WiFi Pineapple Mark V: черный ящик для беспроводного перехвата



    Перед специалистом в области информационной безопасности, в частности пентестером, стоят задачи эффективного решения головоломок по поиску и эксплуатации уязвимостей исследуемых систем. Немаловажным элементом любой работы по тестированию защищенности инфраструктуры заказчика является проверка беспроводных сетей. Значительно повысить эффективность такой проверки помогут специализированные инструменты, уже о пятой итерации одного из которых я сегодня вам расскажу.

    Описание устройства


    WiFi Pineapple — это продукт предприимчивых американцев, которые заказали у китайцев Wi-Fi роутер с двумя беспроводными интерфейсами и одним проводным, написали под него прошивку на базе OpenWRT и напичкали утилитами для взлома\перехвата и анализа трафика.

    У устройства 3 сетевых интерфейса (2 беспроводных с возможностью работы в режиме монитора и 1 проводной ), 1 USB порт для флешки\3-4G модема\GPS-треккера и слот для microSD карт.

    Так же на корпусе устройства есть набор тумблеров, сочетание которых позволяет запускать устройство с пакетом заранее присвоенных выбранному сочетанию команд, что сокращает время предварительной настройки, если задача является типовой и регулярной.

    Возможности


    Спектр возможностей устройства впечатляет, в нем есть почти все необходимое для аудита беспроводных сетей и перехвата трафика.

    Главной фичей среди прочих важных является инструмент принудительного соединения с роутером беспроводных клиентов: связка утилит Karma и PineAP. Действует она следующим образом:



    Все беспроводные устройства, не подключенные в данный момент к сети WiFi активно пытаются это сделать, рассылая запросы в поисках знакомых им точек доступа, к которым ранее осуществлялось подключение (откройте список сетей на своем смартфоне — наверняка он довольно длинный). Karma отвечает на эти запросы, представляясь той точкой доступа, которую ищет клиент. Это распространяется только на запросы открытых сетей, не защищенных шифрованием WEP/WPA/WPA2, но как правило почти у каждого в списке есть хоть один публичный хотспот, к которому он когда-либо подключался в кафе или другом общественном месте. На данный момент эффективность работы Karma снизилась, так как новые устройства и версии ОС стремятся обезопасить пользователей от этой уязвимости и тут на сцену выходит PineAP, который действует по противоположному Karma принципу- он не ждет запроса, вместо этого бомбардирует клиента запросами на подключение по списку SSIDов, который можно вести как вручную, так и собирать утилитой Autoharvest. Сочетание двух этих методов дает очень высокую вероятность зацепить беспроводного клиента на точку доступа.



    Вторым королем нашего «ананаса» является SSLStrip, который несмотря на постепенную потерю актуальности все еще остается важнейшим инструментом перехвата данных. Этот MITM модуль обнаруживает попытку клиента соединиться по HTTPS-протоколу и навязывает ему HTTP соединение, в свою очередь устанавливая HTTPS соединение с точкой назначения. Невнимательный клиент ничего не замечая вводит свои учетные данные и они тут же попадают в журнал.



    WiFi Pineapple построен по модульному принципу — в нем изначально установлены только базовые элементы, а остальные компоненты по желанию можно загрузить прямо из интерфейса управления с сайта разработчиков. Среди них есть такие замечательные инструменты, как ethercap, tcpdump, nmap, инструмент глушения других точек доступа deauth(принудительно посылает команды разъединения клиентам чужих точек доступа), dnsspoof, urlsnarf, инструмент взлома WPS-сервисов reaver\bully на выбор, и другие полезные инструменты. Хочу заметить, что все сразу запустить не получится — железка довольно слабенькая и много сервисов одновременно не выдерживает, уходя в ребут.



    Управление устройством осуществляется через веб-интерфейс, хотя можно и удаленно по SSH(для удаленного доступа к установленной в целевой точке системе предусмотрен автоматически поднимающийся при включении обратный SSH-туннель). Веб интерфейс в целом годный, но работает неидеально и иногда слишком быстрая и активная работа с ним приводит к перезагрузке устройства, благо все нужные сервисы можно выставить в автостарт. Все компоненты можно обновлять прямо из интерфейса, новые прошивки так же устанавливаются на лету.

    Комплект поставки


    Мне в руки попала версия Elite, которая помимо самого роутера включает в себя ударопрочный водонепроницаемый кейс и аккумулятор на 15000 mAh, что в сумме дает систему всепогодного наружного размещения с автономностью в 12 часов непрерывной работы, так же в комплекте идет буклет по быстрой настройке, зарядное устройство, удлиннители антенны для выноса рожек за корпус кейса и патч-корд.




    Первичная настройка


    Как бы просто ни выглядела настройка в буклете и многочисленных хау-ту, без обработки напильником нам никак не обойтись.

    а) Мобильный Интернет

    Если мы делаем мобильный комплекс, то нам не обойтись без автономного выхода в интернет, то есть обязательно понадобится USB-modem, однако из коробки девайс с ними дружит очень плохо и как есть просто не стал работать с моим Huawei E3372 (Мегафон М150-2). Модем пришлось разлочить, перепрошить на HILINK-прошивку и расширенный web-интерфейс(она превращает его в автономный USB-роутер, видимый системой как Eth1 интерфейс и не требующий какой-либо дополнительной настройки на хосте). Подробные инструкции можно найти на 4pda.ru в теме, посвященной этому модему. Самое забавное, что после разлочки и перепрошивки скорость доступа в сеть Интернет выросла в невероятные 3 раза, приблизившись к 50 мегабитам в секунду. Таким образом после всего колдовства с модемом мы получаем в недрах нашего «ананаса» еще один сетевой интерфейс Eth1, через который пускаем трафик, поменяв параметры /etc/config/network и /etc/config/dhcp. Важно не забыть выключить DHCP-сервер на web-интерфейсе самого модема (в моем случае он жил по адресу 192.168.8.1), иначе все клиенты будут ходить напрямую в Интернет, минуя все ваши ловушки.

    б) AutoSSH удаленный доступ

    Так же нам необходим удаленный доступ к устройству для контроля и чтения логов не дожидаясь возврата прибора. Для этого придется поднимать у себя OpenSSH сервер с включенным GatewayForwarding, а дальше все зависит от везения. Например в моем случае SSH-сервер работал не на стандартном порту, поэтому произвести подключение к нему средствами интерфейса «ананаса» не удалось, пришлось делать все вручную.
    Порядок такой:
    • 1. Из веб-интерфейса «ананаса» генерируем публичный ключ
    • 2. Заходим на «ананас» по ssh и с него идем по ssh на наш ssh-сервер по паролю, это действие добавит наш сервер в known_hosts
    • 3. с «ананаса» через scp высылаем authorized_keys на наш сервер.
    • 4. Через веб-интерфейс запускаем autossh на «ананасе»
    • 5. Пробуем с сервера подключиться на localhost -p <заданный на ананасе обратный порт>

    Если все сделано правильно — получим постоянный консольный доступ на наш прибор.

    в) Логи

    Модули можно устанавливать как во внутреннюю память устройства, так и на SD-карту, однако некоторые модули могут вести себя некорректно в случае установки на карту, например нежно любимый нами SSLStrip. Внутренней памяти у устройства очень мало, а логи с перехваченными данными модули хранят в своих папках. Поэтому нам нужно в корне SD-карты (/sd/) сделать какую-то папку(например, банальное, logs) и слинковать ее с папкой логов модуля в /pineapple/components/infusions/sslstrip/include/logs

    Выводы


    WiFi Pineapple Mark V показал себя полезным в хозяйстве пентестера инструментом, помогающим найти точку входа в ситуациях, когда кажется, что инфраструктура клиента безупречна, а персонал в высшей степени ответственен и технически подкован. Прибор не без недостатков — слабенький 400MHz процессор с трудом справляется с возложенными на прибор задачами и часто уходит в ребут при попытке задействовать сразу несколько модулей, с другой стороны поняв его пределы можно распределить задачи таким образом, чтобы оптимально использовать «ананас» без ненужных перебоев в работе.

    Технология захвата беспроводных клиентов Karma и PineAP не идеальна, никто не обещает, что ваше устройство тут же подключится к «ананасу» оказавшись в радиусе его действия, но вероятность такого исхода для устройств на всех популярных видах ОС крайне высока. SSLStrip постепенно отмирает, особенно мало толку от него при захвате трафика мобильных девайсов, ведь большинство приложений авторизуется по методу OAuth 2.0 и толку от перехваченных токенов не так много, как от паролей в чистом виде. Однако популярные мессенджеры социальных сетей все еще передают данные открытым текстом, а доступ к сервисам через браузеры все еще производится по сочетанию логин/пароль, что делает инструмент по прежнему эффективным в деле перехвата данных.



    И не стоит забывать о других возможностях «ананаса», таких как взлом WPS, подмену DNS и вывод клиентов на поддельные страницы, захват куки и многое другое. Однозначно устройство интересное и стоит своих денег, а тем, кто опасается хулиганов с такими приборами — советую чистить свой список известных беспроводных сетей от открытых сетей и не подсаживаться на сомнительные точки доступа.
    Поделиться публикацией

    Комментарии 28

      +3
      Помню первые версии этого девайса, которые выглядели вот так:
      image
        +1
        Они конечно молодцы, что развивают продукт, но там много чего еще можно улучшить. Железо точно нужно помощнее и баги в интерфейсе починить.
      • НЛО прилетело и опубликовало эту надпись здесь
          0
          1. О Метасплоит речи не идет, само собой. Может они дойдут до этого позднее, но я сомневаюсь, что такая конструкция будет 12 часов работать от 15000mAh батарейки.
          2. Бесспорно
          3. 2гб рам 5-го ананаса вполне достаточно для sslstrip, если вы не 100 клиентов разом фармите.
          4. Карма все еще актуальна — тестирование показывает, что ловятся абсолютно все современные девайсы, от продукции Apple, до Winphone 8
          5. Даже не знаю что сказать — если тольок gps-треккер в параллель к модему ставить, но я ведь и так знаю, где мой девайс.

          Любой энтузиаст может забрать кое-что покруче и подешевле.

          К сожалению на рынке из готовых устройств ничего интереснее «ананаса» нет, а поделки энтузиастов страдают своими самодельными болезнями (что не отметает наличия подобных болезней у ананаса).

          Ну и на сладкое FruityWiFi поддерживает работу с MANA. Готовую сборку я показывал на ZeroNights 0x04.

          Расскажите о нем подробнее, пожалуйста! Я и сам, признаться, от ананаса ожидал большего, но и того, что получил для многих задач хватает.
          • НЛО прилетело и опубликовало эту надпись здесь
              +1
              4. Посмотрите презентацию с Defcon 22 про MANA, там как раз и про яблоки. MANA не от хорошей жизни придумана. Прежде чем спорить, пройдите ликбез.

              Если я правильно понимаю, то MANA это тупо «press X to hack» компиляция всех тех же самых инструментов, типа KARMA, SSLStrip, DNSSpoof и тому подобного. Не вижу ничего нового, кроме упаковывания всего этого в одну систему, запускаемую одним скриптом.
              • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  Большое спасибо за ссылку!
                    0
                    Изучил презентацию — могу с уверенностью сказать, что iOS 7 ловится легко на сочетание Karma+Dogma+PineAP, сейчас лога под рукой нет, но постараюсь завтра показать. И еще — описанные улучшения, которые применены в MANA присутствуют в PineAP.
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Давайте выдохнем и начнем сначала?
                        У меня нет интереса в отстаивании достоинств ананаса — мне нужен максимально эффективный инструмент, вы абсолютно правы, что распберипи подходит много лучше для сетевой нагрузки, чем дохлое железо ананаса и по РАМ я тоже извиняюсь, что выдал желаемое за действительное. Я обязательно попробую собрать конфиг со схожим функционалом на «малине» после в новом году. Но все же хочу вставить свои 5 копеек
                        1. Ананас — готовый продукт с устоявшимся комьюнити и поддержкой, модули к нему пишут разные люди и регулярно выходят обновления.
                        2. Я категорически не согласен с утверждением, что ананас не способен захватывать устройства на актуальных операционных системах, в подтверждение могу привести снимок DHCP моего ананаса:
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            «актуальных операционных системах» — iPhone4 & iOS 7 не актуален. Уже на iOS 8 два джейлбрейка было.


                            А на это что скажете? В списке PineAP этого SSID нет.
              0
              Банально нету на это времени, но хотелось бы приобрести подобный девай, описанный в топике.
              Возможно вы знаете альтернативные девайсы в стиле plug and hack?
              • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  Я имел ввиду, что банально нету времени брать RI и фаршировать его. Представление о возможностях и веткорах атаки у меня есть, не глубокие, но достаточные что бы описать методологию и последовательность. А данный девайс и схожие, мне просто интересен в качестве занимательного гаджета в стиле just for fun.
                  Согласитесь — если мне нравится телефон на базе андроида, мне совсем необязательно собирать такой девайс самому, заказывая лишь запчасти.

                  Просто Хочу :)
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Вы правы, вот поэтому я и поинтересовался, возможно вы знаете схожие девайся с более актуальным начинкой:)
                      Кстати я вижу вы хорошо разбираетесь в теме безопасности и DIV, сами не задумывались собрать нечто подобные и продавать? Я так понял вы можете сделать дешевле чем 190$ за ананас.
                      Скажу честно — приобрел бы!
                      • НЛО прилетело и опубликовало эту надпись здесь
              0
              Я не понял, автор, где можно приобрести или заказать сей девайс, а так же какова его стоимость.
              Мой внутренний хомяк завопил — ХОЧУ!
                +1
                Я не хотел делать из статьи рекламу (она и так слишком на нее похожа), но в гугле легко находится официальный сайт, с которого я заказывал через посредника (напрямую в Россию не везут). Стоит elite версия 190 баксов.
                • НЛО прилетело и опубликовало эту надпись здесь
                    +2
                    И как в итоге будет выглядеть эта конструкция? Как набор микросхем? Упаковать это в нормальный корпус, добавить питание — это тоже будет стоить денег. Конечно сборка собственного решения — это следующий шаг после опыта эксплуатации готового, когда ты уже понимаешь, что тебе нужно от устройства и как это будет работать.
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Вы мне лучше скажите — насколько эффективно по ощущениям работает ваша сборка. Какова вероятность захвата непривязанного устройства в радиусе обнаружения в первые 5 минут? Просто ананас может сразу поймать, а может минут через 10. В 4-м стоит устаревшая версия кармы, я на базе фирмвари 4-го ананаса делал EvilAP из роутера TP-Link MR3020 — оно себя показало очень далеко от 5-го ананаса по эффективности, потому я все же настаиваю, что ваш опыт с 4-м не соответствует реалиям 5-го.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Что есть непривязанное устройство?

                            Не подключенное к беспроводной сети на момент попадания в зону действия прибора

                            антенну допаяли или так со встроенной тестировали?
                            Встроенной на 20-30 метров на открытой местности вполне хватает

                            У вас же оба девайса на руках.

                            Самоделку отдал в добрые руки
                            • НЛО прилетело и опубликовало эту надпись здесь

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое