如今,无线Wi-Fi网络几乎无处不在:由于网络的易用性,较高的用户移动性和较低的安装成本,该技术越来越多地不仅成为家庭网络,而且成为企业网络的必不可少的组成部分。 同时,与任何数据传输技术一样,使用不安全的Wi-Fi会带来某些威胁。 攻击者使用不正确的访问点设置或用户疏忽,可以拦截用户的个人数据,对其设备进行攻击或侵入公司的内部网络。
作为研究的一部分,对我们公司USSC-Guest的来宾网络进行了安全性分析。 根据外部入侵者的模型进行了测试,也就是说,没有直接访问所选网络的模型,因此,可能的攻击者的主要目标是获取连接到它的密码。
应该注意的是,知道密码将使攻击者可以拦截和解密通过网络传输的数据,并提供创建具有相同名称和连接方法的假访问点的能力。
对无线广播的初步扫描显示,已禁用WPS技术的WPA2算法被用于加密所研究网络中的传输数据。 在撰写本文时,WPA2是用于保护无线网络的最安全的算法,并且不包含允许攻击者在合理的时间内显示密码的漏洞。 早在2017年就被称为“ KRACK”的攻击没有公开的实际实施方法。 攻击者仍然可以使用两种技术攻击方案:截取与客户端身份验证(握手,握手)相关的数据包,并进一步枚举字典中的密码;以及在真实访问点上创建带有并行拒绝服务攻击的伪造访问点。
字典暴力攻击
为了能够在空中截获与客户端身份验证关联的数据包,必须首先将网络适配器设置为“监视”状态,该状态是适配器接收在可见范围内以其频率通过的所有数据包。 之后,攻击者将获得有关可见访问点和活动客户端的详细信息:
图1.无线扫描结果您可以从进行测试的办公室中看到两个名为“ USSC-Guest”的访问点。 为了进行攻击,在可用范围内,最常用的MAC地址为00:3A:99:89:D2:01的接入点:
图2.所选接入点的用户的MAC地址在开始网络扫描之后的一段时间,为新客户端建立了连接,因此可以拦截必要的身份验证数据包。 这可以通过“ WPA握手:00:3A:99:89:D2:01”行证明:
图3.身份验证数据包的拦截结果接下来,尝试为最受欢迎的词典选择密码(“ rockyou”,“ top-wpa-passwords”和一组数字密码)。 由于字典搜索攻击,无法找到连接的密码。 同时,攻击者很可能会拒绝通过详尽搜索来确定密码,因为这种方法最多将花费他数年的时间。
创建伪造的接入点
此方案的实施包括两个阶段:
- 使用与受攻击的接入点相同的名称创建一个虚假的接入点,但无需输入密码即可进行连接,
- 对正在调查的访问点进行拒绝服务攻击。
对于用户来说,似乎已经连接过的USSC-Guest来宾网络从可用网络列表中消失了,并且出现了完全相同的网络,但是没有身份验证:
图4.正在调查的访问点遭到拒绝服务攻击的结果连接到错误的访问点时,仍然要求用户输入WPA2的密码。 例如,在这里,它寻找iOS用户:
图5.连接到错误的访问点后输入密码的提示由于错误的访问点完全由攻击者控制,因此通过无线网络发送的所有数据都可以被攻击者拦截和分析。 因此,例如,必须将输入到指示表格中的密码直接发送到可能的入侵者的服务器。 假定连接到错误访问点的用户会认为这是连接方法的更改,并输入必要的数据。
测试是在工作日的12到15个小时内进行的。 在此期间,将四个不同的设备连接到错误的访问点,但是未输入密码。 由于可能需要进行调查的来宾网络来解决操作问题并应正常运行,因此进一步的测试被终止。 反过来,遭受这种攻击的攻击者可能会完全瘫痪特定无线网络的运行,并在一段时间后获得所需的密码。
结论
根据扫描USSC-Guest来宾网络的一个访问点的结果,安全设置没有问题:使用具有强密码的可靠WPA2-CCMP算法来加密传输的数据,WPS技术被禁用。 尽管事实上,如果有必要,攻击者可以停止无线网络并创建虚假的接入点,以实施此攻击,但攻击者仍需要位于无线网络的范围内(例如,下面的下限),这将大大缩小搜索范围,并使攻击复杂化。
在本文的结尾,我们重点介绍了有关使用无线Wi-Fi网络的主要建议:
- 为了确保通过无线网络传输的数据的安全性,请使用WPA2-CCMP加密并使用强密码(密码只有一位数字不强),
- 如果可能的话,即使您的名字听起来很真实,也不要连接到开放的Wi-Fi网络:它们可以被攻击者窃听甚至完全控制。 如果不可能,请使用VPN,
- 封闭的Wi-Fi网络也可以由攻击者控制。 如果不确定安全连接,请使用VPN,
- 使用无线网络时,请始终注意浏览器使用的连接类型:HTTP或HTTPS。 安全是最后一种连接类型-HTTPS。
作者:UTSB LLC分析中心助理分析师Dmitry Morozov