Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L15
الفرق الحمراء — الهجوممتقدم65mL15

Wireless Security — Wi-Fi و Bluetooth و RFID

اللي بيتبعت في الهوا، أي حد ممكن يلتقطه

#WPA3#Bluetooth#RFID#SDR

الموجات الراديوية — جدار شفاف

تشبيه — شرح مبسط
بُص. في فرق بين الكابل والـ Wi-Fi. الكابل لازم تيجي تلمسه. الـ Wi-Fi بيخرج من الحيط ويوصل للشارع. تخيّل واحد واقف في الأوضة بيصرخ: "اليوزر kareem، الباسورد 1234". الحيطة بتعك على الصوت شوية؟ مش كفاية. أي حد في الشارع بهوائي محترم بيمسك الكلمتين. الـ wireless طبيعته كده. اعتبر إن كل byte بتبعته في الهوا منشور في جريدة. - طب الـ encryption بيحل المشكلة دي يا حضرتك؟؟ يا مستجد، الـ encryption بيحوّل الجريدة لـ شفرة. بس لو الشفرة ضعيفة، أو الـ key سهل، أو الـ AP بيقبل client من غير ما يتأكد منه — يبقى رجعنا تاني للجريدة. اوعى تعتمد على كلمة "encrypted" لوحدها. اسأل: encrypted بإيه؟ بأنهي suite؟ ومين بيتأكد من مين؟
واقعة TJX 2007
45 مليون كارت ائتمان اتسرّقت. الـ attackers قعدوا في باركينج فرع TJX ومسكوا traffic لاسلكي مشفّر بـ WEP. كسروا الـ key في يوم. دخلوا الشبكة الداخلية ولعبوا 18 شهر من غير ما حد ياخد باله. السبب الرئيسي: WEP في 2005 وقالوا "هنغيّره بعدين". ما اتغيّرش. خسارة قدّرت بـ 256 مليون دولار.

Wi-Fi — التطور و الهجمات

أجيال التشفير

  • WEP (1999) — مكسور بالكامل. بيتفك في دقايق.
  • WPA / TKIP (2003) — مكسور هو كمان.
  • WPA2 / AES-CCMP (2004) — القياس العام. ضعيف قدام KRACK وbrute على الـ handshake.
  • WPA3 / SAE (2018) — بيحل معظم مشاكل WPA2، بس ثغرات Dragonblood ضربته في البداية.

الهجمات الكلاسيكية

bash
# وضع المراقبة
airmon-ng start wlan0
# مسح الشبكات
airodump-ng wlan0mon
# التقاط handshake
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w cap wlan0mon
# إجبار client على إعادة الاتصال
aireplay-ng -0 5 -a AA:BB:CC:DD:EE:FF wlan0mon
# كسر offline
hashcat -m 22000 cap.hc22000 rockyou.txt
# أو
hcxdumptool / hcxtools للـ PMKID attack (لا يحتاج client)

Evil Twin / Rogue AP

  • اعمل AP بنفس الـ SSID + إشارة أقوى → الـ clients هتتصل تلقائياً. الأجهزة بتحب الإشارة الأقوى زي ما البني آدم بيحب الكلام الأحلى.
  • أدوات: airgeddon, wifiphisher, hostapd-mana, eaphammer.
  • هجوم Karma: الـ AP بيرد على أي probe وبيقول "أيوه أنا الشبكة دي". ثقة عمياء.

هجوم WPS

PIN من 8 أرقام → كسر بـ 11000 محاولة بس (Reaver, Bully, pixiewps). تصميم عبقري — للمهاجم.

Enterprise Wi-Fi (802.1X / WPA-EAP)

  • EAP-PEAP / EAP-TTLSEAP relay ممكن لو لم يُتحقق من شهادة السيرفر.
  • EAP-TLS — الأقوى (شهادة على الـ client و السيرفر).
  • أداة eaphammer + hostapd-wpe لاصطياد NTLM responses.
الحماية
  • افرض EAP-TLS فقط، عطّل PEAP/TTLS لو أمكن.
  • على الـ clients: ثبّت CA المؤسسة و اسم السيرفر إجبارياً (strict server validation).
  • WPA3-Enterprise مع 192-bit security للبيئات الحساسة.

Bluetooth & BLE

المخاطر الشائعة

  • BlueBorne (2017) — ثغرات لا تحتاج اقتراناً.
  • KNOB attack — تخفيض إنتروبي مفتاح التشفير.
  • BLE replay على الأقفال الذكية و الـ wearables.
  • Sniffing غير مشفّر للبيانات الصحية و LE Audio.
tools
# scanning
hcitool lescan
bluetoothctl
btmgmt

# sniffing
btlejack -s            # capture
ubertooth-rx           # hardware-based
crackle                # BLE encryption cracking (legacy pairing)

# fuzzing
sweyntooth, braktooth  # BLE/BR-EDR vuln research

الحماية

  • استخدم LE Secure Connections فقط (لا Legacy Pairing).
  • عطّل الـ Bluetooth عند عدم الحاجة.
  • تحقق من passkey بشكل مرئي عند الاقتران.
  • طبّق MDM لمنع الـ pairing مع أجهزة غير معتمدة.

RFID / NFC

  • 125 kHz (HID Prox, EM4100) — يُستنسخ في ثوانٍ بـ Proxmark3.
  • 13.56 MHz (MIFARE Classic, DESFire, iCLASS):
    • MIFARE Classic — مكسور بـ nested attack, hardnested.
    • DESFire EV1 — مكسور (CVE-2020-15890).
    • DESFire EV2/EV3 — لا يزال آمناً.
  • NFC mobile — هجمات relay ممكنة (مدفوعات).

أدوات: Proxmark3, Flipper Zero, ChameleonMini, ACR122U.

SDR — الراديو المعرّف برمجياً

يفتح كل الطيف الراديوي للتحليل و إعادة الإرسال:

  • HackRF One, RTL-SDR, LimeSDR, BladeRF.
  • برامج: GNU Radio, GQRX, SDR#, Inspectrum, Universal Radio Hacker (URH).
  • هجمات شائعة:
    • Replay على ريموتات السيارات القديمة (rolling code أصعب لكن ممكن — RollJam).
    • اعتراض GSM/LTE برخصة فقط.
    • تحليل بروتوكولات IoT (433/868/915 MHz).
    • هجمات GPS spoofing.
القانون
الإرسال الراديوي خاضع لتنظيم صارم. التشويش أو الإرسال على ترددات مرخّصة لجهة أخرى = جريمة. التقاط (RX) يعتبر مقبولاً قانونياً في معظم الدول، لكن التسجيل/النشر قد لا يكون.

الحماية الشامل اللاسلكي

  1. WIDS/WIPS (Wireless Intrusion Detection): Aruba, Cisco, Fortinet — يكشفون rogue APs و evil twins.
  2. مسح دوري للترددات المحيطة (RF site survey).
  3. عزل الـ guest Wi-Fi في VLAN منفصل.
  4. عطّل WPS دائماً.
  5. قلّل قوة الإشارة لتغطي ما تحتاجه فقط.
  6. ثبّت certificate pinning على EAP-TLS.
  7. BLE/Wi-Fi MAC randomization على أجهزة الموظفين لتقليل التتبع.

غلطات الـ junior — في الشركات اللي عندنا

اللي بيحصل فعلياً
  • الـ guest Wi-Fi و الشبكة الداخلية على نفس الـ VLAN. بيقولوا "الراوتر بيعزل" — لا، ما بيعزلش.
  • الـ EAP-PEAP من غير strict server validation. أنت كده بتطلب من الـ user إنه يوافق على أي شهادة. evil twin بيمسك الـ NTLM hash في 30 ثانية.
  • الـ WPS مفتوح "علشان الزوار". الـ Pixie Dust attack بيكسره في دقيقة.
  • الباسورد للـ Wi-Fi المؤسسي = اسم الشركة + سنة. شفت ده في 4 جهات حكومية لحد دلوقتي.
  • محدش عمل RF site survey. الـ AP بتاع المؤسسة بيوصل لمحطة المترو القريبة. والمهاجم بيشتغل من على القهوة في الشارع.

الخلاصة: في كتير من الجهات عندنا الـ Wi-Fi policy موجودة على ورق وبس. الواقع: الـ AP من 2017 وما اتلمسش. ما بنحلش المشكلة دي بـ tool — بنحلها بقرار إداري.

الخلاصة الناشفة

الـ wireless مش "extension للشبكة". هو perimeter جديد بالكامل.

اللي ما بيعملش RF site survey كل 6 شهور = ما بيعرفش حدود شبكته فين فعلاً.

اكتبها على باب الـ NOC: حدود الشبكة مش حدود المبنى — حدود إشارتك.

السابق
Cryptography & PKI — من غير فلسفة
الوحدة التالية
Password Cracking — إزاي بتقع فعلاً