Investigadores de seguridad cibernética han lanzado una nueva herramienta llamada 'Snappy'. Snappy puede ayudar a detectar puntos de acceso WiFi falsos o no autorizados que intentan robar datos de personas desprevenidas.
Los atacantes pueden crear puntos de acceso falsos en supermercados, cafeterías y centros comerciales que se hacen pasar por los reales ya establecidos en el lugar. Esto se hace para engañar a los usuarios para que se conecten a los puntos de acceso no autorizados y transmitan datos confidenciales a través de los dispositivos de los atacantes.
Como los atacantes controlan el enrutador, pueden capturar y analizar los datos transferidos realizando ataques de intermediario.
Tom Neaves, investigador de seguridad de Trustwave y entusiasta de la tecnología inalámbrica/RF, explica que falsificar las direcciones MAC y los SSID de los puntos de acceso legítimos en redes abiertas es trivial para los atacantes determinados.
Los dispositivos de quienes vuelvan a visitar las ubicaciones de las redes inalámbricas abiertas a las que se conectaron previamente intentan volver a conectarse automáticamente a un punto de acceso guardado, y sus propietarios no se dan cuenta del hecho de que se están conectando a un dispositivo malicioso.
Snappy al rescate
Por ello, Neaves desarrolló una herramienta que aborda este riesgo común, ayudando a las personas a detectar si el punto de acceso que están usando es el mismo que usaron la última vez (y todas las veces) o si podría ser un dispositivo falso o no autorizado.
Mediante el análisis de Beacon Management Frames, encontró ciertos elementos estáticos como el proveedor, BSSID, tasas admitidas, canal, país, potencia de transmisión máxima y otros que varían entre diferentes puntos de acceso inalámbrico 802.11 pero son consistentes para un punto de acceso específico a lo largo del tiempo.
El investigador pensó que podía concatenar estos elementos y codificarlos con SHA256 para crear una firma única para cada punto de acceso, que podría ser utilizada por una herramienta de escaneo para generar coincidencias y discrepancias.
Las coincidencias significan que el punto de acceso es el mismo, por lo tanto, confiable, mientras que las discrepancias en la firma significan que algo ha cambiado y que el punto de acceso podría ser falso.
Esta funcionalidad se incorporó a un script de Python llamado Snappy que está publicado en el repositorio de GitHub de Trustwave y se puso a disposición de forma gratuita.
Además del mecanismo para generar hashes SHA256 de puntos de acceso inalámbricos, Snappy también puede detectar puntos de acceso creados por Airbase-ng, una herramienta que los atacantes utilizan para crear puntos de acceso falsos para capturar paquetes de usuarios conectados o incluso inyectar datos en su tráfico de red.
La ejecución de scripts de Python en computadoras portátiles debe ser sencilla siempre que Python esté instalado, pero los usuarios de dispositivos móviles tendrán que hacer un esfuerzo adicional para obtener intérpretes y emuladores específicos.
Los propietarios de dispositivos Android pueden usar Pydroid, QPython o Termux para ejecutar scripts de Python en sus teléfonos, mientras que los usuarios de iOS pueden elegir entre Pythonista, Carnets y Juno.
Con suerte, Trustwave considerará
publicar pronto la herramienta en una forma más útil para una audiencia más
amplia.