Считается, что при использовании Wi-Fi «зона риска» обычно не превышает пары десятков метров. Так, во многих компаниях по Wi-Fi передают конфиденциальные данные, наивно полагая, что раз зона покрытия надежно охраняется, то сеть в безопасности. Но что, если я покажу тебе, как можно незаметно поймать, проанализировать и даже полностью парализовать закрытую Wi-Fi-сеть, находясь от нее на расстоянии почти в полкилометра?

Wi-Fi. Что может быть проще? Каждый квадратный метр крупного города покрыт несколькими беспроводными сетями. Точки доступа есть везде, а уж «бесплатный соседский Wi-Fi», который есть в каждом доме, стал для многих важным каналом доступа в интернет. Беспроводная сеть есть на каждом крупном мероприятии и служит не только для развлечения участников, во многом она заменяет проводную сеть. Многие портативные устройства просто невозможно подключить к стационарной сети.

Однако, помимо бытового применения, Wi-Fi нашел свое место и в более серьезных областях. Этот протокол используют вполне «серьезные» устройства вроде платежных терминалов и банкоматов. Кроме того, бывает, что нет возможности или экономически нецелесообразно тянуть провода на большое расстояние. В этом случае при наличии прямой видимости используется направленный Wi-Fi-канал. Дальность передачи сигнала при этом может достигать нескольких километров.

Очевидно, что чем больше информации передается «по воздуху», тем острее становятся вопросы, связанные с безопасностью и защитой. А практика показывает, что даже проводные сети не защищены от физического внедрения, особенно на большой протяженности (более подробно о внедрении в проводные сети я писал в статье «Троянский пони» пару номеров назад). Что же тогда можно сказать о беспроводной сети, физический доступ к которой открывается из любого места, куда распространяются радиоволны? Казалось бы, получить доступ к такой сети не составит труда, однако на практике в городской среде все оказывается не так просто.

Практика радиоперехвата настолько же тривиальна, насколько и идея передачи информации по радиоканалу. Что касается перехвата Wi-Fi-сигнала, существует даже отдельный термин — вардрайвинг (от wardriving), который встречается все чаще, а напрасно. Как ты мог догадаться из названия, изначально под вардрайвингом подразумевалась установка специального комплекса на автомобиль и передвижение на нем в районах, где могли быть беспроводные сети, через которые передается важная информация. К примеру, вокруг крупных бизнес-центров или правительственных зданий. В теории для защиты от подобных атак необходимо создать вокруг таких объектов так называемую контролируемую зону. В реальности же при сегодняшней плотности городской застройки подобные мероприятия невозможны.

Но технологии не стоят на месте, а с ними меняется и тактика злоумышленников. В наши дни специалисты по информационной безопасности говорят о том, что работе «по площадям» приходят на смену таргетированные атаки, и вардрайвинг не исключение. Злоумышленников все больше интересуют конкретные цели и конкретные сети.

Именно возможность подобного таргетированного перехвата Wi-Fi-сигнала мне и предстояло установить в рамках небольшого исследовательского проекта. В мои задачи входило создание устройства для перехвата сигнала беспроводной сети в условиях, «приближенных к боевым», то есть на максимальной дистанции в условиях городской застройки и высокого уровня шумов. Ведь в современном мегаполисе на квадратный километр могут приходиться десятки точек доступа. А каналов у Wi-Fi всего 11 (вообще, согласно стандарту 802.11, каналов 14, но 12, 13 и 14-й не поддерживаются большинством гражданских устройств из-за особенностей законодательства США).

Выбираем железо

Для начала я решил освежить свои знания о распространении радиоволн и антеннах. Стало ясно, что для наших понадобится антенна с узкой диаграммой направленности. Такие антенны, как правило, применяются для создания Wi-Fi-«мостов», то есть передачи сигнала на большие расстояния (производители заявляют возможность работы такого моста на расстоянии до 10 км). Сравнив характеристики антенн от разных производителей, я выбрал антенну обычной параболической формы. Ее диаграмма направленности составляет 14 градусов по горизонтали и 10 по вертикали. Соотношение F/B (front to back ratio, он же коэффициент направленного действия) — 30 дБ, то есть отношение между сигналами, попадающими на антенну со стороны главного луча, и сигналами с других направлений составляет 1 к 1000. При этом заявленный коэффициент усиления составляет 24 дБ.

Почему выбор антенны так важен?

Я не случайно так много внимания уделил антенне, потому что зачастую при построении подобных комплексов есть соблазн использовать штыревую антенну (ее диаграмма направленности равномерна, имеет форму тора и поэтому не требует прицеливания). Однако такая штыревая антенна будет собирать весь «мусор» из ресторанчиков и проезжающих мимо автобусов, что может фатально сказаться на соотношении сигнал/шум.

Параболическая антенна позволит нам достичь лучшего соотношения сигнал/шум, но, используя ее, мы сами усложняем себе задачу — ведь нашу антенну нужно настраивать так, чтобы целевая сеть (и приемник, и передатчик) попали в «луч».

Для решения проблемы в реальных «боевых» условиях можно использовать две антенны. Одну — широконаправленную, с диаграммой направленности 30–40 градусов — для поиска и локализации сети. После того как сеть будет обнаружена и установлено ее точное местонахождение, можно будет применять вторую, узконаправленную, непосредственно для работы с сетью: проведения инъекций, перехвата аутентификации и так далее.

Диаграмма направленности нашей параболической антенны представлена на рис. 1. Сравни с диаграммой направленности штыревой антенны на рис. 2.

Рис. 1. Диаграмма направленности нашей параболической антенны. Хорошо виден главный луч антенны — наша «длинная рука»
Рис. 1. Диаграмма направленности нашей параболической антенны. Хорошо виден главный луч антенны — наша «длинная рука»
Рис. 2. Диаграмма направленности штыревой антенны
Рис. 2. Диаграмма направленности штыревой антенны


Теперь, когда с антенной мы определились, можно приступать к выбору передатчика (он же будет и приемником). Здесь основное требование состоит в том, чтобы обеспечить максимальную мощность сигнала и максимальную гибкость настроек. На помощь нам пришла операционная система OpenWRT. Надо сказать, что OpenWRT поддерживает далеко не все чипсеты, поэтому выбирать приемопередатчик пришлось тщательно. В итоге выбор пал на Wi-Fi-модуль Ubiquity Bullet M2 (рис. 3). Это устройство с мощным чипсетом Atheros MIPS 24KC уже имело все нужные мне фичи: питание через POE, защиту от влаги и разъем N-type для подключения любых антенн. Следует особо обратить внимание на то, что у Ubiquity свое POE c напряжением 24 В, которое не соответствует стандарту IEEE 802.3af с напряжением 48 В. Можно ли использовать POE 48 В — не знаю, лично я не рискнул. Внутренняя память устройства всего 8 Мб, но этого оказалось достаточно. Изначально это устройство также предназначено для Wi-Fi-мостов, но и для наших задач подходит отлично.

Рис. 3. Наш передатчик — Ubiquity BULLET M2
Рис. 3. Наш передатчик — Ubiquity BULLET M2

Итак, железо куплено, собираем нашу антенну (которая оказалась намного больше и тяжелее, чем выглядела на картинке). Подключаем к ней передатчик, устанавливаем все на штатив для фотоаппарата (штатив лучше брать хороший, наш дешевый с трудом справляется с общим весом «установки» в 6 кг), и вот наш «комплекс» готов. Он грозно возвышается посреди офиса и производит неизгладимое впечатление на окружающих. Общий бюджет на покупку железа составил приблизительно 9000 рублей. Пришло время заняться программной частью.

Рис. 4. Общий вид нашей установки в сборе
Рис. 4. Общий вид нашей установки в сборе

Устанавливаем OpenWRT

Базовая прошивка нашего Bullet’а построена по принципу «одной кнопки», что нам, конечно же, не подходит, поэтому она была удалена с устройства, а ее место заняла OpenWRT Attitude Adjustment 12.09. Особых проблем с установкой не было. Достаточно просто скопировать bin-файл в память устройства по протоколу SCP. Базовая прошивка Ubiquity поддерживает этот протокол по умолчанию, так что я просто использовал WinSCP. Ждем пару минут и просто подсоединяемся к удобному веб-интерфейсу со всеми нужными нам настройками. Здесь можно установить мощность устройства (оказывается, данный чипсет поддерживает мощность до 8 Вт, но при этом очень сильно греется, так что долго эксплуатировать его на максимальной мощности я бы не стал). Помимо этого, в веб-интерфейсе OpenWRT можно принудительно задавать каналы, переключать режимы работы и есть масса других полезных настроек.

Рис. 5. Удобный веб-интерфейс OpenWRT с базовыми настройками
Рис. 5. Удобный веб-интерфейс OpenWRT с базовыми настройками
Рис. 6. Удобный веб-интерфейс OpenWRT с базовыми настройками
Рис. 6. Удобный веб-интерфейс OpenWRT с базовыми настройками

WARNING


Имей в виду, что на эксплуатацию передатчика подобной мощности необходимо получать официальное разрешение властей.

Теперь, когда мы разобрались с настройками, нам понадобится наш «джентльменский набор» пентестера беспроводных сетей: aircrack, aireplay, airodump, AirMon и так далее. Поскольку OpenWRT — это просто еще один дистрибутив линукса, хоть и сильно урезанный, проблем при работе с ним возникнуть не должно — apt-get прекрасно работает. После установки всего необходимого у нас осталось еще 3 Мб свободного места, чего вполне хватит для работы.

INFO


Учитывай, что работа такой станции может быть не всегда стабильна. Например, наша в какой-то момент перестала переключать каналы, застряв на одном. Избавиться от проблемы удалось только переустановкой системы.

Пора опробовать наш комплекс в деле. Пугая случайных прохожих и привлекая к себе всеобщее внимание, начинаем полевые испытания. Еще раз поблагодарим создателей за PoE: к нашей антенне тянется всего один провод, по которому идет и управление, и питание. Итак, мы прицелились, а дальше все довольно стандартно:

  1. Подключаемся к нашему комплексу через SSH, запускаем AirMon и переводим наш Wi-Fi-интерфейс в режим мониторинга. Делается это командой
    airmon-ng start wlan0

У нас появился интерфейс Mon0. С ним мы и будем работать.
2. Запускаем airodump.

airodump-ng mon0

Теперь в таблице видно все, что наловила наша антенна. Согласись, довольно много.

На рис. 7 представлен список доступных нам сетей. Практика показывает, что работать можно с теми из них, мощность сигнала которых (колонка PWR) не ниже –70. Теперь можно выбрать себе нужную сеть и работать уже исключительно с ней при помощи того же airodump.

Рис. 7. Список доступных нам сетей
Рис. 7. Список доступных нам сетей

Командой

airodump-ng -c 5 --bssid D4:CA:6D:F6:4F:00 -w test1 mon0

задаем нужный нам идентификатор сети параметром –bssid, канал параметром -с и файл для вывода перехваченных хендшейков параметром -w. После этого нам станет видна не только базовая станция, но и клиенты (рис. 8). Более подробно работу наших инструментов описывать не буду, инструкций «Как взломать вай-фай соседа» хватает и без меня :).

Рис. 8. Клиенты интересующей нас сети
Рис. 8. Клиенты интересующей нас сети

Нам особо интересен показатель мощности сигнала (колонка PWR). Чтобы добиться наилучшего результата, антенну нужно правильно прицелить. При работе на предельной дальности выяснилось, что ошибка даже в несколько градусов будет иметь решающее значение. Для повышения точности наведения можно даже подумать об установке на антенну прицела.

Надо сказать, что базовые станции обычно «видны» хорошо, а вот с клиентами все обстоит значительно хуже, поскольку мощность сигнала у них меньше. Возможно, тут дело в точности наведения и в угле, под которым антенна была направлена на цель. Очевидно, что для максимальной эффективности нужно попасть как можно точнее, так как даже в пределах основного луча чувствительность сильно падает ближе к краям. Для меня основной проблемой стал перехват части хендшейка от клиентских станций — их мощность обычно существенно меньше базовой станции, и даже с нашей узконаправленной антенной с высоким коэффициентом усиления их ответы часто теряются в общем шуме.

Однако, несмотря на это, даже для стандартного офиса с окном 2 х 1,5 м и прицеливанием «на глаз» наш комплекс работал уверенно с дистанции в 100–150 м. В реальных условиях это, скорее всего, будет уже за пределами контролируемой зоны вокруг бизнес-центра. Для офисов с большими окнами можно предположить, что дальность работы будет существенно больше.

Рис. 9. Установка с видом на «цель»
Рис. 9. Установка с видом на «цель»
Рис. 10. Примерно так мы прицеливались «на глаз»
Рис. 10. Примерно так мы прицеливались «на глаз»

DDoS на расстоянии

Для нашего устройства мы неожиданно открыли еще одну концепцию применения, которая граничит с хулиганством, однако такую возможность следует учитывать, к примеру при организации критических информационных потоков через Wi-Fi.

Как известно, aireplay-ng позволяет производить инъекцию deauth-пакетов в сеть. Делается это с помощью инструмента aireplay следующей командой:

aireplay-ng --deauth 35 -a D4:CA:6D:F6:4F:00 -c A4:C3:61:7D:8F:00 mon0

Обрати внимание на последнюю колонку на рис. 11: по количеству ACK можно определить, насколько успешно идет наша атака, — чем больше первая цифра, тем лучше.

Видно, что aireplay надежно «кладет» нашу тестовую сеть. Таким образом, проводя принудительную деаутентификацию клиентских станций, можно парализовать работу Wi-Fi-сети с большого расстояния. Фокус в том, что для того, чтобы эффективно проводить такую атаку, вовсе не обязательно иметь сверхчувствительный приемник, как для перехвата хендшейков. Достаточно иметь мощный передатчик. А этого у нас как раз хватает в избытке. Как говорится, сила есть…

По моим оценкам, даже нашего бюджетного комплекса хватит, чтобы парализовать сеть на дистанции в 300–400 м при условии прямой видимости. Еще раз обращу внимание, что все эти вещи я рассматриваю теоретически, поскольку, как уже говорилось, использование передатчика на максимальной мощности требует разрешения Минкомсвязи. Тем не менее давай пофантазируем, что видеонаблюдение или любая другая система, связанная с безопасностью или передачей критически важной информации, работает через уже упоминавшийся Wi-Fi-мост. Ты можешь возразить, что там применяются узконаправленные антенны, однако у любой, даже самой узконаправленной антенны есть паразитные лепестки. Они, к слову, хорошо видны на рисунках. Попав в такой лепесток, мы теоретически можем отключить клиента непрерывными deauth-пакетами и нарушить работу моста.

Способы защиты от таких атак неочевидны. В случае с офисом можно попробовать снизить возможности перехвата и инъекций, к примеру атермальными стеклами или их аналогом, хотя на данный момент это всего лишь предположение — влияние атермальных стекол на Wi-Fi еще необходимо проверить. А вот как защитить Wi-Fi на улице, совершенно неясно.

Рис. 11. Процесс работы aireplay
Рис. 11. Процесс работы aireplay

Рис. 12. А вот и результат :)
Рис. 12. А вот и результат 🙂

Итоги

Какие выводы можно сделать из нашего небольшого проекта? Wi-Fi — не такой уж безопасный способ передачи данных, как может показаться, даже если применяется WPA-2. Перехват крайне прост, а криптоаналитические возможности злоумышленников по расшифровке хендшейков по мере расширения облачных технологий вроде Amazon Cloud растут с каждым днем.

И уж точно Wi-Fi плохо подходит для видеонаблюдения, охраны или других систем, к которым предъявляются повышенные требования по доступности и устойчивости работы, поскольку парализовать беспроводную сеть можно с большого расстояния, а защищаться от таких атак крайне сложно.

Оставайся защищенным!

17 комментариев

  1. 09.05.2015 at 18:43

    Я вспомнил Кампхейс-а из Cyberbunker когда его арестовали у него в распоряжении был фургон для вардравинга.

  2. 09.05.2015 at 20:20

    Друзья,
    подскажите пожалуйста, можно ли брутить
    пароли к Wi-Fi
    с помощью встроенной графики та что в
    процессорах АМД. А то бюджет небольшой…

    • 10.05.2015 at 10:33

      Если вас устроит производительность (время) — то можно.

      • 10.05.2015 at 12:58

        P { margin-bottom: 0.21cm; }

        Спасибо!
        В общем-то устроит скорость около 10 000.
        Один из моих компов с картой нВидиа
        перебирает 3 500. Ну, тяжко конечно, тут и
        говорить нечего. Я заметил некую
        закономерность, если пароль не входит
        в простенький словарь самых
        распространенных, это брут минута, и
        если не связан с названием точки. То все
        усложняется. Не нашел в течении 10 минут,
        потом можно брутить до бесконечности.
        Тем более большие словари содержат
        пароли со всего мира, да такие, что нашим
        соседям и в ум не придут. Короче получается,
        что глядишь, стоимость потраченной
        электроэнергии может оказаться больше
        стоимости самого интернета. Читал, что
        один чел собрал кластер из нескольких
        компов и перебирает все комбинации за
        восьми знаков за 6 минут… Вот это круто!

        ЗЫ.
        Совсем забыл сделать комплимент автору
        статьи, очень интересно, жду таких с
        большим нетерпением!

        • 10.05.2015 at 13:13

          P { margin-bottom: 0.21cm; }

          Что
          касается скорости, то я придерживаюсь
          правила одной ночи. То есть, лег спать,
          компьютер перебрал за ночь заданные
          словари, и на утро пароль либо есть либо
          нету. Например, телефоны+инсайдпро+восемь
          цифр+еще парочка легких распространенных
          за ночь. В данный момент я могу перебрать
          все это хозяйство за три ночи. Это
          несколько неудобно. А если поставить
          что-то типа 25 гиг, то это вообще неделя.
          Вот 10 тысяч и получается. Но по ходу
          средненький гибридный АМД мне кажется(по
          числу графических ядер, например 360)
          должен выдавать не менее 20 тысяч. Что-то
          сильно дорогое я тоже не буду брать ради
          этого, в игры я не особо играю, просто
          нет смысла.

          • 10.05.2015 at 13:58

            Да почти нереально будет подобратьпароль больше 8 символов, если он не словарный или по маске не подходит.
            Да и ещё хендшейк словить надо.

            • 10.05.2015 at 19:32

              P { margin-bottom: 0.21cm; }

              Почитал
              статью «Полный перебор»
              на Википедии. В общем-то заниматься
              таким в домашних условиях пока непрактично.
              Нужны хорошие словари. Во-первых, самых
              распространенных паролей в принципе.
              А во-вторых, хорошо бы паролей «вконтакте»
              для своего города, это было б прикольно.
              Я, к слову, пользуюсь одним и тем же
              паролем везде уже пару лет, хоть он и
              сложный, но если его откуда-то стырят,
              то падет за минуты. Такие выводы
              напрашиваются.

              • 10.05.2015 at 22:32

                Вся надежда на квантовый компьютер, Сережа. Он должен полностью изменить все правила игры.

    • SV_GOOD_DADY

      19.07.2015 at 03:23

      лучше зарегайся на microsoft azure там триал 30 дней запусти в ней виртуалку linux и брутить будет в одно удовольствие там 10-20 ядер вычислительных скорость брута высокая )))

  3. Stass48

    25.05.2015 at 16:26

    Хорошая статья. Мне понравилась. Есть на руках адаптер от ALFA (поддерживает инъекции) и параболическая антенна. Есть так же макбук, с программой KisMac, которая в принципе способна ловить Ch/Re (то есть хендшейки, я так понял). Разъясните подробнее мне (нубу) что делать дальше? Ну вот есть у меня дамп с этим хендшейком? Куда его дальше? Я не понимаю саму суть процесса (последовательность действий). Догадываюсь, что полевые условия нужны только для того чтобы поймать хендшейк, а пойманный дамп можно спокойно ковырять дома за чашечкой кофе, только надо мощное железо чтобы быстро перебирать и словари… Ну так у меня есть PC с i7 2600 и nVidia GTS 450 (вроде не так уж и плохо). Словари вот не знаю где взять.. Может быть посоветуете где качнуть хорошие и подходящие?
    Цели взлома — просто Интернет, не более. Нахожусь в деревне, за километр отель с открытой точкой. Раньше оттуда и брал инет, скорость была на торренте (да и вообще) 1.1 Мб/сек. Мне хватало с головой. Но сейчас фиг знает что случилось, упала до 50 Кб… Вот и хочется ломануть парочку wpa2. Взлом через wps не предлагать (на большинстве точек он отключен, на меньшенстве точка банит сразу после минуты перебора).
    Прошу прощения за срач в комментариях. просто ткните пожалуйста носом на несколько хороших ссылок.
    Спасибо.

  4. 05.06.2015 at 14:09

    Stass48, из дампа с этим хендшейком вычисляется пароль и сравнивается с паролями в словаре. Перебор паролей cпомошью CPU не самый лучший вариант, а вот GPU норм, nVidia на много медленней чем на AMD.
    Я тестил: aircrack-ng для CPU, hashcat GPU
    Phenom II X4 965 — 2500 — 3000 пас.сек
    Radeon 5770 — 40000 — 45000 пас.сек
    GeForce GT 630 — 3200 — 4000 пас.сек

  5. http://fsb.ru

    07.06.2015 at 17:34

    глупцы зачем перебирать по словарю если есть замечательная уязвимость в wps,хотя по времени перебирёт одинакого,но зато со 100% успехом!

    • http://psh-world.cc/index.php

      12.06.2015 at 13:55

      глупец тут ты один, wps уже никто не пользуется, пора бы отличать wps от wpa

  6. worm

    17.07.2015 at 13:16

    Отличная статья! В стиле ][ Спасибо.

  7. Gig

    28.07.2015 at 21:01

    на основании статьи сделал себе типа такого же) спасибо за наводку) https://vk.com/kppava?z=video126604992_171427924%2F84b7d101532a7a44ce

  8. STvegas

    25.01.2017 at 23:48

    55.70550795715,37.60057084369 -Вбиваем координаты в гугле

    https://www.google.ru/maps/@55.7058427,37.5967251,3a,24y,91.7h,91.89t/data=!3m6!1e1!3m4!1salQ0mWss4ceGWVcDhM0s5w!2e0!7i13312!8i6656
    Любуемся голубеньким зданием из контента

  9. madsima

    27.03.2017 at 22:32

    Ссылкой на bin-арник OpenWrt на Ubiquity Bullet M2 HP не поделитесь?
    за окном висит он родной и TP-LINK TL-MR3020 с опенврт, от последнего соответственно толку не много в силу мощности и антенны (ривером 4 точки взял, а еще для пары десятков мощи не хватает)…

    Отличное окружение получается…из 30 точек на 28 WPS включен…

Оставить мнение

Check Also

Безопасность превыше всего. 9 простых трюков, которые сделают жизнь линуксоида секьюрнее

Жизнь обычных людей складывается из мелочей. Жизнь линуксоида складывается из множества ма…