Кто бы мог подумать, что мой тестовый беспроводной мониторинг приведет к выявлению взлома WiFi сети далеко не маленькой московской компании.
AirMagnet Enterprise, которым я активно пользуюсь второй год, сравнительно новый продукт от компании Fluke Networks, уверенно набирающий популярность среди профессионалов в сфере мониторинга и безопасности беспроводных сетей. AirMagnet Enterprise представляет собой систему, строящуюся на базе сенсоров, осуществляющих мониторинг WiFi сетей.
Система способна не только выявлять взломы WiFi, но и предотвращать работу несанкционированных точек доступа или клиентов, что особенно важно при обнаружении проникновения. Одним из показательных примеров его работы стал случай, произошедший со мной в июле 2013 года.
В процессе подготовки учебных курсов по мониторингу, безопасности и защите от взлома WiFi сетей я проводил настройку тестирование различных режимов работы системы AirMagnet Enterprise в одном из офисов компании «С» в городе Москва.
Во время установки и настройки системы можно было видеть все Wi-Fi устройства, которые работают в зоне действия сенсоров AirMagnet. Среди огромного количества Wi-Fi точек доступа работающих в эфире, я заметил одну подозрительную. На первый взгляд это была обычная точка доступа, среди десятка таких же, но когда я начал в интерфейсе AirMagnet Enterprise отмечать все знакомые мне точки доступа, работающие в нашем здании у соседних организаций, список «левых» постепенно уменьшался. Надо сказать, что идентифицировать точки доступа было не просто, периодически какие-то точки появлялись, затем исчезали. Это связано это с тем, что чувствительность сенсоров такова, что они видят происходящее в WiFi среде далеко за пределами офисного здания.
Итак, когда система была полностью настроена, я заметил, что одна из «наших» точек доступа работает не так как все, а именно в режиме моста с другой точкой доступа с таким же SSID. Проверка по MAC адресам показала, что одна из этих точек – Asustek, другая - TPLINK. На мой вопрос о подобных странностях, который я задал системному администратору офиса, он пожал плечами, сказав, что оборудование TPLINK не используются в сети нашей компании. Выходит это и правда настоящий взлом корпоративной WiFi сети и это точка доступа – «вражеская»! Администраторы тут же бросились на поиски «шпиона». Для этого они пытались использовать бесплатное ПО на Андроиде. Поиски заняли полдня, но не увенчались успехом, вывод администраторов был неоднозначен: «Этого не может быть! Мистика!»
Я дал им в помощь прибор посерьезней, сетевой тестер Fluke Networks OneTouch AT, в котором есть утилита для поиска WiFi клиентов или точек доступа. Такой сетевой тестер можно использовать для тестирования всех типов сетей передачи данных - медь, оптика и WiFi. К сожалению, через какое-то время, сисадмины пришли, не обнаружив той самой «вражеской» точки доступа в здании, в котором располагается офис.
Тогда мне пришлось засучить рукава и провести расследование WiFi взлома самостоятельно. Я взял Onetouch AT и вышел с ним из здания на улицу, там сисадмины не догадались поискать. Сначала "сигнала" от «вражеской» точки не было вообще, подойдя к нашим окнам первого этажа сигнал появился, чуть заметный «-85dBm», потом снова пропал. Я подумал, что источник сигнала может располагаться наверху, к примеру, на верхних этажах здания или на крыше. Когда я отошел подальше от здания прибор показал увеличение сигнала до «-70dBm», повернув прибор на 180 градусов, я оказался лицом к КПП, в котором свою вахту по защите покоя и имущества работников офисов здания несут доблестные сотрудники ЧОП, и о чудо! Сигнал растет по мере приближения к КПП «-55dBm». Обойдя вокруг, не потревожив охранников, я на 100% убедился, что «вражеская» точка располагается именно там, в помещении пропускного пункта и взлом корпоративной WiFi сети проведен оттуда. Вернувшись в офис, первым делом дал команду сенсорам AirMagnet Enterprise блокировать «вражескую» точку и со спокойной душой пошел обрадовать сисадминов. Они, в свою очередь, рассказали мне интересную историю, которая случилась в офисе незадолго до моего расследования. И все стало на свои места.
Неделей ранее, один из охранников из того самого злополучного КПП, «за банку варенья и пачку печенья» пытался выяснить у сотрудников офиса как подключиться к Wi-Fi сети компании. Естественно, никто из них не дал пароля. Но, видимо, потому что днем и ночью в «будке» охранников довольно скучновато, один из них принял меры по проникновению в наш офис в поисках пароля к WiFi сети. Как показывает практика во многих компаниях на рабочих столах у сотрудников наклеено множество стикеров с важными записями, среди них можно найти не только пароль к корпоративной WiFi сети, но и пароли на вход в компьютер пользователя. К сожалению, до этого инцидента, камер видеонаблюдения в офисе не было, но ему все же удалось наследить. Охранник попытался включить один из ноутбуков в офисе, и как ни странно, выбрал ноутбук руководителя департамента IT. К ноутбуку с Windows 8, пароль подобрать не получилось, но в ПО предусмотрена функция - если во время блокировки экрана, сдвинуть верхнюю область экрана, включается веб камера. Пытаясь выключить ПК, охранник несколько раз кликнул мышкой, тем самым сфотографировав себя. Позже, увидев эти фото, сотрудники офиса сразу вспомнили, что именно этот охранник спрашивал у них пароль для подключения к сети.
Видимо охранник все же раздобыл пароль и взлом WiFi сети был произведен. Более того, его квалификации, как ни странно, хватило на то, чтобы настроить мост между двумя точками доступа. Конечно, для этой компании «вражеская» точка доступа не нанесла большой ущерб, благо охранникам всего лишь нужно было получить доступ к интернету для просмотра фильмов сомнительного характера, общения в соцсетях и т.д., но если бы у них был более серьезный умысел, то у компании (скажем у банка) могла произойти крупная утечка информации из корпоративной сети, что обернулось бы большими финансовыми потерями.
На этом, инцидент со взломом WiFi был исчерпан. Все точки доступа в компании были перенастроены, а пароль к WiFi сети теперь знают только сисадмины. Все причастные лица были наказаны и уволены.
The End!
Автор статьи: Бабинов Николай,
технический эксперт по беспроводным сетям в EMAG Group.