Come faresti a rilevare un attacco Evil Twin, specialmente in un nuovo ambiente?

Tradizionalmente non esisteva un metodo facile orientato all'utente per rilevare i malvagi attacchi gemelli. La maggior parte dei tentativi di rilevare un malvagio attacco gemello (ETA) sono indirizzati verso l'amministratore di una rete in cui sostanzialmente autorizzare gli amministratori di rete a scansionare e confrontare il traffico wireless. Questo non è tanto quello che ti interessa.

C'è un documento qui (e diapositive ) che segue un approccio sperimentale per determinare dal punto di vista dell'utente un ETA in tempo reale. Fondamentalmente, usano un approccio astuto per determinare statisticamente quale punto di accesso è autorizzato e quale è il gemello cattivo.

Un approccio semplice (che non sempre funziona) che propongo è quello di limitarsi ad annusare te stesso e vedere quali sono gli indirizzi IP. L'idea è che un AP non autorizzato avrà un IP non standard (IE cosa ti aspetteresti) e quindi vomiterà alcune bandiere rosse ... Qui è un link che descrive come impostare il proprio ETA in modo da poter giocare con il mio metodo (o provare il proprio). ATTENZIONE: se stai creando un ETA, fallo in lab environment in quanto è illegale in pubblico.

Si noti inoltre che un ETA può essere notevolmente attenuato semplicemente proteggendo la rete tramite un sistema di autenticazione che utilizza Protocolli di autenticazione estensibili come WPA2-enterprise -che funziona convalidando sia il client che il punto di accesso.

Per indirizzare altri punti ...

Se hai un modo di comunicare con gli amministratori di rete autorizzati (o almeno sapere quale sia il punto di accesso corretto), hai già completato un metodo di psuedo-meta-atorizzazione al di fuori del regno digitale (IE I can fisicamente vedi il router corretto e conosco il suo indirizzo mac, le impostazioni ip, ecc. e può quindi confrontarli con quello che il mio adattatore mi sta dicendo che sono connesso a). Più spesso, non abbiamo queste informazioni e inoltre non dovrebbe fidarsi di esso anche se lo facessimo. Quindi, forse il metodo 'migliore' per usare una rete non fidata (ET o meno) è sempre supporre che sia compromesso e implementare una VPN o semplicemente astenersi del tutto!

Sono entrambi cattivi. Non dovresti collegarti a nessun "Wifi pubblico gratuito" senza presupporre che tutto il tuo traffico non criptato verrà monitorato e modificato. La soluzione migliore è di non connettersi affatto alle reti pubbliche, ma se non è un'opzione per te allora puoi proteggerti un po 'di più specificando il tuo DNS (piuttosto che lasciare che il router scelga per te), usando https ovunque tu possa , non accedere ai tuoi account sensibili su reti pubbliche, considerando una VPN e mantenere aggiornati software e firmware.

In risposta diretta alla tua domanda, alcuni router hanno il loro indirizzo MAC stampato su un'etichetta; potresti chiedere al proprietario del router di controllarti, quindi collegarti ad esso, eseguirne il ping e visualizzare la tabella arp ( arp -a ) per vedere se corrisponde. In alternativa, puoi dire al proprietario del router che c'è un impostore nelle vicinanze e chiedere loro di cambiare il nome della rete.

Dì al barrista / impiegato / etc il wifi è andato giù, possono riavviare il router. La maggior parte delle persone lo farà felicemente, abbattendo l'AP per un momento ed esponendo il malvagio router gemello nel processo come qualsiasi rete attiva che sopravviva a un ciclo di spegnimento.

Se c'è più di 1 router gemello malvagio, funziona ancora.

Se ci sono più router buoni, questo ne identificherebbe almeno uno. La stessa tattica può essere usata per identificare gli altri (Hey non funziona ancora, è l'unica scatola wifi? Tutta questa tecnologia è così confusa, forse hai bisogno di farlo per tutti loro?). In alternativa, una volta identificato un AP buono, collegare un dispositivo ad esso e quindi utilizzare un secondo dispositivo, connettersi agli altri AP e tentare di individuare il primo dispositivo sulla rete. A meno che il buon AP non sia stato compromesso, qualsiasi AP che trova il dispositivo originale è un buon AP. Tuttavia, se è stato compromesso, tutti gli AP sono negativi

Un'altra alternativa è che se riesci a vedere la marca del router, prova ad accedere al suo pannello di amministrazione. Se il prompt di accesso non corrisponde alla marca / marca, hai trovato il gemello cattivo

Le migliori soluzioni qui sono per lo più coinvolgere semplicemente parlando con il provider dell'AP legittimo piuttosto che eseguire un confronto esteso con risultati discutibili

C'è una cosa che un gemello malvagio non può copiare: posizione . Configura tre computer, quindi triangola it. O avere una sorta di rilevatore di tempo. Se uno di loro risponde abbastanza velocemente da sapere che, secondo la velocità della luce, devono essere all'interno del negozio, allora sai che sarà nel negozio, il che è utile se i ritardi fanno triangolazione più difficile.

Nota: se in qualche modo scopri che i router non si spostano da un'altra fonte, puoi utilizzare un rilevatore di distanza in movimento . Questo ti darà molti punti dati su cui lavorare, il che potrebbe aiutarti se il tuo rivelatore non è preciso.

Nota: se in qualche modo scopri che i router hanno le stesse capacità di rilevamento e rilevamento del segnale e che quello buono è più vicino, un metodo pratico consiste semplicemente nel filtrare i pacchetti più deboli .

Per rilevare un attacco Evil Twin con una configurazione standard, le uniche informazioni che possiedi e il SSID, l'indirizzo MAC del punto di accesso wireless e l'indirizzo IP, il gateway e il server DNS DHCP che distribuisce. Oltre a questo, potresti trovare il gemello malvagio usando una frequenza diversa rispetto all'originale, come se il vero AP fosse su 2.4GHz e il male AP fosse su 5GHz. Molti Access Point sono configurati tramite l'interfaccia web, il che significa che se si dispone di un AP Linksys, è possibile accedere a una pagina all'indirizzo link , ma non sul cattivo AP.

Un Evil Twin probabilmente non si preoccuperà di clonare quel livello dettagliato di configurazione perché è molto più facile clonare semplicemente SSID e MAC (se si preoccupano anche di questo).

Pertanto, se si conosce l'impostazione di configurazione DHCP prevista o l'URL di configurazione previsto, è possibile stabilire se l'AP a cui ci si connette sia falso.

Un modo davvero semplice, se sei l'amministratore di rete, è avere un host collegato alla tua rete fisica. Quindi, un rapido ping ad esso, rivelerà se sei stato emarginato su un'altra rete.

Nel caso in cui ti trovi in un'area pubblica, usare una VPN può essere una buona idea.

Il buon AP dovrebbe avere una impronta digitale affidabile del suo certificato autofirmato *. Penso che sia automatizzato come "blocco dei certificati" - Che cos'è il blocco dei certificati?

*: autofirmato perché non tutte le CA sono affidabili .

AGGIORNAMENTO: non conosco il tuo AP, ma inserire un semplice server web dovrebbe essere banale ( flash firmware open source ). Ad ogni modo, ecco la prova che un AP può avere un certificato.