Category: Сетевой уровень

Большинство современных законодательных актов, так или иначе затрагивающих «надзор» за содержанием интернет-коммуникаций, требуют нарушения фундаментальных «правил», по которым «работает» интернет. «Отечественный» пример — закон об административной ответственности за «поиск экстремистских материалов».

Так как шифрование HTTPS (TLS) не позволяет любым «третьим сторонам» просовывать свой «нос» в содержание трафика, применять подобные законы на «практике» крайне сложно.

Для «переноса» подобных инициатив из мира «сферического коня в ваккуме» необходимо «подорвать» данный «слой». Наиболее уязвимая часть соединения HTTPS — обмен ключей, а не данные, передаваемые после него. Именно с помощью «перехвата» обмена ключей можно различные «органы» обеспечивают для своих «носов» необходимый доступ.

С появлением устройств глубокой фильтрации трафика (DPI) данная «задача» стала масштабируемой. Кроме возможности заблокировать адреса какого-либо VPN-провайдера или сайт с пресловутым «опасным контентом», данные «коробки» также могут быть использованы для «перехвата», вмешательства, и прочих атак на интернет-трафик.

В случае с государственными «фильтрами», их можно легко «обратить» во враждебную «сторону», которая, в отличии от гражданской «коробки», имеет привилегированную позицию. Так как «начинка» подобных устройств часто носит определённый уровень секретности, никто не может сказать, когда этот «фильтр» блокирует сайт с условной порнографией, а когда перехватывает обмен ключей дипломатических устройств.

Интернет-провайдера же «напрягать» попросту незачем — достаточно дать указание «коробке», которая стоит на его узлах связи, и получить все необходимые «манипуляции».

Развивая тему «беспроводной (без)опасности», необходимо добавить, что далеко не одним шифрованием обеспечивается пресловутая «безопасность».

I. Ложные пакеты

По умолчанию, в стандарте WiFi пакеты «управления», которые используются для ассоциации(подключения) и де-ассоциации(отключения) никак не защищены. Это означает, что условный «Петя» может прислать на телефон и/или роутер «Маши» ложный пакет, который на время отключит «Машу» от WiFi. Этот «трюк» — наиболее популярный способ получить «рукопожатие» WPA2-PSK.

Для защиты от подобных пакостей был придуман стандарт 802.11w — он же Protected Management Frames — который «защищает» пакеты управления. При «принудительном» 802.11w роутер и/или телефон «Маши» будут игнорировать ложные пакеты «Пети». Необходимо сказать, что при «опциональном» режиме 802.11w «Петя» сможет использовать «атаку на понижение», что сводит эффективность этой меры к нулю.

II. Не верь глазам своим, а докажи

Допустим, «Петя» не смог отключить «Машу» от WiFi. Не унывая, «Петя» создает сеть со схожим ESSID(ESSID — заумный термин для «имени» сети), после чего телефон «Маши», ничего не подозревая, подключается к «клону». Эту атаку можно использовать для дюжины всяких «злодеяний», список которых мы сейчас опустим.

Чтобы не дать «Пете» создавать «черти-что», был придуман Operating Channel Validation — эта нехитрая «функция» сверяет, на каком канале находится конкретный ESSID. Если «Петя» попытается «клонировать» сеть «Маши», но на другом канале — OCV не даст подключиться к «клону».

III. Вы в прямом эфире

Оставив последние надежды, «Петя» решил заняться «сталкингом» в реальной жизни. Для своих «похождений» он решил использовать метаданные WiFi, чтобы понимать, когда «Маша» уходит, а когда приходит. Делается это предельно просто: когда конкретная «станция»(заумный термин для «телефон»), подключается к конкретному BSSID(физический адрес роутера), значит «Маша» дома, и vice versa.

Для того, чтобы обломать «Петю», «Маше» необходимо постоянно менять оба адреса; на телефоне это сделать просто, а вот на роутере — не очень. Зачастую, как и для других «продвинутых» функций, «Маше» придется прошивать OpenWRT. Там можно поставить «случайный» BSSID, который будет изменяться при каждом перезапуске сети.