實作偽裝基地台攻擊演練 封包流量全都露
假冒AP難防 公共無線上網危機四伏
提供收費或免費無線Wi-Fi上網已是各大咖啡廳、便利商店等公共場所的標準配備,而智慧型手機的普及也使得無線網路被廣泛地運用。但網路駭客手法不斷翻新,該如何兼顧方便性並同時確保資訊安全,相關之防範確屬必要。本篇文章特針對公共場所無線網路通訊環境下,駭客可能使用之偽造無線AP進行說明與模擬,並討論鑑識可能的跡證,提高民眾使用公共場所網路資源的安全意識。
由於無線傳輸訊息擁有容易安裝與可移動性的優點,在近年相關技術、產品與價格均臻成熟之際,已逐漸成為網路市場的主流。一般線路的網路安全性較高,要藉由破壞線路進行竊取資料等行為並不容易。而無線網路電波的穿透及無方向性之特性,造成非法企圖者在實施犯行的難度大為降低,讓安全性產生存疑。
就個人上網部分來看,台灣地區12歲以上民眾有70.58%曾經使用寬頻上網,35.88%曾經使用無線上網,18.82%曾經使用過行動上網。
就行動上網而言,在本次調查之台灣地區12歲以上的網訪行動網民(2,422位)報告中,有31.83%「不會」擔心網路安全問題,而會擔心者達到六成八以上(TWNIC-2011)。
由上述報告可看出,無線網路使用人口日益增加,且有將近七成的民眾會擔心上網的安全問題。民眾在使用無線網路得多花一份心思。
無線網路概論與其風險
以下將簡介無線網路的概論、風險,並一併介紹非法企圖者攻擊時所使用的軟體Connectify和Wireshark。
無線網路分類
無線網路技術大致上可以分為無線電話網路、802.11無線網路、短距離的點對點互連技術等三類,如圖1所示。
 |
| ▲圖1 無線網路包含的領域(資料來源:NIST)。 |
無線電話網路使用的無線網路技術,其使用的無線頻道必須有執照,非依個人自由架設。所以此類技術的基地台多由電信商架設。此類的技術有GPRS(2G)、3G(WCDMA)、3.5G(HSUPA),以及WiMAX和長程演進計畫(LTE)等。
802.11無線網路則讓個人的網路設備能互相連結形成一個私人區域網路,彼此間可以互相傳送資料。因為使用的頻道屬於ISM公用頻段,所以大眾可以自由地自行架設此類的無線設備。
無線網路的技術標準主要是由美國電子電機協會(IEEE)制定,目前最通用的標準規格為802.11b、802.11a、802.11g及802.11n等。其主要的區別在於使用的無線電頻率與傳輸速率等的不同。目前使用較多的是802.11g。
而短距離的點對點互連技術,只支援兩種設備間互相傳送資料,最常被使用,例如紅外線及藍牙。
無線網路安全風險與類型
由於無線通訊的特性,其資料的傳送毋須使用任何導線或傳輸電纜,而是使用無線電波作為數據傳送的媒介,進行資料的散佈與傳輸。因此,該傳輸資料將可被某一特定區域內的所有用戶所接收。
雖然方便,但此種特性對於資料安全上的維護,有很大的潛在性威脅。此外,無線電波除了金屬屏障物外,皆可穿透,如木板、水泥牆。
若非法者意圖監聽、竊取資料,或進行未經授權的資料存取等不法行為,在無線網路架構中是很難防範或阻止。
以下是無線網路所面臨威脅的幾種類型:
1.插入攻擊:對於新增無線網路的過程中無執行安全檢查,例如未經授權的進入無線存取點或部署偽造的無線存取點。
2.未經授權的無線傳輸攔截與監控:又分成「無線網路封包分析」、「廣播監控」、「複製無線存取點的傳輸攔截」等三種。所謂的「無線網路封包分析」,表示攻擊者使用多數工具通常可捕獲封包,資料通常包含使用者姓名與密碼。而「廣播監控」則是,如果無線存取點是連接至集線器(Hub)而非交換器(Switch),則任何流經集線器的網路傳輸都可能透過無線網路向外廣播。「複製無線存取點的傳輸攔截」則藉由設置偽造的無線存取點,在合法無線網路附近以強力訊號誘騙使用者連線,引誘使用者登入被替代的伺服器。
3.人為干擾:利用強力訊號干擾,造成無線傳輸中斷。
4.對密碼進行暴力破解:當所有無線Client端使用共用的單一金鑰或密碼,暴力攻擊即利用演算法測試每個可能的密碼以進行破解。
5.破解加密:如WEP、WPA等加密方式,以字典檔或分析封包方式破解。
6.結構不佳:為強調使用的簡易與快速部署無線網路,許多無線存取點是在不安全的架構中運輸,例如預設的SSID、不夠安全的WEP加密演算法、SNMP公眾密碼等。
7.無線存取點探測(War Driving):這是指駕駛車輛的同時,以行動裝置探測無線網路存取點(AP)的行為。常見模式是在車內以筆記型電腦開啟如NetStumbler、MacStumbler等軟體探測無線網路。
Connectify
Connectify這個軟體能夠讓使用者的電腦成為一個虛擬的AP提供上網的功能。所以藉由此功能,就可以使用其他的裝置如手機、筆電、PDA等,利用此虛擬AP(電腦)連結至網路。以下將介紹如何使用這軟體。
首先至Connectify官方網站(http://www.connectify.me/)下載軟體。安裝完成後開啟程式,出現Connectify的主要介面,如圖2所示。a的部分是分享網路後別人會看到的名稱。b是架設的網路可以設置的密碼,可設可不設,而c是欲分享的網路。
 |
| ▲圖2 Connectify的主要介面。 |
當開啟Connectify後,然後設定成分享無線上網的AP,其他裝置如手機、PDA等就可以透過它連結至網路。
Wireshark
Wireshark的前身叫做Ethereal(2006年6月因為商標問題改名)。它是一種開放原始碼軟體,使用者可以免費從官方網站(http://www.wireshark.org/)下載使用。
此軟體可以擷取資料封包,並加以分析封包內的資訊。Wireshark支援的協定很多且完整,而本身提供的圖形化介面使其功能強大並易於操作。
以下大略為讀者介紹如何安裝及使用Wireshark。
透過簡單步驟安裝完成後,開啟程式主畫面。若要開始抓取網路的封包,則點選功能表【Capture】→【Interfaces】,就會看到類似圖3的畫面,其中列出該電腦裡所有的網路卡資訊。選擇想要觀察的網路卡,按下〔Start〕就開始擷取封包。
 |
| ▲圖3 Wireshark開啟畫面。 |
Wireshark支援680多種通訊協定及封包種類,使用者可以在官方網站查詢相關協定的詳細內容。換言之,幾乎所有形式的封包流經此網路設備皆會被擷取。常見的封包類型有HTTP、FTP、Telnet、ICMP等。
偽造虛擬AP的攻與防
接著介紹如何利用偽造虛擬AP進行攻擊。先說明其攻擊原理,然後闡述它如何實作此攻擊手法。最後,提出這項攻擊會留下哪些數位跡證,以及如何預防此種攻擊。
攻擊原理
這次探討的攻擊手法,就是前節所述之無線網路的威脅「未經授權的無線傳輸攔截與監控」。偽造的無線AP主要是利用電腦對無線存取點的識別度不足的漏洞,讓使用者透過惡意設置的網點上網。再利用特殊工具攔截封包,讓使用者不知不覺地透露帳號密碼與類似的敏感資訊。
在誤連的情況下,使用者所有的網路使用情形都會暴露在有心人士的面前。因為所有的封包流動,無論是發送或接收,都會經由其所偽造的無線AP。只要一台筆記型電腦,再搭配側錄封包的軟體,即可將使用者在網路上傳遞或接收的封包全部擷取下來。
更可怕的是,使用者在使用上卻不會感覺到任何的異常情形。惟有事後發生損害如帳號、密碼被盜用,才可能驚覺,所以是相當駭人的手法。
值得注意的是,這類手法不需要什麼高超的技術或設備即可進行,只需要兩套軟體及一台筆記型電腦,就可以達到其目的。因此,有關公眾場所無線網路存取的資訊安全,有必要多加注意及防範。
攻擊方式
在咖啡廳、便利商店或是有提供無線網路Wi-Fi的地方,會有許多民眾使用筆記型電腦、智慧型手機等行動通訊裝置透過它來瀏覽網路。而非法者就利用此特性來攻擊使用者。
當使用者不經意誤將非法者偽造的無線AP當作咖啡廳提供的無線AP,進而連線上網時,他們在網路上的一舉一動都將赤裸裸暴露在攻擊者面前。以下將說明攻擊方式,如圖4所示。
 |
| ▲圖4 中間人攻擊過程。 |
首先使用者搜尋可用網路,可找到無線網點ICCL(圖5)。非法企圖者欲劫持使用者的連線。會以Connectify程式將自己的筆記型電腦架設無線網點,並以類似的名稱Connectify-ICCL取名,如圖6所示。
 |
▲圖5 可用的無線網路。
|
 |
| ▲圖6 在Connectify設定分享網路的名稱。 |
遮蔽原AP的訊號或破壞其裝置(圖7)。而不知情的使用者被名稱所欺騙,透過嫌犯設置的AP網點進行上網,如圖8所示。
 |
| ▲圖7 破壞原有AP裝置。 |
 |
| ▲圖8 透過駭客所設網點進行上網。 |
當連線成功,非法企圖者即可在Connectify上看見相關資訊,如圖9所示。
 |
| ▲圖9 被害者已連線Connectify。 |
一旦有使用者連結至非法者提供的偽造虛擬AP上網。嫌犯即可透過Wireshark程式擷取封包,獲取敏感資訊。若傳遞的封包協定是以明文的方式做傳遞,則不會對封包裡面的訊息做加密。
攻擊者就可以直接得知受害者傳遞的資訊。例如Telnet協定所傳輸的封包明文,可取得帳號、密碼等資訊。
所以,如果使用者不經意連結至攻擊者偽造的AP並上網從事各項活動,則所有傳遞與接收的封包都將完全被攻擊者側錄下來。
經由上述介紹,說明此攻擊手法是確實可行,並且相當容易,技術性要求不高。然而,在發覺上當受害並鎖定非法者之後,又有何方法能證明攻擊者的罪刑呢?以下說明非法者在犯罪之後,會在哪些地方留下犯罪跡證。
留下何種跡證
非法者利用偽造的無線AP側錄使用者在網路上面傳遞與接收的封包。雖然很容易讓人疏於防範,但是凡走過必留下痕跡。依然可以在許多地方發現攻擊者的犯案跡證,可找到跡證如下:
軟體使用的Log檔:例如架設無線AP、攔截封包所使用的程式可能留下的紀錄檔。
網路連線紀錄:在一般使用人或非法企圖者的網路使用紀錄會登錄各項連線詳細情形,過濾時間點可找到目標IP或MAC。
其他:若這些資訊有遭到刪除的跡象,則可使用各項鑑識工具將被刪除的資料還原,以利於辦案。
預防方法
在筆記型電腦方面,有一個可行的預防方式。在不清楚無線網點的真偽時,可在連線後按下滑鼠右鍵點選連線,選擇顯示狀態-詳細資料,即可看到所連線裝置的實體位址,如圖10所示。因每一張無線網卡的實體位址皆不相同,可以確認是否為可信任的裝置。
 |
| ▲圖10 顯示網路連線詳細資料。 |
但在手機部分,經實測結果顯示,iPhone並不會顯示如此詳盡的訊息,防範上就相當困難。建議在外享受無線網路方便的同時,盡量避免傳輸敏感性的資料以避免相關資訊有被竊取的風險。
接著,以一情境模擬的案例來為讀者示範說明相關的數位鑑識步驟。
實際範例演練
在BBS平台內進行訊息溝通,由通訊過程的用語與對話之中,查覺當事者似乎並非原始的本人,如圖11所示。
 |
| ▲圖11 BBS中出現的不當訊息。 |
經由另一管道詢問之下,才知道當事者被盜帳號,利用所盜取的身分在BBS活動。由於被盜的當事人對於帳號密碼保護相當地縝密,也認為沒有造訪過一些不安全的網站。但提及曾在一間咖啡廳利用店家提供的無線上網服務瀏覽BBS。
藉此得知,應有不法者偽造商家提供的無線AP,待使用者連結上網後,側錄其在網路上的傳遞的封包。其方式如圖12所示,藉由Wireshark擷取封包獲得帳號密碼。
 |
| ▲圖12 使用Wireshark擷取封包來獲得帳號密碼。 |
遭懷疑的非法者雖企圖否認,然證據的顯示將使得再多的理由將於事無補。以此範例針對使用網路或程式的Log檔的證據採集鑑識方式如下。
首先,了解當天連線的名稱為Connectify-ICCL,由此可得知非法者是透過Connectify來架設無線網點。
接著,對非法者的使用電腦進行蒐證,並確實找到Connectify的Log檔,位置在「C:\ProgramData\Connectify\logs」。最後,打開ConnectifyNetServices20120508檔,如圖13所示。
 |
| ▲圖13 Log檔案內容。 |
此Log檔完整記錄了Connectify程式的使用紀錄,包含使用時間、其所連接網路設備的MAC、持續時間等等,可完整還原原始事件。
根據上述資訊可證明非法者曾在該時間點使用Connectify程式架設無線網點,且讓不知情的使用者連線所偽裝的無線AP。藉由證據的明確性,使得非法者無法否認其非法意圖,並作為法庭上鑑識程序的重要佐證。
結語
無線誣賴的例子很容易就發生在你我的周遭,尤其智慧型手機盛行,相關的資訊安全更是不容忽視。本文所討論偽裝無線AP手法的原理與實作,對公共場所無線網路資訊安全造成相當大的威脅。身分遭到冒用,則可能讓當事人蒙受極大的損失。
在本文中,使用者雖然只要辨別名稱前方有無Connectify,即可輕易判斷無線網點的真偽。但是在實際情況下,駭客可能自行設計程式而不受名稱限制,如此使用者便極難防範此類攻擊。除了對無線網點的識別需要更有效的認證方式外,使用者在公共場所使用無線網路時也要有更高的安全意識,才能確實杜絕不法的入侵企圖。
