Счи­тает­ся, что при исполь­зовании Wi-Fi «зона рис­ка» обыч­но не пре­выша­ет пары десят­ков мет­ров. Так, во мно­гих ком­пани­ях по Wi-Fi переда­ют кон­фиден­циаль­ные дан­ные, наив­но полагая, что раз зона пок­рытия надеж­но охра­няет­ся, то сеть в безопас­ности. Но что, если я покажу тебе, как мож­но незамет­но пой­мать, про­ана­лизи­ровать и даже пол­ностью парали­зовать зак­рытую Wi-Fi-сеть, находясь от нее на рас­сто­янии поч­ти в пол­километ­ра?

Wi-Fi. Что может быть про­ще? Каж­дый квад­ратный метр круп­ного города пок­рыт нес­коль­кими бес­про­вод­ными сетями. Точ­ки дос­тупа есть вез­де, а уж «бес­плат­ный сосед­ский Wi-Fi», который есть в каж­дом доме, стал для мно­гих важ­ным каналом дос­тупа в интернет. Бес­про­вод­ная сеть есть на каж­дом круп­ном мероп­риятии и слу­жит не толь­ко для раз­вле­чения учас­тни­ков, во мно­гом она заменя­ет про­вод­ную сеть. Мно­гие пор­татив­ные устрой­ства прос­то невоз­можно под­клю­чить к ста­ционар­ной сети.

Од­нако, помимо бытово­го при­мене­ния, Wi-Fi нашел свое мес­то и в более серь­езных областях. Этот про­токол исполь­зуют впол­не «серь­езные» устрой­ства вро­де пла­теж­ных тер­миналов и бан­коматов. Кро­ме того, быва­ет, что нет воз­можнос­ти или эко­номи­чес­ки нецеле­сооб­разно тянуть про­вода на боль­шое рас­сто­яние. В этом слу­чае при наличии пря­мой видимос­ти исполь­зует­ся нап­равлен­ный Wi-Fi-канал. Даль­ность переда­чи сиг­нала при этом может дос­тигать нес­коль­ких километ­ров.

Оче­вид­но, что чем боль­ше информа­ции переда­ется «по воз­духу», тем острее ста­новят­ся воп­росы, свя­зан­ные с безопас­ностью и защитой. А прак­тика показы­вает, что даже про­вод­ные сети не защище­ны от физичес­кого внед­рения, осо­бен­но на боль­шой про­тяжен­ности (более под­робно о внед­рении в про­вод­ные сети я писал в статье «Тро­янский пони» пару номеров назад). Что же тог­да мож­но ска­зать о бес­про­вод­ной сети, физичес­кий дос­туп к которой откры­вает­ся из любого мес­та, куда рас­простра­няют­ся ради­овол­ны? Казалось бы, получить дос­туп к такой сети не сос­тавит тру­да, одна­ко на прак­тике в город­ской сре­де все ока­зыва­ется не так прос­то.

Прак­тика ради­опе­рех­вата нас­толь­ко же три­виаль­на, нас­коль­ко и идея переда­чи информа­ции по ради­ока­налу. Что каса­ется перех­вата Wi-Fi-сиг­нала, сущес­тву­ет даже отдель­ный тер­мин — вар­драй­винг (от wardriving), который встре­чает­ся все чаще, а нап­расно. Как ты мог догадать­ся из наз­вания, изна­чаль­но под вар­драй­вин­гом под­разуме­валась уста­нов­ка спе­циаль­ного ком­плек­са на авто­мобиль и перед­вижение на нем в рай­онах, где мог­ли быть бес­про­вод­ные сети, через которые переда­ется важ­ная информа­ция. К при­меру, вок­руг круп­ных биз­нес‑цен­тров или пра­витель­ствен­ных зда­ний. В теории для защиты от подоб­ных атак необ­ходимо соз­дать вок­руг таких объ­ектов так называ­емую кон­тро­лиру­емую зону. В реаль­нос­ти же при сегод­няшней плот­ности город­ской зас­трой­ки подоб­ные мероп­риятия невоз­можны.

Но тех­нологии не сто­ят на мес­те, а с ними меня­ется и так­тика зло­умыш­ленни­ков. В наши дни спе­циалис­ты по информа­цион­ной безопас­ности говорят о том, что работе «по пло­щадям» при­ходят на сме­ну тар­гетиро­ван­ные ата­ки, и вар­драй­винг не исклю­чение. Зло­умыш­ленни­ков все боль­ше инте­ресу­ют кон­крет­ные цели и кон­крет­ные сети.

Имен­но воз­можность подоб­ного тар­гетиро­ван­ного перех­вата Wi-Fi-сиг­нала мне и пред­сто­яло уста­новить в рам­ках неболь­шого иссле­дова­тель­ско­го про­екта. В мои задачи вхо­дило соз­дание устрой­ства для перех­вата сиг­нала бес­про­вод­ной сети в усло­виях, «приб­лижен­ных к боевым», то есть на мак­сималь­ной дис­танции в усло­виях город­ской зас­трой­ки и высоко­го уров­ня шумов. Ведь в сов­ремен­ном мегапо­лисе на квад­ратный километр могут при­ходить­ся десят­ки точек дос­тупа. А каналов у Wi-Fi все­го 11 (вооб­ще, сог­ласно стан­дарту 802.11, каналов 14, но 12, 13 и 14-й не под­держи­вают­ся боль­шинс­твом граж­дан­ских устрой­ств из‑за осо­бен­ностей законо­датель­ства США).

 

Выбираем железо

Для начала я решил осве­жить свои зна­ния о рас­простра­нении ради­оволн и антеннах. Ста­ло ясно, что для наших понадо­бит­ся антенна с узкой диаг­раммой нап­равлен­ности. Такие антенны, как пра­вило, при­меня­ются для соз­дания Wi-Fi-«мос­тов», то есть переда­чи сиг­нала на боль­шие рас­сто­яния (про­изво­дите­ли заяв­ляют воз­можность работы такого мос­та на рас­сто­янии до 10 км). Срав­нив харак­терис­тики антенн от раз­ных про­изво­дите­лей, я выб­рал антенну обыч­ной парабо­личес­кой фор­мы. Ее диаг­рамма нап­равлен­ности сос­тавля­ет 14 гра­дусов по горизон­тали и 10 по вер­тикали. Соот­ношение F/B (front to back ratio, он же коэф­фици­ент нап­равлен­ного дей­ствия) — 30 дБ, то есть отно­шение меж­ду сиг­налами, попада­ющи­ми на антенну со сто­роны глав­ного луча, и сиг­налами с дру­гих нап­равле­ний сос­тавля­ет 1 к 1000. При этом заяв­ленный коэф­фици­ент уси­ления сос­тавля­ет 24 дБ.

Почему выбор антенны так важен?

Я не слу­чай­но так мно­го вни­мания уде­лил антенне, потому что зачас­тую при пос­тро­ении подоб­ных ком­плек­сов есть соб­лазн исполь­зовать шты­ревую антенну (ее диаг­рамма нап­равлен­ности рав­номер­на, име­ет фор­му тора и поэто­му не тре­бует при­цели­вания). Одна­ко такая шты­ревая антенна будет собирать весь «мусор» из рес­торан­чиков и про­езжа­ющих мимо авто­бусов, что может фаталь­но ска­зать­ся на соот­ношении сиг­нал/шум.

Па­рабо­личес­кая антенна поз­волит нам дос­тичь луч­шего соот­ношения сиг­нал/шум, но, исполь­зуя ее, мы сами усложня­ем себе задачу — ведь нашу антенну нуж­но нас­тра­ивать так, что­бы целевая сеть (и при­емник, и передат­чик) попали в «луч».

Для решения проб­лемы в реаль­ных «боевых» усло­виях мож­но исполь­зовать две антенны. Одну — широко­нап­равлен­ную, с диаг­раммой нап­равлен­ности 30–40 гра­дусов — для поис­ка и локали­зации сети. Пос­ле того как сеть будет обна­руже­на и уста­нов­лено ее точ­ное мес­тонахож­дение, мож­но будет при­менять вто­рую, узко­нап­равлен­ную, непос­редс­твен­но для работы с сетью: про­веде­ния инъ­екций, перех­вата аутен­тифика­ции и так далее.

Ди­аграмма нап­равлен­ности нашей парабо­личес­кой антенны пред­став­лена на рис. 1. Срав­ни с диаг­раммой нап­равлен­ности шты­ревой антенны на рис. 2.

Рис. 1. Диаграмма направленности нашей параболической антенны. Хорошо виден главный луч антенны — наша «длинная рука»
Рис. 1. Диаг­рамма нап­равлен­ности нашей парабо­личес­кой антенны. Хорошо виден глав­ный луч антенны — наша «длин­ная рука»
Рис. 2. Диаграмма направленности штыревой антенны
Рис. 2. Диаг­рамма нап­равлен­ности шты­ревой антенны

Те­перь, ког­да с антенной мы опре­дели­лись, мож­но прис­тупать к выбору передат­чика (он же будет и при­емни­ком). Здесь основное тре­бова­ние сос­тоит в том, что­бы обес­печить мак­сималь­ную мощ­ность сиг­нала и мак­сималь­ную гиб­кость нас­тро­ек. На помощь нам приш­ла опе­раци­онная сис­тема OpenWRT. Надо ска­зать, что OpenWRT под­держи­вает далеко не все чип­сеты, поэто­му выбирать при­емо­пере­дат­чик приш­лось тща­тель­но. В ито­ге выбор пал на Wi-Fi-модуль Ubiquity Bullet M2 (рис. 3). Это устрой­ство с мощ­ным чип­сетом Atheros MIPS 24KC уже име­ло все нуж­ные мне фичи: питание через POE, защиту от вла­ги и разъ­ем N-type для под­клю­чения любых антенн. Сле­дует осо­бо обра­тить вни­мание на то, что у Ubiquity свое POE c нап­ряжени­ем 24 В, которое не соот­ветс­тву­ет стан­дарту IEEE 802.3af с нап­ряжени­ем 48 В. Мож­но ли исполь­зовать POE 48 В — не знаю, лич­но я не рис­кнул. Внут­ренняя память устрой­ства все­го 8 Мб, но это­го ока­залось дос­таточ­но. Изна­чаль­но это устрой­ство так­же пред­назна­чено для Wi-Fi-мос­тов, но и для наших задач под­ходит отлично.

Рис. 3. Наш передатчик — Ubiquity BULLET M2
Рис. 3. Наш передат­чик — Ubiquity BULLET M2

Итак, железо куп­лено, собира­ем нашу антенну (которая ока­залась нам­ного боль­ше и тяжелее, чем выг­лядела на кар­тинке). Под­клю­чаем к ней передат­чик, уста­нав­лива­ем все на шта­тив для фото­аппа­рата (шта­тив луч­ше брать хороший, наш дешевый с тру­дом справ­ляет­ся с общим весом «уста­нов­ки» в 6 кг), и вот наш «ком­плекс» готов. Он гроз­но воз­выша­ется пос­реди офи­са и про­изво­дит неиз­гла­димое впе­чат­ление на окру­жающих. Общий бюд­жет на покуп­ку железа сос­тавил приб­лизитель­но 9000 руб­лей. Приш­ло вре­мя занять­ся прог­рам­мной частью.

Рис. 4. Общий вид нашей установки в сборе
Рис. 4. Общий вид нашей уста­нов­ки в сбо­ре
 

Устанавливаем OpenWRT

Ба­зовая про­шив­ка нашего Bullet’а пос­тро­ена по прин­ципу «одной кноп­ки», что нам, конеч­но же, не под­ходит, поэто­му она была уда­лена с устрой­ства, а ее мес­то заняла OpenWRT Attitude Adjustment 12.09. Осо­бых проб­лем с уста­нов­кой не было. Дос­таточ­но прос­то ско­пиро­вать bin-файл в память устрой­ства по про­токо­лу SCP. Базовая про­шив­ка Ubiquity под­держи­вает этот про­токол по умол­чанию, так что я прос­то исполь­зовал WinSCP. Ждем пару минут и прос­то под­соеди­няем­ся к удоб­ному веб‑интерфей­су со все­ми нуж­ными нам нас­трой­ками. Здесь мож­но уста­новить мощ­ность устрой­ства (ока­зыва­ется, дан­ный чип­сет под­держи­вает мощ­ность до 8 Вт, но при этом очень силь­но гре­ется, так что дол­го экс­плу­ати­ровать его на мак­сималь­ной мощ­ности я бы не стал). Помимо это­го, в веб‑интерфей­се OpenWRT мож­но при­нуди­тель­но задавать каналы, перек­лючать режимы работы и есть мас­са дру­гих полез­ных нас­тро­ек.

warning

Имей в виду, что на экс­плу­ата­цию передат­чика подоб­ной мощ­ности необ­ходимо получать офи­циаль­ное раз­решение влас­тей.

Те­перь, ког­да мы разоб­рались с нас­трой­ками, нам понадо­бит­ся наш «джентль­мен­ский набор» пен­тесте­ра бес­про­вод­ных сетей: aircrack, aireplay, airodump, AirMon и так далее. Пос­коль­ку OpenWRT — это прос­то еще один дис­три­бутив линук­са, хоть и силь­но уре­зан­ный, проб­лем при работе с ним воз­никнуть не дол­жно — apt-get прек­расно работа­ет. Пос­ле уста­нов­ки все­го необ­ходимо­го у нас оста­лось еще 3 Мб сво­бод­ного мес­та, чего впол­не хва­тит для работы.

info

Учи­тывай, что работа такой стан­ции может быть не всег­да ста­биль­на. Нап­ример, наша в какой‑то момент перес­тала перек­лючать каналы, зас­тряв на одном. Изба­вить­ся от проб­лемы уда­лось толь­ко пере­уста­нов­кой сис­темы.

По­ра опро­бовать наш ком­плекс в деле. Пугая слу­чай­ных про­хожих и прив­лекая к себе все­общее вни­мание, начина­ем полевые испы­тания. Еще раз поб­лагода­рим соз­дателей за PoE: к нашей антенне тянет­ся все­го один про­вод, по которо­му идет и управле­ние, и питание. Итак, мы при­цели­лись, а даль­ше все доволь­но стан­дар­тно:

  1. Под­клю­чаем­ся к нашему ком­плек­су через SSH, запус­каем AirMon и перево­дим наш Wi-Fi-интерфейс в режим монито­рин­га. Дела­ется это коман­дой airmon-ng start wlan0. У нас появил­ся интерфейс Mon0. С ним мы и будем работать.
  2. За­пус­каем airodump: airodump-ng mon0. Теперь в таб­лице вид­но все, что налови­ла наша антенна. Сог­ласись, доволь­но мно­го.

На рис. 7 пред­став­лен спи­сок дос­тупных нам сетей. Прак­тика показы­вает, что работать мож­но с теми из них, мощ­ность сиг­нала которых (колон­ка PWR) не ниже –70. Теперь мож­но выб­рать себе нуж­ную сеть и работать уже исклю­читель­но с ней при помощи того же airodump.

Рис. 7. Список доступных нам сетей
Рис. 7. Спи­сок дос­тупных нам сетей

Ко­ман­дой airodump-ng -c 5 --bssid D4:CA:6D:F6:4F:00 -w test1 mon0 зада­ем нуж­ный нам иден­тифика­тор сети парамет­ром --bssid, канал парамет­ром -с и файл для вывода перех­вачен­ных хен­дшей­ков парамет­ром -w. Пос­ле это­го нам ста­нет вид­на не толь­ко базовая стан­ция, но и кли­енты (рис. 8). Более под­робно работу наших инс­тру­мен­тов опи­сывать не буду, инс­трук­ций «Как взло­мать вай‑фай соседа» хва­тает и без меня :).

Рис. 8. Клиенты интересующей нас сети
Рис. 8. Кли­енты инте­ресу­ющей нас сети

Нам осо­бо инте­ресен показа­тель мощ­ности сиг­нала (колон­ка PWR). Что­бы добить­ся наилуч­шего резуль­тата, антенну нуж­но пра­виль­но при­целить. При работе на пре­дель­ной даль­нос­ти выяс­нилось, что ошиб­ка даже в нес­коль­ко гра­дусов будет иметь реша­ющее зна­чение. Для повыше­ния точ­ности наведе­ния мож­но даже подумать об уста­нов­ке на антенну при­цела.

На­до ска­зать, что базовые стан­ции обыч­но «вид­ны» хорошо, а вот с кли­ента­ми все обсто­ит зна­читель­но хуже, пос­коль­ку мощ­ность сиг­нала у них мень­ше. Воз­можно, тут дело в точ­ности наведе­ния и в угле, под которым антенна была нап­равле­на на цель. Оче­вид­но, что для мак­сималь­ной эффектив­ности нуж­но попасть как мож­но точ­нее, так как даже в пре­делах основно­го луча чувс­тви­тель­ность силь­но пада­ет бли­же к кра­ям. Для меня основной проб­лемой стал перех­ват час­ти хен­дшей­ка от кли­ент­ских стан­ций — их мощ­ность обыч­но сущес­твен­но мень­ше базовой стан­ции, и даже с нашей узко­нап­равлен­ной антенной с высоким коэф­фици­ентом уси­ления их отве­ты час­то теря­ются в общем шуме.

Од­нако, нес­мотря на это, даже для стан­дар­тно­го офи­са с окном 2 х 1,5 м и при­цели­вани­ем «на глаз» наш ком­плекс работал уве­рен­но с дис­танции в 100–150 м. В реаль­ных усло­виях это, ско­рее все­го, будет уже за пре­дела­ми кон­тро­лиру­емой зоны вок­руг биз­нес‑цен­тра. Для офи­сов с боль­шими окна­ми мож­но пред­положить, что даль­ность работы будет сущес­твен­но боль­ше.

Рис. 9. Установка с видом на «цель»
Рис. 9. Уста­нов­ка с видом на «цель»
Рис. 10. Примерно так мы прицеливались «на глаз»
Рис. 10. При­мер­но так мы при­цели­вались «на глаз»

DDoS на расстоянии

Для нашего устрой­ства мы неожи­дан­но откры­ли еще одну кон­цепцию при­мене­ния, которая гра­ничит с хулиганс­твом, одна­ко такую воз­можность сле­дует учи­тывать, к при­меру при орга­низа­ции кри­тичес­ких информа­цион­ных потоков через Wi-Fi.

Как извес­тно, aireplay-ng поз­воля­ет про­изво­дить инъ­екцию deauth-пакетов в сеть. Дела­ется это с помощью инс­тру­мен­та aireplay сле­дующей коман­дой:

aireplay-ng --deauth 35 -a D4:CA:6D:F6:4F:00 -c A4:C3:61:7D:8F:00 mon0

Об­рати вни­мание на пос­леднюю колон­ку на рис. 11: по количес­тву ACK мож­но опре­делить, нас­коль­ко успешно идет наша ата­ка, — чем боль­ше пер­вая циф­ра, тем луч­ше.

Вид­но, что aireplay надеж­но «кла­дет» нашу тес­товую сеть. Таким обра­зом, про­водя при­нуди­тель­ную деаутен­тифика­цию кли­ент­ских стан­ций, мож­но парали­зовать работу Wi-Fi-сети с боль­шого рас­сто­яния. Фокус в том, что для того, что­бы эффектив­но про­водить такую ата­ку, вов­се не обя­затель­но иметь свер­хчувс­тви­тель­ный при­емник, как для перех­вата хен­дшей­ков. Дос­таточ­но иметь мощ­ный передат­чик. А это­го у нас как раз хва­тает в избытке. Как говорит­ся, сила есть...

По моим оцен­кам, даже нашего бюд­жетно­го ком­плек­са хва­тит, что­бы парали­зовать сеть на дис­танции в 300–400 м при усло­вии пря­мой видимос­ти. Еще раз обра­щу вни­мание, что все эти вещи я рас­смат­риваю теоре­тичес­ки, пос­коль­ку, как уже говори­лось, исполь­зование передат­чика на мак­сималь­ной мощ­ности тре­бует раз­решения Мин­ком­свя­зи. Тем не менее давай пофан­тазиру­ем, что виде­онаб­людение или любая дру­гая сис­тема, свя­зан­ная с безопас­ностью или переда­чей кри­тичес­ки важ­ной информа­ции, работа­ет через уже упо­минав­ший­ся Wi-Fi-мост. Ты можешь воз­разить, что там при­меня­ются узко­нап­равлен­ные антенны, одна­ко у любой, даже самой узко­нап­равлен­ной антенны есть паразит­ные лепес­тки. Они, к сло­ву, хорошо вид­ны на рисун­ках. Попав в такой лепес­ток, мы теоре­тичес­ки можем отклю­чить кли­ента неп­рерыв­ными deauth-пакета­ми и нарушить работу мос­та.

Спо­собы защиты от таких атак неоче­вид­ны. В слу­чае с офи­сом мож­но поп­робовать сни­зить воз­можнос­ти перех­вата и инъ­екций, к при­меру атер­маль­ными стек­лами или их ана­логом, хотя на дан­ный момент это все­го лишь пред­положе­ние — вли­яние атер­маль­ных сте­кол на Wi-Fi еще необ­ходимо про­верить. А вот как защитить Wi-Fi на ули­це, совер­шенно неяс­но.

Рис. 11. Процесс работы aireplay
Рис. 11. Про­цесс работы aireplay
Рис. 12. А вот и результат :)
Рис. 12. А вот и резуль­тат 🙂
 

Итоги

Ка­кие выводы мож­но сде­лать из нашего неболь­шого про­екта? Wi-Fi — не такой уж безопас­ный спо­соб переда­чи дан­ных, как может показать­ся, даже если при­меня­ется WPA-2. Перех­ват край­не прост, а крип­тоана­лити­чес­кие воз­можнос­ти зло­умыш­ленни­ков по рас­шифров­ке хен­дшей­ков по мере рас­ширения облачных тех­нологий вро­де Amazon Cloud рас­тут с каж­дым днем.

И уж точ­но Wi-Fi пло­хо под­ходит для виде­онаб­людения, охра­ны или дру­гих сис­тем, к которым предъ­явля­ются повышен­ные тре­бова­ния по дос­тупнос­ти и устой­чивос­ти работы, пос­коль­ку парали­зовать бес­про­вод­ную сеть мож­но с боль­шого рас­сто­яния, а защищать­ся от таких атак край­не слож­но.

Ос­тавай­ся защищен­ным!

Оставить мнение