W jaki sposób haker w publicznej sieci WIFI faktycznie widzi Twój komputer?

27

Przeczytałem, że mogą zobaczyć, które strony oglądasz, a nawet uzyskać dostęp do twojego komputera, jeśli jesteś podłączony do tego samego połączenia WIFI, ale jak dokładnie?

IMB
źródło
BackTrack, dystrybucja Linuksa oparta na Debianie, jest często używana do tego. Często jest to system operacyjny wybierany zarówno dla Czarnych, jak i Białych Kapeluszy.
Blomkvist

Odpowiedzi:

41

Należy dokonać pewnych wyjaśnień. Po pierwsze, osoba atakująca może trywialnie wykonać następujące techniki tylko wtedy, gdy publiczna sieć Wi-Fi jest całkowicie niezaszyfrowana (to znaczy nie wymaga hasła) lub wdraża słaby protokół prywatności WEP. Aby zapewnić większe bezpieczeństwo, sieci bezprzewodowe mogą korzystać z certyfikatów WPA lub WPA2. Jak zauważył @BlueRaja w komentarzach do tego postu, WPA i WPA2 używają ostrzejszych protokołów bezpieczeństwa, zwanych TKIP i CCMP. Zarówno WPA, jak i WPA2 obsługują TKIP, ale tylko WPA2 obsługuje CCMP, co jest znacznie bezpieczniejsze. W idealnym świecie WPA2 korzystająca z CCMP byłaby używana we wszystkich miejscach. (Jest też cały świat miejsca na rozmowy o WPA2-Personal kontra WPA2-Enterprise, ale to inne pytanie.) Na potrzeby tej odpowiedzi założymy, że nie ma hasła, więc sieć jest całkowicie niezaszyfrowane.

Odpowiedzi Spiffa i diogo_rocha wskazują na wąchanie pakietów, które jest najprostszą formą wtargnięcia. Darmowy program, taki jak tcpdump, może służyć do przechwytywania wszystkich danych przesyłanych przez połączenie bezprzewodowe, w tym zarówno ruchu do lub z komputera. W ten sposób każdy niezaszyfrowany ruch internetowy do / z twojego komputera może być w przejrzysty sposób oglądany w danym momencie lub później. W najprostszym przypadku dotyczy to każdej witryny, którą odwiedzasz, ale jeśli dane witryny nie używają HTTPS (zielony symbol kłódki na pasku przeglądarki), może to obejmować hasła i nazwy użytkowników. To jest złe.

Spiff wspomniał o słabych punktach włamań, albo przez VNC (lub SSH na komputerach z Uniksem), albo znane luki w zabezpieczeniach. Narzędzia takiego jak nmap można użyć do cichego skanowania komputera w poszukiwaniu usług, które pozostawiono otwarte, a następnie można użyć do próby włamania się do nich. W szczególności udostępnianie pulpitu zdalnego i ekranu umożliwia prostą wizualną obserwację wszystkich zachowań na komputerze.

Niezałatane exploity są gorsze. Korzystając z nich, osoba atakująca może uruchomić dowolny kod na komputerze. Najczęściej będzie to wymagało instalacji jakiegoś oprogramowania szpiegującego, takiego jak keylogger. Ponownie, w otwartej sieci bezprzewodowej, jeśli masz taką podatność, zlokalizowanie jej za pomocą nmap może być dość proste, a Metasploit Framework zapewnia bezpłatny dostęp do ogromnej liczby znanych luk. Dlatego specjaliści od bezpieczeństwa i doświadczeni użytkownicy komputerów nalegają, aby zawsze stosować poprawki i aktualizacje JAK NAJSZYBCIEJ, chyba że masz bardzo dobry powód, aby tego nie robić. Na komputerze z systemem Windows włącz automatyczne aktualizacje.

Dodatkowo, wspomniane zarówno przez @yosh m, jak i @Scott Chamberlain, przejmowanie sesji stało się głównym tematem wiadomości w ciągu ostatnich kilku miesięcy, a także jest stosunkowo łatwe do wdrożenia za pośrednictwem otwartego WiFi. Aby wyjaśnić, co to jest, musisz zrozumieć, że po zalogowaniu się do witryny Twój login jest zapisywany w pliku cookie przeglądarki, dzięki czemu strona internetowa wie, że każde nowe połączenie jest nadal tobą (jest to ogromne uproszczenie, ale ze względów kosmicznych nie będę się rozwijał: zobacz link do kominka w tym akapicie, aby uzyskać więcej informacji). Niestety, jeśli HTTPS nie jest używany (lub używany jest atak typu man-in-the-middle w celu ustanowienia fałszywego połączenia HTTPS, patrz następny akapit), te pliki cookie są wysyłane w postaci zwykłego tekstu i transmitowane do całej sieci bezprzewodowej. W ten sposób każdy, kto go słucha, może złapać ten plik cookie i skorzystać z funkcji piggyback w sesji. Zostało to zaimplementowane we wtyczce Firefox o nazwie Firesheep. Świetna dyskusja autora wtyczki jest tutaj:http://codebutler.com/firesheep-a-day-later , i możesz znaleźć wtyczkę bez żadnych trudności. Najprostszym sposobem na ochronę się przed tym jest upewnienie się, że zawsze używasz HTTPS do wysyłania poświadczeń i nawiązywania połączeń z uwierzytelnionymi usługami.

Wreszcie otwarte sieci bezprzewodowe umożliwiają ataki znane jako ataki typu Man-In-The-Middle. Dzieje się tak, gdy maszyna przechwytuje ruch przeznaczony dla strony trzeciej, dostosowuje go lub rejestruje, a następnie wysyła. To może być realizowane, gdy wierzysz używasz HTTPS, a jako wynik powinien być ostrożnie stosowane w otwartych sieciach bezprzewodowych nawet gdy HTTPS by spowodować, że jesteś bezpieczny.

Chociaż nie zadałeś tego bezpośrednio, szybko zasugeruję najprostszy sposób na uniknięcie tych problemów: skonfiguruj VPN i korzystaj z niego za każdym razem, gdy korzystasz z niezabezpieczonej sieci bezprzewodowej i upewnij się, że wiesz, jak działa zapora. Obie te rzeczy można zbadać za pomocą szybkiego wyszukiwania Google i powinny złagodzić wszystkie problemy, o których wspomniałem.

Lukasa
źródło
3
Świetny post, ale tak naprawdę nigdy nie mówisz o przejmowaniu sesji, na przykład o tym, co robi firesheep. Założę się o pieniądze, że OP usłyszał coś o owieczce i przyszedł tu o to zapytać.
Scott Chamberlain
3
Nitpick: WPA i WPA2 nie są protokołami (jak WEP), są certyfikatami. „WPA” oznacza, że ​​obsługuje słabszy protokół TKIP, a „WPA2” oznacza, że ​​obsługuje zarówno protokoły TKIP, jak i CCMP. To rozróżnienie jest ważne, ponieważ ktoś z routerem WPA2 może sądzić, że używa bezpieczniejszego protokołu (CCMP), podczas gdy tak naprawdę używa słabszego protokołu (TKIP).
BlueRaja - Danny Pflughoeft
5
HTTPS w niezabezpieczonych sieciach z nowoczesną przeglądarką internetową jest całkowicie bezpieczny i nie jest podatny na ataki typu man-in-the-middle, bez wielu ostrzeżeń przeglądarki o tym, że certyfikat jest nieważny. Uzgadnianie HTTPS najpierw sprawdza na serwerze, czy jego certyfikat dla witryny jest ważny od zaufanego organu dla konkretnej domeny, a następnie przeglądarka generuje główny klucz tajny, szyfruje go za pomocą klucza publicznego serwera, odsyła go z powrotem do serwera zaszyfrowanego i następnie klucz tajny jest wykorzystywany zarówno przez klienta, jak i serwer do utworzenia klucza symetrycznego. support.microsoft.com/kb/257591
dr jimbob
1
@jimbob: Niestety interwencja rządu nie jest konieczna. Niedawno pojawiło się kilka głośnych wiadomości z urzędów certyfikacji, które rozdały certyfikaty dla witryn, w tym skype.com, facebook.com i addons.mozilla.com facetowi z Iranu. To jest pojedyncza instancja, ale tak się dzieje. Przy odrobinie inżynierii społecznej jest całkowicie możliwe uzyskanie oszukańczego certyfikatu. Chociaż mam zwyczaj sprawdzania certyfikatów witryn, które odwiedzam, i zwracam uwagę na ostrzeżenia przeglądarki, wiele z nich nie. Dodaj do tego łatwość przechwytywania ruchu w niezabezpieczonej sieci bezprzewodowej, a zobaczysz moją troskę.
Lukasa
3
Publiczne hotspoty korzystające z WPA [2] prawie zawsze robią to za pomocą jednego klucza współdzielonego (inaczej WPA [2] -PSK, WPA [2] Personal), z którego korzystają wszyscy w hotspocie. W ten sposób każdy w sieci może sfałszować komputer, przechwycić kolejny kluczowy uścisk dłoni, a następnie odszyfrować cały zaszyfrowany ruch WPA / WPA2. To nie omija ich liczników powtórek i dlatego sprawia, że ​​jesteś mniej podatny na ataki bezprzewodowe MitM i przechwytywanie sesji, ale nadal widzą twoje nieszyfrowane surfowanie po Internecie. Pod tym względem WPA2-PSK nie jest lepszy od WPA-PSK.
Spiff
7

Aby uzyskać otrzeźwiające (i przerażające) spojrzenie na niektóre rzeczy, które mogą z łatwością zrobić, zapoznaj się z dyskusją Steve'a Gibsona na temat Firesheep znajdującą się pod adresem http://steve.grc.com/2010/10/28/why-firesheeps-time -has-come / - oraz dyskusja na temat tego, jak właściciele punktów dostępowych mogą łatwo chronić się przed tym exploitem.

yosh m
źródło
Myślę, że oryginalny post pytał o owieczki ogniowe w sposób, w jaki o to prosił, zalecałbym również wysłuchanie teraz odcinka o bezpieczeństwie ( transkrypcja ).
Scott Chamberlain
6

Aby zobaczyć odwiedzane witryny, wystarczy uruchomić narzędzie do wykrywania pakietów, które przechwytuje cały ruch sieciowy przesyłany drogą radiową. Niezaszyfrowany ruch HTTP można łatwo odtworzyć.

Jeśli chodzi o przeglądanie komputera, niektóre osoby pozostawiają włączoną funkcję udostępniania plików i / lub pulpitu zdalnego / VNC / udostępniania ekranu z wyjątkowo słabymi hasłami. Możliwe jest również, że mogą użyć znanych niezałatanych luk w zabezpieczeniach komputera, aby uzyskać dostęp.

Spiff
źródło
1
+1 Bardzo łatwe i zbyt powszechne. Niektórzy nawet stworzyli fałszywy hot spot o wspólnej nazwie, aby przyciągnąć użytkowników.
Dave M
2

Innym potencjalnym zagrożeniem związanym z publiczną siecią Wi-Fi jest istnienie „Rogue Access Points”, zwłaszcza wariant Evil Twin .

Mówiąc najprościej, atakujący tworzy bezprzewodowy punkt dostępu o tej samej nazwie i (sfałszowanym) adresie MAC jak prawdziwy AP w pobliżu komputera ofiary - powiedzmy na przykład Starbucks.

Atakujący może następnie wysłać pakiety de-uwierzytelnienia, powodując odłączenie wszystkich podłączonych klientów od prawdziwej sieci Starbucks. Gdy zaatakowane urządzenia podejmą próbę ponownego połączenia, zamiast tego połączą się z punktem dostępowym „Evil Twin” (o ile emituje silniejszy sygnał radiowy).

Atakujący może następnie wykonać atak typu „osoba w środku” na urządzenia, których dotyczy problem, umożliwiając np. Przejęcie sesji i inne ataki opisane w powyższych plakatach.

jsaigle
źródło
1

Jedną z technik jest wąchanie pakietów, które routują router / przełącznik Wi-Fi, jednak większość rzeczywistych routerów Wi-Fi używa kryptografii do szyfrowania danych na podróżujących pakietach. Haker może w tym przypadku użyć brutalnej siły, aby odkryć klucz kryptograficzny (w tym przypadku, gdy używasz niskiego poziomu algorytmu kryptograficznego, takiego jak WEP). Obecnie większość modemów Wi-Fi korzysta z protokołu 802.11n, który wykorzystuje wysoki poziom algorytmów kryptograficznych.

Diogo
źródło