Domanda:
Come rileveresti un attacco di Evil Twin, specialmente in un nuovo ambiente?
J Kimball
2015-04-02 23:02:52 UTC
view on stackexchange narkive permalink

Supponiamo che tu stia viaggiando e ti fermi nella lounge dell'aeroporto, nella hall dell'hotel o in un bar nelle vicinanze. Tiri fuori il tuo laptop ed esegui la scansione delle reti wireless disponibili. Conosci il nome della rete wireless perché è scritto dietro il bancone / su un foglietto di carta / ben noto.

Vedi che ci sono due opzioni:

"Pubblico gratuito Wifi "&
" Free Public Wifi "

Qual è l'attuale rete wireless e qual è l'attacco Evil Twin? Come puoi dirlo? Quali strumenti o tecniche useresti per decidere?

(Sono meno interessato alle risposte che implicano non connettersi a nessuno dei due o evitare il wireless pubblico e più interessato alle tecniche per discriminare legittimo e non AP dal punto di vista degli utenti e non degli amministratori. Sto usando " Evil Twin" in questo senso specifico piuttosto che nel senso generale di "attore malintenzionato".)

Secondo te cosa distingue la rete "attuale" da quella "malvagia"? E se fossero entrambi impostati con buone intenzioni? Che ne dici di entrambi impostati con cattive intenzioni? E se uno proviene dal bar accanto? Questo lo rende malvagio da quando sono seduto qui? Quando mi trasferisco lì, questo diventa il malvagio?
Un "Evil Twin" sarebbe un AP impostato per imitare deliberatamente un AP legittimo esistente. Mettendo da parte ogni elemento di intenzione, il "Gemello Cattivo" sarà uno che non è controllato dall'organizzazione che offre il servizio che l'utente intende utilizzare.
Quindi, se sono al negozio di libri, l'AP malvagio è quello della porta accanto al bar. Quando sono al bar, l'AP del negozio di libri è diventato malvagio. Se l'intento di usare è la caratteristica distintiva, allora non possono essere distinti con la tecnologia.
Invece di "cattivo" o "malizioso", pensa "Legittimo". Se il Book Store clona le impostazioni della Caffetteria, è l'Evil Twin, indipendentemente da come viene utilizzata la connessione.
Non esiste uno strumento elettronico che puoi utilizzare per sapere se due reti chiamate "Free Public WiFi" sono due reti legittime che hanno scelto lo stesso nome, una rete legittima e una dannosa o due reti dannose.
@JKimball: quindi vuoi determinare quale c'era per primo, dato che hanno scelto lo stesso nome e conoscendo * solo * il nome poiché è tutto ciò che è scritto sul contatore e non assumendo alcuna differenza nel comportamento degli AP? Sembra complicato ;-) Chiaramente hai bisogno di ottenere * alcune * informazioni che li distinguano, ma per definizione del problema stai dicendo che non ci è permesso sapere nient'altro.
Male suona come un termine carico, forse impostore è la parola che stai cercando
A meno che la rete non utilizzi WPA enterprise (improbabile), chiunque sia stato informato della password di rete può intercettare comunque tutto il traffico. Allora perché ti interessa?
Semplice, il maligno avrà il pizzetto.
Usa quello con l'indirizzo MAC corretto. Fai in modo che il segno mostri l'indirizzo MAC del router WIFI e verifica che sia l'indirizzo MAC a cui ti stai connettendo. Se il punto di accesso malvagio clona l'indirizzo MAC, causerà problemi di rete generali e nessuna delle due reti funzionerà correttamente. È vero, non è facile verificare un indirizzo MAC.
@Chloe The Evil Twin potrebbe imitare l'indirizzo MAC.
Sette risposte:
#1
+40
Aron Foster
2015-04-02 23:14:46 UTC
view on stackexchange narkive permalink

Sono entrambi malvagi. Non dovresti connetterti a nessun "Wifi pubblico gratuito" senza presumere che tutto il tuo traffico non crittografato verrà monitorato e modificato. La soluzione migliore è non connetterti affatto alle reti pubbliche, ma se questa non è un'opzione per te, puoi proteggerti un po 'di più specificando il tuo DNS (piuttosto che lasciare che il router scelga per te), usando https ovunque tu possa , non accedere ai tuoi account sensibili su reti pubbliche, prendere in considerazione una VPN e mantenere aggiornati software e firmware.

In risposta diretta alla tua domanda, alcuni router hanno il loro indirizzo MAC stampato su un'etichetta; potresti chiedere al proprietario del router di controllarti, quindi connetterti ad esso, eseguirne il ping e visualizzare la tua tabella arp ( arp -a ) per vedere se corrisponde. In alternativa, puoi dire al proprietario del router che c'è un impostore nelle vicinanze e chiedergli di cambiare il nome della rete.

Sono meno interessato alle risposte "non usare wifi pubblico" di quanto lo sia alle tecniche per distinguere tra AP legittimi e loro gemelli malvagi.
Non esiste un bit "malvagio" incluso nei pacchetti provenienti da router difettosi. Avrai bisogno di dire da quali attacchi specifici vuoi proteggerti se vuoi una risposta specifica. Se vuoi essere al sicuro contro l'intera gamma di cose che un malintenzionato potrebbe fare dopo esserti connesso al suo wifi, l'unica risposta è "non connetterti". E senza un attacco specifico in mente, non c'è modo di distinguere ciò che rende un router "cattivo" in primo luogo.
@AronFoster ma un bit malvagio * è stato * proposto in [rfc 3514] (https://www.ietf.org/rfc/rfc3514.txt) ... "Se il bit è impostato a 0, il pacchetto non ha intenti malvagi. Gli host, gli elementi di rete, ecc., DOVREBBERO presumere che il pacchetto sia innocuo e NON DOVREBBERO prendere alcuna misura difensiva ... Se il bit è impostato su 1, il pacchetto ha un intento malvagio. I sistemi sicuri DOVREBBERO cercare di difendersi da tali pacchetti. I sistemi non sicuri POSSONO scegliere di bloccarsi, essere penetrati, ecc. " ... oh aspetta, è stato pubblicato poco più di 12 anni fa ... 12 anni e un giorno, il primo di aprile. Hmm. ;-)
E se il router malvagio avesse cambiato l'indirizzo MAC in modo che fosse lo stesso di quello originale?
@Buge Sì, sicuramente una possibilità, e [ci sono molti altri modi in cui il malvagio router potrebbe ingannarti] (http://hakshop.myshopify.com/products/wifi-pineapple?variant=81044992). Questo è il motivo per cui la soluzione migliore è semplicemente presumere che tu sia su una rete ostile (che sei su qualsiasi wifi non protetto, anche se non è la rete "Evil Twin") e andare da lì. In generale, però, così poche persone controlleranno gli indirizzi MAC, non vale la pena che i malintenzionati cambino.
Una nota sul DNS: alcuni router WiFi (come quello di TP-Link che possiedo) reindirizzeranno semplicemente qualsiasi cosa inviata verso udp / 53 a qualunque server DNS stiano utilizzando con una regola firewall. Indipendentemente dal server DNS con cui provi a parlare, otterrai lo stesso risultato. Quando ti trovi su una rete non attendibile, l'unico approccio (relativamente?) Sicuro è configurare una VPN su un endpoint noto e fare tutto attraverso il tunnel.
Sì. Entrambi sono cattivi. Tecnicamente, qualsiasi wifi non protetto da WPA o migliore dovrebbe essere considerato malvagio e non affidabile per comunicazioni non crittografate. Questo perché un altro laptop connesso allo stesso wifi può facilmente vedere tutto il tuo traffico - il "malvagio" -doer non ha bisogno di essere un router. L'accesso protetto cambia questo.
Detto questo, rilevare il gemello malvagio su una rete protetta è facile. Prova ad accedere ad entrambi. Il router malvagio molto probabilmente non ha la stessa password, quindi l'accesso dovrebbe fallire (ovviamente, se riescono a decifrare la password del wifi "buono" ... questa è una storia diversa)
@slebetman Certo, e se lo fai, il malvagio router può catturare la tua password. Non è una buona idea.
@slebetman È improbabile che un utente normale sia in grado di accedere all'AP wireless. E se possono, allora l'attacco Evil Twin è probabilmente solo uno dei problemi che sta avendo l'AP legittimo.
@user30204 Sì, ma questo è per TCP, non 802.11 che opera su un altro livello.
#2
+24
Matthew Peters
2015-04-03 00:33:48 UTC
view on stackexchange narkive permalink

Tradizionalmente non esisteva un metodo semplice orientato all'utente per rilevare gli attacchi dei gemelli malvagi. La maggior parte dei tentativi di rilevare un attacco gemello malvagio (ETA) sono rivolti all'amministratore di una rete in cui fondamentalmente hanno gli amministratori di rete autorizzati che scansionano e confrontano il traffico wireless. Questo non è molto di ciò che ti interessa.

C'è un documento qui (e diapositive) che ripercorre un approccio sperimentale da cui determinare il punto di vista dell'utente un ETA in tempo reale. Fondamentalmente, usano un approccio astuto per determinare statisticamente quale punto di accesso è autorizzato e quale è il gemello malvagio.

Un approccio semplice (che non sempre funzionerà) che propongo è semplicemente annusare te stesso e vedere cosa gli indirizzi IP sono. L'idea è che un AP non autorizzato avrà un IP non standard (cioè quello che ti aspetteresti) e quindi solleverà alcune bandiere rosse ... Qui c'è un collegamento che descrive come impostare il tuo ETA in modo che tu puoi giocare con il mio metodo (o provare il tuo). AVVISO: se stai creando un ETA, fallo in un ambiente di laboratorio poiché è illegale in pubblico.

Tieni inoltre presente che un ETA può essere notevolmente mitigato semplicemente proteggendo la rete tramite un sistema di autenticazione che utilizza protocolli di autenticazione estensibili come WPA2-enterprise, che funziona convalidando sia il client che il punto di accesso.


Per affrontare altri punti ...

Se hai un modo per comunicare con gli amministratori di rete autorizzati (o almeno sai qual è il punto di accesso corretto), allora hai già completato un metodo di psuedo-meta-aorizzazione al di fuori del regno digitale (IE posso vedere fisicamente il router corretto e sapere che è l'indirizzo MAC, le impostazioni IP, ecc. e quindi confrontarli con ciò che il mio adattatore mi dice che sono connesso). Molto spesso, non abbiamo queste informazioni e inoltre non dovremmo fidarci anche se lo avessimo. Quindi, forse il metodo "migliore" per utilizzare una rete non attendibile (ET o meno) è presumere che sia sempre compromessa e implementare una VPN o semplicemente astenersi del tutto!

Avevo visto il giornale ed era probabilmente il suggerimento più diretto per la mia domanda. Ero curioso di sapere se esistessero altre tecniche utilizzabili dal punto di vista dell'utente piuttosto che dell'amministratore. Penso sia giusto dire che non capisco completamente il documento abbastanza bene da implementarlo (voterei la tua risposta, ma la mia reputazione non è ancora abbastanza alta per farlo).
Certo, le mie capacità di matematica non sono alla pari con quelle del professore di A&M, ma il succo è semplice. Se lo capisco correttamente, quel documento utilizza essenzialmente il tempo necessario a un pacchetto per attraversare da e verso l'ET per individuare fisicamente una posizione e quindi da lì attinge a una massa di statistiche raccolte per creare un indovina su quale AP è quello giusto ...
#3
+23
Tom J Nowell
2015-04-03 07:27:59 UTC
view on stackexchange narkive permalink

Dì al barrista / impiegato / ecc. che il wifi è andato giù, possono riavviare o spegnere e riaccendere il router?

La maggior parte delle persone lo farà felicemente, portando l'AP giù per un momento ed esponendo il router gemello malvagio nel processo come una rete attiva che sopravvive a un ciclo di alimentazione.

Se è presente più di un router gemello malvagio, questo funziona ancora.

Se sono presenti più router validi, ne identificherà almeno uno. La stessa tattica può essere utilizzata per identificare gli altri (Ehi, non funziona ancora, è l'unica scatola wifi? Tutta questa tecnologia è così confusa, forse devi farlo a tutti loro?).

In alternativa, una volta identificato un buon AP, collegare un dispositivo ad esso, quindi utilizzando un secondo dispositivo, connettersi agli altri AP e tentare di individuare il primo dispositivo sulla rete. A meno che il buon AP non sia stato compromesso, qualsiasi AP che trova il dispositivo originale è un buon AP. Tuttavia, se è stato compromesso, tutti gli AP sono cattivi

Un'altra alternativa è che se puoi vedere la marca del router, prova ad accedere al suo pannello di amministrazione. Se il prompt di accesso non corrisponde alla marca / marca, hai trovato il gemello malvagio.

Le migliori soluzioni qui per lo più prevedono di parlare semplicemente con il fornitore dell'AP legittimo piuttosto che eseguire un esteso confronto con risultati discutibili.

Nel frattempo, se l'AP in questione è aperto, non è sicuro, gli attacchi dei gemelli malvagi non sono necessari. Anche una rete pubblica con una password condivisa non è sicura. Se sei preoccupato per la sicurezza di una rete Wi-Fi pubblica per qualsiasi motivo, non utilizzarla.

per quanto riguarda le schermate di accesso, ho visto configurazioni in cui Evil Twin copierà semplicemente la pagina di accesso del router reale
Questa risposta presuppone anche che ci sia un solo router.
Se ci sono 10 gemelli malvagi e il potere barrista avvia il router, funziona ancora. Se ci sono 2 router e il barrista accende entrambi, funziona ancora. Di conseguenza, se sono presenti più router e si identifica 1 router buono tramite il ciclo di accensione, è possibile unire ogni AP e eseguire il ping di un dispositivo connesso a un router noto come un buon test di base
Esporre l'Evil Twin in questo modo funzionerebbe solo se non è abbastanza malvagio da sembrare che anche lui si abbassi per la stessa durata. E se fosse molto malvagio e rispecchierà lo stato del buon router? In questo caso potrebbe essere necessario introdurre una terzina pseudo-malvagia per superare il gemello.
Tutto ciò può essere dedotto dalle misurazioni di latenza e temporizzazione. Il primo AP a scendere è chiaramente quello su cui il barrista ha appena staccato, quello che è sceso 20 ms dopo non lo è
Oppure potresti dire loro che hanno un gemello malvagio.
#4
+14
PyRulez
2015-04-03 03:39:18 UTC
view on stackexchange narkive permalink

C'è una cosa che un gemello malvagio non può copiare: posizione . Configura tre computer, quindi triangolali. O avere una sorta di rilevatore di tempo. Se uno di loro risponde abbastanza velocemente da sapere che, in base alla velocità della luce, deve essere all'interno del negozio, allora sai che sarà nel negozio, il che è utile se i ritardi fanno triangolazione più difficile.

Nota: se in qualche modo scopri che i router non si muovono attraverso un'altra fonte, puoi utilizzare un rilevatore di distanza in movimento . Questo ti darà molti punti dati con cui lavorare, il che potrebbe essere utile se il tuo rilevatore non è preciso.

Nota: se in qualche modo scopri che i router hanno la stessa potenza di segnale e capacità di rilevamento, e che quello buono è più vicino, un metodo pratico è semplicemente filtrare i pacchetti più deboli .

La velocità della luce è troppo elevata perché l'hardware standard sia utile per determinare la distanza. Il tempo di risposta (e la sua variazione) sarà dominato dai ritardi di elaborazione. Ma la potenza del segnale può essere utilizzata con un computer che puoi spostare.
@Rick Prendendo un gruppo di campioni si riduce la variazione. È anche solo generalmente più difficile per il gemello tentare di copiare la posizione degli originali (che stai triangolando) più sei vicino.
#5
+5
Nik Roby
2015-04-03 19:02:48 UTC
view on stackexchange narkive permalink

Per rilevare un attacco Evil Twin con una configurazione standard, le uniche informazioni che hai realmente e l'SSID, l'indirizzo MAC del punto di accesso wireless e l'indirizzo IP DHCP, il gateway e il server DNS che fornisce. A parte questo, potresti trovare il gemello malvagio che utilizza una frequenza diversa dall'originale, come il vero AP a 2,4 GHz e l'AP malvagio a 5 GHz. Molti punti di accesso sono configurati tramite interfaccia web, il che significa che se si dispone di un AP Linksys, potrebbe essere possibile accedere a una pagina su http://192.168.1.1/Managment.asp, ma non su AP malvagio.

Un Evil Twin probabilmente non si preoccuperà di clonare quel livello dettagliato di configurazione perché è molto più facile clonare semplicemente SSID e MAC (se anche loro si preoccupano di quello).

Pertanto, se si conosce la configurazione DHCP prevista o l'URL di configurazione previsto, è possibile sapere se l'AP a cui ci si connette è falso.

#6
+3
munchkin
2015-04-03 21:34:27 UTC
view on stackexchange narkive permalink

Un modo molto semplice, se sei l'amministratore di rete, è avere un host collegato alla tua rete fisica. Quindi un rapido ping ad esso rivelerà se sei stato escluso da un'altra rete.

Nel caso in cui ti trovi in ​​un'area pubblica, usare una VPN potrebbe essere una buona idea.

A meno che l'AP canaglia non sia un proxy per quello corretto.
Bene, l'endpoint del ping non è lo stesso del punto di accesso. Anche se in realtà il problema fondamentale è il WIFI per cominciare.
La WLAN non è diversa dalla LAN con dispositivi strani. In che modo la tua soluzione mitiga un attacco MITM?
Uno degli attacchi wlan è l'uso di un falso AP, che in sostanza è ciò che è un gemello malvagio. Se hai avuto la sfortunata fortuna di incontrarlo, il ping a un host collegato alla lan lo rivelerebbe. Anche con wpa2 enterprise con radius, saresti anche in grado di farlo, ma solo perché la maggior parte dei router domestici non esegue l'autenticazione del raggio e dovresti impostarne uno separatamente.
L'AP falso non potrebbe trasmettere il tuo ping all'AP reale, rendendo così la tua soluzione nulla?
L'AP falso non è connesso all'AP.
Il vero AP ovviamente non è sicuro, quindi non c'è motivo per cui il falso AP non possa connettersi ad esso per richieste LAN.
#7
-2
Cees Timmerman
2015-04-17 14:06:23 UTC
view on stackexchange narkive permalink

Il buon AP dovrebbe avere una impronta digitale affidabile del suo certificato autofirmato *. Penso che sia automatizzato come "blocco del certificato" - Che cos'è il blocco del certificato?

*: autofirmato perché non tutte le CA sono affidabili.

AGGIORNAMENTO: non conosco il tuo AP, ma inserire un semplice server web dovrebbe essere banale ( flash firmware open source). Ad ogni modo, ecco la prova che un AP può avere un certificato.

I punti di accesso wireless non utilizzano certificati SSL.
@Mark Niente? Per fortuna non ho menzionato SSL, quindi.
Se l'impronta digitale cambia, allora sai che non è il vero AP, quindi come è la mia risposta non utile? Metti un proxy sicuro o la pagina "Sono io" sull'AP se altre tecnologie sono troppo difficili.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...