FortiByte

Fale Conosco

Evil Twin e FakeAP: Os ataques mais efetivos para redes Wi-Fi modernas.

Afinal, o que é o Evil Twin?

O ataque Evil Twin, ou Gêmeo Malvado, é uma técnica de invasão que explora as vulnerabilidades das redes Wi-Fi (ou IEEE 802.11, para quem adora siglas). Wi-Fi é um nome marketing criado pela famosa Wi-Fi Alliance, mas o que importa é entender que essa tecnologia tem toda uma estrutura e que algumas delas são o alvo perfeito para um ataque Evil Twin. Então, antes de irmos direto ao que interessa, vamos aquecer e revisar alguns elementos essenciais para que essa rede funcione e se torne, com sorte, alvo de um ataque.

A configuração básica de uma rede Wi-Fi é composta por pontos de acesso (Pode ser uma AdHoc, mas cara, isso é papo para outro dia, ok?), ou APs (do inglês Access Points), que têm um ESSID e BSSID – segura ae, já, já explico. Esses pontos transmitem sinais de rádio nas frequências de 2,4 GHz, 5 GHz e, nas versões mais modernas, até 6 GHz. Os dispositivos que integram a rede captam esses sinais, se tiverem uma placa Wi-Fi compatível. O AP é o chefe que organiza todo o tráfego, transmitindo dados na forma de pacotes, para que tudo funcione e ninguém pegue o Wi-Fi do vizinho sem querer (Até agora, rs).

A modulação e demodulação, são os processos que deixam a rede Wi-Fi rodando sem engasgos, são responsáveis por transformar o dado digital em sinal (modulação) e depois desfazê-lo (demodulação) no receptor.

A modulação altera as características da onda – seja a frequência, a amplitude ou a fase – para codificar a informação digital. Sem esses processos, nada de streaming, downloads ou memes.

Para entender como o Evil Twin aproveita as falhas, vamos mergulhar um pouco mais em ESSID, BSSID e os vários padrões IEEE 802.11.

O IEEE 802.11 é um conjunto de especificações para redes locais sem fio, e cada versão traz aprimoramentos específicos:

  • 802.11b: Introduzido em 1999, utiliza a banda de 2,4 GHz e oferece taxas de até 11 Mbps usando DSSS (Direct Sequence Spread Spectrum).
  • 802.11a: Opera na banda de 5 GHz, alcançando até 54 Mbps com modulação OFDM.
  • 802.11g: Introduzido em 2003, combina as vantagens do 802.11a e do 802.11b, oferecendo até 54 Mbps na banda de 2,4 GHz.
  • 802.11n: Utiliza MIMO (Multiple Input Multiple Output), operando nas bandas de 2,4 e 5 GHz, alcançando até 600 Mbps.
  • 802.11ac: Opera exclusivamente na banda de 5 GHz, com largura de banda de até 160 MHz e técnicas avançadas de MIMO, permitindo taxas de até 1 Gbps.
  • 802.11ax (Wi-Fi 6): Introduzido para lidar com ambientes de alta densidade, operando em 2,4 GHz, 5 GHz e, mais recentemente, 6 GHz. Utiliza OFDMA (Orthogonal Frequency Division Multiple Access), MIMO aprimorado e outras técnicas para taxas de até 9,6 Gbps.

O IEEE 802.11 define ainda aspectos de segurança e criptografia, como o WPA2 (Wi-Fi Protected Access 2) e WPA3, para garantir a integridade dos dados, “basicamente”.

ESSID (Extended Service Set Identifier)

O ESSID (Extended Service Set Identifier) é o nome bonitinho da rede Wi-Fi que você vê ao se conectar (WifiAna, Claro5G, InternetDaVizinha…). Em redes empresariais ou onde há múltiplos APs, o ESSID pode ser o mesmo em diversos pontos para que o dispositivo troque de AP conforme você anda, sem perder a conexão. Já o BSSID (Basic Service Set Identifier) é o endereço físico único do AP (tipo o RG do roteador). Essa combinação entre ESSID e BSSID permite que o dispositivo saiba em qual rede se conectar, mesmo em ambientes onde várias redes se sobrepõem.

Acima temos o uso de uma ferramenta INCRIVEL, da suite aircrack-ng, a airodump-ng! Utilizada para monitoramento do ar, literalmente (Quem sabe um dia faremos um post só sobre ela).

Beacons

Beacons são frames de gestão transmitidos periodicamente pelo AP para anunciar a existência da rede. Eles contêm informações essenciais, como ESSID, BSSID, canal, capacidades de segurança (WPA, WPA2, WPA3), suporte a tecnologias de modulação e detalhes de qualidade de serviço (QoS). Os beacons são transmitidos em intervalos regulares, definidos como Beacon Interval, e permitem que dispositivos cliente localizem e identifiquem a rede Wi-Fi.

Os beacons entram aqui como sinalizadores, frames que o AP manda para dizer: “Estou aqui! Esta é a rede tal, tenho segurança X e rodo nos canais Y e Z.” Esses frames são críticos para os dispositivos identificarem uma rede e entrarem na fila para conexão. Com os beacons, o dispositivo sabe o intervalo para sincronizar a conexão, além de ser guiado para o AP correto.

Esses frames têm uma estrutura específica no protocolo IEEE 802.11, com campos obrigatórios, como:

  • Timestamp: utilizado para sincronização entre dispositivos.
  • Intervalo de Beacon: especifica o intervalo de transmissão de beacons.
  • Capacidade de rede: informações sobre segurança e autenticação.
  • ESSID e BSSID: identificadores da rede, ajudando os dispositivos cliente a identificar o AP.

Frames

O protocolo IEEE 802.11 define três categorias principais de frames: frames de gestão, controle e dados. Cada uma tem funções específicas, e a sua estrutura e manipulação são centrais no funcionamento da rede Wi-Fi.

  • Frames de Gestão: incluem beacons, solicitações de associação, requisições de autenticação e disassociação. Eles facilitam o estabelecimento e manutenção da conexão entre o AP e os dispositivos cliente.
  • Frames de Controle: incluem ACKs (Acknowledgements) e RTS/CTS (Request to Send/Clear to Send), que ajudam a evitar colisões e garantem a entrega ordenada dos dados.
  • Frames de Dados: transportam a carga útil (dados de aplicação) entre o AP e o cliente, permitindo a comunicação bidirecional.

Esses frames são organizados em campos específicos, como endereço de origem e destino, sequência, tempo e controle, formando um sistema complexo de troca de informações que sustenta a conectividade sem fio.

BSSID (Basic Service Set Identifier)

O BSSID é o identificador básico de conjunto de serviços, que representa o endereço físico (MAC) específico do ponto de acesso individual. Cada AP tem um BSSID único, uma sequência de 48 bits (6 bytes), definida como um endereço MAC, que ajuda a diferenciar pontos de acesso dentro do mesmo ESSID. Esse identificador é transmitido junto aos frames de gestão e controle, permitindo que o dispositivo cliente identifique e se conecte ao AP correto, mesmo que várias redes compartilhem o mesmo ESSID.

Em redes com múltiplos APs, o ESSID é igual, mas o BSSID difere em cada AP, garantindo que dispositivos móveis possam mudar dinamicamente para o AP com melhor sinal (handover) enquanto mantêm a conectividade. É fundamental que o dispositivo cliente saiba diferenciar BSSIDs, especialmente em ambientes congestionados ou com redes corporativas complexas.

Beacons desempenham um papel fundamental ao permitir que dispositivos cliente se conectem à rede correta, oferecendo informações sobre a rede disponível, suportando a autenticação e ajudando na sincronização de tempo.

Ataque Evil Twin

Chegando finalmente ao ataque Evil Twin, o truque do invasor é criar um ponto de acesso com o mesmo ESSID de uma rede confiável para atrair dispositivos que enviam pacotes de autenticação para o AP legitimo. Eles imitam o máximo possível a configuração da rede confiável. Como o dispositivo tenta se conectar automaticamente a redes que reconhece, ele pode facilmente cair na armadilha.

Assim, o AP falso emite beacons adulterados, contendo o ESSID e as configurações do AP legítimo. Os usuários acabam se conectando ao AP malicioso, especialmente se ele tiver um sinal mais forte que o da rede original (uma ótima combinação Evil Twin + Deauth/Dos/DDos attack no AP original). A partir desse momento, o invasor intercepta frames de dados e de controle, capturando informações como credenciais e dados sensíveis.

O que antes parecia um café tranquilo com Wi-Fi gratuito vira um playground para um ataque de man-in-the-middle, por exemplo.

Fake AP

Um Fake AP é um ponto de acesso falso criado pelo invasor com o propósito de confundir ou inundar o ambiente de rede com redes Wi-Fi fictícias. Normalmente, o Fake AP utiliza ESSIDs aleatórios ou criados para atrapalhar a navegação dos usuários legítimos e para explorar vulnerabilidades nos dispositivos, especialmente se eles estão configurados para tentar se conectar automaticamente a redes abertas.

Imagine: centenas e diversas de redes Wi-Fi, com nomes aleatórios surgindo para você se autenticar, enquanto as redes legitimas você só recebe respostas de deautenticação.
Sim, isso pode causar uma bagunça considerável em um ambiente empresarial ou publico.

Diferenças Principais entre Fake AP e Evil Twin

  1. Objetivo do Ataque:
    • Fake AP: Tem como objetivo principal confundir, sobrecarregar o ambiente de rede e mapear dispositivos, não necessariamente interceptar dados, porém pode ser usado para isso também.
    • Evil Twin: O foco é diretamente enganar o usuário para que ele forneça dados sensíveis, permitindo interceptação e manipulação de tráfego.
  2. Nível de Realismo:
    • Fake AP: Usa nomes de redes aleatórios ou incomuns para distrair e criar ruído (quando não utilizado para Phishing, por exemplo).
    • Evil Twin: Imita uma rede legítima em todos os detalhes, incluindo nome (ESSID) e até endereço MAC (BSSID), para ser uma cópia exata da rede alvo.
  3. Método de Conexão:
    • Fake AP: O usuário geralmente não se conecta de forma intencional, pois os nomes são facilmente identificáveis como falsos.
    • Evil Twin: Tenta induzir o usuário a se conectar achando que está na rede verdadeira, enganando-o de forma mais direta.
  4. Técnicas Adicionais:
    • Fake AP: Pode criar dezenas ou até centenas de pontos de acesso falsos para sobrecarregar o ambiente, mas raramente utiliza métodos de desconexão (porém, pode ocorrer).
    • Evil Twin: Usa técnicas como ataques de deauth para forçar a desconexão dos usuários da rede legítima, redirecionando-os para a rede falsa.

Step By Step do Evil-Twin:

  1. Criação da Rede Falsa: O invasor cria um ponto de acesso com o mesmo ESSID de uma rede confiável, replicando as informações de configuração e segurança. Como muitos dispositivos se conectam automaticamente a redes conhecidas, o objetivo é imitar ao máximo o AP legítimo.
  2. Uso de Beacons Falsos: O AP falso começa a emitir beacons com o ESSID e parâmetros de rede copiados da rede legítima. Esses beacons contêm informações que fazem parecer que o AP falso pertence à rede confiável. Em um ambiente com vários APs, a vítima pode, inadvertidamente, conectar-se ao AP falso ao identificar um sinal forte ou ao confiar na aparência do ESSID conhecido.
  3. Interceptação de Frames de Gestão e Dados: Uma vez que o dispositivo cliente conecta-se ao AP falso, o invasor pode interceptar frames de dados e gestão, incluindo credenciais de autenticação e dados sensíveis. Com essa conexão estabelecida, o invasor pode realizar ataques man-in-the-middle, monitorando ou manipulando o tráfego.
  4. Engajamento em Técnicas de Deautenticação: Para forçar a vítima a se conectar ao AP falso, o invasor pode realizar ataques de deauthentication, que utilizam frames de controle de desassociação para forçar a desconexão de clientes do AP legítimo. Ao desconectar o dispositivo cliente repetidamente, ele acaba procurando uma nova conexão e pode conectar-se ao Evil Twin.

Cuidado com a rede "Free-ShoppingX" do estabelecimento que você tanto ama comer na praça de alimentação =)

Um comentário

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *