Evil Twin EAP-TLS

Reading time: 4 minutes

Σε κάποια στιγμή χρειάστηκε να χρησιμοποιήσω τη προτεινόμενη λύση από την ανάρτηση παρακάτω, αλλά τα βήματα στο https://github.com/OpenSecurityResearch/hostapd-wpe δεν λειτουργούσαν πια σε σύγχρονο kali (2019v3).
Ούτως ή άλλως, είναι εύκολο να τα κάνεις να λειτουργήσουν.
Απλά χρειάζεται να κατεβάσεις το hostapd-2.6 από εδώ: https://w1.fi/releases/ και πριν την επανασύνθεση του hostapd-wpe εγκατέστησε: apt-get install libssl1.0-dev

Ανάλυση και Εκμετάλλευση EAP-TLS σε Ασύρματα Δίκτυα

Υπόβαθρο: EAP-TLS σε Ασύρματα Δίκτυα

EAP-TLS είναι ένα πρωτόκολλο ασφαλείας που παρέχει αμοιβαία πιστοποίηση μεταξύ πελάτη και διακομιστή χρησιμοποιώντας πιστοποιητικά. Η σύνδεση δημιουργείται μόνο αν και οι δύο, ο πελάτης και ο διακομιστής, πιστοποιήσουν τα πιστοποιητικά του άλλου.

Πρόκληση που Αντιμετωπίστηκε

Κατά τη διάρκεια μιας αξιολόγησης, εντοπίστηκε ένα ενδιαφέρον σφάλμα κατά τη χρήση του εργαλείου hostapd-wpe. Το εργαλείο απέρριψε τη σύνδεση του πελάτη λόγω του ότι το πιστοποιητικό του πελάτη ήταν υπογεγραμμένο από μια άγνωστη Αρχή Πιστοποίησης (CA). Αυτό υποδήλωνε ότι ο πελάτης δεν εμπιστευόταν το πιστοποιητικό του ψεύτικου διακομιστή, υποδεικνύοντας χαλαρές ρυθμίσεις ασφαλείας από την πλευρά του πελάτη.

Στόχος: Ρύθμιση Επίθεσης Man-in-the-Middle (MiTM)

Ο στόχος ήταν να τροποποιηθεί το εργαλείο ώστε να αποδέχεται οποιοδήποτε πιστοποιητικό πελάτη. Αυτό θα επέτρεπε τη δημιουργία σύνδεσης με το κακόβουλο ασύρματο δίκτυο και θα ενεργοποιούσε μια επίθεση MiTM, πιθανώς καταγράφοντας κωδικούς πρόσβασης σε απλό κείμενο ή άλλα ευαίσθητα δεδομένα.

Λύση: Τροποποίηση του hostapd-wpe

Η ανάλυση του πηγαίου κώδικα του hostapd-wpe αποκάλυψε ότι η επικύρωση του πιστοποιητικού πελάτη ελέγχεται από μια παράμετρο (verify_peer) στη λειτουργία OpenSSL SSL_set_verify. Αλλάζοντας την τιμή αυτής της παραμέτρου από 1 (επικύρωση) σε 0 (μην επικυρώνεις), το εργαλείο έγινε να αποδέχεται οποιοδήποτε πιστοποιητικό πελάτη.

Εκτέλεση της Επίθεσης

1. Έλεγχος Περιβάλλοντος: Χρησιμοποίησε το airodump-ng για να παρακολουθήσεις ασύρματα δίκτυα και να εντοπίσεις στόχους.
2. Ρύθμιση Ψεύτικου AP: Εκτέλεσε το τροποποιημένο hostapd-wpe για να δημιουργήσεις ένα ψεύτικο Access Point (AP) που μιμείται το στοχευμένο δίκτυο.
3. Προσαρμογή Captive Portal: Προσαρμόστε τη σελίδα σύνδεσης του captive portal ώστε να φαίνεται νόμιμη και οικεία στον στοχευόμενο χρήστη.
4. Επίθεση De-authentication: Προαιρετικά, εκτέλεσε μια επίθεση de-auth για να αποσυνδέσεις τον πελάτη από το νόμιμο δίκτυο και να τον συνδέσεις στο ψεύτικο AP.
5. Καταγραφή Κωδικών Πρόσβασης: Μόλις ο πελάτης συνδεθεί στο ψεύτικο AP και αλληλεπιδράσει με το captive portal, οι κωδικοί πρόσβασης του καταγράφονται.

Παρατηρήσεις από την Επίθεση

• Σε υπολογιστές Windows, το σύστημα μπορεί να συνδεθεί αυτόματα στο ψεύτικο AP, παρουσιάζοντας το captive portal όταν επιχειρείται πλοήγηση στο διαδίκτυο.
• Σε iPhone, ο χρήστης μπορεί να προειδοποιηθεί να αποδεχτεί ένα νέο πιστοποιητικό και στη συνέχεια να παρουσιαστεί με το captive portal.

Συμπέρασμα

Ενώ το EAP-TLS θεωρείται ασφαλές, η αποτελεσματικότητά του εξαρτάται σε μεγάλο βαθμό από τη σωστή ρύθμιση και τη προσεκτική συμπεριφορά των τελικών χρηστών. Λάθος ρυθμισμένες συσκευές ή ανυποψίαστοι χρήστες που αποδέχονται κακόβουλα πιστοποιητικά μπορούν να υπονομεύσουν την ασφάλεια ενός δικτύου προστατευμένου από EAP-TLS.

Για περισσότερες λεπτομέρειες, δες το https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

Αναφορές

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/