Эксплуатация концептуальных недостатков беспроводных сетей



    Беспроводные сети окружают нас повсеместно, вокруг миллионы гаджетов, постоянно обменивающихся информацией с Всемирной Паутиной. Как известно — информация правит миром, а значит рядом всегда может оказаться кто-то очень сильно интересующийся данными, что передают ваши беспроводные устройства.
    Это может быть как криминальный интерес, так и вполне законное исследование безопасности компании со всеми предварительными условиями. Для таких исследователей и написана эта коротенькая статья, потому как лишняя точка сбора информации во время пентеста не помешает.



    1. Принципиальная небезопасность Wi-Fi сетей



    Мало кто задумывается, но Wi-Fi сети небезопасны в самой своей основе, точнее имеется жуткий перекос баланса между безопасностью точки доступа и клиента беспроводных сетей. Много внимания уделено тому, чтобы никто посторонний не мог подключиться к точке доступа, созданы методы шифрования соединения, введены списки фильтрации по различным аппаратным параметрам, однако абсолютно ничего не сделано для защиты клиентских устройств от навязывания подключения к нежелательной точке доступа. В чем основная проблема клиентского подключения? В единственном достаточном авторизационном признаке подключения к известной клиенту точки доступа — SSID. Вот этот принципиальный недостаток мы и будем сегодня эксплуатировать.

    2. Как навязать свою точку доступа «жертве»?

    Здесь есть три пути в порядке уменьшения вовлеченности жертвы в процесс перехвата:

    a) Открытая точка доступа



    Самый примитивный вариант, расчитанный рядового хипстера, которому надоело сидеть через мобильный интернет и он решил поискать — где бы присосаться к халяве.
    Использование такого способа даст вам стабильный приток совершенно неинтересных пользователей, среди которых вряд ли будут сотрудники компании, тестированием безопасности которой вы занимаетесь.

    b) Открытая точка с мульти-SSID(прошивки DD-WRT, например, умеют такие фокусы), в который забиты наиболее часто встречающиеся имена открытых точек доступа, типа asus, default, Dlink, Beeline_wifi_free и тому подобное.



    Является вариацией предыдущей, с той лишь разницей, что появляется некоторая вероятность автоматического соединения устройства жертвы по старой памяти (как отмечалось ранее, совпадение запомненного клиентом SSID достаточное и единственное условие подключения к открытой точке). Охват немного вырос и уже появилась некоторая вероятность зацепить интересную клиентуру, но опять же — в случае реальной работы маловероятно

    c) Использование KARMA.



    Самое интересное, ради чего собственно и затевалась эта статья — это программное обеспечение идет в составе аппаратно-программного комплекса WiFi Pineapple, предназначенного для взлома и перехвата беспроводных сетей в полуавтоматическом режиме. К счастью прошивки оригинального устройства после определнного шаманства встают и на супердешевые роутеры, что в сочетании со стареньким нетбуком дает приличную станцию с высокой вероятностью перехвата клиентов беспроводных сетей. Как же работает эта (KARMA)? Каждое устройство-клиент в режиме ожидания постоянно рассылает так называемые маячки пытаясь обнаружить рядом одну из ранее запомненных беспроводных сетей. Устройство под управлением KARMA перехватывает эти маячки и представляется клиентам той точкой доступа, которую он ищет. При этом совершенно не важно, какие у запомненной устройством точки параметры безопасности, пароли и вид шифрования — подключение произойдет незаметно и по открытому каналу. Все это чудесная магия SSID и немного темного шаманства создателей такого замечательного продукта. Вероятность ассоциации жертвы с такой точкой доступа тем выше, чем лучше между ними прием, но она очень высока и ею подвержены все современные беспроводные устройства (хоть и говорится, дескать новые версии ОС Андроид и iOS лишены такого недостатка — исследования говорят об обратном).

    3. Заключение — пожинаем плоды.

    Как только клиент заскочил на вашу точку доступа и пошел через нее в Интернет — у вас открывается бездна возможностей по перехвату и краже данных, начиная от перехвата открытого траффика средствами tcpdump, dsniff и подобными, до перехвата защищенного ssl-траффика через sslstrip и использования метода подмены страниц.
    Конечно, нельзя расчитывать на 100% удачу — далеко не каждая «рыбалка» завершается результатом в виде готовых паролей или хотя бы хэшей, чаще всего вам будут попадаться access_token авторизации мобильных приложений через OAuth2.0. Способы эксплуатации этих данных в природе существуют, но это тема отдельного большого разговора.

    Вменяемых способов защиты мало — отключение беспроводных сетей не предлагаю, но попадание в зону действия Karma можно определить по внезапному подключению вашего телефона к точке доступа, которой рядом как бы и нет, да и подключение безпарольное, а вы точно помните, что точка закрыта WPA2 шифрованием.

    Для максимизации вероятности успеха «рыбалки» стоит сочетать все три способа приманки.
    Поделиться публикацией

    Комментарии 85

      +1
      Мне казалось, что я что-то слышал про активную защиту некоторых навороченных Wi-Fi роутеров (ценой овер 60к.руб), которые умеют защищать свою сеть от подобных «левых» точек с родным SSID. Хотелось бы об этом поподробнее, насколько эффективно, возможно ли реализовать на обычных WiFi адаптерах, под тем же OpenWRT.
        +3
        Дело в том, что проблема не в роутере, а в клиенте. Если клиент шлет маячки с запросом знакомых SSID, то он обязательно попадет на крючок. То есть это уже не сеть роутера, он так и останется суперзащищенным и в сеть его никто не пролезет, а клиент будет передавать данные через левую точку.
          +2
          Так вот мне рассказывали, что эти чудо роутеры, установленные в количестве больше одной штуки в помещении, имеют единый центр управления, через который они могут проверить, является ли вновь появившаяся на периметре точке своей. И если обнаруживается, что точка чужая, то настоящие точки начинают активную атаку на канал, на котором работает чужая точка, забивая частоту мусором. Я поверил на честное слово, ибо в теории оно должно сработать, но есть нюансы. С виду точки похожи на AP7131.
            +4
            Мне интересна законность такого метода работы — на каком основании оборудование может глушить чужое оборудование в радиусе действия?
              +1
              В рассматриваемом мной случае оборудование установлено на территории университета. Глушит оно не всё подряд, а только тех, кто говорит, что у него такой же SSID. Единственный легитимный вариант подобного я вижу только в том, что пользователь просто захватил с собой Wi-Fi роутер (тот же MR3020) и включил WISP в режиме дублирования точки, тогда он поднимает точку с тем же именем. В остальных случаях вероятнее всего имеет место быть атака.
                0
                Цискины железки так умеют. Никакой особой магии там нет.

                По поводу легальности — если вражеская точка доступа находится на территории компании, то компания имеет полное право мочить ее. Определить, где конкретно вражеская точка, может пеленгация (в цискином случае нужен сервер MSE).
                  0
                  если вражеская точка доступа находится на территории компании, то компания имеет полное право мочить ее


                  Право мочить возникает по понятиям, или юридически? У нас есть закон, что одно лицо, пусть даже и юридическое, может запретить другому лицу (физическому) вещать в нелицензированном диапазоне, на основании того что это (физическое) лицо находится на его территории? И как быть в плане закона с глушилкой? Разрешенных 100 мВт хватит на все каналы?
                    +1
                    Право мочить возникает по понятиям, или юридически?

                    Судя по тому, что у нас это было сделано, безопасники с юристами не возражали. Компания явно имеет право контролировать то, что происходит на ее территории.
                    И как быть в плане закона с глушилкой? Разрешенных 100 мВт хватит на все каналы?

                    Это не постановка помех. Это — принудительная деассоциация клиентов спуфингом, если клиент и точка, с которой он ассоциировался, соответствуют ряду критериев. Потому вопрос о милливаттах нерелевантен.
                      +1
                      Похоже, что я могу безвозбранно отключать соседские устройства от их же, соседских, точек доступа. Пускай своим вайфаем у себя дома пользуются, а мне, в моей квартире, их пакеты не нужны. Выходит, что aireplay-ng --deauth очень даже законен. Спасибо.
                        0
                        Сарказм неуместен, вы не поняли суть дела.

                        У нас этот вопрос серьезно изучался, с юридической точки зрения применение подобных средств в нашем случае (и в случае моего предыдущего работодателя много лет назад, где вайфай тоже нигде принципиально в зданиях не работал) законно.

                        Вы наверняка можете деассоциировать кого угодно с чужих точек, по какой-то причине оказавшихся в пределах вашей недвижимости. Но у вас вряд ли есть решения, способные с достаточной точностью триангулировать неподконтрольные точки доступа, и вы наверняка не можете мешать соседям.
                          0
                          Прошу прощения, если я обидел вас сарказмом. Возможно суть вашей ситуации я не понял. Но вопрос интересный, по этому я его и задал.

                          Собственно вопрос: может ли собственник помещения активно противодействовать работе приемно-передающих устройств, использующих частоты общего пользования, в каких рамках и на каком основании.

                          Согласен, мой пример несколько извращен. Но он сохраняет суть вопроса: каким образом право собственности на помещение, порождает право на единоличное распоряжение средой распространения радиосигнала.
                          Могу я на территории своей собственности активно противодействовать работе брелоков автосигнализаций, глушить блютуз, любительские радиостанции и т.п.?

                          Вы ответили, что умные дядьки покумекали и решили, что дескать да, можно. Но сдается мне, что скорее всего нельзя делать так, как вы делаете, но никто об этом не узнает. А даже если и узнает, то ничего вам не сделает. Это как объявление в магазине: «фото- видеосъемка запрещена». Незаконное требование. Но чтобы зафиксировать, что оно есть, надо сфотографировать объявление, которое запрещает фотографировать…

                          Понимаю, что я обобщаю и ваш случай — частный случай со своими нюансами.
                            0
                            Но сдается мне, что скорее всего нельзя делать так, как вы делаете, но никто об этом не узнает.

                            Так не делается. Никогда.

                            Я не нашел конкретных законов по этому поводу, но если подумать: оборудование с подобным функционалом у нас свободно продается (притом, что иногда вендоры выпускают специальные прошивки для России, исходя из законодательства по шифрованию к примеру), а всякие GSM глушилки вне закона.
                            0
                            Т.е. если злоумышленник вне Вашего (работодателя) периметра и создает нелегитимную точку доступа (Например этажом ниже, или вообще прикрепил ее к стене здания снаружи/сидит в здании напротив с очень хорошей направленной антенной), то юридически Вы ничего с ним сделать не сможете? А если же сделаете, то он имеет право отстаивать свои права в суде?
                              0
                              если злоумышленник вне Вашего (работодателя) периметра и создает нелегитимную точку доступа

                              То это не так страшно. Страшно, когда чужая точка доступа подключается LAN портом к внутренней проводной сети (вариант — на ноутбуке делается soft-ap), а лично я с таким сталкивался не раз, причем обычно у пользователей не было злобных намерений, было «мне так удобнее» (а сеть-то может быть и открытой...). Обычно за такое увольняют сразу и без разговоров. Есть меры противодействия на уровне самой проводной сети (802.1x, профилирование устройств и так далее), но эти меры сопряжены с серьезными неудобствами и потому редко применяются. И они не дают 100% результата.

                              А вариант «давить все чужие точки доступа на своей территории» фактически спасает от подобного класса атак, связанных с идиотами-пользователями. Воткнули точку доступа LAN портом в сеть, создали сеть без аутентификации — а к ней никто подключиться не может.

                              Замечу, что все сотрудники компании при трудоустройстве в любом случае подписываются под корпоративной политикой безопасности, в которых есть пункты, оговаривающие использование посторонних устройств на рабочем месте.
                                +1
                                Ну понятно, что идиоты\засланцы внутри значительно опаснее врагов снаружи, но тем не менее статья, как я понимаю, не о том, как устроиться на работу к потенциальному противнику и слить все секреты, а как раз незаметно их слить не попадаясь на глаза безопасникам. Ну это все уьтрировано, конечно.
                                Вот потому мне и интересно, если кто-то такое решит провернуть, насколько законны его действия изначально (понятно, что сам факт сбора информации — это уже незаконно, но это еще доказать надо будет) и насколько законна борьба с ними?
                                  0
                                  Против промышленного шпионажа нужны иные меры. Например, к сети можно подключить устройство, которое будет передавать данные не по вайфаю, а по своему радиопротоколу. Но промышленный шпионаж встречается редко, а идиоты повсюду. Если не защитить сеть от сценария «идиот принес из дома точку доступа с настройками по умолчанию», то ни о каких иных мерах безопасности можно уже не говорить.

                                  Что до законности — опять же, работодатель может применять решения IPS, DLP, блокировать внешние накопители, читать почтовую переписку и так далее. Не нравится — не подписывай трудовой договор, иди в компанию попроще на деньги и прочие условия похуже.
                                  0
                                  лично я с таким сталкивался не раз


                                  Юзеры под админами сидят, раз такие вещи хватает прав провернуть?
                                    0
                                    А какие права нужны, чтобы воткнуть свой вайфай роутер в розетку RJ45?
                                      0
                                      Я про soft-ap :)
                                0
                                Но у вас вряд ли есть решения, способные с достаточной точностью триангулировать неподконтрольные точки доступа

                                Суть не в том, на чьей территории находится источник сигнала. Вы точно так же не имеете ЗАКОННЫХ методов влияния на источник деассоциирующий ваших клиентов. Сотрудники ЧОПа, конечно аргумент, но насколько их требования выключить устройство ЗАКОННЫ?
                                  0
                                  Вот кстати статья: www.mobimag.ru/Articles/3533/Uzh_my_ih_glushili_glushili.htm
                                  разрешение на использование аппаратуры подавления радиосигналов может получить любая мало-мальски заметная организация. Но этой организации придется долго доказывать, что такая аппаратура ей нужна до зарезу. Например, музей, больница или кинотеатр докажут, а вот какой-нибудь магазин спорттоваров или ресторан — очень вряд ли. И даже в случае успешного получения разрешения придется покупать только сертифицированную Россвязьнадзором аппаратуру. А такая аппаратура немалых денег стоит...

                                  Видимо, у нас есть разрешение, раз юристы и безопасники согласовали (обосновать его — проще простого). А у того, кто начнет нас таким образом атаковать, разрешения нет.
                                    0
                                    За статью спасибо, но как вы сами сказали:
                                    Это не постановка помех. Это — принудительная деассоциация клиентов спуфингом

                                    т.е. мы в данной ветке говорим не о глушении. И (отвечу сразу и на ваш другой комментарий) у меня складывается такое впечатление, что деассоциация это просто недостаток в архитектуре 802.11, использование которого не есть нарушение закона (собственно поэтому оборудование вами упоминаемое и не запрещено). Получается, что в упомянутом вами случае все в рамках закона, с той лиш оговоркой, что деассоциацией могут безвозбранно заниматься обе стороны (и админ сети и злоумышленник).

                                    А с общим вопросом о праве безграничного распоряжения средой передачи — выходит все в руках Роспотребнадзра и Роскомнадзора с их СанПинами и сертифицированным оборудованием. И, таки, выходит право сие не приходит само с правом собственности.
                                      0
                                      деассоциация это просто недостаток в архитектуре 802.11, использование которого не есть нарушение закона

                                      Ну тогда глушение — это использование недостатков в законах физики.
                                      Только помнится, есть законы против нарушения работоспособности информационных систем.
                                        0
                                        Только помнится, есть законы против нарушения работоспособности информационных систем.

                                        Если не ошибаюсь, то статья 274 УК РФ. Но там мне немного непонятно про ущерб более 1 млн. руб. (и? или?). Но в любом случае, если тут эта статья работает, то администратор, нарушающий работоспособность беспроводной сети сотрудника попадает под сию статью. Получается или обе стороны (админ сети и злоумышленник) нарушают, или обе имеют право. Различия не вижу. Понятно, конечно, что админ хороший, а злодей — плохой. Но это только на бытовом уровне.
                                          0
                                          Ну а вот с юридическим уровнем разбираются юристы. Еще раз: раз юристы компании сказали «ок», значит, компания имеет право блокировать работу чужих устройств. Может, получены какие-то разрешения от соответствующих органов — не проблемы, у нас даже есть бумажки от ФСБ о том, что мы можем закупать оборудование с сильным шифрованием (вот уж где почти все нарушают). В подробности я не вдавался, о нюансах понятия не имею.
                                            0
                                            Мдя, написали мы кучу сообщений, а вернулись к тому с чего начали:
                                            если вражеская точка доступа находится на территории компании, то компания имеет полное право мочить ее

                                            и причиной тому:
                                            раз юристы компании сказали «ок», значит, компания имеет право блокировать работу чужих устройств.

                                            Как по мне, так аргумент «говорю же вам, что мне это знающие люди сказали» — не аргумент. Возможно тут мимо будет проходить юрист и расставит нам точки над 'i'.

                                            «ОК» от юриста не значит, что вы ничего не нарушаете. «ОК» от юриста значит, только что вам (фирме, не лично сотруднику) за это ничего не будет. В определенных ситуациях юрист может сказать «ОК» на использование пиратского софта: посадят этого админа, наймем другого — в любом случае фирма не в убытке.
                                              0
                                              Вы говорите про сферических юристов в вакууме. Я — про конкретное подразделение, периодически доставляющее IT службам много головной боли именно из-за своей дотошности.

                                              Опять же — если организации могут получить официальное разрешение на полное глушение определенного спектра частот на своей территории, то они априори могут получить разрешение и на гораздо более мягкое подавление wi-fi. Вы в этом сомневаетесь?
                                                0
                                                то они априори могут получить разрешение и на гораздо более мягкое подавление wi-fi

                                                Вот как раз в этом я и сомневаюсь. Попробую сформулировать свои сомнения в немного другой форме: в случае с оптикой или медью, наша фирма является собственником среды передачи. Имеет полное право пресекать любое несанкционированное подключение, любым доступным ей способом. В случае же э/м волн — ситуация несколько иная. Среда передачи общая, строго говоря ее вообще нет. Мы обсудили, что пройдя длительное согласование с гос. органами можно сделать эту среду непригодной для использования. Для ВСЕХ. А вот то, что кто-то может обладать преимуществом в использовании этой среды (которая по сути общедоступна, как физически так и юридически) — не очевидно.

                                                Продолжу мой пример с квартирой. Сделаем устройство, мягко подавляющее wifi в радиусе 100м. Себестоимость его, ну максимум 500р. Дадим слово маркетологам: «Сенсация! Шапочка из фольги больше не нужна! Останови соседа, воздействующего на твой мозг, сейчас! Гарантировано снижение уровня э/м излучения в 100 раз!». Или можно проще: студент, синяя изолента, китайский роутер, несколько аккумуляторов и немного баша. Объявление в газету: «травим вайфай в квартире и подъезде, недорого, грантия». От пенсионеров отбоя не будет и первый же выезд окупает «оборудование». Взлетит? Законно?
                                                Другой пример. Общежитие. Провайдер договаривается с администрацией. Студенты обязаны регистрировать точки доступа и клиентов (за денюжку), незарегистрированное оборудование «давится». Можно заменить общежитие на гостиница. Мобильный роутер? Запрещено!
                                                Я вам 100500 примеров придумаю, как можно денег заработать, если действительно, по закону, кто-либо имеет преимущество на беспроводной доступ, абсолютное право «мочить» чужие точки на своей территории. И все примеры будут показательно-несправедливыми.
                                                  0
                                                  Я вам 100500 примеров придумаю, как можно денег заработать, если действительно, по закону, кто-либо имеет преимущество на беспроводной доступ, абсолютное право «мочить» чужие точки на своей территории.

                                                  Но если сначала надо получить разрешение, то преимущество улетучивается. Хомячку такое разрешение не дадут. Общежитие не сможет обосновать потребность в этом. А вот например банк, объяснив, что это надо из соображений безопасности и имеющиеся технические средства отличаются отличной избирательностью — другой разговор.

                                                  Так опять же — как вы объясните свободную, законную продажу, скажем, цискиных точек и контроллеров в России, умеющих глушить вражеский вайфай, но содержащих специальный образ (см. тут) с кастрированным шифрованием? И одновременный запрет на продажу полноценных глушилок радиоэфира? У меня появляется подозрение, что эти технические средства вообще не оговариваются законом…

                                                  Ну в общем спорить бесполезно. Надо найти какие-либо нормативные документы. Я вот навскидку не нашел.
                                                    0
                                                    Вы как специально меня не понимаете… в терминах OSI — специальное разрешение выдается на сделать физический уровень полностью непригодным к использованию. Это как обрезать витуху. Ваше же
                                                    если вражеская точка доступа находится на территории компании, то компания имеет полное право мочить ее

                                                    это злонамеренное, избирательное вредительство на канальном уровне, на основании принадлежности оборудования собственнику помещения. Очень сильно сомневаюсь, что из права на глушение прямо следует право на вредительство.

                                                    Глушилки по параметрам не попадают под оборудование, которое можно использовать без лицензии. Закон. И сдается мне, что закон слыхать не слыхивал, что есть у вайфая такая архитектурная огреха как деассоциация. Поэтому цискины точки и не запрещены.

                                                    Согласен, что спорить бесполезно. Тоже искал и не нашел. Нам бы сюда юриста…
                                                      +1
                                                      Более правильная аналогия: глушилка топором перерубает пучок витухи, а деассоциирующее устройство выдергивает конкретный патч-корд сразу как кто-то втыкает его. В чем разница? Да ни в чем. И там, и там с вашей точки зрения вредительство. Первое — куда более серьезное, ибо неизбирательное. Второе работает только с определенной технологией на узком спектре частот и допускает список исключений (добропорядочные соседи по зданию к примеру).
                                                        0
                                                        В чем разница?

                                                        В том, что свич, как и сама сеть, из которой дергают патчкорд не принадлежит выдергивающему. По какому праву? Закона, определяющего кому принадлежит эфир в комнате мы с вами так и не нашли.
                                          0
                                          Ну тогда глушение — это использование недостатков в законах физики.

                                          Только использование «законов физики» подлежит лицензированию и согласованию.
                      +1
                      Активная атака даже не обязательно должна быть реализована в железе. Достаточно человека, который придёт и надаёт по щам злоумышленнику.
                        0
                        s/атака/защита
                      0
                      А можно RFC которое определяет данное поведение, это переворачивает мое понимание о wifi сетях. Я всегда считал не асоциированный wifi модуль просто приемником
                        0
                        Семейство стандартов 802.11 разрабатывается IEEE. Какой еще RFC?

                        Читайте стандарт, найдите там про тот же probe request. Зачем это надо — я чуть ниже писал. Ждать beacon'а слишком муторно.
                          0
                          Спасибо, именно это я и ждал в ответ. До сего дня я только про beacon знал
                    –1
                    мне кажется любой кто думает о безопасности использует дополнительный впн с шифрованием, а кто не думает того и без таких изощрений можно обобрать.
                      +1
                      А если вы в офисе, работаете в локальной сети, ходите в интернет через прокси — вы тоже через VPN работаете? Большинство офисных работников, да что там работников — руководителей, свято уверены в незыблемости сетевого периметра.
                        0
                        На прежнем рабочем месте, из офиса была доступна только небольшая часть ресурсов внутренней сети, доступ в интернет и полный доступ к локальным ресурсам открывался только после подключения VPN в соответствии с привилегиями пользователя. Корпоративная почта в целях безопасности тоже была доступа только через VPN, что делало невозможным/неудобным работу с ней с большинства мобильных устройств сотрудников, в связи с чем некоторые тупо ставили редирект всех писем на внешний почтовик (яндекс\гугл), а чтобы начальники не парились, в месте их обитания доступ к почте разрешался по WiFi без VPN, впрочем радиуса WiFi хватало для нахождения в месте их обитания любого желающего. В общем, безопасность всем.
                          +1
                          Я везде бы заставлял людей ходить через впн, как будто офис чем то защищен от радиоволн.
                            0
                            в свете последних исследований все больше возникает вопросов о защищенности WPA2, и это вне зависимости от уже имеющихся проблем с management frames и тем, что в этом топике описано. Так что использование VPN поверх WPA2 если еще не стало, то уже становится стандартной рекомендацией.
                            Я бы где возможно включал это в дизайн сразу, да и в любом случае это может его даже упростить если правильно посмотреть.
                        +2
                        Почти на эту тему (там больше со стороны слежки за пользователями за счет таких вот «маячков») был интересный доклад на Zeronights 2013.
                        Посмотреть можно тут: www.youtube.com/watch?v=Vsn7_4qUdwk
                          0
                          а можно подробнее узнать про связку которая на фотографии? mr3020 если не ошибаюсь.
                            +4
                            Конечно можно, тандем представляет собой 2(3) устройства: нетбук с установленной ОС Kali Linux, роутер TP-Link mr-3020 с прошивкой DD-WRT+WiFi Pineapple и (опционально) — раздающий интернет по WiFi мобильный телефон, беспроводной роутер, планшет.
                            Как приготовить из mr-3020 наполовину работающий WiFI Pineapple написано тут: samiux.blogspot.hk/2013/05/howto-tp-link-tl-mr3020-as-wifi.html
                            Наполовину потому, что не будет работать sslstrip и вообще большую часть утилит придется дорабатывать напильником.
                            У меня сделано так — mr-3020 подключен проводом к нетбуку, который в свою очередь по WiFi подключается к источнику Интернета, трафик форвардится через нетбук на роутер, роутер ловит клиентов KARMA+открытая точка с популярным SSID, все остальное делает нетбук(так удобнее): dsniff, sslstrip, tcpdump. В общем мне этот роутер нужен только ради KARMA.
                            +1
                            Протестировали — андроид 4.3 не соединяется с открытой сетью, у которой название совпадает с ранее запомненной запароленной сетью. SSID это же название сети?
                              0
                              И не должен, подставная сеть должна быть идентична копируемой. Если она без пароля, то достаточно такого же SSID, если она с паролем — то нужен SSID и пароль. Если надо перехватить запароленную точку, то используется третий способ — через KARMA, она на себя ассоциирует как на открытую, но по имени закрытой.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                +2
                                Видимо я не очень доходчиво написал, но то, что у вас дома стоит WPA2 и фильтрация по МАК вообще никак не помешает вашим устройствам подключиться к фейковой точке под управлением KARMA — ваше устройство будет думать, что оно подключено к знакомой домашней точке, а отсутствие шифрования его нисколько не смутит.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    +1
                                    А как KARMA работает? Каким образом она заставляет клиента подключиться к открытой точке, если была сохранена с WPA2-PSK, например?
                                      0
                                      Карма слушает эфир, когда появляется клиент, рассылающий сигналы поиска знакомой сети, КАРМА представляется ею, как происходит околпачивание клиента с параметрами безопасности я до конца пока и сам не разобрался.
                                        0
                                        Можно чуть подробней? Это какой-то великий дыр в 802.11? С wpa_supplicant у меня с налету такое не прокатило: сделал точку открытой, а в /etc/wpa_supplicant/wpa_supplicant.conf прописано psk… подключатся отказывается (пишет CTRL-EVENT-SCAN-STARTED). В 802.11 совсем не предусмотрена авторизация точки клиентом?
                                  0
                                  А EAP-TLS не решает проблему? Он позвоялет клиенту аутентифицировать точку доступа. Я понимаю, что по понятным причинам ничтожно мало домашних пользователей его используют (если вообще такие найдутся), но тем не менее.

                                  Кроме того, стопитцот раз видел в настройках клиента WiFi галочку «подключаться только к AP с этим MAC», что (в случае использования) нивелирует проблему — правильная точка доступа опознаётся не только по SSID, но и по MAC-адресу.
                                    0
                                    Я, честно говоря, пока не тестировал KARMA на такого рода конфигурациях, но думается мне, что если клиент с радостью прыгает на незапароленную точку доступа, игнорируя тот факт, что запомнена точка с шифрованием WPA2 и паролем, то и при использовании EAP-TLS почему невозможно повторение такого же сценария?

                                    правильная точка доступа опознаётся не только по SSID, но и по MAC-адресу


                                    Если атака целевая, то не вижу проблемы в смене MAC.
                                      0
                                      Ну, если я ничего не путаю, то MAC точки доступа, которую он ищет, телефон в сеть не вещает. Т.е. для «подделки сети» нужно как минимум ещё откуда-то узнать MAC настоящей точки.
                                        –1
                                        Нет. Клиент никогда это не проверяет. Иначе вы бы не смогли пользоваться каким-нибудь beeline_free, роумингом и так далее.
                                          +1
                                          Речь вот об этой фразе: «Кроме того, стопитцот раз видел в настройках клиента WiFi галочку «подключаться только к AP с этим MAC»».
                                    0
                                    Интересно, строго в академическом смысле, было бы также почитать статью о вариантах взлома точек доступа.
                                      +1
                                      WEP и WPA: habrahabr.ru/post/55700/
                                      WPA, используя WPS: habrahabr.ru/company/xakep/blog/143834/
                                        0
                                        Так на первой же странице топа висит — очень хорошая статья, автор первую часть выложил, думаю продолжит. Там вариантов немного — WPS-перебор самое простое, WPA2 — это почти вечность на перебор, фильтрация по МАК — это 10 минут мониторинга.
                                          +3
                                          автор первую часть выложил, думаю продолжит.

                                          Обязательно продолжит, уже столько заявок :)
                                        +1
                                        А мне вот другое интересно. Чем ловить беспроводных клиентов?
                                        Есть точка доступа, которую долбит атаками некий беспроводный клиент (например, пытается войти в сеть). Есть ноут с направленной антенной. А что с ПО?
                                        В основном все ПО отслеживает именно точки доступа. Не авторизованных клиентов умеет показывать Кисмет, но там это все очень неудобно сделано. Что-то еще?
                                          0
                                          airodump-ng показывает уже подключившихся к точке клиентов в зоне доступа ноута с airodump =). Насчёт других клиентов не знаю.
                                            +2
                                            Неавторизованных клиентов тот же airodump показывает с BSSID станции not associated. И рядом все ESSID, которые они пробовали найти (графа probed).
                                              0
                                              Там показывается уровень сигнала этих клиентов в удобоваримом виде?
                                              Задача найти клиента с помощью направленной антенны.
                                                +1
                                                Как видите:

                                                BSSID              STATION            PWR   Rate    Lost    Frames  Probe
                                                
                                                (not associated)   4C:B1:99:AB:xx:xx  -73    0 - 1      0       66
                                                (not associated)   D0:DF:9A:D3:xx:xx  -80    0 - 1      0       10
                                                (not associated)   00:08:22:94:xx:xx  -84    0 - 1      0       33
                                                (not associated)   A4:D1:D2:86:xx:xx  -90    0 - 1      0        1  dlink
                                                
                                            +1
                                            wifi — общая среда передачи данных. Там не должно быть открытого текста. openvpn, ssl, ssh, ipsec — но не плейнтекст же.
                                              0
                                              Это уже от сервиса зависит, до сих пор много сервисов не дают альтернатив открытой авторизации. Wifi тут вообще не причём.
                                                +1
                                                Подключаете VPN и больше от сервисов на зависите. Поставьте себе на автозагрузку подключение к туннелю и забудьте об этом.
                                                  0
                                                  Если приложение не может обеспечить безопасности на прикладном или транспортном уровне, надо использовать безопасность сетевого уровня. Выше уже сказали — VPN, VPN.
                                                +2
                                                А откуда информация, что KARMA годится для WPA-PSK?
                                                Я нашёл на форуме, что KARMA не умеет шифрованных сетей, только открытые.
                                                  +2
                                                  Ещё один такой же ответ от самого админа.
                                                  Only works for open network, no auth. But do not underestimate the need for people to facebook/twitter/pinterest/web. They will connect willingly.
                                                  +3
                                                  Хочется подробностей про то как устройства разглашают имена wi-fi сетей о которых они знают. Скрытые сети, тут все понятно, попробовать подключится — единственный способ подключится… тут ESSID, разглашается. А какие еще есть варианты? Зачем устройство не видя маячка от сети пытается в нее лезть? Какой такой протокол требует, чтобы устройство рассказало о всех сетях которые оно знает?
                                                    +1
                                                    Устройство боится потеряться и судорожно ищет знакомые сети вокруг. Может быть, они просто спрятались?
                                                      0
                                                      Скорость ассоциации.

                                                      В среднем по больнице, beacon'ы шлются раз в 100мс. Так как шлются они на низшем data rate, при плотном вайфае предпочитают увеличить интервал в разы. В большинстве реализаций, таймаут для пассивного сканирования будет меньше тех самых 100мс, и клиенту придется несколько раз пробежать по всем имеющимся каналам, пока не повезет. Это может занять секунды, а то и больше. Или он может настроиться на канал, сразу выплюнуть probe request, пару-тройку десятков миллисекунд (максимум) подождать ответ и прыгнуть на следующий канал, и он с огромной вероятностью услышит ответ еще на первом круге. В итоге время ассоциации сокращается в разы. Обратите внимание, сколько времени обычно занимает сканирование незнакомых сетей.

                                                      А еще есть другой сценарий. Человек идет быстрым шагом по коридору и разговаривает по вайфайному телефону. Телефон отмечает падение сигнала ниже порога. Ему надо быстро найти новую точку и сроумиться на нее, иначе пользователь заметит искажения звука, а то и вообще потеряет связь. Тут пассивное ожидание beacon'а вообще не годится, несколько лишних секунд при роуминге играют огромную роль.
                                                        0
                                                        Выходит единственный способ разгласить ESSID это попытаться подключится к сети? Нет «маячков», есть запросы на подключение?

                                                        А как быть с возможностью KARMA принимать «безпарольные» подключения от клиентов желающих шифрование? Как говорят пятью комментариями выше, автор преувеличил способности KARMA или все таки есть у вайфая такая уязвимость и сиё возможно?
                                                          0
                                                          hakshop.myshopify.com/pages/item-faq
                                                          The WiFi Pineapple cannot spoof a WPA-PSK network as the key would need to be known beforehand in order to complete the 4-way handshake.

                                                          Я сильно-сильно сомневаюсь, что у вайфая есть такая уязвимость. У клиента гипотетически может быть уязвимость вида «если запомнил шифрованную сеть, и видишь такую же нешифрованную сеть, то подключаешься», но это заставило бы усомниться в умственных способностях авторов клиентских стеков.

                                                          А вообще, надо как-нибудь проверить. Можно просто взять и на время отключить шифрование на своей точке доступа. Будет фактически то же самое, что и в случае указанных утилит.
                                                      0
                                                      Вопрос: а есть ли способ ДИАГНОСТИРОВАТЬ, работу KARMA пусть не встроенным клиентом в телефон, но специальной программой. Например по тому, что в сети появилась еще одна точка с тем что SSID что и у меня?
                                                      Есть ли такие программы?
                                                        0
                                                        KARMA не обязательно будет имитировать точку, которая есть рядом, она просто откликнется на запрос клиента. То есть другой клиент, например, не увидит, что его сосед нашел «родную» точку или увидит другую. А в общем эфире будет светиться та точка, имя которой атакующий задаст сам, что-нибудь нейтральное.
                                                          0
                                                          Сначала клиент шлет probe request. KARMA вернет ему probe response, который фактически ничем не отличается от обычного beacon. Любое расположенное неподалеку устройство легко это засечет. А вот дальше начинаются варианты. Если KARMA отвечает на любой probe request одним и тем же BSSID, то спалить ее легче легкого. Если разными — уже сложнее. Но по косвенным признакам (например, «аномально высокий процент отвеченных probe request» либо «получены отклики на два подряд запрошенных рандомных 8-значных SSID») можно понять, что неподалеку вражина засела.

                                                          KARMA не обязана рассылать beacon'ы, так что в списке сетей может и не светиться вообще.
                                                        +1
                                                        Насчет KARMA, хотелось бы дополнить автора. Жаль, что "Latest Karma Snapshot" вышел более восьми лет назад и ориентирован на winXP и старые устройства от Apple. В архиве лежит презентация, в которой понятно объяснено как что работает. Например, безпарольное подключение для клиентов, помнящих что точка хочет пароль, сработает только для WinXP SP0 и некоторых apple:
                                                        MacOS X maintains list of trusted wireless networks. User can’t edit it, it’s an XML file base64-encoded in another XML file.

                                                        Т.е. в маках был список предопределенных безпарольных точек, которые нельзя запретить. Если это до сих пор так — KARMA сильный инструмент против устройств apple. Плюсом KARMA содержит несколько эксплоитов, актуальных на момент ее выпуска.

                                                        Поставить карму можно при наличии чипа Atheros из списка.

                                                          0
                                                          Спасибо за важное дополнение, хочу лишь отметить, что комплекс и сегодня прекрасно работает против новейших ОС, когда речь идёт о перехвате запросов на открытые точки. Что же до закрытых — нужно дополнительное тестирование. На момент написания я был уверен в экспериментальном подтверждении перехвата запросов на защищенные точки, однако после множества аргументированных замечаний — усомнился. Probe reqestы КАРМА на защищенные соединения точно фиксирует, а вот для подтверждения/опровержения соединения надо провести дополнительные тесты. Почему просто не сослаться на официальный форум hak5? Ну, например, потому, что декларируемые там ограничения на ОС (дескать не работает на андроид выше 4.0.4) не соответствуют практическим наблюдениям.
                                                          0
                                                          Для интересующихся тем, как от этого защищаться в корпоративной среде: ko.com.ua/motorola_airdefense_enterprise_49016
                                                          Ну и для общего развития: ko.com.ua/analiz_ugroz_dlya_besprovodnyh_setej_49014
                                                          Статьи старые, но все еще, в целом, годные.

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое