Snappy: продвинутый детектор мошеннических Wi-Fi сетей

Специалисты по кибербезопасности из компании Trustwave недавно представили инструмент под названием «Snappy», способный обнаруживать фальшивые и просто подозрительные Wi-Fi точки доступа, которые потенциально могут похитить конфиденциальные данные у ничего не подозревающих пользователей.

Злоумышленники могут создавать поддельные точки доступа в супермаркетах, кофейнях и торговых центрах, имитируя настоящие официальные точки, установленные в этих местах. Причём не просто дублируя их название, а полностью замещая ими легитимные точки доступа. А поскольку злоумышленники полностью контролируют подобные фальшивые точки, они могут перехватывать и анализировать передаваемые данные между устройствами данные, выполняя атаки типа «человек посередине».

Исследователь Trustwave и специалист по беспроводным технологиям Том Нивс подробно объяснил в своём отчёте , что подделать MAC-адрес и SSID законных открытых точек доступа опытным хакерам не составит большого труда. Таким образом, устройства потенциальных жертв, которые уже не в первый раз посещают места с открытыми беспроводными сетями, будут автоматически переподключаться к уже мошенническим точкам доступа.

Том Нивс разработал и презентовал инструмент под названием Snappy, который решает эту проблему, помогая людям определять, является ли точка доступа, которой они пользуются в данный момент, той же самой, что и в прошлый раз, или же это совсем другая точка.

Анализируя управляющие кадры Wi-Fi, Нивс обнаружил определённые статические элементы, такие как производитель, BSSID, поддерживаемые скорости, канал, страна, максимальная мощность передачи и другие, которые различаются между разными беспроводными точками доступа 802.11, но остаются постоянными для конкретной точки доступа всегда.

Исследователь решил объединить эти элементы и хешировать их с помощью SHA-256, чтобы создать уникальную сигнатуру для каждой точки доступа. Данную сигнатуру затем можно использовать в качестве детектора для определения совпадений или несовпадений.

Совпадения означают, что точка доступа та же самая, а следовательно, надёжная. А вот несовпадения по сигнатуре означают, что что-то изменилось, и точка доступа может быть поддельной.

Исследователь встроил описанный выше функционал в скрипт на Python, который затем опубликовал в репозитории GitHub компании Trustwave. Разумеется, абсолютно бесплатно.

Помимо механизма для генерации SHA256-хешей беспроводных точек доступа, Snappy также может обнаруживать точки доступа, созданные с помощью Airbase-ng, инструмента, который злоумышленники часто используют для создания поддельных точек доступа, чтобы перехватывать пакеты от подключенных пользователей или даже внедрять посторонние данные в их сетевой трафик.

Запускать Python-скрипт Snappy на ноутбуках довольно просто, если Python установлен в системе, а вот владельцам мобильных устройств придётся приложить дополнительные усилия, чтобы установить специальные интерпретаторы / эмуляторы.

Владельцы устройств на Android могут использовать для запуска Snappy приложения Pydroid, QPython или Termux, когда как пользователи iOS могут выбрать между Pythonista, Carnets и Juno.

Задумка получилась отличная, поэтому будем надеяться, что Trustwave вскоре рассмотрит возможность публикации данного инструмента в более удобной форме, например, в виде нативного приложения для Android, iOS, Windows, MacOS и Linux с простым и интуитивно понятным каждому пользователю интерфейсом.