zli blizanac - evil twin (mitm)

BLANKED

Elita
Poruka
20.452
Na samom pocetku zeleo bih da napomenem da u daljem tekstu nije data ni jedna konkretna instrukcija ili precizno uputstvo kako izvrsiti ovaj proces niti imam zelju da to uradim. CIlj samog teksta je preventivna edukacija kroz detaljno objasnjenje kako u kratkim crtama ceo princip funkcionise i kako preventivno zastiti sebe.

Ewil Twin je "Man In The Middle" napad koji ima za cilj kradju informacija ili manipulaciju uredjaja koji je zakacen za odredjen WI FI hotspot.

Sama rec Man in The middle znaci da se izmedju Validnog WiFi hotspota i vas nalazi covek losih namera :)

Ovaj tip napada funkcionise kloniranjem ESSID-a ciljanog hotspota i deautentikacijom ciljanog uredjaja ili svih uredjaja sa mreze.
CIlj deautentikacije je onesposobljavanje Wi-fi Hotspot na par momenata, i samim tim prisila na ciljani uredjaj da se uloguje kroz lazni Wi Fi klon podignut od strane napadaca.
Za razliku od ostalih metoda deauth protokol ne zahteva nikakvu specijalnu enkripciju pa je tako delotvoran protiv WPS, WEP WPA1, WPA2, WPA3 Wi-Fi enkripcija.

Illustration-of-an-Evil-Twin-Attack-The-attacker-can-successfully-lure-a-victim-into.png



1. Deautentikacija

U tekstu ispod je samo prikazan kostur postupka deautentikacije za koju je bukvalno potrebna samo MAC dresa WI Fi hotspota, sto je ujedno i porazavajuca stvar.



--deauth 7 -a 00:00:00:00:00:00 - c 00:00:00:00:00:00 "ime-NIC-adaptera"

-- deauth - aktiviranje deauth protokola.
-a - BSSID/Mac adresa Access point-a
-7 - Broj deautentikacija koje NIC adapter salje prema ciljanom AP-u
-c - MAC adresa ciljanog uredjaja
NIC adapter sa kojeg se paketi salju


2. Presretanje Handshake paketa
Kada je deautentikacija uspesno odradjena napadac presrece handshake paket koji je jedan od kljucnih faktora u ovom procesu.
Handshake fajl sadrzi tajni kljuc "PMK" koji sadrzi medjusobnu autentikaciju i samo ga klijent i host poseduju, najprostije receno jedna polovina tog kljuca je kod hosta, a druga kod klijenta.
PMK kljuc se bukvalno moze presresti putem najobicnijih komercijalnih packet analyzera.

3. Phishing kroz captive portal:
Postoje 2 scenarija ovde: Brute force PMK kljuca ili Phishing kroz Captive portal ali je generalno phishing ono sto cini Ewil Twin metodu jer time navodi "zrtvu" da se zakaci na klonirani Wi-Fi hotspot.

Sta je captive Portal
Captive Portal je pristupna login stranica kroz koju se loguju svi klijent uredjaji na WiFi hotspot
Wi-Fi_login


Nakon unosa lozinke, ako je lozinka tacna sto verifikuje prethodno presretnuti PMK kljuc korisnik nije uopste svestan da je ruter na koji zeli da se konektuje samo lazni klon sa istim imenom.

Vrlo je vazno napomenuti, da se ovakav postupak moze izvesti sa laptopa, mobilnog telefona pa cak i sa posebno modifikovanog rutera koji je napravljen bas za tu svrhu.

Kako se zastiti:
Ako ste klijent.

1. Izbegavati javne hotspot uredjaje u kaficima, restoranima, zeleznickim stanicama .. etc koliko je to moguce
2. Iskljucivo posecivati HTTPS protokol stranice, ako primetite da je stranica na kojoj se nalazite http:// odmah izaci sa nje.
3. Iskljuciti Auto connect Wi-Fi opciju, posebno ako ste vani, kao sto je gore objasnjeno kada je legitimni Wi Fi signal oboren uredjaj se automatski rekonektuje na njegovog "blizanca" sa identicnim kredencijalima.
4. Ako ste vec prikaceni na javni Wi-Fi Izbegavati logovanje na drustvenim mrezama i bankovnim racunima, to iskljucivo raditi preko svog provajdera ili preko 4g/5g operatera.
5. Koristiti antivirus.
6.Ako vas Wi Fi hotspot pita vise puta da unesete lozinku koju ste pre par momenata uspesno uneli, odmah iskljucite Wi Fi.
7. Proverite da li postoji vise identicnih imena WI FI hotspota, ako pronalazite vise hotspotova sa identicnim imenom, bezite odatle.

Ako ste Host:

Najveca glavobolja je u sustini spomenuta deautentikacija koja jedino nije u potpunosti delotvorna na WPA 3 tehnologiju koja je prvenstveno razvijena protiv ovakvih vrsta napada.
U realnosti se ne mozete potpuno zastiti od negativca koji se okomio na vas, ali mu bar mozete otezati posao.

1. Ako to vas ruter podrzava predjite odmah na WPA 3 ili 802.11w protokol
2. Koristite sto duzu i kompleksniju WiFi lozinku
3. Cesce menjajte lozinku.
 
Poslednja izmena od moderatora:
Na samom pocetku zeleo bih da napomenem da u daljem tekstu nije data ni jedna konkretna instrukcija ili precizno uputstvo kako izvrsiti ovaj proces niti imam zelju da to uradim. CIlj samog teksta je preventivna edukacija kroz detaljno objasnjenje kako u kratkim crtama ceo princip funkcionise i kako preventivno zastiti sebe.

Ewil Twin je "Man In The Middle" napad koji ima za cilj kradju informacija ili manipulaciju uredjaja koji je zakacen za odredjen WI FI hotspot.

Sama rec Man in The middle znaci da se izmedju Validnog WiFi hotspota i vas nalazi covek losih namera :)

Ovaj tip napada funkcionise kloniranjem ESSID-a ciljanog hotspota i deautentikacijom ciljanog uredjaja ili svih uredjaja sa mreze.
CIlj deautentikacije je onesposobljavanje Wi-fi Hotspot na par momenata, i samim tim prisila na ciljani uredjaj da se uloguje kroz lazni Wi Fi klon podignut od strane napadaca.
Za razliku od ostalih metoda deauth protokol ne zahteva nikakvu specijalnu enkripciju pa je tako delotvoran protiv WPS, WEP WPA1, WPA2, WPA3 Wi-Fi enkripcija.

Illustration-of-an-Evil-Twin-Attack-The-attacker-can-successfully-lure-a-victim-into.png



1. Deautentikacija

U tekstu ispod je samo prikazan kostur postupka deautentikacije za koju je bukvalno potrebna samo MAC dresa WI Fi hotspota, sto je ujedno i porazavajuca stvar.



--deauth 7 -a 00:00:00:00:00:00 - c 00:00:00:00:00:00 "ime-NIC-adaptera"

-- deauth - aktiviranje deauth protokola.
-a - BSSID/Mac adresa Access point-a
-7 - Broj deautentikacija koje NIC adapter salje prema ciljanom AP-u
-c - MAC adresa ciljanog uredjaja
NIC adapter sa kojeg se paketi salju


2. Presretanje Handshake paketa
Kada je deautentikacija uspesno odradjena napadac presrece handshake paket koji je jedan od kljucnih faktora u ovom procesu.
Handshake fajl sadrzi tajni kljuc "PMK" koji sadrzi medjusobnu autentikaciju i samo ga klijent i host poseduju, najprostije receno jedna polovina tog kljuca je kod hosta, a druga kod klijenta.
PMK kljuc se bukvalno moze presresti putem najobicnijih komercijalnih packet analyzera.

3. Phishing kroz captive portal:
Postoje 2 scenarija ovde: Brute force PMK kljuca ili Phishing kroz Captive portal ali je generalno phishing ono sto cini Ewil Twin metodu jer time navodi "zrtvu" da se zakaci na klonirani Wi-Fi hotspot.

Sta je captive Portal
Captive Portal je pristupna login stranica kroz koju se loguju svi klijent uredjaji na WiFi hotspot
Wi-Fi_login


Nakon unosa lozinke, ako je lozinka tacna sto verifikuje prethodno presretnuti PMK kljuc korisnik nije uopste svestan da je ruter na koji zeli da se konektuje samo lazni klon sa istim imenom.

Vrlo je vazno napomenuti, da se ovakav postupak moze izvesti sa laptopa, mobilnog telefona pa cak i sa posebno modifikovanog rutera koji je napravljen bas za tu svrhu.

Kako se zastiti:
Ako ste klijent.

1. Izbegavati javne hotspot uredjaje u kaficima, restoranima, zeleznickim stanicama .. etc koliko je to moguce
2. Iskljucivo posecivati HTTPS protokol stranice, ako primetite da je stranica na kojoj se nalazite http:// odmah izaci sa nje.
3. Iskljuciti Auto connect Wi-Fi opciju, posebno ako ste vani, kao sto je gore objasnjeno kada je legitimni Wi Fi signal oboren uredjaj se automatski rekonektuje na njegovog "blizanca" sa identicnim kredencijalima.
4. Ako ste vec prikaceni na javni Wi-Fi Izbegavati logovanje na drustvenim mrezama i bankovnim racunima, to iskljucivo raditi preko svog provajdera ili preko 4g/5g operatera.
5. Koristiti antivirus.
6.Ako vas Wi Fi hotspot pita vise puta da unesete lozinku koju ste pre par momenata uspesno uneli, odmah iskljucite Wi Fi.
7. Proverite da li postoji vise identicnih imena WI FI hotspota, ako pronalazite vise hotspotova sa identicnim imenom, bezite odatle.

Ako ste Host:

Najveca glavobolja je u sustini spomenuta deautentikacija koja jedino nije u potpunosti delotvorna na WPA 3 tehnologiju koja je prvenstveno razvijena protiv ovakvih vrsta napada.
U realnosti se ne mozete potpuno zastiti od negativca koji se okomio na vas, ali mu bar mozete otezati posao.

1. Ako to vas ruter podrzava predjite odmah na WPA 3 ili 802.11w protokol
2. Koristite sto duzu i kompleksniju WiFi lozinku
3. Cesce menjajte lozinku.
Koja razlika izmedju tog hotspota i onog u kaficu? ako je komunikacija kriptovana, mogu da te uhvate ;p
edit:
provajlivanje u wifi mrezu je interesantnije kada hoces od komsije da krades internet :P
 
Koja razlika izmedju tog hotspota i onog u kaficu? ako je komunikacija kriptovana, mogu da te uhvate ;p
Nema razlike, svi funkcionisu po istom principu generalno. Ali je veca verovatnoca da se ovako nesto desi na nekom javnom mestu nego kod kuce :lol:

Sve je kriptovano dok se ne zakaci na ruter koji nema kriptovanu komunikaciju :lol: Generalno onom ko zeli da se uloguje na tvoj ili moj nalog nije mu potrebna lozinka samo kolacici, ili ce jednostavno da te redirektuje na login stranicu bilo kog sajta.
 
Nema razlike, svi funkcionisu po istom principu generalno. Ali je veca verovatnoca da se ovako nesto desi na nekom javnom mestu nego kod kuce :lol:

Sve je kriptovano dok se ne zakaci na ruter koji nema kriptovanu komunikaciju :lol: Generalno onom ko zeli da se uloguje na tvoj ili moj nalog nije mu potrebna lozinka samo kolacici, ili ce jednostavno da te redirektuje na login stranicu bilo kog sajta.
Fora je da je wifi kriptovan osim za onog koji je vlasnik rutera, ali zato ti kriptujes svoju komunikaciju unutar mreze, i miran si |:p
 
Fora je da je wifi kriptovan osim za onog koji je vlasnik rutera, ali zato ti kriptujes svoju komunikaciju unutar mreze, i miran si |:p
O tome ti i govorim. Sam primer je prikazan u tekstu, portal za koji ti mislis da je autentican i koji ti trazi lozinku je u stvari najobicnija phishing stranica.
Mozda nisam lepo objasnio u tekstu, kada sam rekao javni hotspot nisam mislio na otkljucanu mrezu. Uopste mi nije potrebno da znam WiFi lozinku, potreban mi je samo spomenut handshake fajl a on se hvata tako sto presretne komunikaciju uredjaja i rutera u toku povezivanja.
Handshake ako nista drugo barem moze da mi kaze da li je lozinka koju kucas ispravna ili ne.
 
O tome ti i govorim. Sam primer je prikazan u tekstu, portal za koji ti mislis da je autentican i koji ti trazi lozinku je u stvari najobicnija phishing stranica.
Mozda nisam lepo objasnio u tekstu, kada sam rekao javni hotspot nisam mislio na otkljucanu mrezu. Uopste mi nije potrebno da znam WiFi lozinku, potreban mi je samo spomenut handshake fajl a on se hvata tako sto presretne komunikaciju uredjaja i rutera u toku povezivanja.
Handshake ako nista drugo barem moze da mi kaze da li je lozinka koju kucas ispravna ili ne.
Pazi, recimo se logujes na nesto preko https, vlasnik rutera i wifi mreze, ne moze nista da vidi... phishing sajtovi su druga stvar...
hoce da ti pokupe podatke, glumeci legit sajtove...
 
Pazi, recimo se logujes na nesto preko https, vlasnik rutera i wifi mreze, ne moze nista da vidi... phishing sajtovi su druga stvar...
hoce da ti pokupe podatke, glumeci legit sajtove...
Tacno, ti si recimo na mom ruteru, kucas google.com, u address bar-u ti pise google.com izadje ti google stranica koja ti trazi da se ponovo ulogujes. Samo sto ti ne povezujes na google https server nego recimo na lazni http:google server uskladisten u mom racunaru koji nema nikakvu enkripciju, sve sto kucas vidim i ja, stavise ti uopste nisi ni povezan na internet.
 
Tacno, ti si recimo na mom ruteru, kucas google.com, u address bar-u ti pise google.com izadje ti google stranica koja ti trazi da se ponovo ulogujes. Samo sto ti ne povezujes na google https server nego recimo na lazni http:google server uskladisten u mom racunaru koji nema nikakvu enkripciju, sve sto kucas vidim i ja, stavise ti uopste nisi ni povezan na internet.
Ne moze to bez proksija, no moze da se namesti... takva redirekcija je moguca, ali mora https, sto nije problem....
 
Ne moze to bez proksija, no moze da se namesti... takva redirekcija je moguca, ali mora https, sto nije problem....
Da bi pristupio nekoj stranici na internetu uneses URL, taj URL mora da se konvertuje u IP adresu, jedini ko moze da konvertuje URL u IP adresu je DNS resolver, a da bi dosao do DNS-a (koji ima bukvalno ulogu telefonskog imenika) ruter mora da stupi u kontakt sa internet provajderom. U ovom slucaju ti nemas nikakav kontakt sa provajderom vec samo sa hostom na cijem si wi fi-u zakacen, taj host spoofuje DNS i povezuje te sa imaginarnim portalima. - tacnije ip adresama.
 
Da bi pristupio nekoj stranici na internetu uneses URL, taj URL mora da se konvertuje u IP adresu, jedini ko moze da konvertuje URL u IP adresu je DNS resolver, a da bi dosao do DNS-a ruter mora da stupi u kontakt sa internet provajderom. U ovom slucaju ti nemas nikakav kontakt sa provajderom vec samo sa hostom na cijem si wi fi-u zakacen, taj host spoofuje DNS i povezuje te sa imaginarnim portalima.
Al zato neki browseri koriste dns over https :P
No nikakav problem nije kada se na ruter stavi proxy, i redirektujes sav saobracaj preko toga... to se zove transparent proxy... koriste ga corporate
mreze da nadgledaju zaposlene i blokiraju neke sajtove. Ja koristim da blokiram reklame na ruteru. Glavna fora je sto radi bez da klijent
nasetuje proxy...
 
Zar nece za neke sajtove i HSTS praviti problem ako pokusas da zavaras usera laznim DNS serverom, posebno za sajtove koji su preloaded? Bar za browsere koji ga podrzavaju, a svi danas poznati ga podrzavaju
Da, tu si u pravu, koliko znam browseri imaju preloaded HSTS listu sajtova, dobice ssl error jer se ne slaze sa CA sertifikatom, sad da li je neko zaobilazenje izvodljivo i kako to je vec raketna nauka za mene :lol:

@Dr.Jackson
Ako nije problem da se naslov umesto Ewil prepravi u Evil tek sad kapiram da sam napravio typo, muka mi je da gledam :confused:
 
Zar nece za neke sajtove i HSTS praviti problem ako pokusas da zavaras usera laznim DNS serverom, posebno za sajtove koji su preloaded? Bar za browsere koji ga podrzavaju, a svi danas poznati ga podrzavaju
Nije uopste fora u dns-u, nego u tome da na sajt idu preko tvog proxy-ja... tu upada redirekcija... dakle samo sve sa porta 80 i 443 redirektujes na tvoj proxy
na ruteru... dovoljno je da znas ip adresu na koju hoce, a domen lako otkrijes sa reverse dns-om...
 
Da, tu si u pravu, koliko znam browseri imaju preloaded HSTS listu sajtova, dobice ssl error jer se ne slaze sa CA sertifikatom, sad da li je neko zaobilazenje izvodljivo i kako to je vec raketna nauka za mene :lol:

@Dr.Jackson
Ako nije problem da se naslov umesto Ewil prepravi u Evil tek sad kapiram da sam napravio typo, muka mi je da gledam :confused:
Ne treba uopste da se petljas sa sertifikatima, ukoliko redirektujes na svoj sajt. Sertifikati ti trebaju ako hoces da presreces komunikaciju izmedju sajtova
koji nisu tvoji...
 
Nije uopste fora u dns-u, nego u tome da na sajt idu preko tvog proxy-ja... tu upada redirekcija... dakle samo sve sa porta 80 i 443 redirektujes na tvoj proxy
na ruteru... dovoljno je da znas ip adresu na koju hoce, a domen lako otkrijes sa reverse dns-om...
Ali poenta je da nemaš ništa od toga ako je saobraćaj zaštićen, tj. koristi HTTPS, ne možeš ni da pokušaš da podmetneš self-signed sertifikat za HSTS preloaded sajtove, praktično ti dodje beskorisno što ide preko proksija, a ne možeš da pročitaš šta je
 
Da, tu si u pravu, koliko znam browseri imaju preloaded HSTS listu sajtova, dobice ssl error jer se ne slaze sa CA sertifikatom, sad da li je neko zaobilazenje izvodljivo i kako to je vec raketna nauka za mene :lol:

@Dr.Jackson
Ako nije problem da se naslov umesto Ewil prepravi u Evil tek sad kapiram da sam napravio typo, muka mi je da gledam :confused:
Pa čini mi se da tu nema mnogo prostora za manevar ako je preloaded. Ili da u browseru direktno isključiš HSTS (za browsere koji to podržavaju), što bi podrazumevalo da imaš pristup korisničkom računaru, pa ti onda i ne treba mitm u principu (osim ako ne nagovoriš korisnika da ga lično isključi :lol:).

Za sajtove koji nisu preloaded ali koriste HSTS mislim da ima neka fora da možeš da strip-uješ HSTS headere u HTTP poruci kad korisnik prvi put posećuje sajt. Ili da clear-uješ HSTS keš, pa da ispadne da sajtove posećuje po prvi put, ali za to ti opet treba direktan pristup, ili socijalni inženjering.

U svakom slučaju, baš kao što si rekao, nemoguće je baš skroz zaštititi se kad se neko zainati da napadne, ali dosta stvari se svodi na bar malo socijalnog inženjeringa, tako da je oprez korisnika na prvom mestu :D
 

Back
Top