В летний вечер, в разгар сезона отпусков, на стоянку кафе заехал серый незаметный автомобиль. Водитель, сидевший в нем, почему-то не вышел из машины, а лишь достал из сумки ноутбук и положил на приборную панель непонятное устройство с антенной. На пришельца никто не обратил внимание, люди заходили и выходили из кафе, а кое-кто даже оставался там на долгое время.
Хакер, который сидел в машине (а это действительно был хакер) перехватывал и анализировал трафик публичной сети Wi-Fi в течение нескольких часов. И никто не только не позвонил в полицию, а даже не обратил на него внимание. Люди заходили на свои любимые сайты, такие как Netflix и Google, через протокол HTTP, осуществляли телефонные звонки и вообще присылали через интернет кучу не шифрованного трафика, который можно было перехватить и модифицировать для дальнейших фишинговых или vishing-атак.
Впрочем, в этот раз никто не пострадал, ведь в роли хакера выступил известный специалист по кибербезопасности Патрик Ф. Уилбур (Patrick F. Wilbur). Эксперимент по перехвату публичного трафика Wi-Fi он организовал исключительно с целью оценки уровня безопасности в интернете. Многие неправильно считают, что весь веб-трафик шифруется и поэтому можно спокойно пересылать конфиденциальные данные даже в публичных местах. К сожалению, эксперимент привел к весьма негативным выводам: огромный объем интернет-трафика является сегодня абсолютно незашифрованным и это оставляет большой риск кибератаки.
Алгоритм взлома
Итак, как действуют злоумышленники, когда хотят атаковать вас через беспроводную сеть?
Шаг 1. Сначала найдите легкую цель. В выходные дни многие потенциальные жертвы собираются в торговых центрах. Именно там атакующим относительно легко перехватить большое количество персональных устройств, просто устанавливая точку доступа в том месте, где люди привыкли находить открытый Wi-Fi.
Кроме того, эти покупатели, скорее всего, тратили деньги в магазинах настолько часто и настолько быстро, что предохранительные системы их банка уже не способны детектировать мошенничество своевременно. Таким образом они являются идеальными мишенями для фрода.
Шаг 2. Разверните свою бесплатную публичную сеть Wi-Fi. Не используйте вообще никакого шифрования, или же установите простой ключ, который надо сообщить всем. Такая открытая сеть является достаточно опасной и пригодна для нескольких режимов атаки.
Шаг 3. Используйте один из простых методов атаки в публичной сети Wi-Fi. Существует множество способов атак для перехвата трафика в общедоступных сетях. Вот несколько удивительно простых и недорогих методов:
- Злоумышленник может пассивно слушать трафик (даже с очень большого расстояния, без подключения к сети) через любой беспроводной сетевой адаптер (например, сетевой адаптер USB Alfa) или программный радиоприемник.
Благодаря бесплатному программному обеспечению (например, Wireshark) и без дополнительных аппаратных средств злоумышленник может подключаться к сети и собирать все подряд сетевые пакеты от других участников сети (хотя иногда это невозможно в коммутируемых сетях).
- Злоумышленник может развернуть специальное аппаратное устройство типа Wi-Fi Pineapple для активного перехвата пакетов путем трансляции новой сети Wi-Fi.
Можно ли вас хакнуть?
В рамках своего эксперимента Патрик Уилбур установил SSID-идентификатор «Свободный гостевой Wi-Fi». Такое название сети является достаточно популярным и приемлемым. При подключении автоматически открывалась pop-up страница, которая содержала немногословное соглашение о том, что пользователь должен согласиться с тем, что в сети будут отслеживаться его данные и коммуникации.
В общем, это был весьма дружеский способ проведения эксперимента. Настоящий хакер был бы намного агрессивнее.
Чтобы дополнительно защитить конфиденциальность пользователей, Патрик Уилбур написал небольшую программу для сбора статистических данных про протоколы и порты, которые применялись в сети программными приложениями конечных потребителей.
Три строки кода — это все, что нужно:
p = pcap.pcap(name=interface)
p.loop(0,handler)
Эта программа не записывает никаких IP-адресов, MAC-адресов, имен хостов или информации приложений и не может быть настроена таким образом, чтобы сделать это. Она предназначена лишь для одной цели: обобщить типы пакетов и используемых портов наименее интрузивным способом.
Кто использует «бесплатный гостевой WiFi»?
Как оказалось, есть очень много желающих подключиться к открытой сети WiFi. В течение одного дня было получено такую статистику:
Всего подсоединено 49 устройств
Все 100% приняли условия в pop-up окне и прислали данные
Ноль устройств использовали VPN
Кое-кто заметит, что в эту статистику вошли только те лица, которые сознательно выбрали открытую сеть и поставили соответствующую отметку на pop-up странице. И люди, что выбирают публичные сети, более вероятно способны выполнять рискованные действия в интернете. Кстати, за то, что для подключения к сети надо было подтвердить соглашение на pop-up странице, это исключало из статистики любые автоматические устройства типа Internet of Things (IoT).
Но важные данные в интернете все равно зашифрованы, не так ли?
К сожалению, HTTPS недостаточно для полной защиты. На самом деле, эта технология неправильно реализована даже на крупных сайтах, которые всем хорошо известны и которым вы доверяете.
Кроме того, около 42% всего трафика, прошедшего через сеть через вышеупомянутый «гостевой WiFi», был не шифрованным HTTP-трафиком.
После сбора 489330 IP-пакетов оказалось, что:
Более 42% трафика от общего объема на 80-м порту (Port 80) относился к незашифрованному HTTP (против почти 57% на Port 443, что используется протоколом HTTPS).
2638 пакетов — не шифрованные пакеты DNS.
18 пакетов относились к не шифрованным пакетам NTP-протокола.
Поскольку протоколы DNS и NTP опасны, а 42% трафика-это потенциально незашифрованный трафик HTTP, отправляемый через порт 80, такая статистика действительно очень беспокоит. А как насчет политик HTTP Strict Transport Security (HSTS), которые должны применять веб-браузеры?
Если проанализировать пакеты на более глубоком уровне … Итак, если изучить поведение нескольких популярных веб-сайтов, то окажется, что:
Популярные веб-сайты не всегда внедряют HTTPS должным образом, если вообще внедряют (это включает в том числе Google и Netflix).
Пользователи общедоступных сетей Wi-Fi остаются уязвимыми к атаке MITM (man-in-the-middle), перехвата личных данных и других атак.
Кроме того, есть и альтернативная статистика. Google использует анонимную отчетность пользователей Chrome, чтобы выявить частоту применения HTTPS в интернете.
Согласно отчета Google (по состоянию на 29 декабря 2018 года):
11-31% всех веб-сайтов посещаются без шифрования (доступ через незашифрованный HTTP);
Около 7% трафика к сервисам Google не шифруется (даже до 10% для некоторых продуктов Google);
82,6% этого трафика происходит с мобильных устройств (что заставляет с большим скептицизмом смотреть на использование мобильной ОС, разработанной Google).
Как злоумышленник может использовать перехваченный трафик?
Сегодня достаточно нетрудно перехватить данные, передаваемые в публичных сетях Wi-Fi, с помощью недорогого оборудования или даже бесплатных инструментов. Например, можно применить беспроводной адаптер, анализатор сетевых протоколов Wireshark, Bettercap, и тому подобное.
Фишинг. Во-первых, чтобы успешно осуществить фишинговую атаку, злоумышленник может ориентироваться на некоторые из популярных сайтов, которые доступны через HTTP, и где ненадлежащим образом реализован HTTPS. Можно также использовать DNS-запросы, поскольку DNS никогда не был безопасным.
Действие в спешке. Наш гипотетический злоумышленник может создать у жертвы чувство срочности, чтобы заставить ее спешить и наделать больше ошибок. Например, портал предлагает пользователю ввести адрес электронной почты и предоставляет очень короткое время для того, что проверить, поступила ли туда специально сгенерированная ссылка для активации какого-то сервиса. На самом деле, вместо настоящей страницы почтового сервиса пользователь попадает на фишинговую страницу.
Установка ПО. Также злоумышленник способен обмануть людей и побудить их на установку бэкдоров или ботнет-программ. С этого момента злоумышленник может отказаться от своих устройств перехвата информации и других подобных технологий, ведь теперь кража нужных данных будет очень простой. Для этого злоумышленник может вызвать появление на компьютере определенных «предупреждений» про вирусы или шпионские программы и любезно предложить пользователям установить «антивирус», чтобы «исправить» ситуацию. Это будет означать, что пользователь фактически позволяет установить зловредное программное обеспечение. Кроме того, наш гипотетический хакер мог бы запустить майнинг криптовалют в веб-браузерах пользователей, что даже не потребовав их согласия на установку вирусного программного обеспечения.
Атака на сервисы VoIP. Особенно интересен трафик, который пересылается через порт 5090, поскольку такой порт обычно используют мобильные приложения VoIP для совершения телефонных звонков через протокол SIP. Некоторые мобильные операторы также применяют SIP для разгрузки голосового трафика. Патрик Уилбур отмечает, что был весьма удивлен, увидев эти данные в своей статистике. Даже если пакеты SIP зашифрованы, их заголовки нет, и часто содержат идентификаторы CID и DID (т. е. телефонные номера) в открытой форме.
Указанное выше может быть особенно полезным для нашего гипотетического хакера, который осуществляет vishing-атаку на жертву или контакты из его телефонной книжки, поскольку CID-файлы легко подменяются. То есть можно сделать так, будто злоумышленник звонит жертве с привычного номера, который есть у нее в контактах. Если мошенник хочет атаковать вас телефоном, он может собрать эти телефонные номера и затем их применить.
Все потенциальные проблемы с публичным Wi-Fi
Базовая безопасность в интернете в последнее время значительно улучшилась, но все же недостаточно. До сих пор существуют огромные проблемы, которые не удалось решить. Поэтому в публичных сетях Wi-Fi злоумышленник может даже сегодня:
Узнать, какие сайты вы посещаете (просто перехватив запросы DNS).
Осуществить атаки типа MITM (человек посередине) в момент загрузки страницы HTTP.
Ограничить меры возможности HSTS, вводя фальшивый будущее время через сервис NTP (ведь политики HSTS имеют ограниченное время действия).
Выполнить фишинг-атаку для сбора конфиденциальной информации.
Провести телефонную атаку типа vishing на вас, ваших друзей или вашу семью.
Вывести фальшивое содержимое / рекламу или даже осуществить майнить криптовалют, используя ваш процессор или видеокарту.
Обмануть вас и побудить работать с опасными плагинами, например, скомпрометированной версией Flash.
Вы хотите знать, как защитить себя?
Существуют некоторые классические средства безопасности, которые вы можете применить, чтобы сделать себя менее легкой мишенью. Прежде всего, вы должны использовать по крайней мере VPN и плагин HTTPS Everywhere. Если вы этого не сделали, вам, вероятно, придется полностью пересмотреть свои политики безопасности.
Отличные возможности шифрования предлагает VPN сервис Windscribe. Создав аккаунт Вы получаете 10 ГБ в месяц для шифрованного трафика, неограниченное количество подключений и доступ к серверам в более чем 10-ти странах.
Следующая запись: Telegram добавил новые важны функции в свой мессенджер
Лучшие публикации