В рамках ежегодно проводимой в Брюсселе конференции BruCon, собирающей профильную ИБ-аудиторию — от представителей «белого хакерства», групп CERT до сотрудников правоохранительных ИБ-подразделений, —всегда рассматриваются наиболее актуальные проблемы в сфере защиты информации. В этом году — в рамках BruCON-2015 — большой резонанс имело выступление ИБ-исследователя из Католического Университета Лёвена (Бельгия) Мати Ванхофа, который на основе выявленных уязвимостей в ПО низкого уровня для сетей Wi-Fi, Bluetooth и Zigbee представил метод ведения скрытых, устойчивых, целенаправленных и практически неотразимых атак с глушением передачи данных.
До недавнего времени считалось, что организация подобных атак хотя теоретически и возможна, но злоумышленникам недоступна из-за высокой стоимости. Скажем, установка USRP, которая подходит для таких атак, стоит более $3500. Однако Ванхоф опроверг это утверждение, представив результаты своих экспериментов по взлому беспроводных сетей с помощью купленного на Amazon за $15 USB Wi-Fi адаптера, в котором он модифицировал протокол прошивки, одноплатного мини-компьютера Raspberry Pi и небольшого усилителя. В итоге, он сумел вмешиваться в работу Wi-Fi-сети в диапазоне частот 2,4 ГГц в радиусе 120 метров.
В ходе презентации эксперт показал, что производимые помехи могут привести к блокировке определенных Wi-Fi пакетов, например, в точках доступа. Но для начала он пояснил, что готовя устройство к атаке, нужно представлять взаимодействие архитектурных элементов: двух микросхем внутри USB Wi-Fi-адаптера. Первая микросхема управляет радиосигналами, используя прямой доступ к внутренней памяти (DMA). Второй чип — основной ЦП — отвечает за связь с хостом по USB и управляет первым чипом радиообмена. Таким образом, по словам исследователя, ЦП может быть задействован для постоянного контроля сохраненных пакетов в памяти. Определив для чипа радиообмена конкретное место в памяти, можно начинать с помощью организации помех считывать MAC-адрес (адреса) в заголовке, чтобы добиться его совпадения с МАС-адресом целевой станции сети. В случае совпадение адресов CRC все остальные передаваемые пакеты уже будут выдавать ошибку, теряя соединение. При этом сеть в качестве приоритетного начинает выбирать главным образом сигнал Ванхофа.
Также он обратил внимание на логику работы Wi-Fi-сети при взаимодействии с подключенными к ней устройствами. По умолчанию коммуникационная схема основана на априори «честном поведении» всех участников сети. Ванхоф заявил, что хакеры, нарушив логику такого взаимодействия, запросто могут совершать атаки по нескольким сценариям. Скажем, злоумышленники могут блокировать режим ожидания подключения SIFS, прейдя во внеочередном порядке в режим передачи данных. А это, как подчеркнул эксперт, становится возможным при модификации схемы распределения памяти в прошивке на аппаратном уровне.
Комментируя ход экспериментальной атаки, исследователь сообщил, что использовал следующие устройства: TP-Link WN722N, AWUS036NHA и WNDA3200. Для того, чтобы перехватить весь трафик из зашифрованной беспроводной сети, он создал точку доступа с другим MAC-адресом, который воспринимался в сети как реальная точка доступа. И для этого он сделал клон исходной точки доступа и установил ее на свой канал, но с тем же адресом, что и MAC точки доступа реального режима входа. Таким образом, ему удалось наладить обмен пакетами между обоими каналами. Подключившись к Wi-Fi-сети с перепрошитым донглом, Ванхоф смог включить сценарий включению режима постоянной заглушки канала. Используя постоянный глушитель, исследователь через клонированный вход подключился к беспроводному каналу, что, в итоге, позволило ему взять весь шифрованный трафик под контроль
Также он сообщил и о сценарии, когда хакеры намеренно будут снижать битрейт своих пакетов с целью «обмана» точки доступа Wi-Fi и «принуждения» ее дать приоритет их пакетным отправкам. При этом злоумышленники получают большие возможности для манипулирования фреймами при их выводе и регенерации в сетях WPA-TKIP, трафик в которых зашифрован. По словам исследователя, с помощью перепрошитого и перенастроенного донгла злоумышленники, например, могут зациклить передачу начального фрейма, что заставит устройства ожидать, пока этот процесс закончится, чего, как очевидно, никогда не будет.
Вместе с тем эксперт отметил, что обнаруженные им уязвимости — это достаточно пугающая перспектива, поскольку даже для смышленого школьника не составит труда перехватывать и глушить беспроводной сигнал в диапазоне, в котором работают многие IoT-устройства: системы «умного дома», видеоняни, замки автомобилей, а также промышленные системы управления процессами. К слову сказать, глушилки сигнала для беспроводных сетей сегодня активно используются злоумышленниками. В частности, автоугонщики используют портативные джаммеры, которые предотвращают запирание автомобиля, а также GPS-джаммеры, чтобы блокировать сигнал антиугонной системы (уже после автораж), а еще такие джаммеры используют воры-домушники, чтобы блокировать сервис сотовой связи во время их незаконного проникновения в квартиру.
В заключение докладчик сообщил, что публиковать детализацию уязвимостей он в целях безопасности пока не намерен, однако коллегам обещал предоставить все необходимые сведения об этом — в рабочем порядке. Обратившись к участникам конференции, Ванхоф призвал активно включиться в поиск решения по ликвидации уязвимостей, поскольку хакеры, скорее всего, уже начали действовать в этом направлении. А пока нет адекватного решения специалисты по ИБ могли бы со своей стороны оказывать пользователям посильную помощь если не в предотвращении атак через беспроводные сети, то хотя бы хотя бы в выявлении таких рецидивов.
.jpg)