Многие пользователи еще помнят времена, когда интернет подключался только по проводу. Сегодня в эпоху беспроводных технологий это кажется максимально неудобным, поскольку пользователи уже привыкли работать в сети без привязки к определенному рабочему месту. Однако у удобной технологии всегда есть обратная сторона, в случае с Wi-Fi это уязвимость системы. Точка доступа не работает целенаправленно – в зону действия могут попадать другие устройства, что облегчает реализацию атаки.
Слабые места беспроводного доступа
Слабо защищенная сеть неизбежно привлекает внимание злоумышленников, поскольку ее можно использовать в качестве точки входа для других типов атак. В частности, появляется возможность перехватывать платежную информацию для кражи средств со счета. Также проникновение в сеть можно использовать для взлома других устройств, подключенных к сети. Практика показывает, что еще достаточно много пользователей плохо разбираются в тонкостях обеспечения собственной безопасности и пренебрегают элементарными рекомендациями по защите.
Основные векторы атак
Много лет идет своеобразное соперничество между разработчиками и мошенниками. Специалисты в сфере информационной безопасности постоянно совершенствуют методы защиты, преступники в свою очередь активно тестируют новые схемы атак, модифицируют или комбинируют с другими инструментами для поиска эффективного варианта. На текущем этапе пока сложно сказать, какая сторона победила.
Перехват handshake
Самая популярная схема в силу простоты реализации и эффективности. При установке соединения между клиентским устройством и точкой доступа инициируется обмена данными (handshake), если перехватить информацию, можно получить доступ к подключению через стороннее устройство. Предусмотрен отдельный механизм для принудительного разрыва текущего подключения, чтобы устройство запустило новый процесс подключения.
При использовании протоколов WPA2 и WPA3 на начальном этапе необходим предварительный обмен зашифрованными ключами, что и позволяет перехватить хеш пароля сети. В таком виде он не позволяет сразу получить доступ к подключению, однако для относительно простых паролей можно использовать классический брутфорс для получения нужной комбинации. Для паролей, которые соответствую требованиям безопасности, такая схема уже не подойдет – процесс займет очень много времени.
Уязвимость Pixie Dust (взлом через функцию WPS)
Режим Wi-Fi Protected Setup изначально предназначен для облегчения процесса подключения. При наличии физического доступа к роутеру пользователь может нажать на нем специальную кнопку и ввести не клиентском устройстве PIN, который также находится на сетевом устройстве. Однако такой алгоритм сильно снижает уровень защищенности, поскольку во многих устройствах используется слабый механизм генерации PIN-кода, что позволяет его подобрать путем простого перебора.
Общий сценарий выглядит следующим образом. Злоумышленник при нахождении в зоне действия Wi-Fi-сети запускает на своем устройстве специальную утилиту, которая в автоматическом режиме отправляет на роутер пакеты и подбирает PIN-код. Если разработчик использует слабую защиту от таких атак, то процесс взлома может занять буквально несколько минут. В этом случае атакующий получает пароль доступа, который уже позволяет в штатном режиме подключиться к сети.
Подбор паролей (брутфорс и перебор по словарю)
Классический метод, который популярен уже много лет. Несмотря на постоянные предупреждения от специалистов, многие пользователи продолжают использовать простые комбинации. Это позволяет реализовать простую схему атаки – программа просто пытается подобрать пароль путем полного перебора комбинаций или используя готовый словарь с популярными паролями. Поскольку используется программное обеспечение, скорость перебора может быть достаточно высокой.
Evil Twin
Еще одна популярная схема атаки, название дословно можно перевести как «злой близнец». Предварительно злоумышленник создает новую точку доступа, основные параметры которой совпадают с настоящим устройством – используется аналогичный SSID, в некоторых случаях копируется даже MAC-адрес. Далее пользователя принудительно отключают от роутера, чтобы устройство автоматически подключилось к поддельной точке доступа. Схема реализуема, поскольку устройство запоминает SSID и выбирает сеть с самым высоким уровнем сигнала.
Если подключение удается, весь трафик пользователя начинает проходить через оборудование злоумышленника, что позволяет легко извлекать незашифрованные данные.
Методы защиты:
— использовать VPN для защиты трафика;
— внимательно проверять, к какой сети в данный момент осуществляется подключение;
— не игнорировать предупреждения обозревателя о недостоверных сертификатах.
KRACK (Key Reinstallation Attack)
Очередная опасная уязвимость была обнаружена в 2017 году – она содержалась непосредственно в протоколе WPA2 (самый распространенный в пользовательских устройствах). Проблема, получившая название KRACK, позволяет злоумышленнику расшифровать и подделать исходные пакеты данных, которые передаются с устройства пользователя. В основе атаки лежат манипуляции на этапе четырехстороннего рукопожатия, когда устройство инициирует новое подключение.
Уязвимость позволяет заставить атакуемое устройство переустановить используемые в данный момент криптографические ключи, что обеспечивает обход основного защитного механизма протокола. По умолчанию ключи шифрования могут использоваться только один раз, что позволяет протоколу соответствовать современным требованиям в области защиты информации. В случае успеха у злоумышленников появляется возможность расшифровать весь трафик и внедрять в него вредоносный код.
Методы защиты:
— если оборудование поддерживает протокол WPA3, необходимо перейти в настройках на его использование;
— регулярно обновлять программную часть конечных устройств и роутера;
— обязательно использовать соединение HHPS, для дополнительного шифрования можно использовать VPN.
Dragonblood
В определенный момент стандарт WPA2 также перестал соответствовать требованиям по уровню защиты. Поэтому была разработана улучшенная версия – WPA3. Однако достаточно быстро крупные специалисты начали находить новые уязвимости, весь набор получил общее название Dragonblood.
Найденные уязвимости позволяют злоумышленникам проводить атаки разного типа, восстанавливая пароли от беспроводной сети. Данные схемы реализовать гораздо сложнее, чем взломать WPA2, однако это уже позволяет утверждать, что новый стандарт не является абсолютно безопасным.
Методы защиты:
— использовать только актуальные прошивки для сетевого устройства;
— использовать пароли с достаточной длиной, они должны содержать служебные символы, буквы в разном регистре и цифры;
— при возможности перейти на многоуровневую защиту сети.
Инструменты для взлома
Сегодня в свободном доступе можно найти большое количество инструментов для тестирования беспроводных сетей на предмет защищенности. Их могут использовать обе стороны: злоумышленники непосредственно для взлома, а специалисты по информационной безопасности – для проверки устойчивости системы.
Aircrack-ng. Набор популярен уже много лет и содержит все необходимые инструменты для анализа беспроводных сетей и проведения атак. Можно перехватывать handshake, анализировать полученный хэш пароля и многое другое.
Reaver. Утилита ориентирована на взлом функции WPS. Предлагает достаточно много настроек, которые позволяют повысить вероятность успешного взлома.
Hashcat. Мощное приложение, которое позволяет перебирать хэши. Основные вычислительные операции производятся при помощи видеокарт, что позволяет ускорить процесс брутфорса. При этом нет необходимости приобретать дорогое оборудование – достаточно собрать блок из нескольких мощных видеокарт.
Wireshark. Анализатор сетевого трафика, встроенных инструментов для взлома нет, необходимо использовать как часть набора инструментов.
Wifite. Программа предназначена для автоматизации рутинных операций. Может искать доступные точки доступа, сразу проверять наличие уязвимостей при помощи встроенного набора утилит. Используется удобный графический интерфейс, что заметно облегчает работу.
WiFi Pineapple. Еще один популярный набор программ для проведения атак разного типа, включая генерацию полноценных поддельных точек доступа. Можно перехватывать и анализировать трафик, использовать готовые сценарии для поиска и эксплуатации различных уязвимостей.
Fluxion. Утилита для создания копии точки доступа с фальшивой страницей авторизации для входа в личный кабинет. Если пользователь не замечает подмены и вводить данные для аутентификации, пароль автоматически перехватывается и используется для подключения к сети.
Bettercap. Модуль предназначен для организации атак «человек посередине», обеспечивая возможность подменять пакеты данных в реальном времени. Также поддерживается работа с другими беспроводными протоколами, включая Bluetooth.
Многие из программ данного типа изначально позиционируются как инструменты для проверки уровня защищенности беспроводных сетей. Однако их также можно использовать для взлома – общий алгоритм работы сохраняется.
Безопасность IoT-устройств
Устройства интернета вещей уже давно перешли в категорию рядовых бытовых приборов. При этом их список постоянно расширяется – можно подключить многие бытовые устройства, например, чайники и холодильники. Однако не все производители активно работают над улучшением уровня защиты таких устройств, что нередко приводит серьезным инцидентам.
Специалисты выделяют следующие проблемы с обеспечением безопасности IoT:
— отсутствие регулярных обновлений прошивки. При обнаружении новых уязвимостей они могут оставаться открытыми много месяцев;
— по умолчанию используются типовые пароли из простых комбинаций (1234, admin и так далее);
— не используются надежные протоколы безопасности. Передача информации может осуществляться без шифрования или с использованием устаревших протоколов;
— использование большого количества разрешений. Такие устройства часто изначально запрашивают избыточные разрешения к отдельным функциям домашней сети.
Способы защиты сети с IoT-устройствами
Использование гостевой сети. Большинство современных роутеров поддерживают возможность запуска отдельной сети с ограниченными правами. Это позволяет легко изолировать потенциально уязвимые устройства от основной инфраструктуры;
— принудительное изменение паролей по умолчанию. Это позволит защититься от атак путем подбора по словарю;
— обновление прошивки. Необходимо периодически проверять наличие новые версий и устанавливать их. В обновлениях часто закрывают опасные уязвимости, что позволяет поддерживать высокий уровень защиты;
— активация VPN на уровне маршрутизатора. Это позволит создать дополнительный защитный барьер для передаваемого трафика;
— отключение неиспользуемых функций. К примеру, если не используется режим удаленного доступа, лучше сразу деактивировать данную опцию.
Основные признаки взлома
В большинстве случаев явные признаки могут отсутствовать, поскольку злоумышленники активно используют различные инструменты и методы для скрытия своей активности. Однако определенные методы позволяют даже неопытным пользователям отслеживать такую активность.
Увеличение общего трафика. Если даже при отсутствии текущих загрузок явно прослеживается сетевая активность, возможно канал уже используется для деструктивной деятельности.
Произвольный сброс настроек. Если важные настройки сбрасываются без явных причин, это уже можно считать отклонением от штатной работы. К примеру, злоумышленник может изменить пароль для доступа к панели управления, чтобы укрепить свои полномочия в атакованной системе.
Подозрительные логи роутера. В сетевых устройствах предусмотрена возможность отслеживать историю активности. Это часто позволяет зафиксировать подозрительную активность – ошибки авторизации, новые сессии без активности со стороны пользователя, сторонние устройства среди клиентов и так далее.
Нетипичное поведение браузера. Это может быть отображение сторонней рекламы, уведомления, перенаправления на другие страницы. Нередко это указывает на то, что роутер уже скомпрометирован и используется для подмены трафика.
Активность индикаторов на сетевом устройстве. Частое и интенсивное мигание светодиода указывает на активную передачу данных.
Произвольное изменение серверов DNS. Штатный веб-интерфейс позволяет проверить основные параметры сетевого устройства. Злоумышленники после проникновения в сеть часто корректируют запись DNS для перенаправления данных через поддельные узлы, что открывает широкие возможности для дальнейших действий.
При обнаружении таких признаков рекомендуется сразу предпринять необходимые меры. В первую очередь необходимо изменить пароли для доступа к сети и веб-интерфейсу устройства. Также необходимо проверить настройки безопасности и обновить прошивку роутера.
Программы для проверки уровня защищенности беспроводной сети
Если у пользователя нет необходимых навыков, можно использовать готовые инструменты для автоматической проверки уязвимостей. Такие программы также часто предоставляют рекомендации по улучшению защиты.
Acrylic Wi-Fi Home. Популярная утилита, которая отображает доступные в данный момент сети и их основные параметры. В частности, можно узнать уровень сигнала и тип шифрования.
WiFi Inspector. Бесплатный инструмент от специалистов Avast. Позволяет быстро просканировать сеть на наличие распространенных уязвимостей.
Fing. Мобильное приложение, которое сканирует беспроводную сеть и отображает информацию о подключенных устройствах.
Wireshark. Программа ориентирована на опытных пользователей, предоставляет уже гораздо больше инструментов. В частности, можно анализировать сетевой трафик и отслеживать подозрительную активность.
Регулярное использование таких приложений позволят поддерживать безопасность сети и оперативно выявлять факты взлома.
Способы защиты сетей Wi-Fi
Важно понимать, что защита любой сети должна проводиться комплексно. В противном случае хакеры используют слабое место для атаки, все предпринятые ранее меры окажутся бессмысленными.
Использование надежных паролей. Самое важное правило, которое позволяет отсечь основную часть атак. Для взлома паролей формата «qwerty123» современным программам может потребоваться буквально несколько минут. Сегодня надежный пароль – не менее 12 символов, буквы в разном регистре, цифры и служебные символы.
Деактивация опции WPS. Если данный режим не используется, лучше сразу отключить ее через веб-интерфейс. Практика показывает, что многие производители не обеспечивают достаточный уровень защиты при использовании данного режима.
Использование современных протоколов. WEP сегодня уже морально устарел и не рекомендуется к использованию. Необходимо использовать WPA3 (если доступен) или WPA2.
Активация режима 802.11w. Новый стандарт, который обеспечивает надежную защиту управляющих кадров. Многие современные атаки, основанные на отключении пользователя, специально отправляют незашифрованные пакеты, что и вынуждает сетевое устройство разрывать подключение. Переход на новый стандарт значительно усложняет работу злоумышленников. Рекомендуется проверить наличие данной опции и при ее наличии сразу активировать ее.
Обновление прошивки. Производители, которые заботятся о безопасности пользователей, регулярно обновляют программное обеспечение, закрывая обнаруженные уязвимости. Также новые версии могут добавлять новые функции, что повышает удобство пользователей.
Пароль для доступа в панель администратора. По умолчанию производитель обычно устанавливают типичный набор для аутентификации (например, популярна пара admin/admin). Лучше уже на этапе первичной настройки установить сложную комбинацию для пароля, если устройство дает изменить логин, можно изменить и его.
Фильтрация по MAC. Дополнительный инструмент, который можно использовать, если используется фиксированный набор устройств. В этом случае можно активировать режим доступа только для устройств из белого списка. В этом случае сторонние устройства будут просто игнорироваться. Стоит помнить, что злоумышленники научились обходить данный режим, поэтому он не гарантирует полную защиту. К примеру, атакующий может просто подделать MAC, чтобы пройти авторизацию.
Сегментация сети. Полезный прием, которым могут воспользоваться опытные пользователи. В настройках можно разделить домашнюю сеть, выделив сегмент для гостевого доступа. Он будет иметь ограниченные возможности, а также надежно изолирован от основной сети. При ее взломе у хакера не будет возможности получить доступ к основным элементам.
Использование VPN. Использование виртуальных частных сетей позволяет запустить зашифрованный туннель для всего передаваемого трафика, что обеспечивает дополнительный уровень защиты. Это особенно актуально для публичных сетей, которые по умолчанию являются незащищенными.
Скрытие SSID. Данная опция позволяет защитить только от простых сканеров, поскольку профессиональные приложения легко находят такие сети. Также необходимо учитывать, что определенные неудобства при этом возникают при добавлении новых устройств – SSID при этом необходимо вносить вручную.
Настройка файервола. Для современных сетевых устройств уже является своеобразным стандартом использование встроенного брандмауэра, который при необходимости можно гибко настроить под текущие задачи.
Аудит и мониторинг
Важно периодически вручную проверять перечень подключенных устройств и изучать логи роутера. Это позволяет выявлять стороннюю активность и оперативно предпринимать меры.
Заключение
Атака на частные Wi-Fi-сети – вполне реальная угроза. В случае успеха злоумышленники получает широкие возможности, включая кражу паролей, персональных данных и банковских реквизитов. В свободном доступе можно найти большое количество инструментов, которые позволяют проводить целенаправленные атаки даже пользователям без опыта. Однако соблюдение элементарных правил защиты позволяет резко снизить вероятность взлома.