pc_zoneАндрей «Skvoznoy» Комаров/ andrej@itdefence.ru /Программы для обнаружения атак на беспроводную сетьНа чем палятсявардрайверы?Проникнуть в чужую беспроводную сеть — чем не забава! Пошалишь и смотаешься.Взломщик не подключается к сети по проводам и может находиться где угодно, лишьбы был уверенный прием. В автомобиле на улице, например. Попробуй поймай! Тольковот, что я тебе скажу: все это популярное заблуждение. Технологии защитыразвиваются, и даже банальное сканирование эфира самими обычными программамивыдаст тебя с потрохами. А ты не знал?Как выявить сканирование?Чтобы найти поблизости беспроводныеустройства, а следовательно, и беспроводныесети, используют специальные сканерыэфира. Поставил такую штуку на ноутбук илиКПК и гуляешь по городу, в то время какпрограмма ведет логи всех найденных точекдоступа с указанием SSID (идентификаторасети), производителя оборудования, механизмашифрования, скорости работы и дажекоординат, если к ноуту подключен GPS-модуль.Знакомые софтины — Netstambler, Macstambler,Kismet (или его версия под винду — Kiswin)— в два счета просканируют эфир и выдадут всюинформацию на экран./ 044Но тут есть один важный момент, о котороммногие даже не подозревают! Эти сканерыне просто пассивно просматриваютэфир, но также используют активные методыисследования, посылая в сеть специальныепакеты. Если ты просканировал эфирNetstambler’ом, то считай, ты уже выдал своеприсутствие. Хорошо, если беспроводнаясеть — это одинокая точка доступа, которойвряд ли даже поменяли пароль для администрированиячерез веб-панель. Но еслиэто серьезная компания, то к любой подобнойактивности (внутри закрытой сети) отнесутсяс подозрением. И дело тут вот в чем.Когда осуществляется пассивное сканирование(в соответствии со стандартом802.11, то есть Wi-Fi), ничего страшногоне происходит, но и эффективность такого сканированиянулевая! Как только дело касаетсяинтимной информации о сети (которая можетбыть очень полезна взломщику), стемблервыдает свое присутствие из-за специальногоLLC/SNAP-фрейма.Еще 3 года назад (23 марта 2002 года) хакер-исследовательMike Craik предложил уникальныйидентификатор, по которому можно задетектитьтрафик программы NetStumbler: LLCфреймы,генерируемые сканером и содержащиеуникальный идентификатор (OID) 0x00601dи идентификатор протокола (PID) 0x0001. Кромеxàêåð 02 /98/ 07
pc_zoneDVDПосле пробы такого софта Nestumbler использоватьдаже как-то не хочетсятого, специальная строковая переменная, передающаясячерез 58‐байтное поле данных, содержит информациюо версии продукта в так называемом «пасхальном яйце»:0.3.2 Flurble gronk bloopit, bnip Frundletrune0.3.2 All your 802.11b are belong to us0.3.3 " intentionally blank"Причин для таких подвохов может быть много, в том числепросьба оперативных органов, ссориться с которыми авторубесплатной программы, естественно, не хочется. Чтобыустранить «пасхальное яйцо», следует поковырять бинарникnetstumbler.exe редактором ресурсов и изменитьего. Но это не решит проблему обнаружения сканирования(с LLC-фреймом ничего не сделать). И к слову, Ministumbler— тулза из той же серии, только для платформы Pocket PC,— содержит аналогичные подвохи.А как насчетальтернативы Netstumbler’у?Теперь понятно, каким образом тебя может выдать обычноесканирование? И вроде бы ничего не делал, а по шапке получитьуже можешь. Причем что с Netstumbler’ом, что с любымдругим софтом. Рассмотрим лишь несколько примеров.DStumbler (www.dachb0den.com/projects/dstumbler.html)Это известнейший BSD-сканер беспроводных сетей,который, в отличие от Netstumbler, может проводить пассивноесканирование (режим RFMON), то есть определяетналичие точки доступа и ее SSID. Тем не менее, в режимеактивного сканирования в нем тоже существуют эксклюзивныесвойства. В поисках точки доступа программагенерирует огромное количество запросов (frame_control0x0040). После получения ответа точки доступа на подобныйзапрос, будет произведена попытка запроса авторизации(0x0b) и ассоциации (0x0c). Эти значения являютсяконстантами, что дает право на их использование в качествеуникального идентификатора.Wellenreiter (www.wellenreiter.net)Может быть, кто-то, прочитав это, подумает: «А в чемпроблема? Заюзай пассивное сканирование, и вседела!» Возьмем сканер Wellenreiter, основанный как раз наэтом принципе и включенный в состав известного хакерскогоLiveCD-дистрибутива — BackTrack. Утилита заточенапод Unixware-окружение и в качестве базового условия длястарта, естественно, использует iwconfig. После опознаваниябеспроводной карточки ESSID будет автоматически выставленxàêåð 02 /98/ 07/Модель логики построения безопасностис участием сенсоровна «This is used for wellenreiter», а MAC-адрес сконфигурированна произвольный. Опять палево!После такого разгрома даже руки опускаются. Не софт, а настоящеезападло для хакера. Что же делать? ЗаюзатьWindows-механизм? Скачивать ничего не надо, и работаетон, в общем-то, неплохо — хороший, вроде бы,вариант… Как бы не так! Его механизм тоже используетактивный режим сканирования, посылаются те же запросыс широковещательным SSID и уникальным программнымидентификатором, что и будет основой детекта подобногорода сканирования. Уникальный фрагмент находится в части«SSID Parameter Set» и состоит из 32 байтов.Воспользовавшись функциональными способностямиснифера Ethereal (Wireshark), можно без труда определитьподобную активность потенциального «воздушного» хакера:Netstumbler: wlan.fc.type_subtype eq 32 andllc.oui eq 0x00601d and llc.pid eq 0x0001Dstumbler: (wlan.seq eq 11 and wlan.fc.subtype eq 11) or (wlan.seq eq 12 andwlan.fc.subtype eq 00)Здесь 11 (0x0b) — значение во фрейме авторизации, 12 (0x0c)— константа из запроса ассоциации.Как поймать хулигана?Важно не столько засечь несанкционированные действияв сети, сколько выявить нарушителя. Здесь возникаетопределенная головоломка, так как мобильность самойтехнологии Wi-Fi изначально подразумевает таких жемобильных клиентов, которые могут перемещаться вовремя сеанса пользования сетью. Нашей задачей будетвыработка схемы сетевой инфраструктуры, в которой существовалобы как минимум две предпосылки, свидетельствующиео наличии злоумышленника среди доверенногорадиопокрытия. Способы обнаружения злоумышленникаобычно базируются на данных, поступающих из разныхудаленных друг от друга источников. При этом анализируютсяданные об уровне приема абонента, а также информацияиз логов систем обнаружения вторжений (IDS).На представленной схеме (смотри рисунок) перед нами модельтривиальной постановки: точки Y и Z выступают в ролиAP-«мониторов» (сенсоров нападения), так или иначепередающих событие «произошло сканирование» наспециальную систему. Конец коридора ограниченбетонными стенами, изолирующими сигнал от помехизвне. Задавая границу в радиопокрытии точки (кДистрибутивBacktrack, программыMySLAX Creator, BartPE Builder, MKBT,Syslinux, а также всевспомогательныеутилиты ты найдешьна DVD.На диске ты такжеобязательно найдешьвесь описанный в статьесофт и полезныедоки по методамтрилатерации.iНекоторые методытриангуляциииспользуются дляслежки за абонентамисотовой связи. Чистотеоретически, еслистандартнымисредствами можноопределить расстояниеот базовой станциидо телефона, топо расстояниям оттрех базовых станцийможно получитьточные координатыаппарата, а по расстояниюот двух БС — дветочки, в одной из которыхбудет находитьсятелефон. Вот такаяматематика…/ 045