Wi-Fi слід – маловідомий, але критичний демаскуючий фактор у цій війні
Чому будь-яка WiFi мережа і будь-який смартфон з WiFi створюють відбитки? Як вони збираються та застосовуються? Чому від цього залежать життя?
У сучасній війні Wi-Fi перетворився на головний демаскуючий технічний фактор. Більшість користувачів сприймають його як «невидимий» та безпечний інтерфейс для з’єднання з інтернетом, котрий майже завжди доступний «під капотом» у багатьох засобах зв’язку – від смартфона чи пульта керування дроном, до супутникового термінала (Starlink, OneWeb, SatCube та інших) і більшості інших систем передачі даних.
Але сьогоденна реальність проста: і Wi-Fi мережа, і пристрої з Wi-Fi «світяться» у сотні разів інтенсивніше будь-якої супутникової тарілки. І крім того, що вони легко виявляються та локалізуються засобами радіоелектронної розвідки (РЕР), вони ще й залишають Wi-Fi слід, який читається спеціальними системами аналізу даних.
Для силових структур, військових підрозділів і навіть цивільних користувачів у прифронтових районах це означає одне: не Wi-Fi забезпечує зв’язок, а Wi-Fi видає вас ворогу. Саме він стає найбільш зручним маркером для виявлення позицій, визначення маршрутів і збору розвідувальної інформації.
Давайте розбиратись, що таке «Wi-Fi слід», чому він становить небезпеку, які інструменти збирають і використовують ці дані, та які практичні заходи радіо- й кібергігієни допоможуть мінімізувати ризики. Зробимо це доволі простою мовою, але з точними технічними деталями, щоб і не фахівці зрозуміли сутність проблеми, а фахівці мали достатню глибину.
Важлива ремарка від автора – у цій статті я обмежуюсь виключно публічно доступними даними. Тобто матеріал не містить жодних секретних чутливих даних чи прикладів, котрі використову.nmcz при закритому навчанні фахівців чи в не публічних виступах та матеріалах.
Що таке Wi-Fi слід?
Кожна Wi-Fi мережа й кожен пристрій із модулем Wi-Fi постійно створюють набір сигналів, які видно далеко за межами приміщення чи бази. Ці сигнали формують так званий Wi-Fi слід (Wi-Fi fingerprint або trail) – такий собі «цифровий запах», який можна виявити, записати, відстежити та проаналізувати.
Як «світиться» WiFi?
Будь-які WiFi пристрої, від точок доступу та роутерів, до смартфонів, годинників, відеокамер спостереження та всіляких «розумних пристроїв» завжди передають певні дані у вигляді службових пакетів. Ці пакети передаються у відкритому вигляді, їх може перехопити будь-який приймач у радіусі дії – від простого сканера на смартфоні до спеціалізованих засобів РЕР.
Beacon (маяк): кожна точка доступу періодично транслює службові пакети з інформацією про мережу – SSID (назва), BSSID (MAC-адреса точки), стандарт, підтримувані швидкості тощо.
Probe-запити: клієнтські пристрої (смартфони, ноутбуки, планшети, дрони) надсилають запити в ефір, шукаючи знайомі мережі. У цих запитах часто зберігається список «улюблених» SSID, що дозволяє відновити маршрут руху або ідентифікувати власника.
Інші службові кадри: асоціації, авторизації, пакети управління, що також містять метадані.
Отже, навіть якщо до вашої мережі не підключені пристрої, це зовсім не значить, що вони «невидимі». І сама мережа, і більшість пристроїв навколо вас все рівно будуть «світитись в ефірі».
Отже, перша складова Wi-Fi сліду – це службові пакети даних, котрі зчитані якимось пристроєм. Наприклад – вашим власним смартфоном, без будь-якої вашої участі чи бажання.
Vendor telemetry та «розумні пристрої»
Wi-Fi слід створюється не лише в момент підключення до мережі. Сучасні смартфони та IoT-пристрої регулярно виконують фонові сканування і відправляють зібрані дані виробнику або у сторонні SDK (Software Development Kit). У цих даних фіксуються:
BSSID (унікальна MAC-адреса точки доступу),
SSID (символьна назва мережі),
рівень сигналу (RSSI),
час і координати (якщо ввімкнена геолокація),
ідентифікатори пристрою чи додатку.
Таким чином формується глобальна «карта Wi-Fi», яка накопичується вендорами (Google, Apple, рекламні платформи тощо). Маючи координати та рівні сигналів, використати трилатерацію для доволі точного визначення положення цільового пристрою – зовсім не складна задача.
Різноманітні гаджети завжди є навколо нас – смартфони та планшети, бортові системи в автівках та відеореєстратори, розумні колонки та SmartTV, розумні годинники та контролери розумного дому, розумні повербанки та ПК – і це ще геть не повний перелік. Більшість з цих пристроїв має WiFi/Bluetooth модуль і відповідне ПЗ, котре збирає ті чи інші дані.
Деякі з таких пристроїв постійно увімкнені як точка доступу (AP) і по суті самі розкидають свій WiFi слід. Але головне – більшість з них збирає та передає телеметрію та дані зі своїх WiFi та Bluetooth/BLE модулів в ті чи інші бази даних. По суті – ми маємо навколо мільйони гаджетів та пристроїв, котрі постійно виконують функцію WiFi та Bluetooth/BLE сканерів.
Якщо спробувати лише коротко описати специфіку та можливості сканування кожного типу згаданих пристроїв – це забере доволі багато місця та часу. Тому наразі підкреслю лише один приклад гаджетів, котрі є буквально повсюди навколо нас – смартфони та планшети. Тому що кожен з них може сканувати WiFi та Bluetooth в своєму оточенні навіть тоді, коли ми цього не хочемо.
Background scans і «Airplane mode»
Багато хто перебуває в ілюзії, що достатньо просто тицьнути в кнопку вимикання WiFi та Bluetooth, чи навіть «просто увімкнути Режим польоту», і все – жодні дані не збираються і не передаються. Але насправді це не так… чи точніше – не зовсім так…
Окремий ризик для багатьох сучасних гаджетів – це фонові сканування, які можуть працювати навіть тоді, коли користувач вважає, що Wi-Fi вимкнено або ввімкнено режим польоту.
У налаштуваннях смартфонів існують опції «Wi-Fi scanning» чи «Bluetooth scanning для покращення геолокації». Якщо їх не вимкнути, пристрій може продовжувати збір даних навіть при вимкненому Wi-Fi. Але в широкого кола гаджетів ці параметри попросту не доступні для вимикання.
Деякі дослідження й практики показали можливість «фейкового airplane mode», коли на екрані модулі нібито вимкнені, але насправді пристрій продовжує комунікацію. На жаль, виявити, як саме реалізований «Режим польоту» у тому чи іншому смартфоні того чи іншого виробника, можливо лише в результаті кропіткого дослідження.
Публічних універсальних доказів, що всі смартфони навколо завжди так роблять, немає. Але вже є публічні публікації про виявлені інциденти і цей ризик виключати не можна: він залежить від моделі, прошивки, налаштувань і наявних SDK.
Це означає: навіть у режимі, який здається «тихим», пристрій може залишати Wi-Fi слід, а також працювати своєрідними РЕР-сканером. Для військових це критичний фактор, який потребує дисципліни й перевірки на рівні конкретних пристроїв.
Куди течуть дані?
Зібрані дані надсилаються до різноманітних баз даних – серед них як бази даних великих вендорів, так і різноманітні комерційні, рекламні та навіть відкриті проекти. Звісно, це все мало якісь «благі наміри»... Але по факту ми маємо тепер навколо світ, в котрому можливо відстежити та локалізувати будь-кого.
На основі зібраних даних формуються великі бази (Big Data) геолокації Wi-Fi. Публічні приклади – WiGLE.net, Google Location Services, Mozilla MLS (архів), Skyhook. Але існують і комерційні або закриті бази, доступні тільки фахівцям. У цих базах кожен BSSID може мати «прив’язку» до координат і часу, створюючи картину руху чи присутності пристроїв. Про це детальніше якраз і піде мова далі.
Це створює додатковий ризик: навіть «вимкнений» чи «непідключений до мережі» Wi-Fi пристрій може залишати слід у базах даних, доступних для CYBERINT чи OSINT аналітики.
Де можна знайти всі Wi-Fi сліди планети?
Wi-Fi слід не зникає в повітрі. Дані, які пристрої й мережі транслюють у радіоефірі, накопичуються та зберігаються у величезних масивах. Частина таких даних доступна публічно, інша – збирається вендорами й сторонніми сервісами. У результаті створюється глобальна карта Wi-Fi, яка дає змогу визначати місце розташування й рух користувачів та мереж.
OSINT-сервіси
Відкриті або напіввідкриті платформи дозволяють будь-кому отримати доступ до даних про Wi-Fi мережі:
WiGLE.net – волонтерська база, що формується з wardriving-записів користувачів. За BSSID у ній можна знайти координати точки доступу та час останнього виявлення.
Google Location Services – сервіс, який використовують смартфони Android і додатки для позиціонування. Він базується на величезному масиві BSSID→координати, зібраному з мільярдів пристроїв.
Skyhook – комерційна система геолокації, яка також опирається на Wi-Fi бази.
Mozilla MLS (тепер архів) – приклад спроби зробити відкриту альтернативу.
Це не повний перелік, але і його достатньо, щоб усвідомити – навіть без складних інструментів достатньо знати BSSID, щоб через такі сервіси знайти геолокацію мережі. Отже, можемо їх вважати гарними джерелами для OSINT аналітики, доступної всім – нам та союзникам, але і противнику…
CYBERINT-масиви
Другий рівень – це вендорські телеметрії та сторонні SDK (third-party SDKs).
Вендори ОС та пристроїв (Google, Apple, виробники смартфонів) регулярно отримують від гаджетів дані про навколишні мережі: BSSID, SSID, рівень сигналу, timestamp, іноді координати.
Сторонні SDK у додатках (рекламні, аналітичні, антифрод-сервіси) теж збирають Wi-Fi дані й відправляють їх у власні бекенди. Користувач часто навіть не здогадується, що додаток «під капотом» передає інформацію про всі точки доступу довкола.
Ці масиви даних значно більші й багатші, ніж будь-яка відкрита база. Той, хто має доступ до таких даних, може:
відстежувати маршрути конкретних пристроїв;
прив’язувати Wi-Fi точки до конкретних осіб чи організацій;
корелювати Wi-Fi записи з іншими ідентифікаторами (GPS, мобільна мережа, IDFA/AAID).
Це й є рівень CYBERINT – коли аналітика на основі масивів телеметрії дає можливість будувати детальні картини активності та навіть визначати геолокацію з точністю, достатньою для ураження.
А якщо поєднати засоби РЕР з можливостями CYBERINT, що зараз дуже наполегливо пробує противник, то кумулятивний результат дає дуже потужні можливості. Саме недооцінка цих можливостей і може бути смертельно небезпечною.
Практичні ризики
Wi-Fi-слід – це не абстрактна загроза, а набір конкретних ризиків, які реалізуються на практиці і можуть мати серйозні наслідки для безпеки підрозділу, персоналу, техніки та інфраструктури. Нижче – перелік ключових сценаріїв ризиків.
Локалізація позицій і техніки
Відстеження руху й маршрутів (pattern-of-life, tracing)
Ідентифікація ролей/підрозділів через неймінг і метадані
Кумулятивна аналітика (CYBERINT)
Компрометація каналів та систем через цільові кібератаки на визначені через WiFi слід мережі чи пристрої
Цілеспрямовані операції (дійсні TTP противника)
Важливо розуміти, що наявність WiFi та Bluetooth/BLE в дуже багатьох пристроях попросту неочевидна:
Чимало сучасних зарядних станцій (містких повербанків) мають в собі WiFi/Bluetooth/BLE модулі, котрі інколи навіть неможливо гарантовано вимкнути кнопкою.
Дуже багато моделей електронних сигарет містять BLE модулі. Це не WiFi, але їх слід також може бути визначено та передано в бази даних при певних умовах. Також ці пристрої можуть бути локалізовані засобами РЕР на БПЛА на малих висотах.
Всі зазначені ризики смартфонів та планшетів також актуальні і для розумних годинників.
Значна кількість відеокамер спостереження, погодних станцій та інших пристроїв має на борту активний WiFi модуль, котрий також неможливо вимкнути кнопкою.
Переважна більшість систем відеоспостереження для автівок, автомобільних мультимедійних систем з функцією бездротового підключення смартфонів тощо, не просто мають WiFi/Bluetooth/BLE модулі, а працюють в режимі точки доступу. Тобто по факту, ці системи – такий собі добровільно причеплений до транспорту WiFi-маячок.
Важливі моменти
Найбільша небезпека – комбінація: поєднання радіопеленгації з накопиченою телеметрією і OSINT-базами дає значно більшу точність, ніж будь-який із методів окремо.
Ризик зростає з часом: чим довше точка доступу або клієнт «світяться», тим більше даних накопичується та зростає ймовірність кореляції. Чим більше накопичено WiFi слідів – тим точніше геолокація.
Неконтрольовані сторонні елементи (смартфони персоналу, IoT, сторонні SDK) – найслабша ланка.
Контрзаходи дають ефект, але не гарантують 100% захисту. Комбінація технічних, процедурних і організаційних заходів істотно зменшує ризик, хоч і вимагає дисципліни і регулярного контролю. 100% захисту не існує, але кожний відсоток = збереженні життя.
Отже, маємо простий висновок – противнику достатньо знати лише BSSID WiFi мережі в командному пункті чи центрі керування дронами, щоб визначити його точне положення для дорозвідки та бойового ураження.
Зменшуємо Wi-Fi сліди – радіо- та кібер-гігієна
Найбільша небезпека Wi-Fi полягає в тому, що він створює слід завжди – навіть коли користувач не підключається до мережі. Тому завдання гігієни полягає не у «повному захисті» (його немає), а в мінімізації сліду. Це поєднання технічних налаштувань і дисципліни користувачів.
Базові правила
Пріоритет дроту – у бойових умовах краще відмовитися від Wi-Fi повністю й використовувати дротові підключення.
Мінімізація часу роботи Wi-Fi – якщо без Wi-Fi ніяк, його радше слід вмикати лише на короткі проміжки часу (time-boxing).
Мінімізація зони покриття. Зниження потужності передавача й екранування (сховані точки під землю, у бліндаж/укриття та т.п.).
Вимкнення непотрібних радіомодулів. Смартфони, ноутбуки, IoT-пристрої повинні мати Wi-Fi і Bluetooth вимкнені поза моментами реального використання.
Моніторинг радіо-гігієни WiFi/Bluetooth/BLE – якщо у підрозділа немає можливості скористатись відповідними засобами РЕР чи моніторингу, то відстеження оточення підрозділу хоча б простими та загальнодоступними програмами WiFi/Bluetooth сканерів для смартфонів – вже дуже ефективний крок.
Рекомендовані технічні заходи
Сильна криптографія. Використання WPA3-SAE і обов’язково ввімкнені PMF (802.11w). Якщо не доступні – хоча б WPA2. Жодних відкритих мереж.
Нейтральні SSID. Уникати назв, що вказують на приналежність («HQ», «Starlink», «Army»). Рекомендовано використовувати випадкові чи нейтральні імена.
Регулярний reset і зміна BSSID. Різні пристрої мають різні можливості, шляхи та інструменти для зміни BSSID. Наприклад, у випадку Starlink – це Factory reset. Фахівці зазвичай знають де шукати описи та засоби такої зміни. Регулярна зміна BSSID, а ще краще з рандомізацією – знижує ризик накопичення даних у базах.
MAC-рандомізація. Вмикати на всіх клієнтах, але пам’ятати, що вона не абсолютна (особливо при асоціації з AP).
Оптимізація потужності. Використання нижчої потужності передавача зменшують дальність і видимість сигналу. Певну користь можуть принести і направлені антени.
Звісно, існує і певний набір організаційних заходів. Втім, це питання доволі добре врегульовано вже існуючими службовими регламентами та політиками, тому не будемо це деталізувати у публічному форматі.
Wi-Fi не можна зробити «невидимим», але можна зробити його короткочасним, слабким і безпечнішим. Це досягається комбінацією технічних налаштувань і організаційної дисципліни.
Саме підтримка платних підписників SkyLinker.io дозволить нам ще краще та ще більше длитись незалежною аналітикою, цікавими оглядами та продукувати навчальні та освітні матеріали. Від недорогої підписки ціною в декілька філіжанок кави на місяць до більш вагомої рівня “Patron” - все це наочно та якісно конвертується в інформацію та знання, передусім для захисників України.
Все найцікавіше зі світу зв’язку та космічних технологій доступно також у вигляді освітніх аудіоподкастів та відеолекцій і на сайті та на Youtube каналі SkyLinker.