Jak złamać WEP - krótki przewodnik

Zamieścił

barbom

Ponieważ, z tego co widzę, łamanie WEP cieszy się zainteresowaniem, przedstawię tutaj krótką
instrukcję "jak złamać WEP". Głównie chodzi mi o uświadomienie ludziom, że WEP nie jest
bezpieczny, a ewentualne "filtrowanie po MAC" to tylko iluzja jakiegokolwiek bezpieczeństwa.
Na początku zbierzmy narzędzia. Łamanie WEP przedstawię na prostych przykładach:

•

BackTrack

jako platforma do sniffowania,

•

Cain

jako łamacz,

Dlaczego akurat taki zestaw? Cóż, nie przekonałem się do linuksa na desktopie (na laptopie tym
bardziej), więc jestem zadowolonym użytkownikiem Windows XP, który jednocześnie nie chce
wydawać kilkuset złotych na

tę zabawkę (AirPcap)

. Windows Vista potrafi już bezpośrednio

sniffować połączenia wireless, ale mój stary Dell C540 raczej nie byłby dobrą platformą dla tego
systemu (wiem, instalowałem na nim i Beta2 i wersje testowe). Istnieje kilka dystrybucji LiveCD
przeznaczonych dla pentesterów, BackTrack jest tą, którą używam, choć kiedyś również
przymierzałem się do

Pentoo

. Próbowałem również

kilka innych wersji

, ale jakoś BackTrack był

najbardziej użyteczny. Wadą BackTrack jest to, że

aircrack-ng

na nim obecnie dostępny nie wspiera

ataku

PTW

. Cain za to atak PTW jak najbardziej wspiera.

Całość ataku można podzielić na etapy:

•

Wybór celu,

•

Zbieranie IVS,

•

Łamanie klucza,

Wybór celu
Z poziomu LiveCD należy uruchomić airodump-ng nazwa_interfejsu, na ekranie pojawi się
informacja o wykrytych sieciach, w szczególności informacje o:

•

BSSID

, czyli w praktyce adresie MAC AP,

•

ESSID

, czyli nazwie sieci (o ile jest dostępna),

•

informacja o kanale, na którym działa sieć,

Pojawi się również informacja o stacjach, które w tej sieci są aktywne. Warto zapisać sobie kilka
ich adresów MAC, bo przydadzą się później.
Zbieranie IVS
Aby złamać klucz WEP potrzeba trochę (dużo) IVS. "Klasyczny" atak potrzebował od 250 000 do 1
000 000, dla ataku PTW liczba 100 000 jest zwykle wystarczająca. Jak je zebrać? Można je zebrać
pasywnie, można również przyśpieszyć proces zbierania poprzez atak

arp replay

. Jeśli w sieci jest

duża aktywność, można uzbroić się w cierpliwość i czekać, ja jednak tej cierpliwości nie mam zbyt
wiele... Poza tym zdając się na cierpliwość, raczej nie uda się szybko przeprowadzić ataku PTW,
ponieważ po prostu nie będzie odpowiednich danych zebranych. Konieczny jest więc atak arp
replay, czyli:
aireplay-ng --arpreplay -b BSSID -h MAC nazwa_interfejsu
Ważne, by adres MAC był aktywny w sieci. Nie jest to wymagane, ale wówczas należy wykonać
kilka dodatkowych kroków, bo bez nich AP może najnormalniej na świecie ignorować będzie
wstrzykiwane pakiety. Przed uruchomieniem tego polecenia warto jest przestawić kartę w pracę na
odpowiednim kanale, czyli:

iwconfig nazwa_interfejsu channel numer_kanalu

Na początku nie dzieje się nic, ale po znalezieniu pierwszego pakietu ARP zaczyna się atak (można
również odczytać pakiety ARP z wcześniej zapisanego pliku). Wówczas należy uruchomić
polecenie (można i wcześniej, zamiast airodump-ng z powodzeniem można wykorzystać zwykły
tcpdump):
airodump-ng -w nazwa_plikow --channel numer_kanalu -i
nazwa_interfejsu
Następnie należy po prostu obserwować jak rośnie ilość zebranych danych. Niestety, airodump-ng
nie informuje bezpośrednio jak wiele IVS zostało zebrane, więc w oddzielnej konsoli warto od
czasu do czasu uruchamiać polecenie:

aircrack-ng *.cap
Tutaj jedna uwaga - niektóre karty (sterowniki) mają problemy z jednoczesnym sniffowaniem i
wstrzykiwaniem pakietów. Ja korzystam z karty na Ralinku i jest z nią jeden problem - zanim karta
zostanie podniesiona przez:

ifconfig ral0 up
musi zostać przestawiona w monitor mode przez:

iwconfig ra0 mode monitor
Jeśli to nie zostanie wykonane, wstrzykiwanie pakietów nie będzie działać, lub będzie działać do
czasu, gdy uruchomiony zostanie jakiś sniffer wymagający trybu monitorującego, albo przestanie
wstrzykiwać pakiety po 367 wysłanych...
Kiedy przestać? Ja bym sugerował poczekać tak do 100 000 IVS, choć skutecznie udawało mi się
łamać sieci po zebraniu 40 000. To i tak trwa tylko chwilę, właśnie w jakieś 5 minut włamałem się
do siebie :)
Łamanie
Teraz należy przejść pod Windows i uruchomić Caina. Zakładam oczywiście, że zebrane pakiety
zostały przeniesione pod ten system lub są na kluczu USB. Tutaj w Cracker->802.11 Captures
należy zaimportować zebrane pakiety, zaznaczyć zrzut na liście i przeanalizować go (Analyze).
Otrzymuje się wówczas informację o zebranych IVS, w szczególności o ilości tych, które nadają się
do ataku PTW. Po zaznaczeniu sieci można wybrać jeden z ataków. Jeśli wykorzystany był arp
replay, to oczywiście wybrać należy PTW.
Jak to jest skuteczne?
Bardzo. W ciągu mniej niż 3 minut (142 sekundy) zebrałem właśnie 86 055 unikalnych IVS, z
czego 75 403 nadaje się do ataku PTW. Atak kończy się powodzeniem...
Dlaczego filtrowanie po MAC niewiele daje?
Dlatego, że adres MAC można zmienić (co kończy dowód). Na przykład przy pomocy narzędzia

macchanger

, choć w linuksie ifconfig ma opcję ustawiania adresu MAC (w *BSD zresztą też). W

Windows również jest to możliwe, choć tutaj już muszą wspierać to sterowniki (te do Ralinka
akurat to w spierają bez większych problemów).