Взлом wi-fi

Взлом Wi-Fi на відстані. Потужний комплекс для вардрайвінгу

Вважається, що при використанні Wi-Fi «зона ризику» зазвичай не перевищує пари десятків метрів. Так, у багатьох компаніях по Wi-Fi передають конфіденційні дані, наївно вважаючи, що раз зона покриття надійно охороняється, то мережа в безпеці. Але що, якщо я покажу вам, як можна непомітно зловити, проаналізувати і навіть повністю паралізувати закриту Wi-Fi-мережу, знаходячись від неї на відстані майже в півкілометра?

Wi-Fi. Що може бути простіше? Кожен квадратний метр великого міста покритий декількома бездротовими мережами. Точки доступу є скрізь, а вже «безкоштовний сусідський Wi-Fi», який є в кожному будинку, став для багатьох важливим каналом доступу в інтернет. Бездротова мережа є на кожному великому заході і служить не тільки для розваги учасників, багато в чому вона замінює дротову мережу. Багато портативних пристроїв просто неможливо підключити до стаціонарної мережі.

Однак, крім побутового застосування, Wi-Fi знайшов своє місце і в більш серйозних областях. Цей протокол використовують цілком «серйозні» пристрої на кшталт платіжних терміналів і банкоматів. Крім того, буває, що немає можливості або економічно недоцільно тягнути дроти на велику відстань. У цьому випадку при наявності прямої видимості використовується спрямований Wi-Fi-канал. Дальність передачі сигналу при цьому може досягати декількох кілометрів.

Очевидно, що чим більше інформації передається «по повітрю», тим гостріше стають питання, пов'язані з безпекою і захистом. А практика показує, що навіть провідні мережі не захищені від фізичного впровадження, особливо на великій протяжності. Що ж тоді можна сказати про бездротові мережі, фізичний доступ до яких відкривається з будь-якого місця, куди поширюються радіохвилі? Здавалося б, отримати доступ до такої мережі не складе труднощів, однак на практиці в міському середовищі все виявляється не так просто.

Практика радіоперехоплення настільки ж тривіальна, наскільки й ідея передачі інформації по радіоканалу. Що стосується перехоплення Wi-Fi-сигналу, існує навіть окремий термін - вардрайвінг (від wardriving), який зустрічається все частіше, а даремно. Як ти міг здогадатися з назви, спочатку під вардрайвінгом малася на увазі установка спеціального комплексу на автомобіль і пересування на ньому в районах, де могли бути бездротові мережі, через які передається важлива інформація. Наприклад, навколо великих бізнес-центрів або урядових будівель. У теорії для захисту від подібних атак необхідно створити навколо таких об'єктів так звану контрольовану зону. У реальності ж при сьогоднішній щільності міської забудови подібні заходи неможливі.

Але технології не стоять на місці, а з ними змінюється і тактика зловмисників. У наші дні фахівці з інформаційної безпеки говорять про те, що роботі «по площах» приходять на зміну цілеспрямовані атаки, і вардрайвінг не виняток. Зловмисників все більше цікавлять конкретні цілі та конкретні мережі. Саме можливість подібного цільового перехоплення Wi-Fi-сигналу мені й належало встановити в рамках невеликого дослідницького проекту. У мої завдання входило створення пристрою для перехоплення сигналу бездротової мережі в умовах, «наближених до бойових», тобто на максимальній дистанції в умовах міської забудови та високого рівня шумів. Адже в сучасному мегаполісі на квадратний кілометр можуть припадати десятки точок доступу. А каналів у Wi-Fi всього 11 (взагалі, відповідно до стандарту 802.11, каналів 14, але 12, 13 і 14-й не підтримуються більшістю цивільних пристроїв через особливості законодавства США).

Вибираєм апаратні складові для взлому wi-fi

Для початку я вирішив освіжити свої знання про поширення радіохвиль і антени. Стало ясно, що для наших цілей знадобиться антена з вузькою діаграмою спрямованості. Такі антени, як правило, застосовуються для створення Wi-Fi- «мостів», тобто передачі сигналу на великі відстані (виробники заявляють можливість роботи такого моста на відстані до 10 км). Порівнявши характеристики антен від різних виробників, я вибрав антену звичайної параболічної форми. Її діаграма спрямованості становить 14 градусів по горизонталі і 10 по вертикалі. Співвідношення F / B (front to back ratio, він же коефіцієнт спрямованої дії) - 30 дБ, тобто відношення між сигналами, що потрапляють на антену з боку головного променя, і сигналами з інших напрямків становить 1 до 1000. При цьому заявлений коефіцієнт посилення становить 24 дБ.

Чому вибір антени так важливий?

Я не випадково так багато уваги приділив антені, тому що найчастіше при побудові подібних комплексів є спокуса використати штирову антену (її діаграма спрямованості рівномірна, має форму тора і тому не вимагає прицілювання). Однак така штирьова антена буде збирати весь «сміття» з ресторанчиків і проїжджаючих повз автобусів, що може фатально позначитися на співвідношенні сигнал / шум

Параболічна антена дозволить нам досягти кращого співвідношення сигнал / шум, але, використовуючи її, ми самі ускладнюємо собі завдання - адже нашу антену потрібно налаштовувати так, щоб цільова мережа (і приймач, і передавач) потрапили в «промінь».

Для вирішення проблеми в реальних «бойових» умовах можна використовувати дві антени. Одну - широконаправлену, з діаграмою спрямованості 30-40 градусів - для пошуку і локалізації мережі. Після того як мережа буде виявлена ​​і встановлено її точне місцезнаходження, можна буде застосовувати другу, вузькоспрямовану, безпосередньо для роботи з мережею: проведення ін'єкцій, перехоплення аутентифікації і так далі.

Діаграма спрямованості нашої параболічної антени представлена ​​на малюнку
діаграма направленості Порівняйте з діаграмою спрямованості штирьової антени
діаграма кругової антени

Тепер, коли з антеною ми визначились, можна приступати до вибору передавача (він же буде і приймачем). Тут основна вимога полягає в тому, щоб забезпечити максимальну потужність сигналу і максимальну гнучкість налаштувань. На допомогу нам прийшла операційна система OpenWRT. Треба сказати, що OpenWRT підтримує далеко не всі чіпсети, тому вибирати приймач довелось ретельно. У підсумку вибір припав на Wi-Fi-модуль Ubiquity Bullet M2.
Ubiquity BULLET M2 Цей пристрій з потужним чіпсетом Atheros MIPS 24KC вже має всі потрібні мені фічі: живлення через POE, захист від вологи і роз'єм N-type для підключення будь-яких антен. Слід особливо звернути увагу на те, що у Ubiquity своє POE c напругою 24 В, яке не відповідає стандарту IEEE 802.3af з напругою 48 В. Чи можна використовувати POE 48 В - не знаю, особисто я не ризикнув. Внутрішня пам'ять пристрою всього 8 Мб, але цього виявилося достатньо. Цей пристрій також призначено для Wi-Fi-мостів, тому для наших завдань він підходить відмінно.

Отже, залізо куплено, збираємо нашу антену (яка виявилась набагато більшою і важчою, ніж виглядала на картинці). Підключаємо до неї передавач, встановлюємо все на штатив для фотоапарата (штатив краще брати хороший, наш дешевий насилу справляється з загальною вагою «установки» в 6 кг), і ось наш «комплекс» готовий. Він грізно підноситься посеред офісу та справляє незабутнє враження на оточуючих. Загальний бюджет на покупку заліза склав приблизно 9000 рублів. Прийшов час зайнятися програмною частиною.

Встановлюєм OpenWRT

Базова прошивка нашого Bullet'а побудована за принципом «однієї кнопки», що нам, звичайно ж, не підходить, тому вона була видалена з пристрою, а її місце зайняла OpenWRT Attitude Adjustment 12.09. Особливих проблем з установкою не було. Досить просто скопіювати bin-файл в пам'ять пристрою по протоколу SCP. Базова прошивка Ubiquity підтримує цей протокол за замовчуванням, так що я просто використав WinSCP. Чекаємо пару хвилин і просто під'єднуємось до зручного веб-інтерфейсу з усіма потрібними нам настройками. Тут можна встановити потужність пристрою (виявляється, даний чіпсет підтримує потужність до 8 Вт, але при цьому дуже сильно гріється, так що довго експлуатувати його на максимальній потужності я б не став). Крім цього, в веб-інтерфейсі OpenWRT можна примусово здавати канали, перемикати режими роботи і є маса інших корисних налаштувань.
налаштування OpenWRT

Тепер, коли ми розібралися з настройками, нам знадобиться наш «джентльменський набір» пентестера бездротових мереж: aircrack, aireplay, airodump, AirMon і так далі. Оскільки OpenWRT - це просто ще один дистрибутив Лінукса, хоч і сильно урізаний, проблем при роботі з ним виникнути не повинно - apt-get прекрасно працює. Після установки всього необхідного у нас залишилося ще 3 Мб вільного місця, чого цілком вистачить для роботи.

Пора випробувати наш комплекс у справі. Лякаючи випадкових перехожих і привертаючи до себе загальну увагу, починаємо польові випробування. Ще раз подякуємо творцям за PoE: до нашої антені тягнеться всього один дріт, по якому йде і управління, і живлення. Отже, ми прицілилися, а далі все досить стандартно:

  1. Підключаємось до нашого комплексу через SSH, запускаємо AirMon і переводимо наш Wi-Fi-інтерфейс в режим моніторингу. Робиться це командою airmon-ng start wlan0 У нас з'явився інтерфейс Mon0. З ним ми і будемо працювати.
  2. Запускаєм airodump airodump-ng mon0

Тепер у таблиці видно все, що наловила наша антена. Погодься, досить багато.
робота airodump На малюнку представлений список доступних нам мереж. Практика показує, що працювати можна з тими з них, потужність сигналу яких (колонка PWR) не нижче -70. Тепер можна вибрати собі потрібну мережу і працювати вже виключно з нею за допомогою того ж airodump.

Командою airodump-ng -c 5 --bssid D4:CA:6D:F6:4F:00 -w test1 mon0 задаємо потрібний нам ідентифікатор мережі параметром -bssid, канал параметром -с і файл для виводу перехоплених хендшейків параметром -w. Після цього нам стане видимою не тільки базова станція, а й клієнти. Більш докладно роботу наших інструментів описувати не буду, інструкцій «Як зламати вай-фай сусіда» вистачає і без мене :).

Нам особливо цікавий показник потужності сигналу (колонка PWR). Щоб домогтися найкращого результату, антену потрібно правильно прицілити. При роботі на граничній дальності з'ясувалося, що помилка навіть у кілька градусів буде мати вирішальне значення. Для підвищення точності наведення можна навіть подумати про установку на антену прицілу.

Треба сказати, що базові станції зазвичай «видно» добре, а от з клієнтами все йде значно гірше, оскільки потужність сигналу у них менша. Можливо, тут справа в точності наведення і у куті, під яким антена була спрямована на ціль. Очевидно, що для максимальної ефективності потрібно потрапити якомога точніше, оскільки навіть у межах основного променя чутливість сильно падає ближче до країв. Для мене основною проблемою стало перехоплення частини хендшейка від клієнтських станцій - їх потужність зазвичай істотно менша базової станції, і навіть з нашої вузьконаправленої антеною з високим коефіцієнтом посилення їх відповіді часто губляться в загальному шумі.

Однак, незважаючи на це, навіть для стандартного офісу з вікном 2 х 1,5 м і прицілюванням «на око» наш комплекс працював впевнено з дистанції в 100-150 м. У реальних умовах це, швидше за все, буде вже за межами контрольованої зони навколо бізнес-центру. Для офісів з великими вікнами можна припустити, що дальність роботи буде істотно більшою.

DDoS Wi-Fi мереж на відстані

Для нашого пристрою ми несподівано відкрили ще одну концепцію застосування, яка межує з хуліганством, проте таку можливість слід враховувати, наприклад при організації критичних інформаційних потоків через Wi-Fi. Як відомо, aireplay-ng дозволяє проводити ін'єкцію deauth-пакетів в мережу. Робиться це за допомогою інструменту aireplay наступною командою: a D4:CA:6D:F6:4F:00 -c A4:C3:61:7D:8F:00 mon0

Зверни увагу на останню колонку - за кількістю ACK можна визначити, наскільки успішно йде наша атака, - чим більше перша цифра, тим краще. Видно, що aireplay надійно «кладе» нашу тестову мережу. Таким чином, проводячи примусову деаутентіфікацію клієнтських станцій, можна паралізувати роботу Wi-Fi-мережі з великої відстані. Фокус в тому, що для того, щоб ефективно проводити таку атаку, зовсім не обов'язково мати надчутливий приймач, як для перехоплення хендшейков. Достатньо мати потужний передавач. А цього у нас якраз вистачає в надлишку. Як кажуть, сила є ...

За моїми оцінками, навіть нашого бюджетного комплексу вистачить, щоб паралізувати мережу на дистанції в 300-400 м за умови прямої видимості. Ще раз зверну увагу, що всі ці речі я розглядаю теоретично, оскільки, як уже говорилося, використання передавача на максимальній потужності вимагає дозволу Мінкомзв'язку. Проте давай пофантазуємо, що відеоспостереження або будь-яка інша система, пов'язана з безпекою або передачею критично важливої ​​інформації, працює через вже згадуваний Wi-Fi-міст. Ти можеш заперечити, що там застосовуються вузьконаправлені антени, однак у будь-який, навіть самої вузьконаправленої антени є паразитні пелюстки. Вони, до слова, добре видно на малюнках. Потрапивши в такий пелюсток, ми теоретично можемо відключити клієнта безперервними deauth-пакетами і порушити роботу моста.

Способи захисту від таких атак неочевидні. У випадку з офісом можна спробувати знизити можливості перехоплення та ін'єкцій, наприклад атермальними вікнами або їх аналогом, хоча на даний момент це всього лише припущення - вплив атермальних вікон на Wi-Fi ще необхідно перевірити. А от як захистити Wi-Fi на вулиці, зовсім незрозуміло.

Висновки

Які висновки можна зробити з нашого невеликого проекту? Wi-Fi - не такий вже безпечний спосіб передачі даних, як може здатись, навіть якщо застосовується WPA-2. Перехоплення вкрай просте, а криптоаналітичні можливості зловмисників по розшифровці хендшейков у міру розширення хмарних технологій на зразок Amazon Cloud ростуть з кожним днем.

І вже точно Wi-Fi погано підходить для відеоспостереження, охорони або інших систем, до яких пред'являються підвищені вимоги по доступності та стійкості роботи, оскільки паралізувати бездротову мережу можна з великої відстані, а захищатися від таких атак вкрай складно.

За матеріалами журналу ХАКЕР

Можливо вас зацікавлять подібні статті:

Коментарі

Немає коментарів до цієї статті.

Коментувати

Поля позначені як * потрібні обов'язково. Перед постінгом завжди робіть перегляд свого коментаря.