Nebezpečenstvo používania sietí Wi-Fi iných ľudí. Bezdrôtové siete: klasifikácia, organizácia, princíp fungovania Získanie kompletných informácií o wifi sieti
Bezdrôtová sieť Wi-Fi Štátnej technickej univerzity Tambov je organizovaná v režime infraštruktúry. To znamená, že počítače sú pripojené k bezdrôtovému prístupovému bodu, ktoré sú zase pripojené k univerzitnej káblovej sieti.
Názov univerzitnej bezdrôtovej siete (SSID) je TSTU.
Na zaistenie bezpečnosti univerzitnej bezdrôtovej siete sú prístupové body nakonfigurované tak, aby používali:
- Overovací štandard 802.11i (WPA2 - Wi-Fi Protected Access 2) v podnikovom režime; šifrovací algoritmus AES (Advanced Encryption Standard); protokol PEAP-MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol verzia 2).
POZOR!
Pod jedným prihlásením môžu fungovať iba dve zariadenia! Ostatné zariadenia fungujúce pod rovnakým prihlasovacím menom sú BLOKOVANÉ!
Ak chcete zistiť, či konkrétny model adaptéra podporuje WPA2, pozrite si webovú stránku výrobcu. Toto odporúčanie je obzvlášť dôležité pre zariadenia vyrobené pred rokom 2006.
Ak váš počítač nemá nainštalovaný sieťový adaptér alebo adaptér nepodporuje štandard WPA2, nebudete sa môcť pripojiť k univerzitnej bezdrôtovej sieti.
Výrobca môže poskytnúť softvér na ovládanie adaptéra. Niektoré operačné systémy však majú vstavané rozhranie na správu sieťového adaptéra.
- Windows 7 Professional;
- Windows XP Professional Service Pack 3.
Windows 7 Professional
Skontrolujte, či má váš počítač sieťový adaptér
Ak chcete skontrolovať, či má váš počítač adaptér bezdrôtovej siete, otvorte súčasť Sieťové pripojenia ovládacieho panela:
Štart -> Ovládací panel -> Sieť a internet -> Zobraziť stav siete a úlohy -> Zmeniť nastavenia adaptéra
Bezdrôtový sieťový adaptér je označený ako „wlan“.
Otvorenie okna Sieťové pripojenia na tomto počítači.
Ak chcete pridať bezdrôtovú sieť do zoznamu dostupných sietí, otvorte komponent ovládacieho panela „Spravovať bezdrôtové siete“:
Štart -> Ovládací panel -> Sieť a internet -> Zobraziť stav siete a úlohy -> Spravovať bezdrôtové siete
V okne, ktoré sa otvorí, kliknite na tlačidlo "Pridať":
Potom vyberte „Vytvoriť sieťový profil manuálne“:
Vyplňte informácie o vašej bezdrôtovej sieti, ako je znázornené na obrázku nižšie:
Otvorí sa okno oznamujúce, že bezdrôtová sieť bola úspešne pridaná.
Konfigurácia nastavení pripojenia
Ak chcete nakonfigurovať nastavenia pripojenia, kliknite na položku „Zmeniť nastavenia pripojenia“ v okne zobrazenom vyššie pri pridávaní bezdrôtovej siete alebo otvorte okno „Vlastnosti bezdrôtovej siete“ výberom linky "Vlastnosti" v kontextovej ponuke bezdrôtovej siete:
Na kartách „Pripojenie“ a „Zabezpečenie“ v okne „Vlastnosti bezdrôtovej siete“ nastavte nastavenia pripojenia, ako je znázornené na obrázkoch nižšie:
|
|
Ak počítač používa jeden používateľ, začiarknite políčko „Zapamätať si moje poverenia pre toto pripojenie pri každom prihlásení“. Ak počítač používa viacero používateľov, je lepšie nastavenie vypnúť.
Nakonfigurujte vlastnosti chráneného EAP vyvolaním príslušného okna kliknutím na tlačidlo "Možnosti" na karte „Zabezpečenie“ v okne „Vlastnosti bezdrôtovej siete“:
Výber parametrov potvrďte tlačidlom „OK“.
Sieť sa pridá do zoznamu sietí a bude k dispozícii na pripojenie, keď bude počítač v dosahu siete.
Pripojte sa k bezdrôtovej sieti
V okne sa zobrazí zoznam sietí, v ktorých dosah počítač spadá:
V zozname dostupných bezdrôtových sietí môžete vidieť symbol, ktorý zobrazuje silu signálu pre každú sieť. Čím viac pruhov, tým silnejší je signál. Silný signál (päť čiarok) znamená, že v blízkosti je bezdrôtová sieť alebo že nedochádza k rušeniu. Ak chcete zlepšiť úroveň signálu, môžete presunúť počítač bližšie k prístupovému bodu.
Ak sa chcete pripojiť k bezdrôtovej sieti, kliknite na tlačidlo „Pripojiť“:
Počas procesu pripojenia sa zobrazia nasledujúce správy:
Pre vstup do univerzitnej siete je potrebné v zobrazenom okne vyplniť informácie o používateľskom účte, t.j. zadajte svoje prihlasovacie meno a heslo.
Napríklad nižšie je dokončené okno pre používateľa s účtom U0398:
Po úspešnom pripojení sa v zozname bezdrôtových sietí zobrazí „Pripojené“ a v oblasti oznámení sa zobrazí ikona.
Ak pripojenie zlyhá, znova skontrolujte nakonfigurované nastavenia pripojenia. Ak to chcete urobiť, otvorte okno „Vlastnosti bezdrôtovej siete“ výberom riadku „Vlastnosti“ v kontextovej ponuke bezdrôtovej siete:
Ak sa chcete odpojiť od siete, kliknite na tlačidlo „Odpojiť“:
Ďalšie informácie nájdete v Centre pomoci a technickej podpory systému Windows 7 Professional.
Windows XP Professional Service Pack 3
Ak sa chcete pripojiť k univerzitnej bezdrôtovej sieti, musíte vykonať nasledujúce kroky:
- Skontrolujte, či má váš počítač bezdrôtový sieťový adaptér.
- Pridajte bezdrôtovú sieť do zoznamu dostupných sietí.
- Nakonfigurujte nastavenia pripojenia.
- Pripojte sa k bezdrôtovej sieti.
Kontrola, či má váš počítač bezdrôtový sieťový adaptér
Ak chcete počítač pripojiť k bezdrôtovej sieti, v počítači musí byť nainštalovaný adaptér bezdrôtovej siete.
Ak chcete skontrolovať, či má váš počítač bezdrôtový sieťový adaptér, musíte otvoriť „Sieťové pripojenia“: kliknite na tlačidlo Štart, vyberte nastavenie, potom Ovládací panel, nájdite sekciu "Sieťové pripojenia":
Štart -> Nastavenia -> Ovládací panel -> Sieťové pripojenia
Tu budú uvedené adaptéry nainštalované v počítači. Bezdrôtový sieťový adaptér je označený ako „Wireless Network Connection“.
Ak je zariadenie vypnuté, musíte ho zapnúť. Ak to chcete urobiť, kliknite pravým tlačidlom myši na kontextovú ponuku a vyberte možnosť „Povoliť“ alebo kliknite na úlohu „Povoliť sieťové zariadenie“.
Ak chcete zapnúť toto zariadenie, musíte byť správcom na tomto počítači.
Keď je sieťový adaptér zapnutý, ikona je viditeľná v oblasti oznámení.
Pridanie bezdrôtovej siete do zoznamu dostupných sietí
Ak chcete pridať bezdrôtovú sieť do zoznamu dostupných sietí, musíte otvoriť „Sieťové pripojenia“: kliknite na tlačidlo Štart, vyberte nastavenie, potom Ovládací panel, nájdite sekciu "Sieťové pripojenia":
Kliknutím pravým tlačidlom myši otvorte kontextovú ponuku pripojenia k bezdrôtovej sieti a vyberte linku "Vlastnosti" alebo kliknite na úlohu "Zmena nastavení pripojenia".
Odhalenie zraniteľných zariadení a služieb v cieľovej sieti bez toho, aby za sebou zanechali akúkoľvek stopu, môže byť ťažké, pretože hackeri najprv napadnú smerovač a až potom budú ďalej skúmať. Existuje však spôsob, ako tajne dešifrovať a zobraziť aktivitu niekoho na Wi-Fi bez pripojenia k jeho bezdrôtovej sieti.
Ak sa najprv pozriete na to, čo robia hackeri so smerovačmi, zvyčajne ide o rôzne útoky hrubou silou pre WPA handshake alebo phishing hesiel Wi-Fi. Keď dostanú poverenia, okamžite začnú skúmať napadnutú sieť pomocou rôznych nástrojov a techník.
Skenery portov vytvárajú v bezdrôtových sieťach veľa šumu. Útoky typu Man-in-the-Middle môžu byť príliš agresívne a upozorňujú používateľov a správcov na prítomnosť hackera v sieti. Smerovače uchovávajú záznamy informácií o každom zariadení, ktoré sa pripája k sieti. Každá akcia, ktorú vykonáte počas pripojenia k sieti, môže nejakým spôsobom viesť k tomu, že vás na napadnutom smerovači objavia.
Preto je najlepšie sa k Wi-Fi routeru vôbec nepripájať. V tomto článku sa bližšie pozrieme na to, ako hackeri zachytávajú pakety (pri ich prenose do alebo zo smerovača) a dešifrujú prenos WPA2 v reálnom čase. Tieto informácie sú dôležité pre tých z vás, ktorí sa chcú stať profesionálmi v oblasti IT bezpečnosti.
Ako tento útok funguje?
Údaje sú odosielané do a zo smerovača prostredníctvom prenosných počítačov a smartfónov prostredníctvom šifrovaných rádiových vĺn. Tieto rádiové vlny prenášajú dáta vzduchom. Prenášané údaje nie sú viditeľné pre ľudské oko, ale možno ich zbierať pomocou nástrojov, ako je Airodump-ng. Zozbierané údaje je možné následne analyzovať pomocou Wireshark.
Wireshark je najpokročilejší a najpoužívanejší sieťový analyzátor na svete. To dáva používateľom možnosť vidieť, čo sa deje v sieťach na mikroskopickej úrovni. To je dôvod, prečo je Wireshark nástrojom na kontrolu siete, ktorý používajú komerčné a neziskové organizácie, vládne agentúry a vzdelávacie inštitúcie.
Jedna zo skvelých funkcií Wireshark umožňuje hackerom dešifrovať a zobraziť aktivitu smerovača prenášanú vzduchom v obyčajnom texte, a to je presne to, čomu sa budeme venovať v tomto článku.
Krok 1: Nájdite svoju cieľovú sieť
Airodump-ng je k dispozícii na všetkých populárnych distribúciách Linuxu a bude fungovať na virtuálnych počítačoch a Raspberry Pi. Kali Linux použijeme na zber dát patriacich Wi-Fi routeru, ktorý sami ovládame. Ak ste ešte nikdy nepoužívali Airdodump-ng, potom sa môžete naučiť základy práce s ním z našich článkov na stránke.
Ak chcete povoliť režim monitorovania na bezdrôtovom adaptéri, použite nasledujúci príkaz:
Airmon-ng štart wlan0
Nájdite svoju cieľovú sieť. Ak chcete zobraziť všetky dostupné siete Wi-Fi v okolí, použite príkaz nižšie. Ako príklad sa zameriame na náš smerovač "Null Byte".
Airodump-ng wlan0mon
Venujte pozornosť BSSID, CH a ESSID. Tieto informácie sú potrebné na zhromažďovanie údajov odoslaných do smerovača.
Krok 2. Zbierajte údaje Wi-Fi
Ak chcete začať zhromažďovať údaje patriace do cieľovej siete, zadajte príkaz nižšie a nahraďte príslušné časti tými, s ktorými pracujete:
Airodump-ng --bssid MacTarget Address --essid Názov smerovača -c Číslo kanálu -w Kam uložiť údaje wlan0mon
Zozbierané údaje uložíme do adresára /tmp do súboru s názvom „null_byte“ pomocou argumentu -w. Airodump-ng automaticky pripojí číslo na koniec názvu súboru, takže sa v skutočnosti uloží do adresára /tmp ako "null_byte-01.cap".
Tu je to, čo môžete očakávať od funkčného terminálu Airodump-ng:
Najdôležitejšia vec, na ktorú sa treba pozorne pozrieť, je podanie ruky WPA v pravom hornom rohu. Wireshark musí úspešne dokončiť handshake, aby bolo možné neskôr dešifrovať prevádzku Wi-Fi. Ak chcete prinútiť zariadenia, aby sa odpojili od siete, môžete použiť Aireplay-ng. Dokončenie tejto úlohy si bude vyžadovať opätovné pripojenie zariadení k sieti a úspešné ukončenie handshake WPA, čo však môže vyvolať podozrenie medzi používateľmi, ktorí sú už pripojení k sieti.
Kým je terminál Airodump-ng spustený, údaje sa budú naďalej zhromažďovať. Terminál Airodump-ng môže fungovať hodiny alebo dokonca dni. V našej demo relácii Airodump-ng sme povolili zhromažďovanie paketov na 15 minút. Čas, ktorý bol spustený Airodump-ng, môžete vidieť v ľavom hornom rohu terminálu.
Všimnite si stĺpec #Data na snímke obrazovky vyššie. Toto číslo udáva, koľko dátových paketov bolo zhromaždených. Čím vyššie číslo, tým je pravdepodobnejšie, že hackeri objavia citlivé informácie, ktoré môžu byť použité na „pivot“ do siete alebo ďalšie kompromitovanie cieľa.
Po zhromaždení dostatočného množstva údajov je možné reláciu Airodump-ng zastaviť stlačením klávesov Ctrl + C. Teraz bude v súbore /tmp súbor "null_byte-01.cap" (alebo súbor s názvom, ktorý ste preň vybrali). adresár. Tento súbor .cap bude potrebné otvoriť pomocou Wireshark.
Krok 3: Nainštalujte najnovšiu verziu Wireshark
V predvolenom nastavení je Wireshark súčasťou takmer všetkých verzií Kali. Existuje niekoľko verzií, ktoré neobsahujú Wireshark, takže tu je rýchly prehľad toho, ako ho nainštalovať do Kali.
Najprv spustite príkaz apt-get update, aby ste sa uistili, že najnovšia verzia Wireshark je k dispozícii na stiahnutie. Otvorte terminál a zadajte príkaz nižšie:
Aktualizácia sudo apt-get
Potom pomocou nasledujúceho príkazu nainštalujte Wireshark:
Sudo apt-get install wireshark
Medzi dvoma príkazmi môžete použiť znaky &&, ako je znázornené na obrázku vyššie. To dá terminálu pokyn, aby najprv synchronizoval index balíka s úložiskami Kali. A potom, keď je aktualizácia úspešná, nainštaluje Wireshark.
Krok 4: Spustite Wireshark
Keď to urobíte, Wireshark nájdete v kategórii Sniffing & Spoofing v ponuke Aplikácie. Ak chcete spustiť Wireshark, jednoducho kliknite na ikonu.
Krok 5: Nakonfigurujte Wireshark na dešifrovanie údajov
Ak chcete nakonfigurovať Wireshark na dešifrovanie údajov nájdených v súbore .cap, kliknite na tlačidlo Upraviť na hornom paneli ponuky, potom prejdite na Predvoľby a rozbaľte rozbaľovaciu ponuku Protokoly.
Potom prejdite nadol a vyberte „IEEE 802.11“. Musí byť začiarknuté políčko „Povoliť dešifrovanie“. Potom kliknite na tlačidlo „Upraviť“ a pridajte dešifrovacie kľúče pre konkrétnu sieť Wi-Fi.
Objaví sa nové okno. Tu budete musieť zadať heslo a názov smerovača. Musíte zadať svoje poverenia tak, že heslo a názov smerovača oddelíte dvojbodkou (napríklad heslo: názov_smerovača).
Najprv vyberte Typ kľúča „wpa-pwd“. Tento typ kľúča je potrebný na nastavenie hesla WPA vo forme obyčajného textu. Heslo Wi-Fi siete „Null Byte“ je dlhý zakódovaný reťazec, preto sme do stĺpca Key zadali „bWN2a25yMmNuM2N6amszbS5vbmlvbg ==: Null Byte“. Ďalším príkladom by bolo „Wonderfulboat555:NETGEAR72“, kde „Wonderfulboat555“ je heslo k smerovaču s názvom „NETGEAR72“.
Keď to urobíte, kliknutím na tlačidlo OK uložte svoje poverenia. Wireshark teraz po importovaní súboru .cap automaticky začne dešifrovať údaje patriace do siete Wi-Fi „Null Byte“.
Krok 6: Vykonajte hĺbkovú kontrolu paketov (DPI)
Ak chcete importovať súbor .cap do Wireshark, kliknite na ponuku Súbor a potom kliknite na položku Otvoriť. Súbor .cap možno nájsť v adresári /tmp. Vyberte ho a potom kliknite na „Otvoriť“. V závislosti od toho, ako dlho terminál Airodump-ng zbiera údaje, môže Wireshark trvať niekoľko minút, kým importuje a dešifruje všetky údaje.
Po otvorení súboru .cap v programe Wireshark môžete vidieť tisíce riadkov surovej webovej návštevnosti. Tento pohľad môže byť trochu desivý. Našťastie má Wireshark zobrazovacie filtre, ktoré môžete použiť na kontrolu a filtrovanie paketov, ktoré nechcete. Pre tieto zobrazovacie filtre je na internete veľa cheatov, ktoré pomáhajú používateľom Wiresharku nájsť relevantné a citlivé údaje. Dnes sa však pozrieme na niektoré z najužitočnejších zobrazovacích filtrov, ktoré hackeri používajú na kontrolu aktivity v sieti.
1. Vyhľadajte údaje požiadavky POST
Požiadavka HTTP POST sa často používa pri nahrávaní súboru na server alebo pri prenose prihlasovacích údajov a hesiel na webové stránky. Keď sa niekto prihlási na Facebook alebo uverejní komentár v dolnej časti tohto článku, vykoná sa to pomocou žiadosti POST.
Údaje POST v súbore .cap s najväčšou pravdepodobnosťou obsahujú najviac kompromitujúce a odhaľujúce údaje. Hackeri môžu nájsť používateľské mená (loginy), heslá, skutočné mená, adresy bydliska, e-mailové adresy, denníky rozhovorov a mnoho ďalšieho. Ak chcete filtrovať údaje požiadavky POST, zadajte do panela filtra zobrazenia nasledujúci reťazec:
Http.request.method == "POST"
V našom príklade sme sa prihlásili na náhodnú webovú stránku, ktorú sme našli na internete. Bolo by naivné si myslieť, že si niekto vyžiada e-mailové upozornenia zo svojich obľúbených spravodajských stránok.
Ak sa v súbore .cap našli požiadavky POST, v stĺpci Informácie sa zobrazí, ktoré riadky obsahujú údaje požiadavky POST. Dvojitým kliknutím na jeden z riadkov sa zobrazí nové okno Wireshark s ďalšími informáciami. Ak chcete analyzovať údaje, prejdite nadol a rozbaľte rozbaľovaciu ponuku „Formulár HTML“.
Po analýze zhromaždených údajov z tejto jednej požiadavky POST sme našli veľa informácií patriacich nejakému používateľovi v sieti.
Zhromaždené údaje zahŕňajú meno, priezvisko a e-mailovú adresu, ktoré možno neskôr použiť na phishing a cielené hacky.
Webová stránka má navyše povinné pole pre heslo, ktoré možno pridať do zoznamov hesiel alebo pre útoky hrubou silou. Nie je nezvyčajné, že ľudia používajú heslá pre viacero účtov. Samozrejme, je možné, že heslo poskytne útočníkovi prístup k účtu Gmail, ktorý možno nájsť aj v údajoch žiadosti POST.
Vidíme tiež, že v týchto údajoch je názov spoločnosti, v ktorej Christopher Hadnagy pravdepodobne pracuje. Tieto informácie môže hacker použiť na následné opatrenia sociálneho inžinierstva.
Posúvaním údajov požiadavky POST trochu ďalej sa objavia ešte zaujímavejšie informácie. Úplná adresa bydliska, PSČ a telefónne číslo. To môže poskytnúť hackerovi informácie o tom, ktorému domu patrí Wi-Fi router a telefónne číslo, ktoré môže neskôr použiť aj na sociálne inžinierstvo, ak sa hacker rozhodne napríklad posielať falošné SMS správy.
2. Vyhľadajte údaje požiadavky GET
Požiadavka HTTP GET sa používa na získanie alebo stiahnutie údajov z webových serverov. Ak si napríklad niekto prezerá môj účet na Twitteri, jeho prehliadač použije požiadavku GET na načítanie údajov zo serverov twitter.com. Kontrola požiadaviek GET v súbore .cap neprinesie používateľské mená ani e-mailové adresy, ale umožní hackerovi vytvoriť si komplexný profil zvykov pri prehliadaní webových stránok.
Ak chcete filtrovať údaje požiadavky GET, zadajte do panela filtra zobrazenia nasledujúci riadok:
Http.request.method == "GET"
Mnoho webových stránok pridáva .html alebo .php na koniec svojich adries URL. Môže to byť indikátor toho, že si webovú stránku prezerá niekto v sieti Wi-Fi.
Môže byť užitočné odfiltrovať požiadavky GET súvisiace s CSS a fontmi, pretože tieto typy požiadaviek sa dejú na pozadí pri prehliadaní internetu. Ak chcete filtrovať obsah CSS, použite filter Wireshark, ako je tento:
Http.request.method == "GET" && !(http.request.line sa zhoduje s "css")
Tu && doslova znamená „a“. Výkričník (!) tu znamená „nie“, takže Wireshark má pokyn, aby zobrazoval iba požiadavky GET a nezobrazoval tie riadky požiadaviek HTTP, ktoré sa akýmkoľvek spôsobom zhodujú s css. Tento riadok úspešne filtruje všetky zbytočné informácie spojené s bežnými webovými zdrojmi.
Kliknutím na jeden z týchto riadkov na preskúmanie údajov HTTP získate podrobnejšie informácie.
Vidíme, že cieľ používa počítač so systémom Windows, ktorého User-Agent je prehliadač Chrome. Čo sa týka hardvérového prieskumu, takéto informácie sú veľmi cenné. Hackeri teraz môžu s vysokou mierou istoty generovať najvhodnejšie užitočné zaťaženie pre tohto používateľa, špecifické pre použitý operačný systém Windows.
Pole „Referer“ nám hovorí, akú stránku si používateľ prezeral bezprostredne pred zobrazením stránky tomsitpro.com. To s najväčšou pravdepodobnosťou znamená, že našli článok „white hat hacker kariéra“ prostredníctvom vyhľadávacieho dopytu na duckduckgo.com.
Pole „Referrer“ obsahujúce DuckDuckGo namiesto zvyčajného Google by mohlo naznačovať, že tento používateľ je zodpovedný za svoje súkromie, pretože spoločnosť Google je známa svojimi agresívnymi pravidlami, ktoré poškodzujú jej zákazníkov. Toto sú informácie, ktoré hackeri zohľadnia pri vytváraní cieleného užitočného zaťaženia.
3. Vyhľadajte údaje DNS
V predvolenom nastavení sa bude šifrovaný internetový prenos odosielať na port 443. Možno si myslíte, že na lepšie pochopenie zobrazovaných stránok by bolo dobré použiť filter zobrazenia tcp.port == 443, ale zvyčajne sa zobrazuje ako nespracovaná adresa IP adresy v cieľovom stĺpci, čo nie je príliš vhodné na rýchlu identifikáciu domén. V skutočnosti je efektívnejším spôsobom identifikácie webových stránok, ktoré odosielajú a prijímajú šifrované údaje, filtrovanie dopytov DNS.
Systém názvov domén (DNS) sa používa na preklad bežných názvov webových stránok do strojovo čitateľných adries IP, ako napríklad https://104.193.19.59. Keď navštívime doménu ako google.com, náš počítač skonvertuje ľudsky čitateľný názov domény na adresu IP. Stáva sa to vždy, keď používame názov domény pri prehliadaní webových stránok, odosielaní e-mailov alebo online chatovaní.
Analýza súboru .cap pre dotazy DNS ďalej pomôže hackerom pochopiť, ktoré stránky často navštevujú ľudia pripojení k tomuto smerovaču. Hackeri môžu vidieť názvy domén patriacich webovým stránkam, ktoré odosielajú a prijímajú šifrované údaje na tieto stránky alebo z nich, ako sú Facebook, Twitter a Google.
Ak chcete filtrovať údaje DNS, zadajte nižšie uvedený príkaz do poľa filtra zobrazenia:
Pohľad na dotazy DNS nám môže poskytnúť zaujímavé informácie. Jasne vidíme, že tento používateľ si prezeral cestovateľské weby ako expedia.com a kayak.com. To môže znamenať, že čoskoro odíde na dlhú dobu na dovolenku.
Tieto údaje sú zašifrované, aby sa hackeri nemohli dozvedieť informácie o lete alebo podrobnosti o odlete, ale použitie týchto informácií na odosielanie phishingových správ môže hackerovi pomôcť pri sociálnom inžinierstve používateľa, aby odhalil osobné alebo finančné informácie.
Ak sa napríklad zistia dotazy DNS na webovú stránku konkrétnej banky, hackeri by mohli sfalšovať e-mail z tejto banky a oklamať používateľa, aby uskutočnil veľkú transakciu kreditnou kartou Expedia. Falošný e-mail môže obsahovať aj presné informácie o cieli, odkaz na falošnú bankovú stránku (kontrolovanú hackermi) atď.
Ako chrániť osobné údaje pred hackermi
Všetky osobné údaje nájdené v súbore .cap vyzerajú na prvý pohľad celkom nevinne. Po analýze niekoľkých balíkov sme sa však dozvedeli skutočné meno, prihlasovacie meno, heslo, e-mailovú adresu, domácu adresu, telefónne číslo, výrobcu hardvéru, operačný systém, prehliadač, návyky pri prehliadaní určitých webových stránok a oveľa viac.
Všetky tieto údaje sa zbierali aj bez pripojenia k routeru. Používatelia nemali možnosť ani vedieť, že sa im to stalo. Všetky tieto údaje môžu útočníci použiť na spustenie komplexného a vysoko cieleného hacku proti spoločnostiam alebo jednotlivcom.
Upozorňujeme, že všetky osobné informácie uvedené v tomto článku sú dostupné aj poskytovateľom internetových služieb (ISP). Čitatelia by si mali uvedomiť, že DPI vykonávajú poskytovatelia internetových služieb každý deň. Aby ste sa pred týmto ochránili:
- Používajte silnejšie heslá. Vykonanie hrubej sily na prelomenie ľahkých hesiel je hlavnou metódou hackerov na získanie prístupu k smerovačom Wi-Fi.
- Použite sieť VPN. Použitím šifrovaného spojenia medzi vami a poskytovateľom VPN nebudú hackerom dostupné všetky údaje, ktoré sme našli v tomto článku. Ak sa však poskytovateľ VPN prihlási alebo vykoná DPI, všetky údaje budú ľahko dostupné aj hackerom.
- Použite Tor. Na rozdiel od VPN je sieť Tor postavená na inom bezpečnostnom modeli, ktorý neprenáša naše dáta do jedinej siete alebo ISP.
- Použite SSL/TLS. Transport Layer Security – Transport Layer Security (HTTPS) zašifruje váš webový prenos medzi vaším prehliadačom a webovou stránkou. Nástroje ako , môžu pomôcť zašifrovať všetku návštevnosť vášho webového prehliadača.
Nie som veľmi dobrý v publikovaní na tému legislatívy a „papierovej“ bezpečnosti, tak sa skúsim v inom žánri – poďme sa rozprávať o praktickej bezpečnosti. Témou dnešného príspevku bude nebezpečenstvo používania sietí Wi-Fi iných ľudí.
Myslím si, že mnohí odborníci už túto tému poznajú, no možno v tomto článku nájdu aj niečo nové pre seba.
Začnime konverzáciu s otvorenými sieťami Wi-Fi, ktoré mnohí milujú pre absenciu hesiel, dostupnosť na mnohých verejných miestach a zvyčajne dobrú rýchlosť internetu (v porovnaní s prístupom cez mobilné siete). Otvorené siete sú však plné veľkého nebezpečenstva - všetka prevádzka doslova „pláva vo vzduchu“, neexistuje žiadne šifrovanie ani ochrana pred odpočúvaním. Každý používateľ bez špeciálnych znalostí môže pomocou hotových programov zachytiť a analyzovať všetku vašu návštevnosť.
Pozrime sa, ako to funguje – na ukážku som nastavil svoj domáci prístupový bod na otvorený sieťový režim:
Potom som sa k tejto sieti pripojil z notebooku a z tabletu s Androidom som si do tabletu nainštaloval aplikáciu Intercepter-NG, ktorá je dostupná aj pre Windows. Aplikácia vyžaduje práva superužívateľa, po spustení vás úvodné okno vyzve na skenovanie počítačov dostupných v oblasti viditeľnosti:
Po označení môjho notebooku (IP 192.168.0.101) prejdem na ďalšiu obrazovku a spustím zachytávanie paketov. Potom otvorím Yandex na svojom notebooku:
Sniffer s istotou zachytil otváranie stránok a ak prejdete na kartu s obrázkom cookie, môžete si zobraziť zoznam všetkých mojich súborov cookie, ktoré môj prehliadač na notebooku odoslal a prijal pri prehliadaní stránok. Súčasne kliknutím na ktorýkoľvek z riadkov Intercepter-NG otvorí prehliadač a vloží zachytené súbory cookie, takže bez toho, aby ste zachytili okamih autorizácie obete na stránke záujmu, môžete vstúpiť do jeho otvorenej relácie. Tento typ útoku sa nazýva „únos relácie“ – „ukradnutie“ relácie.
V praxi som teda predviedol, že v otvorenej sieti Wi-Fi v zásade neexistuje žiadna ochrana. Ale názov tohto príspevku hovorí o „zahraničných“ sieťach Wi-Fi, nie o „otvorených“. Presuňme sa k ďalšiemu aspektu zabezpečenia bezdrôtového pripojenia – zachyteniu prevádzky vo vnútri uzavretej siete. Prekonfiguroval som smerovač povolením WPA2 pomocou vopred zdieľaného kľúča (tento typ ochrany siete Wi-Fi sa používa v 80 % prístupových bodov):
Z notebooku a tabletu sa znova pripojím k sieti a znova spustím Intercepter-NG - pri skenovaní opäť vidí notebook - vyberiem ho a spustím odpočúvanie premávky, paralelne z notebooku idem na niekoľko stránok s HTTP-Basic autorizáciou, a toto vidím na tablete:
Prevádzka bola úspešne zachytená - „útočník“ teraz pozná moje heslo do webového rozhrania smerovača a na inú stránku. Okrem toho ukradnutie relácie funguje rovnakým spôsobom - koniec koncov, všetka prevádzka je zachytená.
Pri použití WEP a WPA je všetko veľmi jednoduché, na šifrovanie rôznych zariadení v rovnakej sieti sa používajú rovnaké kľúče. Keďže „útočník“ tiež pozná tento kľúč a sedí v rovnakej sieti, stále zachytáva všetku komunikáciu a dešifruje ju známym kľúčom.
Použil som WPA2, v ktorom bol tento problém vyriešený a klienti používajú rôzne šifrovacie kľúče, ale obsahuje vážnu zraniteľnosť a pri znalosti autorizačného kľúča a zachytení určitej sady paketov môžete odhaliť takzvaný Pairwise Transient Key - kľúč ktorý zašifruje prenos pre prenos, ktorý nás zaujíma klienta.
Ako ukázala prax, problém možno čiastočne vyriešiť povolením možnosti AP Isolation, ktorú podporuje väčšina moderných smerovačov Wi-Fi:
Nie je to však všeliek; schopnosť zachytiť pomocou Intercepter-NG pre Android zmizne, ale funkčnejšie nástroje, napríklad Airodump-ng, naďalej fungujú. Rozdiel v fungovaní týchto utilít a dôvody, prečo Intercepter-NG nefunguje, som podrobnejšie neštudoval s odložením tejto témy na neskôr Okrem toho nie je možné zistiť, či je povolená izolácia v sieti, do ktorej sa pripájate (napríklad v kaviarni alebo na akcii) bez praktickej skúšky.
Prišli sme na nebezpečenstvo používania sietí Wi-Fi iných ľudí, ale otázka ochrany zostáva. Metód je pomerne veľa, hlavnou myšlienkou je dodatočné šifrovanie všetkej prevádzky a metód implementácie je dosť - prísne používanie SSL všade tam, kde je to možné (HTTPS, SSH, SFTP, SSL-POP, IMAP4-SSL atď.), pripojenie cez VPN, použitie distribuovanej šifrovacej siete, ako je TOR atď. Táto téma je pomerne rozsiahla a zaslúži si samostatný príspevok.
Ak chcete chrániť svoju sieť Wi-Fi a nastaviť heslo, musíte vybrať typ zabezpečenia bezdrôtovej siete a metódu šifrovania. A v tejto fáze má veľa ľudí otázku: ktorý si vybrať? WEP, WPA alebo WPA2? Osobný alebo podnikový? AES alebo TKIP? Aké nastavenia zabezpečenia najlepšie ochránia vašu sieť Wi-Fi? Na všetky tieto otázky sa pokúsim odpovedať v rámci tohto článku. Zvážme všetky možné metódy autentifikácie a šifrovania. Poďme zistiť, ktoré parametre zabezpečenia siete Wi-Fi sú najlepšie nastavené v nastaveniach smerovača.
Upozorňujeme, že typ zabezpečenia alebo autentifikácia, sieťová autentifikácia, ochrana, metóda autentifikácie sú rovnaké.
Typ overenia a šifrovanie sú hlavné nastavenia zabezpečenia bezdrôtovej siete Wi-Fi. Myslím si, že najprv musíme zistiť, čo to je, aké verzie existujú, ich schopnosti atď. Potom zistíme, aký typ ochrany a šifrovania si vybrať. Ukážem vám to na príklade niekoľkých populárnych smerovačov.
Dôrazne odporúčam nastaviť heslo a chrániť vašu bezdrôtovú sieť. Nastavte maximálnu úroveň ochrany. Ak necháte sieť otvorenú bez ochrany, môže sa k nej pripojiť ktokoľvek. Toto je predovšetkým nebezpečné. A tiež dodatočné zaťaženie vášho smerovača, pokles rýchlosti pripojenia a najrôznejšie problémy s pripojením rôznych zariadení.
Ochrana Wi-Fi siete: WEP, WPA, WPA2
Existujú tri možnosti ochrany. Samozrejme, nepočítajúc do toho "Open" (Bez ochrany).
- WEP(Wired Equivalent Privacy) je zastaraná a nezabezpečená metóda autentifikácie. Ide o prvý a nie veľmi úspešný spôsob ochrany. Útočníci môžu ľahko pristupovať k bezdrôtovým sieťam, ktoré sú chránené pomocou WEP. Tento režim nie je potrebné nastavovať v nastaveniach vášho smerovača, hoci je tam prítomný (nie vždy).
- WPA(Wi-Fi Protected Access) je spoľahlivý a moderný typ zabezpečenia. Maximálna kompatibilita so všetkými zariadeniami a operačnými systémami.
- WPA2– nová, vylepšená a spoľahlivejšia verzia WPA. K dispozícii je podpora pre šifrovanie AES CCMP. V súčasnosti je to najlepší spôsob ochrany siete Wi-Fi. Toto odporúčam používať.
WPA/WPA2 môže byť dvoch typov:
- WPA/WPA2 – osobné (PSK)- Toto je obvyklá metóda overovania. Keď potrebujete iba nastaviť heslo (kľúč) a následne ho použiť na pripojenie k sieti Wi-Fi. Pre všetky zariadenia sa používa rovnaké heslo. Samotné heslo je uložené v zariadeniach. Kde si ho môžete pozrieť alebo v prípade potreby zmeniť. Odporúča sa použiť túto možnosť.
- WPA/WPA2 – Enterprise- komplexnejšia metóda, ktorá sa používa najmä na ochranu bezdrôtových sietí v kanceláriách a rôznych prevádzkach. Umožňuje vyššiu úroveň ochrany. Používa sa len vtedy, keď je nainštalovaný server RADIUS na autorizáciu zariadení (ktorý rozdáva heslá).
Myslím, že sme prišli na spôsob autentifikácie. Najlepšie je použiť WPA2 – Personal (PSK). Pre lepšiu kompatibilitu, aby neboli problémy s pripojením starších zariadení, môžete nastaviť zmiešaný režim WPA/WPA2. Toto je predvolené nastavenie na mnohých smerovačoch. Alebo označené ako „Odporúčané“.
Šifrovanie bezdrôtovej siete
Sú dva spôsoby TKIP A AES.
Odporúča sa použiť AES. Ak máte v sieti staršie zariadenia, ktoré nepodporujú šifrovanie AES (ale iba TKIP) a budú problémy s ich pripojením k bezdrôtovej sieti, nastavte ju na „Automaticky“. Typ šifrovania TKIP nie je podporovaný v režime 802.11n.
V každom prípade, ak nainštalujete striktne WPA2 - Personal (odporúča sa), bude k dispozícii iba šifrovanie AES.
Akú ochranu by som mal nainštalovať na smerovač Wi-Fi?
Použite WPA2 – Osobné so šifrovaním AES. Dnes je to najlepší a najbezpečnejší spôsob. Takto vyzerajú nastavenia zabezpečenia bezdrôtovej siete na smerovačoch ASUS:
A takto vyzerajú tieto bezpečnostné nastavenia na routeroch od TP-Link (so starým firmvérom).
Môžete si pozrieť podrobnejšie pokyny pre TP-Link.
Pokyny pre ostatné smerovače:
Ak neviete, kde nájdete všetky tieto nastavenia na smerovači, napíšte do komentárov, pokúsim sa vám to povedať. Len nezabudnite špecifikovať model.
Keďže staršie zariadenia (Wi-Fi adaptéry, telefóny, tablety atď.) nemusia podporovať WPA2 – Personal (AES), v prípade problémov s pripojením nastavte zmiešaný režim (Auto).
Často si všímam, že po zmene hesla alebo iných nastavení zabezpečenia sa zariadenia nechcú pripojiť k sieti. Počítačom sa môže zobraziť chyba „Nastavenia siete uložené v tomto počítači nespĺňajú požiadavky tejto siete.“ Skúste vymazať (zabudnúť) sieť na zariadení a znova sa pripojiť. Napísal som, ako to urobiť v systéme Windows 7. V systéme Windows 10 však potrebujete .
Heslo (kľúč) WPA PSK
Bez ohľadu na typ zabezpečenia a metódu šifrovania si musíte nastaviť heslo. Tiež známy ako kľúč WPA, heslo bezdrôtovej siete, bezpečnostný kľúč siete Wi-Fi atď.
Dĺžka hesla je od 8 do 32 znakov. Môžete použiť písmená latinskej abecedy a čísla. Tiež špeciálne znaky: - @ $ # ! atď. Žiadne medzery! V hesle sa rozlišujú malé a veľké písmená! To znamená, že „z“ a „Z“ sú rôzne znaky.
Neodporúčam nastavovať jednoduché heslá. Je lepšie vytvoriť silné heslo, ktoré nikto neuhádne, aj keď sa veľmi snaží.
Je nepravdepodobné, že si budete môcť zapamätať také zložité heslo. Bolo by fajn si to niekam zapísať. Nie je nezvyčajné, že heslá Wi-Fi jednoducho zabudnete. Čo robiť v takýchto situáciách som napísal v článku: .
Ak potrebujete ešte väčšiu bezpečnosť, môžete použiť väzbu MAC adresy. Pravda, nevidím v tom potrebu. Úplne postačuje WPA2 – Personal spárovaný s AES a zložité heslo.
Ako si chránite svoju Wi-Fi sieť? Napíšte do komentárov. No klaď otázky :)
Potreba vytvoriť virtuálny hotspot na prenosnom počítači môže vzniknúť z rôznych dôvodov. Pre niektorých je dôležité zdieľať prístup na internet cez 3G alebo WiMax modem pre iné bezdrôtové zariadenia. A niekto chce vytvoriť falošný prístupový bod (Rogue AP) a nalákať klientov na ich prevádzku. Málokto však vie, že táto možnosť je zabudovaná do samotného systému Windows!
S príchodom pokrytia 3G sieťou od mobilných operátorov som začal čoraz častejšie využívať mobilný internet. Ak pracujete cez USB modem, často dosiahnete celkom znesiteľné pripojenie. Takéto zariadenia sú navyše veľmi lacné a predávajú sa kompletné s veľmi rozumnými tarifami, ktoré vás nezruinujú v prvý deň používania. Jedným z problémov, v ktorých som sa po zakúpení 3G modemu stal zmäteným, bolo usporiadanie hotspotu z môjho notebooku, aby som mohol distribuovať mobilný internet do iných bezdrôtových zariadení cez Wi-Fi.
Mac OX X
V systéme Mac OS X pravdepodobne nebude možné, aby štandardný adaptér fungoval v režime Infrastructure. Môžete však zdieľať internet pre jedného klienta, ktorý sa pripája k MacBooku prostredníctvom bezdrôtovej siete bez toho, aby sa musel dostať do konzoly.
Ako si uľahčiť život?
Na vytvorenie plnohodnotného hotspotu nám teda stačilo pár príkazov v konzole a pár kliknutí myšou. Ponáhľam sa vás však sklamať: ihneď po reštarte alebo odhlásení zo systému (dokonca aj v režime spánku) sa všetky operácie budú musieť vykonať znova. Je to nepohodlné a únavné. Našťastie sa našlo veľa vývojárov, ktorí si prečítali článok MSDN o bezdrôtovej hosťovanej sieti a implementovali pomocné programy, aby bolo nastavenie softvérového hotspotu jednoduchšie a zrozumiteľnejšie.
Odporúčam dva: Virtual Router a Connectify. Obe sú bezplatné a umožňujú vám vybrať si pripojenie cez pohodlné rozhranie GUI, ktoré chcete zdieľať pomocou softvérového prístupového bodu, a potom dvoma kliknutiami zdvihnúť hotspot. V tomto prípade nemusíte zakaždým zadávať SSID a sieťový kľúč: všetko bude fungovať aj po reštarte.
Virtuálny smerovač poskytuje minimum funkčnosti a dlho nebol vyvinutý, ale je distribuovaný ako open source (dobrý príklad použitia zodpovedajúcich API volaní systému). Toto je v podstate grafická verzia príkazov netsh.
Pomôcka Connectify je oveľa sofistikovanejšia. Na implementáciu ďalších funkcií, ktoré nie sú poskytované štandardnými možnosťami systému Windows, je dokonca potrebné nainštalovať virtuálne zariadenia a ovládače do systému. A prináša ovocie. Napríklad nemusíte viazať typ šifrovania WPA2-PSK/AES na káblovú bezdrôtovú hosťovanú sieť: ak chcete, vytvorte aspoň otvorený hotspot. Toto je obzvlášť dôležité pri klonovaní parametrov existujúcej bezdrôtovej siete (napríklad na rozšírenie jej dosahu alebo vytvorenie falošného prístupového bodu). Okrem toho má Connectify vstavaný server UPnP a umožňuje vám zdieľať vaše pripojenie VPN (vrátane OpenVPN). S takýmito možnosťami váš virtuálny hotspot určite nájde uplatnenie.
Aby ste však ľahšie pochopili, v akých situáciách je to potrebné, pripravili sme pre vás výber tých najobľúbenejších prípadov. Môžete si o nich prečítať na bočnom paneli.
