- Poruka
- 24.882
Na samom pocetku zeleo bih da napomenem da u daljem tekstu nije data ni jedna konkretna instrukcija ili precizno uputstvo kako izvrsiti ovaj proces niti imam zelju da to uradim. CIlj samog teksta je preventivna edukacija kroz detaljno objasnjenje kako u kratkim crtama ceo princip funkcionise i kako preventivno zastiti sebe.
Ewil Twin je "Man In The Middle" napad koji ima za cilj kradju informacija ili manipulaciju uredjaja koji je zakacen za odredjen WI FI hotspot.
Sama rec Man in The middle znaci da se izmedju Validnog WiFi hotspota i vas nalazi covek losih namera
Ovaj tip napada funkcionise kloniranjem ESSID-a ciljanog hotspota i deautentikacijom ciljanog uredjaja ili svih uredjaja sa mreze.
CIlj deautentikacije je onesposobljavanje Wi-fi Hotspot na par momenata, i samim tim prisila na ciljani uredjaj da se uloguje kroz lazni Wi Fi klon podignut od strane napadaca.
Za razliku od ostalih metoda deauth protokol ne zahteva nikakvu specijalnu enkripciju pa je tako delotvoran protiv WPS, WEP WPA1, WPA2,WPA3 Wi-Fi enkripcija.
1. Deautentikacija
U tekstu ispod je samo prikazan kostur postupka deautentikacije za koju je bukvalno potrebna samo MAC dresa WI Fi hotspota, sto je ujedno i porazavajuca stvar.
--deauth 7 -a 00:00:00:00:00:00 - c 00:00:00:00:00:00 "ime-NIC-adaptera"
-- deauth - aktiviranje deauth protokola.
-a - BSSID/Mac adresa Access point-a
-7 - Broj deautentikacija koje NIC adapter salje prema ciljanom AP-u
-c - MAC adresa ciljanog uredjaja
NIC adapter sa kojeg se paketi salju
2. Presretanje Handshake paketa
Kada je deautentikacija uspesno odradjena napadac presrece handshake paket koji je jedan od kljucnih faktora u ovom procesu.
Handshake fajl sadrzi tajni kljuc "PMK" koji sadrzi medjusobnu autentikaciju i samo ga klijent i host poseduju, najprostije receno jedna polovina tog kljuca je kod hosta, a druga kod klijenta.
PMK kljuc se bukvalno moze presresti putem najobicnijih komercijalnih packet analyzera.
3. Phishing kroz captive portal:
Postoje 2 scenarija ovde: Brute force PMK kljuca ili Phishing kroz Captive portal ali je generalno phishing ono sto cini Ewil Twin metodu jer time navodi "zrtvu" da se zakaci na klonirani Wi-Fi hotspot.
Sta je captive Portal
Captive Portal je pristupna login stranica kroz koju se loguju svi klijent uredjaji na WiFi hotspot
Nakon unosa lozinke, ako je lozinka tacna sto verifikuje prethodno presretnuti PMK kljuc korisnik nije uopste svestan da je ruter na koji zeli da se konektuje samo lazni klon sa istim imenom.
Vrlo je vazno napomenuti, da se ovakav postupak moze izvesti sa laptopa, mobilnog telefona pa cak i sa posebno modifikovanog rutera koji je napravljen bas za tu svrhu.
Kako se zastiti:
Ako ste klijent.
1. Izbegavati javne hotspot uredjaje u kaficima, restoranima, zeleznickim stanicama .. etc koliko je to moguce
2. Iskljucivo posecivati HTTPS protokol stranice, ako primetite da je stranica na kojoj se nalazite http:// odmah izaci sa nje.
3. Iskljuciti Auto connect Wi-Fi opciju, posebno ako ste vani, kao sto je gore objasnjeno kada je legitimni Wi Fi signal oboren uredjaj se automatski rekonektuje na njegovog "blizanca" sa identicnim kredencijalima.
4. Ako ste vec prikaceni na javni Wi-Fi Izbegavati logovanje na drustvenim mrezama i bankovnim racunima, to iskljucivo raditi preko svog provajdera ili preko 4g/5g operatera.
5. Koristiti antivirus.
6.Ako vas Wi Fi hotspot pita vise puta da unesete lozinku koju ste pre par momenata uspesno uneli, odmah iskljucite Wi Fi.
7. Proverite da li postoji vise identicnih imena WI FI hotspota, ako pronalazite vise hotspotova sa identicnim imenom, bezite odatle.
Ako ste Host:
Najveca glavobolja je u sustini spomenuta deautentikacija koja jedino nije u potpunosti delotvorna na WPA 3 tehnologiju koja je prvenstveno razvijena protiv ovakvih vrsta napada.
U realnosti se ne mozete potpuno zastiti od negativca koji se okomio na vas, ali mu bar mozete otezati posao.
1. Ako to vas ruter podrzava predjite odmah na WPA 3 ili 802.11w protokol
2. Koristite sto duzu i kompleksniju WiFi lozinku
3. Cesce menjajte lozinku.
Ewil Twin je "Man In The Middle" napad koji ima za cilj kradju informacija ili manipulaciju uredjaja koji je zakacen za odredjen WI FI hotspot.
Sama rec Man in The middle znaci da se izmedju Validnog WiFi hotspota i vas nalazi covek losih namera
Ovaj tip napada funkcionise kloniranjem ESSID-a ciljanog hotspota i deautentikacijom ciljanog uredjaja ili svih uredjaja sa mreze.
CIlj deautentikacije je onesposobljavanje Wi-fi Hotspot na par momenata, i samim tim prisila na ciljani uredjaj da se uloguje kroz lazni Wi Fi klon podignut od strane napadaca.
Za razliku od ostalih metoda deauth protokol ne zahteva nikakvu specijalnu enkripciju pa je tako delotvoran protiv WPS, WEP WPA1, WPA2,
1. Deautentikacija
U tekstu ispod je samo prikazan kostur postupka deautentikacije za koju je bukvalno potrebna samo MAC dresa WI Fi hotspota, sto je ujedno i porazavajuca stvar.
--deauth 7 -a 00:00:00:00:00:00 - c 00:00:00:00:00:00 "ime-NIC-adaptera"
-- deauth - aktiviranje deauth protokola.
-a - BSSID/Mac adresa Access point-a
-7 - Broj deautentikacija koje NIC adapter salje prema ciljanom AP-u
-c - MAC adresa ciljanog uredjaja
NIC adapter sa kojeg se paketi salju
2. Presretanje Handshake paketa
Kada je deautentikacija uspesno odradjena napadac presrece handshake paket koji je jedan od kljucnih faktora u ovom procesu.
Handshake fajl sadrzi tajni kljuc "PMK" koji sadrzi medjusobnu autentikaciju i samo ga klijent i host poseduju, najprostije receno jedna polovina tog kljuca je kod hosta, a druga kod klijenta.
PMK kljuc se bukvalno moze presresti putem najobicnijih komercijalnih packet analyzera.
3. Phishing kroz captive portal:
Postoje 2 scenarija ovde: Brute force PMK kljuca ili Phishing kroz Captive portal ali je generalno phishing ono sto cini Ewil Twin metodu jer time navodi "zrtvu" da se zakaci na klonirani Wi-Fi hotspot.
Sta je captive Portal
Captive Portal je pristupna login stranica kroz koju se loguju svi klijent uredjaji na WiFi hotspot
Nakon unosa lozinke, ako je lozinka tacna sto verifikuje prethodno presretnuti PMK kljuc korisnik nije uopste svestan da je ruter na koji zeli da se konektuje samo lazni klon sa istim imenom.
Vrlo je vazno napomenuti, da se ovakav postupak moze izvesti sa laptopa, mobilnog telefona pa cak i sa posebno modifikovanog rutera koji je napravljen bas za tu svrhu.
Kako se zastiti:
Ako ste klijent.
1. Izbegavati javne hotspot uredjaje u kaficima, restoranima, zeleznickim stanicama .. etc koliko je to moguce
2. Iskljucivo posecivati HTTPS protokol stranice, ako primetite da je stranica na kojoj se nalazite http:// odmah izaci sa nje.
3. Iskljuciti Auto connect Wi-Fi opciju, posebno ako ste vani, kao sto je gore objasnjeno kada je legitimni Wi Fi signal oboren uredjaj se automatski rekonektuje na njegovog "blizanca" sa identicnim kredencijalima.
4. Ako ste vec prikaceni na javni Wi-Fi Izbegavati logovanje na drustvenim mrezama i bankovnim racunima, to iskljucivo raditi preko svog provajdera ili preko 4g/5g operatera.
5. Koristiti antivirus.
6.Ako vas Wi Fi hotspot pita vise puta da unesete lozinku koju ste pre par momenata uspesno uneli, odmah iskljucite Wi Fi.
7. Proverite da li postoji vise identicnih imena WI FI hotspota, ako pronalazite vise hotspotova sa identicnim imenom, bezite odatle.
Ako ste Host:
Najveca glavobolja je u sustini spomenuta deautentikacija koja jedino nije u potpunosti delotvorna na WPA 3 tehnologiju koja je prvenstveno razvijena protiv ovakvih vrsta napada.
U realnosti se ne mozete potpuno zastiti od negativca koji se okomio na vas, ali mu bar mozete otezati posao.
1. Ako to vas ruter podrzava predjite odmah na WPA 3 ili 802.11w protokol
2. Koristite sto duzu i kompleksniju WiFi lozinku
3. Cesce menjajte lozinku.
Poslednja izmena od moderatora: