Drahtlose Zugangspunkte umgeben uns heute überall: in Cafés, Restaurants, Einkaufszentren und im Transportwesen. Dies hat aufgehört, etwas Ungewöhnliches zu sein, und wir stellen ruhig eine Verbindung zu einem unsicheren Netzwerk her oder behalten ständig den Suchmodus für vertraute Punkte bei. Aus diesem Grund hat in den letzten Jahren die Anzahl der Angriffe auf dieses Segment stetig zugenommen. Es überrascht nicht, dass der Zugriff auf den Benutzerverkehr dem Angreifer ein riesiges Aktionsfeld eröffnet. Heute möchte ich einen dieser Angriffe unter dem prosaischen Namen Karma betrachten, der 2005 erfunden wurde, aber im Moment ist er immer noch relevant.
Zu einer Zeit waren Gespräche über Karma (im Folgenden als Karma bezeichnet) in Sicherheitskreisen sehr beliebt, und viele hörten zumindest aus dem Ohr davon. Diejenigen, die dieses Thema zu dieser Zeit umgangen haben, können es dank eines berüchtigten Geräts namens Pineapple in Abwesenheit kennen. Es wurde speziell entwickelt, um Karma und andere ähnliche Angriffe auf drahtlose Netzwerke schnell und ohne großen Aufwand durchzuführen.
Eine schnelle Untersuchung von Karma selbst macht es möglich zu verstehen, dass es sich in Wirklichkeit um einen bösen Zwillingsangriff auf Steroide handelt, da der Hauptteil darin besteht, eine Kopie eines bestimmten Zugangspunkts zu erstellen. Der Teufel steckt jedoch im Detail, und es sind die Details, die es dem vor 13 Jahren geschaffenen Angriff ermöglichen, seine Relevanz nicht zu verlieren und bis heute Pentests durchzuführen.
Querschnitt oder woher die Beine wachsen
Wie unterscheidet sich dieser Dinosaurier von allen anderen und warum hat er überlebt? Karma zeichnet sich dadurch aus, dass es nicht auf den Schwachstellen der Software von Access Points oder Clients basiert, sondern auf den Merkmalen des häufig verwendeten 802.11-Standards oder vielmehr auf den Merkmalen des Betriebs seines Authentifizierungsprotokolls. Für ein vollständiges Verständnis des Karma-Geräts wird der Authentifizierungsprozess selbst nachstehend ausführlich erläutert. Leser, die mit diesem Prozess vertraut sind, können diesen Teil sicher überspringen.
Um seine Anwesenheit anzukündigen, sendet der Access Point (AP, im Folgenden als AP bezeichnet) die sogenannten Beacon-Frames - Pakete, die die SSID des Access Points (d. H. Seine Kennung, den Netzwerknamen), die unterstützten Datenraten und die Art der verwendeten Verschlüsselung enthalten dieses drahtlose Netzwerk.
Der Benutzer findet drahtlose Netzwerke, indem er Pakete auf der Suche nach Beacon-Frames von den ihn umgebenden APs abhört oder aus seiner Liste bevorzugter Netzwerke an die Zugriffspunkte sendet. Prüfanforderungsframes - Pakete, die aus der vom Benutzer gesuchten SSID sowie den vom Benutzer unterstützten Datenübertragungsraten bestehen Benutzergerät. Die SSID kann eine leere Zeichenfolge sein, die angibt, dass es sich um eine Null-Test-Anforderung handelt (eine Anforderung, die unabhängig von der SSID an alle Zugriffspunkte gerichtet ist).
APs antworten auf die Testanforderung, die ihre SSID enthält, sowie auf die Null-Testanforderung unter Verwendung der Testantwortpakete. Probe Response enthält Daten, die mit den Daten in Beacon-Frames identisch sind: SSIDs, unterstützte Datenraten und Verschlüsselung.
Wenn das drahtlose Netzwerk Verschlüsselung verwendet, muss das Benutzergerät vor dem Herstellen einer Verbindung authentifiziert werden. Dieser Vorgang erfolgt über Authentifizierungsrahmen. Wenn das Gerät des Benutzers bereits authentifiziert wurde oder das Netzwerk dies nicht benötigt, sendet das Gerät den Zugriffspunkt für die Zuordnungsanforderung, auf den der AP mit dem Zuordnungsantwortrahmen antwortet. Danach kann der Benutzer an diesem drahtlosen Netzwerk arbeiten.
Es ist wichtig zu beachten : Obwohl der Standard definiert, wie ein Benutzer einem Zugriffspunkt beitritt, ist die Art und Weise der Auswahl dieses Punkts nicht definiert. Es wird jedoch nicht erwähnt, ob die Basisstation standardmäßig authentifiziert oder vertrauenswürdig sein soll. Die Lösung dieses Problems wurde den Anbietern von Hardware und Software für das Betriebssystem überlassen.
Jetzt wurde klar, wie Karma funktioniert. Ein Angreifer innerhalb des Signalbereichs (der möglicherweise durch Antennen mit hoher Verstärkung und Signalverstärker unterstützt werden kann) kann einen Funkkanal passiv überwachen und Verbindungsanforderungen von Benutzern zu allen Zugriffspunkten beobachten. Er kann diese Informationen verwenden, um eine Liste der bevorzugten Netzwerke des Opfers zu erstellen. In den Verbindungsanfragen des Benutzers werden nur die Namen der Netzwerke angegeben, der Verschlüsselungstyp jedoch nicht. Wenn der Angreifer jedoch nur die SSID des Zugangspunkts hat, kann er eine Kopie mit demselben Namen erstellen, wodurch die Wahrscheinlichkeit erhöht wird, dass sich das Opfer mit ihm verbindet: Zum Beispiel indem er das Signal vom Zugangspunkt verstärkt (der Client stellt normalerweise automatisch eine Verbindung zum leistungsstärksten Punkt her) oder einen Angriff wie „ Denial of Service “bezüglich des ausgewählten AP. Wenn der Client erwartet, dass das Netzwerk verschlüsselt wird, wird die Verbindung nicht hergestellt und der Angreifer kann das nächste Netzwerk in seiner neu erstellten Kopie der Liste der bevorzugten Netzwerke des Opfers versuchen. Wenn er auf ein Netzwerk stößt, das keine Verschlüsselung unterstützt, wird ein drahtloses Netzwerk erstellt, dem das Opfer sofort beitritt.
Ein wenig über den Angriff der Macher von Wi-Fi Pineapple:
"Alt, aber nicht veraltet"
Bis heute wurde das Hauptproblem im Standard nicht gelöst, und Karma ist weiterhin eine echte Bedrohung für die Benutzer. Zum Testen von drahtlosen Netzwerken wird beispielsweise häufig die oben erwähnte WiFi-Ananas verwendet, die frei erhältlich ist. Die Macher dieses Projekts unterstützen es aktiv und veröffentlichen mit einiger Periodizität Updates. In jüngerer Zeit wurde eine neue Version von Pineapple veröffentlicht: Tetra - ein vollwertiger Router mit allem, was Sie benötigen, 4 SMA-Antennen und 2 GB internem Flash-Speicher sowie Nano - eine vereinfachte Version mit einem USB-Adapterformat mit 2 SMA-Antennen, 16 MB ROM und einem Anschluss unter Micro SD.
Für diejenigen, die Karma auf diesem wunderbaren Gerät ausprobieren möchten, möchte ich sofort sagen, dass es keinen Sinn macht, frühe Versionen des Mark V-Typs aus der Hand zu kaufen, weil Der Hersteller hat aufgehört, sie zu unterstützen, und die Wahrscheinlichkeit, dass Sie die erforderliche Software einfach über den integrierten Speicher des Geräts herunterladen oder das Gerät aktualisieren können (die neueste Firmware für Mark V wurde im August 2015 veröffentlicht), ist in der Regel gleich Null, aber Sie müssen sie starten und starten angreifen, nicht einmal reden.
Nachdem Sie ein wenig auf Github gestöbert haben, finden Sie mehrere Open-Source-Implementierungen von Karma auf verschiedenen Ausführungsebenen:
Obwohl die letzten beiden dieser Implementierungen bereits gegeben wurden, werden sie nicht unterstützt, aber WiFi-Pumpkin und Wifiphisher sind noch am Leben und entwickeln sich weiter. Meine Karma-Forschung begann nicht mit ihnen, sondern mit Mana und FruityWiFi, deren Analyse sehr viel Zeit in Anspruch nahm. Sie konnten sie nicht zur Arbeit bringen, und die Versuche wurden abgebrochen. In naher Zukunft möchte ich jedoch noch einmal auf dieses Thema zurückkommen und WiFi-Pumpkin und Wifiphisher ausprobieren. Diese Projekte haben eine eigene kleine Community und die Erfolgswahrscheinlichkeit ist in diesem Fall viel höher.
Auch dieses kleine Projekt , das einen Angriff mit dem billigen und beliebten Mikrocontroller ESP8266 implementiert, kann als Kirsche auf dem Kuchen und als interessante Implementierung von Karma bezeichnet werden. Das Projekt ist nicht völlig unabhängig Karma, der Benutzer muss Rogue AP (Fake Access Point) erstellen, die Funktionen zum Erstellen der bevorzugten Liste von Netzwerken werden nicht bereitgestellt. Beide Probleme sind jedoch nicht so schwer zu lösen - ESP ist in Bezug auf die Ressourcen dafür recht großzügig, und auf Wunsch kann ein guter Nutzen erzielt werden.
Schlechtes Karma bekämpfen
Und was tun mit diesen Informationen, wie können Sie sich schützen? Hier gibt es absolut keine Magie, die Regeln zum Schutz vor Karma sind einfach:
- Deaktivieren Sie den Wi-Fi-Suchmodus auf allen Ihren Geräten, bis Sie ihn benötigen.
- Vertrauen Sie nicht vertrauten Zugangspunkten, prüfen Sie immer, ob dieser Punkt überhaupt hier sein kann (ja, MT_FREE, ich spreche von Ihnen).
- Verwenden Sie VPN überall dort, wo Sie können und nicht.
(Hier funktioniert alles genauso wie bei einem Angreifer, der den Datenverkehr in einem kontrollierten Netzwerk abhören kann. Wenn er ein VPN verwendet, kann er einfach nichts entschlüsseln.) - Erstellen Sie verschlüsselte Zugangspunkte und bevorzugen Sie diese.
- Melden Sie sich in vertrauten Netzwerken nicht erneut an (dies ist höchstwahrscheinlich ein gefälschter Zugriffspunkt für einen Angreifer).
Trotz der Tatsache, dass die Zielbetriebssysteme seit dem Aufkommen von Karma hunderte Male aktualisiert wurden und die Systeme sicherer geworden sind, ist dieser Angriff lebendig und stellt eine Bedrohung für die Benutzer dar. Es ist nicht zu erwarten, dass der Standard in naher Zukunft geändert oder hinzugefügt wird, daher können wir uns nur an diese einfachen Regeln halten und die Augen offen halten.