Un nuovo strumento open-source è in grado di scansionare periodicamente un’area per rilevare falsi access point Wi-Fi e avvisare gli amministratori di rete nel caso vengano trovati. Questo strumento, chiamato EvilAP_Defender, è stato sviluppato appositamente per evitare di connettersi ad AP creati da cybercrminali per essere del tutto simili a quelli autentici. Questi access point fasulli sono conosciuti anche con il nome di “evil twins” e permettono agli hacker di intercettare il traffico internet dai dispositivi connessi, in modo da rubare credenziali, dati e informazioni e falsificare siti web.

Moltissimi utenti configurano i propri PC e dispositivi mobile in modo che questi si colleghino automaticamente a reti wireless, come quelle domestiche o nei luoghi di lavoro. Se però esistono due reti wireless con lo stesso SSID, lo stesso MAC adess e persino lo stesso BSSID, la maggior parte dei dispositivi si connetterà automaticamente alla rete con il segnale più forte.

EvilAP_Defender, sviluppato con Python da Mohamed Idris e disponibile su GitHub, funziona prima in learning mode per capire quale sia l’access point legittimo e depennarlo dalla lista dei possibili AP falsi, per poi passare in normal mode e iniziare a scansionare l’area per scovare gli access point malevoli. Se uno di questi viene trovato, EvilAP_Defender invia automaticamente una mail all’amministratore di rete, ma Idris sta già pianificando l’aggiunta di un servizio basato su avvisi tramite SMS.

È inoltre disponibile una modalità preventiva con la quale EvilAP_Defender può lanciare un attacco DoS (denial-of-service) contro gli access point malevoli per far guadagnare un po’ di tempo all’amministratore di rete, permettendogli così di pensare alle misure difensive più adatte da mettere in pratica.

“L’attacco DoS contro gli AP non autorizzati sarà lanciato solo se questi hanno lo stesso SSID ma un diverso BSSID o se si trovano su un canale differente, in modo da evitare attacchi rivolti alla propria rete legittima”, scrive Idris nella documentazione di EvilAP_Defender. Va però sottolineato come attaccare l’access point di qualcun’altro, anche se si tratta di un AP malevolo, è considerata un’azione illegale in molti Paesi.

Per funzionare, EvilAP_Defender richiede quattro cose: MySQL, Python, Aircrack-ng e una scheda di rete wireless supportata da questo pacchetto di strumenti per l’analisi e il monitoraggio di reti wireless.