Hakowanie WiFi
25.04.2008.
W obecnych czasach sieci bezprzewodowe są tak popularne, że praktycznie w każdym skupisku ludzkim
można je znaleźć. W miastach oraz na wsiach ludzie korzystają z przeróżnego rodzaju sieci w tym także
bezprzewodowych. Łączność radiowa pomiędzy komputerami jest bardzo użytecznym i wygodnym
rozwiązaniem lecz czy wystarczająco bezpiecznym ?
Z artykułu dowiesz się : • co to jest WEP ?• jak wygląda atak WEP• jak złamać WEP przy
pomocy ataku PTWCo powinieneś wiedzieć : • umieć zainstalować i skonfigurować kartę WiFi•
znać system Linux i sposoby pracy w konsoli Wielu użytkowników komputerów decydujących się na
zbudowanie domowej sieci bezprzewodowej po dokonaniu zakupu odpowiednich urządzeń po porostu
wyciąga je z pudełka i podłącza, bez wnikliwego - zapewniającego odpowiedni poziom bezpieczeństwa -
procesu konfiguracji. Taka forma tworzenia sieci jest bardzo szybka, wygodna i bezstresowa, lecz
niestety, naraża użytkowników na ataki. Dobrze, jeśli zakupione urządzenia posiadają zaimplementowane
najnowsze rozwiązania bezpieczeństwa, jednak nie możemy raczej na to liczyć nabywając sprzęt z dolnej
półki cenowej. Znaczna grupa urządzeń do łączności bezprzewodowej w paśmie 2.4GHz wykorzystuje
szyfrowane protokoły transmisji. Jednym z takich protokołów jest WEP - Wired Equivalent Privacy.
Zapewnia on szyfrowanie transmisji oparte o algorytm RC4 z długościami kluczy 64 i 128 bitów. Spotyka
się także rozwiązania z kluczami o długości 256 bitów, jednak długość klucza nie wpływa w tym
przypadku na poprawę bezpieczeństwa. W każdym kluczu 24 bity przeznaczone są na wektor inicjujący (
ang. Initialization Vector - IV), który jest wysyłany w każdej ramce. Prawdziwa wartość kluczy WEP to
zatem 40 i 104 bity. Algorytm RC4 jest dość powszechnie używany, możemy znaleźć jego implementacje
w SSL czy SSH czy popularnym protokole BitTorent. W roku 2001 Scott Fluhrer, Itsik Mantin oraz Adi
Shamir opublikował analizę algorytmu RC4 i wskazali możliwy sposób jego złamania. Wówczas do
złamania hasła potrzeba było przechwycić od 4 do 6 milionów pakietów danych. Atak wykorzystujący
techniki przez nich opisane określane są mianem ataku FMS. Nieco później - w roku 2004 - haker KoReK
udoskonalił atak na WEP, zmniejszając liczbę wymaganych pakietów do wartości przedziału od 500
tysięcy do 2 milionów. Andreas Klein w roku 2005 opublikował swoja własna analizę algorytmu RC4, w
której opisał teoretyczna możliwość złamania hasła z 50-procentowym prawdopodobieństwem po
zebraniu tylko 40 tysięcy pakietów. W roku 2007 trzech naukowców Politechniki w Darmstadt,
wykorzystując analize Kleina, dokonało ataku przechwytując pakiety i jednocześnie wykonując
wstrzykiwanie pakietów ARP w celu zwiększenia wydajności i szybkości ataku. Od pierwszych liter ich
nazwisk powstała nazwa ataku - PTW. Ci naukowcy to Erik Tews, Andrei Pychkine oraz Ralf-
Philipp. Schemat ataku Postaram się przedstawić schemat ataku na algorytm WEP w możliwie prosty
sposób. Wykorzystam do tego celu schemat zamieszczony w serwisie www.wirelessdefence.org, który
przetłumaczyłem na potrzeby artykułu za zgoda administratora wspomnianego serwisu - Matta
Byrne'a. Schemat ten jest bardzo typowy dla przypadku ataku na siec zabezpieczoną przy pomocy WEP.
Opisując poszczególne etapy ataku, postaram się przedstawić potencjalne możliwości przeciwdziałania
takim praktykom. Na potrzeby niniejszego artykułu stworzyłem siec testową oparta o punkt dostępowy w
postaci routera WAP54G firmy Linksys oraz kartę klienta sieci GNWBKG firmy Gigabyte. Ataku
dokonywałem za pomocą komputera wyposażonego w kartę EW-7318USg firmy Edimax przy
wykorzystaniu programu Aircrack-ng w wersji 0.9.1. W konfiguracji routera znalazło się 10-znakowe
hasło WEP w wersji 64-bit (89492aab1c), brak jest tabeli dopuszczalnych adresów MAC (gdy. często
spotyka się właśnie takie konfiguracje ), zostało włączone rozgłaszanie ESSID - testap, oraz zdefiniowany
kanał pracy 11. Tryb pracy routera to infrastruktura. Pierwsza faza ataku jest nasłuch sieci
bezprzewodowych, który prowadzi do ustalenia, jakiego rodzaju sieci znajdują się w zasięgu atakującego.
Przy wykorzystaniu odpowiednich kart sieciowych z możliwością podłączenia zewnętrznych anten
kierunkowych o dużym zysku, nasłuch może być prowadzony na bardzo duże odległości, dochodzące
nawet do kilku kilometrów. Do nasłuchiwania sieci używałem graficznej wersji dobrze znanego programu
Kismet. Gkismet - bo tak nazywa się wersja graficzna - nie jest bardziej funkcjonalna niż wersja
pracująca w konsoli. Program odnalazł mój punkt dostępowy testap oraz jego BSSID, odczytał
maksymalny transfer, kanał pracy, tryb pracy AP, szyfrowanie WEP - czyli całkiem sporo informacji
zaledwie po krótkiej chwili działania programu. Od pierwszej fazy ataku zależy bardzo wiele, zatem
należy wykonywać ja z duża dokładnością i starannością. W tym momencie należy zauważyć, że
administrator sieci bezprzewodowej może uniknąć wykrycia jego sieci jeśli ograniczy moc urządzeń
radiowych do niezbędnego minimum pozwalającego na korzystanie z tej sieci oraz zastosuje anteny
zawężające pole emisji sygnałów do obszaru w którym ma działać siec. Często ta możliwość jest
pomijana już na wstępie konfigurowania sieci bezprzewodowej i ułatwia przeprowadzenie ataku. W czasie
przeprowadzenia nasłuchu atakującego zbiera podstawowe informacje o sieciach takie jak ESSID, BSSID,
kanał na jakim pracują, siła sygnału sieci. Potencjalny atakujący może nasłuchiwać przez długi okres
czasu chcąc zdobyć informacje o klientach podłączających się do danej sieci czy konkretnego punktu
dostępowego. W przypadku sieci z jednym punktem dostępowym AP zupełnie niecelowe jest stosowanie
ciągu ESSID, ponieważ. z założenia jest on potrzebny do komunikacji miedzy punktami dostępowymi w
sieciach bardziej rozbudowanych. BSSID będący adresem MAC punkty dostępowego także nie powinien
być rozgłaszany w sieci, jeśli nie ma takiej potrzeby i jest możliwość wyłączenia jego rozgłaszania. Po
przechwyceniu przynajmniej jednego pakietu zawierającego dane atakujący próbuje złamać klucz przy
pomocy narzędzia do aktywnego ataku słownikowego o nazwie wepattack. Program jest dostępny pod
adresem : http://www.wepattack.sourceforge.netW tym momencie pora na drobna uwagę dotyczącą
źródeł programu. Podczas kompilacji programu wystąpił u mnie błąd. Jak się okazuje w pliku Makefile
znajduje się błąd w lini 24. Linia wygląda tak : $ (LD) $(LDFLAGS) -o $@ wepattack.
o rc4.o wepfilter.o log.o\
a powinna wygladac tak :$ (LD) $(LDFLAGS) -o $@ wepattack.
o rc4.o wepfilter.o log.o \ (brakuje jednego znaku spacji przed znakiem podziału linii). Po poprawieniu
błędu program kompiluje i działa bez problemu. Niestety, w przypadku hasło, które zdefiniowałem w
mojej sieci testowej, użycie programu wepattack jest bezcelowe i nie może zakończyć się złamaniem
hasła. Jeśli jednak nie uda się przechwycic .adnego pakietu, atakujacy korzysta z mozliwosci ataku
poprzez wstrzykiwanie pakietów ARP w celu zwiekszenia ilosci pakietów wysyłanych przez AP, które
nastepnie sa przechwytywane. Ataki wstrzykiwania pakietów wykonany jest przy pomocy programu
aireplay-ng z parametrem -3. Podczas wstrzykiwania pakietów program wyswietla ilosc pakietów
wysyłanych w ciagu sekundy ( wartosc pps). To dosc istotny parametr pozwalajacy na skracanie czasu
ataku. Maksymalna wartosc parametru to 1024, a definiuje sie ja przy pomocy przełacznika sie
parametrem -[wartosc]. Zmniejszenie szans powodzenia ataku słownikowego na sieci zabezpieczona
przy pomocy WEP mo.e byc osiagniete dzieki zdefiniowaniu odpowiednio długiego hasła. Nie mo.na
wykorzystac do jego budowy znanych słow, a najlepiej, gdy jest to ciag o długosci co najmniej dwunastu
znaków. W przypadku gdy atakujacemu uda sie złamac hasło, jego droga do podłaczenia sie do sieci
znacznie sie skraca. Gdy jednak atak słownikowy sie nie powiedzie, atakujacy probuje zebrac wieksza
ilosc pakietów w celu wykorzystania ataku FMS lub PTW. Do przeprowadzenia ataku FMS musi on
przechwycic stosunkowo du.a ilosc pakietów, czesto liczona w milionach. Jednak atak PTW pozwala na
złamanie hasła przy u.yciu duzo mniejszej ilosci pakietów. Przy zebraniu 40 000 pakietów szanse na
złamanie hasła sa 50%. Przy ilosci 80 000 pakietów klucz jest łamany prawie 100% skutecznoscia. W
tym miejscu warto wspomniec, .e im dłu.sze i bardziej skomplikowane hasło, tym trudniej bedzie je
złamac. Jednak technika PTW pozwala na bardzo efektywne ataki, co sugeruje rezygnacje z
wykorzystania szyfrowania WEP w ogóle. Po złamaniu hasła atakujacy mo.e ju. miec swobodny dostep
do sieci WLAN, jesli nie korzysta ona ze stałej tablicy adresów MAC kart sieciowych. W przypadku, gdy
siec korzysta z takiej tablicy atakujacemu pozostaje podsłuchiwanie stacji przyłaczajacych sie do AP w
celu ustalenia ich adresów MAC i po rozłaczeniu sie jednego z klientów - skorzystanie z jego adresu MAC i
podłaczenie sie do sieci z innym adresem IP (w sieciach bezprzewodowych nie wystepuje problem
konfliktu IP). Mo.e jeszcze dojsc kwestia zdefiniowania adresów IP w przypadku, gdy w sieci nie sa one
nadawane przez protokół DHCP. Jak widac droga od rozpoczecia nasłuchu do własciwego włamania do
sieci nie jest zbyt skomplikowana, choc w zale.nosci od przebiegu ataku mo.e byc krósza lub dłu.sza. W
sieci, która przygotowałem do testów udało mi sie złamac dziesiecioznakowym kluczem WEP 64-bit po
zebraniu tylko nieco ponad 5000 pakietów zawierajacych wektory inicjujace. Posłu.ym mi do tego celu
atak PTW, przeprowadzony przy u.yciu programu aircrack-ng z ustawionym parametrem -z. Było
eridentnie dzieło przypadku i szczescia, poniewa. kolejne proby przy ró.nych liczbach zebranych
pakietów nie pozwoliły na jego złamanie -a. do zebrania ponad 40 000 pakietów zawierajacych wektory
inicjalizacji. Co ciekawe program pracował tylko 43 sekundy, zanim znalazł hasło. Jesli atakujacy tak.e
bedzie miał troche szczescia, jego działania przeciwko sieci WiFi moga byc bardzo krókie i co bardziej
niepokojace - skuteczne, co w efekcie mo.e doprowadzic do kompromitacji naszej sieci. Udany atak na
szyfrowana przy pomocy WEP sieci bezprzewodowa to niestety ju. dzis kwestia czasu krótszego ni.
minuta ( w odpowiednich warunkach). W zwiazku w tym nawet WEP 256-bit, który został zastosowany w
urzadzeniach tylko niektórych producentów, nie ponosi znaczaco poziomu bezpieczenstwa. Wydaje sie, .e
jedynie stosowanie równoczescie kilku rodzajów zabezpieczen jest nam w stanie dac chocby namiastke
bezpieczenstwa - bo o zupełnym bezpieczenstwie w przypadku sieci bezprzewodowych niestety mówić nie
można. W dzisiaj dostepnych urzadzeniach WiFi producenci implementuja metody szyfrowania takie jak
WPA, operujac na kluczach o wiekszej długosc, pozwalajac na znacznie lepsze zabezpieczenie sieci
bezprzewodowe, jednak nie nalezy ufac takim zabezpieczeniom bezgranicznie. W przypadku, gdy
administrator chce zminimalizowac mo.liwosc ataku na jego siec mo.e to zrobic stosujac rózne metody
jednoczesnie i zachowujac kilka podstawowych zasad bezpieczenstwa takich jak autoryzacja
u.ytkowników, zarzadzanie uprawnieniami u.ytkowników czy monitorowanie przesyłanych
danych.{mospagebreak title=Podsumowanie} Podsumowanie Sieci bezprzewodowe zagosciły na stałe w
naszym otoczeniu. Jest cała masa miejsc publicznych oferujacych bezprzewodowy dostep do internetu.
Korzystamy z niego w domach, w sieciach osiedlowych a tak.e w małych firmach. Zdarzaja sie tak.e
przypadki wykorzystywania WiFi w du.ych firmach, gdy istnieje taka potrzeba. Wiele osób budujacych
domowe sieci bezprzewodowe podchodzi do tego bardzo swobodnie nie dbajac o bezpieczenstwo. Mimo
tego, .e wielu producentów oferuje w swoich urzadzeniach znacznie silniejsze zabezpieczenia, wiele osob
hacker.boo.pl -hacking, webmaster
http://hacker.boo.pl Kreator PDF Utworzono 30 July, 2008, 17:02
zabezpiecza swoje sieci korzystajac jeszcze z szyfrowania WEP, które jak pokazuje ten artykuł - jest
bardzo podatne na ataki. Do technologii dostepu radiowego nale.y podchodzic z pewnym dystansem
odnoszac sie do bezpieczenstwa, gdy. jak widac nie jest z nim tak dobrze jak bysmy sobie tego .yczyli.
Autor : Grzegorz Błonski, mancymonem@mancymonek.pl / Magazyn hackin9 4/2008r.
STRONA CHOMIKA: www.chomikuj.pl
bar666