środa, 26 lipca 2017

Bezprzewodowy biały wywiad OSINT

Tematem bezprzewodowego białego wywiadu zacząłem zajmować się na poważnie już w 2010 roku przy okazji tworzenia pracy dyplomowej – http://wardriving.adamziaja.com. Informacje zebrane w trakcie wardrivingu mogą z powodzeniem być wykorzystywane do śledzenia użytkowników.

W celu demonstracji w trakcie jednej z branżowych konferencji uruchomiłem program do poglądu ruchu sieciowego (np. Wireshark, tcpdump itp), a następnie przefiltrowałem pakiety pod kątem WiFi probe request i znalazłem interesującą mnie sieci bezprzewodową (SSID). Pakiety probe request wysyłane są przez stację kliencką celem aktywnego wyszukania zapisanej w nim sieci WiFi.

wlan_mgt.ssid matches "(?i).*niebezpiecznik.*"

Program Wireshark.

Na podstawie filtrowania wyników ruchu sieciowego ustaliłem, że pakiety probe request, zawierające interesującą mnie nazwę sieci, są wysyłane przez jedno urządzenie. Dzięki pierwszej połowie adresu MAC udało mi się automatycznie ustalić, że jest to urządzenie firmy Apple.

Kolejnym krokiem było przeszukanie zebranych pakietów pod kątem tego danego urządzenia oraz jakie inne sieci WiFi próbuje wyszukiwać przy pomocy probe request.

wlan.sa == 00:26:08:b6:0b:a8 and
wlan.fc.type_subtype == 4
(probe request)


Dzięki tylko znalezionym nazwom byłem w stanie z dużym prawdopodobieństwem ustalić miejsca, w których był posiadacz danego urządzenia.


Możemy również wykorzystać dane pochodzące ze strony WiGLE, do tego celu stworzyłem skrypt wigle.py.


Zwraca on na podstawie SSID pozycje GPS, pod która została znaleziona dana nazwa sieci, im nazwa jest bardziej unikalna tym większe prawdopodobieństwo znalezienia konkretnej sieci.

Pozycję GPS możemy zamienić dodatkowo na konkretny adres przy pomocy danych z Google Maps, w tym celu stworzyłem skrypt revgeocode.py.


Dla ułatwienia napisałem również skrypt probe.py parsujący plik PCAP i wyciągający z niego informacje o probe request (SSID oraz MAC klienta).


Na koniec napisałem również skrypty pomocnicze, pozwalające ostatecznie na automatyczne parsowanie plików PCAP oraz prezentację wyników w formacie HTML.


Brak komentarzy:

Prześlij komentarz