Wardriving в качестве консалтинговой услуги. Колонка Юрия Гольцева

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

Intro

Лето — пора экзаменов и отпусков. К сожалению, отпуск не резиновый. Экзамены во всякого рода учебных заведениях — штука интересная, но для многих давно позади. Я же хочу поговорить об экзаменах, когда в роли экзаменатора выступает пентестер. Одно из таких испытаний подвигнет тебя выбраться из душного офиса и провести день на открытом воздухе, рассекая по пустым аллеям на лонгборде с ноутбуком в рюкзаке. Уверен, ты уже догадался, что речь пойдет об анализе защищенности беспроводных сетей. Если ты слышишь об этом впервые, то для начала можешь заглянуть в Википедию и почитать статью Wardriving или найти соответствующий материал из апрельского номера Х. Мы же поговорим о вардрайвинге как об услуге, востребованной среди больших компаний.

Анализ защищенности беспроводных сетей должен выявить недостатки в эксплуатации точек доступа и клиентских устройств Wi-Fi для диапазонов 2,4 и 5 ГГц с использованием технологий 802.11a/b/g/n, а также недостатки в архитектуре и организации беспроводного доступа. Услуга сводится к наглядной демонстрации того, что потенциальный злоумышленник, обладающий некоторыми знаниями, способен получить доступ к тестируемой беспроводной сети. Или не способен — если недостатков в реализации нет.

В большинстве случаев подобная услуга бывает востребована в рамках комплексного тестирования на проникновение. Оно подразумевает под собой внешнее, внутреннее тестирование, а также, возможно, оценку осведомленности сотрудников в вопросах ИБ. В моей практике не было случая, когда какая-то отдельная компания просила исследовать только защищенность беспроводных сетей.

Сегодня мы с тобой рассмотрим состав подобных работ, их рамки и некоторые особенности.

Спот 1. Вблизи офиса заказчика. Официальная часть

Перед началом работ, связанных с беспроводными сетями, этичному хакеру необходимо согласовать дату и время их проведения, а также рассказать, что именно будет сделано, продублировав устно строки из ТКП, чтобы избежать недопонимания. На практике обычно вся совокупность работ, которые подразумеваются под этой услугой, занимает три рабочих дня на один объект. Объект — понятие относительное, и под ним я подразумеваю здание офиса, в котором заказчик может занимать произвольное количество этажей.

Спот 2. Паркинг и близлежащая территория. День 1

После того как все детали и нюансы обговорены, в назначенный день пентестер появляется в офисе заказчика и проводит «рекон» (разведку) в отношении беспроводных сетей, доступных на территории. Рекон подразумевает под собой составление списка всех доступных беспроводных сетей, а также сбор информации о них и их клиентах. На практике такая разведка означает запуск airodump и неспешную прогулку по территории офиса. Рекомендую давать понятные имена файлам, которые генерит airodump, — например, floor_1_openspace. В дальнейшем такая привычка может существенно упростить поиск места, где был сигнал от интересующей точки доступа. Попутно желательно отмечать, какие именно точки доступа были в непосредственной близости от твоего пути. Если в здании есть и другие арендаторы, то это поможет определить, находится ли точка в офисе заказчика. В результате мы имеем список беспроводных сетей, доступных на территории нужного офиса, а также их характеристики (BSSID, CH, ENC, CIPHER, AUTH, ESSID, WPS). На рекон в большой организации может уйти до нескольких часов.

После рекона необходимо обсудить с техническим специалистом заказчика список точек доступа, легитимных для его ИС. На этом этапе, используя полученную информацию, уже можно выявить все точки доступа, которые, возможно, несанкционировано подключены к ЛВС заказчика.

Помимо территории офиса, необходимо собрать данные из всех публично доступных мест здания, в котором расположен офис, а также в теории и по возможности на практике оценить шансы на то, что сигнал будет доступен вне здания.

На основании информации, полученной на этапе рекона, этичный хакер составляет для себя список задач, каждая из которых отражает BSSID и ESSID точки доступа, а также векторы атак, которые могут быть реализованы в ее отношении. Например, task1/00:11:22:33:44:55/corp_wifi/WPAPSK_handshake_pwn — на точке используется WPA, вектор атаки — попытаться перехватить хендшейк и установить значение ключа. Грубо говоря, подобный список задач в дальнейшем можно будет использовать как опору при подготовке описания модели нарушителя.

После того как разведка завершена, текущая картина защищенности беспроводных сетей почти полностью ясна. Следующая задача этичного хакера — продемонстрировать недочеты, которые были выявлены им на предыдущем этапе. Основная цель демонстрации — получение доступа к беспроводной сети. Имеется в виду не только успешное подключение к сети — сеть может быть вообще открыта для всех желающих (например, гостиничный Wi-Fi с аутентификацией после подключения), — а именно получение возможности полноценной работы с сетью наравне с легитимными пользователями. В ход идет все — от брутфорса WPS (современный аналог WEP по простоте вектора атаки) до перехвата и брутфорса хендшейков и поднятия фейковой точки доступа. На этом этапе необходимо наиболее полно продемонстрировать на практике и задокументировать возможность (или невозможность) проведения тех или иных атак.

Не стоит забывать, что обязательным условием выполнения работ является соблюдение принципов конфиденциальности, целостности и доступности информации. В данном случае я особенно хочу отметить принцип доступности информации: многие пренебрегают этим на этапе демонстрации атак на беспроводные сети, к примеру безжалостно отправляя тоннами пакеты de-auth.

Этот процесс несложно автоматизировать — это даст выигрыш во времени. В конце рабочего дня все данные, которые можно пробрутфорсить в офлайне (например, WPA handshake), отправляются на брутфорс, если это не было сделано ранее.

Спот 3. Дорога вдаль. День 2

Второй рабочий день начнется с взаимодействия с вычислительными мощностями, которые были озадачены брутфорсом. Если искомые значения найдены — хорошо, если нет — не стоит расстраиваться: это значит, что они не столь просты. После сбора всей информации необходимо встретиться с заказчиком и с техническим контактом заказчика, чтобы обсудить текущий статус — объяснить, удалось ли получить несанкционированный доступ или нет и почему. В конце этой встречи пентестер запрашивает данные для подключения ко всем перечисленным беспроводным сетям, а также конфигурации точек доступа (если это возможно) для дальнейшего анализа. Вот тут уже можно понять, каковы были реальные шансы на успех брутфорса :). Эти данные необходимы для анализа защищенности инфраструктурных ресурсов, а также для анализа защищенности сети на канальном уровне.

Беспроводные сети в организациях можно разделить на два основных типа — гостевые и корпоративные. Гостевые сети дополнительно исследуются на возможность получить доступ к корпоративной сети. Проверка всех беспроводных сетей — дело долгое, так что расслабиться не получится. Рекомендую проводить подобные работы сразу с нескольких ноутбуков, чтобы анализировать несколько сетей одновременно. К сожалению, в большинстве случаев сама задача тривиальна и нудна. На подготовку отчета уйдет от одного до трех рабочих дней в зависимости от количества информации, которую требуется в нем отразить.

Спот 4. Подготовка отчета

По итогам анализа защищенности беспроводных сетей этичный хакер предоставляет заказчику отчет. В нем должна быть отражена как минимум следующая информация:

• список точек беспроводного доступа, не соответствующих стандартам информационной безопасности (использование методов защиты, для которых есть документированные методы обхода, отсутствие механизмов защиты и так далее);
• описание всех (удачных и неудачных) попыток несанкционированного доступа к беспроводным сетям заказчика;
• описание проблем, которые позволили осуществить несанкционированный доступ, а также рекомендации по их устранению;
• описание проблем, выявленных в результате анализа защищенности инфраструктуры и канального уровня, и рекомендации по их устранению;
• описание ошибок в конфигурации устройств точек доступа беспроводных сетей (если применимо);
• радиус действия беспроводных сетей (если применимо);
• список выявленных несанкционированных беспроводных точек доступа (если применимо).

Outro

На практике большинство беспроводных сетей сконфигурированы почти одинаково, и, соответственно, схожи и проблемы, равно как и пути их устранения. К тому же новые методы атак в отношении механизмов защиты беспроводных сетей — штука в текущих реалиях очень редкая. Так что большая часть работ, которые следуют за реконом и сбором отчетных материалов, сводится к грамотному составлению отчетов из готовых шаблонов.

Все это на удивление не мешает подобной работе быть чертовски увлекательной и интересной. И еще. Занимаясь практической информационной безопасностью, особенно на свежем воздухе и с ноутбуком в рюкзаке, не забывай, что такие простые и замечательные вещи, как велосипед, ролики, самокат или лонгборд, помогут совместить приятное с полезным и получить удовольствие от хорошей погоды. Stay tuned!