Minulý týden jsme vám ukázali, jak lze pomocí jednoduchého programu během okamžiku vypočítat výchozí hesla k mnoha tuzemským Wi-Fi modemům od UPC a připojit se tak do bezdrátové sítě oběti.
Ačkoliv jsme tím mohli leckoho navést k potenciálnímu trestnému činu, šlo nám pouze o upozornění na problém, poněvadž i případná oběť má právo vědět, jak snadné může být prolomení do jejího systému. A především, pokud nebudeme o reálném problému dostatečně hlasitě a transparentně mluvit, netlačíme ani na zodpovědné osoby, které mohou nastolit změnu.
Měsíc útoků
Ze stejného důvodu jsme se rozhodli, že se budeme na sklonku března věnovat praktickým ukázkám nejrůznějších síťových útoků pomocí populární linuxové distribuce Kali. Nechceme tím nikoho navádět k páchání trestné činnosti, ale naopak chceme opět prakticky demonstrovat, jak jsou mnohé útoky ve své podstatě jednoduché a zejména mobilní telefony relativně nepřipravené.
Dnes se podíváme na v odborné komunitě poměrně známou techniku DoS (Denial of Service), pomocí které odpojíme chytrý telefon nebo PC od bezdrátové sítě. A to přesto, že k této síti nebudeme vůbec připojení a síť samotná bude chráněná bezpečným šifrováním WPA2.
V podstatě ze svého laptopu vyrobíme Wi-Fi jammer – rušičku, která využije existující síťové protokoly k tomu, aby vzduchem vyslala v nekonečné smyčce příkaz, jenž bude neustále odpojovat běžný mobilní telefon s Androidem od naší redakční sítě.
Ahoj, já jsem mobil. Ahoj, já jsem hotspot
Nejprve si však musíme vysvětlit, jak vlastně vzniká bezdrátové spojení mezi naším mobilem a Wi-Fi sítí.
Mobilní telefon nebo počítač s aktivní Wi-Fi neustále a veřejně vysílají informací o tom, jaké protokoly z rodiny 802.11 podporují. Každý hotspot v okolí, který tuto informaci zachytí a některý z těchto protokolů podporuje, odpoví svým vlastním popisem a protokoly, které podporuje zase on.
Jakmile telefon nebo počítač (říkejme jim pro příště stanice) tyto informace získá, zobrazí je v seznamu okolních bezdrátových sítí, které každý dobře zná. Této prvotní komunikaci se říká probe request a probe response a stanice takto v určitém časovém intervalu neustále sonduje okolí. Ostatně probe lze přeložit právě jako sonda.
Stanice postupně získala údaje o okolních sítích a operační systém může vše zobrazit v přehledném seznamu, který zná každý z vás
Jakmile se začne stanice připojovat k vybrané Wi-Fi (dále jen AP – access point), nastává fáze základní autentifikace, kdy se stanice a AP navzájem představí opět vysláním autentifikačního požadavku (authentification request) a odpovědi AP (authentification response).
Po autentifikaci nastává fáze asociace, tedy jakési registrace stanice na straně AP. Pokud se jedná o otevřenou a nijak dále šifrovanou síť, jakmile AP zaregistruje stanici a už přesně ví, jaké rychlosti Wi-Fi například podporuje, může konečně započít samotná datová komunikace a mobil se definitivně připojí k Wi-Fi.
Schéma základního navázání spojení mezi stanicí a AP
Pokud ale AP vyžaduje šifrovanou komunikaci – dnes především standardní WPA2, teprve v tomto kroku se otevírá zabezpečená linka. Suma sumárum, až do tohoto okamžiku probíhá veškerá výměna informací – takzvaných datových rámců (framů) nešifrovaně a každý v dosahu ji může odposlouchávat. Je to vcelku logické, protože šifrování nemůže začít do chvíle, dokud se obě strany nedomluví na tom, jakou bezpečnostní technologii vlastně podporují atd.
Odpoj se!
veškerá předchozí výměna základních informací probíhá na linkové vrstvě ISO/OSI modelu, kdy ještě stanice nemá přidělenou IP adresu, a tak se s AP navzájem identifikují pomocí MAC adres. Na této velmi nízké vrstvě, která je hned nad fyzickou vrstvou, jenž obstarává samotné radiové spojení, si ještě obě síťové zařízení neposílají pakety, ale zmíněné a velmi jednoduché datové rámce (framy).
Těm, které řídí výše popsanou autentifikaci a asociaci se říká řídící rámce (management frames) a v podstatě obsahují informaci o tom, kdo daný příkaz posílá a komu je určen.
A teď se už konečně dostáváme k podstatě věci. Jelikož tyto řídící rámce nejsou nijak šifrované a zpravidla ani nijak autorizované, může je do okolního vzduchu vysílat prakticky kdokoliv. Stačí, aby věděl MAC adresy síťových krabiček, kterých se to týká.
Ty zjistí jednoduše tak, že bude tuto primitivní komunikaci ve vzduchu nějaký čas odposlouchávat a získá tak jak seznam informací o okolních bezdrátových sítích, tak také stanicích, které s nimi komunikují.
Monitoring okolních sítí Wi-Fi a ve spodním seznamu pak stanice, které jsou již asociované s některým z AP
Pak už stačí, aby útočník poslal vzduchem řídící rámec, který bude obsahovat oznámení o ukončení vzájemné komunikace mezi stanicí X a přípojným bodem Y. Jakmile tento rámec dorazí k AP, ten žádost potvrdí a stanice se odpojí.
V seznamu v pozadí jsem si vybral konkrétní stanici, na kterou chci útočit podle její adresy MAC. V předním okně jsem pak v příkazu použil MAC adresu stanice a AP a spustil nekonečnou smyčku, která začala zasílat odpojovací řídící rámce. Telefon od LG okamžitě přišel o spojení s Wi-Fi.
Jelikož se však stanice odpojit nechce (vy jste se přeci na mobilu nebo PC od Wi-Fi neodpojili), okamžitě zopakuje autentifikační a asociační kolečko a zase se připojí. Pokud však bude útočník tyto odpojovací rámce vysílat v nekonečné smyčce stále dokola, stanice se nikdy nedokáže znovu připojit k Wi-Fi. DoS, Denial of Service, tedy bude úspěšný.
Útok na mobil s Androidem na videu
Odpojte se všichni!
Aby toho nebylo málo, deautentifikační rámce lze zasílat i způsobem, kdy se budou od daného AP odpojovat všechny stanice. Tato technika už sice nemusí být tak úspěšná, protože některé (zvláště podnikové) AP takový hromadný (broadcastový) rámec odmítnou, nicméně pokud projde, můžete od Wi-Fi odpojit jedním příkazem prakticky všechny.
No a to už se dostáváme ke skutečnému masivnímu Wi-Fi jammingu, o který se pokouší třeba drobný program wifijammer od Dana McInerneyho. Je napsaný v Pythonu, a když jej spustíte na laptopu s běžným Wi-Fi čipem a Linuxem, postupně si analyzuje nejbližší sítě Wi-Fi a připojené stanice a bude jim zasílat cílené deautentifikační rámce.
Masivní DoS útok na všechny stanice v dosahu signálu pomocí programu wifijammer
Pokud jich bude v okolí přespříliš, sice nebude stíhat, ale přinejmenším se mu podaří výrazně zhoršit kvalitu připojení, kdy se počítače, tablety a mobily z ničeho nic začnou připojovat a odpojovat od internetu
Nejen DoS, ale hlavně prolamování hesel
Popsaná technika se ale častěji používá úplně k něčemu jinému – k prolamování hesel. Málokdo má totiž prostředky k tomu, aby prováděl nějaký dlouhodobý DoS – zvláště pak třeba z ulice. Jednodušší verzi Linuxu Kali se všemi jeho klíčovými nástroji lze sice nainstalovat třeba i na miniaturní SoC Intel Edison, který si při zátěži a aktivní komunikaci Wi-Fi řekne asi o 0,7 W, takže by s baterií mohl na rušném náměstí kazit život okolním podnikům docela dlouho, ale vynucené odpojování od sítě se spíše používá k něčemu praktičtějšímu.
Mikropočítač Intel Edison připojený na rozšiřující desce. Na počítač velikosti SD karty lze nainstalovat Kali Linux.
Pokud totiž přinutíme stanici odpojit se a znovu se připojit k Wi-Fi, mobil nebo počítač musí znovu navázat spojení a otevřít šifrovanou linku WPA2. Pakliže si útočník vynutí nové připojení, mezi stanicí a AP proběhne velmi důležitá komunikace, v rámci které se oba domlouvají na šifrovaném spojení. Útočník tyto informace zachytí, a pak se z nich může pokusit hrubou sílou zpětně vypočítat heslo k síti. Pokud bude klíč dostatečně krátký, nemusí mít ani domácí superpočítač složený třeba z karet Nvidia Tesla, ale může zkusit štěstí pomocí webové služby CloudCracker.
IEEE 802.11w-2009
Technika, kterou jsme vám dnes popsali, má naštěstí své limity, standardizační skupina 802.11 totiž už před lety přispěchala s dodatkem k Wi-Fi jménem 802.11w. Tento standard by se měl postarat o to, aby stanice a AP prakticky ignorovaly deautentifikační rámce útočníka, protože nebudou patřičně podepsané.
Současná praxe je však taková, že 802.11w zdaleka není samozřejmostí – solidní podpora je zejména na síťových zařízeních od Cisca. Microsoft začal technologii zavádět ve Windows 8, nicméně mobilní telefony s Androidem i Windows 10 se během testování odpojovaly od běžných Wi-Fi routerů bez sebemenšího zaváhání.
DoS a zachytávání komunikace během WPA2 autentizace pomocí této techniky tak zůstávají i vzhledem k rozšířenosti starších Windows 7 tématem mnoha bezpečnostních diskuzí i zábavou nadšených script kiddies, kteří chtějí znepříjemňovat život svému okolí.
