Los investigadores de seguridad cibernética han lanzado una nueva herramienta llamada 'Snappy' que puede ayudar a detectar puntos de acceso WiFi falsos o no autorizados que intentan robar datos de personas desprevenidas.
Los atacantes pueden crear puntos de acceso falsos en supermercados, cafeterías y centros comerciales que se hacen pasar por los reales ya establecidos en el lugar. Esto se hace para engañar a los usuarios para que se conecten a los puntos de acceso no autorizados y transmitan datos confidenciales a través de los dispositivos de los atacantes.
Como los actores de amenazas controlan el enrutador, pueden capturar y analizar los datos transferidos realizando ataques de intermediario.
Tom Neaves , investigador de seguridad de Trustwave y entusiasta de la tecnología inalámbrica/RF, explica que falsificar las direcciones MAC y los SSID de los puntos de acceso legítimos en redes abiertas es trivial para los atacantes.
Los dispositivos de quienes vuelvan a visitar las ubicaciones de las redes inalámbricas abiertas a las que se conectaron previamente intentarán volver a conectarse automáticamente a un punto de acceso guardado, y sus propietarios no se darán cuenta del hecho de que se están conectando a un dispositivo malicioso.
Snappy al rescate
Neaves desarrolló una herramienta que aborda este riesgo común, ayudando a las personas a detectar si el punto de acceso que están usando es el mismo que usaron la última vez (y todas las veces) o si podría ser un dispositivo falso o no autorizado.
Mediante el análisis de Beacon Management Frames, encontró ciertos elementos estáticos como el proveedor, BSSID, tasas admitidas, canal, país, potencia de transmisión máxima y otros que varían entre diferentes puntos de acceso inalámbrico 802.11 pero son consistentes para un punto de acceso específico a lo largo del tiempo.
Elementos que caracterizan un punto de acceso (Trustwave)
El investigador pensó que podía concatenar estos elementos y codificarlos con SHA256 para crear una firma única para cada punto de acceso, que podría ser utilizada por una herramienta de escáner para generar coincidencias y discrepancias.
Las coincidencias significan que el punto de acceso es el mismo, por lo tanto, confiable, mientras que las discrepancias en la firma significarían que algo ha cambiado y que el punto de acceso podría ser falso.
Esta funcionalidad se incorporó a un script de Python llamado Snappy que se publicó en el repositorio GitHub de Trustwave y se puso a disposición de forma gratuita.
Además del mecanismo para generar hashes SHA256 de puntos de acceso inalámbricos, Snappy también puede detectar puntos de acceso creados por Airbase-ng, una herramienta que los atacantes utilizan para crear puntos de acceso falsos para capturar paquetes de usuarios conectados o incluso inyectar datos en su tráfico de red.
Snappy en acción (Trustwave)
La ejecución de secuencias de comandos de Python en computadoras portátiles debería ser sencilla siempre que Python esté instalado, pero los usuarios de dispositivos móviles tendrán que hacer un esfuerzo adicional para obtener intérpretes y emuladores específicos.
Los propietarios de dispositivos Android pueden usar Pydroid , QPython o Termux para ejecutar scripts de Python en sus teléfonos, mientras que los usuarios de iOS pueden elegir entre Pythonista , Carnets y Juno .
