Перед фахівцем у галузі інформаційної безпеки, зокрема пентестером, стоять завдання ефективного вирішення головоломок з пошуку та експлуатації вразливостей досліджуваних систем. Важливим елементом будь-якої роботи з тестування захищеності інфраструктури замовника є перевірка бездротових мереж. Значно підвищити ефективність такої перевірки допоможуть спеціалізовані інструменти, вже про п'яту ітерацію одного з яких я сьогодні вам розповім.
Опис пристрою
WiFi Pineapple - це продукт підприємливих американців, які замовили у китайців Wi-Fi роутер з двома бездротовими інтерфейсами і одним дротовим, написали під нього прошивку на базі OpenWRT і напхали утилітами для злому\перехоплення та аналізу трафіку.
У пристрою 3 мережевих інтерфейсу (2 бездротових з можливістю роботи в режимі монітора і 1 дротової), 1 USB порт для флешки\3-4G модема\GPS-треккера і слот для microSD карт.
Так само на корпусі пристрою є набір тумблерів, поєднання яких дозволяє запускати пристрій з пакетом заздалегідь присвоєних обраному поєднанню команд, що скорочує час попереднього налаштування, якщо завдання є типовим і регулярним.
Можливості
Спектр можливостей пристрою вражає, в ньому є майже все необхідне для аудиту бездротових мереж і перехоплення трафіку.
Головною фічею серед інших важливих є інструмент примусового з'єднання з роутером бездротових клієнтів: зв'язка з Karma і PceAP. Діє вона наступним чином:
Всі бездротові пристрої, не підключені в даний момент до мережі WiFi активно намагаються це зробити, розсилаючи запити в пошуках знайомих їм точок доступу, до яких раніше здійснювалося підключення (відкрийте список мереж на своєму смартфоні - напевно він досить довгий). Karma відповідає на ці запити, представляючись тією точкою доступу, яку шукає клієнт. Це поширюється тільки на запити відкритих мереж, не захищених шифруванням WEP/WPA/WPA2, але як правило майже у кожного в списку є хоч один публічний хотспот, до якого він коли-небудь підключався в кафе або іншому громадському місці. На даний момент ефективність роботи Karma знизилася, так як нові пристрої і версії ОС прагнуть убезпечити користувачів від цієї вразливості і тут на сцену виходить PceAP, який діє за протилежним Karma принципу- він не чекає запиту, замість цього бомбардує клієнта запитами на підключення за списком SSIDів, який можна вести як вручну, так і збирати утилітою Autohvarvarhest. Поєднання двох цих методів дає дуже високу ймовірність зачепити бездротового клієнта на точку доступу.
Другим королем нашого «ананасу» є SSLStrip, який незважаючи на поступову втрату актуальності все ще залишається найважливішим інструментом перехоплення даних. Цей MITM модуль виявляє спробу клієнта з'єднатися за HTTPS-протоколом і нав'язує йому HTTP з'єднання, у свою чергу встановлюючи HTTPS з'єднання з точкою призначення. Неуважний клієнт нічого не помічаючи вводить свої облікові дані і вони тут же потрапляють в журнал.
WiFi Pineapple побудований за модульним принципом - у ньому спочатку встановлені тільки базові елементи, а інші компоненти за бажанням можна завантажити прямо з інтерфейсу управління з сайту розробників. Серед них є такі чудові інструменти, як ethercap, tcpdump, nmap, інструмент глушіння інших точок доступу deauth (примусово надсилає команди роз'єднання клієнтам чужих точок доступу), dnsspoof, urlsnarf, інструмент злому WPS-сервісів reaver\bully на вибір, та інші корисні інструменти. Хочу зауважити, що все відразу запустити не вийде - залізка досить слабенька і багато сервісів одночасно не витримує, йдучи в ребут.
Керування пристроєм здійснюється через веб-інтерфейс, хоча можна і віддалено за SSH (для віддаленого доступу до встановленої в цільовій точці системі передбачено автоматично піднімається при включенні зворотний SSH-тунель). Веб інтерфейс в цілому придатний, але працює неідеально і іноді занадто швидка і активна робота з ним призводить до перезавантаження пристрою, благо всі потрібні сервіси можна виставити в автостарт. Всі компоненти можна оновлювати прямо з інтерфейсу, нові прошивки так само встановлюються на льоту.
Комплект постачання
Мені в руки потрапила версія Elite, яка крім самого роутера включає в себе ударопрочний водонепроникний кейс і акумулятор на 15000 mAh, що в сумі дає систему всепогодного зовнішнього розміщення з автономністю в 12 годин безперервної роботи, так само в комплекті йде буклет по швидкому налаштуванню, зарядний пристрій, подовжувачі антени для виносу ріжок за корпус кейта патр.
Початкове налаштування
Як би просто не виглядало налаштування в буклеті і численних хау-ту, без обробки напильником нам ніяк не обійтися.
а) Мобільний Інтернет
Якщо ми робимо мобільний комплекс, то нам не обійтися без автономного виходу в інтернет, тобто обов'язково знадобиться USB-modem, проте з коробки девайс з ними дружить дуже погано і як є просто не став працювати з моїм Huawei E3372 (Мегафон М150-2). Модем довелося розлочити, перепрошити на HILINK-прошивку і розширений web-інтерфейс (вона перетворює його на автономний USB-роутер, видимий системою як Eth1 інтерфейс і не вимагає будь-якої додаткової налаштування на хості). Докладні інструкції можна знайти на 4pda.ru в темі, присвяченій цьому модему. Найкумедніше, що після розлочки і перепрошивки швидкість доступу в мережу Інтернет зросла в неймовірні 3 рази, наблизившись до 50 мегабітів на секунду. Таким чином після всього чаклунства з модемом ми отримуємо в надрах нашого «ананаса» ще один мережевий інтерфейс Eth1, через який пускаємо трафік, змінивши параметри/etc/config/network і/etc/config/dhcp. Важливо не забути вимкнути DHCP-сервер на web-інтерфейсі самого модема (у моєму випадку він жив за адресою 192.168.8.1), інакше всі клієнти будуть ходити безпосередньо в Інтернет, минаючи всі ваші пастки.
б) AutoSSH віддалений доступ
Так само нам необхідний віддалений доступ до пристрою для контролю і читання логів не чекаючи повернення приладу. Для цього доведеться піднімати у себе OpenSSH сервер з включеним GatewayForwarding, а далі все залежить від везіння. Наприклад у моєму випадку SSH-сервер працював не на стандартному порту, тому провести підключення до нього засобами інтерфейсу «ананаса» не вдалося, довелося робити все вручну.
Порядок такий:
- З веб-інтерфейсу «ананасу» генеруємо публічний ключ
- Заходимо на «ананас» по ssh і з нього йдемо по ssh на наш ssh-сервер по паролю, ця дія додасть наш сервер в known_hosts
- з «ананаса» через scp висилаємо authorized_keys на наш сервер.
- Через веб-інтерфейс запускаємо autossh на «ананасі»
- Пробуємо з сервера з'єднатися на localhost -p < вказаний на ананасі зворотний порт >
Якщо все зроблено правильно - отримаємо постійний консольний доступ на наш прилад.
в) Логи
Модулі можна встановлювати як у внутрішню пам'ять пристрою, так і на SD-карту, проте деякі модулі можуть поводитися некоректно в разі встановлення на карту, наприклад ніжно улюблений нами SSLStrip. Внутрішньої пам'яті у пристрою дуже мало, а логи з перехопленими даними модулі зберігають у своїх папках. Тому нам потрібно в корені SD-картки (/sd/) зробити якусь теку (наприклад, банальне, logs) і злинкувати її з папкою логів модуля в/pineapple/components/infusions/sslstrip/include/logs
Висновки
WiFi Pineapple Mark V показав себе корисним у господарстві пентестера інструментом, що допомагає знайти точку входу в ситуаціях, коли здається, що інфраструктура клієнта бездоганна, а персонал вищою мірою відповідальний і технічно підкований. Прилад не без недоліків - слабенький 400MHz процесор насилу справляється з покладеними на прилад завданнями і часто йде в хлопці при спробі задіяти відразу кілька модулів, з іншого боку зрозумівши його межі можна розподілити завдання таким чином, щоб оптимально використовувати «ананас» без непотрібних перебоїв у роботі.
Технологія захоплення бездротових клієнтів Karma і PceAP не ідеальна, ніхто не обіцяє, що ваш пристрій тут же підключиться до «ананасу» опинившись в радіусі його дії, але ймовірність такого результату для пристроїв на всіх популярних видах ОС вкрай висока. SSLStrip поступово відмирає, особливо мало толку від нього при захопленні трафіку мобільних девайсів, адже більшість додатків авторизується за методом OAuth 2.0 і толку від перехоплених токенів не так багато, як від паролів в чистому вигляді. Однак популярні месенджери соціальних мереж все ще передають дані відкритим текстом, а доступ до сервісів через браузери все ще проводиться за поєднанням логін/пароль, що робить інструмент ефективним у справі перехоплення даних.
І не варто забувати про інші можливості «ананаса», такі як злом WPS, підміну DNS і виведення клієнтів на підроблені сторінки, захоплення кукі і багато іншого. Однозначно пристрій цікавий і коштує своїх грошей, а тим, хто побоюється хуліганів з такими приладами - раджу чистити свій список відомих бездротових мереж від відкритих мереж і не підсідати на сумнівні точки доступу.