Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

Часто сетевое оборудование недостаточно защищено не только у частных пользователей, но и в корпоративной среде. Многие пользователи и даже системные администраторы не изменяют дефолтные настройки доступа к панели управления и используют простые пароли Wi-Fi, а также уязвимые технологии типа WEP и WPS, фактически помогая взломщикам. Злоумышленник с помощью специального программного обеспечения может попытаться отключить клиентов (подключенные устройства) от взламываемой сети, чтобы при повторном их подключении перехватить так называемый хендшейк (или рукопожатие – информацию, содержащую данные, необходимые для расшифровки пароля) и методом перебора (брутфорса) подобрать правильный пароль[608]. Такая атака будет успешна в случае использования слабого пароля для доступа к Wi-Fi-сети. Во многих случаях данные для подключения к взломанным сетям утекают на специальные сайты, в том числе позволяющие увидеть на карте активные точки доступа и пароли к ним (например, https://www.wifimap.io).

В ряде других случаев для защиты беспроводных сетей может использоваться протокол WEP, в большинстве случаев относительно легко взламываемый злоумышленниками (путем перебора паролей после перехвата и анализа трафика с целью извлечения нужной для взлома информации, в том числе векторов инициализации – случайных чисел, используемых для инициализации алгоритма шифрования)[609]. Этот протокол давно считается устаревшим и уязвимым, тем не менее есть пользователи, его применяющие – по незнанию либо из-за ограничений оборудования (например, в сетях 802.11b). Для обеспечения достаточного уровня защиты следует использовать более стойкий протокол: WPA2 или WPA3.

Популярный способ быстрого доступа с помощью технологии WPS – когда для подключения к сети необходимо знать лишь ПИН-код устройства (в ряде случаев указанный на наклейке на его корпусе), состоящий из 8 цифр (причем из-за ошибки в стандарте злоумышленнику нужно угадать лишь 4 из них), также ослабляет защиту сети: хакеру достаточно 11 000 попыток перебора. Даже если после каждой попытки будет срабатывать защита от перебора и происходить 60-секундная задержка, весь процесс взлома займет не более недели. Сложность пароля для доступа к сети и частота его смены при этом не имеют никакого значения[610]. Кроме того, некоторые производители сетевых устройств генерируют ПИН-коды WPS на основе других известных значений, например, MAC-адреса устройства; в этом случае устройство взламывается практически мгновенно. Причем функция WPS может быть включена по умолчанию (и не отключена пользователем по незнанию) или ее отключение может быть заблокировано[611].

Скрытые сети также не обеспечивают должного уровня защиты (если нет надежного способа шифрования), так как злоумышленнику достаточно перехватить MAC-адрес (BSSID) такой сети, а затем дождаться, когда к ней будет подключаться один из клиентов с допустимым MAC-адресом (либо отключить уже подключенного, чтобы произошло повторное подключение). И тогда в процессе подключения клиент передает хендшейк с именем сети (SSID) и паролем, который также может быть перехвачен с помощью специального программного обеспечения.

Ограничение по конкретным MAC-адресам или по целым пулам (диапазонам) адресов также не гарантирует полноценной защиты, так как каждый клиент сети передает свой MAC-адрес с каждым отправленным пакетом. Перехватив MAC-адрес, злоумышленник может заменить им свой и подключиться к сети с фильтрацией по MAC-адресу, отключив легитимного клиента или дождавшись, пока тот отключится сам[612].

Подключившись к беспроводной сети, злоумышленник может попытаться получить доступ к сетевому устройству, чтобы в дальнейшем перехватывать трафик, менять DNS-адреса для проведения фишинговых атак, пробрасывать через взломанный маршрутизатор VPN-тоннели и т. п. Это становится возможным потому, что, как уже упоминалось выше, администраторы сетевых устройств не уделяют должного внимания защите доступа к интерфейсам администрирования. Многие пользователи не меняют логин и пароль, используемые по умолчанию для доступа к устройству, оставляя дефолтные (их указывают на наклейке на корпусе устройства или в руководстве к нему, а также на специальных сайтах типа https://routerpasswords.com) – наподобие admin/admin или admin/1234).

Еще один очевидный фактор, позволяющий злоумышленникам проникать в сети, – уязвимости в прошивках сетевых устройств. Многие пользователи не обновляют прошивки устройств вовремя и даже не имеют понятия, как и когда их обновлять. Некоторые модели устройств не поддерживают автоматического обновления. В некоторых других моделях, даже если автообновление поддерживается, пользователь должен для обновления прошивки дать устройству соответствующую команду или перезагрузить его.