Những gì một nhà nghiên cứu bảo mật đã học được từ việc giám sát lưu lượng tại Defcon

Ông đã chi hàng ngàn đô la cho một quái vật thu thập dữ liệu để tìm ra lý do tại sao mọi người coi mạng củ

a hội nghị an ninh là nguy hiểm.

                    Spicer đã đi dạo quanh Black Hat và Defcon thu thập hoạt động web trong ba năm qua.

Lần đầu tiên nhìn thấy Mike Spicer, tôi phát hiện ra anh ta từ cách xa một dặm. Anh ấy rất khó bỏ lỡ khi anh ấy luồn lách qua đám đông tại hội nghị hack Black Hat 2017 ở Las Vegas với 35 pound thiết bị trên lưng.

Tôi cũng chắc chắn rằng nhà nghiên cứu bảo mật 36 tuổi cũng đã nhìn thấy tôi. Hoặc ít nhất là lưu lượng truy cập mạng của tôi. Bởi vì phần cứng trên lưng của Spicer là một công cụ giám sát có biệt danh là “Xương rồng Wi-Fi.” 

Xương rồng Wi-Fi, mà Spicer đeo như ba lô, được tạo thành từ 25 quả dứa Hak5 , thiết bị được chế tạo để giám sát, chặn và điều khiển lưu lượng mạng. Toàn bộ bộ sản phẩm có kích thước của phần thân trên của Spicer và được bọc trong đèn xanh. Ăng-ten dính ra như những chiếc gai trên một cây xương rồng, đó là cách nó có được một nửa tên của nó. Trong bốn ngày, Spicer đã thu được 427 gigabyte lưu lượng truy cập mạng của mọi người với tốc độ khoảng tám gigabyte mỗi giờ. 

“Lần đầu tiên tôi tò mò vì mọi người luôn nói rằng Defcon là mạng nguy hiểm nhất thế giới”, Spicer nói. “Tôi muốn biết nó nguy hiểm như thế nào vì mọi người thích chạy xung quanh và truyền bá FUD (sợ hãi, không chắc chắn và nghi ngờ) nhưng không giải thích các rủi ro.”

Hầu hết các cuộc tấn công đã cố gắng là trái cây treo thấp: các kỹ thuật được biết đến mà những người quen thuộc với an ninh mạng có thể ngăn chặn. Tại Defcon, anh đã tìm thấy hàng trăm mạng Wi-Fi được thiết lập để lừa mọi người kết nối, sử dụng tên của các kết nối phổ biến như ID mạng cho Starbucks và các hãng hàng không. 

Các thiết bị thường tự động kết nối với các mạng mà chúng đã kết nối trước đây, thường là để thuận tiện cho bạn. Tin tặc biết điều này và có thể thiết lập các điểm truy cập của riêng mình với cùng tên để lừa các thiết bị. Đây là một cuộc tấn công khá đơn giản để bảo vệ nếu bạn sử dụng VPN hoặc tắt Wi-Fi.

Wi-Fi Cactus của Spicer đã tìm thấy rất nhiều điểm truy cập giả mạo, bao gồm 17 SSID khác nhau với lời bài hát ” Never Gonna Give You Up ” của Rick Astley . (SSID là tên mạng.) Trong khi điều đó có thể gây cười, Spicer cho biết anh thấy lưu lượng truy cập là một nguyên nhân gây lo ngại, đặc biệt đến từ các ứng dụng. 

Bạn có thể tự bảo vệ mình khỏi giám sát Wi-Fi bằng cách bám vào các trang web bằng HTTPS , một hình thức bảo mật trang web, nhưng bạn không thể làm gì nhiều với các trang web và máy chủ mà ứng dụng truy cập. Ông tìm thấy các ứng dụng thời tiết đang gửi dữ liệu vị trí mà không cần mã hóa, điều này có thể cho phép ông theo dõi mọi người đang ở đâu, Spicer nói. 

“Nếu họ đang gửi dữ liệu đó qua văn bản rõ ràng và người đó được kết nối với mạng Wi-Fi mở, về cơ bản bạn đang từ bỏ vị trí của mình”, Spicer nói.

Trong ba năm qua, Xương rồng Wi-Fi của anh đã nhìn thấy những khuôn mặt quen thuộc: Mỗi lần ghi lưu lượng truy cập mạng, nó ghi lại địa chỉ MAC được liên kết với các thiết bị mà nó đang theo dõi. (Địa chỉ MAC xác định các thiết bị vào mạng.) Anh ấy đã đưa Cactus đến các hội nghị bảo mật khác nhau, ở những nơi như Washington, DC và Trung Quốc. Có một số ít thiết bị mà anh ấy đã sử dụng nhiều lần kể từ năm 2016, ngay cả khi chủ sở hữu của chúng không biết.

“Đây là cùng một nhóm người tôi đang gặp tại các hội nghị khác nhau,” Spicer nói. “Nếu bạn sử dụng cùng một thiết bị, tôi biết bạn đã ở đây.”

Cây xương rồng đã biến hình trong những năm qua, với Spicer giảm nó xuống từ 60 pound ban đầu. Tuy nhiên, nó trở thành một “nỗi đau khi đi du lịch” và Defcon năm nay có thể đánh dấu lần chạy cuối cùng của nó. 

Dự án tiếp theo của Spicer là thứ mà anh ấy gọi là Wi-Fi Kraken, phiên bản rút gọn của Cactus, thu được nhiều tín hiệu không dây hơn. Đây sẽ là một PC chạy bằng pin với 14 radio, được giấu trong một hộp đựng.

“Tôi muốn đi một con đường được che giấu nhiều hơn với cái này,” Spicer nói. “Bạn có thể đi đặt nó ở đâu đó và có vẻ như nó có thể là thiết bị hội nghị.”

Tôi sẽ không thể phát hiện ra máy theo dõi Wi-Fi này ra khỏi đám đông nữa. Nhưng một cái gì đó cho tôi biết lưu lượng truy cập mạng của tôi sẽ vẫn trong tầm nhìn rõ ràng.

 

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *