Hoy en día, los puntos de acceso inalámbrico nos rodean en todas partes: en cafeterías, restaurantes, centros comerciales y en el transporte. Esto ha dejado de ser algo inusual, y nos conectamos tranquilamente a una red insegura o mantenemos constantemente el modo de búsqueda de puntos familiares. Es por eso que en los últimos años el número de ataques dirigidos a este segmento ha aumentado constantemente. No es sorprendente que obtener acceso al tráfico de usuarios abra un gran campo de acción para el atacante. Hoy me gustaría considerar uno de estos ataques bajo el nombre prosaico Karma, inventado en 2005, pero en este momento todavía es relevante.
Hubo un tiempo en que las conversaciones sobre el Karma (en lo sucesivo denominadas Karma) fueron muy populares entre los círculos de seguridad, y muchos escucharon sobre eso al menos fuera del oído. Aquellos que pasaron por alto este tema en ese momento pueden estar familiarizados con él en ausencia gracias a un dispositivo conocido llamado Piña. Fue creado específicamente para realizar Karma y otros ataques similares en redes inalámbricas rápidamente y sin mucho esfuerzo.
Un examen rápido del Karma en sí mismo hace posible comprender que en realidad es un ataque gemelo malvado a los esteroides, porque, de hecho, su parte principal es levantar una copia de cierto punto de acceso. Sin embargo, el diablo está en los detalles, y son los detalles los que permiten que el ataque, creado hace 13 años, no pierda su relevancia y se utilice para realizar pentests hasta el día de hoy.
Sección transversal, o de donde crecen las piernas
¿En qué se diferencia este dinosaurio de los demás y por qué sobrevivió? Karma se distingue por el hecho de que no se basa en las vulnerabilidades del software de los puntos de acceso o clientes, sino en las características del estándar 802.11 comúnmente utilizado, o más bien, en las características del funcionamiento de su protocolo de autenticación. Para una comprensión completa del dispositivo de Karma, el proceso de autenticación en sí se discutirá en detalle a continuación. Los lectores familiarizados con este proceso pueden saltarse esta parte de forma segura.
Para anunciar su presencia, el punto de acceso (AP, en adelante denominado AP) difunde las llamadas tramas Beacon: paquetes que contienen el SSID del punto de acceso (es decir, su identificador, nombre de red), velocidades de datos compatibles y el tipo de cifrado que utiliza Esta red inalámbrica.
El usuario encuentra redes inalámbricas escuchando paquetes en busca de tramas Beacon de los AP que lo rodean o enviando a los puntos de acceso desde su lista de redes preferidas Tramas de solicitud de sonda: paquetes que consisten en el SSID que está buscando el usuario, así como las tasas de transferencia de datos que admite el usuario dispositivo de usuario. El SSID puede ser una cadena vacía que indica que se trata de una solicitud de sonda nula (una solicitud dirigida a todos los puntos de acceso, independientemente del SSID).
Los AP responden a la solicitud de la sonda que contiene su SSID, así como a la solicitud de sonda nula utilizando los paquetes de respuesta de la sonda. La respuesta de la sonda contiene datos idénticos a los datos en tramas Beacon: SSID, velocidades de datos compatibles y cifrado.
Si la red inalámbrica utiliza cifrado, el dispositivo del usuario debe autenticarse antes de conectarse. Este proceso ocurre a través de tramas de autenticación. Si el dispositivo del usuario ya se ha autenticado o la red no lo requiere, el dispositivo enviará el punto de acceso de Solicitud de asociación al que el AP responde con el marco de Respuesta de asociación. Después de eso, el usuario puede trabajar en esta red inalámbrica.
Es importante tener en cuenta : aunque el estándar define cómo un usuario se une a un punto de acceso, la forma de seleccionar este punto no está definida, no se menciona si la estación base debe ser autenticada o confiable de manera predeterminada. La solución a este problema quedó en manos de los proveedores de hardware y software para el sistema operativo.
Ahora quedó claro cómo funciona el Karma. Un atacante dentro del rango de señal (que potencialmente puede ser ayudado por antenas de alta ganancia y amplificadores de señal) puede controlar pasivamente un canal inalámbrico y observar las solicitudes de conexión de los usuarios a todos los puntos de acceso. Puede usar esta información para recrear una lista de las redes preferidas de la víctima. Solo los nombres de las redes se revelan en las solicitudes de conexión del usuario, pero su tipo de cifrado no. Sin embargo, al tener solo el SSID del punto de acceso, el atacante puede crear una copia del mismo nombre, aumentando la probabilidad de que la víctima se conecte a él: por ejemplo, amplificando la señal desde el punto de acceso (el cliente generalmente se conecta automáticamente al punto más poderoso) o realizando un ataque como " Denegación de servicio ”con respecto al AP seleccionado. Si el cliente espera que la red esté encriptada, la conexión no se establecerá y el atacante puede probar la siguiente red en su copia recreada de la lista de redes preferidas de la víctima. Cuando se topa con una red que no admite cifrado, se creará una red inalámbrica, a la cual la víctima se unirá de inmediato.
Un poco sobre el ataque de los creadores de Wi-Fi Pineapple:
"Viejo, pero no obsoleto"
Hasta la fecha, el problema clave en el estándar no se ha resuelto, y Karma sigue siendo una amenaza real para los usuarios. Por ejemplo, para probar redes inalámbricas, ahora se usa a menudo la WiFi Pineapple mencionada anteriormente, que se puede comprar libremente. Los creadores de este proyecto lo apoyan activamente y, con cierta periodicidad, lanzan actualizaciones. Más recientemente, se lanzó una nueva versión de Pineapple: Tetra, un enrutador completo con todo lo que necesita, 4 antenas SMA y 2 GB de memoria flash interna y Nano, una versión simplificada que tiene un formato de adaptador USB con 2 antenas SMA, 16 MB de ROM y un conector bajo Micro SD.
Para aquellos que deseen probar Karma en este maravilloso dispositivo, me gustaría decir de inmediato que no tiene sentido comprar las primeras versiones del tipo Mark V de la mano, porque el fabricante dejó de admitirlos, y la probabilidad de que simplemente pueda descargar el software necesario a través de la tienda integrada del dispositivo o actualizar el dispositivo (el último firmware para Mark V fue lanzado en agosto de 2015) tiende a cero, pero acerca de iniciarlo y ponerlo en marcha ataque, ni siquiera hablando.
Habiendo hurgado un poco en github, puede encontrar varias implementaciones de código abierto de Karma en diferentes niveles de ejecución:
Aunque las dos últimas implementaciones ya se han dado, no son compatibles, pero WiFi-Pumpkin y Wifiphisher todavía están vivos y continúan desarrollándose. Mi investigación sobre el Karma no comenzó con ellos, sino con Mana y FruityWiFi, que requirió una gran cantidad de tiempo para analizar. No lograron hacerlos trabajar, y los intentos fueron abandonados. Sin embargo, en un futuro próximo planeo volver a este tema nuevamente y probar WiFi-Pumpkin y Wifiphisher, estos proyectos tienen su propia comunidad pequeña y la probabilidad de éxito en este caso es mucho mayor.
Además, este pequeño proyecto que implementa un ataque utilizando el microcontrolador ESP8266 barato y popular se puede llamar una guinda al pastel y una implementación interesante de Karma. El proyecto no es completamente independiente Karma, el usuario debe crear Rogue AP (punto de acceso falso), no se proporcionan las funciones de crear la lista preferida de redes. Sin embargo, ambos problemas no son tan difíciles de resolver: ESP es bastante generoso en términos de recursos para esto y, si se desea, se puede obtener una buena utilidad.
Luchando contra el mal karma
¿Y ahora qué hacer con esta información, cómo protegerse? Aquí no hay absolutamente ninguna magia, las reglas de protección contra el karma son simples:
- Desactive el modo de búsqueda de Wi-Fi en todos sus dispositivos hasta que lo necesite.
- No confíes en los puntos de acceso familiares, siempre verifica si este punto puede estar aquí (sí, MT_FREE, estoy hablando de ti).
- Use VPN en todos los lugares donde pueda y no pueda.
(Todo aquí funciona de la misma manera que con un atacante que puede escuchar el tráfico en una red controlada; cuando usa una VPN, simplemente no puede descifrar nada). - Crea puntos de acceso encriptados y dales preferencia.
- No vuelva a iniciar sesión en redes familiares (lo más probable es que este sea un punto de acceso falso para un atacante).
A pesar de que los sistemas operativos objetivo se han actualizado cientos de veces desde la llegada del Karma y los sistemas se han vuelto más seguros, este ataque está vivo y representa una amenaza para los usuarios. No es necesario esperar que el estándar se corrija o agregue en un futuro cercano, por lo que solo podemos cumplir con estas simples reglas y mantener los ojos abiertos.