hacking reti wireless
TRANSCRIPT
Hacking reti wireless
1 17 dicembre 10 Massimo Fornari – Hacking reti wireless
Attacco – cosa significa
• Credenziali di accesso
• Intercettazione traffico
• Injection di pacchetti
2 17 dicembre 10 Massimo Fornari – Hacking reti wireless
Come funziona WEP
Key Chiave di accesso condivisa da tutti gli Host
IV: Initialize vector, Utilizzato per differenziare la chiave per ogni pacchetto
Plain text: Corpo del messaggio, composto dal messaggio e dal suo CRC
3 17 dicembre 10 Massimo Fornari – Hacking reti wireless
RC4
4 17 dicembre 10 Massimo Fornari – Hacking reti wireless
for i 0 to 255 do S[ i ] i end j 0 for i 0 to 255 do j j+S[i]+K[i mod len(K)] mod 256 swap(S, i , j ) end I 0 j 0
K[] vettore contenente la chiave
i i + 1 mod 256
j j + S[i] mod 256
swap(S, i , j )
return S[ S[ i ] + S[j] mod 256 ]
La prima parte inizializza un vettore si
stato contente tutti i numeri compresi
tra 0 e 255 permutandoli a seconda
della chiave
La seconda parte genera un singolo
byte di keystream partendo dallo stato
e dall’avanzamento della generazione
Attacco WEP
Per tutti i tipi di attacco, si parte dallo sniffing della rete
Recupero della credenziale di accesso: • Brute force – metodo sempre utilizzabile noto l’algoritmo di encrypting del
protocollo
Attacchi ‘ragionati’
• FMS
• KoreK
• PTW Questi attacchi, sfruttano delle correlazioni statistiche derivanti dalla debolezza dell’algoritmo RC4, riducendo notevolmente il tempo di attacco. In particolare PTW ha una probabilità di successo del 50% con 35.000 pacchetti (sniffabili in qualche minuto)
5 17 dicembre 10 Massimo Fornari – Hacking reti wireless
Attacco WEP – 2
• Attacco CHOPCHOP – Permette di decriptare gli ultimi m byte di un messaggio in un pacchetto
criptato
– Non sfrutta debolezze di RC4, ma usa test su CRC32
– L’attaccante sfrutta i diversi comportamenti di un AP in caso di errore (se il pacchetto è corretto, ma il client non autorizzato manda un errore, altrimenti scarta senza comunicarlo)
6 17 dicembre 10 Massimo Fornari – Hacking reti wireless
Miglioramenti in WPA
• WPA-TKIP è realizzato per girare si hardware WEP
• Introduce nuove politiche di mixing della chiave
• Introduce un Message integrity check (MIC) a 64 bit per rafforzare le debolezze del CRC32
• Introduce un counter per la gestione dell’ordine dei pacchetti ricevuti
7 17 dicembre 10 Massimo Fornari – Hacking reti wireless
Attacco WPA
• ChopChop modificato, consente di inviare alcuni
pacchetti sulla rete senza autenticarsi
• Attacco brute forse, permette di recuperare la chiave di
accesso e collegarsi alla rete (in caso di chiave cindivisa)
8 17 dicembre 10 Massimo Fornari – Hacking reti wireless
Attacco WEP – cosa serve
• Una rete protetta WEP
• Un client collegato alla rete
• Una scheda di rete che supporta la Monitor mode (per intercettare i pacchetti in transito sulla rete)
• Suite Aircrack (la distro BackTrack offre già tutti gli strumenti necessati per i nostri scopi)
9 17 dicembre 10 Massimo Fornari – Hacking reti wireless
L’attacco in pratica - 1
Airmon-ng start [nome_interfaccia] avvia il monitor mode per la scheda di rete indicata (si ottiene anche il nuovo nome della scheda in monitor mode tipicamente mon0)
Airdump –ng mon0 visualizza diverse informazioni. Nella parte superiore possiamo vedere le informazioni sulle reti wireless disponibili: indirizzo MAC dell’AP (BSSID), potenza del segnale (PWR), pacchetti generati (#data), canale utilizzato (CH), protezione della rete (ENC).
Nella parte inferiore invece vediamo i dati relativi alla connessione tra un client connesso ( necessario per portare a termine l’attacco) e la rete che si vuole attaccare. È quindi necessario annotarsi l’indirizzo MAC sia dell’AP, che quello del client, in più il canale utilizzato. Posso interrompere airdump-ng con Ctrl-Z
10 17 dicembre 10 Massimo Fornari – Hacking reti wireless
L’attacco in pratica - 2
Airdump-ng -w [nome_file_pacchetti] -c [canale_rete] --bssid[MAC_AP] mon0
inizia a catturare i pacchetti della rete e li salva nel file indicato (indicare un prototipo di nome del tipo “prova”, airdump creerà diversi file che si iniziano con prova e avranno diversi suffissi)
aireplay-ng --arpreplay -b[MAC_AP] -h[MAC_CLIENT] mon0 (in una nuova sessione di terminale)
la scheda invia pacchetti arp (i pacchetti da cui ricavare la pw) sulla rete utilizzando l’indirizzo MAC del client (consente di evitare eventuali filtri MAC sull’access point)
11 17 dicembre 10 Massimo Fornari – Hacking reti wireless
L’attacco in pratica - 3
Aireplay-ng --deauth [N_PACCHETTI_DEAUTENTIC] -a [MAC_AP] -c [MAC_CLIENT] -h [MAC_CLIENT] mon0 (in una
nuova sessione del terminale)
Invia richieste di disconnessione a MAC_AP per il client, fingendo di essere il client stesso. Questo serve a forzare il reinvio dei pacchetti ARP-request da parte dell’AP ( i pacchetti da cui andare a ricavare la pw), infatti quando viene rilevata la disconnessione, il client cercherà di ricollegarsi, facendosi rimandare tutti i pacchetti necessari
12 17 dicembre 10 Massimo Fornari – Hacking reti wireless
L’attacco in pratica – fase finale
aircrack-ng –z prova*.cap –m [MAC_AP]
Analizza i pacchetti intercettati e salvati sul file. Se il crack ha successo il programma comunicherà la password, altrimenti continuerà a eseguire l’analisi ogni 5000 pacchetti catturati
Aircrack implementa l’attacco PTW visto in precedenza
13 17 dicembre 10 Massimo Fornari – Hacking reti wireless
strumenti
• Alice WPA calculator, uno dei piu completi strumenti per i
dispositivi di alice
• MAC manager, permettete la gestione del proprio indirizzo MAC
anche su windows
• AIRCRACK, disponibile in versione visuale anche su windows, (non ho
provato personalmente), ma comunque disponibile su Linux
• BACKTRACK, ottima distro linux con molti strumenti per effettuare
test di penetrazione di vario genere (non solo per reti wireless)
14 17 dicembre 10 Massimo Fornari – Hacking reti wireless