Archiwa: KRACK - Security Bez Tabu

Tag: KRACK

AirSnitch: dlaczego „client isolation” w Wi-Fi może dawać fałszywe poczucie bezpieczeństwa

Wprowadzenie do problemu / definicja luki

„Client isolation” (spotkasz też: AP isolation, station isolation) to funkcja, która ma uniemożliwiać urządzeniom podłączonym do tej samej sieci Wi-Fi komunikację między sobą. W praktyce AP przestaje przełączać ruch client-to-client, a urządzenia mają móc rozmawiać wyłącznie „w górę” – do bramy/routera i dalej do Internetu. Taki mechanizm jest powszechnie stosowany w sieciach gościnnych w domach, hotelach, kawiarniach, na lotniskach czy kampusach.

Badania zespołu z UC Riverside i KU Leuven pokazują jednak, że izolacja klientów bywa niezestandaryzowana, wdrażana ad hoc i – co gorsza – da się ją ominąć, uzyskując wgląd w ruch innych użytkowników lub nawet zdolność do ataków typu machine-in-the-middle. To podejście nazwano AirSnitch.

W skrócie

  • AirSnitch to klasa technik omijających izolację klientów w Wi-Fi, a nie pojedyncza „dziura” z jednym CVE.
  • Atakujący musi zwykle być w zasięgu radiowym i mieć możliwość dołączenia do sieci (lub do współlokowanej, otwartej sieci – zależnie od wariantu).
  • Mechanizm nie polega na „złamaniu WPA2/WPA3” wprost, tylko na wykorzystaniu tego, że tożsamość klienta (MAC), klucze Wi-Fi i adresacja IP nie są wystarczająco mocno powiązane między warstwami L2/L3 i między elementami infrastruktury.
  • W testach badaczy każda sprawdzona sieć/urządzenie była podatna przynajmniej na jeden z wariantów omijania izolacji.

Kontekst / historia / powiązania

Client isolation stało się „domyślnym remedium” na ryzyko w publicznych hotspotach: skoro użytkownicy nie mogą się nawzajem skanować portów, podglądać ARP czy rozsyłać malware w LAN-ie, to sieć gościnna ma być „wystarczająco bezpieczna”.

Problem w tym, że izolacja klientów często jest implementowana punktowo: raz na poziomie przełączania ramek przez AP (L2), raz na poziomie polityk routingu/bramy (L3), czasem w ogóle bez spójnej kontroli tego, jak konkretny klient jest identyfikowany w różnych warstwach. Badacze podkreślają też brak jednolitej standaryzacji mechanizmu izolacji w Wi-Fi, co prowadzi do niejednolitych i niepełnych wdrożeń.

Analiza techniczna / szczegóły luki

Z perspektywy AirSnitch kluczowe są trzy główne słabości (opisane też w SecurityWeek) oraz zestaw „prymitywów” ataku, które można łączyć w łańcuchy prowadzące do stabilnego MitM.

1) Abusing GTK – nadużycie klucza grupowego (broadcast/multicast)

W wielu wdrożeniach Wi-Fi klucz GTK (Group Temporal Key) chroni ramki broadcast/multicast. Jeśli klient ma dostęp do GTK (co bywa normalne nawet przy izolacji), może „opakować” ruch wyglądający na broadcast w sposób, który pozwala wstrzyknąć pakiety do ofiary, obchodząc reguły AP blokujące unicast client-to-client.

To ważne, bo izolacja klientów zazwyczaj zakłada: „nie ma bezpośredniego przesyłu między urządzeniami”. AirSnitch pokazuje, że w praktyce da się doprowadzić do sytuacji, w której ofiara sama zaakceptuje ruch, który wygląda na dopuszczalny (grupowy), a jest użyty jako wektor do dalszych działań.

2) Gateway Bouncing – „odbicie” przez bramę

Druga technika wykorzystuje fakt, że izolacja bywa egzekwowana tylko w jednej warstwie (MAC albo IP). Wariant „gateway bouncing” polega na wysyłaniu ruchu z:

  • docelowym adresem MAC ustawionym na MAC bramy (L2),
  • ale docelowym adresem IP ustawionym na IP ofiary (L3).

AP przepuszcza pakiet do bramy, a jeśli brama nie egzekwuje izolacji na poziomie IP, potrafi on zostać zrutowany/odesłany do ofiary, co w efekcie tworzy kanał client-to-client mimo włączonej izolacji.

3) Machine-in-the-Middle przez desynchronizację tożsamości (MAC/IP/klucze)

Najmocniejszy scenariusz to uzyskanie MitM dzięki temu, że:

  • tożsamość klienta nie jest „twardo” powiązana z kluczami i adresacją,
  • synchronizacja identyfikacji klienta „w całym stosie” bywa słaba.

W praktyce badacze opisują przechwytywanie:

  • downlinku przez podszycie się pod MAC ofiary (ruch „do klienta” zaczyna trafiać do atakującego),
  • uplinku przez podszycie się pod MAC urządzeń zaplecza (np. bramy), tak aby ruch „od klienta” był kierowany do atakującego.

Istotne jest to, że AirSnitch nie ogranicza się do „jednego producenta”. W testach przytaczanych w materiałach publicznych podatność dotyczyła m.in. popularnych routerów domowych oraz dystrybucji open-source (DD-WRT, OpenWrt), a także środowisk uczelnianych.

Praktyczne konsekwencje / ryzyko

Jeśli atakujący potrafi ominąć client isolation, konsekwencje wracają do klasycznych zagrożeń „lokalnej sieci”, które izolacja miała wycinać:

  • podsłuch i analiza ruchu (w tym ujawnianie metadanych nawet przy HTTPS),
  • wstrzykiwanie pakietów i przygotowanie gruntu pod dalsze ataki w wyższych warstwach,
  • MitM prowadzący do przejęć sesji tam, gdzie jeszcze istnieje HTTP lub słabsze mechanizmy ochrony,
  • DNS/DHCP poisoning w scenariuszach, gdzie da się manipulować ruchem ofiary (badacze wprost wskazują takie wektory jako możliwe konsekwencje).

Wniosek praktyczny: „Guest Wi-Fi + client isolation” nie powinno być traktowane jako granica bezpieczeństwa, zwłaszcza w środowiskach o wyższym ryzyku (publiczne hotspoty, konferencje, kampusy, hotele).

Rekomendacje operacyjne / co zrobić teraz

Dla administratorów (firmy, uczelnie, retail, hotelarstwo)

  1. Nie polegaj wyłącznie na client isolation. Traktuj to jako „miły dodatek”, nie kontrolę bezpieczeństwa.
  2. Segmentuj sieć realnie: VLAN/VRF per rola, polityki na firewallu między segmentami, a dla gości – twarde reguły L3 (blok ruchu lateralnego także na bramie).
  3. Ogranicz konsekwencje MitM:
    • wymuś HTTPS/HSTS gdzie możesz,
    • rozważ DNS-over-HTTPS/DoT na urządzeniach zarządzanych,
    • monitoruj anomalie ARP/DHCP/DNS (w zależności od architektury).
  4. Aktualizuj firmware AP/routerów i obserwuj komunikaty vendorów – część mitigacji może wymagać zmian po stronie infrastruktury (badacze wskazują, że potrzebna jest koordynacja ekosystemowa).
  5. Przetestuj własne środowisko – autorzy udostępnili narzędzia badawcze do oceny podatności, co może pomóc w walidacji ryzyka w Twojej topologii.

Dla użytkowników (dom + publiczne Wi-Fi)

  1. Na publicznym Wi-Fi zakładaj, że ktoś może próbować MitM: używaj VPN, unikaj logowania do krytycznych usług bez dodatkowych zabezpieczeń.
  2. Preferuj LTE/5G do bankowości i pracy z danymi wrażliwymi.
  3. Sprawdź, czy kluczowe usługi mają MFA i czy przeglądarka nie zgłasza ostrzeżeń certyfikatów (nie ignoruj ich).

Różnice / porównania z innymi przypadkami

  • KRACK/atak na WPA2 kojarzy się z uderzeniem w protokół (handshake). AirSnitch częściej uderza w interakcje warstw i implementacje izolacji: nawet przy WPA2/WPA3 i „izolacji” można odzyskać zdolności lateralne.
  • W wielu wcześniejszych pracach nacisk kładziono na przechwycenie kluczy lub wymuszenie słabszego szyfrowania. Tutaj kluczowe jest to, że szyfrowanie nie zawsze oznacza separację klientów, bo separacja jest realizowana „obok” kryptografii, a nie jako jej integralna część.

Podsumowanie / kluczowe wnioski

AirSnitch to mocne przypomnienie, że bezpieczeństwo Wi-Fi to nie tylko „WPA3 włączone”, ale też: jak sieć wiąże tożsamość klienta (MAC), klucze, routing i polityki izolacji. Jeśli izolacja jest wdrożona fragmentarycznie (albo tylko na AP, albo tylko na bramie), powstają ścieżki obejścia.

Najpraktyczniejszy wniosek na 2026 rok:
client isolation ≠ segmentacja, a „sieć gościnna” bez dodatkowych barier L3 i dobrych praktyk (VPN / end-to-end encryption) może nie spełniać oczekiwań bezpieczeństwa.

Źródła / bibliografia

  1. SecurityWeek – opis badań i trzy główne klasy słabości (GTK abuse, gateway bouncing, MitM przez desynchronizację tożsamości). (SecurityWeek)
  2. Zhou i in., AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks (NDSS 2026) – praca badawcza i analiza przyczyn/mitigacji.
  3. Repozytorium narzędzi AirSnitch (GitHub) – streszczenie technik i założeń testowych. (GitHub)
  4. Tom’s Hardware – przegląd technik i przykłady podatnych urządzeń/testów. (Tom’s Hardware)
  5. SC Media / SCWorld – skrót skutków i rekomendacji defensywnych. (SC Media)

„Evil Twin” na pokładzie samolotu: 7 lat i 4 miesiące więzienia dla hakera z Australii

Wprowadzenie do problemu / definicja luki

Australijski sąd skazał 44-letniego mężczyznę na 7 lat i 4 miesiące więzienia za prowadzenie ataków „Evil Twin” – uruchamianie fałszywych punktów dostępowych Wi-Fi, które podszywały się pod legalne sieci na lotniskach i podczas lotów krajowych. Ofiary, łącząc się z „darmowym Wi-Fi”, trafiały na stronę phishingową, gdzie oddawały dane logowania do poczty i serwisów społecznościowych. Sprawca wykorzystywał je m.in. do włamań na konta kobiet i kradzieży materiałów intymnych. Wyrok zapadł 28 listopada 2025 r. w sądzie okręgowym w Perth; warunkowe zwolnienie możliwe po 5 latach.

W skrócie

  • Wektor ataku: fałszywe hotspoty Wi-Fi („evil twin”) z tą samą nazwą SSID co sieci lotnisk/linie lotnicze.
  • Narzędzia: przenośny punkt dostępowy klasy „WiFi Pineapple”; portal captive z phishingiem.
  • Miejsca: lotniska w Perth, Melbourne i Adelaide oraz loty krajowe.
  • Dowody: tysiące przechwyconych poświadczeń i materiałów; próba zdalnego wipe’u telefonu; manipulacje przy dowodach.
  • Podstawa prawna: m.in. nieuprawniony dostęp/modyfikacja danych (Criminal Code, s. 478.1), nieuprawnione zakłócanie komunikacji (s. 477.3), próby zniszczenia dowodów.

Kontekst / historia / powiązania

Pierwsze działania organów ścigania odnotowano w kwietniu 2024 r., gdy pracownicy linii lotniczej zauważyli podejrzaną sieć Wi-Fi podczas lotu. W czerwcu 2024 r. AFP (Australian Federal Police) ujawniła zarzuty: co najmniej dziewięć czynów, przeszukania bagażu na lotnisku oraz domu podejrzanego w Palmyrze. Sprawa była od tamtej pory szeroko opisywana w mediach branżowych.

Analiza techniczna / szczegóły luki

„Evil Twin” to klasyczny atak warstwy 802.11 polegający na wystawieniu rogue AP z identycznym SSID jak legalny hotspot.
Kluczowe elementy tej kampanii:

  • Passive probe sniffing & SSID cloning – urządzenie (np. WiFi Pineapple) nasłuchuje probe requests rozgłaszane przez telefony/laptopy („auto-join”), po czym automatycznie tworzy sieć o żądanej nazwie i silniejszym sygnale, co skłania urządzenie do połączenia.
  • Captive portal phishing – po połączeniu ofiara była kierowana na fałszywą stronę logowania, proszącą o e-mail lub konto społecznościowe; dane trafiały wprost do sprawcy. HTTPS/HSTS nie pomagają, gdy użytkownik sam wpisuje poświadczenia na podsuniętej stronie.
  • Post-exploitation – z przechwyconymi hasłami sprawca logował się do kont ofiar, pobierał materiały, monitorował komunikację; dodatkowo próbował zdalnie wyczyścić własny telefon i manipulował danymi po przeszukaniach.

Praktyczne konsekwencje / ryzyko

  • Kradzież poświadczeń (e-mail, social), przejęcie kont i ekspfiltracja danych wrażliwych.
  • Ryzyko reputacyjne i szantaż w razie pozyskania materiałów prywatnych.
  • Niewidoczność dla ofiary: połączenie z „znaną” nazwą SSID wygląda wiarygodnie; wielu użytkowników bezrefleksyjnie akceptuje captive portal.
  • Środowiska o podwyższonym ryzyku: lotniska, pociągi, hotele, konferencje – wszędzie tam, gdzie występują otwarte lub półotwarte sieci wielu operatorów. Analizy branżowe od lat opisują ten wektor jako realny i powracający.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników:

  1. Nie podawaj poświadczeń na captive portalach „darmowego Wi-Fi”. Legalne hotspoty nie wymagają logowania przez e-mail/social (wyjątki: portale sponsorów – weryfikuj domenę).
  2. Wyłącz „Auto-Join/Auto-Connect” dla publicznych sieci; kasuj zapamiętane sieci po użyciu.
  3. Preferuj LTE/5G do operacji wrażliwych (bankowość, poczta).
  4. Jeśli już publiczne Wi-Fi, to VPN + DNS-over-HTTPS i MFA na wszystkich usługach. Rób to, zanim wsiądziesz do samolotu/na lotnisku. (AFP wprost rekomenduje VPN i wyłączanie udostępniania plików).
  5. Uwaga na nazwy sieci: nie łącz się z SSID typu „Free Airport Wi-Fi” bez weryfikacji na tablicach informacyjnych przewoźnika/lotniska.

Dla zespołów IT / operatorów:

  1. WIPS/WIDS (Wireless IPS/IDS) w portach lotniczych i biurach – wykrywanie duplikatów SSID, sygnatur PineAP/Karma, gwałtownych zmian BSSID.
  2. 802.1X/EAP-TLS lub Passpoint (Hotspot 2.0) – eliminacja otwartych sieci bez uwierzytelniania warstwy 2.
  3. Segmentacja + captive portal bez haseł (tylko regulamin), brak zbędnych formularzy – ogranicza wektor phishingu.
  4. Edukacja pasażerów/pracowników – dokładnie to robi AFP w swoich komunikatach ostrzegawczych.

Różnice / porównania z innymi przypadkami

  • Evil Twin vs. klasyczny sniffing na otwartym Wi-Fi: tu ofiara sama oddaje hasło na podszytej stronie; nie chodzi wyłącznie o podsłuchanie nieszyfrowanego ruchu.
  • Evil Twin vs. ataki na WPA2 (np. KRACK): nie wykorzystuje błędów w protokole, tylko socjotechnikę + zachowania urządzeń (auto-join do znanego SSID).
  • Evil Twin w samolocie to nietypowe środowisko – ale „mit obalonego zagrożenia publicznego Wi-Fi” nie wytrzymuje konfrontacji z realnymi incydentami i wyrokami.

Podsumowanie / kluczowe wnioski

Wyrok z Perth jest ważnym precedensem pokazującym, że stare techniki (rogue AP/Evil Twin) wciąż działają, zwłaszcza w miejscach o dużej rotacji użytkowników. Minimalne higieniczne praktyki – MFA, VPN, brak logowania przez portale Wi-Fi, wyłączenie auto-łączenia – istotnie redukują ryzyko. Operatorzy powinni przejść z otwartych SSID na 802.1X/Passpoint i aktywnie wykrywać duplikaty sieci.

Źródła / bibliografia

  1. BleepingComputer: Man behind in-flight Evil Twin WiFi attacks gets 7 years in prison (28.11.2025). Najważniejsze streszczenie wyroku i modus operandi. (BleepingComputer)
  2. Australian Federal Police – media release (28.11.2025): WA man jailed for stealing intimate material and using ‘evil twin’ WiFi networks. Oficjalne potwierdzenie wyroku, lista zarzutów, technika ataku, rekomendacje. (Australian Federal Police)
  3. 9News (29.11.2025): Man jailed for creating 'evil twin’ WiFi networks at Australian airports and on domestic flights. Potwierdzenie wymiaru kary i warunków zwolnienia. (9News)
  4. AFP – media release (28.06.2024): Man charged over creation of ‘evil twin’ free WiFi networks… Kontekst śledztwa, początkowe zarzuty i timeline. (Australian Federal Police)
  5. Malwarebytes Blog (01.07.2024): Personal data stolen… in ‘Evil Twin’ attacks – tło techniczne i popularnonaukowe wyjaśnienie wektora. (Malwarebytes)