Už se Vám někdy stalo, že jste se ze svého mobilního zařízení nebo laptopu nemohli připojit ke své domácí či firemní bezdrátové síti, přičemž se tato síť jevila jako výborně dostupná? Zpozorovali jste například, že se Vám v nabídce dostupných wifi sítí nabízelo několik sítí s podobným nebo naprosto stejným názvem? Pokud ano, mohlo se jednat o tzv. Evil-twin attack nebo-li útok ďábelského dvojčete. Níže v tomto článku Vám zkusím bez hlubších technických detailů přiblížit princip fungování takového útoku, co všechno tím může útočník získat a jak se mu efektivně bránit.
Při evil-twin útoku útočník vytvoří falešný přístupový bod (access point), který se na první pohled může zdát legitimní. Tento přístupový bod má většinou stejný nebo podobný název jako originální wifi síť a může mít dokonce i stejnou MAC adresu zařízení. Představme si, že naše domácí síť se jmenuje Domaci Wifi 1 a je zabezpečena protokolem WPA2 a silným heslem. Útočník se snažil útokem silou nebo slovníkovým útokem prolomit heslo této sítě, avšak bez úspěchu. Nyní se útočník vydal cestou evil-twin útoku a vytvořil dvě nové wifi sítě s velmi podobným názvem, na obrázku níže lze tyto sítě vidět pod názvy Domaci Wifi 2 a Domaci Wifi 3.
Jak mě útočník přiměje se k jeho síti připojit?
Tento útok spoléhá na to, že se uživatel dobrovolně připojí k vytvořené falešné síti. Jak toho však může útočník docílit? Útočník může zároveň s evil-twin útokem provádět také deautentizační útok na originální síť. Ten spočívá v tom, že začne posílat v nekonečném cyklu na originální router pakety s informací o odpojení Vašeho zařízení od sítě. Tento útok je možný díky tomu, že každý si může změnit libovolně MAC adresu (fyzická adresa počítače daná výrobcem zařízení) své síťové karty. Pak je možné posílat tyto deautentizační pakety za někoho jiného. Dokud tento útok probíhá, nikdo se nebude schopen připojit k originální bezdrátové síti i když se bude jevit jako dostupná s výborným signálem. Dalo by se říct, že se jedná o takový „lov na uživatele“. Pokud uživateli nebudou delší dobu fungovat připojení k jeho wifi síti a v seznamu dostupných sítí se mu bude nabízet jiná s podobným nebo stejným názvem, je pravděpodobné že se zkusí připojit právě na novou falešnou wifi síť.
Falešná síť může být zabezpečena stejně jako originální síť. Tato technika umožňuje také vytvoření sítě se zabezpečením WPA Enterprise, kde je po uživateli vyžadováno kromě hesla také přihlašovací jméno. Ve většině případů je však falešná síť otevřena všem bez nutnosti zadání hesla. Tento případ je vidět výše na obrázku u Domaci Wifi 2.
Čeho tím útočník může dosáhnout?
Prvním útočníkovým cílem může být získání hesla k Vaší originální síti, v našem případě k Domaci Wifi 1. Při vytvoření falešné sítě se stejném zabezpečením však obdrží útočník při pokusu o přihlášení heslo zašifrované a je nutno provádět opět slovníkový útok či útok silou. Častější cesta je, že útočník využije tzv. Captive portály, kde se přihlašovací obrazovka uživateli zobrazí v prohlížeči. Captive portály jsou běžně využívané pro autentizaci například na letištích, kavárnách či hotelech. Pokud je uživatel nepozorný a heslo do předpřipraveného webového formuláře zadá, pro útočníka je pak velmi jednoduché zadané heslo odchytit.
Dalším cílem může být špionáž. Představme si, že se lze k falešné síti připojit bez nutnosti zadání přístupového hesla, tak jak vidíme v případě Domaci Wifi 2. Uživatel se úspěšně připojí a bude schopný prohlížet webové stránky, posílat e-maily a dělat vše, tak jak je zvyklý.
Útočník se však v tuto chvíli dostal do pozice tzn. man-in-the-middle. Nyní je schopen odposlouchávat veškerou komunikaci mezi připojenými zařízeními a internetem. Je důležité poznamenat, že je schopen vidět pouze nešifrovanou komunikaci, avšak v pozici man-in-the-middle je schopen provádět další útoky včetně pokusů o dešifrování komunikace či DNS spoofingu. Toto téma si však necháme na další články.
Jak se bránit evil-twin útoku?
Existuje hned několik způsobů jak se bránit těmto útokům. Rozhodně není vhodné se připojovat do veřejných sítí jako jsou wifi sítě kaváren, nádraží či jiné nezabezpečené hot-spoty. Pokud je však potřeba připojení do sítě opravdu nutná, použijte připojení VPN. Ve firemní sféře se vyplatí nasazení IDS či IPS systémů pro monitorování bezdrátové sítě, které dokážou podobné útoky snadno odhalit. Pro nalezení falešného přístupového bodu se využívají techniky wardriving či warwalking. Spočívají v použití software pro vyhledávání přístupových bodů osobou jedoucí ve voze či chodící v budově. Tento software pak sleduje sílu signálu a umožňuje tak nalézt útočníka. Na platformě Windows se k tomuto účelu využívá nástroj NetStumbler a na unixových operačních systémech nástroj Kismet.