17
Pró-Reitoria Acadêmica Escola de Politécnica Lato Sensu em Perícia Digital Trabalho de Conclusão de Curso ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM FIO WIFI Autora: Priscila Laís Bragato Veiga Orientador: Prof. Esp. João Eriberto Mota Filho Brasília - DF 2015

ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

Embed Size (px)

Citation preview

Page 1: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

Pró-Reitoria Acadêmica

Escola de Politécnica

Lato Sensu em Perícia Digital

Trabalho de Conclusão de Curso

ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES

SEM FIO WIFI

Autora: Priscila Laís Bragato Veiga

Orientador: Prof. Esp. João Eriberto Mota Filho

Brasília - DF

2015

Page 2: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

PRISCILA LAÍS BRAGATO VEIGA

ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM FIO WIFI

Artigo apresentado ao curso de Pós Graduação Lato

Sensu em Perícia Digital da Universidade Católica

de Brasília, como requisito parcial para obtenção do

Título de Especialista em Perícia Digital

Orientador: Prof. Esp. João Eriberto Mota Filho

Brasília

2015

Page 3: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

Artigo de autoria de Priscila Laís Bragato Veiga, intitulado "ANÁLISE DA

CONFIABILIDADE DE ENLACE DE REDES SEM FIO WIFI", apresentado como requisito

parcial para obtenção do diploma de conclusão de curso de especialização em Perícia Digital

da Universidade Católica de Brasília, em _____de ____________ de 2015, defendido e

aprovado, pela banca examinadora abaixo assinada:

_________________________________________________

Professor Esp. João Eriberto Mota Filho

Orientador

Curso de Perícia Digital - UCB

_________________________________________________

Professor Esp. Alexandre Antonio Antunes de Almeida

Examinador

Curso de Perícia Digital - UCB

Brasília

2015

Page 4: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

4

ANÁLISE DA CONFIABILIDADE DE ENLACE EM REDES SEM FIO WIFI

PRISCILA LAÍS BRAGATO VEIGA

Resumo: As infraestruturas de WiFi (marca que certifica que produtos pertencentes à classe de

dispositivos de rede local sem fio são baseados no padrão IEE802.11) tornaram-se presentes

em quase qualquer lugar, não só em ambientes corporativos, mas também em locais públicos,

onde são conhecidos como hotspots, que são pontos de acesso à Internet em aeroportos,

shoppings, restaurantes, hospitais, escolas, bibliotecas e até mesmo nos ônibus. Podemos

encontrar redes sem fio que nos permitem acessar a Internet em praticamente qualquer lugar.

Perguntar pelo nome da rede sem fio, e às vezes pela senha, de um estabelecimento tornou-se

cotidiano na vida de boa parte dos brasileiros. Apesar dos benefícios essa existência de acesso

ilimitado pode colocar seus usuários em risco uma vez que este cenário traz à luz

vulnerabilidades na confiabilidade de qualquer rede sem fio. O objetivo dessa pesquisa é o de

demonstrar a vulnerabilidade de redes WiFi onde os dispositivos clientes conectam-se

automaticamente a redes consideradas conhecidas e confiáveis a partir da análise da taxa de

sucesso dos resultados obtidos em testes de auditoria de redes sem fio. Trata-se de uma pesquisa

experimental feita numa área de aproximadamente 50m², no período de 15 de setembro a 18 de

outubro de 2015. Os testes de penetração resumem-se na aplicação sistemática de

funcionalidade do ataque conhecido como Rogue-AP, disponíveis no equipamento “WiFi

Pineapple”. Para tanto é utilizada a metodologia aplicada, com ênfase no aspecto quantitativo

e usando a prospecção de dados em campo.

Palavras-chave: WiFi. Camada de Enlace. Ponto de Acesso.

1 INTRODUÇÃO

As infraestruturas de rede sem fio, mais conhecidas como WiFi e conceituadas a partir

da adoção do padrão 802.11 criado pela Institute of Electral and Eletronics Engineers (IEEE),

tornaram-se praticamente onipresentes, e nos permitem acessar à Internet quase que de forma

ilimitada.

Em linhas gerais os dispositivos com conexão WiFi possuem, hoje, a funcionalidade

de se conectar a redes conhecidas. Essas são redes as quais o dispositivo se conectou por mais

de uma vez e foram definidas como confiáveis. Determinar se uma rede sem fio é ou não

confiável é uma tarefa desempenhada pelo sistema operacional do dispositivo a partir de

configuração padrão. O usuário tem a possibilidade de reverter esse comportamento se

desabilitar a interface sem fio como um todo, ou ainda alguns sistemas operacionais mais

atualizados, como o Android 5 (também conhecido como Lollipop), automaticamente, depois

de algumas tentativas de conexão com suas redes preferidas, desabilita a interface Wireless

(sem fio), porém uma vez que esta esteja ligada o dispositivo estará exposto a vulnerabilidade

intrínseca desta funcionalidade.

Esse comportamento dos sistemas operacionais coloca em xeque muitos métodos de

segurança envolvidos no estabelecimento da conexão a uma rede sem fio pois nesta linha de

raciocínio existe um ataque conhecidos como “Rogue-AP” (ponto de acesso falso) que se

Page 5: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

5

caracteriza pela identificação da existência dispositivos fazendo broadcast, que é a busca por

redes WiFi conhecidas. Uma vez com uma lista de redes confiáveis por dispositivos à sua volta

pode-se simular tais redes e os dispositivos, smartphones e outros que confiam nestas redes irão

automaticamente se conectar, sem perguntar ao usuário ou mesmo verificar se o método de

autenticação é compatível com o registrado no sistema operacional.

Em teoria o ataque Rogue-AP parece simples e certeiro; entretanto a prática demonstra

que os resultados não são tão animadores. A lista de tarefas para que o ataque tenha sucesso

envolve outras investidas que devem ser feitas em conjunto e paralelamente à principal, além

de uma boa dose de paciência e determinação.

Para obter uma lista de redes confiáveis deve-se “ouvir” os SSIDs1 que os dispositivos

em volta estão pedindo. Para isso é necessário que os dispositivos perguntem em uma

frequência maior do que a padrão dos sistemas operacionais, logo, é necessário um ouvido

bastante sensível. Por conta disso serão utilizados adaptadores USB (Universal Serial Bus) sem

fio com antenas de alto ganho.

Uma vez com o SSID de uma rede confiável da vítima, o atacante deve criar uma rede

sem fio com o mesmo nome, mas apenas isso não basta para que o alvo se conecte a essa “rede

simulada” pois, como dito anteriormente, a frequência em que os sistemas operacionais buscam

por redes confiáveis não é alta o bastante para estabelecer uma conexão imediata ou pelo menos

a tempo para que um ataque de obtenção de dados seja efetivo; logo se faz necessário que além

do SSID idêntico, esta rede “fale alto, claro e muito” quem é ela – emulando aquela à qual o

dispositivo confia. E esse é um uma outra investida.

O ataque é considerado um sucesso quando a vítima se conecta, obtendo um endereço

IP2 de uma rede não confiável acreditando ser uma de sua lista de confiáveis. Obter um IP na

rede ocorre somente se o protocolo DHCP3 está habilitado para ambas as redes, tanto a confiável

quanto a falsa.

2 REFERENCIAL TEÓRICO

A seguir apresentam-se os conceitos de rede sem fio padrão IEEE 802.114, os

elementos lógicos necessários ao experimento, os métodos de teste de confiabilidade e os

motivos pelos quais os resultados desta pesquisa são importantes a sociedade. O referencial

teórico deste experimento terá fulcro na obra “Wireless Hacking - Ataques e segurança de redes

sem fio WiFi”, do autor Marcos Flávio Araújo Assunção. Neste livro são apresentados os

métodos de ataque a redes sem fio que são implementados nesta pesquisa de modo sistêmico e

automático por intermédio do equipamento (appliance) WiFi Pineapple

(https://www.wifipineapple.com/).

2.1 REDES SEM FIO WIFI E O PADRÃO IEEE 802.11

Ao fazer referência à obra de Tanenbaum (2003): WiFi é o nome dado para a

implementação e padronização das redes locais sem fio pelo comitê do IEEE, e é, atualmente

1 Service Set Identifier ou nome da rede sem fio.

2 Internet Protocol: endereço do dispositivo quando conectado a uma rede ou a Internet.

3 Dynamic Host Configuration Protocol, ou em tradução livre, protocolo de configuração dinâmica de computador.

4 http://www.ieee802.org/11/ - Acesso em 03/10/2015.

Page 6: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

6

uma marca registrada (WiFi Alliance) utilizada por produtos certificados que pertencem à

classe de dispositivos de rede local sem fios (WLAN) baseados no padrão IEEE 802.11.

A WiFi Aliance foi criada com o intuito de cobrir uma falha de especificação na IEEE

802.11. Podemos dizer que toda rede sem fio é IEEE 802.11 e quase toda rede é WiFi. Essa

margem existe, pois, a WiFi Aliance provê um segundo grau de compatibilidade entre

equipamentos que já utilizam a IEEE 802.11.

A IEEE 802.11 é um grupo de profissionais do Institute of Eletronical and Eletronics

Engineers, responsável por estudar e desenvolver padrões para redes sem fio, ou como

comumente chamamos de wireless. O IEEE (ou I3E como é usualmente referida no Brasil) é

uma organização criada por volta de 1960 e que reúne engenheiros, cientistas, especialistas em

computação, telecomunicações entre outras áreas da tecnologia e, de acordo com Eriberto

(2013), “é responsável por especificar diversos padrões de hardware e seus respectivos

protocolos de rede”.

IEEE 802.11 é, no final das contas, uma norma que rege aspectos sobre a utilização

das frequências de banda 2.4, 3.6, 5 e 60Ghz. Sobre o termo IEEE802.11 Tanenbaum5 nos

ensina que consiste de uma série de técnicas de modulação, onde o meio é o ar, pelo sistema

conhecido por half-duplex (HDX) na qual a transmissão e a recepção ocorrem de modo

alternado.

2.2 CAMADA DE ENLACE

Ao citar Tanenbaum referente ao assunto em relação ao modelo OSI (Open System

Interconnect), temos que tal modelo é responsável por controlar o fluxo (recepção, delimitação

e transmissão de quadros). Ou seja, é nesta camada que ocorre a transmissão e recepção dos

dados por meio de frames, ou quadros, portanto é onde ocorre o controle de fluxo. É também

nesta camada que ocorre o estabelecimento do protocolo de comunicação entre sistemas

diretamente conectados.

Entre os possíveis protocolos de comunicação temos o protocolo ethernet. Nele, cada

placa possui um endereço físico, ou endereço MAC, que deve ser único. Redes ethernet podem

seguir o padrão IEEE802 ou não, entretanto para esta pesquisa nos interessa aquelas que seguem

o padrão desenvolvido pelo referido Instituto uma vez que para redes sem fio WiFi o padrão

IEEE802.11 é necessariamente implementado.

A Camada 2 é responsável pelo link, ou enlace ou ainda podemos chamar de ligação,

tanto no modelo OSI quanto no modelo TCP/IP.

2.3 ANTENAS E RÁDIOS

Antenas são as interfaces físicas (PHY) do meio de transmissão sem fio. Dentro do

padrão 802.11 podem ser utilizadas múltiplas antenas a fim de aumentar as taxas de

transmissão.

Tanenbaum6 diz que “as propriedades das ondas de rádio dependem da frequência. Em

baixas frequências, as ondas de rádio atravessam os obstáculos, mas a potência cai

abruptamente à medida que a distância da fonte aumenta, cerca de 1/ r2 no ar.” Logo quanto

5 Tanenbaum. “Redes de computadores”, p. 72.

6 Tanenbaum. Op. cit., p. 92.

Page 7: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

7

mais poderosos forem os transmissores e receptores, mais distantes eles podem estar um do

outro. Estações de rádio usam transmissores gigantes, e é por isso que podemos captar sinais

de rádio a milhares de quilômetros de distância, do outro lado da Terra. Internet sem fio é

simplesmente um modo de usar as ondas de rádio para enviar e receber pacotes de dados da

Internet ao invés de sons de rádio ou imagens da televisão. Entretanto, ao contrário desses dois,

é tipicamente usada para enviar sinais apenas em uma distância relativamente curta com

transmissores de pouca potência.

O conceito de rádio pode ser resumido em: envio de mensagens a partir de um

transmissor para um receptor na velocidade da luz através de ondas de rádio. Na rede sem fio,

a comunicação é bidirecional: há um transmissor e receptor, tanto seu computador (ou

dispositivo de mão) e um equipamento (como um roteador) que você se conecta à Internet.

Existem antenas de diversos tipos de antenas sendo que cada um possui um objetivo

específico ou pelo menos uma ação a qual é mais propícia para. Podemos encontrar antenas

direcionais do tipo Yagi, painel, setor e grelha onde dentre as duas primeiras podem existir as

para ambiente interno e externo. Em geral as antenas de grelha são exclusivamente para

ambientes externos assim como as de setor para ambientes internos devido a suas características

individuais de construção e design.

Diferente das antenas omnidirecionais, as direcionais devem estar devem estar

direcionadas para o sinal do transmissor ou do receptor que podem ser, por exemplo, um

roteador ou um hotspot.

É importante lembrar que o sinal das antenas, quaisquer que sejam, por se tratar de

sinal de rádio, está sujeito a perdas por obstáculos naturais e por aqueles construídos pelo

homem, como prédios, colunas de concreto e até janelas de vidro.

2.4 WIFI PINEAPPLE

A WiFi Pineapple é um equipamento customizado de auditoria de redes sem fio que

criada pelo grupo Hak57. Seu hardware e softwares foram desenvolvidos especificamente para

permitir aos utilizadores a implementação rápida e fácil de ataques avançados usando uma

interface Web que é composta em janelas que apresentam ações que podem ser tomadas em

relação a atualização do software do equipamento e controle de módulos. Ao utilizar um sistema

embarcado Linux de arquitetura MIPS (Microprocessor without interlocked) a WiFi Pineapple

disponibiliza comandos usuais a administradores de sistemas Linux/Unix como ‘ifconfig’ ou

‘uname’ além de outros criados pela equipe da Hak5, como ‘pineap’, que servem para criar um

ponto de acesso que é utilizado nos mais diversos ataques disponíveis no equipamento. Com o

foco em usuários e testadores avançados, o equipamento fornece acesso via SSH8 assim como

qualquer outro Linux o faz através do daemon9 ‘sshd‘.

7 https://hak5.org/about. Acesso em 08/10/2015.

8 Protocolo de rede criptografado que permite login remoto entre outros serviços de rede para serem operados em

segurança sobre uma rede insegura. 9 Programa de computador que roda em background, ou plano de fundo, de forma independente. Trata com

diferentes requisições vindas de serviços tais como as de atividade de hardware, ou rede.

Page 8: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

8

A última versão da WiFi Pineapple é a Mark V que possui o kernel10 na versão 3.3.8

para MIPS11, como pode-se ver abaixo:

root@freewifi-project:~# uname -a Linux freewifi-project 3.3.8 #81 Mon Aug 3 19:40:39 PDT 2015 mips

GNU/Linux

A WiFi Pineapple também pode ser chamada de MK5 uma vez que seu nome completo

é WiFi Pineapple Mark V.

2.4.1 MK5 Karma Ao referenciar o entendimento de MK5 Karma explicado na interface web do

equipamento, temos que este é um módulo da suíte PineAP que se destina a acolher os pontos

de acesso falsos. Isto é conseguido por intermédio de pedidos dos dispositivos em volta sobre

suas redes preferidas e por respostas a esses pedidos. Por exemplo, se um cliente pede por um

Ponto de Acesso com o SSID "wireless_network" o MK5 Karma irá responder este nome. Além

disso o MK5 Karma suporta os módulos Dogma, Beacon Response e Harvest SSIDs do

conjunto PineAP.

O MK5 Karma possui duas opções que podem ser habilitadas: Probe e Associations.

Ao fazer isso inicia-se a criação de registro de “probes”, ou testes e/ou associações de estações

ao ponto de acesso falso.

2.4.2 PineAP

PineAP é um conjunto de “rogue-APs”, ou seja, pontos de acesso falsos projetados

para ajudar o auditor WiFi a coletar clientes por meio da imitação de suas redes preferidas

(Preferred Networks). Na MK5 é possível criar um ou mesmo vários pontos de acesso a partir

de uma única rede sem fio, que pode ser aberta ou privada em WEP (Wired Equivalent Privacy),

WPA (WiFi Protected Access) ou WPA2-Personal (O WPA2 ou 802.11i foi uma substituição

da 'WiFi Alliance' em 2004 à tecnologia WPA, através de um novo certificado para redes sem

fio mais confiável). Ainda existe a possibilidade desta rede possuir autenticação Radius12

WPA2-Enterprise onde é utilizada uma estrutura mais complexa, onde o ponto de acesso é

ligado a um servidor de controle e autenticação. O falso ponto de acesso, além de não possuir

um nome, também é uma rede escondida. Ao habilitar o Pine-AP o que de fato ocorre é:

- O adaptador de rede sem fio Atheros (wlan0) entra em modo Master, o que

significa que este está provendo uma rede; e

- Um segundo adaptador, que possui suporte a IEEE 802.11 ‘b’ e ‘g’ apenas, entra

em modo Monitor Promisc o que permite que todo o tráfego seja monitorado e

capturado mesmo sem aquela interface estar associada a um ponto de acesso.

10 Componente central de um sistema operacional. Aquele que controla as requisições de entrada e saída vindas

dos softwares e as traduz para instruções para a unidade central de processamento. 11

Microprocessor without Interlocked Pipeline Stages - Arquitetura de processador com quantidade de instruções

reduzida. 12

Remote Authentication Dial In User Service.

Page 9: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

9

2.4.3 Beacons Response

Beacon Response, como explicado na ajuda de interface web do MK5, é um módulo

da suíte PineAP e destina-se a reforçar o MK5 Karma anunciando o SSID da rede preferida aos

clientes em potencial. Por exemplo, se um cliente (estação) faz um probe13 para o ponto de

acesso com o SSID "wireless_network", o módulo MK5 Karma vai responder com uma

resposta usando "wireless_network" como SSID. Se o “Beacon Response” estiver habilitado

serão enviados frames de advertising, ou seja, quadros propagando que aquele ponto de acesso

(Access Point – AP) é “wireless_network”. Este módulo serve como reforço para agregar

confiança de que o Rogue-AP é um simplesmente um ponto de acesso de “wireless_network”.

A ordem dos módulos no menu de seleção da interface web do MK5, qual seja, Send

Beacon Responses, Harvest SSIDs e Dogma, sugere um conjunto de testes bastante útil uma

vez que o primeiro passo para se tornar um ponto de acesso conhecido é, depois de criado o

ponto de acesso, anunciar o nome da rede que se quer fingir pertencer, ou seja, passar-se por

esta rede. Em outras palavras, é fazer a “propaganda” de que o ponto de acesso pertence ao

grupo de redes preferidas dos dispositivos ao redor.

2.4.4 Harvest SSIDs

Harvest SSIDs é um outro módulo da coleção PineAP que serve para coletar os nomes

das redes, as SSIDs, de um cliente (estação) que faz probe requests. De acordo com a descrição

fornecida na interface web do roteador, estes nomes são adicionados a uma lista de

gerenciamento de SSIDs. Esta lista é utilizada no módulo Dogma para transmitir beacons e

propagar estes pontos de acesso falso (base station).

Podemos dizer que esta funcionalidade cria a lista de nomes de redes as quais a MK5,

com a suite PineAP ligada, pode fingir ser. Na literatura não oficial em fóruns de discussão

sugere-se a utilização do Harvest SSIDs com uma antena direcional externa a fim de captar o

maior número de SSIDs possível, caso o objetivo seja conhecer redes WiFi distantes até uma

distância aproximada, em também determinada direção, caso existem poucos obstáculos, a

partir de um ponto.

Este módulo necessita de uma interface de rede em modo Monitor, por isso, ao

habilitar a suite Pine-AP, como explicado no ítem 2.4.2, a interface Realtek RTL8187 IEEE

802.11 b/g, ou wlan1, é colocada neste modo, para que a partir a monitoração do tráfego seja

possível a criação da lista de SSIDs.

2.4.5 Dogma

Dogma é o módulo da coleção PineAP que irá reforçar o advertising com a propagação

dos pontos de acesso falsos. Pode-se configurar como fonte e alvo endereços MAC específicos.

Se o alvo for específico somente o cliente (estação) que tem aquele MAC irá observar o beacon

frame. Caso o alvo seja definido como FF:FF:FF:FF:FF:FF, todos os clientes/estações serão

alvo.

13

Palavra utilizada para designar teste de conectividade na camada de enlace. Não é conhecida uma tradução usual

para o português.

Page 10: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

10

Por exemplo, quando utilizando a configuração padrão do módulo Harvest SSIDs, o

Dogma irá propagar a WiFi Pineapple para todos os clientes como todos os APs coletados. A

taxa normal é de aproximadamente 400 beacons por segundo, entretanto ainda existe a

possibilidade de aumentar ou reduzir esta velocidade.

3 METODOLOGIA E MATERIAIS

O estudo sobre o tema foi realizado considerando-se a bibliografia disponível, as

pesquisas dos sites que tratam do equipamento MK5, do comitê IEEE802.11, da WiFi Alliance

entre outros sites não oficiais e leitura de artigos científicos relacionados a segurança de redes

sem fio. Além disso também foram realizados experimentos entre os dias 15 de setembro a 18

de outubro de 2015.

Elaborou-se o esteio para a classificação da pesquisa a partir de artigos e estudos

científicos que orientam a produção científica nessa seara.

a. Quanto à natureza - Pesquisa científica aplicada: Com a produção de

conhecimento sobre a confiabilidade de enlace de redes sem fio WiFi. O

presente artigo demonstra a fragilidade com que a ligação é feita entre cliente,

ou estações, e roteadores WiFi.

b. Quanto a forma de abordagem do problema: Pesquisa de quantitativa uma vez

que é feita uma estatística a partir da relação de uma lista de nomes de redes e a

quantidade de dispositivos se conectaram ao ponto de acesso falso, criado no

experimento, em um determinado período de tempo.

c. Quanto aos fins esta é uma pesquisa explicativa com viés exploratório: Por

detalhar técnicas utilizados na auditoria de redes sem fio, utilizando um

equipamento específico - WiFi Pineapple Mark V, onde a literatura de referência

concernente ao assunto em português é escassa.

d. Quanto aos meios: Experimental, uma vez que se trata de uma investigação

empírica onde manipula-se variáveis, que são os elementos físicos e lógicos, tais

como utilização de tipos variáveis de antenas, afim de observar as variações de

tais manipulações.

3.1 INSTRUMENTOS E EXPERIMENTO

Para fornecer uma estatística relacionada a taxa de dispositivos conectados ao ponto

de acesso criado pelo MK5 em um intervalo de tempo foi elaborado um experimento que utiliza

os módulos PineAP em determinada ordem associado a elementos físicos tais como antenas e

um smartphone fornecendo conexão 4G (é a quarta geração de tecnologia de telecomunicações

móveis) para acesso à Internet.

O objetivo do experimento é obter dados suficientes para elaboração estatística sobre

o estabelecimento de conexão entre o cliente/estação e o roteador que é o MK5. Para isso foi

necessário que este experimento fosse dividido em 3 etapas: A alimentação da lista com nomes

de redes (SSID), análise de logs (registro de eventos) de probes e associações às redes preferidas

e demonstração de seleção de estações e redes alvo, e por fim levantamento estatístico das

associações ocorridas em um intervalo de tempo.

O equipamento utilizado nesta pesquisa foi composto de:

Page 11: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

11

- Roteador WiFi Pineapple Mark V conectado a uma antena direcional interna do tipo

painel de 12 dBi14 e a uma antena omnidirecional interna de 9dBi;

- Smartphone com suporte à conexão 4G com chip habilitado em operadora local de

celular para conexão 4G para tethering, como pode ser observado na Figura 1.15

Figura 1.

3.1.1 Alimentação da lista de nomes de redes utilizando o Harvest SSIDs.

Como citado no item 2.4.4, entre os estudiosos da comunidade de redes sem fio existe

a sugestão da utilização de uma antena direcional externa de alto ganho (acima ou igual a 5dBi)

a fim de maximizar a quantidade de SSIDs captados em uma determinada direção, entretanto

devido a limitações do espaço físico onde o experimento foi desenvolvido optou-se por uma

antena de painel direcional para uma área comercial com fluxo de pessoas mediano, com ganho

de 12dBi.

No período decorrente do experimento o módulo Harvest SSIDs trabalhou utilizando

a citada antena e foi capaz de gerar uma lista com 1362 nomes de redes sem fio, ou SSIDs.

Ainda conforme explicado no mesmo item desta pesquisa a coleta dos SSIDs ocorre

independente da rede em questão ter ou não método de autenticação e criptografia.

3.1.2 Análise de logs e demonstração de escolha de alvos.

14

dB é a sigla para decibel, onde a letra i faz parte da representação desta medida indica então o ganho em relação

a uma hipotética antena isotrópica que é seria uma antena ideal impossível de ser construída e usada

exclusivamente para referenciar medições. 15

Termo em inglês que corresponde à prática de utilizar-se de um dispositivo móvel, tal qual um smartphone, para

compartilhar rede de dados celular.

Page 12: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

12

Os logs no MK5 são obtidos, como explicado no item 2.4.1 por meio da habilitação das

opções Probe e Associations. Durante o experimento, em um primeiro momento optou-se por

registrar os probes, ou seja, os pedidos por SSIDs preferidos dos dispositivos dentro do alcance

da antena utilizada (a direcional de painel). Isto ocorreu pois a escolha das estações-alvo deve-

se basear na quantidade de probes request que elas fazem, ou seja, quanto maior a frequência

de requisições de uma estação, maior é a chance de esta se associar a um ponto de acesso com

mesmo nome de uma de suas redes sem fio preferidas. Por exemplo: o MAC f0:25:b7:f2:22:bb

requisitou pelo SSID “wireless_network” todos os dias entre 15/09/2015 e 18/10/2015 pelo

menos 10 vezes por dia. Podemos dizer que esta estação tem uma grande chance de se conectar

a um access-point chamado “wireless_network”, se comparado a uma outra estação que fez

apenas 10 probes durante o mesmo intervalo de tempo.

Ainda num primeiro momento obter registros de probes também se faz importante para

selecionar os SSIDs a serem replicados, uma vez que um nome que aparece diversas vezes é

solicitado, com alta frequência, por pelo menos uma estação. Com uma lista de estações e SSIDs

pode-se então selecionar os alvos.

Com o objetivo de dar solidez a estatística gerada nesta pesquisa não foi determinada

uma estação alvo, ou seja, não foi escolhido nenhum endereço MAC específico como alvo para

a configuração no conjunto PineAP. Desta forma, conforme explicado no item 2.4.5, utilizou-

se o valor FF:FF:FF:FF:FF:FF no campo Target da aba PineAP na interface web de

configuração da MK5.

3.1.3 Levantamentos estatístico de associações ocorridas entre os dias dia 15 e setembro e

18 de outubro de 2015.

Com a análise dos logs é possível verificar em determinado período de tempo a

quantidade de probes e associações a uma Rogue-AP ocorridas, e estabelecer uma relação entre

estas ações que ocorrem na camada de enlace de modo a indicar, em um ambiente de variáveis

controladas, uma relação estatística entre ambas.

Como dito no item 3.1.1 uma antena direcional do tipo painel e interna de 12dBi de

ganho foi utilizada com o intuito de otimizar a performance da obtenção dos SSIDs para a

geração da lista feita pelo módulo Harvest SSIDs. Uma antena do tipo painel, interna e

direcional pode atingir até 2 milhas de distância, ou seja, aproximadamente 3218 metros. É

sabido que o alcance do sinal de uma antena depende bastante, da quantidade e qualidade dos

obstáculos à sua frente. Entretanto aferir o alcance do sinal desta antena não foi possível uma

vez que a esta encontra-se em modo monitor, sem a provisão de uma rede WiFi, de fato. Pode-

se observar abaixo que a interface wlan116 está monitorando o que passa na frequência 2.437

GHz.

root@freewifi-project:~# iwconfig wlan0 wlan0 IEEE 802.11bgn Mode:Master Tx-Power=18 dBm RTS thr:off Fragment thr:off Power Management:off

root@freewifi-project:~# iwconfig wlan1 wlan1 IEEE 802.11bg ESSID:off/any Mode:Managed Access Point: Not-Associated Tx-Power=27 dBm

16

Nome dado a interface, no sistema operacional do roteador MK5 associado ao adaptador de rede Realtek

RTL8187 IEEE 802.11 b/g.

Page 13: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

13

RTS thr:off Fragment thr:off Encryption key:off Power Management:off

A fim de otimizar as associações ao Rogue-AP foi utilizada uma antena omnidirecional

interna de 9dBi. A intenção, neste caso, foi a de prover o sinal da interface wlan1 de modo a

atingir dispositivos que circulassem na área de alcance da antena de wlan0. O alcance máximo,

sem obstáculos, desta antena é de 0,25 milha, o que dá aproximadamente 402 metros. Pensando

nisso, usando um medidor de sinal por software instalado em um dos smartphones que

participaram desta experiência, foi possível determinar que o alcance do sinal do Rogue-AP

criado foi de aproximadamente 160 metros uma vez que os obstáculos na área de atuação do

experimento são diversos. A área é circundada por 3 prédios de 3 andares cada, sendo que

localização da antena em questão era no primeiro andar de uma das construções.

Conforme descrito no item 2.4.1 o módulo MK5 Karma destina-se a responder a

probes requests repetindo o SSID solicitado pela estação, para executar tal tarefa se faz

importante o registro desses eventos, de requisições e associações, de modo a possibilitar que

o módulo possa saber o nome da rede a ser copiado. A gravação deste log ocorre em um arquivo

chamado pineap.log dentro de um diretório especificado em “Karma Log Location” na aba

Karma da suíte PineAP. Este registro, em nenhum momento, é rotacionado, ou seja, desde que

o MK5 Karma esteja habilitado haverá log. Logo, com contagem de linhas referente às

tentativas, ou probes, e as associações de fato, é possível determinar a taxa de sucesso de

associações ao ponto de acesso falso, ou Rogue-AP.

Dentro do ambiente do experimento, no intervalo de tempo de 15 de setembro a 18 de

outubro de 2015 foram registrados 9513 probes e 969 associações. Desta forma temos que:

a) 9513 equivale a 100% das associações uma vez que são todos as tentativas

registradas; e

b) 969 equivale a X% das associações, aquelas que de fato ocorreram ao ponto de

acesso falso.

root@freewifi-project:/sd# wc -l sdpineap.log 10483 sdpineap.log root@freewifi-project:/sd# egrep associa sdpineap.log | wc -l 969 root@freewifi-project:/sd# egrep Probe sdpineap.log | wc -l 9513

Efetuando um cálculo simples de regra de três entre os elementos acima onde existe

apenas uma única variável indefinida, temos que X é igual a aproximadamente 10,1%.

O experimento consistiu em habilitar todas as funcionalidades e módulos descritos no

item 2.4 conforme explicado no item 3.1.2. Desta forma a representação gráfica do advertising

de todos os SSIDs da lista provida pelo Harvest SSIDs para quaisquer estações em volta, se dá

conforme a Figura 2. Já na Figura 3, pode-se observar que as redes estão com o mesmo endereço

MAC.

Figura 2.

Page 14: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

14

Figura 3.

Para se somar informações sobre a relevância estatística deste estudo, foram obtidos

os valores das mesmas variáveis referentes exclusivamente ao dia 18 de outubro de 201517 onde

temos 900 probes e 14 associações, dando uma taxa de aproximadamente 1,56% de associações

por probes, ou tentativas.

A avaliação de apenas um dia se faz importante pois demonstra que:

- Em dias de pouca movimentação de pessoas, como no dia 18 de outubro, que foi

um domingo, a taxa de associações cai, logo o sucesso da aplicação do Rogue-

AP como sugerido neste experimento é diretamente proporcional a quantidade

de dispositivos dentro da área em que a pesquisa foi executada.

- Quanto maior a lista criada através da utilização do módulo Harvest SSID maior

a chance do módulo MK5 Karma responder com um nome conhecido e

consequentemente maior será a chance de a associação ocorrer.

17

A lista de SSIDs criada pelo Harvest SSIDs foi limpa neste dia.

Page 15: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

15

4 RESULTADO DA PESQUISA

Nas exposições e experimentos realizados nesta pesquisa observou-se que a taxa de

sucesso de associação de dispositivos a pontos de acesso falsificados depende de muitas

variáveis dentre as quais algumas são de difícil controle, como a quantidade de pessoas, ou seja,

dispositivos, passando pela área do estudo. Outras variáveis como a utilização de antenas

apropriadas e a aplicação de métodos de ataque associados a um Rogue-AP também alteram de

forma determinante os resultados haja vista que o alcance da pesquisa se deu de acordo com o

ganho, em decibéis, das antenas e a qualidade e quantidade de obstáculos existentes no

ambiente.

Entretanto pode-se verificar que a confiabilidade de enlace em redes WiFi é frágil uma

vez que, em teoria, basta criar um ponto de acesso (AP) com o mesmo nome (SSID) e um sinal

forte o suficiente para se sobrepor ao do AP original para se ter sucesso na associação da estação

ao AP falso.

5 CONCLUSÃO

A intenção desta pesquisa deu-se em demonstrar a fragilidade da confiabilidade de

enlace em redes sem fio WiFi através da aplicação da teoria de pontos de acesso falsificados.

Notadamente esta prática se mostra de dificuldade média a alta uma vez que pouca

documentação relativa ao assunto está disponível, seja no meio acadêmico ou na comunidade

de tecnologia da informação, e a incidência de variáveis de difícil previsão tais como fluxo de

pessoas, ou seja, de estações, uma vez que isso pode variar de acordo com o dia da semana,

horário e até o clima.

Logo temos que o resultado desta pesquisa se dá em confirmar que o enlace de redes

sem fio WiFi possui um critério de confiabilidade discutível, uma vez que pode ser copiado,

clonado e falsificado facilmente; e apresentar dados estatísticos que comprovem a efetivação

de sucesso na aplicação de ataques sobre a camada de ligação de redes WiFi.

Diante do que precede, resta um alerta para a comunidade acerca do uso despretensioso

e desatento de redes WiFi, sejam elas hotspots (públicas) ou em locais supostamente seguros,

em redes privadas na casa de amigos, restaurantes ou mesmo no próprio local de trabalho.

Diante das estatísticas e teorias expostas neste trabalho conclui-se que o enlace em

redes sem fio WiFi tem sua confiabilidade fragilizada ao ponto de não ser, de fato, mais

confiável ao ser atingido por ataques caracterizados pela falsificação de SSIDs. Na verdade,

observa-se que não parece existir um método de confiabilidade relativo a ligação de roteadores

ou pontos de acesso e estações uma vez que um nome, que pode se repetir em qualquer lugar,

não garante que determinada rede é de fato aquela que está se anunciando.

Com a expansão das redes sem fio WiFi na banda 2.4GHz no Brasil, a probabilidade

de identificação de quais redes são originais e quais são falsas se torna exponencialmente

menor. A observação dos nomes das redes se dá por meio do uso de softwares específicos e

conhecimento para a interpretação do que é apresentado por estes. A maioria dos

estabelecimentos comerciais e áreas públicas que fornecem rede WiFi, tais como restaurantes

e aeroportos, não tem equipe técnica suficiente para avaliar se estão sendo vítimas de ataques

como os descritos neste trabalho.

Desta forma, o trabalho aqui apresentado e as colocações acerca da segurança da

informação que ele levanta faz com que seja concluído que a confiabilidade de enlace de redes

Page 16: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

16

sem fio WiFi é frágil e sua auditoria é quase inexistente diante das dificuldades apresentadas

demonstradas no experimento criado para esta pesquisa.

6 TRABALHOS FUTUROS

Para se garantir alguma confiabilidade ao enlace em redes sem fio WiFi propõe-se

aprofundar os estudos em relação ao padrão 802.11u18 além de fomentar o conhecimento da

população em geral acerca da observação dos nomes e características das redes WiFi

distribuídas pelo País.

Não obstante, o problema aqui proposto ultrapassa a esfera meramente técnica, pois

abarca também o aspecto do esclarecimento da população acerca dos riscos de se usar redes

WiFi sem a devida atenção sobre a fonte do sinal de Internet.

7 ABSTRACT

WiFi infrastructures (a brand which certifies that products belonging to the class of wireless

LAN devices are based on IEE802.11 stablished pattern) became present almost anywhere, not

only in corporate environments, but also in public places. Those wireless networks, which are

known as hotspots - public access points to the Internet - can be found in airports, malls,

restaurants, hospitals, schools, libraries, government offices and even on buses. We can find

wireless networks that allow us to access the Internet almost anywhere. Asking for the name of

an available wireless network and sometimes its password anywhere has become commonplace

in everyday life for most Brazilians. Despite the benefits, this kind of unlimited access can put

their users at risk since this scenario brings to light vulnerabilities regarding the reliability of

those wireless networks. The objective of this research is to demonstrate the vulnerability of

WiFi networks where clients connect to the network devices considered known and trusted

automatically, from the analysis of the success rate obtained in the audition of wireless network

testings. This is an experimental survey considering an area of approximately 50m², from

September 15 to October 18, 2015. The penetration tests are limited to the systematic

application functionality, the attack known as Rogue-AP, available in the "WiFi Pineapple"

equipment. In so, it is used applied methodology, emphasizing the quantitative aspect and using

field data prospection.

Keywords: WiFi. Data Link Layer. Access Point.

8 REFERÊNCIAS

ASSUNÇÃO, Marcos Flávio Araújo. Wireless Hacking ataques e segurança de redes sem fio

WiFi. Florianópolis: Visual Books, 2013.

EXPLAIN stuff. Wireless Internet. Disponível em

<http://www.explainthatstuff.com/wirelessinternet.html>. Acesso em 10/10/2015.

18

Padrão que pode propiciar autenticação e alternância automática entre redes celular e WiFi -

http://standards.ieee.org/findstds/standard/802.11u-2011.html - Acesso em 18/10/2015

Page 17: ANÁLISE DA CONFIABILIDADE DE ENLACE DE REDES SEM … · Camada de Enlace. Ponto ... envolve outras investidas que devem ser feitas em conjunto ... de rádio a milhares de quilômetros

17

FILHO, João Eriberto Mota. Análise de tráfego em redes TCP/IP: utilize tcpdump na análise

de tráfegos em qualquer sistema operacional. São Paulo: Novatec Editora, 2013.

INSTITUTE of Eletronical and Eletronics Engineers: IEEE 802.11. Disponível em

<http://www.ieee802.org/11/>. Acesso em 03/10/2015.

________: IEEE 802.11u. Disponível em <http://standards.ieee.org/findstds/standard/802.11u-

2011.html>. Acesso em 18/10/2015.

________: IEEE 802.11-2012. Disponível em

<http://standards.ieee.org/findstds/standard/802.11-2012.html>. Acesso em 11/10/2015.

IET Information Security. Manual and Automatic assigned threshold in multi-layer data fusion

intrusion detection system for 802.11 attacks. Disponível em

<http://ieeexplore.ieee.org.ez97.periodicos.capes.gov.br/stamp/stamp.jsp?tp=&arnumber=668

7157>. Acesso em 18/10/2015.

PALPITE digital: WiFi 802.11 a/b/e/g/n/r/ac/ad. Afinal, o que significa isso? Disponível em

<http://www.palpitedigital.com/WiFi-802-11-abgnacad-afinal-que-significa-isso/>. Acesso

em 10/10/2015.

PEREIRA, Bruno Miguel: Modelo OSI. Disponível em

<http://www.brunomiguelpereira.info/osi-e-tcpip.html>. Acesso em 12/10/2015.

SIMPLE WiFi: Basic about Antennas. Disponível em

<http://www.simplewifi.com/antennabasics.html>. Acesso em 09/10/2015.

TANENBAUM, Andrew S. Redes de Computadores. Rio de Janeiro: Elsevier, 2003 - 9ª

reimpressão.

WIFI Alliance. Disponível em <http://www.WiFi.org/>. Acesso em 03/10/2015.

WIFI Pineapple. Disponível em <https://www.wifipineapple.com/>. Acesso em 01/10/2015.

ZAKRZEWSKA, A., et alli. Towards Converged 5G Networks - Challenges and Current

Trends. ITU Kaleidoscope: São Petersburgo, Rússia, 2014. Disponível em

<http://www.itu.int/en/itu-

t/academia/kaleidoscope/2014/documents/s2.1annazakrzewska_itut_kaleidoscope2014.pdf>

Acesso em 18/10/2015.