данных аккаунта в /htdocs и исправим пути к файлам изображений. Для достижения цели вместо исходной процедуры: