Специалист компании Trustwave создал инструмент, который позволит легко определить, не является ли точка доступа Wi-Fi, к которой подключается пользователь, поддельным или мошенническим устройством, подменяющим MAC-адрес и SSID.

На протяжении многих лет ИБ-эксперты предупреждают об опасности использования точек доступа Wi-Fi в общественных местах, будь то кафе, аэропорт, отель или торговый центр. Дело в том, что эти точки доступа могут оказаться устройствами злоумышленников, которые в итоге получат возможность осуществить атаку man-in-the-middle, перехватить трафик жертвы, учетные данные от ее аккаунтов, а также платежную информацию.

Эксперт Trustwave Том Нивз (Tom Neaves) пишет, что подмена MAC-адресов и SSID настоящих точек доступа в открытых сетях — это тривиальная задача для злоумышленников. В итоге устройства людей зачастую пытаются автоматически подключиться к сетям, к которым они уже подключались ранее, используя для этого сохраненную точку доступа, но на деле подключаются к вредоносному устройству.

Чтобы избегать таких ситуаций было проще, Нивз создал Python-скрипт под названием Snappy, который помогает определить, является ли точка доступа, к которой подключается пользователь, той же самой, что и всегда, или пользователь имеет дело с поддельным устройством хакеров.

Проанализировав Beacon Management Frames, эксперт обнаружил определенные статические элементы, включая данные о поставщике, BSSID, поддерживаемых скоростях, канале, стране, максимальной мощности передачи и так далее. Эти данные варьируют для различных беспроводных точек доступа 802.11, но остаются неизменными для конкретной точки доступа с течением времени

Вышеописанные элементы

Нивз пришел к выводу, что можно объединить эти элементы и хэшировать их с помощью SHA256, создав уникальную сигнатуру точки доступа, которая затем может использоваться обнаружения совпадений или несоответствий.

Так, совпадения означают, что точка доступа та же, что и всегда (то есть заслуживает доверия), тогда как несоответствие сигнатуры означает, что что-то изменилось, и точка доступа может быть вредоносной.

Работа Snappy

Кроме того, Snappy способен обнаруживать точки доступа, созданные при помощи Airbase-ng. Этот инструмент злоумышленники нередко используют для создания фейковых точек доступа, перехвата пакетов подключенных пользователей и для внедрения данных в чужой сетевой трафик.

Источник: xakep