[CODE BLUE 2019]WifiKrakenを使ったWifiスニッフィング[レポート] #codeblue_jp

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

WifiKrakenを使ったWifiスニッフィング Presented by セルゲイ・ヴォロキチン

WiFiKrakenは、＃WiFiCactusなどの無線スニッフィングツールを使用てDEFCONで過去3年間無線モニタリングを行っていた経験から学んだことの集大成である。デモで、Bluetoothを含む802.11acまでのすべてをキャプチャできる堅牢な無線監視センサーネットワークを構築するために必要なソフトウェアとハードウェアを紹介する。このデモには、複数のノードからキャプチャされたデータを取得し、単一のキャプチャサーバーに送り返す分散型キャプチャネットワークが含まれる。このプロジェクトでは、Kismet Wirelessの高度な機能を使用して、キャプチャするデータの量を増やす方法を紹介する。無線の脅威と攻撃者の戦術は、環境内で発生するときに特定されること、また、Wireshark、NetworkMiner、PCAPinatorなどのツールを使用した、データ分析手法を紹介する。

レポート

※立ち見 + 英語なので非常に断片的なメモになっていますがご了承くださいm(_ _)m

下記はWiFiKrakenの現物。くコ:彡といいつつ足が14本なのは大杉じゃないですかねぇ…

下記はWiFiCactus。4本アンテナがあるWiFi Pineapple Tetraを25個使っているので(多分)100本！

• 最初は２つのラズパイとラジオで始まった
  • ケースに入れてセットにしたら友達に派生した
• そしてWiFiCactusを作った
  • 複数のスーツケースに入れてるから警備に止められがち
  • いくつかのイベントで調査した
    • DEFCONやBlackHat等
    • CODE BLUEも
  • てっぺんのパイナップルの下にインテルチップとストレージを積んでいる
  • キャプチャしたデータはまとめて保存される
  • アンテナにはいくつか役割がある
    • シグナルアグリゲーター等
• 2019年にWiFiKrakenをリリース
  • 14ラジオに減った
  • 11ac対応
  • 1ケースで持ち運びが楽になった
• 各イベントごとユニークなMACアドレス(デバイス)を保存
  • まとめて分析してみた
  • BlackHat17とDEFCON25のユーザ(MAC)の被りは多い
  • セキュリティ系のイベントで重複するユーザの動向が見える
  • CODE BLUEとAVTokyoの相関も見てみたい
• 確認した危ない例
  • zteデスクトップでhttpのgeo送信があった
  • ロケーションが取れた
• 参考リンク
  • https://github.com/mspicer/pcapinator
  • palshack.org
• Kismetで分析してみた
  • LLCとDataフレームの割合を見る
    • deauthentication attackならLLCの割合が増える
  • Retryが多い場合は遅くなっている
  • 端末からEAPOLもキャプチャできている
    • パーソナルなら複合ができる
  • QBSSからチャネル使用率みる
  • それぞれのアンテナはホッピングしている
  • 一部固定もある

感想

 

非常にクレイジーなくコ:彡でした。

しかしWiFiはいつになったらキャプチャされても大丈夫になるんですかねー。とりあえず企業ならWPA2エンタープライズをちゃんと使いましょう。