หลากหลายรูปแบบ โจมตี WLAN (WLAN Attack)

ผมได้เคยพูดให้ฟังแล้วว่ามาตรฐาน IEEE 802.11 แท้ที่จริงแล้วถูกออกแบบมาเพื่อเป็นช่องทางหนึ่งที่ผู้ใช้เชื่อมต่อเพื่อ เข้าสู่ wired network อีกทีหนึ่ง ดังนั้นเมื่อข้อมูลถูกนำมาวิ่งอยู่ในอากาศแล้ว มันก็เหมือนขนมหวานยั่วน้ำลายเหล่าบรรดา hacker หน้าใส เพราะนั่นหมายถึงต่อไปนี้พวกเค้าจะไม่ต้องตรากตรำหาช่องโหว่เข้ามาทาง internet แล้วผ่าน firewall ไม่รู้อีกกี่ชั้นอีกต่อไป แต่ช่องโหว่น่ะมันอยู่ที่ประตูหลังบ้านนี่เอง

ถ้าฟังดูแล้วอาจจะยังไม่ค่อยน่ากลัวเท่าไหร่ ผมจะยกตัวอย่างสิ่งที่จะเกิดขึ้นตามมาให้ฟังคับ เมื่อ wireless โดนเจาะ นั่นหมายถึงขณะนี้ bad guy ได้เข้ามานั่งอยู่ใน network หลังบ้านและได้ IP address เหมือนกันกับพนักงานในองค์กรของเราแล้ว เค้าอาจจะอยากลอง Tool ตัวใหม่ที่เพิ่ง download มาจาก internet เมื่อวานซืน ซึ่งใครจะไปรู้ มันอาจจะเป็น virus ตัวใหม่ที่แพร่กระจายไปยังเครื่องทุกเครื่องในบริษัท ทำให้ CPU load 100% จะเปิดโปรแกรมซักโปรแกรมนึงก็ยากลำบากและยังไปรบกวนการทำงานของ email server และ database server หรืออาจจะเป็น Trojan ตัวเล็กๆที่เข้าไปฝังอยู่ตามเครื่องต่างๆแล้วทำหน้าที่ส่งข้อมูลสำคัญๆเช่น username password กลับมาให้เค้าหรือเธอเก็บไปทำอะไรต่อมิอะไรที่ไม่เป็นผลดีกับองค์กรได้อีก หรือบางที hacker คนนั้นอาจจะอยากลองโปรแกรมจำพวก spammer ที่สั่งให้เครื่องทุกเครื่องที่ติดส่ง email spam ไปทุกหนทุกแห่ง เข้าเวปต่างๆหรือทำ transaction ที่ผิดกฏหมายก็เป็นได้ หรือ……ผมพูดไม่หมดหรอกคับ ยังมีอีกหลายต่อหลายประการที่อาจจะเกิดขึ้นโดยคุณไม่ได้ตั้งตัว ดังนั้นการจะป้องกันภัยคุกคามแบบนี้ เราเองก็ควรจะเรียนรู้เอาไว้คับ ว่าช่องทางใดบ้างที่ hacker อาจใช้ในการ hack เข้ามาผ่าน wireless network ได้ ผมจะขออ้างอิงถึงเฉพาะการโจมตีหลักๆที่เค้ามักนิยมใช้กันเท่านั้นนะคับ

Rogue Access Point และ Ad-hoc Networks

Rogue Access Point ก็คือ Access Point จอมปลอม (แปลกปลอม) ที่ plug เข้ามาบน wired network ของเราโดยไม่ได้รับการอนุญาตจาก admin ผู้ดูแลระบบ ความน่ากลัวของ Rogue Access Point ก็คือความไม่ปลอดภัยของตัวมันเอง เพราะโดยมากแล้ว Rogue Access Point มักถูกนำเข้ามาในองค์กรโดยพนักงานผู้รู้เท่าไม่ถึงการณ์อยากใช้งาน wireless ในออฟฟิตที่อาจจะยังไม่มี wireless ใช้ ก็เลยเอา access point จากบ้านมาเองซะเลย และอย่างที่เราๆรู้กัน access point ที่มีใช้กันตามบ้านอย่างมากก็อาจจะ encrypt แบบ WEP หรือไม่ก็เปิดเป็น open network ไปเลย ร้ายยิ่งไปกว่านั้นอาจจะใช้ค่า default ทุกอย่างแบบแกะกล่องมาเลยจากโรงงาน ถ้าหากผมเป็น hacker ที่นั่งอยู่ร้านกาแฟข้างๆบริษัทนั้น มันคงล่อตาล่อใจดีไม่น้อยถ้าหากจะลองต่อ wireless อันนี้ดูซักที อย่างน้อยอาจได้เล่น internet free อย่างมากก็อาจจะได้ล้วงข้อมูลจาก server มาซะเลย

นอกจาก Rogue Access Point แล้ว Ad-hoc networks เองก็น่ากลัวเช่นกัน โดยปรกติ notebook ที่เราซื้อๆมาปัจจุบันนี้มี network card สองอันทั้งนั้น อันนึงใช้ต่อสาย UTP อีกอันก็คือ card wireless เวลาอยู่ในองค์กร เจ้าของเครื่องอาจเชื่อมต่อโดยใช้สาย UTP เข้า wired network แต่ในขณะเดียวกันที่ wireless card ก็อาจจะเปิดเป็น Ad-hoc เผื่อแผ่ให้เพื่อนโต๊ะข้างๆเชื่อมต่อเข้ามาทาง wireless ก็ได้ ซึ่งก็เป็นความสามารถปรกติอยู่แล้วที่ network card ทั้งสองอันจะสามารถทำ bridge ถึงกันได้ เพราะฉนั้น Ad-hoc เองก็น่ากลัวไม่ได้ต่างอะไรจาก Rogue Access Point เลย

สำหรับองค์กรที่ไม่ได้มีการวางแผนในเรื่อง wireless security อย่างดี คงไม่แปลกอะไรที่อาจจะไม่เคยรู้เลยว่าในองค์กรของตัวเองได้มี Rogue Access Point และ Ad-hoc network อยู่แล้ว ดังนั้นทางนึงซึ่งอาจจะมีไว้เพื่อป้องกันไว้ก่อนอาจจะเป็นการใช้ 802.1X หรือ Port-based Access Control ในระบบ wired network ก็ได้ เพราะฉนั้นเครื่องใดๆก็ตามที่มีการเชื่อมต่อมายัง wired network ขององค์กร จะต้องมีการ authenticate ก่อนทุกครั้ง รวมถึง access point ด้วย ทั้งนี้วิธีนี้ไม่เพียงแต่ใช้เพื่อป้องกัน Rogue Access Point เท่านั้น แต่ยังทำให้ระบบ wired network ปลอดภัยขึ้นอีกระดับนึงด้วย

Peer-to-Peer Attacks

Peer-to-Peer attack นี่ถือว่าเป็นผลพลอยได้ของ Rogue Access Point และ Ad-hoc network คับ มันคือการ attack จากเครื่องหนึ่งไปยังอีกเครื่องหนึ่งโดยตรงโดยไม่ต้องวิ่งผ่าน switch ใดๆคับ ถ้าหากเครื่องเราไม่ได้เปิด personal firewall เอาไว้แล้วดันเผลอไปเชื่อมต่อกับ Rogue Access Point หรือเปิด Ad-hoc เอาไว้ ก็เป็นไปได้ที่จะมีใครพยายามจะเข้ามาขโมยข้อมูลในเครื่องของเราโดยการเชื่อม ต่อไปยัง Rogue Access Point ตัวเดียวกันหรือ Ad-hoc network ที่เครื่องเราเปิดเอาไว้ได้คับ

แต่ก็โชคดีคับ บรรดาคนขาย wireless ก็รู้ช่องโหว่ตรงนี้เหมือนกัน และได้ออก solution มาแก้ปัญหานี้โดย สร้าง feature นึงขึ้นมาบน access point หรือตัวควบคุมอุปกรณ์ wireless ให้ป้องกันไม่ได้ wireless client สามารถส่ง packet ถึงกันตรงๆได้คับ คือ อย่างน้อยถ้าหากเครื่องสองเครื่องจะคุยกันยังไงก็ต้องผ่าน access point หรือไม่ก็ switch layer 3 เลยคับ ดังนั้นเรื่องของความปลอดภัยในการก็จะสามารถควบคุมได้ง่ายขึ้นคับ feature ตรงนี้แต่ละยี่ห้อเรียกไม่เหมือนกัน อย่างของ Cisco Wireless เค้าจะเรียกว่า PSPF (Public Secure Packet Forwarding) คับ

Eavesdropping

เราคงรู้จัก Tool ในการ scan wireless network กันมาบ้างแล้ว อย่างเช่น Tool อันโด่งดัง NetStumbler ซึ่งเป็น Tool ที่ scan แบบ Active probe เพื่อค้นหาสัญญาณ wireless ภายในรัศมีของเครื่องนั้น Eavesdropping ก็คือ attack รูปแบบหนึ่งที่ใช้เครื่องมืออย่าง NetStumbler นี่แหล่ะมาช่วย จะว่าไปมันก็แล้วแต่คนจะเอาเครื่องมือพวกนี้ไปประยุคใช้นะคับ บางคนอาจ scan network เพียงแค่ต้องการอยากจะเข้า internet ฟรีเท่านั้น ถ้าหากแบบนี้ล่ะก็ ผมเรียกมันว่า WarDriving ธรรมดาๆนี่เอง ซึ่งก็ไม่ได้เป็นพิษเป็นภัยอะไรต่อใครเท่าใดนัก แต่สำหรับบางคนที่ไม่ได้หยุดอยู่แค่นั้น เค้าหรือเธอนอกจากจะ scan หาข้อมูลของ wireless network แล้ว อาจจะใช้ Tool พวก Packet Analyzer เช่น WireShark หรือ CommView มาเก็บ packet แล้ว analyze ดูว่ามี traffic หน้าตาเป็นยังไงวิ่งอยู่ในอากาศบ้าง ซึ่งนี่ไงล่ะคับที่ผมย้ำในหัวข้อก่อนๆว่าขึ้นชื่อว่า wireless Encryption เป็นเรื่องที่สำคัญที่สุด เพราะอย่างโปรโตคอลหลายๆโปรโตคอลที่ใช้กันทุกวันเช่น Email, Instant Messaging, Telnet password หรือ VoIP บางทีโดยตัว protocol เองแล้วไม่ได้มีการ encryption แต่ประการใดคับ

ส่วนใหญ่แล้วนะคับ เป้าหมายที่น่าเพ่งเล็งมากที่สุดมักจะเป็นพวก Wireless Hotspot ที่ตาม ISP เปิดให้ใช้กันทั่วไปตามห้างร้านต่างๆคับ เพราะพวกนี้มักไม่ค่อยคำนึงถึง security อะไรเท่าใดนัก จะ hack ก็ hack ไปเหอะประมาณนั้น ดังนั้นถ้าหากเราอยากจะไปทำงานนอกสถานที่โดย connect จากพวก wireless hotspot พวกนี้ก็ให้พึงระวังเอาไว้ให้ดีๆคับ เพราะฉนั้นองค์กรที่ดีควร มี policy ให้พนักงานใช้ VPN เวลาทำงานนอกสถานที่ด้วยนะคับ จะได้ป้องกันไม่ให้ข้อมูลที่สำคัญขององค์กรหลุดลอยไปสู่มือชาวบ้านคับ

Encryption Attack

การใช้พวก Tool แบบ Eavesdropping อย่างเดียวใช้ไม่ได้ดีเสมอไปหรอกคับ เพราะ Access Point อาจจะมีแม่กุญแจล๊อคอยู่หรือเปิด Encryption ไว้นั่นเอง ดังนั้นบรรดา hacker จึงต้องมี Tool จำพวกที่ใช้ในการ Crack Wireless Key กันไว้ด้วย สำหรับปัจจุบันนี้เรามี Tool ที่ใช้ในการ hack WEP ออกมามากมายแล้วล่ะคับ ดังนั้นสำหรับ WEP ผมว่านะ “เลิกใช้กันไปเต๊อะ” ผมขอ ผมเองยังสามารถ hack 128-bit WEP key ได้ภายในเวลาไม่ถึงหนึ่งนาทีด้วยซ้ำ

พอ Hacker crack ได้กุญแจมาแล้ว เค้าและเธอก็จะทำการไขล่ะคับ เพราะฉนั้นจาก packet ที่เป็นภาษาขอม พอถอดรหัสแล้ว โอ้ว….เนื้อๆคับไม่มีน้ำ คราวนี้ใครใคร่อยากจะดูว่าใครคุยอะไรกับใครที่ไหน ก็ดูกันได้ตามสะดวกล่ะคับ พูดอีกอย่างนึงก็คือ หลังจากที่โจมตีกันแบบ Encryption Attack แล้ว hacker ก็จะใช้ Eavesdropping technique ต่อไปนั่นเอง

Authentication Attack

Authentication Attack เป็นอีก step นึงหลังจากที่ hacker ลอง crack แบบ WEP แล้วไม่ได้ผลเนื่องจาก admin ได้หันมาใช้การ authentication อื่นๆ

ปัจจุบันนี้มี Tool ที่สามารถ hack LEAP และ WPA-PSK ได้แล้ว แต่อาจจะยังไม่สามารถ hack enterprise WPA ที่ใช้ร่วมกับ 802.1X/EAP ได้ ซึ่งเทคนิคในการ hack LEAP กับ WPA-PSK นั้นคล้ายกัน โดย hacker จะใช้ Offline Dictionary file ร่วมด้วย เนื้อหาใน file นี้ไม่มีอะไรมากคับ มันเก็บค่า passphrase ที่น่าจะเป็นไปได้เอาไว้เยอะๆคับ จากนั้นก็ทำการ search ไปเรื่อยๆ ถ้าหาก match เมื่อไหร่ก็โป๊ะเชะ สามารถนำ passphrase ที่ได้ไปสร้าง dynamic encryption key เพื่อใช้ถอดรหัส packet ที่ capture มาได้คับ จากนั้นก็ดำเนิน step ของ eavesdropping ต่อไปเช่นเดิม สำหรับ LEAP นั้นถึงแม้ว่าจะมีให้ใส่ทั้ง username และ password แต่จริงๆแล้วก็ไม่ได้ต่างอะไรกันมากมายซักเท่าไหร่หรอกคับ เพราะ username ตามโปรโตคอลของ LEAP ถูกส่งเป็น Clear Text อยู่ดี

ดังนั้น ถ้าหากองค์กรใดมีที่เอาไว้เก็บ username password ของพนักงาน อย่างพวก RADIUS server, LDAP server หรือ AD server แล้วล่ะก็ผมแนะนำว่าให้ใช้ 802.1X/EAP ในการ authentication เข้า wireless เถอะคับ จะปลอดภัยกว่าเยอะเลย

MAC Spoofing

ผมเห็น solution ของ wireless security แบบเก่าๆในหลายๆองค์กรยังคงใช้ Mac Address ในการ authenticate อยู่คับ ซึ่งแต่เดิมเราคงเข้าใจกันว่านี่ก็น่าจะเพียงพอแล้วเพราะยังไงก็ตาม Mac address ของ NIC แต่ละอันก็ไม่ซ้ำกันอยู่แล้ว ดังนั้น admin จึงทำการจดทะเบียน Mac Address ที่ยอมให้เข้าหรือไม่ให้เข้ามาในระบบ

แล้วกำหนดเป็น rule บนอุปกรณ์ wireless ไว้ วิธีนี้นอกจากจะเป็นหยาดเหงื่อแรงงานอันเหนื่อยยากของ admin แล้วยังแทบไม่เกิดประโยชน์ซักเท่าไรคับ เพราะจริงๆแล้วการ spoof MAC address นี้ทำได้ง่ายซะยิ่งกว่าการ crack WEP

key อีกคับ มีสองทางคับ หนึ่งคือ wireless card บางยี่ห้อสามารถรองรับการเปลี่ยนค่า Mac address อยู่แล้ว สองคือเราสามารถ download Tool มาช่วยในการปลอมแปลง MAC address ได้อีกเช่นกัน

Management Interface Exploits

แต่ถ้าหากไม่ได้เล่ห์ก็ต้องเอาด้วยกลคับ บางที admin ก็ฉลาดไปซะทุกเรื่อง ทำ policy ต่างๆไว้อย่างดิบดี แต่ดันลืม policy สำหรับช่องทางที่ใช้ในการ manage อุปกรณ์ wireless เช่น wireless controller หรือ wireless gateway อันนี้ก็ฝันร้ายเช่นเดียวกันคับ โดยส่วนมากอุปกรณ์พวกนี้จะ manage ผ่านเวป HTTP หรือ HTTPS ฉนั้นถ้าหาก hacker สามารถเข้าถึง interface พวกนี้ได้แล้วล่ะก็เค้าหรือเธอก็จะสามารถเข้าไปแก้ไขเปลี่ยนแปลง configuration บน Access Point ได้อยากอำเภอใจเลยล่ะคับ งานนี้ admin เหนื่อยเปล่าแน่นอน

Wireless Hijacking หรือ Man-In-The-Middle Attack

งานนี้เริ่มเป็นระดับ advanced

hacking แล้วล่ะคับ บางที hacker เองก็ขอสับขาหลอกเหยื่อบ้างเหมือนกัน โดย hacker จะใช้ software wireless access point ติดตั้งที่เครื่องของตัวเองคับ (บางตำราเค้าเรียกมันว่า evil-twin access point) จากนั้นก็ทำการกำหนดค่าทุกอย่างไม่ว่าจะเป็น SSID และ Encryption Method ให้ตรงกับ access point ที่ใช้กันจริงขององค์กรทุกประการ หากเครื่องผู้ใช้งานใดเข้ามาอยู่ในรัศมีของ software AP ที่เราเปิดเอาไว้ โดยธรรมชาติของ 802.11 เครื่อง client เครื่องนั้นจะมา connect กับ AP จอมปลอมเครื่องนี้ทันที โดยปรกติเครื่อง hacker ที่ต้องการโจมตีโดยใช้วิธีนี้ก็มักจะเปิดให้เครื่องตัวเองเป็น DHCP server อยู่แล้ว ดังนั้นพอเครื่อง client เข้ามาเกาะก็จะทำการแจก IP ให้กับเครื่องนั้นเองอัตโนมัติ



เท่านั้นยังไม่พอ เพื่อหลอกให้เหยื่อตายใจ Hacker จะลงทุนใช้ wireless NIC อีกการ์ดนึงซึ่งจะเชื่อมต่อไปยัง Access Point ปรกติขององค์กร แล้วเปิด bridge ถึงกันระหว่าง 2 การ์ดนี้ ดังนั้น packet อะไรก็ตามจากเครื่องของเหยื่อจะถูกส่งผ่านเครื่อง hacker แล้วส่งต่อไปยัง access point ปรกติ ดังนั้นเหยื่อจะไม่มีทางรู้ได้เลยว่าตอนนี้ตัวเองกำลังโดน hack เพราะก็ยังใช้งานเน็ตเวิร์คได้ปรกติเช่นเดิม วิธีการแบบนี้ เค้าเรียกกันอย่างเป็นทางการว่า Man-In-The-Middle attack คับ (จริงๆบางคนเรียกว่า Honey Pot Attack ก็มีคับ

แต่เดี๋ยวก่อนจอร์ช…เมื่อเราทำตัวเป็น bridge อยู่ตรงกลางระหว่าง client กับ gateway แล้ว เราควรใช้ประโยชน์ให้คุ้มค่าก่อน ดังนั้นจึงมี hacker หัวใสปิ๊งไอเดียทำหน้า logon page หรือ Captive portal จอมปลอม (อีกแล้ว) ขึ้นมา ซึ่งหน้าตาอาจจะเหมือนกันเด๊ะกับหน้า login

page ของ intranet ที่ใช้ในองค์กร หรือบรรดา login page หน้าเวปสำคัญๆต่างๆ เมื่อเหยื่อเผลอป้อน username password ผ่านเวปจอมปลอมเหล่านี้ hacker ซึ่ง monitor อยู่ก็จะสามารถเก็บข้อมูลที่ต้องการไปได้ วิธีนี้บางทีเค้าเรียกกันว่า Wi-Fi Phishing attack คับ

Denial of Service (DoS)

DoS attack บน wireless มีทั้งในระดับ physical layer นั่นก็คือการส่งสัญญาณรบกวนคลื่นสัญญาณของ access point ทำให้ client หลุดได้ และระดับ datalink layer ซึ่งก็ได้แก่การส่ง packet disassociate หรือ deauthentication packet ไปกวนเครื่อง client ไม่ให้เชื่อมต่อกับ access point ปรกติได้นั่นเอง ส่วนจุดประสงค์ที่อยากจะให้ client หลุดนั้นก็ยกตัวอย่างเช่น สมมติว่าเราอยากที่จะเชื่อมต่อไปยัง wireless network หนึ่งซึ่งใช้ Mac authentication ดังนั้นถ้าหากเราไม่กำจัด client ที่เชื่อมต่ออยู่แล้วออกไปแล้วทำการ spoof mac ของ client คนนั้น คงจะเป็นเรื่องยากที่ hacker จะสามารถทำได้

ยังไงก็ดีเราก็โชคดีอยู่นิดนึงตรงที่พวกอุปกรณ์ที่ทำ wireless IDS หรือ IPS นั้นสามารถตรวจจับและส่ง alert บอก admin ได้ทันทีที่เจอะ DoS Attack ขึ้นในระบบ แต่เราก็ยังโชคร้ายอยู่ดีตรงที่ปัจจุบันยังไม่มีวิธีไหนเลยที่จะสามารถ ป้องกัน DoS Attack ไม่ได้ยิงมาหาเราได้ สิ่งที่เราสามารถทำได้ก็คือ ตรวจจับ ค้นหาตำแหน่ง และยิงมันกลับไปเท่านั้น ส่วนสำหรับการส่งคลื่นรบกวนสัญญาณ อุปกรณ์ที่จะช่วยได้ดีที่สุดคงเป็นอุปกรณ์ประเภท Spectrum Analyzer





ข้อมูลจาก http://www.mindterra.com/blog/?p=49#more-49