<原文刊於 ITHome 2004 資安特刊>
前言
你是否有這樣的經驗,打開電腦,啟動無線網卡,然後試著讓Windows XP幫你自動找尋可用的無線網路,想要在 Coffee Shop或者甚至是路邊,享受無線上網的樂趣。
而現在隨著無線設備價格的平民化,想要在路旁找一台無線基地台,似乎也不是難事,尤其是在一些Coffee Shop 更是以提供無線上網為號召,吸引隨時隨地想上網的人。然而,就在無線基地台所在都有的情況下,當你啟動你的無線網卡時,可能,你己經暴露在無形的危機裡。
目前無線網路的駭客工具,在網路上都可以很容易得到。而且所需要的專業知識,也愈來愈低。HotSpot裡常見的駭客攻擊行為,以及他們所利用的工具,如以下所述。
偵察
首先,駭客找了一個可以放心進行攻擊的好位置,然後對這一個無線環境,做一番的「偵察」工作。這一
類的工具有很多,最基本的,可以利用Windows XP 所內建的無線網卡設定工具。在Windows XP SP2以前的 Wireless
Zero Configuration
的設計裡,它會自動利用你己使用過的SSID先去做尋找無線基地台的工作,所以,若是你己經將一些常用的Default
SSID加入你的Preferred Network List 裡,可以加快你發現無線基地台的時間,也可以發現一些SSID 廣播被關掉的基地台。
在Windows 裡另外一個常用的工具,那就是 NetStumbler。NetStumbler的功能比Windows內建的工具好些,提供你SSID,MAC 地址,頻道,加密與否以及訊號強弱的資訊,此時你就可以利用這些找到的SSID試著去做連線。
這些Windows平台下基本的工具,並無法提供你更進一步攻擊所需要的資訊,例如,正在連線的工作站的MAC地址,這樣的資訊是你突破MAC Address Access Control List限制所必需要的資訊。目前並無這類免費的工具,而付費的工具有AirDefense Mobile 以及 AirMagnet。當然,如果你對Linux有些基本認識,你可以使用無線駭客的最愛的免費工具--Kismet。
Kismet提供了相當完整的無線偵察功能,也是War Driving常使用的工具。此時駭客感興趣的是無線基地台的SSID,MAC Address,使用頻道,以及是否使用WEP或其他的認證機制。同時也收集使用者的MAC Address,IP等資訊。而且,Kismet也可以將封包存下來,讓你用破解WEP 的工具來進行WEP解密。
連線
有了這些偵察工具的幫忙,駭客第一步就是找到一個可以連線的基地台。完全沒有安全防護的基地台,到
處都是。而一般常見的安全機制有在基地台端的有MAC Address Control
List,WEP加密,在後端與付費系統整合的認證,有利用MAC或Session來做認證。MAC Address Control
List可以從無線網路偵測的工具裡找到有用的MAC
Address,駭客只要利用像SMAC這樣的工具,將自己的網卡改為同樣的MAC地址,則可輕鬆破解。WEP加密,則可利用AirSnort直接花時間
去破解,也可利用Kismet所抓到的封包,使用WEPcrack等工具去做字典攻擊。
至於整合付費系統的認證機制的服務,在此類的認證,常常會先允許你連線到基地台,取得合法IP,但未付費時,則無法使用Internet。此時,駭客的攻擊手法就得因地制宜了。
一旦駭客連上了HotSpot 的無線基地台,即使他無法破解HotSpot的付費認證機制,但他卻可以對在HotSpot的其他使用者,進行攻擊,甚至可以竊取合法用戶的資料,來登入HotSpot的付費系統。
監聽
駭客最基本的功夫,即是利用Sniffer來監聽沒有加密的內容。常見的Sniffer工具有很
多,現在更有針對特殊應用程式及Protocol設計的程式,例如MSN
Sniffer讓你看得到別人的聊天內容,HTTPDetect讓你知道別人在瀏覽什麼網頁,像WinSniffer,Cain或ACE
Password這樣的工具,自動幫你搜集利用明碼(Plain-Text)傳送的密碼,例如Email,FTP,或Telnet。另外Ethereal
及Airopeek這種功能強大的Sniffer,也是駭客常用的工具。
Evil Twin
除了監聽之外,進一步的駭客攻擊,則會利用Man-in-the-middle,來
操弄其他的使用者。駭客使用兩張無線網卡,一張與HotSpot的無線基地台連線,另一張網卡則利用軟體驅動成”Soft
AP”,並且設成和HotSpot一樣的SSID,欺騙其他的使用者來與其連線。駭客的筆記型電腦,此時即設成了所謂的『Evil
Twin』,偽裝成和HotSpot一樣的”攣生AP”,靜待受害者連線。此時駭客可再設置一個和HotSpot付費登入一樣的網頁,讓使用者輸入其帳號
密碼,然後再將他重新導向到真正的付費畫面,使用者就在不知不覺中,被騙取了帳號密碼。MITM攻擊的工具,則有著名的Monkey
Jack,HotSpotter或是其他可以使用軟體驅動成Soft AP的無線網卡。
癱瘓
最後,駭客也可以發動阻斷式攻擊(DoS
Attack),癱瘓HotSpot的無線基地台,此種攻擊可以是單純的阻礙使用者連線,也可暫時中斷使用者連線,然後增加使用者連到駭客設置的Soft
AP的機會。阻斷式攻擊可以針對某一台基地台,中斷所有的連線,使用工具為hunter_killer,或是針對某一台主機與基地台的連線,例如
wlan_jack等工具。
Client端攻擊
除了以上這些無線網路下特有的攻擊模式,事實上,當駭客與使用者在使用同一個無線網
路的時候,有線環境下的攻擊,也可以一一應用在WLAN裡。最簡單的攻擊,則是掃描使用者的漏洞,或是用字典攻擊法猜取使用者的Windows
管理者密碼,尤其是一般人對密碼設置的不重視,使用過於簡單的密碼或過短的密碼(低於8位數),admin, password, 1234,
123456,
abc123若是你有使用類似的簡單密碼,在幾秒鐘之內,駭客即可猜到,然後若你的電腦為所欲為:讀取檔案,裝設木馬,完全控制你的電腦。
自我防衛
了解了HotSpot裡所可能進行的無線網路攻擊的行為,對一個單純的想要在HotSpot裡品嚐咖啡,享受無線上網樂趣的使用者,以下的幾點建議,將可有效的加強自身的防護,避免自己成為下一個受害者。
一、 使用VPN連線,防止駭客監聽。
二、 使用加密的通訊協定取代沒有加密的通訊協定,例如:使用SSH代替Telnet,使用SSL加密的HTTP。
三、 啟動個人防火牆,減少駭客直接Client to Client的攻擊行為。
四、 不在公用無線網路裡進行重要的交易,例如使用網路銀行或線上購物。
五、 離開電腦時啟動登入鎖定,不使用簡單或空白的登入密碼,避免駭客利用你離開座位的時候,裝設惡意程式在你的的電腦上。
作者簡介:
莊添發 Thomas Chuang
美國卡內基美隆大學資訊安全及電腦輔助工程雙碩士,目前任職精誠資訊公司,擔任亞太區顧問。主要領域為風險管理與弱點評估,以及無線網路安全,並且也擔任Foundstone Ultimate Hacking 講師,於新加坡、曼谷、香港、北京、上海等地開課。
