Как происходит атака типа перехват клиента в технологии wi fi

Что такое атака Man-in-the-Middle (MITM)? Определение и предотвращение

Атака типа man-in-the-middle (MITM), что буквально означает «человек посередине» — это тип кибер-атаки, при котором злоумышленники перехватывают разговор или передачу данных путем подслушивания, либо притворяясь его легальным участником. Жертве будет казаться, что происходит стандартный обмен информацией, но, вставив себя в «середину» схемы обеспечения разговора или передачи данных, злоумышленник может незаметно перехватить информацию.

Целью MITM-атаки является получение конфиденциальных данных, таких как данные банковского счета, номера банковских карт или учетные данные для входа, которые могут быть использованы для совершения дальнейших преступлений, таких как кража личных данных или незаконные переводы средств. Поскольку MITM-атаки осуществляются в режиме реального времени, они часто остаются незамеченными до тех пор, пока не становится слишком поздно.

Две фазы атаки Man-in-the-Middle

Успешная MITM-атака включает в себя две конкретные фазы: перехват и дешифрация.

1. Перехват

Перехват предполагает, что злоумышленник вмешивается в процесс передачи данных из/в сеть жертвы, перехватывая их с помощью «подставной» сети прежде, чем данные будут реально отправлены адресату или поступят в сеть жертвы. Фаза перехвата – это, по сути, то, как злоумышленник вводит себя в качестве «человека посередине». Злоумышленники часто делают с помощью создания в общественном месте поддельной точки доступа Wi-Fi, для подключения к которой не требуется пароль. Если жертва подключается к такой «подставной» точке доступа, то злоумышленник получает доступ к любому онлайн-обмену данными, который она выполняет.

Как только злоумышленник успешно вклинится между жертвой и другой желаемой стороной обмена информации, он сможет использовать различные методы для продолжения атаки:

• IP-спуфинг (подмена IP-адресов): Каждое устройство, подключенное к Wi-Fi, имеет свой адрес Интернет-протокола (IP), который играет центральную роль в том, как взаимодействуют компьютеры и устройства в Сети. Спуфинг (подмена) IP-адресов предполагает, что злоумышленник изменяет IP-пакеты, чтобы выдать себя за компьютерную систему жертвы. Когда жертва пытается получить доступ к URL-адресу, подключенному к этой системе, вместо этого она неосознанно отправляется на веб-сайт злоумышленника.
• ARP-спуфинг: При подмене протокола разрешения адресов (ARP) злоумышленник использует фальсифицированные сообщения ARP, чтобы связать свой MAC-адрес с легальным IP-адресом жертвы. Подключив свой MAC-адрес к IP-адресу жертвы, злоумышленник получает доступ к любым данным, отправленным на ее IP-адрес.
• DNS-спуфинг: Подмена сервера доменных имен (DNS), также известная как «отравление» DNS- кэша, предполагает, что злоумышленник меняет IP-адрес DNS-сервера, чтобы иметь возможность перенаправлять веб-трафик жертвы с предполагаемого реального веб-сайта на мошеннический веб-сайт, который очень похож на оригинальный. В этом случае жертва уверена в том, что она подключается к оригинальному веб-сайту, и если жертва авторизуется с помощью своей учетной записи, то злоумышленники смогут получить доступ к персональным, регистрационным данным и другой конфиденциальной информации.

2. Дешифрация

MITM-атака не останавливается только на фазе перехвата. После того, как злоумышленник получит доступ к зашифрованным данным жертвы, они должны быть расшифрованы, чтобы злоумышленник мог их прочитать и использовать в своих вредоносных целях. Для расшифровки данных жертвы может быть использован ряд методов без предупреждения пользователя или появления в приложении жертвы какого-либо предупреждения:

• Подмена HTTPS (HTTPS-спуфинг): Подмена HTTPS — это метод обмана вашего браузера, в результате которого браузер «считает», что загружаемый веб-сайт безопасен и аутентичен, хотя это не так. Когда жертва пытается подключиться к защищенному сайту, в ее браузер отправляется поддельный сертификат, который вместо этого приводит жертву на вредоносный веб-сайт злоумышленника. Это дает злоумышленнику доступ к любым данным, которыми жертва делится на этом сайте.

• Перехват SSL (SSL Hijacking): Каждый раз, когда вы подключаетесь к незащищенному веб-сайту, адрес которого в поле для URL-адреса начинается с «HTTP», ваш сервер автоматически перенаправляет вас на защищенную версию HTTPS этого сайта. При перехвате SSL злоумышленник использует свой собственный компьютер и сервер для перехвата этого перенаправления, что позволяет ему прерывать любую информацию, передаваемую между компьютером пользователя и сервером. Это позволяет кибер-преступнику получить доступ к любой конфиденциальной информации, которую пользователь использует во время своего подключения к данному веб-сайту.
• SSL Stripping: SSL stripping предполагает, что злоумышленник прерывает соединение между пользователем и веб-сайтом. Это делается путем понижения уровня защищенного HTTPS-соединения пользователя до небезопасной HTTP-версии веб-сайта. В этом случае пользователя подключают к незащищенному сайту, в то время как злоумышленник поддерживает соединение с защищенным сайтом, делая действия пользователя видимыми для злоумышленника даже в незашифрованном виде.

Реальные примеры MITM-атак в мире

За последние несколько десятилетий произошел ряд хорошо известных MITM-атак.

• В 2015 году было обнаружено, что рекламная программа под названием Superfish, которая была предустановлена на компьютерах Lenovo с 2014 года, сканировала SSL-трафик и устанавливала поддельные сертификаты, которые позволяли третьим лицам перехватывать и перенаправлять безопасный входящий трафик. Поддельные сертификаты также использовались для размещения рекламы даже на зашифрованных страницах.
• В 2017 году в ряде крупных банков была обнаружена серьезная уязвимость в приложениях для мобильного банкинга, которая позволяла осуществлять MITM-атаки против клиентов с iOS и Android. Эта брешь безопасности была связана с технологией «закрепления» сертификатов, используемой для предотвращения использования мошеннических сертификатов, в рамках которой тесты безопасности не могли обнаруживать злоумышленников из-за того, что закрепление сертификата скрывало отсутствие надлежащей проверки имени хоста. В конечном счете это позволило проводить MITM-атаки.

Как обнаружить MITM-атаку

Если вы не занимаетесь активным поиском признаков того, что ваши онлайн-сообщения были перехвачены или скомпрометированы, обнаружить атаку man-in-the-middle может быть крайне сложно. Хотя таким атакам легко остаться незамеченными, все же есть определенные вещи, на которые вам следует обратить внимание при просмотре веб-страниц — в основном это касается URL-адреса в вашей адресной строке.

URL-адрес защищенного веб-сайта начинается с «HTTPS». Если в URL-адресе отсутствует буква «S» в конце и он читается как «HTTP», это сразу же сигнализирует о том, что ваше соединение небезопасно. Вам также следует обратить внимание на SSL-значок замочка слева от URL-адреса, который также обозначает защищенный веб-сайт.

Кроме того, будьте осторожны при подключении к общественным сетям Wi-Fi. Как обсуждалось выше, кибер-преступники часто шпионят за публичными сетями Wi-Fi и используют их для совершения атаки man-in-the-middle. Лучше всего никогда не считать, что общедоступная сеть Wi-Fi является легальной, и вообще избегать подключения к неизвестным и общедоступным сетям Wi-Fi.

Как подготовиться и предотвратить

Хотя и важно знать, как обнаружить потенциальную MITM-атаку, но лучший способ защититься от подобного рода атак — это предотвратить их в принципе. Настоятельно советуем вам следовать нашим рекомендациям:

• Избегайте сетей Wi-Fi, которые не защищены паролем, и никогда не используйте общедоступную публичную сеть Wi-Fi для выполнения таких конфиденциальных операций, которые требуют передачи ваших персональных данных
• Используйте подключение через виртуальную частную сеть (Virtual Private Network,VPN) – особенно при подключении к Интернету в общественном месте. VPN шифрует вашу онлайн-активность и не позволяет злоумышленнику «прочитать» ваш Интернет-трафик и получить доступ к вашим персональным данным, таким как пароли или информацию о банковском счете.
• Выходите при работе на критически важных веб-сайтах (например, на сайте онлайн-банка) сразу после того, как вы закончите работу с этим сайтом, чтобы исключить возможность перехвата вашей сессии злоумышленником.
• Придерживайтесьправильных привычек по отношению к паролям, например, никогда не используйте одинаковые пароли для разных аккаунтов, используйте менеджер паролей для обеспечения максимального уровня их безопасности.
• Используйте мультифакторную авторизацию для всех ваших аккаунтов.
• Используйте файервол для обеспечения безопасных Интернет-соединений.
• Используйте антивирусную программу для защиты ваших устройств от вредоносных программ.

По мере того как наш мир, связанный с цифровыми технологиями, продолжает стремительно развиваться, растет и уровень развития кибер-преступности и использования уязвимостей в системах безопасности. Забота о том, чтобы обучить себя передовым методам информационной безопасности, имеет решающее значение для защиты от атак man-in-the-middle и других видов кибер-угроз. По крайней мере, наличие мощной и надежной антивирусной программы имеет большое значение для обеспечения безопасности и сохранности ваших данных.

• хакер
• атака
• безопасность
• спуфинг

• Оригинал статьи:
  What Is a Man-in-the-Middle (MITM) Attack? Definition and Prevention

Атаки на сеть Wi-Fi, Часть-1

Атаки на сеть стандарта Wi-Fi, Часть-1

Популярность беспроводных технологий и расширение мобильного рабочего пространства способствуют становлению нового типа уровня доступа. “Корпорация, которая везде со мной”. – все чаще так называют архитектуру, которая безопасно и надежно предоставляет пользователю корпоративную инфраструктуру везде–в офисе компании, на удаленных сайтах, дома, в любом месте, где есть доступ к интернету. Однако мобильность, включая беспроводные технологии стандарта WiFi, имеет потенциал создавать условия, при которых возможен несанкционированный доступ в сеть передачи данных, возможны потери закрытой информации, а также возможны условия для проникновения в сеть вирусов и червей. Качественное и полноценное планирование позволяет избегать эти проблемы без чрезмерных капитальных и операционных затрат.

Если беспроводная сеть доступа WiFi 802.11 развернута, она должна мониториться и защищаться против хакерских атак. Диапазон их варьируется от генерации простого широкополосного шума с помощью радиоджаммеров до изощренных атак типа «человек в промежутке» (man in the middle/MITM), где атакующий создает ситуацию, входя в коммуникационный путь и получая возможность добавлять, удалять или модифицировать данные.

Использование шифрования трафика и аутентификации устраняет многие проблемы, но важно не забывать о более продвинутых технологиях нашего времени. Это, например, системы предотвращения вторжений в сети доступа WiFi (IPS/Intrusion Prevention System), необходимые для выявления и предотвращения атак. Системы IPS давно существуют и прекрасно себя показали не только в проводном, но и в беспроводном мире. IPS позволяет не тратить значимое время на попытки решения проблем с соединением или с производительностью в сети стандарта WiFi, в то время как фактическая проблема, например, в уже начавшейся атаке на сеть WiFi.

Построение эффективной системы безопасности сети доступа стандарта WiFi- это не просто покупка какой-то программы для защиты, например, IPS. Это комплексный проект, включающий в себя решение большого количества задач — от вдумчивого проектирования прав доступа и списков доступных ресурсов для каждого пользователя беспроводной сети WiFi до введения практики постоянного отслеживания уровня безопасности собственной WiFi-инфраструктуры для выявления слабых мест и разработки плана реакции на атаки и нарушения безопасности. Это крайне полезная практика для создания BYOD-решений.

Некоторые общие наблюдения:
1. Принимая во внимание общие сетевые уровни проводной и беспроводной сети WiFi, большинство атак, применяемых в проводной сети, будут работать и против беспроводных клиентов WiFi.
2. Из-за физической природы Радио обнаружение злоумышленника, вражеской точки доступа WiFi или инфицированного компьютера и предотвращение попыток доступа или атак может быть сложным.
3. Управляемые Точки Доступа WiFi и централизованная архитектура сети доступа WiFi-стандарта являются критическими факторами обеспечения безопасности.

Как уже было замечено ранее, большинство известных атак применимы как в проводной, так и в беспроводной сети, поэтому проведем комплексный анализ аспектов сетевой Безопасности с учетом особенностей беспроводной сети Wi-Fi.

Рассмотрим подробнее основные аспекты Сетевых Атак

Общая классификация сетевых атак

Одно из определений сетевой атаки – сетевая атака может быть определена как любой метод, процесс или средство, используемое для выполнения злонамеренной попытки нарушения сетевой безопасности.
Существует много причин, по которым люди хотят атаковать корпоративные сети. Людей, которые проводят сетевые атаки часто называют хакерами или кракерами.

Список типов злонамеренных действий, которые выполняет атакующий:
(понимание этого позволит ввести соответствующие дополнения в проект построения эффективной системы безопасности сети)

• Нелегальное использование пользовательских аккаунтов и привилегий,
• Физическая кража «железа»,
• Кража программного обеспечения,
• Запуск исполняемого кода для повреждения систем,
• Запуск исполняемого кода для уничтожения или повреждения данных,
• Модификация сохраненных данных,
• Кража данных,
• Использование информации для получения финансовой выгоды или для промышленного шпионажа,
• Выполнение действий, которые не дают возможности легитимным пользователям получать доступ к сетевым сервисам и ресурсам,
• Выполнение действий, которые поглощают сетевые ресурсы и полосу пропускания.

Причины атак на корпоративные сети:

• Попытка получить славу, признание. Молодежь пытается взломать веб-сайты и другие публичные ресурсы в Интернете, пытаются получить признание в хакерском сообществе.
• Корыстные личные и идеологические мотивы:
  — Желание наживы.
  — Промышленный шпионаж.
  — Политика.
  — Терроризм.
  — Расизм.
  — «Разборки».
• Недовольство бывших или существующих сотрудников, сведение счетов с компанией. Могут стремиться повлиять на информационную надежность или финансовую стабильность компании.
• Удовольствие от решения сложных задач. Этот мотив характерен для отдельной категории атакующих, которым нравится сам процесс проникновения в сверхзащищенные сетевые системы и хранилища. Они обычно просто развлекаются и/или пытаются привлечь внимание к имеющимся сетевым уязвимостям.

Опасности для сети могут исходить из различных источников, отсюда и атаки делятся прежде всего на два больших раздела — внешние и внутренние.

В целом Сетевые атаки можно классифицировать четырьмя типами:
1. Внутренние опасности.
2. Внешние опасности.
3. Структурированные опасности.
4. Неструктурированные опасности.

> Внешние опасности (и внешние атаки):
когда внешние атаки выполняются без участия внутренних сотрудников. Такие атаки организуются и выполняются опытными индивидуалами или их группами, организациями хакеров, а иногда и не опытными «новичками». Атакующие обычно имеют план и соответствующий инструментарий, владеют соответствующими техниками для выполнения атаки. К основным характеристикам внешних атак можно отнести использование сканирования системы и сбор информации. Таким образом можно определять внешние атаки на корп сети путем тщательного анализа логов межсетевых экранов. Для быстрой и удобной идентификации внешних атак хороший подход состоит в развертывании системы предотвращения вторжений IPS, которые бывают и для проводной сети LAN и для беспроводной сети WiFi.

Для сетей Wi-Fi производители решений корпоративного класса предложат качественные и продвинутые системы IPS, способные не только пассивно мониторить инфраструктуру и эфир и выявлять атаки по шаблонам, но и активно противодействовать им (примеры: трассирование портов на коммутаторах, к которым присоединены чужие устройства, и блокировка данных портов; посылка фреймов деаутентификации от имени вражеского устройства, которое выполняет атаку типа MITM и к которому присоединились легитимные клиенты нашей сети и т.п.).

Внешние атаки можно разделить на структурированные атаки и неструктурированные атаки:

>> Внешние структурированные атаки:
Этот тип атак инициируется злонамеренными индивидуалами или организациями. Структурированные атаки обычно инициируются из некой сети и имеют продуманные заранее цели, на которые планируется оказывать влияние для разрушения, повреждения и т.п. Возможные мотивы:
— желание наживы;
— политические мотивы;
— идеологические мотивы (терроризм, расизм);
— мотивы мести («разборки»).
Атакующие в данном случае обычно имеют обширные знания в дизайне сетей, обходе систем безопасности, включая обход IDS (Intrusion Detection Systems), и имеют продвинутый инструментарий для взлома. В их арсенале необходимые знания для разработки новых техник сетевых атак и возможность модификации существующего хакерского инструментария под свои задачи. В некоторых случаях внутренний персонал компании с правами доступа может помогать атакующим.

>> Внешние неструктурированные атаки:
Такие атаки инициируются обычно неопытными хакерами, любителями. При таком подходе атакующий использует простой инструментарий хакерского взлома или скрипты, доступные в Интернете, для выполнения сетевой атаки. Уровень знаний атакующего обычно низок для создания серьезной опасности. Нередко это просто скучающие молодые люди, ищущие славы путем взлома корпоративного веб-сайта или другой известной цели в Интернете.

Внешние атаки могут осуществляться удаленно или локально (часто изнутри сети):

>> Внешние удаленные атаки:
Такие атаки обычно нацелены на услуги, которые организация предлагает открыто и публично. Существуют различные формы таких атак:
— Удаленные атаки, нацеленные на сервисы, доступные для внутренних пользователей. Такие атаки обычно случаются, когда отсутствуют межсетевые экраны для защиты таких внутренних сервисов.
— Удаленные атаки нацеленные на расположение точек входа в корпоративную сеть (беспроводные сети доступа, порты, модемные пулы).
— Атаки типа Отказ в Обслуживании (DoS) для создания перегрузки процессоров на серверах и т.п. с целью формирования ситуации, когда авторизованные пользователи не могут пользоваться услугами.
— Дозвон на корпоративную телефонную станцию, (PBX).
— Попытки взлома паролей систем аутентификации.

>> Внешние локальные атаки (атаки изнутри):
такие атаки обычно начинаются, когда открыт доступ в компьютерные помещения, и можно получить доступ к какой-либо системе.

> Внутренние атаки:
часто инициируются недовольными или обиженными на компанию бывшими или действующими сотрудниками или внештатным персоналом. Внутренние атакующие имеют ту или иную форму доступа к системе и обычно пытаются скрыть атаку и выдать ее за обычный рабочий процесс. Например, нелояльный сотрудник имеет доступ к каким-либо ресурсам внутренней сети. Он может иметь даже некоторые административные права в сети. Здесь один из лучших подходов состоит в развертывании системы обнаружения вторжений IDS (или IPS) и конфигурировании ее для сканирования системы на предмет как внешних, так и внутренних атак. Все формы атак должны быть занесены в журнал, и эти логи необходимо проверять, разбираться и принимать меры по защите от подобного в дальнейшем.
Важно четко понимать, что сетевые атаки — это серьезная опасность. Следующие основные компоненты должны быть включены в дизайн сети для построения системы сетевой Безопасности:

• Предотвращение сетевых атак,
• Определение сетевых атак,
• Изоляция сетевых атак,
• Восстановление от последствий сетевых атак.

Что такое Хакинг

Термин хакинг изначально применяли для обозначения процесса поиска решений для преодоления технических проблем. В наши дни хакингом чаще всего называют процесс, посредством которого злонамеренные взломщики пытаются нарушить безопасность корпоративных сетей передачи данных (LAN или WiFi) с целью уничтожения, изменения или кражи конфиденциальных данных или нарушения операционной деятельности организации.

Существуют термины, которые описывают преступный хакинг:

• Кракинг,
• Киберпреступление,
• Компьютерный шпионаж (или Кибершпионаж),
• Фрикинг.

Для получения доступа в какую-либо систему взломщик (хакер) выполняет определенные действия:

• Предварительный сбор информации, футпринтинг (Footprinting): это начальный шаг в хакинге корпоративной сети. Взломщик пытается собрать как можно больше информации о целевой сети, используя источники, к которым есть открытый доступ. Цель состоит в создании карты сети для определения используемых типов устройств, операционных систем, приложений, планов IP-адресации, а также идентификации любых открытых портов.

Методы, используемые для футпринтинга:
— Анализ информации из публично доступных источников на корпоративном веб-сайте и т.п. — для получения любых полезных данных.
— Поиск любого анонимного FTP-сайта и внутренних незащищенных корпоративных сайтов.
— Сбор информации о компании по доменному имени компании и используемому блоку IP-адресов.
— Тестирование хостов в используемом блоке IP-адресов. Обычно используются инструменты Ping или Flping.
— Использованием таких инструментов как Nslookup взломщик пытается выполнить трансфер зоны DNS (это один из механизмов администратора, который позволяет скопировать информацию из баз данных DNS с группы DNS-серверов).
— Такой инструмент как Nmap используется для сбора информации о том, какие операционные системы используются.
— Tracert применяется для поиска маршрутизаторов и сбора данных о подсетях.

• Сканирование портов: это процесс сбора данных о сетевых сервисах целевой сети. Взломщик пытается найти открытые порты. Он может использовать различные методы сканирования, например:
  — Скан SYNC (Vanilla scan/SYNC scan): Пакеты TCP SYN направляются на каждый порт IP-адреса, пытаясь присоединиться к каждому порту. Используются номера портов 0-65535.
  — Стробирование (Strobe): атакующий пытается присоединиться к специфическому диапазону портов, которые обычно открыты на хостах с операционными системами Windows или UNIX/Linux.
  — Развертка (Sweep scan): большой набор IP-адресов сканируется в попытке определить систему, которая имеет хотя бы один открытый порт.
  — Пассивное сканирование (Passive scan): копируется весь сетевой трафик входящий в сеть или покидающий ее. Затем трафик анализируется для поиска открытых портов на хостах внутри сети.
  — Сканирование UDP (User Datagram Protocol scan): пустые пакеты UDP отправляются на различные порты — группы адресов для определения какие операционные системы будут отвечать. Некоторые порты могут отвечать сообщением Port Unreachable, когда получают пустой пакет UDP. Другие операционные системы отвечают пакетом ICMP error.
  — FTP отскок: для того, чтобы скрыть положение атакующего, сканирование часто инициируется из промежуточного FTP-сервера.
  — FIN сканирование: пакеты TCP FIN, которые определяют, что тот, кто их отправил, хочет закрыть TCP сессию, отправляются на каждый порт из диапазона IP-адресов.
  — Перечисление/перебор (Enumeration): взломщик использует набор методов для сбора информации по приложениям и хостам на сети и пользовательским аккаунтам, используемым на сети. Перебор бывает особенно успешен на сетях, которые содержат незащищенные сетевые ресурсы и сервисы, например:
  / сетевые сервисы, которые работают, но не используются;
  / пользовательские аккаунты «по умолчанию» (default), которые не имеют паролей;
  / активные гостевые аккаунты;
  / сетевые устройства со слабой защитой, например, сетевые принтеры, где часто используется операционная система на основе Linux и которая очень часто может быть легко взломана и использована как плацдарм для будущей атаки. Это же касается и сетевых принтеров с Wi-Fi интерфейсом, работающим как клиент сети WiFi.

• Получение доступа (Acquiring access): атаки на получение доступа выполняются, когда атакующий исследует слабости системы безопасности с целью получить доступ к системе или сети. Для получения доступа к системе чаще всего используются программы типа Троян (троянская лошадь) или специальные программы для хакинга паролей. После получения доступа взломщик может модифицировать, удалять данные и модифицировать или удалять сетевые ресурсы.

Распространенные типы атак на доступ:
— Неавторизованный доступ к системе (Unauthorized system access) часто используется для задействования слабостей текущей операционной системы или запуска специальных скриптов или программ для хакинга с целью получения доступа к системе.
— Неавторизованное получение привилегированных прав (Unauthorized privilege escalation) является распространенным типом атак. Ситуация эскалации привилегий возникает, когда атакующий пытается получить самый высокий уровень доступа, как, например, привилегии администратора, для получения контроля над системой.
— Неавторизованная манипуляция данными (Unauthorized data manipulation): использует интерпретацию, изменение и удаление конфиденциальной информации.

• Эскалация привилегий (Privilege escalation): когда атакующий пытается получить начальный доступ к системе, обычно используются аккаунты с минимальными правами. Случай эскалации привилегий возникает, когда взломщик пытается поднять свои права для получения более высокого уровня доступа, привилегий уровня администратора, для получения контроля над системой.

Методы, используемые для эскалации привилегий:
— Атакующий разыскивает пароли и ключи регистрации для паролей.
— Атакующий может искать документы с информацией об административных правах.
— Атакующий может использовать программу для взлома паролей на целевых пользовательских аккаунтах.
— Атакующий может использовать программу Троян, пытаясь получить информацию о доступе к аккаунтам с административными привилегиями.

• Установка «черного хода» (Backdoors): хакер может установить скрытый механизм доступа в систему, который используется на более поздних стадиях взлома системы и после проведения дополнительной подготовки. Если возникло понимание, что система была взломана, и нет полной уверенности, что было выполнено, то наилучший вариант в удалении любых программ «черных ходов» состоит в переустановке системы с безопасной резервной копии. Отсюда следует, что важно защищать не только пользовательские системы, но и хранилища с резервными копиями пользовательских систем.

• Удаление доказательств атаки: атакующий обычно удаляет все доказательства своих действий. Поэтому важно иметь систему определения вторжений для сбора данных и возможности провести насколько возможно подробное собственное расследование того, что происходило в сети при нарушении безопасности, даже если на первый взгляд ничто не пострадало.

Кто проводит атаки на сети?

Хакер — это кто-либо, кто злонамеренно атакует сети, системы, компьютеры, приложения с целью копирования, повреждения, модификации, кражи или удаления конфиденциальной корпоративной информации.
Хакер может задействовать команду различных людей, которые выполняют различные действия с целью взлома систем и сетей и часто не имеют отношения к криминалу, например:

• Программисты, которые решают сложные технические проблемы.
• Молодежь и подростки, которые используют скрипты и программы, доступные в Интернете для взлома систем.
• Активисты, которые стремятся запретить доступ к какому-либо веб-сайту в знак протеста.

Хакеры наших дней классифицируются в соответствии со шляпами (кепками, шапками и т.п.), которые они носят. Эта концепция выглядит следующим образом:

• Черная шляпа (Black hat hackers) — это злонемеренные или криминальные хакеры, которые взламывают сети, системы и компьютеры для повреждения данных или попытки создания условий сложности или невозможности использования сетевых сервисов. Некоторые черные хакеры взламывают защищенные системы просто для поднятия собственного престижа в хакерском сообществе.
• Белая шляпа (White hat hackers) — это легитимные эксперты в сетевой безопасности, которые разыскивают уязвимости в различных системах. Их мотив — улучшение безопасности. Эти эксперты обычно имеют довольно обширные знания о том, какие методы используют Черные шляпы.
• Серая шляпа (Grey hat hacker) — индивидуалы, их мотивы неопределенны, лежат в сфере между черными и белыми.

Основные типы Сетевых Атак

Существует много различных типов сетевых атак, классифицировать их непросто, так как лишь немногие являются достаточно общими и чаще всего используемыми. Рассмотрим их:

• Модификация данных или манипуляция данными относится к сетевым атакам, которые изменяют или удаляют корпоративные данные. Модификация данных успешна, когда данные изменяются, и отправитель не в курсе того, что его информация была подделана.

Следующие методы могут помочь в защите целостности данных (integrity):
— Использование цифровых подписей для того, чтобы гарантировать, что данные не были модифицированы во время передачи по сети или даже при сохранении куда-либо.
— Использование листов контроля доступа (access control lists/ACL) для реализации раздельных прав доступа к данным (например, ограничение того какие пользователи могут получать доступ к Вашим данным).
— Регулярное резервное копирование важной информации.
— Включение специального кода в приложения, который может проверять вводимые данные.

• Прослушивание (Eavesdropping): этот тип атаки возникает, когда взломщик мониторит или прослушивает трафик сети при передаче и затем может выявить все незащищенные данные. Важно понимать, что если для прослушивания обычных телефонных переговоров (телефонные системы с коммутацией каналов) необходимо иметь специальное оборудование и доступ в здание телефонной компании, то все, что необходимо для прослушивания в IP-сети — это сниффер для сбора данных, которые передаются. В основном это происходит в следствии того, что TCP/IP (Transmission Control Protocol/Internet Protocol) разрабатывался как открытая архитектура для передачи нешифрованного трафика по сетям.

Следующие методы могут помочь в защите от прослушивания:
— Использование IPSec (Internet Protocol Security) для шифрования данных до их отправки в сеть.
— Использование политик и процедур безопасности, которые не дадут возможности атакующему установить программу-сниффер в сети.
— Установка антивирусного ПО (и специализированного ПО для поиска шпионского ПО) для защиты корпоративной сети от Троянов. Трояны часто используются для поиска и сбора такой информации, как пользовательские логины и пароли.

• Подмена IP-адресов и идентификаторов, спуфинг (IP spoofing/identity spoofing): подмена IP адреса возникает, когда атакующий изменяет IP-адрес источника в своем пакете, чтобы имитировать отправку с разрешенного адреса внутренней сети компании (к тому же надо обеспечить маршрутизацию этого пакета внутри корпоративной сети). Цель — идентифицировать «компьютер» хакера в сети. Большинство IP-сетей используют IP-адреса для проверки идентификации источника (например на ACL межсетевых экранов или маршрутизаторов доступа). Маршрутизаторы чаще всего просто игнорируют адрес источника при выполнении процесса маршрутизации и используют только адрес/сеть назначения. Эти факторы дают возможность атакующему обойти маршрутизатор и получить возможность запуска последовательности атак, например:
  — Инициация атаки Отказ в Обслуживании (DoS).
  — Инициация атаки «человек в промежутке» (MITM/man in the middle) для перехвата сессий
  — Редирект трафика.

Используются несколько методов предотвращения спуфинга IP-адресов:
— Шифрование трафика между маршрутизаторами и внешними хостами,
— Сконфигурировать входные фильтры на внешних маршрутизаторах и межсетевых экранах для остановки входящего трафика, когда IP-адрес источника в пакете принадлежит доверенному хосту из внутренней сети.

• Атаки с использованием снифферов (Sniffer attacks): атаки сниффинга — это процесс, когда атакующий использует специальные программы для перехвата и анализа сетевого трафика. Анализируется содержание сетевого пакета. Инструменты, которые используются для сниффинга обычно называют снифферами, хотя более правильно называть – анализаторы протоколов. Учитывая, что анализаторы протоколов широко используются для поиска неисправностей в сети, хакеры также используют их и для злонамеренных целей. Снифферы перехватывают, копируют и т.п. сетевую информацию, как, например, пароли и открытые пользовательские данные. В случае, когда кто-либо имеет физический доступ к сети, он может легко установить анализатор протоколов в сеть и копировать трафик. Удаленный сниффинг также может выполняться, и взломщики часто им пользуются.

Можно выделить следующие снифферы, которые часто используются администраторами безопасности и злонамеренными хакерами:
— Dsniff
— Ethereal
— Etherpeek
— Network Associates’s Sniffer
— Ngrep
— Sniffit
— Snort
— Tcpdump
— Windump

Для защиты от снифферов используйте шифрование трафика, например, с помощью IPSec (Internet Protocol Security). В данном случае никакой перехваченный пакет не может быть интерпретирован в доступную форму.

• Атаки на пароли (Password attacks): чаще всего основаны на подборе паролей для системы пока не будет определен верный. Одно из основных слабых мест в Безопасности, связанных с контролем доступа по паролям, — то, что подход основан на корпоративном идентификаторе пользователя (user ID) и каком-либо пароле. Но как используется информация для доступа в каждом конкретном случае? Некоторые старые приложения не защищают передаваемые пароли. В таком случае пароли просто отправляются как обычный текст (не используется никакая форма шифрования). Помните, что хакер может узнать User ID и перехватить пароль. После этого он уже будет выглядеть как авторизованный пользователь и может начать атаку. Важно понимать, что ваша сеть уязвима настолько, насколько слабо ее самое слабое звено! Никто обычно не ломает инфраструктуру в лоб, чаще всего терпеливо ищется именно слабейшее звено в защите. Атакующий может использовать атаку по словарю и т.п., чтобы получить доступ к ресурсам с теми же правами, как и авторизованный пользователь. Если же этот пользователь имеет уровень доступа эквивалентный или близкий администратору, то возникает большая опасность. И еще большая опасность, когда этот пользователь использует одни и те же логи и пароль ко всем системам. Тогда атакующий сразу получает доступ к целому ряду систем.

Атаки на пароли выполняются двумя основными способами:
— Взлом в он-лайне (Online cracking): атакующий перехватывает сетевой трафик, чтобы воспользоваться информацией из аутентификационной сессии для перехвата пароля. Существуют программы, которые нацелены именно на выявление паролей из общего трафика.
— Взлом в офф-лайне (Offline cracking): атакующий пытается получить доступ к системе (часто с минимальными правами доступа) с целью каким-либо образом обнаружить пароли. Затем хакер использует технологии взлома паролей для расшифровки информации доступа пользовательского аккаунта.

Атака по словарю возникает и имеет смысл к применению когда слова, обычно используемые в паролях, дают возможность выявить соответствие обычным словам (т.е. когда используется не бессвязный набор различных символов, а осмысленные слова). Существуют некоторые технологии, которые могут генерировать набор сложных комбинаций слов и их вариаций. Современные операционные системы хранят пользовательские пароли только в зашифрованном виде. Для получения паролей пользователи должны иметь административные права доступа к системе. Современные операционные системы также поддерживают политики для паролей. Например, могут быть определены политики того, как управлять паролями (частота смены пароля и т.п.) и характеристики паролей, которые приемлемы в системе (длина пароля, минимальное сочетание используемых символов и т.п.).

Настройки Политик для паролей могут быть использованы для задания и применения правил для паролей, например:
— Определение простой пароль или сложный.
— Определение поддерживаемой истории паролей (какие пароли уже использовались пользователем).
— Определение минимальной длины пароля.
— Определение минимального возраста пароля.
— Определение максимального возраста пароля.
— Определение того, как сохраняются пароли – с реверсивным (reversible) шифрованием или нереверсивным (irreversible) шифрованием.

Политики Захвата и Блокировки аккаунта (Account lockout) должны быть введены, если окружение является уязвимым для опасностей в случае возможности успешного угадывания паролей. Запуск политики Захвата аккаунта гарантирует, что пользовательский аккаунт блокируется после того, как кто-либо безуспешно пытался несколько раз ввести пароль доступа. Важно помнить, что при определении политики блокировки аккаунтов необходимо разрешить некоторое количество возможных ошибок со стороны пользователя (часто делают до 3-5), но также должен быть введен и верхний предел, который не позволит хакеру использовать пользовательский аккаунт для подбора паролей. Следующие настройки для паролей и политики блокировки аккаунтов встречаются на практике:
— Верхняя граница для блокировки аккаунта: эта настройки контролирует, сколько раз неверный пароль может быть введен, после чего аккаунт блокируется в системе,
— Время блокировки аккаунта: эта настройка позволяет установить время, в течение которого аккаунт остается недоступным после блокировки. Настройка «0» означает, что администратор должен вручную разблокировать аккаунт.
— Восстановление счетчика Блокировки аккаунта: эта настройка определяет время, которое должно пройти после последовательности неверных попыток входа до момента восстановления счетчика.

• Лобовая атака (Brute force attack): лобовая атака выполняется путем декодирования шифра, пробуя каждый возможный ключ для поиска верного. Этот тип сетевой атаки систематически пробует все возможные комбинации букв, цифр, символов для поиска пароля, который подходит для пользовательского аккаунта. Лобовые атаки нередко используются для взлома сетей, использующих протокол SNMP (Simple Network Management Protocol). Здесь атакующий инициирует Лобовую атаку для поиска групповых имен SNMP, что позволяет выявить круг устройств и сервисов работающих на сети.

Следующие методы могут быть использованы для предотвращения лобовых атак:
— Принять политику использования длинных имен паролей.
— Для SNMP необходимо использовать длинные и сложные названия групп (community).
— Развернуть систему обнаружения вторжений – IDS (intrusion detection system). Проверяя профили трафика IDS, может определить, что происходит лобовая атака.

Атака типа Отказ в Обслуживании (Denial of Service/DoS): Атака типа DoS имеет целью противодействия в доступе к сетевым сервисам авторизованным пользователям. DoS-атака не фокусируется на поиске и сборе данных. Здесь задача — не дать пользователям нормально пользоваться ресурсом или сетью. Первой формой DoS-атаки был SYN flood (1996 год), который использовал уязвимость протокола TCP. DoS-атака может быть начата путем посылки некорректных данных к приложениям или сетевым сервисам до того момента, пока сервер не зависнет или не «упадет». Наиболее общая форма DoS-атак — это атаки на TCP.

В случае сети стандарта WiFi , помимо описанных выше опасностей, большое распространение имеет создание широкополосных помех с помощью радио-джаммеров. Это эквивалент DoS-атаки, но только на физическом уровне радиосреды. Противостоять подобного рода атаке средствами инфраструктуры Wi-Fi практически невозможно, если мощность излучения высока, но можно использовать специальные технологии для идентификации типа устройства, создающего помехи и определения его физического местоположения в зоне покрытия. Например, это может быть выполнено с большой эффективностью в случае, если сеть построена на оборудовании Cisco Systems и Точки Доступа WiFi поддерживают технологию CleanAir (модельные ряды Cisco 3700, 3600, 2700, 1550 и тд). После обнаружения местоположения излучателя, в данную точку могут быть направлены сотрудники службы безопасности для физического устранения проблемы. Естественно, подобные действия должны быть спланированы и согласованы заранее. (Разработка плана таких мероприятий — в конце данной статьи).

Существуют программные продукты, доступные в Интернете, которые могут инициировать DoS-атаки:
— Bonk
— LAND
— Smurf
— Teardrop
— WinNuke

Атакующий может усилить мощность атаки DoS, используя множество компьютеров против одной сети. Этот тип атаки известен как Распределенный Отказ в Обслуживании (distributed denial of service/DDoS). Сетевые администраторы могут столкнуться с большими сложностями при отражении DDoS-атаки, так как ответное воздействие на все атакующие компьютеры может вести и к блокированию нормальных авторизованных пользователей (чаще всего в DDoS-атаке участвуют компьютеры, на которые хакер заранее нелегально установил соответствующее программное обеспечение для выполнения DoS-атаки под единым удаленным управлением).

Для защиты против DoS-атак могут быть использованы следующие меры:
(это скорее пассивные меры общей защиты)
— Принятие и использование политик надежных паролей.
— Регулярное выполнение резервного копирования системы.
— Выключение или удаление всех сетевых сервисов, в которых нет необходимости.
— Ввести дисковые квоты для пользователей и сервисных аккаунтов.
— Конфигурирование фильтров на маршрутизаторах.
— Использование последних обновлений и патчей для операционных систем.

Следующие меры защиты могут быть использованы для защиты сети от распределенных DDoS-атак (эти меры работают в случае DoS-атаки и в целом их полезно применять для построения комплексной системы безопасности):
— Введение ограничений на количество пропускаемых пакетов ICMP и SYN на интерфейсах маршрутизаторов.
— Фильтрация частных IP-адресов, используя листы контроля доступа (ACL) на маршрутизаторах.
— Применение входящей и исходящей фильтрации на всех граничных маршрутизаторах.

Kom-Way.Team

Использование материалов этого сайта разрешено только с согласия komway.ru и наличии прямой ссылки на источник.

Атака против WPA2, позволяющая перехватить трафик в WiFi-сети

Раскрыты детали новой техники атаки KRACK (Key Reinstallation Attacks), позволяющей вклиниться в беспроводное соединение на базе технологии WPA2 и организовать перехват или подстановку трафика без подключения к беспроводной сети и без определения пароля доступа. Новая техники атаки сводит на нет уровень защиты WPA2, делая работу через WPA2 не более защищённой чем, работа в публичной WiFi-сети. Всем пользователям рекомендуется обязательно использовать дополнительные уровни защиты при работе с конфиденциальными данными при соединении через WPA2, такие как VPN или обращение к ресурсам только по HTTPS.

Атака беспроводных пакетных радиосетей

Когда вы работаете в Интернете через беспроводную сеть, то всегда есть риск потерять свои учетные данные, заполняя их при регистрации или авторизации на закрытом сайте. Эти данные можно легко перехватить, так как чаще всего они передаются в сети в незашифрованном виде. Если для соединения используется протокол HTTP, данные передаются в явном виде и все что остается сделать для получения вашего пароля – это просто найти его в перехваченных пакетах. В статье мы рассмотрим программы-анализаторы, которые могут быть использованы для получения учетных данных при работе с беспроводными сетями. Но для начала будет приведена небольшая классификация беспроводных сетей и видов атак на эти сети.

Виды беспроводных сетей

Доступ к беспроводной широкополосной радиосети может быть обеспечен через: WLAN (Wireless Local Area Network), WMAN (Wireless Metropolitan Area Network) и WWAN (Wireless Wide Area Network).

Сеть, построенная по схеме WLAN, состоит из беспроводного клиента (абонента) и точки доступа. Точка доступа может быть подключена непосредственно к Интернету, либо другой сетевой инфраструктуре. В качестве среды передачи используется ISM радиодиапазон 2.4 и 5 ГГц. Принципы шифрования сетей WLAN описывается в наборе стандартов Wi-Fi 802.11. Ряд различных протоколов, определенных в этом семействе стандартов имеет различные рабочие частоты и различную максимальную пропускную способность. Краткий обзор стандартов приведен в таблице ниже:

Несмотря на то, что стандарт 11a занимает первое место в приведенной таблице, первым на свет появился 802.11b и стал широко распространенным стандартом беспроводных сетей, а уже затем появились 11a, 11g и т.д. Дело в том, что работа над 11a началась раньше, и параллельно велась работа с 11b, который имел счастье быть законченным быстрее.

Сети WMAN – это одна из форм беспроводной сети, которая имеет зону охвата «размера города». Типичным представителем таких сетей является WiMAX (IEEE 802.16), который представляет собой беспроводной цифровой стандарт связи, имеющий высокую надежность, скорость передачи данных и эффективность. Сети, построенные на базе WiMAX, могут обеспечить радиус покрытия территории до 50 км.

Здесь стоит отметить, что понятие радиуса покрытия той или иной беспроводной технологии вещь очень относительная и спорная. Здесь скорее речь идет о том, каких масштабов целесообразно строить сеть определенной технологии. Если упороться очень постараться, то на 50 км можно развернуть сеть и на базе Wi-Fi, вот только эффективна ли будет эта сеть? Так что подобная классификация относительна, но не лишена здравого смысла. Двигаемся дальше.

Сети WWAN призваны охватывать гораздо более широкую область, нежели Wi-Fi или WiMAX, с охватом на межнациональной или даже глобальной основе. Обеспечить нас беспроводными глобальными сетями с большой дальностью позволяют сотовые сети, такие как GPRS, HSPA, UMTS и конечно же в перспективе глобальное покрытие LTE.

Визуально представить описанную классификацию поможет диаграмма, приведенная на рисунке 1 ниже:

Нами не были рассмотрены сети PAN (Persanal Area Network) персональные сети, имеющие малые радиусы действия (до 10 метров) и построенные на таких технологиях как Bluetooth и ZigBee. Опустим их рассмотрение, так как в большинстве своем проблемы безопасности в таких сетях не стоят так остро, как в выше рассмотренных сетях.

Классификация атак на беспроводные Wi-Fi сети

С классификацией самих беспроводных сетей определились, теперь же определимся с классификацией атак на эти сети. Ниже будут даны только общие описания используемых атак без подробного описания их реализации. О реализации некоторых из них поговорим ниже.

Вредоносные соединения (англоязычный термин – Malicious Associations) – это такой вид атаки, при которой беспроводное устройство злоумышленника подключается к сети вместо «законного пользователя». С использованием компьютерных программ злоумышленник заставил думать точку доступа, что его устройство является компьютером авторизованного пользователя. Для подобной атаки хакеру достаточно узнать связку логин-пароль для доступа в сеть. После того как доступ был получен злоумышленник может получить пароли, запускать атаки на сеть или размножать троянов. Так как беспроводные сети работают на 2 и 3 уровнях модели OSI, то никакие VPN здесь не помогут и подобный вид атаки может быть очень опасным и оказать катастрофические последствия на работу сети. UML-модель данной атаки показана на рисунке 2.

Подмена MAC-адреса (MAC Spoofing) – злоумышленник прослушивает сетевой трафик и идентифицирует MAC-адрес компьютера, имеющего права на работу в сети. Большинство беспроводных сетей используют фильтрацию MAC-адреса, чтобы разрешить доступ только авторизованным сетевым устройствам с конкретным MAC-ID. В 802.11 есть существенный косяк, связанный с тем, что MAC-адреса передаются в заголовках пакетов в незашифрованном виде. Никакого специального оборудования для его обнаружения не требуется, достаточно любого ПО-анализатора, способного показать структуру пакета, рисунок 3.

Man-In-The-Middle – мужик по середине атака посредника. Модель атаки выглядит следующим образом: атакующий находится между легитным абонентом и точкой доступа. Злоумышленник подключается к точке доступа и производит подмену сообщений, которыми обмениваются абоненты с точкой доступа. Конечно же, абонент не знает о существовании «посредника». Взломщик, подключившись к каналу связи, может осуществлять вмешательство в протокол передачи сообщений, удаляя или искажая в нем информацию, рисунок 4.

Network Injection – позволяет злоумышленникам использовать точки доступа, которые передают нефильтрованный сетевой трафик, такой как Spanning Tree, OSPF, RIP, HSRP. Злоумышленник может вводить фиктивные команды конфигурации сети, которые могут повлиять на маршрутизаторы, коммутаторы и хабы. В результате действия хакера целая сеть может потребовать перезагрузки или даже перепрошивки большого количества устройств.

Caffe Latte. Оригинальное название атаки, применяемое в англоязычной литературе. Называется она так, потому что получение пароля от беспроводной сети можно обеспечить менее чем за 6 минут. В общем, пока готовится кофе. 🙂 Данная атака позволяет получить WEP ключ прямо из операционной системы клиента, при этом взломщику даже не обязательно находится в зоне обслуживания беспроводной точки доступа. Если кратко, то делается это путем захвата пакета ARP от клиента, производятся небольшие манипуляции с содержимым пакеты и впоследствии его отправка обратно клиенту. Применяется в сочетании с вышеописанным методом.

Denial-of-Service, или DoS атака. Дословно переводится как «Отказ в обслуживании», происходит тогда, когда злоумышленник постоянно посылает точке доступа различные запросы, такие как запрос соединения, сообщения о себе и другие команды. В результаты от огромного количества сообщений точка доступа может быть отключена на какое-то время. После возвращения точки доступа в эфир, между всеми устройствами, которые она раньше обслуживала, будет проходить процедура «рукопожатия» с обменом ключей для установления соединения. Злоумышленник может перехватить пакеты рукопожатия и получить несанкционированный доступ к системе.

Перечисленный список атак является лишь верхушкой айсберга по сравнению с тем огромным количеством разновидностей атак, которые в настоящее время возможны в сети.

Симуляция атаки на конкретную Wi-Fi сеть

В этом разделе будет построена беспроводная сеть и смоделирована ее атака. Цель данного эксперимента заключается в том, чтобы, во-первых, продемонстрировать возможность взлома беспроводной сети с помощью программного обеспечения, находящего на просторах Интернета в свободном доступе, а, во-вторых, показать, что в результате этой атаки в принципе может быть получена важная и конфиденциальная информацию о пользователях.

Модель атаки: мы находимся в кафе, где можно получить халявный бесплатный доступ к Wi-Fi. Предположим, что в данной задаче проблема получения пароля перед нами не стоит, так как пароль для доступа в сеть можно получить у официанта, либо у любого сотрудника заведения. Нам интересна возможность получения конфиденциальной информации, такой как логин-пароль от социальных сетей, либо почтовых ящиков.

В эксперименте используются персональные устройства пользователей под управлением различным операционных систем и ноутбука. Мониторинг сети производится с ноутбука под управлением ОС Windows 10 с использованием программных пакетов: Cain & Abel и Wireshark.

В рассматриваемых моделях атак учувствовали респонденты, предупрежденные об эксперименте и о том, что на них тестируется возможность получения конфиденциальных данных. Рассмотрим алгоритмы атак с описанием используемого программного обеспечения.

Cain & Abel – это инструмент подбора и восстановления пароля для операционных систем Microsoft. Программа позволяет определять пароли прослушиванием сетевого трафика, а также с использованием большого количество словарей, встроенного криптоанализатора, возможна даже запись разговора по VoIP. Программа может подбирать пароли для доступных беспроводных сетей, расшифровывать кэшированные пароли и производить анализ протоколов маршрутизации.

Ниже будет приведен принцип использования ПО C&A для атаки беспроводной сети по алгоритму Man-In-The-Middle совместно в Caffe Latte.

Скачать программу можно на следующем сайте: oxid.it. Установка и запуск программы происходит стандартно, как и любое другое приложение для Windows. После запуска программы, выглядеть она должна так, как показано на рисунке ниже:

Перед началом работы нужно убедиться, что в настройках выбрано правильное сетевое устройство, через которое будет производиться мониторинг сети. Это актуально в том случае, если на вашей рабочей станции их больше одного. Делается это из меню Configure в верхнем меню программы, рисунок 6.

Первым делом необходимо определить соседние устройства, которые функционируют с вами в одной локальной сети. Для этого переходим последовательно по закладкам, изображенным на рисунке 7. 1 – Sniffer; 2 – Start/Stop Sniffer (активируем сниффер-бота); 3 – выбираем диапазон мак-адресов, сканирование которых предполагается. В данном случае нас интересуют все устройства, доступные в нашей подсети, поэтому выбираем «All hosts in my subnet» – ok.

На рисунке 8 показан результат работы запущенного бота. Можно увидеть, что в локальной сети найдено 4 устройства.

Применительно к данной сети модель атаки будет выглядеть следующим образом: атакующий (в данном случае наш компьютер) становится посредником между хостом 1 и точкой выхода в глобальную сеть Интернет. Хост 1 думает, что атакующая машина является роутером, а роутер думает, что атакующий является хостом 1. Таким образом, атакующий становится транзитным звеном, через который проходит весь трафик, рисунок 9.

На следующем шаге, в программе нужно настроить данную модель. Один из вариантов – это использовать «зараженные» ARP пакеты. О работе и назначении протокола ARP можно почитать в специальной литературе, здесь же мы опустим принцип его работы, отметим лишь суть: когда хост 1 пошлет широковещательный запрос для определения мак-адреса получателя, наша машина «представится» этим получателем, хоть таковым и не является. С этого момента хост 1 будет посылать через нас все свои пакеты.

Для модификации протоколов ARP переходим по вкладкам: 1–2–3–4. На 3 шаге выбирается конфигурация нашего сетевого интерфейса, а на 4 – атакуемого, рисунок 10.

Если все выполнено правильно, должна появиться запись, изображенная на рисунке 11. Жмем Start/stop APR, после чего статус записи меняется с Idle на Poisoning.

После этого, все сетевые операции, произведенные пользователем на прослушиваемом компьютере, будут отображаться в программном пакете в нижней части программы. При этом слева будет показано количество перехваченных пакетов различных сетевых протоколов: SSH, HTTPS, FTP. Например, на рисунке 12 показано, что количество HTTPS пакетов –128 штук.

В программе имеется отдельная вкладка Password, которая позволяет просмотреть сразу все пакеты, которые содержали пароли, рисунок 13. Таким образом, это лишает необходимости просматривать содержимое всех полученных HTTP пакетов на предмет содержания в них связки логин-пароль.

Таким нехитрым способом могут быть получены учетные данные пользователей с помощью рассмотренной программы. Перейдем к рассмотрению следующей программы.

Wireshark – это анализатор сетевых протоколов, который позволяет в интерактивном режиме просматривать трафик, проходящий по компьютерным сетям. Программа очень популярна среди системных администраторов, и, скорее всего, каждый специалист, чья работа связана с эксплуатацией компьютерных сетей хотя бы раз в ней работал. Инструмент очень функциональный и включает в себя возможность тестирования сотен протокол: Ethernet, 802.11, HDLC, ATM, Bluetooth, USB, Token Ring. Программа умеет расшифровывать многие протоколы, включая IPsec, Kerberos, SNMP, SSL/TLS, WEP, WPA и WPA2.

При подключении к сети по тому же сценарию, что и выше, программа позволяет перехватывать пакеты. Так же, как и в предыдущей программе, сначала выбираем сетевой интерфейс и жмем кнопку начала мониторинга трафика, рисунок 14.

Достаточно пользователю открыть страницу браузера, как в Wireshark»e начнет появляться большое количество перехваченных пакетов. Для получения конфиденциальных данных злоумышленника, конечно же, интересуют только определенные типы пакетов, содержащие так называемые POST данные. Этот тип данных появляется при заполнении формы авторизации в браузере. Для отображения подобных пакетов в поле Filet программы Wireshark нужно ввести команду http.request.method == «POST». И если такой тип данных был перехвачен, то программа тут же отобразит эти пакеты, рисунок 15.

Нажав ПКМ на выбранный пакет и перейдя по вкладкам Follow – TCP Stream можно отобразить содержимое пакета, в котором просматриваются поля password и user, рисунок 16.

Вероятнее всего, эти поля будут зашифрованы, если пакет прилетел из Facebook, Vkontakte и других прошаренных сервером. Поэтому для расшифровки пароля придется использовать ресурс http://www.onlinehashcrack.com/hash-identification.php#res, либо утилиту hashcat.

К слову сказать, с помощью Wireshark может быть осуществлён перехват пароля WPA2 в сети Wi-Fi. Для этого, правда, нужно перехватить пакеты «рукопожатия» между абонентом и точкой доступа. Тут два варианта: либо дождаться, когда это рукопожатие произойдет само собой, что, конечно же, может быть значительно долго, но как показывает практика в среднем – чуть больше 20-ти часов. Либо использовать второй вариант – организация DoS атаки на точку доступа. В этом случае точка доступа уйдет в перезагрузку на какое-то время, а после включения будет инициировать подключение к тем абонентам, с которыми потеряла связь.

Заключение и выводы

Все чаще на улицах, магазинах и в офисах можно встретить заманчивые надписи Free Wi-Fi, но не стоит вестись на халяву, забыв о безопасности. Атаки типа Man-In-The-Middle, Café Latte, Denial-of-Service не являются редкостью, и как было показано в материалах данной статьи легко реализуются с помощью бесплатного программного обеспечения, в пару кликов устанавливаемого на самую популярную в мире операционную систему семейства Windows. Тем не менее, можно сформулировать несколько общих правил безопасности, соблюдение которых может в значительной мере обезопасить вашу работу в сети:

1. Отключайте автоматическое подключение к доступным Wi-Fi сетям;
2. Избегайте подключения к точкам доступа с отключенным шифрованием передаваемых данных;
3. Предпочтительнее всего для серфинга в Интернете использовать точки доступа с включенным WPA/WPA2 шифрованием. На сегодняшний день это самый надежный тип кодирования данных в Wi-Fi;
4. В общественных сетях Wi-Fi лучше вообще избежать осуществление финансовых операций покупки в интернет-магазинах, проверку электронной почты и т.д. То есть не посещать все те ресурсы, где требуется аутентификация;
5. Лучше вообще выключать адаптер Wi-Fi на телефоне, или ноутбуке, если не требуется подключение к сети.