sekurak reposted this
Aresztowano hackera, który uruchamiał lewe access pointy WiFi na lotniskach / w samolotach / w miejscach swojej pracy. Uruchamiał jeden sprytny atak, przed którym nie pomoże i VPN. Australia. ❌ Atak to tzw. evil twin, czyli podstawienie sieci o tej samej nazwie co oryginalna ❌ Ale do której sieci podłączy się Twój laptop / telefon, jeśli będzie miał do dyspozycji kilka sieci bezprzewodowych o tej samej nazwie? Najpewniej do tej, która ma silniejszy sygnał ❌ Jeśli w samolocie pojawi się sieć, która była dostępna na lotnisku, to do wyboru mamy tylko jedną sieć - czyli ustawioną przez atakującego ❌ No dobra, ale przecież i tak szyfruję wszystko co wysyłam do Internetu (HTTPS, HSTS, VPN, i takie tam) ❌ ... ale pewnie spotkałeś się z czymś takim jak captive portal - uruchamiany czasem przy próbie podłączenia się do sieci WiFi? W skrócie: najpierw łączysz się do sieci, a następnie automatycznie otwiera Ci się okienko przeglądarkowe, gdzie musisz podać pewne dodatkowe dane, albo przynajmniej zaakceptować warunki korzystania z sieci. Dopiero po takiej akceptacji masz "pełen" dostęp do sieci ❌ Otóż nasz ~hacker odpalał właśnie fałszywy captive portal z np. "koniecznością podania swoich danych logowania do serwisów społecznościowych / emaila" ❌ Atak można przeprowadzić dla sieci "zabezpieczonych"/"otwartych", ale w przypadku otwartych jest to nieco łatwiejsze (dla "zabezpieczonych" atakujący musi po swojej stronie ustawić jeszcze hasło dostępowe - dokładnie takie samo, jak w przypadku oryginalnej sieci - w przeciwnym przypadku klient nie podłączy się do fejkowej sieci) ❌ VPN nie obroni przed takim atakiem, bo atak realizowany jest jeszcze przed tym, kiedy uzyskamy pełen dostęp do Internetu (czyli przed tym kiedy VPN będzie mógł się "podłączyć"). Analogicznie - nawet jeśli mamy połączenie przez VPN, to jeśli wpiszemy swoje dane logowania w fałszywym serwisie - scammerzy uzyskają dostęp do tych danych. ✅ Hacker został aresztowany po tym jak w trakcie jednego z lokalnych lotów w Australii, obsługa samolotu zgłosiła "podejrzaną sieć WiFi, która była rozgłaszana w trakcie lotu" ✅ W bagażu znaleziono potencjalne "narzędzia przestępstwa" czyli: "portable wireless access device, a laptop and a mobile phone" ✅ Policja przeszukała również miejsce zamieszkania ~hackera, gdzie w szczególności udało się zlokalizować "dane osobowe" wykradzione innym osobom Rekomendacje są dość oczywiste: ✅ Pamiętaj żeby nie podawać żadnych wrażliwych danych (np. danych logowania) w okienkach wyskakujących po podłączeniu się do publicznej sieci WiFi (tj. w tzw. captive portalu) ✅ Rozważ wyłączenie automatycznego podłączania się do 'otwartych' sieci WiFi, z którymi wcześniej się łączyłeś ✅ Uwaga też na ustawienia firewalla - tak żeby ew. potencjalnie podatne usługi / ew. udostępnione pliki z Twojego systemu nie były udostępnione do publicznej sieci WiFi (domyślne ustawienia firewalla zazwyczaj powinny blokować połączenia do takich usług) Więcej detali - patrz komentarz.
>>W bagażu znaleziono potencjalne "narzędzia przestępstwa" czyli: "portable wireless access device, a laptop and a mobile phone"<< z notebookiem i smartfonem podróżuje chyba prawie każdy z nas. Czyli dorzucamy AP i stajemy się podejrzanym, groźnym przestępcą :P Koledzy od WiFi site-survey czytają? Uważajcie na siebie jak latacie z tymi APekami po świecie :)
Kiedyś zmieniałem router i bardzo się zdziwiłem, że wystarczyło ustawić SSID co wcześniej i wszystkie urządzenia w domu łączyły się automatycznie. Wcześniej miałem złudzenia, że poza SSID jest jakieś unikalne ID które nie pozwala na takie sytuacje.
Brak jest jakiegoś unikalnego podpisu AP. I grupy tychże (bo przecież zazwyczaj mamy kilka routerów w jednej sieci ale i repeatery). Captive portal to LAN - gdyby chociaż to szło po SSL/TLS. Sprytny atak, sprytny gość. Takich kwalifikacji trzeba w działach security
Marek Kocoń
2w
Dlatego nie korzystam z ogólnodostępnego wi-fi , no ale zdolny xd
Myślę że warto rozdzielić. W grę nie wchodzi tylko atak typu evil twin, ale jego kombinacja i prostą próbą wyłudzenia danych logowania. To przed tym drugim nie zabezpieczy nas VPN, a przed pierwszym już tak. Może warto to zaznaczyć w dobie fałszywego promowania i przesadnego hejtowania VPNów :)
Nie wiem czy dobrze zrozumiałem, więc spróbuję podsumować: - lewy, fejkowy WiFi, ID identyczne z prawilnym lotniskowym. - po podłączeniu wyskakuje fejkowy captive portal, który wyłudza username i password do poczty - czy tak? - nie ma tu mowy o "złamaniu" VPN, bo do użycia VPN jeszcze nie doszło - czy tak? - potem już działa normalne połączenie do Netu, z tym że poprzez "lewą sieć". Wtedy VPN chroni, nieprawdaż? No to jeżeli ktoś posiada "disposable email", to może śmiało podać username i hasło, bo ryzykuje utratą tylko tego maila. Oczywiście to nie jest dobry powód, aby korzystać z sieci podstawionej przez hackera. 😀
Mateusz A.
1w
"VPN nie obroni przed takim atakiem, bo atak realizowany jest jeszcze przed tym, kiedy uzyskamy pełen dostęp do Internetu (czyli przed tym kiedy VPN będzie mógł się "podłączyć"). Analogicznie - nawet jeśli mamy połączenie przez VPN, to jeśli wpiszemy swoje dane logowania w fałszywym serwisie - scammerzy uzyskają dostęp do tych danych." Nie jest to zwykły MITM? Poza tym VPN szyfruje treści do serwera VPN, jeżeli z serwera VPN treści idą na docelowy portal, który jest podstawiony i ma własny SSL, to w sumie trudno by VPN w czymś pomógł. Dlatego klucze U2F/FIDO są fajne.
Są kraje, gdzie captive portal pyta nawet o nr. Paszportu (np: https://www.du.ae/support-articledetail?artid=PROD-50638&lang=en-US ) ;)
sekurak.pl & securitum.pl founder
2whttps://www.afp.gov.au/news-centre/media-release/man-charged-over-creation-evil-twin-free-wifi-networks-access-personal