Translate

Технология wi-fi даёт возможность подключаться к сети без проводов, но при этом имеет уязвимости, часто эксплуатируемые хакерами. Пользователю трудно понять, какие привычки подвергают его риску, если он не знаком с приёмами хакеров для атак на устройства беспроводной сети.

Wi-fi часто взламывают, используя небольшие промахи, допускаемые пользователем при подключении устройств к сети или при настройке роутера. Существует ряд простых мер предосторожности, которые позволят избежать самых грубых ошибок, уменьшить поверхность атаки и не стать жертвой наиболее распространённых видов атак.


Риски беспроводной сети

Думая о хакерах в контексте Wi-fi, люди обычно представляют себе взлом их локальной беспроводной сети. Такое случается, но с помощью wi-fi также можно следить за пользователями, точнее за их устройствами; проводить фишинговые атаки для компрометации паролей, а также выяснить, где человек живёт и куда ездит.

Нацелившись на беспроводную сеть, взломщики могут атаковать как саму сеть, так и устройства, подключенные к ней. Это позволяет выявить слабые места, полагаясь на то, что цель совершит критическую ошибку, либо эксплуатировать любую удобную для этого уязвимость.

При использовании Wi-fi поверхность атаки следует за вами. Передвижения мобильных беспроводных устройств легко отслеживать; также они передают в открытом виде идентификаторы, которые могут нести информацию о личности пользователя. Для тех, кто не хочет, чтобы их устройство транслировало информацию о том, где они работают или где недавно были, это может быть проблемой как конфиденциальности, так и безопасности.

Чтобы снизить подобные риски, можно исключить действия, которые приводят к утечке конфиденциальной информации и/или делают устройства более уязвимыми. Предприняв следующие шаги, можно уменьшить поверхность атаки на беспроводную сеть дома или в дороге.

1. Удалите ненужные сети из списка автоматического подключения.

Список предпочитаемых сетей (The Preferred Network List, PNL) - это идентификаторы сетей, к которым ваше устройство подключается автоматически, считая, что им можно доверять. В этот список попадают сети, к которым вы когда-либо подключались, но ваша система не различает разные точки доступа с одинаковыми идентификаторами и типом шифрования. Это значит, что соединившись с сетью Старбакс один раз, ваше устройство запоминает это подключение и пытается автоматически подключиться к любой открытой сети с таким именем.

Создание фальшивых точек доступа с именами, имитирующими идентификаторы обычных открытых беспроводных сетей - самый простой способ для хакеров отслеживать ближайшие устройства и проводить атаки "человек посередине". Если вы оставите свой смартфон с включенным wi-fi в общественном месте, то он без предупреждения автоматически подключится к открытой сети с идентификатором, который есть в списке предпочтений. Если не принять никаких мер предосторожности, хакер сможет загружать фишинговые страницы; отслеживать, какие сайты вы посещаете; узнает, какими приложениями вы пользуетесь.

В Windows удалять сети из списка предпочтений можно с помощью панели управления сетевыми соединениями: надо нажать forget(это забыть, но я не знаю, как это переведено в русскоязычной винде, у меня её нет) на всех именах сетей, к которым вы не хотите подключаться автоматически. Нужно удалить как минимум все открытые беспроводные сети из этого списка. Риск того, что ваше устройство подключится к фальшивой точке доступа, гораздо выше, чем риск столкнуться с вредоносной сетью с таким же идентификатором и паролем, как у тех, что хранятся в вашем списке предпочтений.

https://info.varonis.com/hubfs/Imported_Blog_Media/image4.png?hsLang=en

В примере по ссылке я с помощью микроконтроллера esp8266 за 3 доллара создал около тысячи фальшивых сетей. Вокруг было много смартфонов, пытавшихся подключиться к сетям из своих списков предпочтений, раскрывая, каким сетям они доверяли. Если хакер узнает имя сети, которая фигурирует в списке предпочтений большого количества устройств, он может перехватить их подключение с помощью единственной фальшивой точки доступа. Если в списке вашего устройства есть похожие имена, немедленно удалите их.


2. Пользуйтесь vpn для шифрования трафика

Одним из ключевых недостатков протокола WPA-2, который был исправлен в версии WPA-3, является отсутствие концепции совершенной прямой секретности. Это означает, что в стандарте WPA-3 записанный трафик не может быть расшифрован, даже если злоумышленник получит ключ. В случает стандарта WPA-2 это не так: трафик в локальной сети может прослушиваться как другими пользователями, так и злоумышленником, который может записать его и расшифровать после того, как узнает пароль.

Протокол HTTPS сделал интернет намного более безопасным и конфиденциальным для пользователей ненадёжных сетей wi-fi, а VPN принял эстафету и отрезал доступ к трафику неавторизованным пользователям. Он шифрует сообщения протокола DNS и другую информацию, которая может открыть дверь для фишинговых атак, не давая злоумышленнику просто так увидеть, чем цель занимается в сети, или перенаправить её на вредоносный сайт.

Большинство популярных vpn-сервисов предлагают достаточный уровень защиты, чтобы не стать лёгкой добычей злоумышленника. PIA, Mullvad, NordVPN делают ваш локальный трафик нечитаемым для хакера и обеспечивают совершенную прямую секретность, что не даст возможность расшифровать ваш трафик, даже если атакующий узнает пароль от вашей сети.

https://info.varonis.com/hubfs/Imported_Blog_Media/image1-1.png?hsLang=en


В примере по ссылке я отключил PIA и мониторил своё беспроводное соединение с другого компьютера с помощью Wireshark. Как только я отключил vpn, сразу же стало видно, что на телефоне был запущен мессенджер Signal, что устройство находилось в сети AT&T и в данный момент воспроизводило видео с Youtube - это следовало из запросов DNS. Я даже мог идентифицировать vpn, который регистрировался на своём сервере обновлений. Всю эту информацию я узнал за несколько секунд прослушивания трафика без vpn. Если хотите узнать больше о том, как прослушивать трафик с помощью Wireshark, можете перейти по этой ссылке: https://www.varonis.com/blog/how-to-use-wireshark/ .


3. Запретите автоподключение к сети, прежде чем соединяться с ней

Очистив список доверенных сетей, вы получите неудобства: каждый раз при попытке соединения точка доступа будет запрашивать пароль, который придётся вводить вручную. Если вы часто подключаетесь к сети, это будет раздражать. Кроме того, список PNL придётся очищать после каждого соединения с сетью.

Для беспроводных сетей, к которым вы часто подключаетесь, есть способ сохранить пароль и при этом не создать риск автоматического подключения к вредоносным сетям с аналогичным идентификатором. Для этого при первом соединении с сетью надо снять флаг "разрешить автоподключение" или выставить флаг "запретить автоподключение" в интерфейсе сетевой службы (вкладка WI-FI). Тогда ваше устройство не будет пытаться соединиться с сетями с аналогичным названием и типом шифрования. При этом вам придётся каждый раз нажимать на название сети в списке, чтобы к ней подключиться, но не надо будет вводить пароль. Нажимая лишний раз на кнопку, вы избежите трансляции списка, к которым ваше устройство ранее подключалось, всем вокруг.

4. Никогда не делайте свою сеть скрытой

Нормальная точка доступа рассылает "маяки" в которых указывает всю информацию, необходимую клиентам для подключения к ней, включая её SSID и тип шифрования. Скрытые точки не рассылают широковещательных пакетов для их обнаружения и вообще никак о себе не заявляют. Чтобы к ним подключиться, клиентское устройство должно быть в зоне покрытия и заранее знать об их существовании. То есть скрытые сети не будут фигурировать в списке ближайших точек доступа, что теоретически затрудняет злоумышленнику задачу их обнаружения.

Некоторые пользователи думают, что безопасность через неясность является хорошим способом скрыть их сеть от хакеров, но ирония заключается в том, что, скрывая сеть, вы облегчаете отслеживание ваших умных устройств. Устройство, настроенное на подключение к скрытой сети, должно предполагать, что эта сеть может появиться поблизости в любой момент, так как сама точка доступа маяки не рассылает. На практике это означает, что ваше устройство будет постоянно вызывать эту сеть по названию, что позволит без труда его отслеживать, даже если вы используете рандомный MAC-адрес или другие предосторожности в целях анонимности. Это не только упрощает обман вашего устройства для подключения его к фальшивой точке доступа, но и позволяет всем желающим отслеживать, где вы находитесь, по радиосигналам probe request, которые будет постоянно рассылать ваше умное устройство.


Список доверенных сетей на смартфоне: https://info.varonis.com/hubfs/Imported_Blog_Media/image7.png?hsLang=en


По ссылке вы увидите изображение того, что вышло, когда я добавил скрытую сеть в список предпочтений смартфона. С помощью wireshark можно легко отследить устройство, вызывающее скрытую сеть, причём не только идентифицировать сам смартфон, но и узнать идентификатор скрытой сети. Мы хотели скрыть нашу сеть, а вместо этого заставили клиентское устройство постоянно рассылать её название на всеобщее обозрение. Иногда, если SSID достаточно уникален, названия таких "скрытых сетей" можно даже найти на Wigle.net, что означает, что тот, кто прослушивает ваш беспроводной трафик, может даже узнать ваш рабочий или домашний адрес.


5. Отключите на роутере поддержку wps

Сети с активированным WPS злоумышленники рассматривают как поднятый вверх большой палец. Хакер может одной командой просканировать пространство на наличие таких сетей, и они окажутся отличными целями для атак типа WPS-Pixie. Если сеть поддерживает какую-либо версию WPS, значит стоит проверить её инструментом вроде Airgeddon на предмет того, можно ли одержать лёгкую победу. Многие версии WPS уязвимы как к подбору пин-кода, так и атакам, эксплуатирующим уязвимость pixie dust. Последние позволяют злоумышленнику получить доступ к сети, в которой есть эта уязвимость, за 15 секунд.

Атаки на пин-код настройки WPS страшны тем, что если они удаются, то их влияние выходит за рамки изменения пароля. Если злоумышленник может получить пин-код настройки маршутизатора, воспользовавшись reaver или wps-pixie, то он получит ваш пароль вне зависимости от того, насколько он длинный, уникальный и безопасный. Причина этого в том, что пин-коды WPS создавались в первую очередь для восстановления забытых паролей, поэтому используя их, хакер получает такой же доступ к устройству, как и его владелец.

Чтобы избавиться от хакера, знающего пин-код WPS, недостаточно просто сменить пароль: надо запретить пин-коды маршрутизатора, а если хотите пользоваться пин-кодами, то, вероятно, придётся купить другой роутер. Многие маршрутизаторы не дают менять свой пин-код настройки, поэтому если хотите сохранить свой длинный и безопасный пароль в тайне, то обязательно отключите эту опцию в настройках роутера. Процедура может различаться на конкретных маршрутизаторах, но обычно надо войти в панель настроек роутера и снять флаг с названием типа "WPS PIN" или "WPS SETUP". На некоторых старых маршрутизаторах снятие флага не отключает опцию на самом деле, поэтому если хотите проверить, можно использовать команду "-wash" в Kali linux, чтобы увидеть ближайшие сети, использующие WPS. Если ваше устройство до сих пор использует WPS, лучше его заменить.

6. Ни в коем случае не используйте пароли от wi-fi повторно

Один из самых больших недостатков WPA-2 - текущего стандарта wi-fi, заключается в том, что слабый пароль легко взломать. Если ваш пароль находится в списке среди примерно миллиона других неудачных паролей, то, скорее всего, хакер сможет взломать его за считанные минуты, потому что ему потребуется лишь перехватить рукопожатие при соединении клиента с точкой доступа, скормить его утилите вроде Hashcat и спокойно сидеть, пока она не переберёт все взломанные пароли из огромного файла.

В этом контексте важно считать пароль "сильным" на основании двух критериев: 1. Его должно быть трудно угадать; 2. Он должен быть уникальным. Это значит, что использование такого же или очень похожего пароля в других профилях может привести к тому, что этот пароль попадёт в список взломанных, которым хакеры пользуются при атаке методом перебора.

Как же сложные, длинные пароли, используемые в нескольких местах, попадают в общий доступ? Пароли от учётных записей в компаниях утекают постоянно, и одна из самых распространённых тактик - использовать эти пароли в других местах после их утечки. Взломщики беспроводных сетей знают, что пользователи любят копировать свои любимые "сильные" пароли из одной учётной записи в другую, что упрощает подбор пароля, который может и длинный, но не уникальный.

Чтобы узнать, какие из ваших любимых паролей, возможно, уже в открытом доступе, проверьте свой аккаунт на сайте haveibeenpwned.com и посмотрите, из каких компаний пароли к вашим аккаунтам могли утечь. Никогда не используйте для своей сети wi-fi пароль, который уже используется где-то в интернете, а тем более пароль, который уже был раскрыт другим сервисом.

7. Создайте изолированные подсети для клиентов

Ошибка малых предприятий, предоставляющих посетителям wi-fi, которая может дорого стоить, заключается в том, что они не ограничивают гостей отдельной подсетью. Правильно спроектированная изолированная подсеть - это когда любой её клиент имеют связь только с маршрутизатором и не могжет свободно сканировать другие устройства или пытаться подключиться к открытым портам. В такой подсети сканирование утилитами Nmap или ARP-scan не показывает ничего либо показывает единственное устройство в сети - маршрутизатор. Более того, на маршрутизаторе не должно быть доступных портов с размещёнными на них интерфейсами администрирования или конфигурации гостевой сети, так как на таких страницах хакер найдёт информацию, которую сможет использовать для эксплуатации маршрутизатора.

https://info.varonis.com/hubfs/Imported_Blog_Media/image3-1.png?hsLang=en

На изображении по ссылке мы видим, что происходит в wi-fi сети малого предприятия, которое предоставляет клиентам услуги wi-fi, но не изолирует гостей в отдельные подсети. Без изоляции клиентов любой пользователь сети может видеть остальные подключенные к ней устройства и взаимодействовать с ними. В том числе он видит камеры слежения, видеорегистраторы, сам роутер, сетевые хранилища NAS или файловые серверы - все они будут напрямую доступны хакеру, как только он подключится к сети, что значительно упростит ему поиск слабого звена.

https://info.varonis.com/hubfs/Imported_Blog_Media/image5-e1568708858612.jpg?hsLang=en


На картинке по ссылке компания раскрыла сервер NAS своих камер слежения всем клиентам wi-fi сети с правами доступа по умолчанию, что позволяет хакерам видеть, что показывают камеры, или даже просматривать старые записи, хранящиеся на сервере. Часто компании настраивают беспроводную сеть и подключают к ней множество устройств, забывая сменить на них пароли по умолчанию, начиная с роутера и заканчивая принтерами. Если компания не меняет пароль на роутере и не создаёт виртуальную подсеть для каждого клиента, то вмешательство хакера в панель администрирования маршрутизатора - лишь вопрос времени. Когда гости сканируют сеть, они должны видеть только два устройства: шлюз и своё собственное.

Если оставить на маршрутизаторе пароль по умолчанию вроде "admin" или "password", хакер сможет загрузить на него вредоносное обновление прошивки, чтобы шпионить за пользователями или расплачиваться крадеными банковскими картами через этот маршрутизатор, используя его как свой личный vpn. Первый шаг к предотвращению подобных ситуаций - это в первую очередь ограничение ненужного доступа к устройствам сети.

Беспроводная сеть будет безопасней, если принять основные меры предосторожности


В общем, лучше хранить поменьше доверенных сетей в списке своего устройства и запретить автоподключение. Если вы занимаете должность, подразумевающую доступ к конфиденциальной информации, и у вас на работе есть беспроводные сети с уникальными именами, то вы можете сливать их заинтересованным лицам, сами того не подозревая. Если сомневаетесь, лучше просто отключать wi-fi, когда вы им не пользуетесь - это предотвратит большинство атак.

Выполнив вышеуказанные меры, вы снизите риск автоматического подключения своего устройства к вредоносной сети, отслеживания его местоположения или утечки персональных данных. Эти шаги не являются исчерпывающим руководством по безопасности беспроводных сетей, но они оградят вас от ряда самых простых хакерских атак.