Rogue access point

Da Wikipedia, l'enciclopedia libera.

Un rogue access point è un access point wireless che è stato installato in una rete sicura da un impiegato dell'organizzazione in buona fede o da un aggressore esterno senza un'autorizzazione esplicita da parte dell'amministratore di rete.[1]

Descrizione[modifica | modifica wikitesto]

Il tipico scenario in cui si può trovare un rogue access point è dato da tutte quelle aree frequentate da varie persone che intendono connettere i propri dispositivi a un segnale Wi-Fi. Quindi può essere posizionato nelle aree pubbliche di aeroporti, hotel, stazioni ecc. nel caso in cui si voglia fare un attacco non mirato per rubare informazioni e dati sensibili ai danni di utenti sconosciuti. Oppure può essere posizionato all'interno di aziende (specialmente se di grandi dimensioni) ma in questo caso l'attacco punta a catturare dati specifici di quell'azienda o a raccogliere informazioni preziose per la pianificazione di un attacco informatico mirato. La tecnica utilizzata da chi installa questi access point non autorizzati è quella di dare alla rete Wi-Fi generata un nome ingannevole come “airportxxxFreeWiFi”. In questo modo molti utenti nel tempo si connetteranno a questo access point, specie se al momento della connessione il segnale dovesse risultareil più forte tra quelli disponibili.

Esistono vari modi per effettuare attacchi del tipo Man In The Middle (MITM), ad esempio ARP spoofing o DHCP spoofing. Il controllo di un access point è un altro modo di effettuare attacchi di questo tipo. Infatti il rogue access point è un tramite necessario tra qualsiasi utente connesso a esso e Internet. In questo particolare tipo di attacco non è possibile indirizzare direttamente un obiettivo ma è necessario attendere che siano i vari client a connettersi al rogue access point. Il danno minimo che un rogue access point può causare è dato dalla lettura di tutto il traffico che lo attraversa, ma oltre a questo può essere utilizzato anche per introdurre malware nei PC delle vittime, rubare password e dirottare le comunicazioni. In tal caso il rogue access point prende il nome di “evil twin”.[2]

Gli inconsapevoli utenti connessi all'evil twin sono reindirizzati su server appartenenti al malintenzionato. Le pagine visualizzate sono create appositamente per ingannare l'utente e spingerlo a compilare i vari form contenuti che solitamente richiedono informazioni sensibili come nome utente e password. Dopo la compilazione dei form e l'invio delle informazioni, il malintenzionato è già in possesso dei dati sensibili dell'ignaro utente che spesso si accorge di essere stato ingannato solo dopo che i suoi dati sono stati usati dal malintenzionato a scopo maligno.[3][4]

Rischi per le organizzazioni[modifica | modifica wikitesto]

Sebbene sia tecnicamente semplice installare un soft access point o un economico router wireless per un impiegato in buona fede, magari per rendere più facile un accesso da dispositivo mobile, è probabile che esso venga configurato come “aperto”, o con uno scarso livello di sicurezza, consentendo potenziali accessi da parte di soggetti non autorizzati.

Se un access point viene installato con successo da un aggressore esterno, quest'ultimo sarà in grado di azionare vari tipi di vulnerability scanners; inoltre l'aggressore esterno potrà effettuare attacchi remoti anche senza che sia fisicamente presente all'interno di un edificio dell'organizzazione, per esempio compiendo l'attacco dal parcheggio o da un edificio adiacente.

Prevenzione e rilevamento[modifica | modifica wikitesto]

Per rilevare un rogue access point è possibile determinarne la posizione utilizzando l'indicatore di forza del segnale (RSSI). Tuttavia al fine di eludere tale rilevazione, l'aggressore può tentare di generare i valori RSSI attesi posizionando il rogue access point a una distanza dal rilevatore simile a quella della vittima, oppure modificando i valori del RSSI. In questo caso il vero access point e il rogue access point si trovano simultaneamente nella rete e questo genera un traffico misto tra regolare e anormale agli occhi dei rilevatori. Un buon metodo per rilevare il traffico anormale e identificarne le fonti è quello di spegnere gli access point regolari; in questo modo l'unico traffico a essere rilevato è quello anormale.[5]

Per prevenire l'installazione di un rogue access point, le organizzazioni possono installare un wireless intrusion prevention system (WIPS) allo scopo di monitorare lo spettro radio per rilevare access point non autorizzati. Nell'area intorno a una qualsiasi impresa è possibile rilevare un gran numero di access point wireless che include sia gli access point gestiti all'interno della rete sicura sia quelli posti nelle vicinanze. Un wireless intrusion prevention system facilita il rilevamento di rogue access point mediante un controllo continuo su tutti gli access point. Al fine di rilevare eventuali rogue access point, ci sono due condizioni che necessitano di essere testate:

  1. se tale access point è presente nella lista degli access point gestiti o meno
  2. se tale access point è connesso alla rete sicura

La prima tra le due condizioni è semplice da testare: basta comparare il wireless MAC address (chiamato anche BSSID) dell'access point con la lista dei BSSID degli access point gestiti. Tuttavia, il testing automatizzato della seconda condizione può diventare impegnativo alla luce dei seguenti fattori: a) necessità di coprire differenti tipi di access point come bridging, NAT (router), link wireless non criptati, link wireless criptati, differenti tipi di relazioni tra i MAC address di access point per connessioni con e senza fili e soft access point, b) necessità di determinare la connettività degli access point nelle grandi reti con un tempo di risposta accettabile e c) esigenza di evitare sia i falsi positivi che i falsi negativi descritti di seguito.

Un falso positivo si verifica quando il wireless intrusion prevention system identifica un access point come wired rogue mentre questo non è realmente connesso alla rete sicura. Frequenti falsi positivi comportano uno spreco di larghezza di banda per potersene liberare. La possibilità di falsi positivi inoltre crea intralcio nell'abilitazione del blocco automatizzato dei wired rogue dovuto al rischio di bloccare access point vicini innocui.

Un falso negativo si verifica quando il wireless intrusion prevention system fallisce l'individuazione di un access point come wired rogue mentre questo è effettivamente connesso alla rete sicura. I falsi negativi comportano buchi di sicurezza.

Un rogue access point è definito di primo tipo (o “wired rogue”) se l'access point non autorizzato viene trovato connesso alla rete sicura. D'altra parte, se l'access point non autorizzato viene trovato non connesso alla rete sicura, si tratta di un access point esterno. Tra gli access point esterni, se uno di essi viene riconosciuto come dannoso o come potenzialmente rischioso (ad es. access point con impostazioni che possono attrarre o avere già attratto i client della rete wireless sicura), esso viene etichettato come rogue access point di secondo tipo, che come nominato e descritto precedentemente, assume il nome di “evil twin”.

Soft access point[modifica | modifica wikitesto]

Un soft access point (soft AP) consiste nel disporre un adattatore Wi-Fi senza utilizzare un router Wi-Fi fisico. Con le funzionalità virtual Wi-Fi di Windows 7 e la tecnologia My WiFi di Intel, è facile impostare un soft AP su una macchina Windows 7 o Windows Vista. Una volta attivato, è possibile condividere l'accesso della rete disponibile su una macchina ad altri utenti della rete Wi-Fi a patto che si connettano al soft AP. Se un impiegato imposta un soft AP sulla propria macchina all'interno dei locali aziendali e condivide la rete aziendale attraverso di esso, il soft AP si comporta come un rogue access point.[6]

Voci correlate[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ "Identifying Rogue Access Points". wi-fiplanet.com. URL consultato il 06-02-2008.
  2. ^ "Rogue-WiFi-Access-point". savegas.com URL consultato il 05-07-2016.
  3. ^ Smith, Andrew D. (9 May 2007). "Strange Wi-Fi spots may harbor hackers: ID thieves may lurk behind a hot spot with a friendly name". The Dallas Morning News (Washington, DC: Knight Ridder Tribune Business News). p. 1. URL consultato 06-07-2016
  4. ^ Crossman, Craig. "Computer Column". Washington, DC: Knight Ridder Tribune Business News. (24 Agosto 2005)
  5. ^ "Detection and analysis of the Chameleon WiFi access point virus" jis.eurasipjournals.springeropen.com. URL consultato il 06-02-2008.
  6. ^ "Security risk exposure increases due to windows 7 virtual WiFi capability". www.infosecurity-magazine.com. URL consultato il 05-07-2016.|lingua=en

Collegamenti esterni[modifica | modifica wikitesto]