Комментарии 45
не использовать критично-важные программы (например банк-клиент) в открытых сетях.
Разве банк-клиент не работает посредством HTTPS? Это не панацея?
Единого банк-клиента же нет у нас, каждый банк клепает свой. И нет никакой гарантии, что очередной небольшой банк, решивший быть крутым и модным, как остальные, не сваяет приложение, которое по "дырявости" будет как решето. Даже если оно будет использовать HTTPS, есть ряд куча возможностей накосячить: сделать приложение уязвимым для sslstrip или классического "агрессивного" MITM с подменой сертификатов, например. Тогда "злые" WiFi точки будут опасны для такого приложения.
хотелось бы увидеть немного деталей:
- как заставить приложение/браузер соскочить с https на http?
- может ли такая фейковая точка установить с клиентом WPA, не зная пароль, а пользуясь только тем, что прилетело с телефона?
- может ли точка подсунуть клиенту не только правильный SSID, но и правильный MAC?
- ssl strip
- она может якобы принять пароль, но сам пароль от легитимной точки не получит
- если злоумышленник нацелен атаковать конкрнетную жертву — он может подделать и mac
В некоторых сетях сам вайфай без пароля, авторизация потом через веб-форму — этот пароль украсть проще простого подделав форму авторизации.
она может якобы принять пароль, но сам пароль от легитимной точки не получит
Нет не может, покрайней мере с тех пор как используется "four-way handshake", ибо PMK генерируется на стадии аутентификации, и фальшивый AP, не обладая оригинальным ключём, просто физически никак не сможет сгенерировать "общный" сессионный ключ, даже если акцептирует хэш от STA. Т.е. всё даже до шифрования "контента" не дойдет, ибо свалится еще на стадии handshake.
Т.е. все что вы тут в статье описали (все что касается evil twin) действительно только для открытых точек доступа (ну или возможно WEP/WPA, за них не скажу, не копался там под лупой). Но уж совершенно точно не действительно для WPA2, неговоря уже про WPA2-Enterprise.
Кстати у киски был неплохой анализ, можете на досуге глянуть как оно все под капотом у four-way handshake между STA-AP: https://supportforums.cisco.com/document/100611/80211-sniffer-capture-analysis-wpawpa2-psk-or-eap
Так в том и дело, что правила игры задает тот кто эту точку настроил.
Устройству пользователя нужно только подключится к бесплатному WiFi.
Тема ведь так и называется "Rogue AP — фальшивые точки доступа".
Устройству пользователя нужно только подключится к бесплатному WiFi.
Тема ведь так и называется "Rogue AP — фальшивые точки доступа".
Кто бы там правила не задавал, если у меня в телефоне сохранены только WPA2 точки, он не сможет подцепится на такую "левую" точку доступа.
Если я сам выбираю подключение без шифрования, то openvpn — первое, что запускается после подключения.
Получается еще один способ защиты — не хранить в настройках открытые точки.
Если я сам выбираю подключение без шифрования, то openvpn — первое, что запускается после подключения.
Получается еще один способ защиты — не хранить в настройках открытые точки.
Дело не в WPA2 и настройках на конкретных устройствах, тут вы конечно правы.
Мой комментарий не говорит, что значит можно сделать "магию" и вы подключитесь с любыми настройками, кончено нет, и это очень хорошо. Под правилами я имею ввиду, когда вы уже подключились, и о том что происходит внутри.
Сама атака автоматизирована, имеет массовый характер. И нацелена она на тех кто не делает таких настроек, а это большинство и всегда им будет.
Если и такие настройки смогут обойти, то это удел таких как Vupen.
Мой комментарий не говорит, что значит можно сделать "магию" и вы подключитесь с любыми настройками, кончено нет, и это очень хорошо. Под правилами я имею ввиду, когда вы уже подключились, и о том что происходит внутри.
Сама атака автоматизирована, имеет массовый характер. И нацелена она на тех кто не делает таких настроек, а это большинство и всегда им будет.
Если и такие настройки смогут обойти, то это удел таких как Vupen.
перечитайте мой ответ еще раз (правила игры действую только для ...)
- ssl strip
Для приложения, которое сразу идет на https он ведь бесполезен. Только для браузера. Ну т.е. набрав в браузере
facebook.com я уже не получу заветного редиректа на https://www.facebook.com/, и привет, plaintext. Но тот же мобильный клиент для Facebook либо сразу пойдет по зашифрованному каналу, либо обнаружив неподписанный сертификат (в случае попытки подменить сертификат), — отключится.Чёрт, LukaSafonov первее меня ответил, но я всё же дополню:
- sslstrip, который «обманывает» клиента и заставляет его инициализировать HTTP-соединение вместо HTTPS. Грубо говоря, для борьбы с подобным злом разработчики современных браузеров придумали такую штуку, как HSTS-списки, согласно которым на упомянутые в них домены браузер обязан подключаться только по HTTPS. Всё бы хорошо, но относительно недавно в пакете sslstrip2 реализовали такую идею, как добавление к классическому sslstrip модификацию DNS-запросов клиента, согласно которым браузер вместо login.vk.com обращается, например, на auth.vk.com, что позволяет обходить правила, описанные в HSTS-списках браузера. Ну и, если мобильное приложение принимает все SSL-сертификаты, «соскакивать» с HTTPS не обязательно, можно просто «врезаться» в канал и подсунуть жертве свой сертификат. Наверное, в общем случае очень много нюансов можно придумать.
- Тут я могу ошибаться: при подключении по WPA/WPA2 клиент обменивается с точкой доступа пакетами, в которых содержится хэш пароля. «Злая» точка доступа, безусловно, может его принять и пустить в интернет, но у неё таким образом появится информация, которую можно брутить. Правда, такой хэш доступен не только точке доступа, а вообще любому участнику радиоэфира, находящимся в момент инициализации соединения между жертвой и точкой доступа (или участнику, который путём «захламления» радиоэфира разорвёт текущее соединение, чтобы клиент и точка начали проводить его снова).
- Насколько я знаю, телефоны при скане WiFi-сетей вокруг «светят» не MAC'ами привычных SSID'ов, а ими самими, то есть можно только увидеть список имён точек доступа, к которым клиент подсоединялся раньше. Соответственно, «злая» точка доступа в автоматическом режиме не сможет изменить свой MAC под клиента, опираясь на его запросы. Однако, гипотетически, MAC-адрес определённого SSID'а можно попробовать вытащить из открытых баз данных WiFi-сетей. Тем не менее, всё это вряд ли пригодится, потому что современные телефоны очень легко подключаются с точкам доступа, просто имеющие «доверенный» SSID, независимо от того, на каком MAC'е они сидели раньше.
>«Злая» точка доступа, безусловно, может его принять и пустить в интернет
https://en.wikipedia.org/wiki/IEEE_802.11i-2004#The_Four-Way_Handshake
Слабо верится в то, что если вы не использовали «Самый кардинальный» способ защиты, «злая точка» примет любой ваш пароль, радостно выпустит вас в интернет и устроит вам MITM только зная ваш SSID и тип шифрования, при этом абсолютно прозрачно для вас.
В своем же эксперименте специалисты Avast могли назвать открытую сеть как угодно, старые андроид девайсы при включенном wifi модуле сами подключались к открытой сети в пределах видимости.
https://en.wikipedia.org/wiki/IEEE_802.11i-2004#The_Four-Way_Handshake
Слабо верится в то, что если вы не использовали «Самый кардинальный» способ защиты, «злая точка» примет любой ваш пароль, радостно выпустит вас в интернет и устроит вам MITM только зная ваш SSID и тип шифрования, при этом абсолютно прозрачно для вас.
В своем же эксперименте специалисты Avast могли назвать открытую сеть как угодно, старые андроид девайсы при включенном wifi модуле сами подключались к открытой сети в пределах видимости.
-из открытых баз данных WiFi-сетей. Тем не менее, всё это вряд ли пригодится
Недавно был на хабре POC, где показывалось, как совмещая список известных сетей wifi и тех, что знает телефон — можно узнать, в каких городах и странах бывал его владелец.
Недавно был на хабре POC, где показывалось, как совмещая список известных сетей wifi и тех, что знает телефон — можно узнать, в каких городах и странах бывал его владелец.
За WPA не скажу (не знаю), но у WPA2 даже handshake не состоится (ответил выше).
А что, кто-то подключается к чужому Wi-Fi без VPN?
Вы не поверите !
Тут даже вопрос не в использовании VPN в открытых сетях… Было бы интересно увидеть, на каком проценте устройств (в т.ч. мобильных) вообще есть настроенный хоть какой-нибудь VPN
Мы то с вами пользуемся, а вот тьма людей всей опасности ситуации даже не представляет, да и многие кто представляет просто игнорируют проблему. Вот, например, у меня есть очень хороший друг, он в теме, даже работает админом в известной крупной российской компании, но VPN на открытых сетях не использует, да и нет у него VPN, конфиг от своего (у нас взаимное доверие в этом вопросе) я ему давал, но это тоже не помогло :)
Ну я вот не пользуюсь. Интернет-банк на телефон не ставил, даже не анализировал насколько это безопасно и т.п.
На телефоне стоят клиенты от социалок и собственно это основная активность с телефона. Я придерживаюсь позиции что телефон по умолчанию взломан. Там игрушки бывают и т.п. Так что критичного лучше не держать ничего.
Но вот сейчас после статьи засомневался что правильно делаю. Действительно если какой-то клиент что-то будет тянуть без шифрования, или профукав сертификат, даже игрушка потянет что-то… В общем действительно стоит подумать о ВПН. Но это же головняк, и я буду затягивать это еще долго со словами "да ну нафиг, кому я нужен, попозже сделаю"…
ПС: а вообще я подумал, и вырубил автологин в вайфае нафиг. Я не трачу и 10% от бесплатного трафика на телефоне, скорость прекрасная, зачем я морочу себе голову столько времени не понятно)) Так что одного лентяя эта статья обезопасила)
На телефоне стоят клиенты от социалок и собственно это основная активность с телефона. Я придерживаюсь позиции что телефон по умолчанию взломан. Там игрушки бывают и т.п. Так что критичного лучше не держать ничего.
Но вот сейчас после статьи засомневался что правильно делаю. Действительно если какой-то клиент что-то будет тянуть без шифрования, или профукав сертификат, даже игрушка потянет что-то… В общем действительно стоит подумать о ВПН. Но это же головняк, и я буду затягивать это еще долго со словами "да ну нафиг, кому я нужен, попозже сделаю"…
ПС: а вообще я подумал, и вырубил автологин в вайфае нафиг. Я не трачу и 10% от бесплатного трафика на телефоне, скорость прекрасная, зачем я морочу себе голову столько времени не понятно)) Так что одного лентяя эта статья обезопасила)
А с чем головняк? Для OpenVPN есть родное приложение для Android, т. е. один раз настроить и всё, а дальше девайс придётся менять раньше чем параметры безопасности VPN сервера.
Головняк в том, что нужно где-то брать ВДС (я сейчас все проекты перенес на виртуальный хостинг с жирными рессурсами, сейчас задач ради которых самому нужно тратить силы на админство — нет). Нужно читать инструкции, ставить, настраивать. Готовые ВПН вообще странная штука — тут небольшая компания оказывает услуги большому количеству клиентов которые считают что им есть что скрывать… мой внутренний параноик на это не готов. Если бы опсос давал ВПН за какую-то копейку, мол когда вы не с нами, вы всё равно с нами, а когда с нами то тормозов дополнительных всё равно не будет — я бы взял такой.
Чисто из лени.
Чисто из лени.
(я сейчас все проекты перенес на виртуальный хостинг с жирными рессурсами, сейчас задач ради которых самому нужно тратить силы на админство — нет). Нужно читать инструкции, ставить, настраивать.
Вы меня простите, но настроить сервер openvpn — дело 5 минут. Примеров тонна, документация свободна.
На виртуальном хостинге ресурсов съест, кот наплакал (нет если вы начнете открывать много соединений то ой. например торенты)
Другой момент, что лень.
Да не работают эти тонны примеров из коробки, потому что или версия дистрибутива отличается или ядра или еще где-нибудь конфиг подкрутить нужно. Мой опыт: взял дефолтный дроплет на DO, у них же есть инструкция (How To Set Up an OpenVPN Server on Debian 8), но нигде нет информации о том, что TUN/TAP-адаптер работает только на определенных ядрах. Представляете, мне удалось найти какое ядро нужно использовать в комментах на ютубе. Это разве нормально?..
TUN/TAP-адаптер работает только на определенных ядрах.
А мужики не знают. Не хочу с вами спорить, но у меня всегда все работало и продолжает работать.
Проблем не возникает вообще. С TUN/TAP есть заморочка, если мы запускаем в контейнерах. Это да.
Если у нас полноценная виртуальная машина, проблем нет.
Из пслд, где я с ходу обломался — это ubuntu 15.10 и то, я обламался с автозапуском openvpn, так как systemd пошел в массы, а время нормально его поизучать нет. Но man или форумы, 5 минут чтения и все. Все работает. Я вообще не понимаю, что там может не работать и какое хитрожопое ядро надо для openvpn ?
Только дурак стал бы отрицать тот факт, что подобные инструкции из интернета не всегда работают. А мне кажется, ты как раз это и делаешь.
Вопрос бы кажется не в том, что инструкции работают или нет. Вопрос был в головонйо боли.
Я же указал на то, что инструкции есть — и конечно отрицать того, чтоони могут не работать я не буду. Если вы возмете инструкцию написанную лет 5 назад и попробуете реализовать на новом дисте. Но думаю она будет вполне работать на дисте того периода :)
Всякие говно how-to написанные на коленках, могут примерно помочь создать свой наколеночный вариант, не больше не меньше. Сам же openvpn настраивается просто, там строчек в конфиге — кот наплакал.
Я же указал на то, что инструкции есть — и конечно отрицать того, чтоони могут не работать я не буду. Если вы возмете инструкцию написанную лет 5 назад и попробуете реализовать на новом дисте. Но думаю она будет вполне работать на дисте того периода :)
Всякие говно how-to написанные на коленках, могут примерно помочь создать свой наколеночный вариант, не больше не меньше. Сам же openvpn настраивается просто, там строчек в конфиге — кот наплакал.
Я уже несколько лет пользуюсь такой штукой
dovpn.carlfriess.com
в пару кликов делает дроплет на DigitalOcean полностью настроенный.
А такой конфиг www.dropbox.com/s/pkexv9uu67jiycz/VPN.mobileconfig?dl=0
делает так, что ни один пакет с айфона не уйдет без VPN.
надо только вписать свои данные в разделе PPP dict
dovpn.carlfriess.com
в пару кликов делает дроплет на DigitalOcean полностью настроенный.
А такой конфиг www.dropbox.com/s/pkexv9uu67jiycz/VPN.mobileconfig?dl=0
делает так, что ни один пакет с айфона не уйдет без VPN.
надо только вписать свои данные в разделе PPP dict
Гм. Вы меня поставили в тупик.
А можно на чужом облаке без CGI, SSH и т.п. запустить openvpn и прям за 5 минут?
Меня в шаредхостинге интересуют не ресурсы, это действительно не соизмеримо с десятком живых сайтов в аккаунте, а именно технический вопрос. Я видел вариант только в том чтобы взять вдс за 10 баксов в год, через терминал в консольке играться с установкой и уже через него ходить. Но это лишняя сущность которой нужно заниматься....
А можно на чужом облаке без CGI, SSH и т.п. запустить openvpn и прям за 5 минут?
Меня в шаредхостинге интересуют не ресурсы, это действительно не соизмеримо с десятком живых сайтов в аккаунте, а именно технический вопрос. Я видел вариант только в том чтобы взять вдс за 10 баксов в год, через терминал в консольке играться с установкой и уже через него ходить. Но это лишняя сущность которой нужно заниматься....
Нет. Шаред он на то и шаред. OpenVPN все же затрагивает работу с псевдоустройствами и трафиком.
Вам надо или выделенную машину, или докер машину/opevz/lxc (с оговорками) или виртуальную машину.
Яркие примеры где можно разместить digitalocean или vdsina .
После того как начинаешь пользоватся интернетом, понимаешь как например yota, ростелеком, мгтс и некоторые другие режут трафик за бугор вплоть до 1 мегабита. По РФ у тебя могут быть все 20, а вот за бугор 1 мегабит :)
Я для себя вообще сделал сквозняком, один сервер в мск с openvp и он уже там дальше соединен с DO. В итоге если расматриваем скорость 100 и сервер на канале не забит, то около 80-90 выжимает.
Вам надо или выделенную машину, или докер машину/opevz/lxc (с оговорками) или виртуальную машину.
Яркие примеры где можно разместить digitalocean или vdsina .
После того как начинаешь пользоватся интернетом, понимаешь как например yota, ростелеком, мгтс и некоторые другие режут трафик за бугор вплоть до 1 мегабита. По РФ у тебя могут быть все 20, а вот за бугор 1 мегабит :)
Я для себя вообще сделал сквозняком, один сервер в мск с openvp и он уже там дальше соединен с DO. В итоге если расматриваем скорость 100 и сервер на канале не забит, то около 80-90 выжимает.
Ну вот я о том и сказал в самом начале ветки, что я закрыл сервера и уехал на шаред потому что специфических требований нет, а админить самому просто для того чтобы можно было сказать "у меня есть сервер" я не хочу.
"Облачный шаред" где ресурсы можно растянуть довольно заметно покрывает все мои текущие требования.
Поэтому для меня помимо "просто настроить опенвпн" еще и вопрос в том что нужен сервер.
В ответ вы мне написали что "На виртуальном хостинге ресурсов съест, кот наплакал".
Поэтому я как вежливый человек предположил, что может я отстал от жизни и есть простой способ развернуть впн на шареде. Сомнения у меня по этому поводу большие, но я с консолью "разговариваю со словарем", так что мог и ошибиться :)
"Облачный шаред" где ресурсы можно растянуть довольно заметно покрывает все мои текущие требования.
Поэтому для меня помимо "просто настроить опенвпн" еще и вопрос в том что нужен сервер.
В ответ вы мне написали что "На виртуальном хостинге ресурсов съест, кот наплакал".
Поэтому я как вежливый человек предположил, что может я отстал от жизни и есть простой способ развернуть впн на шареде. Сомнения у меня по этому поводу большие, но я с консолью "разговариваю со словарем", так что мог и ошибиться :)
P.S. да и ОПСОСы со своими подписками и баннерами часто вынуждают пользоваться VPN просто на всякий случай. Т. е. я например "параноик" и через VPN не хожу только в доверенных местах с W-FI через нормальных провайдеров без "сюрпризов".
да и нет у него VPN, конфиг от своего (у нас взаимное доверие в этом вопросе) я ему давал, но это тоже не помогло :)
Из 60 моих знакомых которым я дал vpn, реально пользуются человек 10-15.
Новости почитайте "90% публичных SSL VPN-серверов используют ненадежное или устаревшее шифрование".
Если очень надо то достанут.
Если очень надо то достанут.
Вообще у меня дикое желание поломать точки доступа только для одной цели. Снизить всем мощность и раскидать нормально на каналы.
Народ настолько упорот, что выкручивает мощность по самое и занимает каналы как попало. Вали на 5 скажите вы, да вы не поверите и там начинается ад :/
Народ настолько упорот, что выкручивает мощность по самое и занимает каналы как попало. Вали на 5 скажите вы, да вы не поверите и там начинается ад :/
61,7 % посетителей выставки занимались поиском в Google и проверяли свою почту Gmail;
При этом пароли/токены для доступа к Gmail перехватить скорее всего не удалось. Думаю, большинство перехваченных использовали мобильное приложение, которое (хочется верить) не обманешь так просто.
Вопрос возник — а есть где-то данные, сколько людей используют второй фактор (СМС и т.д.) в популярных сервисах (почта gmail и остальная, vk, fb и т.д.)?
Я ведь правильно понимаю, что с включенными СМС пост теряет смысл и пароль атакующему ничем особо не поможет??
Я ведь правильно понимаю, что с включенными СМС пост теряет смысл и пароль атакующему ничем особо не поможет??
Пост хороший есть Немного о 2FA: Двухфакторная аутентификация.
Она хороша когда клиента сбрутили, знать только пароль недостаточно (в статье выше рассмотрен случай когда и этого хватает).
Но когда пользователь вводит и пароль и код (СМС/брелок) и злоумышленник видит этот трафик, может перехватить сессию это уже другое. Получается что он уже получил все что нужно. Внести изменения существенные сложнее, т.к. это опять потребует СМС/брелок.
Она хороша когда клиента сбрутили, знать только пароль недостаточно (в статье выше рассмотрен случай когда и этого хватает).
Но когда пользователь вводит и пароль и код (СМС/брелок) и злоумышленник видит этот трафик, может перехватить сессию это уже другое. Получается что он уже получил все что нужно. Внести изменения существенные сложнее, т.к. это опять потребует СМС/брелок.
Здорово всё автор написал, только наошибался, начиная с названия...
Удачи.
- Терминология. То, что вы описываете называется Evil Twin. Rogue AP — это другое. Вот ликбез https://habrahabr.ru/post/151126/
- Все кому не лень пережевывают тему эксперимента в аэропорту Барселоны и MWC. Хороший ПиАр для хомячков. Только мало кто понимает, что там на самом деле происходило. К примеру, в чём крутизна вот этих цифр, которые все приводят? Как будто до этого нельзя было анализировать URL'ы и Destination IP или делать OS Fingerprinting?
50,1 % пользователей использовали устройство Apple, 43,4 % — гаджет под управлением Android, 6,5 % — устройства с Windows Phone;
61,7 % посетителей выставки занимались поиском в Google и проверяли свою почту Gmail;
14,9 % воспользовались поиском Yahoo;
приложение Facebook было установлено на 52,3 % устройств, а Twitter оказался менее популярен — всего 2,4 %.
- Как "подтверждение подключения" поможет вам понять, к той вы точке подключились или нет?
- Как это отличается от дефейса сайта (что собственно и было сделано)? Как можно "взломать" открытую сеть?
Хакеры взломали бесплатную Wi-Fi-сеть московского метро около 11:30. В результате хулиганства тысячи пассажиров увидели порно на экранах своих телефонов и планшетов вместо привычной стартовой страницы и приглашения войти в сеть
- Ну и наконец, когда вы сидите дома или на работе в Интернете по своему "безопасному" Wi-Fi, или даже кабелю, ваш трафик проходит через 100500 хостов роутеров, СОРМов и прочих DPI и пакеты все как на ладони. Чем это принципиально отличается от открытого Wi-Fi? Что интересно, ответ на этот вопрос есть, и было бы хорошо, если бы вы всё-таки объяснили разницу читателям.
Удачи.
В общем, вот: https://habrahabr.ru/post/278305/
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Rogue AP — фальшивые точки доступа