Multipot – o grande inimigo da segurança das redes wi-fi

Com o wi-fi cada vez mais popularizado e implementado é normal que sempre apareçam novas maneiras de burlar a segurança das redes que usam essa tecnologia. Seja em um shopping, aeroporto, faculdade ou órgão governamental… existe uma grande chance de uma rede sem fio ser encontrada naquele local. Sabemos que agora na copa milhares de estrangeiros vão buscar o uso do wi-fi gratuito, o que com certeza despertará o interesse de muitos “cybercriminosos” por aí.

E como está a segurança dessas redes sem fio hoje? Encontramos vários cenários, como por exemplo:

• Rede aberta sem autenticação posterior: É o pior caso. Qualquer se conecta na rede e navega por ela, tendo total acesso à Internet sem precisar de nenhum tipo de usuário/senha. Muitas vezes essas redes são verdadeiras “armadilhas” para se capturar o tráfego de clientes espertinhos.
• Rede aberta com autenticação posterior: É muito usada em universidades, aeroportos, etc. Você não precisa de nenhuma chave para se conectar à rede, mas precisa se autenticar no browser para conseguir navegar. Como não possui nenhum tipo de criptografia (a nível de rede; não estamos falando de protocolos como o https), dados sigilosos podem ser facilmente capturados.
• Rede protegida com WPA/WPA2 usando PSK:  Exige uma chave previamente compartilhada (pre-shared key) para se conectar. O tráfego é criptografado e normalmente após a conexão à rede não exige uma autenticação posterior. É o tipo mais comum em pequenas e médias empresas.
• Rede protegida com WPA/WPA2 modelo Enterprise: Ao invés da chave compartilhada, a autenticação é realizada normalmente em um servidor Radius e exige um usuário, senha ou um certificado digital para a realização da conexão com sucesso. É o cenário tipicamente mais seguro de encontrarmos.

Além desses tipos de cenários é muito comum o uso de múltiplas VLANs nos APs wi-fi, como por exemplo: VLAN funcionários e  VLAN convidados.  Usa-se também o controle de dispositivos clientes por endereços MAC.

Algumas poucas empresas investem também em  implementar um WIPS (Wireless Intrusion Prevention System) para ajudar a monitorar o espectro wi-fi e tentar impedir ataques como ARP poisoning, MAC Spoofing, etc.

Visto tudo isso vamos falar do ponto de vista de um atacante. Imagine que alguém hoje quer ganhar acesso à uma rede sem fio de uma empresa que use o modelo WPA2-PSK ou WPA2-Enterprise. A primeira coisa a se pensar, especialmente no modelo PSK, é que esse “pretendente a invasor” deveria tentar descobrir a chave de acesso para conseguir entrar. Some isso ao controle de acesso por endereços físicos e muitos acreditam ter uma rede totalmente inviolável. Pois a falsa sensação de segurança é o pior inimigo do profissional de TI.

Antes de entender o processo do Multipot, lembremos um pouco do processo de migração de um dispositivo entre Access Points(APs) de uma mesma rede. Em um ambiente ESS (extended service set), quando o cliente está trocando de uma célula a outra o seu dispositivo “percebe” que o sinal do AP conectado está ficando mais fraco ao menos tempo que percebe um novo AP com sinal cada vez mais forte (outro BSS). Então, é enviado um pedido de desassociação para o AP atual e reassociação para o novo AP descoberto. Para o usuário isso é praticamente invisível.

O que aconteceria então se eu executar em um notebook um softAP (AP baseado em software) com o mesmo ESSID (nome) da rede da empresa mas usando um dispositivo com uma antena de ganho bem superior. A maioria das antenas dos Access Points hoje tem de 2 a 6 dbi. Conseguimos facilmente comprar em sites estrangeiros adaptadores com antenas de 58 dbi ou mais (já vi até de 98 dbi).

Um atacante munido de um equipamento desses poderia facilmente “sobrepujar” o sinal de um AP legítimo, fazendo o cliente pensar que existe um novo access point mais próximo. Aí, a vítima teria o seu dispositivo migrado automaticamente para esse novo AP “falso”, que carinhosamente chamaremos de “Evil Twin” (gêmeo maligno).

Usando a suíte de softwares air-ng isso pode ser facilmente conseguido. O airbase-ng, por exemplo, pode subir um softAP usando configurações como: WPA/WPA2/TKIP/AES, etc.

A partir do momento que o usuário está conectado em nosso Evil Twin, temos o total controle do tráfego dele. Podemos, entre outras coisas:

• Fazer um DNS Spoofing e redirecioná-lo para um servidor Apache local que conteria uma página falsa, pedindo usuário e senha de acesso (para capturar credenciais de acesso à rede verdadeira, como a chave WPA ou informações de login).
• Usar o mesmo DNS Spoofing e jogá-lo para o Social Engineering Toolkit, que clona sites verdadeiros para parecer mais real, como páginas do Facebook e Gmail ou mesmo de bancos.
• Fazer uma bridge (ponte) com uma interface Gigabit Ethernet (ou mesmo outra interface wi-fi) para permitir que a vítima acesse a Internet. Rodar o wireshark para capturar seu tráfego.
• Usar o wireshark em conjunto com o SSLStrip para capturar tráfego HTTPS/SSL/TLS.

Situação bem complicada não é? Ainda tem um fator complicador: se o funcionário usar o dispositivo wireless (vamos supor seu notebook) fora da empresa, ainda podemos captura-lo. Ao monitorar o tráfego wi-fi com o airodump-ng, eu consigo visualizar clientes sem fio tentando se conectar à suas respectivas redes (podemos ver o ESSID das redes e o MAC dos clientes).

Qual o problema disso? Normalmente a sua rede de casa ou do trabalho é a preferencial, a que é conectada “primeiro”. Se você estiver em um shopping usando wi-fi gratuito e eu simular um “Evil Twin” da sua rede de casa o seu notebook automaticamente cairá na minha armadilha. Você foi atraído ao meu “honeypot” (armadilha).

Voltemos ao WIPS. Alguns modelos, como da Cisco, conseguem detectar Evil Twins e tentam mitigar a atuação desses honeypots. O equipamento WIPS envia às máquinas clientes uma mensagem ordenando que se desassociem do AP “falso”. Isso é mais complicado quando o Evil Twin clona o MAC do Access Point real, mas mesmo assim pode ser feito.

Ufa… a solução então é comprar um bom WIPS para a minha rede, correto? Errr… agora vem o Multipot.

A técnica de Multipot nada mais é do que abrir não um, mas 5 ou 6 softAPs que agirão como diferentes Evil Twins para a mesma rede. Imagine que o ESSID da rede seja “faculdade”. Se eu tivesse apenas um AP “falso”, o WIPS poderia facilmente desconectar os clientes legítimos do meu softAP. Mas ao abrir vários outros, terei 6 Access Points malignos concorrendo contra 1 Access Point legítimo. Isso tornará a atuação do WIPS muito mais lenta, levando a uma grande chance de ele não conseguir desconectar adequadamente os clientes devido à “confusão” gerada em suas tabelas de monitoramento.

Hoje não existe uma proteção 100% efetiva contra Multipots. Por isso mesmo, a dica que eu deixo é a seguinte: evite usar Wi-Fi em locais públicos e sempre preste atenção se está havendo muita “reconexão” da interface wireless. Pode indicar um ataque desses “carregando” o seu dispositivo para um novo Evil Twin.

Lembrando: se mesmo na sua casa ou na sua empresa alguém com uma antena potente pode “sequestrar” seu notebook ou smartphone, mesmo com todas as proteções de segurança implementadas (como WIPS, filtros de MAC, WPA2, etc), imagine quando o seu dispositivo está “carente e sozinho” ao usar uma rede wireless pública?

Todas as técnicas citadas nesse texto, com exemplos práticos e ilustrações, são encontradas no meu livro da editora Visualbooks: Wireless Hacking: Ataques e Segurança de redes sem fio Wi-Fi.

[Crédito da Imagem: Multipot – ShutterStock]