Metodologia di Valutazione della Sicurezza e Trappole Operative
Quadro di Autorizzazione: Regole di Ingaggio
Le valutazioni wireless collassano più rapidamente di quelle cablate quando i confini dello scope sono vaghi. Il segnale RF non rispetta i diagrammi di rete. Un tester che trasmette frame deauth sul canale 6 colpirà ogni rete 2,4 GHz in un raggio di tre piani, non solo l'SSID target. Le regole di ingaggio devono definire esplicitamente: bande di frequenza consentite per il testing, EIRP massimo (non solo "usa potenza ragionevole"), tipi di attacco proibiti (ad esempio, jamming vs. testing di associazione), e confini fisici—il testing nel parcheggio è legalmente e operativamente distinto dal testing nella lobby.
Il PTES struttura le fasi di ingaggio come guida di base che richiede personalizzazione organizzativa. Per il wireless, quella personalizzazione è obbligatoria. La giurisdizione conta in modo acuto: le valutazioni negli Stati Uniti rientrano nel 47 CFR Part 15 Subpart E (U-NII) e §15.247 (spread spectrum 2,4 GHz), mentre gli ingaggi europei sono soggetti a ETSI EN 301 893/EN 300 328. Questi quadri divergono sui limiti di potenza e i requisiti DFS. Un piano di test valido a Francoforte può violare le regole FCC a New York se non si ricalcolano i massimi di EIRP. Documentare quale quadro regolatorio governa ogni ambiente di test; non assumere che la propria giurisdizione d'origine si trasferisca.
Nota pratica: Il PTES non contiene una appendice RF dedicata. Adattarne la fase pre-ingaggio aggiungendo controlli di scope specifici per RF: liste di esclusione canali per sistemi di sicurezza operazionali, coordinamento con la gestione delle strutture per finestre di attivazione dei trasmettitori, e autorizzazione scritta esplicita per qualsiasi attività di frame injection.
Checklist di Verifica Pre-Ingaggio
| Voce | Metodo di Verifica | Conseguenza in Caso di Fallimento |
|---|---|---|
| L'autorizzazione scritta specifica bande di frequenza, canali e potenza TX massima | Revisione legale rispetto al piano di test | La trasmissione senza licenza diventa interferenza volontaria |
| Struttura/strutture notificate della finestra di test e delle firme RF attese | Conferma via email + briefing in loco | Risposta delle guardie o chiamata di panico dei dipendenti alle forze dell'ordine |
| Scansione canale completata per sistemi safety-of-life (telemetria medica, controllo industriale) | Sweep con analizzatore di spettro 30 min pre-test | Interferenza dannosa con operazioni protette |
| Firmware dell'apparecchiatura di test verificato, versioni driver documentate | iw list / airmon-ng verifica driver |
Fallimento di riproducibilità; evidenza contestata in tribunale |
| Logging GPS/posizione abilitato per tutte le catture | gpsd + tag geolocalizzazione Kismet |
Impossibilità di dimostrare che il test è avvenuto in locazione autorizzata |
| NIC di backup disponibile | Hardware di riserva nel kit | Punto singolo di fallimento a metà ingaggio |
Sicurezza Operativa: Perdita RF e Attribuzione
Il traffico di test è indistinguibile da quello malevolo senza adeguati controlli operativi. Tre vettori espongono: perdita RF oltre il perimetro target, indirizzi MAC persistenti collegati alla propria organizzazione, e pattern temporali (raffiche di deauth notturne alle 02:00 sono memorabili per gli analisti SOC).
Il MAC rotation è il minimo indispensabile, ma implementarlo correttamente. I MAC randomizzati nelle probe request perdono comunque impronte di chipset tramite i campi IE. Per ingaggi sensibili, utilizzare hardware di test dedicato mai connesso alla propria identità di produzione.
# Verifica MAC corrente e imposta interfaccia monitor-mode su randomizzato
ip link show wlan0 | grep ether
sudo ip link set wlan0 down
sudo macchanger -r wlan0
sudo ip link set wlan0 up
sudo airmon-ng start wlan0 6
Cosa fa:
macchanger -rassegna un MAC localmente amministrato random, preservando il bit U/L per indicare non unicità globale. Quando usarlo: Prima di ogni nuova sessione di test; ruotare tra le sessioni, non a metà sessione (lo churn temporale stesso diventa rilevabile). Rischi: Alcuni driver ignorano i cambi di MAC in monitor mode; verificare coniw devpost-modifica. Output atteso:ether 02:xx:xx:xx:xx:xx(il prefisso 02 conferma il bit locale impostato).
Disciplina temporale: Evitare intervalli prevedibili. I tool di deauth automatizzati hanno default su rate aggressivi che attivano firme WIDS e attirano l'attenzione degli investigatori. Spaziare le trasmissioni con jitter, e cessare ogni attività al di fuori delle finestre autorizzate—"lo script di test era ancora in esecuzione" non è una spiegazione difendibile per trasmissioni alle 3 del mattino.
Modalità di Fallimento dell'Apparecchiatura
Le NIC wireless sono il componente più fragile nel kit. Instabilità del driver in monitor mode, crash del firmware durante frame injection, e mismatch d'antenna distruggono la continuità del test e corrompono l'integrità dell'evidenza.
| Fallimento | Sintomo | Diagnostica |
|---|---|---|
| Incompatibilità driver-injection | aireplay-ng -9 restituisce "No answer..." nonostante il target presente |
Verificare iw list per "Supported interface modes: monitor" e "Supported commands: injection" |
| Crash firmware sotto carico | L'interfaccia scompare da ip link; dmesg mostra disconnessione USB |
Throttling termico su adapter compatti; aggiungere dissipatore passivo o ridurre il duty cycle |
| Mismatch antenna | Segnali vicini forti, target debole a 20m | Verificare tipo connettore (RP-SMA vs. SMA); controllare VSWR se apparecchiatura disponibile |
| Collasso alimentazione bus USB | Più adapter cadono simultaneamente | Usare hub alimentato; porte singole erogano 500mA, insufficienti per adapter ad alto TX |
Lab (validazione aggressiva):
# Stress-test capacità injection contro AP di test noto
sudo aireplay-ng -9 -e TestLab -a 02:00:00:00:00:01 wlan0mon
Produzione (verifica conservativa):
# Valida monitor mode senza trasmettere frame di test
sudo airmon-ng check wlan0
sudo iw dev wlan0 interface add wlan0mon type monitor
sudo iw dev wlan0mon set channel 6 NOHT
# Verifica con cattura solo passiva
sudo tcpdump -i wlan0mon -c 100 -e -n | head -5
Cosa fa: La variante produzione crea interfaccia monitor senza injection, usando
tcpdumpper confermare la ricezione dei frame. Quando usarla: In ambienti operazionali dove qualsiasi trasmissione rischia interferenza. Rischi: La modalità solo passiva non può validare la capacità di injection; accoppiare con test lab controllato pre-ingaggio. Output atteso: Header Radiotap con forza del segnale e data rate, confermando monitoraggio funzionale senza validazione TX.
Gestione dei Falsi Positivi
La vostra flood deauth autorizzata attiverà ogni wireless IDS nell'azienda. Coordinare con il blue team in anticipo, ma costruire anche distinguibilità nell'attività di test. Firme di test strutturate permettono ai difensori di separare il vostro lavoro da attacchi genuini:
- Numeri di sequenza prevedibili nei frame di test (ad esempio, prefisso payload fisso di 4 byte) per correlazione SOC
- BSSID/MAC ranges documentati riservati all'apparecchiatura di test
- Canale di comunicazione real-time (out-of-band) per notifiche di attività
Senza questi controlli, il test diventa un incidente non programmato. Peggio, un attacco genuino concorrente si nasconde nel vostro rumore. Mantenere un log di attività di test con granularità al secondo, condividerlo con il SOC, e cross-correlare contro la loro timeline di alert post-test.
Sicurezza Fisica e Limiti Rigidi Normativi
La FCC Part 15 stabilisce massimi assoluti: 100W output massimo per sistemi spread spectrum, con riduzione basata su rapporto SN sopra 1W. I limiti ETSI sono più stringenti e variano per sotto-banda. Superarli non è un rischio di sanzione di compliance—è un'azione di enforcement dello spettro con precedente di sequestro dell'apparecchiatura.
Più immediato è il rischio di interferenza per sistemi di sicurezza. Gli ambienti industriali usano 2,4 GHz per reti di sensori wireless; le strutture mediche per telemetria. Il vostro amplificatore da 30dBm può far collassare entrambi. La checklist sopra impone sweep spettrale pre-test; eseguirlo con analizzatore portatile o anche una seconda NIC in modalità wide scan:
# Rapido survey di occupazione canale prima del testing attivo
sudo iw dev wlan0mon set channel 1
sudo iw dev wlan0mon scan passive | grep -E "(SSID|signal|freq)" | head -20
# Ripetere per 6, 11, 36, 40, 44, 48, 149, 153, 157, 161
Cosa fa: Scansione passiva su canali rappresentativi rileva reti operative senza trasmettere. Quando usarla: Obbligatorio pre-test su tutti i canali nello scope. Rischi: La scansione passiva non rileva emettitori non-WiFi (telefoni cordless, telemetria proprietaria); integrare con analizzatore di spettro se sistemi di sicurezza sono plausibili. Output atteso: Lista SSID con forza del segnale; l'assenza di nomi SSID medici/industriali attesi non garantisce sicurezza del canale.
Rigidità Documentale e Struttura del Report
Il PTES enfatizza la riproducibilità. Per il wireless, ciò significa: hardware esatto (chipset NIC, modello antenna, versione firmware), versioni driver e tool, impostazioni canale e potenza, coordinate GPS, e catture complete di pacchetti (non solo riassunti). I file .cap di Aircrack-ng sono standard; annotare con kismetdb o equivalente per correlazione geolocalizzazione.
La struttura del report per valutazioni wireless dovrebbe includere:
- Executive summary: Confini dello scope, finestra di test, riferimento autorizzazione
- Metodologia: Descrizione fase adattata PTES con controlli specifici per wireless
- Findings per SSID/BSSID: Plot di segnale, stato crittografia, debolezze di autenticazione, evidenza di cattura
- Note operative: Deviazioni dal piano, fallimenti apparecchiatura, risoluzione falsi positivi
- Timeline di remediation: Prioritizzata per sfruttabilità da perimetro accessibile RF
Un finding senza cattura con timestamp è un aneddoto. Una cattura senza hash di verifica è non verificabile. Generare SHA-256 al momento della cattura:
sha256sum capture_2024-06-15_site-alpha.cap >> capture_manifest.sha256
Intuizione duramente conquistata: Il fallimento di valutazione wireless più professionalmente dannoso non è una vulnerabilità mancata—è un negativo non dimostrabile. "Non abbiamo trovato nulla" richiede lo stesso standard evidenziario di "Abbiamo craccato WPA2-PSK in quattro ore." La documentazione incompleta trasforma un risultato pulito in uno inconclusivo, e i risultati inconclusivi non sopravvivono a peer review o discovery in litigio.