Investigadores de seguridad
cibernética han lanzado una nueva herramienta llamada ‘Snappy’. Snappy puede
ayudar a detectar puntos de acceso WiFi falsos o no autorizados que intentan robar
datos de personas desprevenidas.
Los atacantes pueden crear puntos de acceso falsos en
supermercados, cafeterías y centros comerciales que se hacen pasar por los
reales ya establecidos en el lugar. Esto se hace para engañar a los usuarios
para que se conecten a los puntos de acceso no autorizados y transmitan datos
confidenciales a través de los dispositivos de los atacantes.
Como los atacantes controlan el enrutador, pueden capturar y analizar los datos transferidos realizando ataques de intermediario.
Tom Neaves, investigador de seguridad
de Trustwave y entusiasta de la tecnología inalámbrica/RF, explica que
falsificar las direcciones MAC y los SSID de los puntos de acceso legítimos en
redes abiertas es trivial para los atacantes determinados.
Los dispositivos de quienes vuelvan a
visitar las ubicaciones de las redes inalámbricas abiertas a las que se
conectaron previamente intentan volver a conectarse automáticamente a un punto
de acceso guardado, y sus propietarios no se dan cuenta del hecho de que se
están conectando a un dispositivo malicioso.
Snappy al
rescate
Por ello, Neaves desarrolló una
herramienta que aborda este riesgo común, ayudando a las personas a detectar si
el punto de acceso que están usando es el mismo que usaron la última vez (y
todas las veces) o si podría ser un dispositivo falso o no autorizado.
Mediante el análisis de Beacon
Management Frames, encontró ciertos elementos estáticos como el proveedor,
BSSID, tasas admitidas, canal, país, potencia de transmisión máxima y otros que
varían entre diferentes puntos de acceso inalámbrico 802.11 pero son
consistentes para un punto de acceso específico a lo largo del tiempo.
El investigador pensó que podía
concatenar estos elementos y codificarlos con SHA256 para crear una firma única
para cada punto de acceso, que podría ser utilizada por una herramienta de
escaneo para generar coincidencias y discrepancias.
Las coincidencias significan que el
punto de acceso es el mismo, por lo tanto, confiable, mientras que las
discrepancias en la firma significan que algo ha cambiado y que el punto de
acceso podría ser falso.
Esta funcionalidad se incorporó a un
script de Python llamado Snappy que está publicado en el repositorio de GitHub de
Trustwave y se puso a disposición de forma gratuita.
Además del mecanismo para generar
hashes SHA256 de puntos de acceso inalámbricos, Snappy también puede detectar
puntos de acceso creados por Airbase-ng, una herramienta que los atacantes
utilizan para crear puntos de acceso falsos para capturar paquetes de usuarios
conectados o incluso inyectar datos en su tráfico de red.
La ejecución de scripts de Python en
computadoras portátiles debe ser sencilla siempre que Python esté instalado,
pero los usuarios de dispositivos móviles tendrán que hacer un esfuerzo
adicional para obtener intérpretes y emuladores específicos.
Los propietarios de dispositivos
Android pueden usar Pydroid, QPython o Termux para ejecutar scripts de Python
en sus teléfonos, mientras que los usuarios de iOS pueden elegir entre
Pythonista, Carnets y Juno.
Con suerte, Trustwave considerará
publicar pronto la herramienta en una forma más útil para una audiencia más
amplia.
Cómo detectar redes Wi-Fi falsas operadas por hackers