De Wireless Toolbox van de IT-auditor

Transcriptie

1 20 de EDP-Auditor nummer De Wireless Toolbox van de IT-auditor Mauriche Kroos en Robbert Kramer De beveiliging van een WLAN-netwerk kan complex en uitgebreid zijn. Het beoordelen van de beveiliging van een WLAN-netwerk vereist dan ook een goed gevulde toolbox voor de IT-auditor. De toolbox bestaat voornamelijk uit gratis software op een Linux platform. De IT-auditor heeft echter niet alleen software nodig: een juiste combinatie van software, hardware en kennis is onontbeerlijk. Inleiding Dit artikel is een vervolg op het vorige artikel over WLAN-netwerken (de EDP-Auditor 4/2004) en gaat in op het gebruik van tools voor het testen van de beveiliging van WLAN-netwerken (reconnaissance en exploiting). In het vorige artikel zijn vooral de theoretische achtergronden van WLAN-netwerken beschreven. Deze achtergronden worden in dit artikel verondersteld als aanwezige kennis. Aangezien het artikel is geschreven vanuit de achtergrond van het testen van de beveiliging en niet vanuit het treffen van maatregelen, zullen in dit artikel geen maatregelen worden beschreven. In het volgende artikel wordt ingegaan op maatregelen voor het beveiligen van WLAN-netwerken. Hierbij zal eerst de komende tijd duidelijk moeten worden hoe nieuwe beveiligingsprotocollen worden geaccepteerd en geïmplementeerd in WLAN-netwerken door leverancier en gebruikers. In dit artikel worden verschillende tools beschreven voor het testen van de beveiliging van WLAN-netwerken. De lijst met beschikbare tools groeit gestaag, waarbij deze niet alleen binnen Linux, maar ook binnen Windows kunnen worden gebruikt. Een aantal van de Linux tools zijn ook toe te passen binnen Windows door gebruik te maken van emulatie tools (zoals bijvoorbeeld Cygwin). Met deze tools kan men in Windows een Linux commandoregel emuleren (vergelijkbaar met een DOS box ). De auditor is hierdoor R.P. Kramer RE is projectmanager bij Ernst & Young EDP Audit en in dienst sinds Ing. M.R. Kroos RE is manager bij Ernst & Young EDP Audit als EDP-auditor en in dienst sinds in staat bepaalde Linux tools binnen Windows te kunnen uitvoeren, zonder dat daarbij een complete installatie van Linux nodig is. De beschreven tools zijn al langer beschikbaar en/of hebben zichzelf min of meer bewezen. Het zijn tools die bij beveiligingstesten veelvuldig worden gebruikt. De doelstelling van dit artikel is duidelijk te maken wat allemaal mogelijk is met tools om de beveiliging van WLAN-netwerken te testen en op basis hiervan te verbeteren en niet om aan te zetten tot het inbreken op WLANnetwerken. Wij wijzen op het feit dat het gebruik van deze tools risicovol kan zijn. Gebruik deze tools alleen in overleg met de opdrachtgever of eigenaar van het WLAN-netwerk en na overeenstemming over eventuele risico s en de hiermee samenhangende aansprakelijkheid. Tools Het inzetten van tools is bij uitstek de manier om te testen of de getroffen beveiliging rondom WLAN s werkt zoals verwacht. De IT-auditor heeft bij het testen naast de gangbare zaken, zoals een laptop, de volgende hardware en software nodig: Diverse WLAN-kaarten die een of meer van de WLANstandaarden (zie vorig artikel) ondersteunt. De in elke WLAN-kaart aanwezige chipset dient te worden ondersteund door de te gebruiken tools. Het dient de voorkeur om gebruik te maken van een netwerkkaart waarop een externe antenne kan worden aangesloten. Diverse WLAN access points/bridges met tevens de mogelijkheid van het aansluiten van een externe antenne. Verschillende typen (externe) antennes met voldoende gevoeligheid, die aangesloten kunnen worden op access points en WLAN-kaarten. De juiste WLAN tools voor de reconnaissance en exploiting fase (zie verderop in dit artikel).

2 de EDP-Auditor nummer Verder is het belangrijk dat de IT-auditor bekend is met: het juiste moment voor sniffing, omdat zonder netwerkverkeer niet alle WLAN-netwerken (devices) te vinden zijn; de wetgeving inzake het toegestane zendvermogen WLAN. Een handige Linux tool voor het verkennen van de ether is wavemon. Deze tool geeft onder andere de sterkte van eventueel aanwezige WLAN-signalen weer zoals in figuur 1 duidelijk wordt. Chipsets kort toegelicht Fabrikanten van WLAN-kaarten maken doorgaans gebruik van gestandaardiseerde chipsets van een beperkt aantal leveranciers. De chipset is het hart van een WLAN-kaart. Het is van belang dat de gebruikte kaarten de juiste chipset hebben om ondersteund te worden door de tool. De auditor zal echter niet kunnen ontkomen aan het (simultaan) gebruik van meerdere kaarten met verschillende chipsets. Momenteel worden de volgende chipsets voldoende ondersteund door tools: Prism 2 en Prism 2.5/3 Orinoco/Hermes Silver en Gold Cisco Aironet Atheros Reconnaissance De reconnaissance (verkennen) van de WLAN-netwerkomgeving is de eerste stap in het testen van de beveiliging. Het doel van de reconnaissance is voldoende informatie achterhalen voor het vervolg in de exploiting fase. Voor het gestructureerd achterhalen van informatie is de reconnaissance opgesplitst in drie stappen, namelijk: verkennen; herkennen; sniffing. Voor iedere stap in de reconnaissance zijn specifieke tools beschikbaar. Verkennen De eerste stap is het verkennen van de ether (het luchtruim ). Hierbij is het de bedoeling om te achterhalen welke signalen aanwezig zijn in het 2.4 GHz en 5 GHz frequentiegebied. Indien WLAN-signalen aanwezig zijn, kan dit betekenen dat WLAN-apparatuur actief is. In dat geval is het zinvol om de volgende stap van het herkennen uit te voeren om vast te stellen wat voor WLAN-signalen en met welke eigenschappen aanwezig zijn. Wavemon Linux Verkennen ether Figuur 1. Wavemon voorbeeld Wavemon geeft beperkte informatie over eventuele gevonden WLAN devices maar niet over eventuele aanwezige beveiliging. Daarnaast geeft Wavemon informatie over de aanwezige signaal/ruis-verhouding. Deze verhouding is een indicatie voor de bruikbaarheid van het signaal. Hoe beter de verhouding hoe sterker en zuiverder het signaal. Wanneer Wavemon wordt gebruikt op een laptop die vervolgens wordt verplaatst, dan is het mogelijk in kaart te brengen waar het signaal het meest bruikbaar is. Hierdoor is de optimale testlocatie te achterhalen waarvandaan de test verder kan worden uitgevoerd. Herkennen Het herkennen van WLAN devices is de tweede stap in het testen van de beveiliging van een WLAN-netwerk. Onder WLAN devices wordt verstaan de apparatuur die via WLAN-signalen en standaarden kan communiceren met andere WLAN devices. Dit kan een veelvoud van apparaten zijn: laptops, desktops, PDA s en handscanners, et cetera. Voor het opsporen van WLAN devices zijn twee verschillende methoden beschikbaar: Actieve scanning: met de juiste software wordt een bericht de ether ingestuurd (vergelijkbaar met ping ). Indien een WLAN device zo is ingesteld om te reageren op het bericht, zal die een antwoordbericht terugsturen. Dit bericht wordt vervolgens door de betreffende tool opgevangen en geïnterpreteerd. Nadeel van deze methode is dat veel WLAN devices mogelijk niet reageren op deze verzoeken (zie voor nadere uitwerking paragraaf Actieve Scanning ).

3 22 de EDP-Auditor nummer Passieve scanning: hierbij worden geen berichten de ether ingestuurd, maar luistert de tool naar verkeer op verschillende kanalen. Actieve scanning Netstumbler Netstumbler Windows Herkennen WLAN signalen Netstumbler is een Windows tool dat WLAN devices in kaart brengt door middel van actieve scanning, zoals in figuur 2 te zien is. Figuur 2. Netstumbler voorbeeld Een persoon die met Netstumbler naar WLAN devices zoekt, zal echter geen compleet overzicht kunnen samenstellen. De meeste WLAN devices kunnen zo worden ingesteld dat deze niet reageren op ping -verzoeken. Deze instelling wordt vaak aangeduid als disable broadcast. De betreffende WLAN devices zullen dan ook niet binnen Netstumbler bekend zijn. Netstumbler kan de gevonden WLAN devices in verschillen categorieën tonen (deze optie heet Filters in het scherm). De volgende categorieën worden gehanteerd: Encryption off: geen WLAN-standaard encryptietechniek toegepast, maar andere encryptie zoals Ipsec voor een VPN kan wel aanwezig zijn. Daarnaast wordt proprietary encryptie (is door leverancier ontwikkelde, maar niet gestandaardiseerde encryptie) niet gedetecteerd. Encryption on: WLAN-encryptie wordt gebruikt. ESS (access point): het WLAN device werkt in Extended Service Set mode en is dus een access point. IBSS (peer): het WLAN device werkt in Independent Basic Service Set mode en is dus in peer mode (is rechtstreekse communicatie tussen WLAN devices zonder tussenkomst van een access point). CF Pollable: contention free pollable is een andere techniek waarbij ieder device op vaste intervallen mag gaan zenden. Short Preamble: een verkorte header van de pakketten voor een hogere verbindingssnelheid. PBCC: packet binary convolutional code is een techniek waardoor hogere verbindingssnelheden kunnen worden gehaald. Short Slot Time (11g): turnaround tijd van berichten wordt verkort waardoor een hogere verbindingssnelheid kan worden gehaald. Default SSID: een standaard SSID wordt gebruikt voor de naam van het WLAN-netwerk. Wanneer WLAN-netwerken een default SSID en geen encryptie hebben, dan zijn dit netwerken waarbij het opzetten van een verbinding een grotere kans van slagen heeft. Netstumbler en GPS Het is mogelijk om met netstumbler een Global Positioning Systeem (GPS) apparaat te gebruiken. Hierdoor wordt naast de eigenschappen en signaalsterkte van een WLAN device eveneens de GPS-positie opgeslagen waar het signaal is opgevangen. De signaalsterkte en de GPS-positie zijn te gebruiken voor het uitrekenen van de positie van een WLAN device. Deze berekenwijze heet triangulatie en bestaat uit het berekenen van het snijpunt van drie cirkels (zie figuur 3). Door het gebruik van GPS met Netstumbler is het mogelijk hele gebieden in kaart te brengen inclusief de exacte locatie van access points. Figuur 3. Triangulatie Passieve scanning Naast actieve scanning waarbij access points worden benaderd om zichzelf bekend te maken, is het ook moge-

4 de EDP-Auditor nummer lijk om al het WLAN-netwerkverkeer op te vangen (sniffing). De opgeslagen gegevens kunnen dan meteen dan wel later worden onderzocht om te achterhalen of een access point aanwezig is en welke eigenschappen het WLAN-netwerk heeft. Kismet Intrusion Detection System (Wireless IDS), omdat bij het detecteren van bepaalde netwerkpakketten wellicht een intrusion gaande is en bepaalde acties kunnen worden ondernomen. Zo kan Kismet bijvoorbeeld de ping - berichten van Netstumbler herkennen. Ethereal Kismet Ethereal Linux/Windows Linux/Windows Sniffen van wireless netwerkverkeer Sniffen van (wireless) netwerkverkeer Voor het passief scannen kan de IT-auditor gebruikmaken van Kismet. Kismet is een veelzijdig Linux-programma dat overigens ook in een Windows-omgeving werkend te krijgen is. Het stelt de IT-auditor onder andere in staat ook de verborgen WLAN devices in kaart te brengen. Kismet kan al het WLAN-netwerkverkeer opvangen en ver volgens de netwerkpakketten analyseren. Op basis van de analyse wordt een access point herkend en de daaraan ge koppelde clients (zie figuur 4). Verder worden de opgevangen netwerkpakketten gecategoriseerd in managementpakketten en gegevenspakketten. Met name de managementpakketten bevatten waardevolle informatie voor nadere analyse. Deze managementpakketten zijn op te slaan in een bestandsformaat dat kan worden gelezen door ethereal, zo dat de pakketten inhoudelijk kunnen worden onderzocht. Kismet kan ook in combinatie met een GPS worden gebruikt. Voor het sniffen van netwerkverkeer inclusief WLAN-netwerkverkeer kan ethereal worden gebruikt. Bij de hiervoor beschreven tools gaat het met name om de headers van de netwerkpakketten, maar ethereal maakt het ook mogelijk inhoudelijk de netwerkpakketten te onderzoeken. Daarnaast kunnen netwerksessies worden gevolgd door deze aan te klikken en te kiezen voor het volgen van de sessie. Figuur 5. De Ethereal sniffer Ethereal heeft voor WLAN-kaarten een speciale optie om alleen interessante netwerkpakketten te filteren. Hierdoor is het mogelijk om specifiek die pakketten te achterhalen die gebruikt worden voor authenticatie, key exchange of andere beveiligingsgerelateerde gebeurtenissen. Figuur 4. Kismet-gegevens van acces point Kismet als IDS Met Kismet is het ook mogelijk om real-time (bijzondere) WLAN-pakketten te onderscheppen. De onderschepte berichten kunnen vervolgens worden onderzocht op inhoud waarna actie kan worden ondernomen. Hierdoor is Kismet tevens te gebruiken als (beperkte) Wireless Airopeek Airopeek Commercieel Windows Scannen en sniffen van wireless netwerkverkeer

5 24 de EDP-Auditor nummer Airopeek is een commerciële tool waarin allerlei losse tools die hiervoor zijn beschreven zijn geïntegreerd. Zo is airopeek in staat om zowel actief op zoek te gaan naar access points, maar kan daarnaast het netwerkverkeer sniffen en kan bovendien de opgevangen gegevens nader onderzoeken. Airopeek heeft naast de mogelijkheden van de hiervoor beschreven tools bijvoorbeeld de mogelijkheid om communicatie tussen WLAN devices te visualiseren. Hierdoor wordt inzichtelijk welke WLAN device contact heeft met welke andere WLAN devices en hoeveel netwerkverkeer hiertussen wordt uitgewisseld (zie figuur 6). diverse beveiligingstechnieken toegepast. De meest bekende hiervan zijn WEP (Wired Equivalent Privacy), WPA (Wireless Protected Access) en LEAP (Lightweight Extensible and Authentication Protocol). Voor deze beveiligingstechnieken zijn al geruime tijd tools voor de aanval beschikbaar. Verwacht wordt dat deze tools in de toekomst nog verder ontwikkeld zullen worden, waardoor ze effectiever en efficiënter zullen zijn in het gebruik. In deze paragraaf zal kort worden ingegaan op de tools ten behoeve van het aanvallen van de genoemde protocollen. WEP Het aanvallen van WEP kan op verschillende wijzen worden uitgevoerd. De belangrijkste typen aanvallen zijn te verdelen in: brute force/dictionary aanvallen; Fluhrer-Mantin-Shamir (FMS)-aanval; packet injection aanvallen. Brute force/dictionary aanvallen Wepattack Kraken van encryptie (dictionary attack) Figuur 6. Airopeek in actie Exploiting Na de reconnaissance is het WLAN-netwerk geïdentificeerd en zijn de belangrijkste beveiligingseigenschappen bekend zoals het gebruikte protocol, SSID, encryptie, et cetera. In de exploiting fase is het de bedoeling om daadwerkelijk toegang te krijgen tot het betreffende WLANnetwerk, zodat hierna achterliggende netwerken en aanwezige systemen kunnen worden benaderd. De in de exploiting fase gebruikte tools kunnen worden verdeeld in de volgende categorieën: tools ten behoeve van het kraken van beveiligingsprotocollen; wireless client hijackers; protocol attack tools. Tools ten behoeve van het kraken van beveiligingsprotocollen Binnen de WLAN-toepassingen van dit moment worden De brute force-aanval is de meest eenvoudige aanval. Hiervoor is slechts één WEP versleuteld pakketje nodig waarop vervolgens, al dan niet gedistribueerd, een brute force-aanval wordt uitgevoerd. Met behulp van één van de eerder genoemde reconnaissance tools kan men eenvoudig pakketjes opvangen ( sniffen ). Vervolgens kan men met behulp van de tool wepattack een dictionary attack uitvoeren. Een dergelijke dictionary attack is afhankelijk van de grootte van de gebruikte dictionary, maar over het algemeen duurt zo n aanval enkele seconden en kan snel worden bepaald of het netwerk kwetsbaar is of niet. FMS aanval In de zomer van 2001 werd bekend dat WEP kwetsbaar is voor een zogenaamde mathematical attack. Dit type aanval werd bekend als de Fluhrer-Mantin-Shamir (FMS) aanval. Deze aanval, ontdekt door de wiskundigen Fluhrer, Mantin en Shamir, maakt misbruik van een zwakte in de gebruikte versleutelingsmethode van WEP. Uit het onderzoek van Fluhrer, Mantin en Shamir blijkt namelijk dat bij het gebruik van WEP een klein percentage zwakke pakketjes worden gegenereerd, die een deel van de WEP-sleutel in zwak versleutelde vorm kan bevatten. Enkele proof-of-concept tools volgden snel.

6 de EDP-Auditor nummer device de ether instuurt, te vergroten. Hierdoor wordt op actieve wijze het WLAN-netwerk beïnvloed en dit kan verstorend werken op het WLAN-netwerk en leiden tot integriteits- en continuïteitsproblemen. Het is aan te raden zeer voorzichtig met packet injection tools om te gaan. WPA Figuur 7. Airsnort al krakende een WEP-sleutel WPA cracker Kraken WPA-PSK encryptie Airsnort Linux Kraken WEP encryptie (FMS aanval) De meest bekende tool die gebruikmaakt van de FMSaanval is airsnort. In het kort komt het erop neer dat met behulp van deze tool zwakke pakketjes worden verzameld en indien voldoende van deze pakketjes verzameld zijn, dan is het mogelijk om de originele WEP-sleutel hieruit te extraheren. Een nadeel bij deze tool is dat de aanvaller moet wachten totdat voldoende zwakke pakketjes zijn verzameld. Dit kan afhankelijk van de drukte van het WLAN-netwerk enkele uren tot meerdere maanden duren. In een aantal gevallen zal zelfs een beperkt aantal zwakke pakketjes worden gegenereerd en is de wachttijd oneindig lang. De fabrikant Agere heeft zelfs een verbeterde versie van WEP uitgebracht, genaamd WEPplus, waarbij vrijwel geen zwakke pakketjes voorkomen en een FMS-aanval dus niet effectief is. Packet injection aanvallen Aircrack Kraken WEP encryptie (packet injection) De eerder genoemde aanvallen maken gebruik van passieve methoden en hebben geen invloed op het WLAN-verkeer. Bij packet injections tools is dat heel anders. Met de tool aireplay (onderdeel van aircrack) worden speciaal gevormde WLAN-pakketjes de ether ingestuurd met het doel om het aantal zwakke pakketjes dat een WLAN WPA staat bekend als de opvolger van WEP. Bij WPA wordt gebruikgemaakt van meer betrouwbare vormen van encryptie. WPA bevat echter niet alleen voorzieningen voor versleuteling van data, maar bijvoorbeeld ook voorzieningen ten behoeve van authenticatie en integriteitscontrole van pakketten. Van WPA bestaan meerdere varianten, die zijn te groeperen in twee groepen: enterprise mode: protocol met onder andere per-user authenticatie en speciale voorzieningen voor key management en integriteitscontrole; consumer mode: pre-shared key based protocol op basis van verschillende technieken van encryptie zoals TKIP en AES ( consumentenversie ook wel aangeduid als WPA-PSK). De consumentenversie van WPA in combinatie met TKIP-encryptie (Temporal Key Integrity Protocol) is een tijdje geleden gekraakt. Een handige tool voor het kraken van WPA-PSK is WPA cracker. WPA cracker kan de pre-shared key aanvallen door middel van een off-linewoordenboekaanval. Hierbij wordt getest of de sleutel voor het WPA-PSK-netwerk in het woordenboek voorkomt. Wanneer de sleutel wordt aangetroffen kan een verbinding met het WLAN-netwerk worden gemaakt. Indien gebruik wordt gemaakt van een complexe pre-shared key met een lengte van meer dan 20 karakters, dan zal deze aanval echter niet succesvol kunnen zijn. Tevens kan deze tool niet gebruikt worden om netwerken met enterprise mode WPA of WPA-PSK met AES encryptie (Advanced Encryption Standard) aan te vallen. LEAP Het Lightweight Extensible and Authentication Protocol (LEAP) is een Cisco-specifiek beveiligingsprotocol, dat gebruikmaakt van authenticatie op basis van username/ password in combinatie met een RADIUS-server en encryptie (bijvoorbeeld WEP).

7 26 de EDP-Auditor nummer Asleap Kraken LEAP In augustus 2003 heeft Joshua Wright de tool asleap geschreven waarmee men in staat is zwakke username/ password-combinaties te achterhalen op basis van een offline dictionary attack. Indien gebruik wordt gemaakt van complexe username en password-combinaties zal een aanval met behulp van deze tool echter niet succesvol zijn. Een bijkomend voordeel van deze tool is, dat het ook kan worden gebruikt voor een aanval op het PPTP-protocol. Het PPTP-protocol wordt vaak voor VPN-verbindingen gebruikt. Figuur 8. Asleap in actie Wireless client hijackers KARMA Wireless client hijacker Een wireless client hijacker is een tool dat kan worden gebruikt om wireless clients (bijvoorbeeld werkstations) een verbinding te laten opzetten met een nep access point. Hiermee wordt het mogelijk om bestaande verbindingen te verbreken en vervolgens het wireless werkstation een verbinding te laten opzetten met het access point van de aanvaller. Op deze manier kan een aanvaller een vervolgaanval inzetten op het betreffende werkstation en/of de verbindingen van het werkstation door het nep access point heen. De KARMA Wireless Client assessment tool is hiervoor zeer bruikbaar, omdat deze tool ingebouwde mogelijkheden heeft voor het: verbreken van de verbinding van een werkstation; zich voordoen als ieder gewenst access point voor iedere client; aanvallen van het werkstation; aanvallen van de netwerkverkeersstromen vanuit het werkstation richting andere systemen protocol attack tools Void 11 Protocol gerichte aanval De auditor kan in bepaalde gevallen gebruikmaken van protocol attack tools voor het misbruiken van kwetsbaarheden in het protocol. Veelal zijn deze tools gericht op het uitvoeren van een denial-of-service aanval. Een goed voorbeeld hiervan is void11. Met void11 is een aanvaller in staat om zowel een netwerk aanval als een access point aanval te starten. Bij de eerste variant wordt het wireless netwerk overspoeld met nep deauthentication pakketjes, waardoor actieve verbindingen worden verbroken. Bij de tweede variant wordt een access point overspoeld met nep authentication pakketjes, waardoor het access point buiten werking kan raken en in sommige gevallen zelfs (fysiek) defect kan raken. Conclusie Voor het testen van de beveiliging van WLAN-netwerken kan gebruik worden gemaakt van een groeiende lijst van tools. Wanneer systematisch WLAN-netwerken worden verkend (reconnaissance) en vervolgens worden aangevallen (exploiting), kunnen slecht beveiligde WLAN-netwerken eenvoudig worden gekraakt. Voor het kraken van de beter beveiligde WLAN-netwerken is meer tijd nodig en zijn minder tools beschikbaar. In een aantal gevallen zijn deze netwerken momenteel zelfs helemaal niet te kraken. In de toekomst zal echter het aantal tools en de kwaliteit ervan verbeteren, waardoor deze netwerken mogelijk ook te kraken zijn. Naast het direct aanvallen van WLAN-netwerken en wireless devices, bestaan ook andere typen aanvallen. Deze aanvallen zijn steeds meer in opspraak zoals in het geval van Warlounging, Evil-twin-aanvallen en Inverse wardriving (zie kader). Deze aanvallen hebben niet direct te maken met het aanvallen van access points, maar meer met het steeds meer beschikbaar komen van (open) WLAN-netwerken en het toenemende gebruik hiervan. De

8 de EDP-Auditor nummer risico s die in dit verlengde liggen, hebben voornamelijk betrekking op wireless clients zoals PDA s en laptops. Misschien zijn WLAN-netwerken zelf nooit veilig te krijgen en kan alleen een sterke VPN-oplossing over WLAN voldoende zijn of wordt de standaard WLAN-beveiliging toch uiteindelijk voldoende. In een volgend artikel zal worden ingegaan op de maatregelen voor WLAN-beveiliging waarin wordt beschrijven welke maatregelen genomen dienen te worden om een veilig WLAN te krijgen/hebben. Warlounging Warlounging is een relatief onbekend fenomeen en heeft weinig te maken met lounging. Het is de aanduiding voor een nieuwe vorm van worm-aanvallen: de zogenaamde Wi-Fi wormen. Bij een dergelijke aanval wordt een wireless client device omgetoverd tot een access point, zonder dat de gebruiker dit merkt. Dit risico doet zich met name voor bij laptops en pc s die standaard voorzien zijn van een wirelesskaart en een netwerkkaart. Indien het werkstation besmet wordt met een Wi-Fi worm, is het mogelijk dat deze Wi-Fi worm de (vanuit beveiligingsoogpunt) gedeactiveerde wirelesskaart activeert en hierop een access point installeert. De worm stuurt vervolgens locatiegegevens (op basis van IP-nummer) door naar de aanvaller op het internet. De aanvaller kan vervolgens een verbinding opzetten met het werkstation. Indien gebruik wordt gemaakt van Windows XP, kan de aanvaller in bepaalde situaties via het werkstation een connectie maken met het achterliggende (bedrijfs)netwerk. Deze aanval is bekend als de Windows XP Virtual bridging aanval. Warlounging is geen science fiction, proof-of-concept code is reeds op het internet te downloaden. Deze code is ook beschikbaar voor schrijvers van wormvirussen. Evil twin -aanval Een evil twin -aanval is een aanval gebaseerd op het aanbieden van een ogenschijnlijk betrouwbaar acces point, vergelijkbaar met een wireless client hijack. Veel mensen die gebruikmaken van gratis of betaalde publieke hotspots hebben te maken met het feit dat zij het access point moeten selecteren voordat de verbinding wordt opgezet. Vaak wordt het access point vertrouwd op basis van de naam van het access point. In figuur 2 is een lijst te zien met aanwezige access points in een hotel ( eurospot ). De meeste gebruikers zullen blindelings een van deze access points selecteren en zullen zich niet realiseren dat het mogelijk is dat een hacker een of meerdere van deze access points zelf heeft geplaatst met dezelfde naam. Een hacker kan vervolgens alle communicatie omleiden over zijn eigen infrastructuur en vervolgens doorsluizen naar het internet. De gebruiker van het access point zal hier weinig van merken, terwijl de hacker in staat is diverse man-in-the-middle aanvallen uit te voeren op VPN, SSL, SSH en diverse andere protocollen. Evil twin -aanvallen zijn werkelijkheid: in Londen zijn tijdens een congres (over WLAN notabene) tientallen werkstations gehacked met een dergelijke aanval. Inverse wardriving Inverse wardriving is de omgekeerde wereld. Iedereen kent wel het fenomeen van wardriving, waarbij een wardriver op zoek gaat naar access points met behulp van een wireless client. Bij inverse wardriving is dit andersom: een inverse wardriver gaat met een access point op zoek naar wireless clients. Gezien het feit dat er veel meer wireless clients zijn dan wireless access points, zal de kans van een succesvolle aanval met behulp van inverse wardriving een veelvoud groter zijn ten opzichte van wardriving.