sekurak reposted this
Aresztowano hackera, który uruchamiał lewe access pointy WiFi na lotniskach / w samolotach / w miejscach swojej pracy. Uruchamiał jeden sprytny atak, przed którym nie pomoże i VPN. Australia. ❌ Atak to tzw. evil twin, czyli podstawienie sieci o tej samej nazwie co oryginalna ❌ Ale do której sieci podłączy się Twój laptop / telefon, jeśli będzie miał do dyspozycji kilka sieci bezprzewodowych o tej samej nazwie? Najpewniej do tej, która ma silniejszy sygnał ❌ Jeśli w samolocie pojawi się sieć, która była dostępna na lotnisku, to do wyboru mamy tylko jedną sieć - czyli ustawioną przez atakującego ❌ No dobra, ale przecież i tak szyfruję wszystko co wysyłam do Internetu (HTTPS, HSTS, VPN, i takie tam) ❌ ... ale pewnie spotkałeś się z czymś takim jak captive portal - uruchamiany czasem przy próbie podłączenia się do sieci WiFi? W skrócie: najpierw łączysz się do sieci, a następnie automatycznie otwiera Ci się okienko przeglądarkowe, gdzie musisz podać pewne dodatkowe dane, albo przynajmniej zaakceptować warunki korzystania z sieci. Dopiero po takiej akceptacji masz "pełen" dostęp do sieci ❌ Otóż nasz ~hacker odpalał właśnie fałszywy captive portal z np. "koniecznością podania swoich danych logowania do serwisów społecznościowych / emaila" ❌ Atak można przeprowadzić dla sieci "zabezpieczonych"/"otwartych", ale w przypadku otwartych jest to nieco łatwiejsze (dla "zabezpieczonych" atakujący musi po swojej stronie ustawić jeszcze hasło dostępowe - dokładnie takie samo, jak w przypadku oryginalnej sieci - w przeciwnym przypadku klient nie podłączy się do fejkowej sieci) ❌ VPN nie obroni przed takim atakiem, bo atak realizowany jest jeszcze przed tym, kiedy uzyskamy pełen dostęp do Internetu (czyli przed tym kiedy VPN będzie mógł się "podłączyć"). Analogicznie - nawet jeśli mamy połączenie przez VPN, to jeśli wpiszemy swoje dane logowania w fałszywym serwisie - scammerzy uzyskają dostęp do tych danych. ✅ Hacker został aresztowany po tym jak w trakcie jednego z lokalnych lotów w Australii, obsługa samolotu zgłosiła "podejrzaną sieć WiFi, która była rozgłaszana w trakcie lotu" ✅ W bagażu znaleziono potencjalne "narzędzia przestępstwa" czyli: "portable wireless access device, a laptop and a mobile phone" ✅ Policja przeszukała również miejsce zamieszkania ~hackera, gdzie w szczególności udało się zlokalizować "dane osobowe" wykradzione innym osobom Rekomendacje są dość oczywiste: ✅ Pamiętaj żeby nie podawać żadnych wrażliwych danych (np. danych logowania) w okienkach wyskakujących po podłączeniu się do publicznej sieci WiFi (tj. w tzw. captive portalu) ✅ Rozważ wyłączenie automatycznego podłączania się do 'otwartych' sieci WiFi, z którymi wcześniej się łączyłeś ✅ Uwaga też na ustawienia firewalla - tak żeby ew. potencjalnie podatne usługi / ew. udostępnione pliki z Twojego systemu nie były udostępnione do publicznej sieci WiFi (domyślne ustawienia firewalla zazwyczaj powinny blokować połączenia do takich usług) Więcej detali - patrz komentarz.
>>W bagażu znaleziono potencjalne "narzędzia przestępstwa" czyli: "portable wireless access device, a laptop and a mobile phone"<< z notebookiem i smartfonem podróżuje chyba prawie każdy z nas. Czyli dorzucamy AP i stajemy się podejrzanym, groźnym przestępcą :P Koledzy od WiFi site-survey czytają? Uważajcie na siebie jak latacie z tymi APekami po świecie :)
Kiedyś zmieniałem router i bardzo się zdziwiłem, że wystarczyło ustawić SSID co wcześniej i wszystkie urządzenia w domu łączyły się automatycznie. Wcześniej miałem złudzenia, że poza SSID jest jakieś unikalne ID które nie pozwala na takie sytuacje.
Brak jest jakiegoś unikalnego podpisu AP. I grupy tychże (bo przecież zazwyczaj mamy kilka routerów w jednej sieci ale i repeatery). Captive portal to LAN - gdyby chociaż to szło po SSL/TLS. Sprytny atak, sprytny gość. Takich kwalifikacji trzeba w działach security
Dlatego nie korzystam z ogólnodostępnego wi-fi , no ale zdolny xd
Myślę że warto rozdzielić. W grę nie wchodzi tylko atak typu evil twin, ale jego kombinacja i prostą próbą wyłudzenia danych logowania. To przed tym drugim nie zabezpieczy nas VPN, a przed pierwszym już tak. Może warto to zaznaczyć w dobie fałszywego promowania i przesadnego hejtowania VPNów :)
Nie wiem czy dobrze zrozumiałem, więc spróbuję podsumować: - lewy, fejkowy WiFi, ID identyczne z prawilnym lotniskowym. - po podłączeniu wyskakuje fejkowy captive portal, który wyłudza username i password do poczty - czy tak? - nie ma tu mowy o "złamaniu" VPN, bo do użycia VPN jeszcze nie doszło - czy tak? - potem już działa normalne połączenie do Netu, z tym że poprzez "lewą sieć". Wtedy VPN chroni, nieprawdaż? No to jeżeli ktoś posiada "disposable email", to może śmiało podać username i hasło, bo ryzykuje utratą tylko tego maila. Oczywiście to nie jest dobry powód, aby korzystać z sieci podstawionej przez hackera. 😀
"VPN nie obroni przed takim atakiem, bo atak realizowany jest jeszcze przed tym, kiedy uzyskamy pełen dostęp do Internetu (czyli przed tym kiedy VPN będzie mógł się "podłączyć"). Analogicznie - nawet jeśli mamy połączenie przez VPN, to jeśli wpiszemy swoje dane logowania w fałszywym serwisie - scammerzy uzyskają dostęp do tych danych." Nie jest to zwykły MITM? Poza tym VPN szyfruje treści do serwera VPN, jeżeli z serwera VPN treści idą na docelowy portal, który jest podstawiony i ma własny SSL, to w sumie trudno by VPN w czymś pomógł. Dlatego klucze U2F/FIDO są fajne.
Są kraje, gdzie captive portal pyta nawet o nr. Paszportu (np: https://www.du.ae/support-articledetail?artid=PROD-50638&lang=en-US ) ;)
sekurak.pl & securitum.pl founder
2whttps://www.afp.gov.au/news-centre/media-release/man-charged-over-creation-evil-twin-free-wifi-networks-access-personal