Ten artykuł jest częścią How Hacking Works, Przewodnika po płycie głównej do demystyfikacji bezpieczeństwa informacji.

w popularnych mediach hakerzy są często przedstawiani jako elitarna Kabała miłośników masek narciarskich i ekspertów komputerowych, którzy potrafią wkręcić się w każde urządzenie cyfrowe. Ale co, jeśli powiem ci, że możesz również użyć prawie każdego urządzenia podłączonego do Internetu, nawet jeśli nie możesz odróżnić SSL od SSID?

Tak, mój przyjacielu, urządzenie, którego szukasz, to ananas Wi-Fi, który może zmienić każdego z hakerów w hakera za niską, niską cenę 99 dolarów. Ponieważ jest tak tani i łatwy w użyciu, ważne jest, aby zrozumieć, jak działa ananas, aby chronić się przed jego atakami.

The Pineapple to sprytne, małe urządzenie, które po raz pierwszy ukazało się w 2008 roku przez Hak5, firmę, która opracowuje narzędzia dla testerów penetracyjnych, czyli „pentesterów”.”Pentesterzy są zwykle zatrudniani przez organizacje do atakowania własnych sieci w celu ujawnienia luk w zabezpieczeniach, zanim zostaną odkryci przez złych aktorów. Ananas pozwala pentesterom na łatwe wykonywanie wyrafinowanych ataków na publiczne sieci Wi-Fi, aby zobaczyć, jak działają ataki i jak chronić sieć przed tymi atakami.

ananasy nie różnią się zbytnio od zwykłych punktów dostępowych Wi-Fi, których używasz, aby uzyskać internet w domu lub w biurze, po prostu potężniejsze. Używają wielu radiotelefonów, a nie tylko jednego radia znalezionego w większości routerów. Oznacza to, że ananas jest w stanie połączyć się z setkami urządzeń na raz, a nie tylko z kilkudziesięciu. Co więcej, interfejs internetowy ananasa jest zoptymalizowany do wykonywania skomplikowanych ataków sieciowych.

Czytaj więcej: Płyta Główna E-słowniczek terminów cybernetycznych i żargonu hakerskiego

„Kiedy wynalazłem ananasa Wi-Fi, widziałem, że Wi-Fi ma wrodzone wady, które sprawiły, że jest podatny na ataki spoofingu”, powiedział mi Darren Kitchen, założyciel Hak5 w e-mailu. Atak podszywający ma miejsce, gdy haker podszywa się pod usługę lub urządzenie w celu uzyskania dostępu do danych ofiary.

„wiele nikczemnych typów już skorzystało z tych słabości, ale większość ludzi nie była świadoma problemu” – dodał Kitchen. „Pomyślałem, że jeśli ludzie zajmujący się bezpieczeństwem informacji będą mieli dostęp do urządzenia, które z łatwością wykorzysta te wady, podniesie to świadomość i naprawi problemy.”

chociaż ananas zawsze miał kult w kręgach hakerów, niedawno zyskał na znaczeniu po tym, jak został przedstawiony jako główny punkt fabuły w pokazach Doliny Krzemowej i Mr.Robot.

w tych pokazach urządzenie zostało użyte do sfałszowania strony internetowej i wykonania ataku man-in-the-middle w celu zhakowania FBI, odpowiednio. Według Kitchen, która służyła jako doradca techniczny w odcinku Doliny Krzemowej, fikcyjne przedstawienie ananasa w tych serialach nie jest tak dalekie od prawdy.

ananas jest nieocenionym narzędziem dla pentesterów, ale jego popularność wynika również z faktu, że może być używany do bardziej nikczemnych celów. Hakerzy mogą łatwo używać urządzenia do zbierania poufnych danych osobowych od niczego nie podejrzewających użytkowników w publicznych sieciach Wi-Fi.

ważne jest, aby pamiętać, że to, że można wszystkie rzeczy z ananasem, nie oznacza, że jest to legalne lub że powinieneś. Posiadanie ananasa jest legalne, ale pobieranie pieniędzy z czyjegoś konta bankowego poprzez kradzież niezaszyfrowanego hasła nie jest. Ananas ułatwia chwytanie niezaszyfrowanych haseł wysyłanych przez Wi-Fi. Nie jestem prawnikiem, ale ogólnie rzecz biorąc, jeśli nie masz wyraźnego pozwolenia na użycie ananasa w sieci, którą posiadasz, jak również od każdego, kto mógłby rozsądnie połączyć się z tą siecią, stąpasz po niebezpiecznym terytorium.

znowu: Wykonywanie wyczynów ananasa w sieci, której nie posiadasz, jeśli nie jesteś pentesterem pracującym w profesjonalnym środowisku, może szybko umieścić cię na nielegalnym terytorium. Nawet jeśli nie zostaniesz złapany, nadal jesteś dupkiem za to, że to robisz, więc po prostu…nie.

Czytaj więcej: Przewodnik po płycie głównej, aby nie dać się zhakować

Ten przewodnik ma być informacyjnym spojrzeniem w świat testowania sieci, a także przypomnieniem o znaczeniu bezpieczeństwa danych osobowych. Po pokazaniu Ci tylko kilku sposobów, w jakie ananas może być użyty do pwn, przeprowadzę Cię również przez kilka prostych kroków, które możesz podjąć, aby upewnić się, że nigdy nie jesteś na złym końcu złośliwego ataku ananasa.

Hak5 produkuje kilka różnych wersji ananasa, ale składając ten artykuł użyłem jego najtańszego modelu, który kupiłem na konferencji DEF CON hacking na potrzeby tego artykułu: the Pineapple Nano. Skonfigurowałem go na komputerze z systemem Windows, chociaż jest również kompatybilny z systemami iOS i Linux.

Wstępna konfiguracja to bułka z masłem. Wszystko, co musisz zrobić, to podłączyć go do portu USB w komputerze, przejść do adresu IP ananasa, a on zajmie się resztą. Po zaktualizowaniu danych logowania do ananasa możesz wypróbować kilka exploitów.

EXPLOIT #1: WALL of SHEEP

co roku na DEF CON, jednej z największych konferencji hakerskich na świecie, Wioska Packet Hacking organizuje Wall of Sheep. Jest to zasadniczo uruchomiona lista urządzeń, które połączyły się z niebezpieczną siecią w DEF CON. lista jest zwykle wyświetlana na dużym ekranie projektora w wiosce hakerów pakietów, gdzie każdy może zobaczyć nie tylko identyfikator urządzenia, ale także strony internetowe, do których próbował uzyskać dostęp, i wszelkie odpowiednie dane uwierzytelniające.

jest to lekki sposób na zawstydzenie ludzi do lepszego bezpieczeństwa informacji.możesz łatwo stworzyć własną ścianę owiec za pomocą ananasa.

Czytaj więcej: 72 godziny Pwnage: Paranoid N00b przechodzi do DEF CON

wszystkie exploity dla ananasa są dostępne bezpłatnie jako moduły do pobrania na pulpicie nawigacyjnym ananasa i zwykle wystarczy jedno kliknięcie, aby pobrać i zainstalować na urządzeniu. Po zainstalowaniu modułu Wall of Sheep (zwanego „DWall”) na ananasie, każde urządzenie, które się z nim połączy, będzie transmitować swój ruch przeglądania do właściciela ananasa.

wyjątkiem od tego jest oczywiście sytuacja, gdy potencjalna ofiara używa wirtualnej sieci prywatnej (VPN) do szyfrowania swojego ruchu internetowego lub tylko odwiedza strony zabezpieczone przez Secure Hypertext Transfer Protocol (HTTPS). Protokół ten szyfruje dane przesyłane między serwerem witryny a urządzeniem i skutecznie uniemożliwia podsłuchiwaczom sprawdzenie, które witryny odwiedzasz. HTTPS pomaga również chronić nawyki internetowe przed dostawcą usług internetowych, który widzi tylko nawyki domen najwyższego poziomu swoich użytkowników (na przykład, że odwiedziłeś płytę główną, ale nie, że kliknąłeś ten artykuł).

chociaż ponad połowa sieci przeszła na HTTPS Od swojego niepewnego poprzednika, HTTP, audyt Google z 2017 r. wykazał, że prawie 80% najlepszych witryn 100 nie wdraża HTTPS przez domyślne. Oznacza to, że każdy, kto przypadkowo łączy się z ananasem, a następnie przegląda stronę w wersji HTTP, w zasadzie ujawnia całą swoją aktywność na tej stronie, od odwiedzanych stron po wyszukiwane hasła, do osoby dzierżącej ananasa.

wiele stron ma zarówno wersję HTTP, jak i HTTPS, co, jak zobaczymy w exploicie, jest luką w zabezpieczeniach, którą może wykorzystać ananas.

EXPLOIT #2: MAN-in-the-MIDDLE + EVIL PORTAL

ataki man-in-the-middle (MITM) to tak naprawdę główny powód, dla którego pentesterzy dostają to urządzenie.

ataki MITM są sposobem podsłuchiwania użytkownika poprzez umieszczenie ananasa między urządzeniem użytkownika a legalnymi punktami dostępowymi Wi-Fi (pod względem sposobu przesyłania danych przez sieć, niekoniecznie dosłownie między nimi w meatspace). Ananas udaje, że jest legalnym punktem dostępowym Wi-Fi, dzięki czemu może podsłuchiwać wszystkie informacje, przekazując dane z urządzenia do punktu dostępowego.

innym sposobem myślenia o atakach MITM jest to, że są one tak, jakby ktoś upuścił list do swojej skrzynki pocztowej, a następnie nieznajomy otworzył swoją skrzynkę pocztową, przeczytał list, a następnie włożył go z powrotem do skrzynki pocztowej do wysłania.

Czytaj więcej: wyłączenie Wi-Fi i Bluetooth w systemie iOS 11 nie wyłącza Wi-Fi ani Bluetooth

więc jak ananas oszukuje Twoje urządzenie, aby uważało je za legalny punkt dostępowy? Na ananasie znajduje się natywna funkcja, która skanuje w poszukiwaniu identyfikatorów zestawu usług (SSID)-nazw sieci Wi—Fi-nadawanych z urządzeń znajdujących się w jego pobliżu.

za każdym razem, gdy łączysz się z siecią Wi-Fi w telefonie lub komputerze, urządzenie zapisuje identyfikator SSID tej sieci Wi-Fi na wypadek, gdybyś kiedykolwiek musiał połączyć się z tą siecią Wi-Fi w przyszłości. Ale ta wygoda wiąże się z poważnymi kosztami.

Załóżmy, że masz połączenie z Wi-Fi w ulubionym lokalnym miejscu kawy, a jego sieć nazywa się „Human_Bean_wifi”. Po opuszczeniu kawiarni Twój telefon lub laptop rozpocznie nadawanie sygnału, który w zasadzie pyta, czy Punkty dostępu Wi-Fi wokół urządzenia to „Human_Bean_wifi.”Robi to dla każdej sieci, z którą masz połączenie w przeszłości.

„szybkie sprawdzenie rzeczywistości to zazwyczaj wszystko, czego potrzeba, aby sprawdzić, czy zostałeś oszukany przez Wi-Fi.”

Następnie ponownie uruchamia te identyfikatory SSID, aby przekonać urządzenia do myślenia, że jest to punkt dostępowy, który został podłączony w przeszłości. Aby skorzystać z powyższego przykładu, ananas zobaczy, że Twój telefon pyta: „czy ta sieć jest 'Human_Bean_wifi’?”a następnie rozpocząć nadawanie własnego sygnału, który mówi” tak, jestem 'Human_Bean_wifi’, połącz się ze mną.”

mówiąc inaczej, byłoby to w zasadzie jak chodzenie z zestawem kluczy do domu i pytanie każdego nieznajomego, którego spotkasz, czy jest Twoim współlokatorem. W większości przypadków ci obcy powiedzą „nie”, ale ryzykujesz również wpadnięcie na nieznajomego o złych intencjach, który cię okłamie i powie „Tak, oczywiście, że jestem twoim współlokatorem. Proszę, wpuść mnie”, a potem zacznij kraść swoje rzeczy.

Czytaj więcej: Przewodnik po płytach głównych do sieci VPN

ale podłączenie urządzeń do ananasa to tylko połowa wykonania exploita MITM. Atakujący musi również być w stanie odczytać dane przesyłane z urządzenia przez ananas. Można to zrobić na kilka sposobów.

ananas może być użyty do stworzenia „złego portalu”, który w zasadzie tworzy fałszywe wersje stron internetowych w celu przechwycenia nazw użytkowników i haseł, informacji o kartach kredytowych lub innych poufnych danych.

działają one poprzez utworzenie lokalnego serwera na komputerze atakującego, aby hostować stronę internetową, która wygląda jak zwykła strona logowania do dobrze odwiedzanej usługi, takiej jak Gmail lub Facebook. Strony te można łatwo powielać za pomocą bezpłatnych usług online.

następnie atakujący konfiguruje swój ananas tak, że gdy dowolne urządzenia, które są z nim połączone, próbują przeglądać stronę internetową, taką jak Twitter lub Facebook, zostaną przekierowane na fałszywą stronę internetową obsługiwaną przez komputer atakującego. Jeśli ofiara wprowadzi swoje dane na tej stronie, ich nazwa użytkownika i hasło zostaną ujawnione atakującemu bez wiedzy użytkownika.

innym sposobem zbierania informacji o czyichś nawykach przeglądania za pomocą ataku MITM jest użycie modułów zbudowanych dla ananasa, które blokują wymuszone Szyfrowanie HTTPS i odczytują dane, które w przeciwnym razie byłyby bezpieczne.

na przykład rozważ stronę internetową taką jak płyta główna, która jest zabezpieczona HTTPS. Jeśli po prostu wpisz „motherboard.vice.com” w pasku wyszukiwania adresu URL i naciśnij enter, będziesz przesyłać żądanie HTTP do serwerów Vice. Serwery Vice będą następnie wypełniać to żądanie i odpowiadać na urządzenie użytkownika, kierując je do bezpiecznej wersji witryny HTTPS. (To samo dotyczy wielu dużych stron internetowych, takich jak Twitter).

zmuszanie użytkowników do wersji HTTPS to świetny sposób na zwiększenie bezpieczeństwa witryny, ale to żądanie HTTP użytkownika na początku można wykorzystać za pomocą ananasa. Moduł o nazwie SSLSplit jest w stanie monitorować żądania HTTP z urządzenia użytkownika po podłączeniu go do ananasa. Następnie przekieruje to żądanie do odpowiedniego serwera, ale gdy serwer odpowie bezpiecznym linkiem HTTPS, ananas „oddzieli” bezpieczną warstwę i dostarczy użytkownikowi wersję HTTP witryny.

w tym momencie użytkownik będzie skutecznie przeglądał niepewną wersję witryny, która pojawi się prawie dokładnie tak samo. Jedyną różnicą będzie to, że mała ikona kłódki zniknie z lewego górnego rogu ekranu.

ten atak wyraźnie pokazuje znaczenie szyfrowanych protokołów komunikacyjnych, takich jak HTTPS. Bez nich wszystkie dane przesyłane między urządzeniem a punktem dostępowym mogą być łatwo odczytane przez każdego z ananasem.

jak chronić się przed złośliwymi użytkownikami ananasów

hacki omówione powyżej to tylko wierzchołek góry lodowej. Na szczęście istnieje kilka prostych kroków, które możesz podjąć, aby uchronić się przed dupkiem z ananasem.

uważaj na publiczne sieci WI-FI

najprostszą rzeczą, którą możesz zrobić, to połączyć się tylko z sieciami Wi-Fi, które znasz i którym ufasz. Na przykład Twoja sieć domowa jest prawie na pewno bezpieczna przed atakiem ananasa. Dzieje się tak dlatego, że ananas musi również mieć dostęp do sieci, na której próbuje monitorować ruch, więc jeśli atakujący nie ma dostępu do twoich domowych danych uwierzytelniających Wi-Fi, nie będzie mógł cię wpuścić za pomocą ananasa.

to samo dotyczy biurowego Wi-Fi—o ile oczywiście biuro nie wynajęło pentestera do audytu swojej sieci. Prawdziwe niebezpieczeństwo ataku ananasa jest w sieciach publicznych-miejsca takie jak lokalna kawiarnia lub Lotnisko są najlepszymi miejscami do ataku. Większość ludzi nie zatrzymuje się, aby sprawdzić, czy punkt dostępowy „free_airport_wifi” jest legalny i łączy się bez zastanowienia.

jeśli chodzi o networking infosec, czujność jest kluczowa. Najbezpieczniejszą opcją jest nigdy nie Korzystanie z publicznych sieci Wi-Fi. Jest to jednak poważny wrzód na tyłku i prawie na pewno podniesie rachunki za telefon komórkowy za korzystanie z danych. (Jeśli to coś warte, Twój telefon komórkowy też nie jest bezpieczny przed łapaczami IMSI, ale dygresję).

Wirtualne Sieci Prywatne

Jeśli musisz korzystać z publicznej sieci Wi-Fi, najlepiej jest uzyskać VPN. Sieci VPN są bezpiecznym sposobem surfowania po sieci, najpierw łącząc się z serwerem VPN, zanim udasz się do sieci World Wide Web. Serwer VPN szyfruje Twoje dane przed przekierowaniem ich do miejsca docelowego, zasadniczo tworząc powłokę ochronną dla Twoich danych, która sprawia, że są one niezrozumiałe dla wścibskich oczu. Więc nawet jeśli atakujący może zobaczyć, że Twoje urządzenie połączyło się z jego ananasem, jeśli korzystasz z VPN, nie będzie mógł zobaczyć danych, które trasuje.

„Korzystanie z VPN jest nadal najlepszą radą” – powiedział Kitchen. „Kiedy korzystasz z VPN, każdy, kto zagląda do Twojego Ruchu, zobaczy tylko zaszyfrowany bałagan. To dotyczy każdego podsłuchującego-czy to ananasa Wi-Fi, Twojego dostawcy usług internetowych, pracodawcy, czy nawet naszego wspaniałego rządu.”

wybór odpowiedniego VPN może być naprawdę trudnym wyzwaniem. Oto prosty przewodnik z kilkoma sugestiami.

tylko HTTPS

kolejną dobrą zasadą jest odwiedzanie tylko stron zabezpieczonych HTTPS (takich jak płyta główna!) W dzisiejszych czasach większość witryn, które prawdopodobnie odwiedzisz na co dzień, które zawierają poufne informacje, przełączyła się na ten standard bezpieczeństwa z HTTP, dzięki skoordynowanemu wysiłkowi branży w celu wypchnięcia HTTPS, w tym algorytmów Google uprzywilejowujących witryny z zabezpieczeniami nad tymi, które nie są zaszyfrowane. Mimo to Moduły Pineapple są w stanie wymusić podłączone urządzenie na niezabezpieczonej wersji witryny (HTTP), jeśli odwiedzający nie wpisał jawnie https:// przed nazwą domeny.

Czytaj więcej: Przejście Wikipedii Na HTTPS skutecznie Zwalczyło cenzurę rządową

„Niestety zbyt wiele stron internetowych nie korzysta z HTTPS, a wiele z nich nadal jest podatnych na ataki typu downgrade,” kuchnia mi powiedziała. „Jeśli wyruszasz gdzieś na uboczu, odradzam używanie tego jako jedynej linii obrony. Nadal ważne jest, aby zachować czujność i sprawdzić, czy nie ma HTTPS, ale spakuj też VPN.”

w skrócie, zawsze sprawdzaj adresy URL odwiedzanych witryn, aby upewnić się, że używają HTTPS. Przeglądarki takie jak Chrome, Firefox i Opera ułatwiają sprawdzanie bezpieczeństwa witryny za pomocą małej ikony kłódki z napisem „Bezpieczny” po lewej stronie paska adresu i ostrzegają użytkowników przed odwiedzeniem niepewnej witryny.

zawsze zapominaj

wreszcie, ważne jest, aby po zakończeniu łączenia się z publiczną siecią Wi-Fi skonfigurować telefon lub komputer tak, aby „zapominał” o tej sieci. W ten sposób Twoje urządzenie nie będzie stale nadawać identyfikatorów SSID sieci, do których było podłączone w przeszłości, które mogą zostać sfałszowane przez atakującego za pomocą ananasa. Niestety nie ma łatwego sposobu, aby to zrobić na Androidzie lub iPhonie, a każda sieć musi zostać zapomniana ręcznie w zakładce „Zarządzaj sieciami” w ustawieniach telefonu.

kolejnym prostym rozwiązaniem jest wyłączenie funkcji Wi-Fi, gdy jej nie używasz—choć na niektórych urządzeniach nie jest to już tak łatwe—i nie pozwól, aby urządzenie się łączyło, aby automatycznie łączyć się z otwartymi sieciami Wi-Fi.

Czytaj więcej: sygnały Wi-Fi mogą identyfikować osoby według kształtu ciała

chociaż łatwo jest wpaść w paranoję i zastanawiać się, czy ananas czeka na Ciebie za każdym razem, gdy uzyskasz połączenie Wi-Fi, większość wyczynów ananasa można łatwo uniknąć, zachowując czujność na temat ustawień sieci i Internetu. Mimo całej swojej sprawności w manipulowaniu elektroniką, hakerzy nadal są w dużym stopniu zależni od ludzkich błędów w swoim rzemiośle.

„Wi-Fi jest naprawdę dobry w naśladowaniu sieci Wi-Fi, z którymi się łączyłeś w przeszłości” – powiedział Kitchen. „Jeśli jesteś w parku i urządzenie mówi, że jest podłączone do Wi-Fi samolotu, coś jest nie tak. Szybkie sprawdzenie rzeczywistości jest zwykle wszystkim, czego potrzeba, aby sprawdzić, czy zostałeś oszukany przez ananasa Wi-Fi.”