Articles

Hoe een Wi-Fi Pineapple uw gegevens kan stelen (en hoe u zich ertegen kunt beschermen)

Dit artikel is onderdeel van How Hacking Works, Motherboard ‘ s guide to demystifying information security.

in populaire media worden hackers vaak afgeschilderd als een elite cabal van skimasker liefhebbers en computerexperts die hun weg naar elk digitaal apparaat met een toetsenbord kunnen mashen. Maar wat als ik je vertelde dat je ook bijna elk met internet verbonden apparaat om je heen kunt pwn, zelfs als je een SSL niet van een SSID kunt onderscheiden?

Ja, mijn vriend, het apparaat dat u zoekt is een Wi-Fi ananas, die iedereen kan veranderen van hack naar hacker voor de lage, lage prijs van $99. Omdat het zo goedkoop en makkelijk te gebruiken is, is het belangrijk om te begrijpen hoe de ananas werkt om jezelf te beschermen tegen zijn aanvallen.

Advertising

de ananas is een handig klein apparaat voor het eerst uitgebracht in 2008 door Hak5, een bedrijf dat tools ontwikkelt voor penetratietesters, of “pentesters.”Pentesters worden meestal ingehuurd door organisaties om hun eigen netwerken aan te vallen om kwetsbaarheden bloot voordat ze worden ontdekt door een aantal slechte acteurs. De Pineapple stelt pentesters in staat om eenvoudig geavanceerde aanvallen uit te voeren op openbare Wi-Fi-netwerken om te zien hoe de aanvallen werken en hoe het netwerk te beschermen tegen die aanvallen.

ananassen zijn niet veel anders dan de normale Wi-Fi-toegangspunten die u gebruikt om thuis of op kantoor internet te krijgen, alleen krachtiger. Ze gebruiken meerdere radio ‘ s in plaats van slechts een enkele radio te vinden in de meeste routers. Dit betekent dat een ananas in staat is om te communiceren met honderden apparaten tegelijk, in plaats van slechts een paar dozijn. Bovendien is de webinterface van de Pineapple geoptimaliseerd om ingewikkelde netwerkaanvallen uit te voeren.

Read More: the Motherboard e-Glossary of Cyber Terms and Hacking Lingo

“toen ik de Wi-Fi Pineapple uitvond, zag ik dat Wi-Fi inherente gebreken had die het kwetsbaar maakten voor spoofing aanvallen,” vertelde Darren Kitchen, de oprichter van Hak5, me in een e-mail. Een spoofing aanval is wanneer een hacker imiteert een dienst of apparaat om toegang te krijgen tot de gegevens van een slachtoffer.

” veel snode types hadden al gebruik gemaakt van deze zwakheden, maar de meerderheid van de mensen waren zich niet bewust van het probleem, ” Kitchen toegevoegd. “Ik dacht dat als informatiebeveiliging mensen toegang hadden tot een apparaat dat deze gebreken gemakkelijk kon benutten, het zou het bewustzijn te verhogen en dingen vast te krijgen.”

Advertising

hoewel de Pineapple altijd een cult-aanhang heeft gehad binnen hackerkringen, werd het onlangs prominent nadat het werd gekenmerkt als een belangrijk plotpunt in de shows Silicon Valley en Mr.Robot.

in deze shows werd het apparaat gebruikt om een website te spoofen en om een man-in-the-middle aanval uit te voeren om respectievelijk de FBI te hacken. Volgens Kitchen, die diende als technisch adviseur op de Silicon Valley episode, de fictieve afbeelding van de ananas in deze shows is niet zo ver van de waarheid.

de ananas is van onschatbare waarde voor pentesters, maar zijn populariteit is ook te wijten aan het feit dat het kan worden gebruikt voor meer snode doeleinden. Hackers kunnen het apparaat gemakkelijk gebruiken om gevoelige persoonlijke informatie te verzamelen van nietsvermoedende gebruikers op openbare Wi-Fi-netwerken.

Het is belangrijk om in gedachten te houden dat alleen omdat je alle dingen met een ananas kunt pwn, niet betekent dat het legaal is of dat je dat zou moeten doen. Het bezitten van een ananas is legaal, maar het nemen van geld uit iemands bankrekening door het stelen van hun niet-versleutelde wachtwoord is niet. De ananas maakt gewoon grijpen niet-versleutelde wachtwoorden verzonden via Wi-Fi gemakkelijker. Ik ben geen advocaat, maar in het algemeen, als je geen expliciete toestemming hebt om de ananas te gebruiken op een netwerk dat je bezit, evenals van iedereen die redelijkerwijs kon verbinden met dat netwerk, betreed je in gevaarlijk gebied.

opnieuw: Het uitvoeren van exploits van een ananas op een netwerk dat je niet bezit als je geen pentester bent die in een professionele setting werkt, kan je snel in illegaal gebied brengen. Zelfs als je niet gepakt wordt, ben je nog steeds een klootzak omdat je het doet, dus gewoon…doe het niet.

Lees Meer: the Motherboard Guide to Not Getting Hacked

Deze gids is bedoeld als een informatieve glimp in de wereld van netwerk pentesting, evenals een herinnering over het belang van persoonlijke informatiebeveiliging. Nadat ik je slechts een paar manieren heb laten zien waarop een ananas kan worden gebruikt om je te pwn, zal ik je ook enkele eenvoudige stappen laten zien die je kunt nemen om ervoor te zorgen dat je nooit aan de verkeerde kant van een kwaadaardige Ananasaanval zit.

Hak5 maakt een paar verschillende versies van de Pineapple, maar bij het samenstellen van dit artikel gebruikte ik het goedkoopste model, dat ik kocht op de DEF CON hacking conferentie voor de doeleinden van dit artikel: de Pineapple Nano. Ik heb het geconfigureerd op een Windows-computer, hoewel het ook compatibel is met IOS-en Linux-systemen.

The ananas Nano. Afbeelding: Hak5

De initiële instellingen zijn eenvoudig. Het enige wat u hoeft te doen is het aansluiten op de USB-poort op uw computer, navigeren naar het IP-adres van de ananas en het zal zorgen voor de rest. Nadat u uw inloggegevens voor de Pineapple hebt bijgewerkt, bent u klaar om een aantal exploits te proberen.

EXPLOIT #1: WALL of SHEEP

elk jaar op DEF CON, een van de grootste hacking conferenties in de wereld, is het Packet Hacking Village gastheer van de Wall of Sheep. Dit is in wezen een lopende lijst van apparaten die zijn aangesloten op een onveilig netwerk bij DEF CON. de lijst wordt meestal weergegeven op een groot projectorscherm in het Packet Hacking village, waar iedereen niet alleen de ID van het apparaat kan zien, maar ook de websites die het probeerde te openen en alle relevante referenties.

het is een luchtige manier om mensen te beschamen in een betere informatiebeveiliging, en je kunt eenvoudig je eigen muur van schapen maken met behulp van een ananas.

Lees verder: 72 uur Pwnage: Een paranoïde N00b gaat naar DEF CON

alle exploits voor de Pineapple zijn vrij beschikbaar als downloadbare modules op het dashboard van de Pineapple en hebben meestal slechts een enkele klik nodig om te downloaden en te installeren op het apparaat. Zodra de Wall Of Sheep module (genaamd ‘DWall’) is geïnstalleerd op een ananas, elk apparaat dat verbinding maakt met het zal in principe worden het uitzenden van hun browsen verkeer naar de eigenaar van de ananas.

De uitzondering hierop is natuurlijk als het slachtoffer een Virtual Private Network (VPN) gebruikt om zijn webverkeer te versleutelen of alleen pagina ‘ s bezoekt die beveiligd zijn door Secure Hypertext Transfer Protocol (https). Dit protocol versleutelt de gegevens die worden gerouteerd tussen de server van de website en uw apparaat en voorkomt effectief dat afluisteraars zien welke websites u bezoekt. HTTPS helpt ook uw webgewoontes te beschermen tegen uw internetprovider, die alleen de top level domaingewoontes van zijn gebruikers kan zien (bijvoorbeeld dat u moederbord hebt bezocht, maar niet dat u op dit artikel hebt geklikt).

advertentie

hoewel meer dan de helft van het web is overgestapt op HTTPS van zijn onveilige voorganger, HTTP, bleek een 2017 Google audit dat bijna 80 procent van de top 100 websites geen HTTPS standaard implementeren. Dit betekent dat iedereen die per ongeluk verbinding maakt met een ananas en vervolgens naar een HTTP-versie van de site bladert, in principe al zijn activiteiten op die site blootlegt, van bezochte pagina ‘ s tot zoektermen, tot de persoon die een ananas zwaait.

veel websites hebben zowel een HTTP-versie als een HTTPS-versie, wat zoals we zullen zien in de exploit, een beveiligingsprobleem is dat kan worden uitgebuit door een ananas.

de oorspronkelijke ananas uitgebracht in 2008. Afbeelding: Darren Kitchen/Hak5

EXPLOIT # 2: MAN-in-the-MIDDLE + EVIL PORTAL

Pineapple man-in-the-middle (MITM) aanvallen zijn echt de belangrijkste reden waarom pentesters dit apparaat krijgen.

MITM-aanvallen zijn een manier om een gebruiker af te luisteren door een ananas tussen het apparaat van de gebruiker en legitieme Wi-Fi-toegangspunten in te voegen (in termen van hoe gegevens worden gerouteerd via het netwerk, niet noodzakelijk letterlijk tussen hen in meatspace). De ananas dan pretendeert te zijn de legitieme Wi-Fi access point, zodat het kan snoop op alle informatie als het relais gegevens van het apparaat naar het access point.

een andere manier van denken over MITM aanvallen is dat ze een soort van als iemand liet een brief in hun mailbox en dan een vreemdeling opende hun mailbox, lees de brief en vervolgens terug in de mailbox om te worden verzonden.

Lees meer: Wi-Fi en Bluetooth uitschakelen in iOS 11 schakelt eigenlijk geen Wi-Fi of Bluetooth uit

dus hoe kan een ananas uw apparaat laten denken dat het een legitiem toegangspunt is? Er is een native functie op de Pineapple die scant op SSID (service set identifiers)-de namen van Wi—Fi-netwerken-die worden uitgezonden vanaf apparaten in de omgeving.

elke keer dat u verbinding maakt met een Wi-Fi-netwerk op uw telefoon of computer, slaat uw apparaat de SSID van dat Wi-Fi-netwerk op voor het geval u ooit verbinding moet maken met dat Wi-Fi-netwerk in de toekomst. Maar dit gemak komt met een grote kosten.

advertentie

stel dat u verbinding hebt gemaakt met de Wi-Fi op uw favoriete lokale koffieplek, en het netwerk ervan heet”Human_Bean_wifi”. Nadat u de coffeeshop hebt verlaten, uw telefoon of laptop zal beginnen met het uitzenden van een signaal dat in principe vraagt of Wi-Fi access points rond het apparaat zijn “Human_Bean_wifi.”Het doet dit voor elk netwerk dat je hebt aangesloten op in het verleden.

” een snelle reality check is meestal alles wat nodig is om te zien of je bent bedrogen door een Wi-Fi ananas.”

Ananapples kunnen gebruik maken van deze functie door te scannen op alle SSID ‘ s die worden uitgezonden door apparaten in de omgeving. Vervolgens herbroadcasts deze SSID ‘ s, zodat het apparaten kan misleiden om te denken dat het een toegangspunt dat is aangesloten op in het verleden. Dus om het bovenstaande voorbeeld te gebruiken, zal de ananas zien dat je telefoon vraagt: “Is dit netwerk ‘Human_Bean_wifi’?”en dan beginnen met het uitzenden van zijn eigen signaal dat zegt” ja, ik ben ‘Human_Bean_wifi’, verbinding met mij.”

anders gezegd, dit zou in principe zijn als rondlopen met een set sleutels van je huis en elke vreemdeling die je ontmoet vragen of ze je kamergenoot zijn. In de meeste gevallen zullen die vreemden “nee” zeggen, maar je loopt ook het risico op een slecht bedoelde vreemdeling die tegen je liegt en zegt ” ja, natuurlijk ben ik je kamergenoot. Laat me alsjeblieft binnen, ” en ga dan verder met al je spullen te stelen.

Lees meer: De Motherboard Guide to VPN ‘ s

maar het krijgen van apparaten om verbinding te maken met een ananas is slechts de helft van het uitvoeren van een MITM exploit. Een aanvaller moet ook in staat zijn om de gegevens te lezen die worden gerouteerd van het apparaat via de ananas. Er zijn een paar manieren om dit te doen.

een Pineapple kan worden gebruikt om een “Evil Portal” te creëren, die in principe nepversies van websites maakt om gebruikersnamen en wachtwoorden, creditcardgegevens of andere gevoelige gegevens vast te leggen.

advertentie

Deze werken door een lokale server aan te maken op de computer van de aanvaller om een webpagina te hosten die eruit ziet als een normale aanmeldpagina voor een goed verkeersservice zoals Gmail of Facebook. Deze pagina ‘ s kunnen gemakkelijk worden gedupliceerd met behulp van gratis online diensten.

dan configureert de aanvaller zijn Ananas zo dat wanneer alle apparaten die ermee verbonden zijn proberen te bladeren naar een website zoals Twitter of Facebook, ze daadwerkelijk worden doorgestuurd naar de nep-webpagina die wordt bediend door de computer van de aanvaller. Als het slachtoffer voert hun informatie op deze pagina, hun gebruikersnaam en wachtwoord zal worden onthuld aan de aanvaller zonder dat de gebruiker ooit te weten dat ze zijn pwned.

een andere manier om informatie te verzamelen over iemands surfgedrag met een MITM-aanval is door modules te gebruiken die zijn gebouwd voor de Pineapple die geforceerde HTTPS-versleuteling blokkeren en de gegevens te lezen die anders veilig zouden zijn geweest.

bijvoorbeeld, overweeg een website zoals Motherboard, die beveiligd is met HTTPS. Als je gewoon intypt “motherboard.vice.com” in uw URL zoekbalk en druk op enter, wordt u het indienen van een HTTP-verzoek aan de servers van Vice. De servers van Vice zullen dan dit verzoek veld en reageren op uw apparaat door het te leiden naar een beveiligde HTTPS-versie van de site. (Dit is hetzelfde voor veel grote websites, zoals Twitter).

gebruikers dwingen tot een HTTPS-versie is een geweldige manier om de beveiliging van een website te verbeteren, maar het is het HTTP-verzoek van de gebruiker in het begin dat kan worden benut met een ananas. Een module genaamd SSLSplit is in staat om HTTP-verzoeken te controleren vanaf het apparaat van een gebruiker wanneer het is aangesloten op de ananas. Het zal dit verzoek vervolgens doorsturen naar de juiste server, maar wanneer de server reageert met de beveiligde https-link, zal de Pineapple de beveiligde laag “verwijderen” en een HTTP-versie van de site terug naar de gebruiker sturen.

advertentie

Op dit moment zal de gebruiker effectief door een onveilige versie van de site bladeren, die bijna precies hetzelfde zal verschijnen. Het enige verschil is dat er een klein slotpictogram uit de linkerbovenhoek van het scherm is verdwenen.

Controleer altijd op dit vergrendelingspictogram in de linkerbovenhoek van uw internetbrowser.

deze aanval toont duidelijk het belang aan van versleutelde communicatieprotocollen zoals HTTPS. Zonder hen kunnen alle gegevens die worden gerouteerd tussen het apparaat en het toegangspunt gemakkelijk worden gelezen door iedereen met een ananas.

HOW to PROTECT YOURSELF FROM MALICIOUS PINEAPPLE USERS

de hacks hierboven besproken zijn slechts het topje van de ijsberg. Gelukkig zijn er een aantal eenvoudige stappen die je kunt nemen om jezelf te beschermen tegen het krijgen van pwned door een klootzak met een ananas.

wees op uw hoede voor openbare WI-Fi-netwerken

het gemakkelijkste wat u kunt doen is alleen verbinding maken met Wi-Fi-netwerken die u kent en vertrouwt. Uw thuisnetwerk, bijvoorbeeld, is vrijwel zeker veilig voor een ananas aanval. Dit komt omdat een ananas ook toegang moet hebben tot het netwerk dat hij probeert te controleren verkeer op, dus tenzij de aanvaller toegang heeft tot uw huis Wi-Fi referenties, zullen ze niet in staat zijn om u pwn met een ananas.

hetzelfde geldt voor uw kantoor Wi-Fi—tenzij uw kantoor natuurlijk een pentester heeft ingehuurd om zijn netwerk te controleren. Het echte gevaar van een ananas aanval is op openbare netwerken—plaatsen zoals uw lokale coffeeshop of de luchthaven zijn allemaal uitstekende plaatsen voor een aanval. De meeste mensen stoppen niet om te controleren of de “free_airport_wifi” toegangspunt legit is en verbinding maken zonder na te denken.

Advertising

bij netwerkinfosec is waakzaamheid essentieel. De meest veilige optie is om nooit gebruik te maken van openbare Wi – Fi-netwerken. Dat is een grote pijn in de kont, echter, en zal vrijwel zeker rijden uw mobiele telefoonrekeningen voor gegevensgebruik. (Voor wat het waard is, je mobiele telefoon is niet veilig voor IMSI catchers ofwel, maar ik dwaal af).

VIRTUAL PRIVATE NETWORKS

Als u gebruik moet maken van openbare Wi-Fi, kunt u het beste een VPN krijgen. VPN ‘ s zijn een veilige manier om op het net te surfen door eerst verbinding te maken met een VPN-server voordat je je op het World Wide Web begeeft. De VPN-server versleutelt uw gegevens voordat deze naar de bestemming worden gerouteerd, waardoor in wezen een beschermende shell voor uw gegevens wordt gecreëerd die het onbegrijpelijk maakt voor nieuwsgierige ogen. Dus ook al kan een aanvaller zien dat je apparaat is aangesloten op hun ananas, als je een VPN gebruikt, kunnen ze de gegevens die ze routeren niet zien.

” het gebruik van een VPN is nog steeds het beste advies, ” zei Kitchen. “Als je een VPN gebruikt, ziet iedereen die in je verkeer kijkt alleen maar een versleutelde puinhoop. Dat geldt voor elke luisteraar – of het nu een Wi-Fi ananas, uw ISP, een werkgever of zelfs onze prachtige regering.”

het kiezen van de juiste VPN kan een hele moeilijke uitdaging zijn. Hier is een eenvoudige gids met enkele suggesties.

https alleen

een andere goede vuistregel is om alleen websites te bezoeken die beveiligd zijn met HTTPS (zoals Moederbord!) Deze dagen, de meeste websites die je waarschijnlijk te bezoeken op een dag-tot-dag basis die gevoelige informatie op hen hebben overgestapt op deze beveiligingsstandaard van HTTP, dankzij een gecoördineerde industrie inspanning om HTTPS te duwen, met inbegrip van Google ‘ s algoritmen bevoorrecht sites met beveiliging over degenen die niet zijn gecodeerd. Toch zijn Pineapple modules in staat om een aangesloten apparaat te forceren op een onveilige (HTTP) versie van een site als de bezoeker niet expliciet https:// typt voor de domeinnaam.

advertentie

Lees meer: Wikipedia ‘ s overstap naar HTTPS heeft censuur van de overheid succesvol bestreden

“helaas gebruiken te veel websites geen HTTPS, en velen die dat wel doen zijn nog steeds vatbaar voor downgrade aanvallen,” vertelde Kitchen me. “Als u zich ergens buiten de gebaande paden waagt, raad ik u aan dit niet te gebruiken als uw enige verdedigingslinie. Het is nog steeds belangrijk om waakzaam te blijven en te controleren op HTTPS, maar pak ook een VPN.”

kortom, Controleer altijd de URL ‘ s van de websites die u bezoekt om er zeker van te zijn dat ze HTTPS gebruiken. Browsers zoals Chrome, Firefox en Opera maken het controleren van de beveiliging van de website eenvoudig met een klein hangslotpictogram dat zegt “veilig” aan de linkerkant van de adresbalk en waarschuwen gebruikers voordat ze een onveilige site bezoeken.

vergeet altijd

tot slot is het belangrijk dat wanneer u klaar bent met het verbinden met een openbaar Wi-Fi-netwerk, u uw telefoon of computer zo configureert dat netwerk te ‘vergeten’. Op deze manier zal uw apparaat niet constant uitzenden van de SSID ‘ s van netwerken die het heeft aangesloten op in het verleden, die kan worden vervalst door een aanvaller met een ananas. Helaas is er geen gemakkelijke manier om dit te doen op een Android of een iPhone, en elk netwerk moet handmatig worden vergeten in het tabblad “netwerken beheren” van de instellingen van de telefoon.

een andere eenvoudige oplossing is om uw Wi-Fi—functionaliteit uit te schakelen wanneer u deze niet gebruikt—hoewel dat op sommige apparaten niet meer zo eenvoudig is-en laat uw apparaat geen verbinding maken om automatisch verbinding te maken met open Wi-Fi-netwerken.

Lees meer: WiFi-signalen kunnen individuen identificeren door lichaamsvorm

hoewel het gemakkelijk is om paranoïde te worden en je af te vragen of er een ananas staat te wachten om je te pwn wanneer je een Wi-Fi-verbinding krijgt, kunnen de meeste ananas exploits gemakkelijk worden vermeden door gewoon waakzaam te blijven over je netwerkinstellingen en internetervaring. Voor al hun vaardigheid in het manipuleren van elektronica, hackers zijn nog steeds zeer afhankelijk van menselijke fouten voor hun ambacht.

” De Wi-Fi ananas is echt goed in het nabootsen van Wi-Fi-netwerken die u hebt aangesloten op in het verleden, ” Kitchen zei. “Als je in een park bent en je apparaat zegt dat het is aangesloten op Wi-Fi van een vliegtuig, is er iets mis. Een snelle reality check is meestal alles wat nodig is om te zien of je bent bedrogen door een Wi-Fi ananas.”

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *