Глава 6. Атака на клиента

Безопасность зависит от самого слабого звена.

— Пословица из области информационной безопасности

Большинство пентестеров, похоже, сосредотачивают всё своё внимание на WLAN-инфраструктуре и не обращают внимания на беспроводные клиенты. Однако стоит помнить, что злоумышленники могут получить доступ к авторизованной сети через взлом беспроводного клиента.

В этой главе мы переключим наше внимание с WLAN-инфраструктуры на беспроводных клиентов. Клиент может быть подключённым или же работать в автономном режиме. Мы рассмотрим несколько видов атак, направленных на клиентов.

6.1 «Медовая ловушка» и атаки, связанные с ошибками

Обычно, когда клиент, например ноутбук, включается, он сканирует ранее подключённые сети. Эти сети хранятся в списке, который называется «предпочтительный список сетей» (PNL) в системах на базе Windows. В то же время, помимо этого списка, беспроводной клиент отображает любые доступные сети в диапазоне.

Злоумышленник может предпринять одно или несколько следующих действий:

• Скрытно отслеживать пакеты и создавать поддельную точку доступа с тем же ESSID, что и у искомой точки доступа. Это приведёт к тому, что клиент подключится к машине злоумышленника и будет считать её нормальной сетью.
• Создать и разместить рядом поддельную точку доступа с таким же ESSID, как у реальной точки доступа, и убедить пользователя подключиться к ней. Этот вид атаки легко осуществить в кафе и аэропортах, где пользователи могут искать Wi-Fi-соединение.
• Использовать информацию о действиях и привычках жертвы, которую мы покажем в последующих главах.

Эти атаки называются «медовыми ловушками», потому что точка доступа злоумышленника ошибочно связана с реальной точкой доступа.

В следующем упражнении мы выполним эти два вида атак.

Практическое занятие — проведение атак, связанных с ошибками

Следуйте этим инструкциям для начала:

1. В предыдущем эксперименте мы использовали подключённый к Wireless Lab клиент. Давайте переключимся на другого клиента, но не будем подключаться к реальной точке доступа Wireless Lab. Давайте запустим airodump-ng mon0 и проверим вывод. Вскоре вы обнаружите, что клиент находится в режиме «не связан» и сканирует Wireless Lab и другие SSID в списке.

   

2. Чтобы понять, что произошло, давайте запустим Wireshark и начнём прослушивать mon0. Как и ожидалось, вы можете увидеть кучу пакетов, не имеющих отношения к нам. Используя фильтр Wireshark, отобразите только пакеты обнаружения запросов от MAC-адреса клиента, который мы идентифицировали.

   

3. Здесь фильтром является wlan.fc.type_subtype == 0x04 && wlan.sa == . Вы должны увидеть только пакеты обнаружения запроса от клиента, подключённого к ранее идентифицированному SSID.

4. Теперь давайте на хосте злоумышленника запустим поддельную точку доступа Wireless Lab, используя следующую команду:

   airbase-ng –c 3 –e  "Wireless Lab" mon0

5. Подождите несколько секунд, клиент автоматически подключится к нам. Это показывает, насколько легко подключить неподключённого клиента.

   

6. Теперь мы попытаемся конкурировать с другой точкой доступа, мы создадим поддельную точку доступа Wireless Lab одновременно с существующей точкой доступа. Пусть клиент подключится к точке доступа, мы можем подтвердить это с помощью airodump-ng следующим образом:

   

7. Теперь позвольте клиенту подключиться к точке доступа, мы можем убедиться в этом с помощью airodump-ng следующим образом:

   

8. Обратите внимание, что клиент по-прежнему будет подключаться к Wireless Lab, то есть к реальной точке доступа.

   

9. Теперь мы отправим широковещательное сообщение о деаутентификации клиенту, представляя реальную точку доступа, чтобы разорвать соединение.

   

10. Предположим, что для клиента наша поддельная точка доступа Wireless Lab имеет более сильный сигнал, чем реальная точка доступа. Он подключится к нашей поддельной точке доступа вместо реальной.

    

11. Мы можем видеть, что клиент повторно связался с нашей поддельной точкой доступа, посмотрев вывод airodump-ng.

    

Что только что произошло?

Мы только что использовали клиентский пакет обнаружения для создания «медовой ловушки» и использовали поддельную точку доступа рядом с реальной. В первом примере клиент автоматически подключается к нам. Во втором примере, поскольку мы находимся ближе к клиенту, наш сигнал сильнее, поэтому клиент подключается к нам.

Попробуйте сами — принудительное подключение клиента к «медовой ловушке»

В предыдущем упражнении, если клиент не подключился к нам автоматически, что мы могли бы сделать? Нам нужно отправить сообщение о деаутентификации, чтобы разорвать связь клиента с реальной точкой доступа, а затем, если наш сигнал сильнее, клиент подключится к нашей поддельной точке доступа. Попробуйте подключить клиента к реальной точке доступа, а затем заставить его подключиться к «медовой ловушке».

6.2 Атака Caffe Latte

Во время «медовых ловушек» мы заметили, что клиенты будут продолжать сканировать SSID, к которым они ранее подключались. Если клиент уже использовал WEP для подключения к точке доступа, например, операционная система Windows будет кэшировать и сохранять ключ WEP. При следующем подключении клиента к той же точке доступа Windows Wireless Configuration Manager автоматически использует сохранённый ключ.

Атака Caffe Latte была изобретена Вивеком, одним из авторов этой книги, и продемонстрирована на Toorcon 9 в Сан-Диего, США. Caffe Latte — это атака WEP, которая позволяет злоумышленнику использовать только клиента для получения ключа WEP авторизованной сети. Эту атаку можно провести с отдельного клиента без необходимости находиться близко к авторизованному WEP. Она может взломать ключ WEP с отдельного клиента.

В следующем упражнении мы воспользуемся атакой Caffe Latte для получения ключа WEP сети.

Практическое занятие — осуществление атаки Caffe Latte

Следуйте этим указаниям для начала:

1. Сначала мы настроим нормальную точку доступа Wireless Lab с использованием WEP и ключа ABCDEFABCDEFABCDEF12.

   

2. Подключите клиента и используйте airodump-ng, чтобы проверить успешность подключения, следующим образом:

   

3. Отключите точку доступа, убедившись, что клиент не подключен, и выполните поиск сети WEP Wireless Lab.

4. Теперь мы используем airbase-ng для настройки точки доступа с именем Wireless Lab в качестве SSID со следующими параметрами:

   

5. Как только клиент подключится к точке доступа, airbase-ng начнёт атаку Caffe Latte следующим образом:

   

6. Сейчас мы запустим airodump-ng для сбора данных пакетов от этой точки доступа, аналогично тому, что мы делали в сценарии WEP-взлома.

   

7. Одновременно мы запускаем aircrack-ng, как и раньше в сценарии WEP-взлома, чтобы начать взлом. Эта команда — aircrack-ng filename, где filename — это имя файла, созданного airodump-ng.

Что только что произошло?

Нам успешно удалось получить ключ WEP от беспроводного клиента, без необходимости в реальной точке доступа или близости к ней. Вот в чём сила атаки Caffe Latte.

По сути, точке доступа WEP не нужно проверять, знает ли клиент ключ WEP, чтобы получить зашифрованный трафик. Когда клиент впервые подключается к новой сети, первая часть трафика всегда отправляется на маршрутизатор, который представляет собой ARP-запрос для запроса IP.

Принцип этой атаки заключается в использовании созданной нами поддельной точки доступа для инвертирования и воспроизведения ARP-пакетов, отправленных беспроводным клиентом. Эти инвертированные ARP-запросы приводят к тому, что беспроводной клиент отправляет больше ARP-ответов.

Инвертирование битов принимает зашифрованное значение и создаёт другое зашифрованное значение. Здесь мы можем принимать зашифрованные ARP-запросы и создавать высокоточные ARP-ответы. Как только мы отправляем действительный ARP-ответ, мы можем многократно воспроизводить это значение для генерации трафика, необходимого для восстановления ключа WEP.

Обратите внимание, что все эти пакеты зашифрованы с использованием ключа WEP, хранящегося на клиенте. После того как мы получим большое количество таких пакетов, aircrack-NG сможет легко восстановить ключ WEP.

Попробуйте сами — практика делает мастера

Попробуйте изменить ключ WEP и повторить атаку. Это сложная атака, требующая практики для успешного выполнения. Использование Wireshark для проверки трафика беспроводной сети — хорошая идея.