Отслеживание устройств через пассивное прослушивание WiFi
Пробные запросы
Когда WiFi клиент пробует связаться с известной сетью, у него есть два варианта. Первый используют ноутбуки и прочие устройства, не являющиеся смартфонами. Он включает поиск сигнальных пакетов (Beacon Frames). Эти пакеты рассылают роутеры, чтобы объявить о своём присутствии. Клиент находит уже известную ему сеть и соединяется с ней. Второй вариант, который обычно используется смартфонами, включает периодическую рассылку пробных запросов (Probe Requests), содержащих уникальный мак-адрес клиента и иногда имя сети, которое ему известно. Преимущество второго подхода в том, что он срабатывает быстрее. А кроме этого, его гораздо легче использовать в своих целях.
Режим прослушивания (Monitor Mode)
Устройства WiFi умеют работать в шести режимах. Чтобы прослушивать трафик, устройству надо переключиться в режим прослушивания. После этого оно не афиширует себя, поэтому наличие таких устройств очень сложно установить.
Защита
Теоретически, от этих прослушек очень просто защититься. Если выключать WiFi на телефоне, когда он не нужен (то есть, вы далеко от тех мест, где имеются доверенные сети), телефон перестанет отправлять запросы и вас отследить будет нельзя. Практически же каждый раз выключать WiFi было бы довольно нудно.
Для андроида есть несколько приложений для облегчения процесса. Например, AVG PrivacyFix позволяет настроить список доверенных сетей, при наличии которых ваш WiFi будет включён. Есть и другие приложения на эту тему.
В случае iOS ваш выбор ограничен. Если не использовать jailbroken, защищённый режим работы яблофона не пустит приложения к рубильнику WiFi. В iOS 7 появился разве что более удобный доступ к меню WiFi, но это всё равно надо делать вручную.
Строим трекер
Можно, конечно, просто использовать ноутбук – даже MacBook. Устанавливаете Wireshark и настраиваете фильтр для пробных запросов. Но это не так интересно, к тому же, если вы захотите построить целую сеть трекеров, использовать для этого ноутбуки будет довольно накладно.
Для таких ненакладных целей хватит и Raspberry Pi с беспроводным адаптером, или (что мне больше нравится), роутера TP-LINK MR-3020 со специальной прошивкой. Эти варианты небольшие и их можно запитать от 5-вольтовой батарейки.
Настройка Pi будет совсем простой, т.к. там уже есть рабочая файловая система, но я предпочитаю роутер MR-3020. Это недорогое и автономное решение. Поэтому я буду описывать настройку роутера, а если вам захочется использовать Pi, то:
— можно пропустить шаги до Настройки режима прослушивания
— у этих двух устройств разные версии Linux, поэтому какие-то файлы с настройками могут находиться в разных местах и у них могут быть разные менеджеры пакетов
— более мощные радио типа AWUS036H могут потребовать USB-хаб с внешним питанием
Настройка роутера
— TP-LINK MR-3020 router ($34.99 на Amazon). Должны работать и аналоги, типа TP-LINK TL-WR703N
— USB флэшка (2-4 Гб)
— Ethernet-кабель
Первая часть инструкций взята от проекта PirateBox, поскольку первичная настройка устройств идентична.
1. Скачайте копию OpenWrt для MR3020 (модификация от Matthias Strubel включает все необходимые модули ядра).
Дополнительная информация: forum.daviddarts.com/read.php?2,3974,4009#msg-4009
Обсуждение прошивки: forum.openwrt.org/viewtopic.php?pid=207769#p207769
Прошивка для WR703N: downloads.openwrt.org/attitude_adjustment/12.09-beta2/ar71xx/generic
2. Переключите переключатель рядом с портом LAN/WAN в положение WISP
3. Отключите WiFi ноутбука
4. Подключите роутер через ethernet к компьютеру и откройте в браузере 192.168.0.254 (MR3020) или 192.168.1.1 (WR703N)
5. Введите логин/пароль (admin / admin)
6. Перейдите к System Tools > Firmware Upgrade, выберите прошивку OpenWRT
Текст прошивки WR703N китайский. Для прошивки через веб-интерфейс выберите последнее меню слева, затем третий пункт подменю. Подробнее.
7. После апгрейда система перезапустится
8. Зайдите туда через telnet
9. Командой passwd задайте пароль. Это даст доступ к SSH
10. При помощи vi отредактируйте настройки сети. Предположим, что ваш основной шлюз имеет адрес 192.168.2.1. Адрес OpenWrt не должен совпадать с ним, но должен быть в той же подсети.
Поменяйте файл до такого состояния:
11. Отключите роутер от сети
12. Включите WiFi на ноутбуке
13. Подключите MR3020 (или WR703N) к роутеру-шлюзу через Ethernet и включите настроенный роутер в сет. Подождите минуту. С компьютера, подключённого к локалке, попробуйте зайти на роутер
14. Пинганите google для проверки настроек
15. Добавьте поддержку USB в OpenWrt (если вы не использовали уже настроенную прошивку из шага 1):
Отформатируйте флэшку на две партиции – основная Ext4 и swap. swap должна быть между 256 и 512 Мб.
Зайдите по ssh на роутер.
Установите пакеты для поддержки Ext4:
Вставьте флэшку в роутер. Проверьте, что она определилась.
Настройка файловой системы
Теперь мы сделаем sda1 основой корневой файловой системы
(как описано тут wiki.openwrt.org/doc/howto/extroot#openwrt)
Проверим, что всё замаунтилось (должно вернуть /dev/sda1 на /mnt/sda1 type ext4):
Скопируем файлы с роутера на флэшку, чтобы все необходимые настройки были доступны, когда мы перезагрузимся и USB окажется основой файловой системы.
Добавьте в /etc/config/fstab автоматическое подключение /dev/sda1.
Используйте следующие настройки:
Когда все огоньки вновь загорятся, зайдите по ssh и проверьте, что флэшка правильно подцепилась.
Если вы не можете зайти через ssh, значит копирование файлов прошло неправильно. Выньте флэшку, перезагрузите его через питание. Когда он запустится, вы сможете зайти туда через ssh. Затем снова вставьте флэшку и повторите предыдущие шаги.
Настраиваем swap
У роутера немного памяти, долгие процессы могут занять её всю. Для проверки памяти введите
Для решения проблем с памятью можно использовать партицию swap. Сначала проверим, что она работает:
Теперь подключим её к свопу:
Снова запустим free для проверки того, что она подключилась.
Чтобы это происходило автоматически лучше всего сделать отдельный скрипт. Кстати, заодно вы узнаете, как делать такие скрипты.
Скрипт для подключения Swap при старте
Начнём с создания скрипта:
Введите в файл следующее:
Сделайте его исполняемым:
Теперь нужно сделать symlink с /etc/rc.d на него:
S109 сообщает системе приоритет скрипта. Все файлы в /etc/rc.d начинаются с S##. S109 должен разместить его в самом конце, после того, как запустятся все остальные.
Перезагрузимся, зайдём через ssh и проверим подключение свопа:
Настраиваем режим прослушивания
Почти всё готово. Нам надо отредактировать настройки беспроводного подключения:
Закомментируйте строчку запрета wifi:
Используйте следующие настройки:
Перезапустите wifi interface:
Сообщения об ошибках типа тех, что представлены ниже, не должны повлиять на работу wifi:
Проверьте, что wifi работает и находится в режиме monitor:
Установка пакетов
Теперь мы установим все необходимые для сканера пакеты:
Проверка скрипта сканирования
Скопируем скрипты с git (или их можно скачать в виде zip)
Как ответственные хакеры, мы не будем перехватывать все запросы. Мы сделаем белый список, куда включим только наши телефоны.
Достаньте телефон, отсоединитесь от текущей сети, но не выключайте wifi. В терминале вы должны начать видеть запросы, отправляемые им. Можно заметить, что не у всех запросов будет указан SSID. Запросы без SSID – широковещательные, они предназначены для всех точек доступа, находящихся в пределах досягаемости.
Конкурс Пассивная слежка через WIFI с помощью Probequest
Debug
Начнем с того, что все устройства Wi-Fi(роутеры) посылают сигнальные пакеты(Beacon Frames), для того чтобы другие устройства знали о существование точки и подключались к этой сети. Забегая наперед скажу, что помимо проблем с конфиденциальностью, такие пакеты можно использовать для отслеживания устройств и проведения различных атак, такие как Злой двойник.
В этой статье я попытаюсь объяснить, как обнаружить устройства которые посылают такие пакеты и что вообще с ними можно делать.
Здесь никак не обойтись без теории. Начнем с того, что все устройства занимаются двумя “плохими” делами, а именно посылают сигнальные пакеты(Beacon Frames) либо посылают пробные пакеты(Probe Requests) в зависимости от типа устройства.
Что делают Wi-Fi Роутеры?
Точки доступа (Access Points ) посылают сигнальные пакеты. В этих пакетах содержится краткая информация о Wi-Fi точке. Это было реализовано для того, чтобы устройства(смартфоны, ноутбуки и прочие устройства) знали, что AP существует и к ней можно присоединиться.
Ищем пакеты в Wireshark
Для этого нам необходимо перевести нашу Wi-Fi карту в режим мониторинга. Сделать это с помощью команды airmon-ng start wlan0
Теперь открыв программу Wireshark и выбрав интерфейс wlan0mon, видим все пакеты вокруг нас. Теперь выберем пакет Beacon Frames(нужно использовать фильтр wlan.fc.type_subtype == 0x08 ). Мы видим, что он содержит информацию об устройстве которое отправило этот пакет, ESSID и BSSID сети, номер канала на котором работает точка, скорость которую она поддерживает.
Вот как выглядит этот пакет(Beacon Frames):
Что делают остальные устройства?
Существует другая группа устройств(смартфоны, ноутбуки и …), которые также отправляют пакеты, эти пакеты имеют названия Probe Requests(пробный фрейм). Устройства отправляют данные пакеты чтобы подключиться к ближайшей сети. Работают они противоположно Beacon Frames, отправляют пробные фреймы для нахождение сетей к которым устройство было недавно подключено. Это позволяет быстро и без проблем подключиться, например, к вашей домашней сети.
Открыв Wireshark мы можем посмотреть на пакет, чтобы получить информацию об устройстве которое отправило пакет, имя и номер канала точки доступа к которой обращается. Такие пакеты легко найти например на площади, в кафе, в метро …
Посмотрим как выглядят эти пакеты(фильтр для поиска wlan.fc.type_subtype==4 )
P.S если кому интересно:
Так ну как же выглядит пакет?
Видно что устройство LG отправляет пробный пакет к Wi-Fi сети(сама сеть скрыта)
Самое классное, что старые устройства отправляют такую информацию даже когда Wi-Fi выключен. Это связано с геолокацией с поддержкой Wi-Fi. Поэтому простое отключение WI-FI на телефоне не остановит отправку пакетов точкам доступа.
И так мы переходим к самому интересному, а именно что эти данные нам могут показать?
Исследователи уже давно рассказали, что подобные пакеты могут использоваться для слежки за пользователями с достаточно высокой точностью.
Самое интересное в этих пакетах это, что там находятся MAC-адреса устройств.
Конечно вся слежка либо атака сводиться на нет, если MAC адрес устройства будет рандомным. Apple например, решила еще в версии IOS 8.0 ввести рандомизацию MAC-адреса.(не все так хорошо у них). Часто проблема рандомизации адреса не совсем выполняется правильно и случайным способом.
Эти данные обеспечивают полную слежку за пользователем, используя например, Wigle Wi-Fi мы можем видеть к какой сети устройство недавно подключалось.
Используя пробные пакеты и возможность отсеивать или отслеживать пользователей, мы можем узнать много информации. Помимо возможности обнаружения злоумышленников в определенных областях, мы также можем отслеживать деятельность людей и отслеживать, когда люди приходят и уходят(можем написать скрипт, который будет предупреждать, что сосед пришел с работы). Многие рекламные ритейлеры используют данную тактику для мониторинга покупателей.
Переходим к практике.
Чтобы начать использовать Probequest, вам необходима сетевая карта которая может переключаться в режим мониторинга, только такая карта позволит вам слушать весь проходящий трафик. В данном случае трафик содержащую информацию о том, какие устройства и к какой сети пытаются подключиться.
В первую очередь нам необходим Kali Linux(не обязательно). Для работы probequest необходим python3 и библиотека probequest.
Команда: sudo pip3 install —upgrade probequest
Также есть вариант установить программу с GitHub
Команда:
git clone https://github.com/SkypLabs/probequest.git
cd probequest
sudo pip3 install —upgrade
Переводим наш Wi-Fi адаптер в режим мониторинга
Наша задача перевести наш Wi-Fi адаптер в режим мониторинга. Для этого открыв терминал вводим команду ifconfig для получение списка устройств. У меня мой адаптер отображается как wlan0. Следующий шаг это ввести команду airmon-ng start wlan0 (Как для того чтобы перевести карту в режим мониторинга)
Найдем соседние устройство
Теперь, после установки probeques и переключение карты в режим мониторинга, мы можем запустить программу Probequest. Команда для запуска прослушивания трафика и поиска устройств probequest -i wlan0mon
В результате мы можем видеть следующую информацию:бренды устройств(смартфоны, принтеры, устройства IoT и много другого). Для фильтрации поиска нужно использовать аргументы -e -s.
Единственная проблема которая перед мной встала это то что сканирование происходит на определенном конкретном канале.
Для решение этой проблемы нам нужно запустить airodump, чтобы она переводила нашу карту Wi-Fi по всем каналам, тем самым увеличив кол-во найденных устройств.
Открыв новое окно терминала введите команду: airodump-ng wlan0mon
После этого открыв прежнее окно, мы увидим, что в результате кол-во обнаруженных устройств возросло.
Теперь мы можем благодаря аргументу -o записать всю информацию файл, чтобы в будущем как-то воспользоваться этой информацией.
Узнаем об открытых сетях
После сканирование трафика вы можете обнаружить, что некоторые устройства передают ESSID открытых сетей. Используя эту информацию мы можем провести атаку Злой двойник, так как устройства которые отправляют такие пакеты в случае обнаружение этой сети(открытой и к которой оно раньше подключалось) оно будет автоматически к ней подключено.
Для создание поддельных точек доступа существует много инструментов, например, Airgeddon.
Подводя итоги у нас получается, что если мы будем знать MAC сетевой карты устройства(смартфон, планшет, IoT), мы можем отследить перемещение телефона. Для этого достаточно знать уникальный MAC сетевой карты устройства и уметь работать с этой информацией.