Hacking reti wireless

Hacking reti wireless

1 17 dicembre 10 Massimo Fornari – Hacking reti wireless

Attacco – cosa significa

• Credenziali di accesso

• Intercettazione traffico

• Injection di pacchetti


Come funziona WEP

Key Chiave di accesso condivisa da tutti gli Host

IV: Initialize vector, Utilizzato per differenziare la chiave per ogni pacchetto

Plain text: Corpo del messaggio, composto dal messaggio e dal suo CRC


RC4


for i 0 to 255 do S[ i ] i end j 0 for i 0 to 255 do j j+S[i]+K[i mod len(K)] mod 256 swap(S, i , j ) end I 0 j 0

K[] vettore contenente la chiave

i i + 1 mod 256

j j + S[i] mod 256

swap(S, i , j )

return S[ S[ i ] + S[j] mod 256 ]

La prima parte inizializza un vettore si

stato contente tutti i numeri compresi

tra 0 e 255 permutandoli a seconda

della chiave

La seconda parte genera un singolo

byte di keystream partendo dallo stato

e dall’avanzamento della generazione

Attacco WEP

Per tutti i tipi di attacco, si parte dallo sniffing della rete

Recupero della credenziale di accesso: • Brute force – metodo sempre utilizzabile noto l’algoritmo di encrypting del

protocollo

Attacchi ‘ragionati’

• FMS

• KoreK

• PTW Questi attacchi, sfruttano delle correlazioni statistiche derivanti dalla debolezza dell’algoritmo RC4, riducendo notevolmente il tempo di attacco. In particolare PTW ha una probabilità di successo del 50% con 35.000 pacchetti (sniffabili in qualche minuto)


Attacco WEP – 2

• Attacco CHOPCHOP – Permette di decriptare gli ultimi m byte di un messaggio in un pacchetto

criptato

– Non sfrutta debolezze di RC4, ma usa test su CRC32

– L’attaccante sfrutta i diversi comportamenti di un AP in caso di errore (se il pacchetto è corretto, ma il client non autorizzato manda un errore, altrimenti scarta senza comunicarlo)


Miglioramenti in WPA

• WPA-TKIP è realizzato per girare si hardware WEP

• Introduce nuove politiche di mixing della chiave

• Introduce un Message integrity check (MIC) a 64 bit per rafforzare le debolezze del CRC32

• Introduce un counter per la gestione dell’ordine dei pacchetti ricevuti


Attacco WPA

• ChopChop modificato, consente di inviare alcuni

pacchetti sulla rete senza autenticarsi

• Attacco brute forse, permette di recuperare la chiave di

accesso e collegarsi alla rete (in caso di chiave cindivisa)


Attacco WEP – cosa serve

• Una rete protetta WEP

• Un client collegato alla rete

• Una scheda di rete che supporta la Monitor mode (per intercettare i pacchetti in transito sulla rete)

• Suite Aircrack (la distro BackTrack offre già tutti gli strumenti necessati per i nostri scopi)


L’attacco in pratica - 1

Airmon-ng start [nome_interfaccia] avvia il monitor mode per la scheda di rete indicata (si ottiene anche il nuovo nome della scheda in monitor mode tipicamente mon0)

Airdump –ng mon0 visualizza diverse informazioni. Nella parte superiore possiamo vedere le informazioni sulle reti wireless disponibili: indirizzo MAC dell’AP (BSSID), potenza del segnale (PWR), pacchetti generati (#data), canale utilizzato (CH), protezione della rete (ENC).

Nella parte inferiore invece vediamo i dati relativi alla connessione tra un client connesso ( necessario per portare a termine l’attacco) e la rete che si vuole attaccare. È quindi necessario annotarsi l’indirizzo MAC sia dell’AP, che quello del client, in più il canale utilizzato. Posso interrompere airdump-ng con Ctrl-Z



Airdump-ng -w [nome_file_pacchetti] -c [canale_rete] --bssid[MAC_AP] mon0

inizia a catturare i pacchetti della rete e li salva nel file indicato (indicare un prototipo di nome del tipo “prova”, airdump creerà diversi file che si iniziano con prova e avranno diversi suffissi)

aireplay-ng --arpreplay -b[MAC_AP] -h[MAC_CLIENT] mon0 (in una nuova sessione di terminale)

la scheda invia pacchetti arp (i pacchetti da cui ricavare la pw) sulla rete utilizzando l’indirizzo MAC del client (consente di evitare eventuali filtri MAC sull’access point)



Aireplay-ng --deauth [N_PACCHETTI_DEAUTENTIC] -a [MAC_AP] -c [MAC_CLIENT] -h [MAC_CLIENT] mon0 (in una

nuova sessione del terminale)

Invia richieste di disconnessione a MAC_AP per il client, fingendo di essere il client stesso. Questo serve a forzare il reinvio dei pacchetti ARP-request da parte dell’AP ( i pacchetti da cui andare a ricavare la pw), infatti quando viene rilevata la disconnessione, il client cercherà di ricollegarsi, facendosi rimandare tutti i pacchetti necessari


L’attacco in pratica – fase finale

aircrack-ng –z prova*.cap –m [MAC_AP]

Analizza i pacchetti intercettati e salvati sul file. Se il crack ha successo il programma comunicherà la password, altrimenti continuerà a eseguire l’analisi ogni 5000 pacchetti catturati

Aircrack implementa l’attacco PTW visto in precedenza


strumenti

• Alice WPA calculator, uno dei piu completi strumenti per i

dispositivi di alice

• MAC manager, permettete la gestione del proprio indirizzo MAC

anche su windows

• AIRCRACK, disponibile in versione visuale anche su windows, (non ho

provato personalmente), ma comunque disponibile su Linux

• BACKTRACK, ottima distro linux con molti strumenti per effettuare

test di penetrazione di vario genere (non solo per reti wireless)


Hacking reti wireless

Technology

Transcript of Hacking reti wireless