Злом WiFi або як я ловив шпигунів в корпоративної WiFi мережі
Хто б міг подумати, що мій тестовий бездротової моніторинг призведе до виявлення злому WiFi мережі далеко не маленької московської компанії.
AirMagnet Enterprise , Яким я активно користуюся другий рік, порівняно новий продукт від компанії Fluke Networks, впевнено набирає популярність серед професіоналів у сфері моніторингу та безпеки бездротових мереж. AirMagnet Enterprise являє собою систему, що будується на базі сенсорів, що здійснюють моніторинг WiFi мереж.
Система здатна не тільки виявляти зломи WiFi, а й запобігати роботу несанкціонованих точок доступу або клієнтів, що особливо важливо при виявленні проникнення. Одним з показових прикладів його роботи став випадок, що стався зі мною в липні 2013 року.
У процесі підготовки навчальних курсів з моніторингу, безпеки і захисту від злому WiFi мереж я проводив настройку тестування різних режимів роботи системи AirMagnet Enterprise в одному з офісів компанії «С» в місті Москва.
Під час установки і настройки системи можна було бачити все Wi-Fi пристрої, які працюють в зоні дії сенсорів AirMagnet. Серед величезної кількості Wi-Fi точок доступу працюють в ефірі, я помітив одну підозрілу. На перший погляд це була звичайна точка доступу, серед десятка таких же, але коли я почав в інтерфейсі AirMagnet Enterprise відзначати всі знайомі мені точки доступу, що працюють в нашому будинку у сусідніх організацій, список «лівих» поступово зменшувався. Треба сказати, що ідентифікувати точки доступу було не просто, періодично якісь точки з'являлися, потім зникали. Це пов'язано це з тим, що чутливість сенсорів така, що вони бачать, що відбувається в WiFi середовищі далеко за межами офісної будівлі.
Отже, коли система була повністю налаштована, я помітив, що одна з «наших» точок доступу працює не так як всі, а саме в режимі моста з іншою точкою доступу з таким же SSID. Перевірка по MAC адресам показала, що одна з цих точок - Asustek, інша - TPLINK. На моє запитання про подібні дивацтва, який я поставив системного адміністратора офісу, він знизав плечима, сказавши, що обладнання TPLINK не використовуються в мережі нашої компанії. Виходить це і правда справжній злом корпоративної WiFi мережі і це точка доступу - «ворожа»! Адміністратори тут же кинулися на пошуки «шпигуна». Для цього вони намагалися використовувати безкоштовне ПЗ на Андроїд. Пошуки зайняли півдня, але не увінчалися успіхом, висновок адміністраторів був неоднозначний: «Цього не може бути! Містика! »
Я дав їм на допомогу прилад серйозніше, мережевий тестер Fluke Networks OneTouch AT , В якому є утиліта для пошуку WiFi клієнтів або точок доступу. Такий мережевий тестер можна використовувати для тестування всіх типів мереж передачі даних - мідь, оптика і WiFi. На жаль, через якийсь час, сисадміни прийшли, не знайшовши тій самій «ворожої» точки доступу в будівлі, в якій розташовується офіс.
Тоді мені довелося засукати рукава і провести розслідування WiFi злому самостійно. Я взяв Onetouch AT і вийшов з ним з будівлі на вулицю, там сисадміни не догадались пошукати. Спочатку "сигналу" від «ворожої» точки не було взагалі, підійшовши до наших вікон першого поверху сигнал з'явився, ледве помітний «-85dBm», потім знову пропав. Я подумав, що джерело сигналу може розташовуватися нагорі, наприклад, на верхніх поверхах будівлі або на даху. Коли я відійшов подалі від будівлі прилад показав збільшення сигналу до «-70dBm», повернувши прилад на 180 градусів, я опинився віч-на КПП, в якому свою вахту по захисту спокою і майна працівників офісів будівлі несуть доблесні співробітники ЧОП, і о диво! Сигнал зростає в міру наближення до КПП «-55dBm». Обійшовши навколо, не потривоживши охоронців, я на 100% переконався, що «ворожа» точка розташовується саме там, в приміщенні пропускного пункту і злом корпоративної WiFi мережі проведено звідти. Повернувшись в офіс, насамперед дав команду сенсорам AirMagnet Enterprise блокувати «ворожу» точку і зі спокійною душею пішов порадувати сисадмінів. Вони, в свою чергу, розповіли мені цікаву історію, яка трапилася в офісі незадовго до мого розслідування. І все стало на свої місця.
Тижнем раніше, один з охоронців з того самого нещасливого КПП, «за банку варення і пачку печива» намагався з'ясувати у співробітників офісу як підключитися до Wi-Fi мережі компанії. Природно, ніхто з них не дав пароля. Але, мабуть, тому що вдень і вночі в «будці» охоронців досить нудно, один з них вжив заходів по проникненню в наш офіс в пошуках пароля до WiFi мережі. Як показує практика в багатьох компаніях на робочих столах у співробітників наклеєно безліч стікерів з важливими записами, серед них можна знайти не тільки пароль до корпоративної WiFi мережі, але і паролі на вхід в комп'ютер користувача. На жаль, до цього інциденту, камер відеоспостереження в офісі не було, але йому все ж вдалося наслідити. Охоронець спробував включити один з ноутбуків в офісі, і як не дивно, вибрав ноутбук керівника департаменту IT. До ноутбука з Windows 8, пароль підібрати не вийшло, але в ПО передбачена функція - якщо під час блокування екрана, зрушити верхню область екрану, включається веб камера. Намагаючись вимкнути ПК, охоронець кілька разів клацнув мишкою, тим самим сфотографувавши себе. Пізніше, побачивши ці фото, співробітники офісу відразу згадали, що саме цей охоронець питав у них пароль для підключення до мережі.
Мабуть охоронець все ж роздобув пароль і злом WiFi мережі був проведений. Більш того, його кваліфікації, як не дивно, вистачило на те, щоб налаштувати міст між двома точками доступу. Звичайно, для цієї компанії «ворожа» вказано точку доступу завдала великої шкоди, благо охоронцям всього лише потрібно було отримати доступ до інтернету для перегляду фільмів сумнівного характеру, спілкування в соціальних мережах і т.д., але якби у них був більш серйозний намір, то у компанії (скажімо у банку) могла відбутися великий витік інформації з корпоративної мережі, що обернулося б великими фінансовими втратами.
На цьому, інцидент зі зломом WiFi був вичерпаний. Всі точки доступу в компанії були переналаштовані, а пароль до WiFi мережі тепер знають тільки сисадміни. Всі причетні особи були покарані і звільнені.
The End!
Автор статті: Бабинов Микола,
технічний експерт по бездротових мережах в EMAG Group.
Див. також:
Рекомендуємо
Презентація "Продуктивність і безпеку бездротових WiFi мереж".