W jaki sposób haker w publicznej sieci WIFI faktycznie widzi Twój komputer?

27

Przeczytałem, że mogą zobaczyć, które strony oglądasz, a nawet uzyskać dostęp do twojego komputera, jeśli jesteś podłączony do tego samego połączenia WIFI, ale jak dokładnie?

wireless-networking security internet lan IMB
źródło
BackTrack, dystrybucja Linuksa oparta na Debianie, jest często używana do tego. Często jest to system operacyjny wybierany zarówno dla Czarnych, jak i Białych Kapeluszy.
Blomkvist

Odpowiedzi:

41

Należy dokonać pewnych wyjaśnień. Po pierwsze, osoba atakująca może trywialnie wykonać następujące techniki tylko wtedy, gdy publiczna sieć Wi-Fi jest całkowicie niezaszyfrowana (to znaczy nie wymaga hasła) lub wdraża słaby protokół prywatności WEP. Aby zapewnić większe bezpieczeństwo, sieci bezprzewodowe mogą korzystać z certyfikatów WPA lub WPA2. Jak zauważył @BlueRaja w komentarzach do tego postu, WPA i WPA2 używają ostrzejszych protokołów bezpieczeństwa, zwanych TKIP i CCMP. Zarówno WPA, jak i WPA2 obsługują TKIP, ale tylko WPA2 obsługuje CCMP, co jest znacznie bezpieczniejsze. W idealnym świecie WPA2 korzystająca z CCMP byłaby używana we wszystkich miejscach. (Jest też cały świat miejsca na rozmowy o WPA2-Personal kontra WPA2-Enterprise, ale to inne pytanie.) Na potrzeby tej odpowiedzi założymy, że nie ma hasła, więc sieć jest całkowicie niezaszyfrowane.

Odpowiedzi Spiffa i diogo_rocha wskazują na wąchanie pakietów, które jest najprostszą formą wtargnięcia. Darmowy program, taki jak tcpdump, może służyć do przechwytywania wszystkich danych przesyłanych przez połączenie bezprzewodowe, w tym zarówno ruchu do lub z komputera. W ten sposób każdy niezaszyfrowany ruch internetowy do / z twojego komputera może być w przejrzysty sposób oglądany w danym momencie lub później. W najprostszym przypadku dotyczy to każdej witryny, którą odwiedzasz, ale jeśli dane witryny nie używają HTTPS (zielony symbol kłódki na pasku przeglądarki), może to obejmować hasła i nazwy użytkowników. To jest złe.

Spiff wspomniał o słabych punktach włamań, albo przez VNC (lub SSH na komputerach z Uniksem), albo znane luki w zabezpieczeniach. Narzędzia takiego jak nmap można użyć do cichego skanowania komputera w poszukiwaniu usług, które pozostawiono otwarte, a następnie można użyć do próby włamania się do nich. W szczególności udostępnianie pulpitu zdalnego i ekranu umożliwia prostą wizualną obserwację wszystkich zachowań na komputerze.

Niezałatane exploity są gorsze. Korzystając z nich, osoba atakująca może uruchomić dowolny kod na komputerze. Najczęściej będzie to wymagało instalacji jakiegoś oprogramowania szpiegującego, takiego jak keylogger. Ponownie, w otwartej sieci bezprzewodowej, jeśli masz taką podatność, zlokalizowanie jej za pomocą nmap może być dość proste, a Metasploit Framework zapewnia bezpłatny dostęp do ogromnej liczby znanych luk. Dlatego specjaliści od bezpieczeństwa i doświadczeni użytkownicy komputerów nalegają, aby zawsze stosować poprawki i aktualizacje JAK NAJSZYBCIEJ, chyba że masz bardzo dobry powód, aby tego nie robić. Na komputerze z systemem Windows włącz automatyczne aktualizacje.

Dodatkowo, wspomniane zarówno przez @yosh m, jak i @Scott Chamberlain, przejmowanie sesji stało się głównym tematem wiadomości w ciągu ostatnich kilku miesięcy, a także jest stosunkowo łatwe do wdrożenia za pośrednictwem otwartego WiFi. Aby wyjaśnić, co to jest, musisz zrozumieć, że po zalogowaniu się do witryny Twój login jest zapisywany w pliku cookie przeglądarki, dzięki czemu strona internetowa wie, że każde nowe połączenie jest nadal tobą (jest to ogromne uproszczenie, ale ze względów kosmicznych nie będę się rozwijał: zobacz link do kominka w tym akapicie, aby uzyskać więcej informacji). Niestety, jeśli HTTPS nie jest używany (lub używany jest atak typu man-in-the-middle w celu ustanowienia fałszywego połączenia HTTPS, patrz następny akapit), te pliki cookie są wysyłane w postaci zwykłego tekstu i transmitowane do całej sieci bezprzewodowej. W ten sposób każdy, kto go słucha, może złapać ten plik cookie i skorzystać z funkcji piggyback w sesji. Zostało to zaimplementowane we wtyczce Firefox o nazwie Firesheep. Świetna dyskusja autora wtyczki jest tutaj:http://codebutler.com/firesheep-a-day-later , i możesz znaleźć wtyczkę bez żadnych trudności. Najprostszym sposobem na ochronę się przed tym jest upewnienie się, że zawsze używasz HTTPS do wysyłania poświadczeń i nawiązywania połączeń z uwierzytelnionymi usługami.

Wreszcie otwarte sieci bezprzewodowe umożliwiają ataki znane jako ataki typu Man-In-The-Middle. Dzieje się tak, gdy maszyna przechwytuje ruch przeznaczony dla strony trzeciej, dostosowuje go lub rejestruje, a następnie wysyła. To może być realizowane, gdy wierzysz używasz HTTPS, a jako wynik powinien być ostrożnie stosowane w otwartych sieciach bezprzewodowych nawet gdy HTTPS by spowodować, że jesteś bezpieczny.

Chociaż nie zadałeś tego bezpośrednio, szybko zasugeruję najprostszy sposób na uniknięcie tych problemów: skonfiguruj VPN i korzystaj z niego za każdym razem, gdy korzystasz z niezabezpieczonej sieci bezprzewodowej i upewnij się, że wiesz, jak działa zapora. Obie te rzeczy można zbadać za pomocą szybkiego wyszukiwania Google i powinny złagodzić wszystkie problemy, o których wspomniałem.

Lukasa
źródło
3
Świetny post, ale tak naprawdę nigdy nie mówisz o przejmowaniu sesji, na przykład o tym, co robi firesheep. Założę się o pieniądze, że OP usłyszał coś o owieczce i przyszedł tu o to zapytać.
Scott Chamberlain
3
Nitpick: WPA i WPA2 nie są protokołami (jak WEP), są certyfikatami. „WPA” oznacza, że ​​obsługuje słabszy protokół TKIP, a „WPA2” oznacza, że ​​obsługuje zarówno protokoły TKIP, jak i CCMP. To rozróżnienie jest ważne, ponieważ ktoś z routerem WPA2 może sądzić, że używa bezpieczniejszego protokołu (CCMP), podczas gdy tak naprawdę używa słabszego protokołu (TKIP).
BlueRaja - Danny Pflughoeft
5
HTTPS w niezabezpieczonych sieciach z nowoczesną przeglądarką internetową jest całkowicie bezpieczny i nie jest podatny na ataki typu man-in-the-middle, bez wielu ostrzeżeń przeglądarki o tym, że certyfikat jest nieważny. Uzgadnianie HTTPS najpierw sprawdza na serwerze, czy jego certyfikat dla witryny jest ważny od zaufanego organu dla konkretnej domeny, a następnie przeglądarka generuje główny klucz tajny, szyfruje go za pomocą klucza publicznego serwera, odsyła go z powrotem do serwera zaszyfrowanego i następnie klucz tajny jest wykorzystywany zarówno przez klienta, jak i serwer do utworzenia klucza symetrycznego. support.microsoft.com/kb/257591
dr jimbob
1
@jimbob: Niestety interwencja rządu nie jest konieczna. Niedawno pojawiło się kilka głośnych wiadomości z urzędów certyfikacji, które rozdały certyfikaty dla witryn, w tym skype.com, facebook.com i addons.mozilla.com facetowi z Iranu. To jest pojedyncza instancja, ale tak się dzieje. Przy odrobinie inżynierii społecznej jest całkowicie możliwe uzyskanie oszukańczego certyfikatu. Chociaż mam zwyczaj sprawdzania certyfikatów witryn, które odwiedzam, i zwracam uwagę na ostrzeżenia przeglądarki, wiele z nich nie. Dodaj do tego łatwość przechwytywania ruchu w niezabezpieczonej sieci bezprzewodowej, a zobaczysz moją troskę.
Lukasa
3
Publiczne hotspoty korzystające z WPA [2] prawie zawsze robią to za pomocą jednego klucza współdzielonego (inaczej WPA [2] -PSK, WPA [2] Personal), z którego korzystają wszyscy w hotspocie. W ten sposób każdy w sieci może sfałszować komputer, przechwycić kolejny kluczowy uścisk dłoni, a następnie odszyfrować cały zaszyfrowany ruch WPA / WPA2. To nie omija ich liczników powtórek i dlatego sprawia, że ​​jesteś mniej podatny na ataki bezprzewodowe MitM i przechwytywanie sesji, ale nadal widzą twoje nieszyfrowane surfowanie po Internecie. Pod tym względem WPA2-PSK nie jest lepszy od WPA-PSK.
Spiff
7

Aby uzyskać otrzeźwiające (i przerażające) spojrzenie na niektóre rzeczy, które mogą z łatwością zrobić, zapoznaj się z dyskusją Steve'a Gibsona na temat Firesheep znajdującą się pod adresem http://steve.grc.com/2010/10/28/why-firesheeps-time -has-come / - oraz dyskusja na temat tego, jak właściciele punktów dostępowych mogą łatwo chronić się przed tym exploitem.

yosh m
źródło
Myślę, że oryginalny post pytał o owieczki ogniowe w sposób, w jaki o to prosił, zalecałbym również wysłuchanie teraz odcinka o bezpieczeństwie ( transkrypcja ).
Scott Chamberlain
6

Aby zobaczyć odwiedzane witryny, wystarczy uruchomić narzędzie do wykrywania pakietów, które przechwytuje cały ruch sieciowy przesyłany drogą radiową. Niezaszyfrowany ruch HTTP można łatwo odtworzyć.

Jeśli chodzi o przeglądanie komputera, niektóre osoby pozostawiają włączoną funkcję udostępniania plików i / lub pulpitu zdalnego / VNC / udostępniania ekranu z wyjątkowo słabymi hasłami. Możliwe jest również, że mogą użyć znanych niezałatanych luk w zabezpieczeniach komputera, aby uzyskać dostęp.

Spiff
źródło
1
+1 Bardzo łatwe i zbyt powszechne. Niektórzy nawet stworzyli fałszywy hot spot o wspólnej nazwie, aby przyciągnąć użytkowników.
Dave M
2

Innym potencjalnym zagrożeniem związanym z publiczną siecią Wi-Fi jest istnienie „Rogue Access Points”, zwłaszcza wariant Evil Twin .

Mówiąc najprościej, atakujący tworzy bezprzewodowy punkt dostępu o tej samej nazwie i (sfałszowanym) adresie MAC jak prawdziwy AP w pobliżu komputera ofiary - powiedzmy na przykład Starbucks.

Atakujący może następnie wysłać pakiety de-uwierzytelnienia, powodując odłączenie wszystkich podłączonych klientów od prawdziwej sieci Starbucks. Gdy zaatakowane urządzenia podejmą próbę ponownego połączenia, zamiast tego połączą się z punktem dostępowym „Evil Twin” (o ile emituje silniejszy sygnał radiowy).

Atakujący może następnie wykonać atak typu „osoba w środku” na urządzenia, których dotyczy problem, umożliwiając np. Przejęcie sesji i inne ataki opisane w powyższych plakatach.

jsaigle
źródło
1

Jedną z technik jest wąchanie pakietów, które routują router / przełącznik Wi-Fi, jednak większość rzeczywistych routerów Wi-Fi używa kryptografii do szyfrowania danych na podróżujących pakietach. Haker może w tym przypadku użyć brutalnej siły, aby odkryć klucz kryptograficzny (w tym przypadku, gdy używasz niskiego poziomu algorytmu kryptograficznego, takiego jak WEP). Obecnie większość modemów Wi-Fi korzysta z protokołu 802.11n, który wykorzystuje wysoki poziom algorytmów kryptograficznych.

Diogo
źródło