В літній вечір, у розпал сезону відпусток, на стоянку кафе заїхав сірий непомітний автомобіль. Водій, що сидів у ньому, чомусь не вийшов з машини, а лише дістав з сумки ноутбук та поклав на приладову панель незрозумілий пристрій з антеною. На прибульця ніхто не звернув увагу, люди заходили та виходили з кафе, а дехто навіть залишався там на довгий час.
Хакер, що сидів у машині (а це справді був хакер) перехоплював та аналізував трафік публічної мережі Wi-Fi протягом кількох годин. І ніхто не тільки не подзвонив в поліцію, а навіть не звернув на нього увагу. Люди заходили на свої улюблені сайти, такі як Netflix та Google, через протокол HTTP, здійснювали телефонні дзвінки й взагалі надсилали через інтернет купу не шифрованого трафіку, який можна було перехопити та модифікувати для подальших фішингових або vishing-атак.
Втім, в цей раз ніхто не постраждав, адже в ролі хакера виступив відомий спеціаліст з кібербезпеки Патрик Ф. Уілбур (Patrick F. Wilbur). Експеримент з перехоплення публічного трафіку Wi-Fi він організував виключно з метою оцінки рівня безпеки в інтернеті. Багато хто неправильно вважає, що увесь веб-трафік шифрується і тому можна спокійно пересилати конфіденційні дані навіть в публічних місцях. На жаль, експеримент привів до вельми негативних висновків: величезний обсяг онлайн-трафіку є сьогодні абсолютно незашифрованим й це залишає великий ризик кібератаки.
Алгоритм зламу
Отже, як діють зловмисники, коли хочуть атакувати вас через бездротову мережу?
Крок 1. Спочатку знайдіть легку мету. У вихідні дні багато потенційних жертв збираються в торгових центрах. Саме там атакуючому відносно легко перехопити велику кількість персональних пристроїв, просто встановлюючи точку доступу в тому місці, де люди звикли знаходити відкритий Wi-Fi.
Крім того, ці покупці, скоріш за все, витрачали гроші в магазинах настільки часто і настільки швидко, що запобіжні системи їхнього банку вже не здатні детектувати шахрайство своєчасно. Таким чином вони є ідеальними мішенями для фроду.
Крок 2. Розгорніть свою безкоштовну публічну мережу Wi-Fi. Не використовуйте взагалі жодного шифрування, або ж встановіть простий ключ, який треба повідомити всім. Така відкрита мережа є досить небезпечною і придатна для декількох режимів атаки.
Спостереження за веб-трафіком в мережі
Крок 3. Використовуйте один з простих методів атаки в публічній мережі Wi-Fi. Існує безліч способів атак для перехоплення трафіку в загальнодоступних мережах. Ось кілька дивовижно простих і недорогих методів:
- Зловмисник може пасивно слухати трафік (навіть з дуже великої відстані, без підключення до мережі) через будь-який бездротовий мережевий адаптер (наприклад, мережевий адаптер USB від Alfa) або програмний радіоприймач.
- Завдяки безкоштовному програмному забезпеченню (наприклад, Wireshark) і без додаткових апаратних засобів зловмисник може підключатися до мережі й збирати всі підряд мережеві пакети від інших учасників мережі (хоча іноді це неможливо в комутованих мережах).
- Зловмисник може розгорнути спеціальний апаратний пристрій типу Wi-Fi Pineapple для активного перехоплення пакетів шляхом трансляції нової мережі Wi-Fi.
Чи можна вас хакнути?
В рамках свого експерименту Патрик Уілбур встановив SSID-ідентифікатор «Вільний гостьовий Wi-Fi». Така назва мережі є досить популярною та прийнятною. При підключенні автоматично відкривалася pop-up сторінка, яка містила небагатослівну угоду про те, що користувач має погодитися з тим, що в мережі будуть відстежуватися його дані та комунікації.
Кава та компрометований Wi-Fi ідеально поєднуються, адже саме в кафе люди зазвичай приєднуються до публічних мереж. На малюнку зображено недорогий бездротовий USB-модуль Alfa Network, з антеною дальньої дії та високим коефіцієнтом посилення, здатний до пасивного моніторингу
Загалом, це був вельми дружній спосіб проведення експерименту. Справжній хакер був би набагато агресивнішим.
Щоб додатково захистити конфіденційність користувачів, Патрик Уілбур написав невелику програму для збирання статистичних даних про протоколи та порти, які застосовувалися в мережі програмними додатками кінцевих споживачів.
Три рядки коду — це все, що потрібно:
p = pcap.pcap(name=interface)
p.setfilter(‘’)
p.loop(0,handler)
Ця програма не записує жодних IP-адрес, MAC-адрес, імен хостів або інформації додатків і не може бути налаштована таким чином, щоб зробити це. Вона призначена лише для однієї мети: узагальнити типи пакетів і портів, що використовуються, найменш інтрузивним способом.
Хто використовує «безкоштовний гостьовий WiFi»?
Як виявилося, є дуже багато охочих під’єднатися до відкритої мережі WiFi. Протягом одного дня було отримано таку статистику:
- Всього під’єднано 49 пристроїв
- Всі 100% прийняли умови у pop-up вікні та надіслали дані
- Нуль пристроїв використовували VPN
Дехто помітить, що в цю статистику увійшли лише ті особи, які свідомо вибрали відкриту мережу та поставили відповідну позначку на pop-up сторінці. Та люди, що обирають публічні мережі, більш вірогідно здатні виконувати ризиковані дії в інтернеті. До речі, через те, що для підключення до мережі треба було підтвердити угоду на pop-up сторінці, це виключало зі статистики будь-які автоматичні пристрої типу Internet of Things (IoT).
Але ж важливі дані в інтернеті все одно зашифровані, чи не так?
На жаль, HTTPS недостатньо для повного захисту. Насправді, ця технологія неправильно реалізована навіть на великих сайтах, які всім добре відомі і яким ви довіряєте.
Крім того, близько 42% всього трафіку, що пройшов через мережу через вищезгаданий «гостьовий WiFi», був не шифрованим HTTP-трафіком.
Після збору 489330 IP-пакетів виявилося, що:
- Понад 42% трафіку від загального обсягу на 80-му порту (Port 80) відносився до незашифрованого HTTP (проти майже 57% на Port 443, що використовується протоколом HTTPS).
- 2638 пакетів — не шифровані пакети DNS.
- 18 пакетів відносилися до не шифрованих пакетів NTP-протоколу.
Нижче у таблиці подана більше детальна інформація.
| Протокол | Порт | Кількість | Частка у відсотках |
| udp | 8992 | 4 | 0.000817444260519 |
| udp | 5090 | 482 | 0.0985020333926 |
| udp | 67 | 49 | 0.0100136921914 |
| udp | 64 | 37 | 0.0130791081683 |
| udp | 5355 | 37 | 0.00756135940981 |
| udp | 53 | 2638 | 0.539104489813 |
| udp | 137 | 73 | 0.0149183577545 |
| udp | 3544 | 54 | 0.011035497517 |
| udp | 123 | 18 | 0.00367849917234 |
| udp | 443 | 203 | 0.0414852962214 |
| tcp | 993 | 63 | 0.0128747471032 |
| tcp | 5223 | 79 | 0.0161445241453 |
| tcp | 9001 | 350 | 0.0715263727955 |
| tcp | 5228 | 199 | 0.0406678519608 |
| tcp | 80 | 207538 | 42.4126867349 |
| tcp | 53 | 12 | 0.00245233278156 |
| tcp | 443 | 277467 | 56.7034516584 |
Всього: 489330
Оскільки протоколи DNS та NTP є небезпечними, а 42% трафіку – це потенційно незашифрований трафік HTTP, що надсилається через порт 80, така статистика справді дуже турбує. А як щодо політик HTTP Strict Transport Security (HSTS), які повинні застосовувати веб-браузери?
Якщо проаналізувати пакети на глибшому рівні …
Отже, якщо вивчити поведінку декількох популярних веб-сайтів, то виявиться, що:
- Популярні веб-сайти не завжди впроваджують HTTPS належним чином, якщо взагалі впроваджують (це включає в тому числі Google та Netflix).
- Користувачі загальнодоступних мереж Wi-Fi залишаються вразливими до атаки MITM (man-in-the-middle), перехоплення приватних даних та інших атак.
Крім того, є й альтернативна статистика. Google використовує анонімну звітність користувачів Chrome, щоб виявити частоту застосування HTTPS в інтернеті.
Відповідно до власного звіту Google (станом на 29 грудня 2018 року):
- 11–31% всіх веб-сайтів відвідуються без шифрування (доступ через незашифрований HTTP);
- ~ 7% трафіку до сервісів Google не шифрується (навіть до 10% для деяких продуктів Google);
- 82,6% цього трафіку походить з мобільних пристроїв (що змушує з великим скептицизмом дивитися на використання мобільної ОС, розробленої Google).
Як зловмисник може використати перехоплений трафік?
Сьогодні досить неважко перехопити дані, що передаються в публічних мережах Wi-Fi, за допомогою недорогого обладнання або навіть безкоштовних інструментів. Наприклад, можна застосувати бездротовий адаптер, аналізатор мережевих протоколів Wireshark, Bettercap, тощо.
Фішинг. По-перше, щоб успішно здійснити фішингову атаку, зловмисник може орієнтуватися на деякі з популярних сайтів, які доступні через HTTP, і де неналежним чином реалізований HTTPS. Можна також використовувати DNS-запити, оскільки DNS ніколи не був безпечним.
Дія поспіхом. Наш гіпотетичний зловмисник може створити у жертви відчуття терміновості, щоб змусити її поспішати та наробити більше помилок. Наприклад, портал пропонує користувачу ввести адресу електронної пошти та надає дуже короткий час для того, що перевірити, чи надійшло туди спеціально згенероване посилання для активації якогось сервісу. Насправді, замість справжньої сторінки поштового сервісу користувач потрапляє на фішингову сторінку.
Встановлення злошкідливого ПЗ. Також зловмисник здатний обдурити людей та спонукати їх на інсталяцію бекдорів або ботнет-програм. З цього моменту зловмисник може відмовитися від своїх пристроїв перехоплення інформації та інших схожих технологій, адже тепер крадіжка потрібних даних буде дуже простою. Для цього зловмисник може спричинити появу на комп’ютері певних «попереджень» про віруси або шпигунські програми та люб’язно запропонувати користувачам встановити ніби «антивірус», щоб «виправити» ситуацію. Це означатиме, що користувач фактично дозволяє встановити злошкідливе програмне забезпечення. Крім того, наш гіпотетичний хакер міг би запустити майнинг криптовалюти у веб-браузерах користувачів, що навіть не потребує їхньої згоди на встановлення вірусного програмного забезпечення.
Атака на сервіси VoIP. Особливо цікавим є трафік, який пересилається через порт 5090, оскільки такий порт зазвичай використовують мобільні додатки VoIP для здійснення телефонних дзвінків через протокол SIP. Деякі мобільні оператори також застосовують SIP для розвантаження голосового трафіку. Патрик Уілбур відзначає, що був вельми здивований, побачивши ці дані у своїй статистиці. Навіть якщо пакети SIP зашифровані, то їхні заголовки не є такими, і часто містять ідентифікатори CID та DID (тобто телефонні номери) у відкритій формі.
Зазначене вище може бути особливо корисним для нашого гіпотетичного хакера, який здійснює vishing-атаку на жертву або контакти з її телефонної книжки, оскільки CID-файли легко підміняються. Тобто можна зробити так, ніби зловмисник дзвонить жертві зі звичного номеру, який є в неї в контактах. Якщо шахрай хоче атакувати вас телефоном, він може зібрати ці телефонні номери та потім їх застосувати.
Всі потенційні проблеми з публічним Wi-Fi
Базова безпека в інтернеті останнім часом значно покращилася, але все ж таки недостатньо. Досі існують величезні проблеми, які не вдалося вирішити. Тому в публічних мережах Wi-Fi навіть сьогодні зловмисник може:
- Дізнатися, які сайти ви відвідуєте (просто перехопивши запити DNS).
- Здійснити атаки типу MITM (людина посередині) в момент завантаження сторінки HTTP.
- Обмежити запобіжні можливості HSTS, вводячи фальшивий майбутній час через сервіс NTP (адже політики HSTS мають обмежений час дії).
- Виконати фішинг-атаку для збору конфіденційної інформації.
- Провести телефонну атаку типу vishing на вас, ваших друзів чи вашу родину.
- Ввести фальшивий вміст/рекламу або навіть майнити криптовалюту, використовуючи ваш процесор.
- Обдурити вас та спонукати працювати з небезпечними плагінами, наприклад, застарілою версією Flash.
Ви хочете знати, як захистити себе?
Існують деякі класичні засоби безпеки, які ви можете застосувати, щоб зробити себе менш легкою мішенню. Передусім ви повинні використовувати принаймні VPN та плагін HTTPS Everywhere. Якщо ви цього не робили, то, ймовірно, вам доведеться повністю переглянути свої політики безпеки. Більш детально про це – в наступних статтях.
ЧИТАЙТЕ ТАКОЖ:
- Дослідження: мережа Wi-Fi дозволяє чужинцю бачити, що відбувається за закритими дверима
- Фішинг та цільовий фішинг: поради по захисту
- Атаки типу Man-In-The-Middle: що треба знати кожному
Джерело: Hackernoon