Pró-Reitoria Acadêmica
Escola de Politécnica
Lato Sensu em Perícia Digital
Trabalho de Conclusão de Curso
ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES
SEM FIO WIFI
Autora: Priscila Laís Bragato Veiga
Orientador: Prof. Esp. João Eriberto Mota Filho
Brasília - DF
2015
PRISCILA LAÍS BRAGATO VEIGA
ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM FIO WIFI
Artigo apresentado ao curso de Pós Graduação Lato
Sensu em Perícia Digital da Universidade Católica
de Brasília, como requisito parcial para obtenção do
Título de Especialista em Perícia Digital
Orientador: Prof. Esp. João Eriberto Mota Filho
Brasília
2015
Artigo de autoria de Priscila Laís Bragato Veiga, intitulado "ANÁLISE DA
CONFIABILIDADE DE ENLACE DE REDES SEM FIO WIFI", apresentado como requisito
parcial para obtenção do diploma de conclusão de curso de especialização em Perícia Digital
da Universidade Católica de Brasília, em _____de ____________ de 2015, defendido e
aprovado, pela banca examinadora abaixo assinada:
_________________________________________________
Professor Esp. João Eriberto Mota Filho
Orientador
Curso de Perícia Digital - UCB
_________________________________________________
Professor Esp. Alexandre Antonio Antunes de Almeida
Examinador
Curso de Perícia Digital - UCB
Brasília
2015
4
ANÁLISE DA CONFIABILIDADE DE ENLACE EM REDES SEM FIO WIFI
PRISCILA LAÍS BRAGATO VEIGA
Resumo: As infraestruturas de WiFi (marca que certifica que produtos pertencentes à classe de
dispositivos de rede local sem fio são baseados no padrão IEE802.11) tornaram-se presentes
em quase qualquer lugar, não só em ambientes corporativos, mas também em locais públicos,
onde são conhecidos como hotspots, que são pontos de acesso à Internet em aeroportos,
shoppings, restaurantes, hospitais, escolas, bibliotecas e até mesmo nos ônibus. Podemos
encontrar redes sem fio que nos permitem acessar a Internet em praticamente qualquer lugar.
Perguntar pelo nome da rede sem fio, e às vezes pela senha, de um estabelecimento tornou-se
cotidiano na vida de boa parte dos brasileiros. Apesar dos benefícios essa existência de acesso
ilimitado pode colocar seus usuários em risco uma vez que este cenário traz à luz
vulnerabilidades na confiabilidade de qualquer rede sem fio. O objetivo dessa pesquisa é o de
demonstrar a vulnerabilidade de redes WiFi onde os dispositivos clientes conectam-se
automaticamente a redes consideradas conhecidas e confiáveis a partir da análise da taxa de
sucesso dos resultados obtidos em testes de auditoria de redes sem fio. Trata-se de uma pesquisa
experimental feita numa área de aproximadamente 50m², no período de 15 de setembro a 18 de
outubro de 2015. Os testes de penetração resumem-se na aplicação sistemática de
funcionalidade do ataque conhecido como Rogue-AP, disponíveis no equipamento “WiFi
Pineapple”. Para tanto é utilizada a metodologia aplicada, com ênfase no aspecto quantitativo
e usando a prospecção de dados em campo.
Palavras-chave: WiFi. Camada de Enlace. Ponto de Acesso.
1 INTRODUÇÃO
As infraestruturas de rede sem fio, mais conhecidas como WiFi e conceituadas a partir
da adoção do padrão 802.11 criado pela Institute of Electral and Eletronics Engineers (IEEE),
tornaram-se praticamente onipresentes, e nos permitem acessar à Internet quase que de forma
ilimitada.
Em linhas gerais os dispositivos com conexão WiFi possuem, hoje, a funcionalidade
de se conectar a redes conhecidas. Essas são redes as quais o dispositivo se conectou por mais
de uma vez e foram definidas como confiáveis. Determinar se uma rede sem fio é ou não
confiável é uma tarefa desempenhada pelo sistema operacional do dispositivo a partir de
configuração padrão. O usuário tem a possibilidade de reverter esse comportamento se
desabilitar a interface sem fio como um todo, ou ainda alguns sistemas operacionais mais
atualizados, como o Android 5 (também conhecido como Lollipop), automaticamente, depois
de algumas tentativas de conexão com suas redes preferidas, desabilita a interface Wireless
(sem fio), porém uma vez que esta esteja ligada o dispositivo estará exposto a vulnerabilidade
intrínseca desta funcionalidade.
Esse comportamento dos sistemas operacionais coloca em xeque muitos métodos de
segurança envolvidos no estabelecimento da conexão a uma rede sem fio pois nesta linha de
raciocínio existe um ataque conhecidos como “Rogue-AP” (ponto de acesso falso) que se
5
caracteriza pela identificação da existência dispositivos fazendo broadcast, que é a busca por
redes WiFi conhecidas. Uma vez com uma lista de redes confiáveis por dispositivos à sua volta
pode-se simular tais redes e os dispositivos, smartphones e outros que confiam nestas redes irão
automaticamente se conectar, sem perguntar ao usuário ou mesmo verificar se o método de
autenticação é compatível com o registrado no sistema operacional.
Em teoria o ataque Rogue-AP parece simples e certeiro; entretanto a prática demonstra
que os resultados não são tão animadores. A lista de tarefas para que o ataque tenha sucesso
envolve outras investidas que devem ser feitas em conjunto e paralelamente à principal, além
de uma boa dose de paciência e determinação.
Para obter uma lista de redes confiáveis deve-se “ouvir” os SSIDs1 que os dispositivos
em volta estão pedindo. Para isso é necessário que os dispositivos perguntem em uma
frequência maior do que a padrão dos sistemas operacionais, logo, é necessário um ouvido
bastante sensível. Por conta disso serão utilizados adaptadores USB (Universal Serial Bus) sem
fio com antenas de alto ganho.
Uma vez com o SSID de uma rede confiável da vítima, o atacante deve criar uma rede
sem fio com o mesmo nome, mas apenas isso não basta para que o alvo se conecte a essa “rede
simulada” pois, como dito anteriormente, a frequência em que os sistemas operacionais buscam
por redes confiáveis não é alta o bastante para estabelecer uma conexão imediata ou pelo menos
a tempo para que um ataque de obtenção de dados seja efetivo; logo se faz necessário que além
do SSID idêntico, esta rede “fale alto, claro e muito” quem é ela – emulando aquela à qual o
dispositivo confia. E esse é um uma outra investida.
O ataque é considerado um sucesso quando a vítima se conecta, obtendo um endereço
IP2 de uma rede não confiável acreditando ser uma de sua lista de confiáveis. Obter um IP na
rede ocorre somente se o protocolo DHCP3 está habilitado para ambas as redes, tanto a confiável
quanto a falsa.
2 REFERENCIAL TEÓRICO
A seguir apresentam-se os conceitos de rede sem fio padrão IEEE 802.114, os
elementos lógicos necessários ao experimento, os métodos de teste de confiabilidade e os
motivos pelos quais os resultados desta pesquisa são importantes a sociedade. O referencial
teórico deste experimento terá fulcro na obra “Wireless Hacking - Ataques e segurança de redes
sem fio WiFi”, do autor Marcos Flávio Araújo Assunção. Neste livro são apresentados os
métodos de ataque a redes sem fio que são implementados nesta pesquisa de modo sistêmico e
automático por intermédio do equipamento (appliance) WiFi Pineapple
(https://www.wifipineapple.com/).
2.1 REDES SEM FIO WIFI E O PADRÃO IEEE 802.11
Ao fazer referência à obra de Tanenbaum (2003): WiFi é o nome dado para a
implementação e padronização das redes locais sem fio pelo comitê do IEEE, e é, atualmente
1 Service Set Identifier ou nome da rede sem fio.
2 Internet Protocol: endereço do dispositivo quando conectado a uma rede ou a Internet.
3 Dynamic Host Configuration Protocol, ou em tradução livre, protocolo de configuração dinâmica de computador.
4 http://www.ieee802.org/11/ - Acesso em 03/10/2015.
6
uma marca registrada (WiFi Alliance) utilizada por produtos certificados que pertencem à
classe de dispositivos de rede local sem fios (WLAN) baseados no padrão IEEE 802.11.
A WiFi Aliance foi criada com o intuito de cobrir uma falha de especificação na IEEE
802.11. Podemos dizer que toda rede sem fio é IEEE 802.11 e quase toda rede é WiFi. Essa
margem existe, pois, a WiFi Aliance provê um segundo grau de compatibilidade entre
equipamentos que já utilizam a IEEE 802.11.
A IEEE 802.11 é um grupo de profissionais do Institute of Eletronical and Eletronics
Engineers, responsável por estudar e desenvolver padrões para redes sem fio, ou como
comumente chamamos de wireless. O IEEE (ou I3E como é usualmente referida no Brasil) é
uma organização criada por volta de 1960 e que reúne engenheiros, cientistas, especialistas em
computação, telecomunicações entre outras áreas da tecnologia e, de acordo com Eriberto
(2013), “é responsável por especificar diversos padrões de hardware e seus respectivos
protocolos de rede”.
IEEE 802.11 é, no final das contas, uma norma que rege aspectos sobre a utilização
das frequências de banda 2.4, 3.6, 5 e 60Ghz. Sobre o termo IEEE802.11 Tanenbaum5 nos
ensina que consiste de uma série de técnicas de modulação, onde o meio é o ar, pelo sistema
conhecido por half-duplex (HDX) na qual a transmissão e a recepção ocorrem de modo
alternado.
2.2 CAMADA DE ENLACE
Ao citar Tanenbaum referente ao assunto em relação ao modelo OSI (Open System
Interconnect), temos que tal modelo é responsável por controlar o fluxo (recepção, delimitação
e transmissão de quadros). Ou seja, é nesta camada que ocorre a transmissão e recepção dos
dados por meio de frames, ou quadros, portanto é onde ocorre o controle de fluxo. É também
nesta camada que ocorre o estabelecimento do protocolo de comunicação entre sistemas
diretamente conectados.
Entre os possíveis protocolos de comunicação temos o protocolo ethernet. Nele, cada
placa possui um endereço físico, ou endereço MAC, que deve ser único. Redes ethernet podem
seguir o padrão IEEE802 ou não, entretanto para esta pesquisa nos interessa aquelas que seguem
o padrão desenvolvido pelo referido Instituto uma vez que para redes sem fio WiFi o padrão
IEEE802.11 é necessariamente implementado.
A Camada 2 é responsável pelo link, ou enlace ou ainda podemos chamar de ligação,
tanto no modelo OSI quanto no modelo TCP/IP.
2.3 ANTENAS E RÁDIOS
Antenas são as interfaces físicas (PHY) do meio de transmissão sem fio. Dentro do
padrão 802.11 podem ser utilizadas múltiplas antenas a fim de aumentar as taxas de
transmissão.
Tanenbaum6 diz que “as propriedades das ondas de rádio dependem da frequência. Em
baixas frequências, as ondas de rádio atravessam os obstáculos, mas a potência cai
abruptamente à medida que a distância da fonte aumenta, cerca de 1/ r2 no ar.” Logo quanto
5 Tanenbaum. “Redes de computadores”, p. 72.
6 Tanenbaum. Op. cit., p. 92.
7
mais poderosos forem os transmissores e receptores, mais distantes eles podem estar um do
outro. Estações de rádio usam transmissores gigantes, e é por isso que podemos captar sinais
de rádio a milhares de quilômetros de distância, do outro lado da Terra. Internet sem fio é
simplesmente um modo de usar as ondas de rádio para enviar e receber pacotes de dados da
Internet ao invés de sons de rádio ou imagens da televisão. Entretanto, ao contrário desses dois,
é tipicamente usada para enviar sinais apenas em uma distância relativamente curta com
transmissores de pouca potência.
O conceito de rádio pode ser resumido em: envio de mensagens a partir de um
transmissor para um receptor na velocidade da luz através de ondas de rádio. Na rede sem fio,
a comunicação é bidirecional: há um transmissor e receptor, tanto seu computador (ou
dispositivo de mão) e um equipamento (como um roteador) que você se conecta à Internet.
Existem antenas de diversos tipos de antenas sendo que cada um possui um objetivo
específico ou pelo menos uma ação a qual é mais propícia para. Podemos encontrar antenas
direcionais do tipo Yagi, painel, setor e grelha onde dentre as duas primeiras podem existir as
para ambiente interno e externo. Em geral as antenas de grelha são exclusivamente para
ambientes externos assim como as de setor para ambientes internos devido a suas características
individuais de construção e design.
Diferente das antenas omnidirecionais, as direcionais devem estar devem estar
direcionadas para o sinal do transmissor ou do receptor que podem ser, por exemplo, um
roteador ou um hotspot.
É importante lembrar que o sinal das antenas, quaisquer que sejam, por se tratar de
sinal de rádio, está sujeito a perdas por obstáculos naturais e por aqueles construídos pelo
homem, como prédios, colunas de concreto e até janelas de vidro.
2.4 WIFI PINEAPPLE
A WiFi Pineapple é um equipamento customizado de auditoria de redes sem fio que
criada pelo grupo Hak57. Seu hardware e softwares foram desenvolvidos especificamente para
permitir aos utilizadores a implementação rápida e fácil de ataques avançados usando uma
interface Web que é composta em janelas que apresentam ações que podem ser tomadas em
relação a atualização do software do equipamento e controle de módulos. Ao utilizar um sistema
embarcado Linux de arquitetura MIPS (Microprocessor without interlocked) a WiFi Pineapple
disponibiliza comandos usuais a administradores de sistemas Linux/Unix como ‘ifconfig’ ou
‘uname’ além de outros criados pela equipe da Hak5, como ‘pineap’, que servem para criar um
ponto de acesso que é utilizado nos mais diversos ataques disponíveis no equipamento. Com o
foco em usuários e testadores avançados, o equipamento fornece acesso via SSH8 assim como
qualquer outro Linux o faz através do daemon9 ‘sshd‘.
7 https://hak5.org/about. Acesso em 08/10/2015.
8 Protocolo de rede criptografado que permite login remoto entre outros serviços de rede para serem operados em
segurança sobre uma rede insegura. 9 Programa de computador que roda em background, ou plano de fundo, de forma independente. Trata com
diferentes requisições vindas de serviços tais como as de atividade de hardware, ou rede.
8
A última versão da WiFi Pineapple é a Mark V que possui o kernel10 na versão 3.3.8
para MIPS11, como pode-se ver abaixo:
root@freewifi-project:~# uname -a Linux freewifi-project 3.3.8 #81 Mon Aug 3 19:40:39 PDT 2015 mips
GNU/Linux
A WiFi Pineapple também pode ser chamada de MK5 uma vez que seu nome completo
é WiFi Pineapple Mark V.
2.4.1 MK5 Karma Ao referenciar o entendimento de MK5 Karma explicado na interface web do
equipamento, temos que este é um módulo da suíte PineAP que se destina a acolher os pontos
de acesso falsos. Isto é conseguido por intermédio de pedidos dos dispositivos em volta sobre
suas redes preferidas e por respostas a esses pedidos. Por exemplo, se um cliente pede por um
Ponto de Acesso com o SSID "wireless_network" o MK5 Karma irá responder este nome. Além
disso o MK5 Karma suporta os módulos Dogma, Beacon Response e Harvest SSIDs do
conjunto PineAP.
O MK5 Karma possui duas opções que podem ser habilitadas: Probe e Associations.
Ao fazer isso inicia-se a criação de registro de “probes”, ou testes e/ou associações de estações
ao ponto de acesso falso.
2.4.2 PineAP
PineAP é um conjunto de “rogue-APs”, ou seja, pontos de acesso falsos projetados
para ajudar o auditor WiFi a coletar clientes por meio da imitação de suas redes preferidas
(Preferred Networks). Na MK5 é possível criar um ou mesmo vários pontos de acesso a partir
de uma única rede sem fio, que pode ser aberta ou privada em WEP (Wired Equivalent Privacy),
WPA (WiFi Protected Access) ou WPA2-Personal (O WPA2 ou 802.11i foi uma substituição
da 'WiFi Alliance' em 2004 à tecnologia WPA, através de um novo certificado para redes sem
fio mais confiável). Ainda existe a possibilidade desta rede possuir autenticação Radius12
WPA2-Enterprise onde é utilizada uma estrutura mais complexa, onde o ponto de acesso é
ligado a um servidor de controle e autenticação. O falso ponto de acesso, além de não possuir
um nome, também é uma rede escondida. Ao habilitar o Pine-AP o que de fato ocorre é:
- O adaptador de rede sem fio Atheros (wlan0) entra em modo Master, o que
significa que este está provendo uma rede; e
- Um segundo adaptador, que possui suporte a IEEE 802.11 ‘b’ e ‘g’ apenas, entra
em modo Monitor Promisc o que permite que todo o tráfego seja monitorado e
capturado mesmo sem aquela interface estar associada a um ponto de acesso.
10 Componente central de um sistema operacional. Aquele que controla as requisições de entrada e saída vindas
dos softwares e as traduz para instruções para a unidade central de processamento. 11
Microprocessor without Interlocked Pipeline Stages - Arquitetura de processador com quantidade de instruções
reduzida. 12
Remote Authentication Dial In User Service.
9
2.4.3 Beacons Response
Beacon Response, como explicado na ajuda de interface web do MK5, é um módulo
da suíte PineAP e destina-se a reforçar o MK5 Karma anunciando o SSID da rede preferida aos
clientes em potencial. Por exemplo, se um cliente (estação) faz um probe13 para o ponto de
acesso com o SSID "wireless_network", o módulo MK5 Karma vai responder com uma
resposta usando "wireless_network" como SSID. Se o “Beacon Response” estiver habilitado
serão enviados frames de advertising, ou seja, quadros propagando que aquele ponto de acesso
(Access Point – AP) é “wireless_network”. Este módulo serve como reforço para agregar
confiança de que o Rogue-AP é um simplesmente um ponto de acesso de “wireless_network”.
A ordem dos módulos no menu de seleção da interface web do MK5, qual seja, Send
Beacon Responses, Harvest SSIDs e Dogma, sugere um conjunto de testes bastante útil uma
vez que o primeiro passo para se tornar um ponto de acesso conhecido é, depois de criado o
ponto de acesso, anunciar o nome da rede que se quer fingir pertencer, ou seja, passar-se por
esta rede. Em outras palavras, é fazer a “propaganda” de que o ponto de acesso pertence ao
grupo de redes preferidas dos dispositivos ao redor.
2.4.4 Harvest SSIDs
Harvest SSIDs é um outro módulo da coleção PineAP que serve para coletar os nomes
das redes, as SSIDs, de um cliente (estação) que faz probe requests. De acordo com a descrição
fornecida na interface web do roteador, estes nomes são adicionados a uma lista de
gerenciamento de SSIDs. Esta lista é utilizada no módulo Dogma para transmitir beacons e
propagar estes pontos de acesso falso (base station).
Podemos dizer que esta funcionalidade cria a lista de nomes de redes as quais a MK5,
com a suite PineAP ligada, pode fingir ser. Na literatura não oficial em fóruns de discussão
sugere-se a utilização do Harvest SSIDs com uma antena direcional externa a fim de captar o
maior número de SSIDs possível, caso o objetivo seja conhecer redes WiFi distantes até uma
distância aproximada, em também determinada direção, caso existem poucos obstáculos, a
partir de um ponto.
Este módulo necessita de uma interface de rede em modo Monitor, por isso, ao
habilitar a suite Pine-AP, como explicado no ítem 2.4.2, a interface Realtek RTL8187 IEEE
802.11 b/g, ou wlan1, é colocada neste modo, para que a partir a monitoração do tráfego seja
possível a criação da lista de SSIDs.
2.4.5 Dogma
Dogma é o módulo da coleção PineAP que irá reforçar o advertising com a propagação
dos pontos de acesso falsos. Pode-se configurar como fonte e alvo endereços MAC específicos.
Se o alvo for específico somente o cliente (estação) que tem aquele MAC irá observar o beacon
frame. Caso o alvo seja definido como FF:FF:FF:FF:FF:FF, todos os clientes/estações serão
alvo.
13
Palavra utilizada para designar teste de conectividade na camada de enlace. Não é conhecida uma tradução usual
para o português.
10
Por exemplo, quando utilizando a configuração padrão do módulo Harvest SSIDs, o
Dogma irá propagar a WiFi Pineapple para todos os clientes como todos os APs coletados. A
taxa normal é de aproximadamente 400 beacons por segundo, entretanto ainda existe a
possibilidade de aumentar ou reduzir esta velocidade.
3 METODOLOGIA E MATERIAIS
O estudo sobre o tema foi realizado considerando-se a bibliografia disponível, as
pesquisas dos sites que tratam do equipamento MK5, do comitê IEEE802.11, da WiFi Alliance
entre outros sites não oficiais e leitura de artigos científicos relacionados a segurança de redes
sem fio. Além disso também foram realizados experimentos entre os dias 15 de setembro a 18
de outubro de 2015.
Elaborou-se o esteio para a classificação da pesquisa a partir de artigos e estudos
científicos que orientam a produção científica nessa seara.
a. Quanto à natureza - Pesquisa científica aplicada: Com a produção de
conhecimento sobre a confiabilidade de enlace de redes sem fio WiFi. O
presente artigo demonstra a fragilidade com que a ligação é feita entre cliente,
ou estações, e roteadores WiFi.
b. Quanto a forma de abordagem do problema: Pesquisa de quantitativa uma vez
que é feita uma estatística a partir da relação de uma lista de nomes de redes e a
quantidade de dispositivos se conectaram ao ponto de acesso falso, criado no
experimento, em um determinado período de tempo.
c. Quanto aos fins esta é uma pesquisa explicativa com viés exploratório: Por
detalhar técnicas utilizados na auditoria de redes sem fio, utilizando um
equipamento específico - WiFi Pineapple Mark V, onde a literatura de referência
concernente ao assunto em português é escassa.
d. Quanto aos meios: Experimental, uma vez que se trata de uma investigação
empírica onde manipula-se variáveis, que são os elementos físicos e lógicos, tais
como utilização de tipos variáveis de antenas, afim de observar as variações de
tais manipulações.
3.1 INSTRUMENTOS E EXPERIMENTO
Para fornecer uma estatística relacionada a taxa de dispositivos conectados ao ponto
de acesso criado pelo MK5 em um intervalo de tempo foi elaborado um experimento que utiliza
os módulos PineAP em determinada ordem associado a elementos físicos tais como antenas e
um smartphone fornecendo conexão 4G (é a quarta geração de tecnologia de telecomunicações
móveis) para acesso à Internet.
O objetivo do experimento é obter dados suficientes para elaboração estatística sobre
o estabelecimento de conexão entre o cliente/estação e o roteador que é o MK5. Para isso foi
necessário que este experimento fosse dividido em 3 etapas: A alimentação da lista com nomes
de redes (SSID), análise de logs (registro de eventos) de probes e associações às redes preferidas
e demonstração de seleção de estações e redes alvo, e por fim levantamento estatístico das
associações ocorridas em um intervalo de tempo.
O equipamento utilizado nesta pesquisa foi composto de:
11
- Roteador WiFi Pineapple Mark V conectado a uma antena direcional interna do tipo
painel de 12 dBi14 e a uma antena omnidirecional interna de 9dBi;
- Smartphone com suporte à conexão 4G com chip habilitado em operadora local de
celular para conexão 4G para tethering, como pode ser observado na Figura 1.15
Figura 1.
3.1.1 Alimentação da lista de nomes de redes utilizando o Harvest SSIDs.
Como citado no item 2.4.4, entre os estudiosos da comunidade de redes sem fio existe
a sugestão da utilização de uma antena direcional externa de alto ganho (acima ou igual a 5dBi)
a fim de maximizar a quantidade de SSIDs captados em uma determinada direção, entretanto
devido a limitações do espaço físico onde o experimento foi desenvolvido optou-se por uma
antena de painel direcional para uma área comercial com fluxo de pessoas mediano, com ganho
de 12dBi.
No período decorrente do experimento o módulo Harvest SSIDs trabalhou utilizando
a citada antena e foi capaz de gerar uma lista com 1362 nomes de redes sem fio, ou SSIDs.
Ainda conforme explicado no mesmo item desta pesquisa a coleta dos SSIDs ocorre
independente da rede em questão ter ou não método de autenticação e criptografia.
3.1.2 Análise de logs e demonstração de escolha de alvos.
14
dB é a sigla para decibel, onde a letra i faz parte da representação desta medida indica então o ganho em relação
a uma hipotética antena isotrópica que é seria uma antena ideal impossível de ser construída e usada
exclusivamente para referenciar medições. 15
Termo em inglês que corresponde à prática de utilizar-se de um dispositivo móvel, tal qual um smartphone, para
compartilhar rede de dados celular.
12
Os logs no MK5 são obtidos, como explicado no item 2.4.1 por meio da habilitação das
opções Probe e Associations. Durante o experimento, em um primeiro momento optou-se por
registrar os probes, ou seja, os pedidos por SSIDs preferidos dos dispositivos dentro do alcance
da antena utilizada (a direcional de painel). Isto ocorreu pois a escolha das estações-alvo deve-
se basear na quantidade de probes request que elas fazem, ou seja, quanto maior a frequência
de requisições de uma estação, maior é a chance de esta se associar a um ponto de acesso com
mesmo nome de uma de suas redes sem fio preferidas. Por exemplo: o MAC f0:25:b7:f2:22:bb
requisitou pelo SSID “wireless_network” todos os dias entre 15/09/2015 e 18/10/2015 pelo
menos 10 vezes por dia. Podemos dizer que esta estação tem uma grande chance de se conectar
a um access-point chamado “wireless_network”, se comparado a uma outra estação que fez
apenas 10 probes durante o mesmo intervalo de tempo.
Ainda num primeiro momento obter registros de probes também se faz importante para
selecionar os SSIDs a serem replicados, uma vez que um nome que aparece diversas vezes é
solicitado, com alta frequência, por pelo menos uma estação. Com uma lista de estações e SSIDs
pode-se então selecionar os alvos.
Com o objetivo de dar solidez a estatística gerada nesta pesquisa não foi determinada
uma estação alvo, ou seja, não foi escolhido nenhum endereço MAC específico como alvo para
a configuração no conjunto PineAP. Desta forma, conforme explicado no item 2.4.5, utilizou-
se o valor FF:FF:FF:FF:FF:FF no campo Target da aba PineAP na interface web de
configuração da MK5.
3.1.3 Levantamentos estatístico de associações ocorridas entre os dias dia 15 e setembro e
18 de outubro de 2015.
Com a análise dos logs é possível verificar em determinado período de tempo a
quantidade de probes e associações a uma Rogue-AP ocorridas, e estabelecer uma relação entre
estas ações que ocorrem na camada de enlace de modo a indicar, em um ambiente de variáveis
controladas, uma relação estatística entre ambas.
Como dito no item 3.1.1 uma antena direcional do tipo painel e interna de 12dBi de
ganho foi utilizada com o intuito de otimizar a performance da obtenção dos SSIDs para a
geração da lista feita pelo módulo Harvest SSIDs. Uma antena do tipo painel, interna e
direcional pode atingir até 2 milhas de distância, ou seja, aproximadamente 3218 metros. É
sabido que o alcance do sinal de uma antena depende bastante, da quantidade e qualidade dos
obstáculos à sua frente. Entretanto aferir o alcance do sinal desta antena não foi possível uma
vez que a esta encontra-se em modo monitor, sem a provisão de uma rede WiFi, de fato. Pode-
se observar abaixo que a interface wlan116 está monitorando o que passa na frequência 2.437
GHz.
root@freewifi-project:~# iwconfig wlan0 wlan0 IEEE 802.11bgn Mode:Master Tx-Power=18 dBm RTS thr:off Fragment thr:off Power Management:off
root@freewifi-project:~# iwconfig wlan1 wlan1 IEEE 802.11bg ESSID:off/any Mode:Managed Access Point: Not-Associated Tx-Power=27 dBm
16
Nome dado a interface, no sistema operacional do roteador MK5 associado ao adaptador de rede Realtek
RTL8187 IEEE 802.11 b/g.
13
RTS thr:off Fragment thr:off Encryption key:off Power Management:off
A fim de otimizar as associações ao Rogue-AP foi utilizada uma antena omnidirecional
interna de 9dBi. A intenção, neste caso, foi a de prover o sinal da interface wlan1 de modo a
atingir dispositivos que circulassem na área de alcance da antena de wlan0. O alcance máximo,
sem obstáculos, desta antena é de 0,25 milha, o que dá aproximadamente 402 metros. Pensando
nisso, usando um medidor de sinal por software instalado em um dos smartphones que
participaram desta experiência, foi possível determinar que o alcance do sinal do Rogue-AP
criado foi de aproximadamente 160 metros uma vez que os obstáculos na área de atuação do
experimento são diversos. A área é circundada por 3 prédios de 3 andares cada, sendo que
localização da antena em questão era no primeiro andar de uma das construções.
Conforme descrito no item 2.4.1 o módulo MK5 Karma destina-se a responder a
probes requests repetindo o SSID solicitado pela estação, para executar tal tarefa se faz
importante o registro desses eventos, de requisições e associações, de modo a possibilitar que
o módulo possa saber o nome da rede a ser copiado. A gravação deste log ocorre em um arquivo
chamado pineap.log dentro de um diretório especificado em “Karma Log Location” na aba
Karma da suíte PineAP. Este registro, em nenhum momento, é rotacionado, ou seja, desde que
o MK5 Karma esteja habilitado haverá log. Logo, com contagem de linhas referente às
tentativas, ou probes, e as associações de fato, é possível determinar a taxa de sucesso de
associações ao ponto de acesso falso, ou Rogue-AP.
Dentro do ambiente do experimento, no intervalo de tempo de 15 de setembro a 18 de
outubro de 2015 foram registrados 9513 probes e 969 associações. Desta forma temos que:
a) 9513 equivale a 100% das associações uma vez que são todos as tentativas
registradas; e
b) 969 equivale a X% das associações, aquelas que de fato ocorreram ao ponto de
acesso falso.
root@freewifi-project:/sd# wc -l sdpineap.log 10483 sdpineap.log root@freewifi-project:/sd# egrep associa sdpineap.log | wc -l 969 root@freewifi-project:/sd# egrep Probe sdpineap.log | wc -l 9513
Efetuando um cálculo simples de regra de três entre os elementos acima onde existe
apenas uma única variável indefinida, temos que X é igual a aproximadamente 10,1%.
O experimento consistiu em habilitar todas as funcionalidades e módulos descritos no
item 2.4 conforme explicado no item 3.1.2. Desta forma a representação gráfica do advertising
de todos os SSIDs da lista provida pelo Harvest SSIDs para quaisquer estações em volta, se dá
conforme a Figura 2. Já na Figura 3, pode-se observar que as redes estão com o mesmo endereço
MAC.
Figura 2.
14
Figura 3.
Para se somar informações sobre a relevância estatística deste estudo, foram obtidos
os valores das mesmas variáveis referentes exclusivamente ao dia 18 de outubro de 201517 onde
temos 900 probes e 14 associações, dando uma taxa de aproximadamente 1,56% de associações
por probes, ou tentativas.
A avaliação de apenas um dia se faz importante pois demonstra que:
- Em dias de pouca movimentação de pessoas, como no dia 18 de outubro, que foi
um domingo, a taxa de associações cai, logo o sucesso da aplicação do Rogue-
AP como sugerido neste experimento é diretamente proporcional a quantidade
de dispositivos dentro da área em que a pesquisa foi executada.
- Quanto maior a lista criada através da utilização do módulo Harvest SSID maior
a chance do módulo MK5 Karma responder com um nome conhecido e
consequentemente maior será a chance de a associação ocorrer.
17
A lista de SSIDs criada pelo Harvest SSIDs foi limpa neste dia.
15
4 RESULTADO DA PESQUISA
Nas exposições e experimentos realizados nesta pesquisa observou-se que a taxa de
sucesso de associação de dispositivos a pontos de acesso falsificados depende de muitas
variáveis dentre as quais algumas são de difícil controle, como a quantidade de pessoas, ou seja,
dispositivos, passando pela área do estudo. Outras variáveis como a utilização de antenas
apropriadas e a aplicação de métodos de ataque associados a um Rogue-AP também alteram de
forma determinante os resultados haja vista que o alcance da pesquisa se deu de acordo com o
ganho, em decibéis, das antenas e a qualidade e quantidade de obstáculos existentes no
ambiente.
Entretanto pode-se verificar que a confiabilidade de enlace em redes WiFi é frágil uma
vez que, em teoria, basta criar um ponto de acesso (AP) com o mesmo nome (SSID) e um sinal
forte o suficiente para se sobrepor ao do AP original para se ter sucesso na associação da estação
ao AP falso.
5 CONCLUSÃO
A intenção desta pesquisa deu-se em demonstrar a fragilidade da confiabilidade de
enlace em redes sem fio WiFi através da aplicação da teoria de pontos de acesso falsificados.
Notadamente esta prática se mostra de dificuldade média a alta uma vez que pouca
documentação relativa ao assunto está disponível, seja no meio acadêmico ou na comunidade
de tecnologia da informação, e a incidência de variáveis de difícil previsão tais como fluxo de
pessoas, ou seja, de estações, uma vez que isso pode variar de acordo com o dia da semana,
horário e até o clima.
Logo temos que o resultado desta pesquisa se dá em confirmar que o enlace de redes
sem fio WiFi possui um critério de confiabilidade discutível, uma vez que pode ser copiado,
clonado e falsificado facilmente; e apresentar dados estatísticos que comprovem a efetivação
de sucesso na aplicação de ataques sobre a camada de ligação de redes WiFi.
Diante do que precede, resta um alerta para a comunidade acerca do uso despretensioso
e desatento de redes WiFi, sejam elas hotspots (públicas) ou em locais supostamente seguros,
em redes privadas na casa de amigos, restaurantes ou mesmo no próprio local de trabalho.
Diante das estatísticas e teorias expostas neste trabalho conclui-se que o enlace em
redes sem fio WiFi tem sua confiabilidade fragilizada ao ponto de não ser, de fato, mais
confiável ao ser atingido por ataques caracterizados pela falsificação de SSIDs. Na verdade,
observa-se que não parece existir um método de confiabilidade relativo a ligação de roteadores
ou pontos de acesso e estações uma vez que um nome, que pode se repetir em qualquer lugar,
não garante que determinada rede é de fato aquela que está se anunciando.
Com a expansão das redes sem fio WiFi na banda 2.4GHz no Brasil, a probabilidade
de identificação de quais redes são originais e quais são falsas se torna exponencialmente
menor. A observação dos nomes das redes se dá por meio do uso de softwares específicos e
conhecimento para a interpretação do que é apresentado por estes. A maioria dos
estabelecimentos comerciais e áreas públicas que fornecem rede WiFi, tais como restaurantes
e aeroportos, não tem equipe técnica suficiente para avaliar se estão sendo vítimas de ataques
como os descritos neste trabalho.
Desta forma, o trabalho aqui apresentado e as colocações acerca da segurança da
informação que ele levanta faz com que seja concluído que a confiabilidade de enlace de redes
16
sem fio WiFi é frágil e sua auditoria é quase inexistente diante das dificuldades apresentadas
demonstradas no experimento criado para esta pesquisa.
6 TRABALHOS FUTUROS
Para se garantir alguma confiabilidade ao enlace em redes sem fio WiFi propõe-se
aprofundar os estudos em relação ao padrão 802.11u18 além de fomentar o conhecimento da
população em geral acerca da observação dos nomes e características das redes WiFi
distribuídas pelo País.
Não obstante, o problema aqui proposto ultrapassa a esfera meramente técnica, pois
abarca também o aspecto do esclarecimento da população acerca dos riscos de se usar redes
WiFi sem a devida atenção sobre a fonte do sinal de Internet.
7 ABSTRACT
WiFi infrastructures (a brand which certifies that products belonging to the class of wireless
LAN devices are based on IEE802.11 stablished pattern) became present almost anywhere, not
only in corporate environments, but also in public places. Those wireless networks, which are
known as hotspots - public access points to the Internet - can be found in airports, malls,
restaurants, hospitals, schools, libraries, government offices and even on buses. We can find
wireless networks that allow us to access the Internet almost anywhere. Asking for the name of
an available wireless network and sometimes its password anywhere has become commonplace
in everyday life for most Brazilians. Despite the benefits, this kind of unlimited access can put
their users at risk since this scenario brings to light vulnerabilities regarding the reliability of
those wireless networks. The objective of this research is to demonstrate the vulnerability of
WiFi networks where clients connect to the network devices considered known and trusted
automatically, from the analysis of the success rate obtained in the audition of wireless network
testings. This is an experimental survey considering an area of approximately 50m², from
September 15 to October 18, 2015. The penetration tests are limited to the systematic
application functionality, the attack known as Rogue-AP, available in the "WiFi Pineapple"
equipment. In so, it is used applied methodology, emphasizing the quantitative aspect and using
field data prospection.
Keywords: WiFi. Data Link Layer. Access Point.
8 REFERÊNCIAS
ASSUNÇÃO, Marcos Flávio Araújo. Wireless Hacking ataques e segurança de redes sem fio
WiFi. Florianópolis: Visual Books, 2013.
EXPLAIN stuff. Wireless Internet. Disponível em
<http://www.explainthatstuff.com/wirelessinternet.html>. Acesso em 10/10/2015.
18
Padrão que pode propiciar autenticação e alternância automática entre redes celular e WiFi -
http://standards.ieee.org/findstds/standard/802.11u-2011.html - Acesso em 18/10/2015
17
FILHO, João Eriberto Mota. Análise de tráfego em redes TCP/IP: utilize tcpdump na análise
de tráfegos em qualquer sistema operacional. São Paulo: Novatec Editora, 2013.
INSTITUTE of Eletronical and Eletronics Engineers: IEEE 802.11. Disponível em
<http://www.ieee802.org/11/>. Acesso em 03/10/2015.
________: IEEE 802.11u. Disponível em <http://standards.ieee.org/findstds/standard/802.11u-
2011.html>. Acesso em 18/10/2015.
________: IEEE 802.11-2012. Disponível em
<http://standards.ieee.org/findstds/standard/802.11-2012.html>. Acesso em 11/10/2015.
IET Information Security. Manual and Automatic assigned threshold in multi-layer data fusion
intrusion detection system for 802.11 attacks. Disponível em
<http://ieeexplore.ieee.org.ez97.periodicos.capes.gov.br/stamp/stamp.jsp?tp=&arnumber=668
7157>. Acesso em 18/10/2015.
PALPITE digital: WiFi 802.11 a/b/e/g/n/r/ac/ad. Afinal, o que significa isso? Disponível em
<http://www.palpitedigital.com/WiFi-802-11-abgnacad-afinal-que-significa-isso/>. Acesso
em 10/10/2015.
PEREIRA, Bruno Miguel: Modelo OSI. Disponível em
<http://www.brunomiguelpereira.info/osi-e-tcpip.html>. Acesso em 12/10/2015.
SIMPLE WiFi: Basic about Antennas. Disponível em
<http://www.simplewifi.com/antennabasics.html>. Acesso em 09/10/2015.
TANENBAUM, Andrew S. Redes de Computadores. Rio de Janeiro: Elsevier, 2003 - 9ª
reimpressão.
WIFI Alliance. Disponível em <http://www.WiFi.org/>. Acesso em 03/10/2015.
WIFI Pineapple. Disponível em <https://www.wifipineapple.com/>. Acesso em 01/10/2015.
ZAKRZEWSKA, A., et alli. Towards Converged 5G Networks - Challenges and Current
Trends. ITU Kaleidoscope: São Petersburgo, Rússia, 2014. Disponível em
<http://www.itu.int/en/itu-
t/academia/kaleidoscope/2014/documents/s2.1annazakrzewska_itut_kaleidoscope2014.pdf>
Acesso em 18/10/2015.
Top Related