拉斯维加斯——当我第一天坐下来黑帽2016第一次参加活动的记者问我采取了什么预防措施。我告诉他我用的是一次性手机,VPN服务和一台借来的笔记本电脑。他点了点头,告诉我他也这么做了,但他认为所有的偏执都被夸大了。
那天早上,我会同意他的看法,告诉他安全总比受伤好。但到了晚上,Pwnie Express团队向我展示了一些非常可怕的事情发生在黑帽领空。
该团队检测到一种Karma攻击,它会诱使设备连接到恶意的Wi-Fi接入点。该小组还认为,他们发现了一个恶意的手机信号塔。黑帽的确名不虚传。
坏业力
Pwnie快递公司从本周初就开始监视卡玛的袭击。攻击者创建了一个无线接入点,用于监听来自笔记本电脑、手机或其他任何东西的请求。受害者的设备会发出探测,询问已知的Wi-Fi网络是否可用。这些设备试图快速连接到它们以前见过的网络。邪恶接入点只是简单地回应每一个请求“是的,是我!”然后受害者的设备就连接起来了。
自从Pwnie第一次检测到邪恶接入点以来,他们已经看到了35000个不同的设备在不知不觉中连接起来。截至周三,该接入点已经模拟了1047个不同的Wi-Fi网络。这并不意味着35000人都认为他们的家庭网络被神秘地转移到了拉斯维加斯。设备经常在未经用户同意的情况下搜索并连接到已知网络,以确保持续的连接。很有可能这次袭击的受害者根本不知道他们之间有联系。
该公司有能力做到这一点Pwn职业传感器。该设备实际上是一个大功率无线嗅探器,被动地观察空中的交通。Pwnie传感器是带有天线的微型计算机。它们本身也能做出一些令人讨厌的行为,但仅用于渗透测试。毕竟他们都是好人。要收集有关恶意无线网络的所有数据,Pwnie设备不需要使用任何攻击;他们只听公开广播的信息。
当它第一次出现时,接入点将自己列为一台不起眼的惠普打印机。随着越来越多智能打印机作为网络设备,它只是一个善意的幌子。当Pwnie团队仔细观察接入点时,他们发现它使用的是TP链路适配器,而HP没有使用。
如果你关注安全报道,你可能听说过中间人攻击。这是指攻击者设法将自己置于你和你试图与之通信的任何东西之间,通常是互联网。在Wi-Fi网络的情况下,如果有人控制了接入点,他们就可以解密你的流量,监控它,然后在你不知情的情况下将其传递到预定的目的地。当我问Pwnie Express的研究人员,黑帽的接入点操作员可能会获取什么样的信息时,我被告知他或她可以获得他们想要的任何信息。
手机不太安全
Pwnie Express拥有的Pwn Pro设备也可以监控蜂窝空域。截至昨天,他们检测到一个可疑的手机信号塔,可能是由攻击者操作的。当我和他们交谈时,传感器还没有收集到足够的数据来确定它是否恶意。但当我问这个信号塔有多大可能是真的时,我得到了一个翘起的眉毛和几个字“在黑帽?”
检测到的蜂窝接入点最可疑的方面之一是它只在2G范围内广播。大多数现代手机都使用3G和LTE,在极度绝望的情况下只使用2G。这也很可疑,因为用于保护2G频段的加密已经被破坏了一段时间。当安全专家谈到攻击蜂窝设备时,攻击几乎总是从创建一个恶意的2G接入点开始,然后干扰3G和LTE频段,以迫使附近的手机连接。
编辑推荐
截至撰写本文时,没有证据表明有人干扰了频谱。Pwnie Express团队认为,攻击者可能只是站在网络上看看有什么连接。
Pwnie团队正在密切关注这个蜂窝接入点。他们特别关注标准差。这是对信号强度随时间变化的测量。如果它开始变化,这就表明蜂窝接入点离Pwnie传感器越来越近或越来越远。合法的信号塔是不会移动的。
注意安全,我的朋友们
关于在网络上受到攻击,你可能不知道它正在发生,或者根本不知道它已经发生了。那些连接到黑帽的邪恶接入点的人可能丢失了有价值的数据,或者什么都没有。一些人可能已经移动到接入点的范围内,让他们的设备自动连接,然后在没有发送任何东西的情况下移出了范围。问题是,几乎没有办法判断。
这就是为什么你要采取措施保护自己的安全,特别是在旅行和旅行时特别是当你在黑客大会上或附近时。把你的手机调小一点噪音是个好主意,不要主动发出寻找Wi-Fi网络的探测信号。这是一个很好的主意VPN服务连接Wi-Fi时。当VPN处于活动状态时,您的所有数据在离开设备之前都会被加密。即使您连接到一个邪恶的接入点,攻击者也只会看到无用的数据。
黑帽和DefCon总是有点疯狂。黑客和安全研究人员会摆弄这类工具,但情报人员(还有你)也会知道本周在维加斯至少有一些)和真正的恶意演员。但这次袭击很可能在机场或星巴克上演。你永远不知道你可能在监视你。