Hoje, os pontos de acesso sem fio nos cercam em todos os lugares: em cafés, restaurantes, shopping centers e transportes. Isso deixou de ser algo incomum, e nós nos conectamos calmamente a uma rede insegura ou mantemos constantemente o modo de busca por pontos familiares. É por isso que nos últimos anos o número de ataques direcionados a esse segmento tem aumentado constantemente. Não é de surpreender que obter acesso ao tráfego do usuário abra um enorme campo de ação para o invasor. Hoje eu gostaria de considerar um desses ataques sob o nome prosaico Karma, inventado em 2005, mas no momento ainda é relevante.
Ao mesmo tempo, as conversas sobre o Karma (doravante referido como Karma) eram muito populares entre os círculos de segurança, e muitos ouviram falar sobre isso pelo menos de ouvido. Aqueles que ignoraram esse tópico naquele momento podem estar familiarizados com ele à revelia, graças a um dispositivo notório chamado Abacaxi. Foi criado especificamente para conduzir o Karma e outros ataques similares em redes sem fio de forma rápida e sem muito esforço.
Um rápido exame do próprio Karma torna possível entender que, na realidade, é um ataque gêmeo maligno a esteróides, porque, de fato, sua principal parte é levantar uma cópia de um certo ponto de acesso. No entanto, o diabo está nos detalhes, e são os detalhes que permitem que o ataque, criado 13 anos atrás, não perca sua relevância e seja usado para realizar protestos até hoje.
Seção transversal, ou de onde as pernas crescem
Como este dinossauro é diferente de todos os outros e por que sobreviveu? O Karma se distingue pelo fato de não se basear nas vulnerabilidades do software de pontos de acesso ou clientes, mas nos recursos do padrão 802.11 comumente usado, ou melhor, nos recursos da operação de seu protocolo de autenticação. Para uma compreensão completa do dispositivo Karma, o próprio processo de autenticação será discutido em detalhes abaixo. Os leitores familiarizados com esse processo podem ignorar esta parte com segurança.
Para anunciar sua presença, o Ponto de Acesso (AP, a seguir denominado AP) transmite os chamados quadros Beacon - pacotes contendo o SSID do ponto de acesso (ou seja, seu identificador, nome da rede), taxas de dados suportadas e o tipo de criptografia que utiliza essa rede sem fio.
O usuário encontra redes sem fio ouvindo pacotes em busca de quadros Beacon dos APs ao seu redor ou enviando para os pontos de acesso de sua lista de redes preferenciais Quadros de solicitação de sonda - pacotes que consistem no SSID que o usuário procura, bem como taxas de transferência de dados suportadas pelo usuário dispositivo do usuário. O SSID pode ser uma cadeia vazia, indicando que esta é uma solicitação de análise nula (uma solicitação endereçada a todos os pontos de acesso, independentemente do SSID).
Os pontos de acesso respondem à solicitação do probe que contém seu SSID e à solicitação do probe nulo usando os pacotes de resposta do probe. O Probe Response contém dados idênticos aos dos quadros Beacon: SSIDs, taxas de dados suportadas e criptografia.
Se a rede sem fio usar criptografia, o dispositivo do usuário deverá ser autenticado antes da conexão. Este processo ocorre através de quadros de autenticação. Se o dispositivo do usuário já foi autenticado ou a rede não o exige, o dispositivo enviará o ponto de acesso da Solicitação de Associação ao qual o AP responde com o quadro de Resposta da Associação. Depois disso, o usuário pode trabalhar nesta rede sem fio.
É importante observar : embora o padrão defina como um usuário ingressa em um ponto de acesso, a maneira de selecionar esse ponto não está definida, não há menção se a estação base deve ser autenticada ou, por padrão, é confiável. A solução para esse problema ficou a cargo dos fornecedores de hardware e software do sistema operacional.
Agora ficou claro como o Karma funciona. Um invasor dentro do alcance do sinal (que pode potencialmente ser ajudado por antenas de alto ganho e amplificadores de sinal) pode monitorar passivamente um canal sem fio e observar solicitações de conexão dos usuários a todos os pontos de acesso. Ele pode usar essas informações para recriar uma lista das redes preferidas da vítima. Somente os nomes das redes são divulgados nas solicitações de conexão do usuário, mas o tipo de criptografia não é. No entanto, tendo apenas o SSID do ponto de acesso, o invasor pode criar uma cópia com o mesmo nome, aumentando a probabilidade de a vítima se conectar a ele: por exemplo, amplificando o sinal do ponto de acesso (o cliente geralmente se conecta automaticamente ao ponto mais poderoso) ou executando um ataque como " Negação de serviço ”em relação ao ponto de acesso selecionado. Se o cliente espera que a rede seja criptografada, a conexão não será estabelecida e o invasor poderá tentar a próxima rede em sua cópia recriada da lista de redes preferenciais da vítima. Quando ele se deparar com uma rede que não suporta criptografia, será criada uma rede sem fio, à qual a vítima se unirá imediatamente.
Um pouco sobre o ataque dos criadores do Wi-Fi Pineapple:
"Velho, mas não obsoleto"
Até o momento, o principal problema no padrão não foi resolvido e o Karma continua sendo uma ameaça real para os usuários. Por exemplo, para testar redes sem fio, o já mencionado WiFi Pineapple, que pode ser adquirido gratuitamente, agora é usado com frequência. Os criadores deste projeto estão apoiando-o ativamente e, com alguma periodicidade, lançam atualizações. Mais recentemente, uma nova versão do Pineapple foi lançada: Tetra - um roteador completo com tudo que você precisa, 4 antenas SMA e 2 GB de memória flash interna e Nano - uma versão simplificada que possui um formato de adaptador USB com 2 antenas SMA, 16 MB de ROM e um conector em Micro SD.
Para aqueles que gostariam de experimentar o Karma neste maravilhoso dispositivo, gostaria imediatamente de dizer que não faz sentido comprar versões iniciais do tipo Mark V à mão, porque o fabricante parou de apoiá-los e a probabilidade de você simplesmente fazer o download do software necessário através da loja interna do dispositivo ou atualizar o dispositivo (o firmware mais recente do Mark V foi lançado em agosto de 2015) tende a zero, mas é necessário iniciá-lo e acioná-lo ataque, nem mesmo falando.
Depois de vasculhar um pouco o github, você pode encontrar várias implementações de código-fonte aberto do Karma em diferentes níveis de execução:
Embora as duas últimas implementações já tenham sido fornecidas, elas não são suportadas, mas o WiFi-Pumpkin e o Wifiphisher ainda estão vivos e continuam a se desenvolver. Minha pesquisa de Karma não começou com eles, mas com Mana e FruityWiFi, que levou muito tempo para analisar. Eles não conseguiram fazê-los trabalhar e as tentativas foram abandonadas. No entanto, em um futuro próximo, planejo voltar a esse tópico novamente e experimentar o WiFi-Pumpkin e o Wifiphisher, esses projetos têm sua própria comunidade pequena e a probabilidade de sucesso neste caso é muito maior.
Além disso, este pequeno projeto que implementa um ataque usando o microcontrolador ESP8266 barato e popular pode ser chamado de cereja no bolo e uma implementação interessante do Karma. O projeto não é um Karma completamente independente, o usuário deve criar o Rogue AP (ponto de acesso falso), as funções de criação da lista preferida de redes não são fornecidas. No entanto, esses dois problemas não são tão difíceis de resolver - o ESP é bastante generoso em termos de recursos para isso e, se desejado, uma boa utilidade pode ser obtida.
Combate ao mau karma
E agora o que fazer com essas informações, como se proteger? Não há absolutamente nenhuma mágica aqui, as regras de proteção contra o Karma são simples:
- Desative o modo de pesquisa Wi-Fi em todos os seus dispositivos até que você precise.
- Não confie em pontos de acesso conhecidos, verifique sempre se esse ponto pode estar aqui (sim, MT_FREE, estou falando de você).
- Use a VPN em qualquer lugar que você puder e não puder.
(Tudo aqui funciona da mesma maneira que com um invasor que pode ouvir o tráfego em uma rede controlada - ao usar uma VPN, ele simplesmente não pode descriptografar nada). - Crie pontos de acesso criptografados e dê preferência a eles.
- Não efetue login novamente em redes familiares (provavelmente, este é um ponto de acesso falso para um invasor).
Apesar do fato de os SOs alvo terem sido atualizados centenas de vezes desde o advento do Karma e os sistemas se tornaram mais seguros, esse ataque está vivo e representa uma ameaça para os usuários. Não é necessário esperar que o padrão seja corrigido ou adicionado em um futuro próximo, para que possamos aderir a essas regras simples e manter os olhos abertos.