LibroHackerVol2

Transcript

LibroHackerVol2

COME ENTRARE NELLE RETI Wi-Fi
(Come proteggere la nostra rete wireless)
Connettersi in completa mobilità è sicuramente molto comodo sia in ambito domestico sia in ambito professionale, ma senza l'adozione di piccoli accorgimenti
potremmo correre rischi molto seri. Eventuali intrusi, infatti, potrebbero avere
pieno accesso ai nostri dati: da un lato tutte le nostre cartelle condivise (compresi
gli hard disk di rete) sarebbero immediatamente visibili anche al ficcanaso di
turno, dall'altro con delle semplici tecniche di ascolto della rete (sniff ing) i malintenzionati potrebbero catture persine dati relativi alla nostra identità digitale o
riguardanti trasferimenti di denaro. Inoltre, nel caso in cui la rete venga utilizzata
per compiere attività illegali (truffe, download di materiale pedopornografico o
atti di terrorismo) ci ritroveremmo nostro malgrado a doverne rispondere davanti
alla legge. È giunto dunque il momento di correre ai ripari, specialmente alla luce delle clamorose vulnerabilità scoperte di recente nei router in comodato d'uso
forniti da Fastweb e Alice .
Principali tecniche di cracking utilizzate dai pirati informatici per penetrare
nelle reti Wi-Fi.
I protocoll i di sicurezza
Ogni router mette a disposizione svariate misure di sicurezza, che possono essere
attivate e configurate in base alle nostre esigenze. Una rete che non prevede tali
accortezze (come una password di rete o un filtro MAC) è detta "aperta", ed è
totalmente alla mercé di gente senza scrupoli. Una pratica sempre più diffusa, infatti, è il "wardriving", che consiste nel cercare reti aperte in giro per la città,
con tanto di ricevitore GPS per pubblicarne le esatte coordinate su siti Web specializzati.
Misure di sicurezza
WEP (Wired Equivalem Privacy)
È il primo protocolloo di sicurezza introdotto in ambito wireless. Mediante l'inserimento di una password, il protocollo WEP avrebbe dovuto garantire un'impenetrabilità equivalente a quella di una rete cablata, basandosi su un algoritmo
di cifratura chiamato RC4. L'errata implementazione dell'RC4, però, fa sì che
analizzando il traffico della rete (in gergo "sniffare") si possa risalire alla chiave
con estrema facilità e in tempi estremamente ridotti. In particolare, l'errore degli
sviluppatori è stato quello di aver aggiunto il vettore di inizializzazione (abbreviato in IV) in ogni pacchetto, sia in chiaro che criptato.
1
WPA (Wi-Fi Protected Access)
La palese inadeguatezza del WEP ha reso necessario lo sviluppo di un protocollo
più sicuro. Il WPA, oggi ampiamente utilizzato, è stato sviluppato come "soluzione intermedia" per arginare le clamorose falle del WEP, in attesa della completa maturazione dello standard 802. 11i, oggi noto come WPA2. Il WPA non è
più ritenuto sicuro al 100% poiché alcune ricerche condotte negli ultimi 2 anni
hanno messo in evidenza i difetti della sua implementazione. I problemi del protocollo riguardano una particolare variante del WPA, il WPA/TKIP,che si basa
ancora sull'algoritmo RC4, in quanto i vari produttori hanno cercato di massimizzarne la compatibilita con la maggior parte delle periferiche in commercio
nate per il WEP. Nello specifico, il protocollo WPA prevede due modalità di autenticazione: WPA-Enterprise (autenticazione tramite server) e WPA-PSK (autenticazione tramite chiave precondivisa), che è il metodo utilizzato in ambito
domestico.
Il WPA-Enterprise è considerato ancora inattaccabile, mentre l'autenticazione
basata su chiave precondivisa mostra qualche segno di cedimento. In verità non è
ancora possibile parlare di attacchi universalmente validi nemmeno in riferimento al WPA-PSK, sebbene alcuni modelli di router siano sensibili a specifiche vulnerabilità dell'algoritmo TKIP. Ciò non significa che sia impossibile "bucare"
una rete protetta con WPA-PSK, ma quantomeno è improbabile. Il principale
metodo di cracking, infatti, è il cosiddetto attacco"dizionario", che consiste nel
confrontare una lista di probabili password (dizionario) con una serie di dati sniffati dalla rete (handshake). Se la chiave di rete non è presente nel dizionario,
l'attacco non può andare a buon fine. Diverso, invece, è il discorso per i router
forniti ai clienti da Fastweb e Alice, per molti dei quali è possibile calcolare
la WPA partendo direttamente dal nome della rete Wi-Fi (SSID).
WPA2 (Wi-Fi Protected Access 2)
II WPA2 è l'ultimo protocollo di sicurezza sviluppato in ordine di tempo. Si basa
sugli algoritmi AES e CCMP, ad oggi considerati completamente sicuri in relazione ad eventuali attacchi provenienti dall'esterno. Nonostante ciò, sono ancora
pochi gli apparecchi che supportano il WPA2,compresi alcuni modelli di router
di ultima generazione. Come nel caso del WPA sono previste due modalità di autenticazione: WPA2-Enterprise e WPA2-PSK. Valgono quindi le stesse considerazioni fatte in merito al WPA-PSK. In questo caso,infatti, data la robustezza di
AES e CCMP risulta impossibile un attacco di natura sistematica,mentre è sempre possibile scovare la password attraverso un attacco dizionario.
Filtro MAC Address
L'indirizzo MAC (Media Access Contrai), detto anche "indirizzo fisico", è un
codice univoco di 6 byte assegnato ad una scheda di rete al momento della sua
produzione. Ogni scheda di rete in commercio quindi, sia essa Ethernet, Wireless
o Bluetooth, ha un codice alfanumerico che la differenzia da tutte le altre. Sulla
2
maggior parte dei router in commercio è possibile impostare un filtro MAC che
consente di abilitare l'accesso alla rete solo a determinate schede e, quindi, a
determinati dispositivi in base al loro indirizzo fisico. Come vedremo, modificando ad hoc il loro Mac Address, i pirati riescono a raggirare facilmente questo
filtro e a spacciarsi come dispositivo autorizzato ad accedere alla rete.
Gli strumenti del pirata
Esaminati i principali protocolli di sicurezza,dobbiamo necessariamente analizzare i vari attacchi perpetrati dai pirati su ciascuno di essi.
Entrare senza autorizzazione in una rete di altrui proprietà costituisce reato.
Pertanto,tutte le informazioni e le risorse presentate in questo libro sono da intendersi a puro scopo didattico. Per nessun motivo al mondo, quindi,dobbiamo
tentare di utilizzarle su reti che non ci appartengono.
Gli strumenti utilizzati dai pirati sono fondamentalmente due:
BackTrack 4 e WPA Security Inspector.
BackTrack è una particolare distribuzione Live di Linux, ossia awiabile direttamente da DVD, compilata appositamente per testare la sicurezza delle reti informatiche.
Per questo motivo, vanta un corredo di software preinstallati e driver pronti all'uso di tutto rispetto. In particolare, tra i vari tool presenti nella distribuzione, il pirata usa la suite aircrack-ng.(c’è anche una versione per windows che vedremo
poi)
WPA Security Inspector, invece, è un tool sviluppato appositamente per verificare la vulnerabilità delle reti Fastweb e Alice, alla luce delle ultime scoperte sugli algoritmi adottati per la generazione automatica delle chiavi WPA da parte
dei due operatori. Occorre precisare che tali strumenti non sono di per sé illegali.
Lo scopo per cui sono stati sviluppati è quello di consentire agli utenti di
verificare se le loro reti (di cui sono gli effettivi proprietari) sono soggette a rischi di attacchi informatici
LE REGOLE D’ORO PER PROTEGGERE LA NOSTRA RETE Wi Fi
1) FILTRARE GLI INDIRIZZI MAC
L'indirizzo "MAC" è l'indirizzo fisico del nostro computer, che equivale al suo
codice genetico. Possiamo ordinare al nostro router o al nostro box di accetare
esclusivamente le connessioni che provengono da computer selezionati .
Attenzione: sebbene efficace, questo metodo servirà solo a rallentare i pirati più
temerari; non dimentichiamo quindi di seguire le altre regole.
2 )UN IP FISSO
II nostro punto d'accesso WiFi ci assegna automaticamente un indirizzo IP a ogni
connessione. Questa operazione viene generalmente effettuata in modo dinamico
3
e invisibile all'utente.Il problema è che consente a chiunque di procurarsi un indirizzo IP. Privilegiamo dunque l'assegnazione manuale di indirizzi IP fissi, allo
scopo di controllare le nuove connessioni.
3) PASSARE ALLE CHIAVI WPA2
Non esistono chiavi inviolabil i ma proteggere la propria rete con una chiave
WEP equivale a non proteggerla affatto. Il metodo per violare una chiave WPA è
molto più complicato e, se l'utente utilizza una serie di oltre venti caratteri, si trasforma in un vero incubo per i pirati. Facciamo attenzione tuttavia a inserire manualmente la chiave in modo corretto e a non utilizzare quelle generate automaticamente.In rete circolano dizionari di chiavi che facilitano il compito agli hacker.
4) MODIFICARE SPESSO LA CHIAVE
Per violare la nostra rete, i pirati utilizzano programmi che "ascoltano" le comunicazioni tra il nostro computer e il nostro punto d'accesso. Più informazioni
intercettano, più risulta veloce la decifrazione della chiave. In parole povere: se
scarichiamo molto materiale, modifichiamo la nostra chiave ogni settimana,
mentre se ci colleghiamo a Internet solo per leggere la posta elettronica e prenotare i biglietti ferroviari potremo permetterci di sostituirla unavolta al mese. Per
modificare i nostri dati identificativi di connessione WìFi,colleghiamoci con il
sistema di gestione dell'account indicato dal nostro fornitore di accesso a Internet
(consultiamo la documentazione del provider).
Modifichiamo anche il nome della nostra rete adottando una denominazione universale, in modo che i pirati non possano sapere che provider utilizziamo. In
questo modo renderemo loro la vita decisamente più difficile.
5 ) NASCONDERE L'SSID
L'SSID (Service Set Identifier) è l'identificativo della nostra connessione.
Serve a riconoscere i l nostro punto d'accesso o la nostra connessione, a seconda
del sistema adottato. I box generano l'SSID automaticamente ma possiamo attivare un'opzione che lo nasconde. Se questa protezione non basterà a fermare i pirati più abili, servirà comunque a rallentarli e forse scoraggerà i dilettanti che
tenteranno di violare il nostro punto d'accesso.
4
CRACK WPA IN PRATICA: - Usando i l terminale di BackTrack;
1) WEP DOCET!
• identifica la sua scheda di rete
• abilita il monitor mode
• avvia airodump-ng
• individua la rete obiettivo
• prendere nota dei dati fondamentali (BSSID e STATION)
• Fatto ciò avvia nuovamente airodump-ng con il parametro -w per registrare su un file,chiamato ad esempio test, tutti i pacchetti provenienti
dall'indirizzo MAC del router obiettivo (BSSID) :
airodump-ng -w test -c [Canale_rete] --bssid [BSSID_Rete] mon0
2) VICINI
Per catturare un handshake, bisogno attendere che un dient tenti di autenticarsi.
Quindi , così come fa per le chiavi WEP, il pirata esegue l’attacco di deautenticazione nei confronti del clìent connesso al router. In questa fase si assicura di
essere sufficientemente vicino sia al client che al router, altriment i il suo handshake non sarà completo. Il pirata attende alcuni secondi affinchè il deauth attack produca i suoi effetti e in seguito controlla se è riuscito a catturare un handshake completo digitando aircrack-ng test*.cap. Se accanto al nome della rete
c'è scritto (1 handshake} ferma l'esecuzione di airodump-ng; in caso contrario
esegue un nuovo tentativo di deautenticazione.
3) LA CHIAVE E’ SCOVATA
Scaricato i l dizionario da Internet, il pirata lo copia sul desktop di BackTrack e
digita aircrack-ng –w password.lst test*.cap. In questa fase il parametro -w è
fondamentale in quanto serve al pirata a specificare il nome del dizionario scelto
per tentare l'attacco(password.lst per esempio). A questo punto aspetta che aircrack-ng faccia il suo lavoro e se la WPA è presente nel dizionario è solo questione di tempo!
Vediamo le fasi passo passo: crack di una chiave WEP
1) L'AVVIO DI BACKTRACK
Dal sito ufficiale www.backtrack-linux.org/downloads, cercare l'immagine
ISO dell'ultima versione stabile di BackTrack (Find) da scaricare e masterizzare in DVD. Creata la copia di BackTrack,configurare il BIOS del computer
per effettuare l'avvio (boot) direttamente dal lettore CD/DVD. Al caricamento di BackTrack, selezionare la modalità video più adatta all’hardware e nella schermata testuale in attesa di un suo comando digitare startx per accede al
Desktop di BackTrack.
2) -L'ATTIVAZIONE DEL MONITOR MODE
Avviare il terminale (Konsole) e digitare iwconfìg. Questo tool consente
di conoscere i nomi che Linux associa a tutte le schede di rete installate
5
sul computer. Quelle wireless, di solito, si chiamano wlan0,wifì0 o ath0
e comunque sono facilmente individuabili, perché al lato di ciascuna di
esse viene indicato il protocollo (che nel caso di schede Wi-Fi è IEEE
802.11). Sempre da terminale, digitare il comando
airmon-ng start [nome_scheda]: si scopre così il nuovo nome della
scheda da utilizzare in monitor mode (solitamente mon0).
3) L'OBIETTIVO PRESCELTO
Per scegliere la rete su cui effettuare l'attacco, digitare nel terminale il
comando airodump-ng mon0. Nella schermata che appare, airodump-ng
mostra due gruppi di informazioni: in alto ci sono le reti wireless che la
scheda riesce a captare e in basso una lista di client (computer) connessi
a tali reti. Il campo Pwr indica la potenza di ricezione (e quindi la vicinanza della rete); #Data, invece, indica i l traffico utile generato dalla
rete, cioè i pacchetti che si potrà utilizzare per scoprire la password. La
colonna Enc, infine, fornisce informazioni sulla protezione della rete.
L'obiettivo è ovviamente la rete protetta con chiave WEP. Pertanto, per
apportare l'attacco senza intoppi , si assicura che alla rete obiettivo sia
connesso almeno un client (TC:TargetClient; ad esempio il PC o il
notebook delproprietario della rete) e che sia abbastanza vicino da poterne catturare i l traffico dati. Individuata la rete, prendere nota di tutte
le informazioni che gli interessano: BSSID (l'indirizzo MAC del router),
CH (il canale di trasmissione radio), STATION (l'indirizzo MAC di un
client connesso alla rete). A questo punto fermare airodump-ng con
Ctrf+Z.
4) LA CATTURA DEI PACCHETTI
Per catturare i pacchetti, ci si serve sempre di airodump-ng, ma questa
volta, nel terminale, digitare airodump-ng -w
[Nome_fle_con_i_pacchettì] -c[Canale_rete] - -bssid [BSSID_rete]
mon0. Il comando -w gli serve a specificare il nome del file in cui salvare i pacchetti catturati. Ad esempio se specifica –w prova, airodump-ng
salverà vari file chiamati prova.cap, prova1.cap, prova2.cap ecc. I parametri --bssid e -c invece vengono utilizzati per selezionare la specifica
rete dalla quale catturare i pacchetti.
5) LA PACKET INJECTION.
Con tutta probabilità il normale traffico della rete non è sufficiente,quindi si interviene con la packet injection. Il suo scopo è quello di
catturare un particolare tipo di pacchetto, detto ARP-Request, che il
client invia al router quando non conosce l'indirizzo fisico della scheda
a cui trasmettere i dati. II computer ne produrrà ed invierà un gran numero di copie, inducendo il router a rispondere con altrettanti pacchetti
che verranno catturati con airodump-ng. Aprire una nuova finestra del
terminale e impartisce il comando aireplay-ng --arpreplay b[BSSID_Rete] -h [MAC_TC] mon0.
6
Anche qui ci si serve di specifici parametri per indirizzare il suo attacco
verso la rete prescelta: -b individua il router attraverso il BSSID, mentre
-h ha la delicata funzione di cambiare il MAC della mia scheda di rete
con quello del TC, in modo che i pacchetti ARP-Request replicati ed inviati al router sembrino provenire dal TC.
6) LA DEAUTENTICAZIONE
Ora che tutto è pronto per generare traffico e catturare i pacchetti, si deve attendere un pacchetto ARP-Request. Per velocizzare il tutto provocare la disconnessione del client (TC) usando un'altra funzione di aireplay-ng, il "deauth attack". Aprire un'altra finestra del terminale e digitare aireplay-ng --deauth 20 -a [BSSID_Rete] -c[MAC_TC] –h
[MAC_TC]mon0. 20 è il numero di pacchetti di deautenticazìone inviati, -a indica ad aireplay l'indirizzo MAC del router obiettivo, mentre -c
serve a specificare l'indirizzo MAC del client che il si vuole deautenticare. Come per il comando precedente si utilizza il parametro
-h per cambiare il MAC della propria scheda con quello del TC, in modo che anche le richieste di deautenticazione che giungono al router
sembrino provenire dallo stesso TC. Cosa accade? Dopo la disconnessione, il client svuota la cache ARP dove sono temporaneamente memorizzati gli ultimi indirizzi utilizzati per inviare i dati;
quindi, appena riconnesso, avrà bisogno di inviare nuove ARP-Request
che saranno catturate e replicate dal computer. Se la deautenticazione
non va a buon fine, avvicinarsi maggiormente alla fonte del segnale o
provare ad aumentare il numero dei pacchetti di deautenticazione. A
questo punto, nella colonna #Data di airodump-ng il numero di pacchetti dovrebbe salire vertiginosamente:attendere quindi di averne raccolti
almeno 80.000 o 100.000.
7) LO SCACCO MATTO!
Senza interrompere l'esecuzione di airodump-ng e aireplay-ng, aprire
un'altra finestra del terminale e lanciare aircrack-ng con il comando aircrack-ng –z prova*.cap -m [BSSID_Rete]. Il parametro -z indica il tipo
di attacco, prova*.cap
è il nome del file in cui sono salvati i pacchetti (l'asterisco serve perché
airodump-ng potrebbe aver salvato più di un file chiamandoli prova01cap,prova02.cap e così via), mentre il parametro -m consente al pirata di scegliere rapidamente la rete su cui effettuare l'attacco specificando semplicemente il BSSID.
Se il numero di pacchetti è sufficiente, nel giro di pochissimo tempo
aircrack-ng mostrerà la famosa chiave WEP, sia in notazione esadecimale (HEX,caratteri compresi tra O e 9 e tra A e F) sia in notazione
ASCII (ovvero i normali caratteri alfanumerici).
Nel caso in cui il tentativo di connessione non vada a "buon fine", le
cause potrebbero essere molteplici:era troppo lontano dal router;
7
la chiave trovata era errata (improbabile, ma possibile), per cui riprovare
con un numero maggiore di pacchetti;
sul router è impostato un filtro MAC.
Così si aggira il filtro MAC
Abbiamo detto che impostare un filtro MAC aumenta il livello di protezione, ma
può anche essere facilmente aggirato impostando il MAC di un client che ha libero accesso alla rete (ad esempio clonando il MAC del notebook con il quale il
proprietario del router si collega ad Internet), che gli stessi ricavano facilmente
dalla colonna STATION di airodump-ng. Questo procedimento si chiama "MAC
spoofing".
Individuato un indirizzo MAC valido,lo si assegna alla propria scheda, in modo
che al momento della connessione il router creda di dialogare con il client abilitato.
Modificare il MAC
CON SISTEMA LINUX
Per modificare i l MAC in ambiente Linux, digitare da terminale i seguenti comandi:
sudo ifconfìg[nome_scheda] down hw ether [nuovo_indirizzo_.mac] e poi
sudo ifconfìg[nome_scheda] up.
Il nome della scheda può essere trovato usando il comando iwconfìg; la parola
sudo, invece, sta per "SuperUser DO", ovvero "esegui come amministratore". Si
deve quindi inserire la password dell'utente amministratore (chiamato "root").
Nel caso di BackTrack la password dì amministratore non è impostata, quindi
non si ha bisogno del comando sudo.
CON SISTEMA WINDOWS
Per assegnare alla propria scheda Wi-Fi l'indirizzo MACAddress desiderato,
modificare manualmente il registro di configurazione di Windows o ricorrere a
tool come MAC Manager, che consentono di automatizzare la procedura con un
paio di clic. In questo modo, si seleziona la scheda Wi-Fi dall'apposito menu a
tendina per visualizzare l'attuale indirizzo MAC; digitare il MAC Address desiderato nella casella Nuovo MAC e confermare con Cambia.
Fatto ciò il programma lo avverte che è necessario disabilitare e riabilitare l'interfaccia di rete. Per farlo,Pannèllo di controllo/Centro connessioni di rete e condivisane. Modifica impostazioni scheda o,più semplicemente, riavvia il computer.
Su Windows 7 il procedimento funziona se l'indirizzo specificato inizia con i caratteri "12" . Con Windows Vista,poi , avviare MAC Manager cliccando col tasto destro sull’exe del software e selezionando “Esegui come amministratore”
8
Bastano 10 minut i per i l crack del WEP
Numerosi sono i metodi utilizzati per risalire ad una chiave WEP, anche se la
maggior parte dei essi si basano comunque sulla debolezza degli IV (vettori di
inizializzazione). L'aspetto più sconcertante di tutta la faccenda è che la tecnica
più rapida consente di penetrare una rete WEP in appena dieci minuti. Quando
una rete trasmette dei dati si dice che ha trasmesso un "pacchetto". Un pacchetto
contiene tutte le informazioni relative al mittente e al destinatario, otre ai dati effettivamente inviati. L'obiettivo è quello di catturare un gran numero di pacchetti
per farli analizzare ad aircrack-ng. Per fare ciò, si abilita nella scheda wireless
una particolare modalità di funzionamento, il "monitor mode". Normalmente,una
scheda di rete (wireless o Ethernet che sia)scarta i pacchetti diretti ad altri client.
Una scheda wireless in modalità monitor, invece, intercetta il traffico di tutta la
rete. Spesso, però, il traffico spontaneo della rete non genera un numero di pacchetti sufficienti. Si cercherà quindi di "stimolare" la produzione di pacchetti utili
adottando una tecnica nota come "packetinjection". Fondamentalmente, il motivo
per cui si usa Linux è proprio dovuto alla possibilità della packet injection(in
ambiente Windows, infatti, i driver della maggior parte delle schede wireless in
commercio non consente l'invio di pacchetti in modalità monitor).
Sul sito di aircrack-ng (http://aircrack-ng.org/doku.php?id=compatibility_drivers
) è presente una lista di schede ufficialmente supportate. In genere, comunque,
tutte le schede basate sui chipset Atheros e Ralink,oltre alle nuove generazioni
Intel, funzionano correttamente. Ecco perché anche un semplice notebook (con
una Wi-Fi integrata) può diventare per noi una minaccia.
Agli albori delle tecniche di cracking WEP, servivano circa 2 milioni di pacchetti
per avere qualche chance di successo;oggi, invece, gliene bastano 100.000 e le
pro babilità superano già il 95%. La rapidità con cui è possibile portare a termine
questo attacco, infatti, è preoccupante, d'altro canto è necessario che ci sia almeno un client connesso alla rete. La parte attiva del lavoro del pirata finisce con la
cattura dei pacchetti e l'avvio di aircrack-ng, che applica in automatico una serie
di attacchi statistici ai dati da lui salvati, sfruttando la debolezza dei vettori di inizializzazione dei pacchetti e restituendo la chiave WEP in pochi minuti.
II WPA si trova nel dizionario!
Come abbiamo avuto modo di anticipare, l'attacco alle chiavi WPA si svolge in
due fasi: catturare una serie di pacchetti di pre-autenticazione detta"handshake",
e confrontarla con una lista di possibili password che prende il nome di "dizionario". I dizionari per le WPA sono facilmente reperibili in rete, basta una ricerca
su Google(alcuni arrivano a pesare svariati GB). Un attacco dizionario "alla cieca", senza cioè avere informazioni sulla rete, è difficile da portare a termine,
mentre risulta più efficace con router la cui password ha una lunghezza predefinita, come quelle di Fastweb, Alice o Vodafone.
9
Cracking Istantaneo di Chiavi WPA/WPA2
Craccare una rete wireless protetta da WEP è relativamente semplice.
Craccare una rete protetta da WPA e WPA2 è decisamente più complicato. Non
è impossibile, ma sicuramente arduo e richiede tempo, molto tempo. Tentare di
craccare una rete protetta con la key standard fornita insieme al modem Wi-Fi
dal provider sembra una missione impossibile. In genere queste chiavi sono formate da numeri e lettere, e la lunghezza è consistente ovvero di 8/10 caratteri. Il
brute force potrebbe essere lunghissimo. Ma potrebbe esserci (anzi c’è) una scorciatoia, una scorciatoia che riduce i tempi di cracking: anzi, non li riduce ma li
annulla! Fantascienza? Vediamo…
Il metodo che presento in questo articolo non è universale e non sfrutta una vulnerabilità dei sistemi WPA/WPA2 (o WEP), bensi l’algoritmo di generazione
delle key standard.
Il Problema
Quando sottoscriviamo un contratto con un ISP ci viene fornito un modem. In
genere il modem ha in dotazione un CD; sulla confezione del cd o sotto
l’apparato stesso c’è un adesivo con dei parametri. Uno di questi parametri (key)
è la chiave WPA/WPA2 che dobbiamo inserire nella configurazione del nostro
computer per poter accedere al servizio Wi-Fi. E’ l’unica informazione che dovrebbe essere segreta. Il problema risiede nel fatto che le chiavi segrete di default
sono generate con un algoritmo.
Esistono casi in cui i parametri dell’algoritmo sono presi dal Mac Address, dal
Serial o dal SSID; peggio ancora, spesso il SSID e il Serial discendono direttamente dal Mac Address. Questo significa che ottenendo il SSID e il Mac Address, o anche soltanto uno di questi due valori, effettuando il reverse engineering dell’algoritmo è possibile ottenere le key di dafault di tutti i modem di un
particolare modello!
Se si pensa che gli ISP distribuiscono migliaia di modem dello stesso modello e
considerando inoltre che probabilmente tutti i costruttori di modem adottano
meccanismi simili per la generazione delle key standard; aggiungiamo il fatto
che l’utente medio difficilmente cambierà la key standard otteniamo il risultato
che probabilmente gran parte dei modem Wi-Fi distribuiti dagli ISP in tutto il
mondo sono vulnerabili a questo problema.
Partendo dalla key e dai parametri di un modem/router Telsey distribuito da Fastweb, effettuando il reverse engineering , troviamo la logica dell’algoritmo di
generazione della key standard . Da precisare che i modem Telsey di qualche anno fa apparentemente hanno una logica ancora più semplice. Infatti, utilizzando
delle combinazioni di Fastweb/Telsey SSID, Mac e Serial di modem pubblicati
10
su Internet, ho notato che la procedura di generazione del Serial è molto più
semplice e diversa da quella descritta in questo articolo.
Dal SSID al Serial
Sui modem Pirelli e Thomson :
1. Il SSID è derivato dal Mac Address
2. Il Serial è derivato dal SSID (e quindi in qualche modo dal Mac Address)
3. La key (PSK) è derivata dal Serial Number (S/N)
Questo significa che conoscendo il Mac Address (dato pubblico e facilmente ottenibile) si può risalire alla key segreta.
Cerchiamo di capire se c’era un legame tra SSID/Mac e Serial anche in questo
caso.
I dati di cui ho a disposizione sono i dati del modem che mi ha fornito Fastweb:
SSID:
Mac:
S/N:
PSK:
FASTWEB-1-00036F8E42BC
00-03-6F-8E-42-BC
00776934
7fcee0998a
E’ subito evidente che il SSID è il Mac Address al quale è stato aggiunta
all’inizio la stringa “FASTWEB-1-”.
Per ottenere il Serial si prendono le ultime 5 cifre esadecimali del Mac e si sommano le ultime 2 cifre esadecimali del Mac stesso. Il risultato viene spezzato in
due parti composte da 3 cifre e le due parti vengono scambiate di posizione:
$E42BC = 934588
934588+188($BC) = 934776
934776 -> 934 776 -> 776 934 -> 00776934
Dal Serial alla Key
Ora so che c’è un legame tra SSID, Mac e Serial. Esiste un legame tra questi valori e la key (PSK)? Se si, quale?.
11
Non sapendo bene da dove partire effettuo un po’ di conversioni numeriche, e
semplici operazioni di sottrazione, per cercare una traccia operando in modo simile al procedimento utilizzato per giungere al Serial
Proviamo a ripartire dalla key: 7fcee0998a. Cosa dice questo codice? Dieci cifre,
esadecimali. Pare non abbiano un rapporto diretto riconoscibile col Mac e neppure col Serial. Ripensando anche alla logica fin qui usata dai programmatori, la
key potrebbe essere composta da due semi-key di 5 cifre, ovvero 7fcee e 0998a.
A loro volta questi semi-key potrebbero essere frammenti (l’inizio o la fine) del
risultato di un’operazione hash. Decido di seguire questa pista.
Creo delle tabelle di hash md5 e sha1 basate sulla progressione di numeri a partire da 934588, ovvero la versione decimale delle ultime 5 cifre del Mac, numero
utilizzato prima per trovare il Serial. Una volta create queste tabelle cerco i
frammenti di semi-key: 7fcee e 0998a.
L’MD5 è un algoritmo per la crittografia dei dati, che prendendo in ingresso una stringa di qualsiasi
lunghezza ne produce un’altra da 128 bit, ovvero di 32 caratteri esadecimali. Non esiste nessun cracker per l’MD5 valido al 100%, ma se la stringa crittografata è una parola comune è possibile risalire a questa tramite dei siti che ne confrontato l’hash codificato con altri hash conosciuti presenti
nel loro archivio.
Ecco i migliori siti per decriptare le password in MD5:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Milw0rm Cracker
md5()
PassCracking
MD5oogle
GDataOnline
SecurityStats
Plain-Text
Reverse MD5
Ophcrack
Xpzone
Project MD5
Crysm
Ice Breaker
Md5 Hash database
Trovo il primo valore, si tratta dell’md5 si 936205:
936205 -> 2c916640d3b87a6aed4e443d9387fcee
le ultime 5 cifre corrispondo alla semi-key. La distanza tra il valore trovato
(936205) e l’origine 934588 è 1617. Non mi dice molto. Poco dopo trovo l’altra
metà della key:
12
939674 023292804e3088ed5e6d2995f0998ac0
All’inizio trovo sconfortante il risultato: non mi convince il fatto che non si tratti
degli ultimi 5 caratteri ma degli ultimi 7, con ‘c0′ che viene eliminato. A mettermi di buon umore però è la distanza tra i due numeri:
939674 - 936205 = 3469
A prima vista il numero 3469 non dice nulla; ma se andiamo a guardare il Serial
(00776934) ci accorgiamo che si tratta ancora una volta del giochetto dello
scambio delle sequenze:
00776934 -> 6934 -> 69 34 -> 3469
Ho scoperto dunque che la key è formata da frammenti di md5; i due frammenti
sono ottenuti estraendoli dalle ultime 5 e 7 cifre dell’md5, e che i due valori originali da cui derivano gli md5 sono “distanti” 3469 unità, ovvero un numero direttamente riconducibile al Serial.
A questo punto però manca ancora un elemento: da dove esce il numero 1617,
che separa il numero derivato dal Mac (934588) dal primo (e come abbiamo visto di conseguenza il secondo) valore utilizzato per generare la key?
A Volte i Conti non Tornano…
La risposta è: non lo so! O meglio, lo so, anche se non con precisione. Andiamo
per gradi.
Per scoprire gli hash che danno origine alla key ho fatto ricorso ad un brute
force. Ho così trovato un numero misterioso (1617) che è poi la chiave di tutta la
faccenda, il valore incognito che permette di arrivare dal Mac alla key. Da dove
esce questo numero? Dalla aritmetica modulare, assai utilizzata in crittografia.
Se prendo il numero 934776 (vedi sopra) e applico il modulo 3469 (che abbiamo
appena visto) ottengo come risultato 1615; come ricorderete il numero che mi
aspettavo di trovare è 1617.
934776 mod 3469 = 1615 (Non 1617 ???)
Qui c’è la discrepanza che non sono riuscito a risolvere, se non stabilendo che i
programmatori hanno deciso di aggiungere un valore costante di 2 al risultato
dell’operazione di modulo, spiegazione che non mi convince molto.
Per risolvere la questione mi servirebbero altri dati completi (SSID, Mac, Serial
e key) per poter incrociare i risultati. Già così però ritengo di essere giunto a
buon punto.
13
Considerazioni Finali
Seppur l’esito finale presenti una lieva anomalia, sono riuscito a dimostrare la
dipendenza del Serial Number dal SSID (e dal Mac). Con una maggior quantità
di dati da analizzare sarebbe probabilmente possibile superare anche l’anomalia e
creare uno script per implementare l’algoritmo di generazione delle key. La stessa cosa può essere fatta su qualsiasi altro modello di modem attualmente in circolazione.
La contromisura a questo attacco è banale: non utilizzare mai le key e le
password di dafault. Il problema però è: in quanti lo fanno? E quanti hanno la
percezione del rischio che corrono se non modificano le key e le password standard?
Da una ricerca con Google:
Come funziona l’algoritmo dei router Fastweb
I router Fastweb sono generalmente prodotti da due compagnie: Telsey e Pirelli .
Il procedimento per il calcolo della WPA predefinita si riferisce agl i apparecchi
Pirelli, i più recenti in circolazione. L'algoritmo è piuttosto semplice ma per una
migliore comprensione prenderemo in esempio una SSID fasulla: FASTWEB-1001D8B123456
1) La parte che interessa è l'ultima, 001D8B123456, che corrisponde all'indirizzo MAC del router. Proprio l'indirizzo MAC consente di sapere a priori se quel
router è stato prodotto da Pirelli e quindi è soggetto a questo tipo di attacco. I
primi 6 caratteri del MAC, infatti, identificano univocamente i produttore, mentre gli ultimi 6 variano da scheda in scheda. Sul sito della IEEE
(http://standards.ieee.org/regauth/oui si trova la lista degl i indirizzi MAC attribuiti a Pirelli: 001D8B è tra questi.
2) Il primo passaggio consiste nell'applicare una particolare funzione di cifratura,
chiamata “MD5", ad una stringa composta da una serie di caratteri fissi e dal
MAC del router. La stringa fissa, che non varia mai da modem a modem è
223311340281FA22114168111201052271421066. Comunque, i dati non vengono passati alla funzione sotto forma di stringa, ma come byte, ovvero in raggruppamenti di 2 caratteri esadecimali, che possono assumere valori compresi tra
O e 255 (o tra O e FF con notazione esadedmale).
3) II risultato della funzione è C72E8C0E73FAB4F471253E1S80044651, di cui
servono i primi
8 caratteri che a due a due compongono 4 byte (C7 2E, 8C, OE) . Adesso, calcolatrice alla mano, si
14
converte dascun byte in un numero binario. Ad esempio il valore binario di C7 è
11000111. Calcolati tutti i numeri binari si mettono insieme in modo da ottenere
una stringa di 32 bit: 11000111001011101000110000001110.
4) Si prendono i primi 25 caratteri e si uniscono in gruppi di 5 bit ciascuno, in
modo da ottenere 11000 11100 10111 01000 11000. Non resta che convertire
questi numeri nella corrispondente notazione esadedmale per conoscere la
password. Prima della conversione, però, su ciascuno di questi numeri (convertito in decimale) va eseguita una verifica. Se il numero è maggiore o uguale a 10
bisogna aggiungere 87
5) Convenendo i numeri in caratteri esadedmali si ottiene una serie di 10 caratteri
che corrisponde alla WPA della rete: 6f736e086f .A tal scopo si usano solo caratteri minuscoli e si aggiunge uno 0 se la conversione restituisce un numero ad
una sola cifra (ad esempio: 01000 -> 08).
Gli apparati Fastweb, se non opportunamente configurati mostrano già una certa
vulnerabilità all'attacco dizionario a causa della ridotta lunghezza delle chiavi
predefinite (appena 10 caratteri esadedmale. Purtroppo, il calcolo della MD5 e le
varie conversioni,sono molto semplici da attuare per un chiunque abbia esperienza di programmazione, ma non altrettanto immediati per l'utente alle prime armi.
Svelato l’algoritmo di Alice
Con Alice, risalire alla password di defeult di un router richiede un procedimento
più complesso di quello visto per Fastweb. I router vulnerabili sono i cosiddetti
AGPF gli Alice Gate Voip 2 Plus Wi-Fi (senza scheda) costruiti da Pirelli. Tornando agli AGPf: la WPA di default viene generata a partire dal MAC della
scheda Ethernet, dal numero di serie del router e da alcuni valori fissi; dati non
reperibili direttamente, ma calcolabil i dal SSID (che deriva anch'esso dal MAC
Ethernet). Occorre quindi stabilire 2 relazioni: quella tra SSID e MAC Ethernet e
quella tra SSID e seriale del router.
1) DA SSID A MAC ETHERNET
Le reti degli apparati forniti da Alice hanno tutte SSID simili: una prima parte
"Alice-",seguita da 8 cifre decimali. Gli indirizzi MAC sono composti da 6 numeri esadecimali a doppia cifra, ad esempio 00:25:53:26:82:81 Convertendo le
ultime 7 cifre esadecimali del MAC in un numero decimale si ottiene la seconda
parte del SSID. Quindi, se dal precedente esempio si prende ii numero esadecimale 32682B1 e si converte in decimale si ottiene 52855473. Ne consegue che il
SSID della rete sarà Alice-52855473 A volte, però, la conversione restituisce un
numero a 9 cifre decimali anziché 8. In tal caso si prendono in considerazione
soltanto gli ultimi 8 valori, scartando la prima cifra. II numero teoricamente più
alto risultante dalla conversione sarebbe 268435455 (nel caso in cui le ultime 7
15
cifre esadecimali del MAC siano "FFFFFFF"), quindi il valore massimo che la
cifra scartata può assumere è "2".
Alla luce di quanto detto è possibile calcolare il MAC Ethernet a partire dal
SSID applicando il procedimento inverso. In questo modo, però, non si ottiene
un risultato univoco ma, alla peggio, un ristretto numero di possibili indirizzi
MAC. Prima di tutto a partire dal SSID si può calcolare solo la seconda parte (le
ultime 7 cifre) del MAC. Bisogna poi considerare l'eventualità di anteporre un 1
o un 2 in base a quanto appena visto (questa aggiunta prende il nome di
"padding"). Per completare il MAC Ethernet serve la lista dei MAC assegnati a
Pirelli, reperibili dal sito di pubblico accesso cella IEEE
(http://standards.ieee.org/regauth/oui ).
A questo punto basta trovare un indirizzo MAC la cui ultima cifra della prima
parte (presa dalla lista della IEEE) rombati con la prima cifra della seconda parte
(calcolata dal SSID).
È possibile quindi trovare più di un MAC che risponda a questi criteri. Nell'esempio le combinazioni possibili sono 3:
0025532682B1 ottenuta con padding 0
0022332682B1 ottenuta con padding 0
00A02F1244B1 ottenuta con padding 2
2)DA SSID A SERIALE DEL ROUTER
II secondo valore che serve è il numero di serie del router. La relazione tra SSID
e seriale è meno diretta della precedente, in quanto non è ancora stata formulata
in maniera precisa.Attraverso l'analisi empirica delle varie serie di router, però, è
possibile calcolare una coppia di costanti che consentono di ricavare il numero di
serie. Queste costanti sono state battezzate "magic number". Grazie alla mobilitazione di molti utenti Alice, in Rete è possibile trovare una lunga lista di magic
number che, con il supporto a molte delle serie in commercio, consente
agli utenti di verificare l'effettiva debolezza della propria WPA. La lista dei numeri magici è consultarle dal sito:
http://bye99ucoz.ru/data/it_alice_mn/config.txt.
Come si calcola il seriale di un router? Si sa che è composto da 13 caratteri. I
primi 5 variano a seconda della serie e possono assumere un numero limitato di
valori (67901, 67902, 67903, 67904, 69101 , 69102, 69103 e 69104) , poi c'è una
"X" e infine una serie di 7 cifre calcolabili attraverso i numeri magici . Per semplicità chiamiamo SN1 la parte che precede la "X" ed SN2 la parte successiva.La
formula è semplice: dati 2 numeri Q e Kè stato dimostrato che SN2=(SSID-Q)/K
Con uno sguardo alla lista dei magic number si ottengono i valori di K e Q per
effettuare i calcoli: SN2 = (52855473 - 52796329) / 8 = 82393
Dato che SN2 deve essere composto da 7 cifre, si aggiungono due zeri all'inizio
per ottenere SN2:0082393
16
Nella lista dei magie number si estrapola anche ii valore di SN1 (67903) e la
probabile parte iniziale del MAC Ethernet (002553). A questo punto non resta
che calcolare il seriale del router:
SN = SN7XSN2
SN1 = 67903
SN2 = 0082393
SN= 67903X0082393
3) CALCOLO DELLA WPA
Per il calcolo della WPA si usa un algoritmo di cifratura irreversibile chiamato
SHA256 passando come argomenti una stringa fissa, il seriale e il MAC Ethernet. Anche qui tutti i valori vanno passati come byte, non come testo. A questo
punto si ha come risultato una serie di cifre esadecimale che, una volta convenite, comporranno la WPA.
La stringa fissa è:
64C6DDE3E579B6D986968D3445D23B75CMF728402AC560005CE2075973
FDCE8
Si convertono tutti i caratteri del seriale in byte (gli altri sono già in byte). Ricordiamo che un byte è composto da due cifre esadecimali, che possono assumere
un valore compreso tra O e 255 (da O a FF nella notazione esadecimale). A questo punto si passano i valori fissi, il numero di serie e il MAC Ethernet alla funzione per la SHA256. Nell'esempio il risultato della SHA256 è
0986D734680FA055C32F86738AD67708C8028A2E/16FC37D5D64B5C8E439
07F42
Prima di continuare bisogna creare una stringa che contenga tutti i possibili caratteri della WPA, ripetuti più volte (fino ad arrivare a 256 caratteri), come questa:
0123456789abcdefghijklmnopqrstuvwxyz
0123
Si prendono uno ad uno tutti i bytes restituiti dalla SHA256 e si confrontano con
la stringa creata: 09,86,01 ecc...
09 esadecimale = 9 decimale =carattere numero 9 della stringa =9 (il conteggio si
inizia da O e non da 1);
86 esadecimale = 86 decimale = carattere numero 86 della stringa = q;
DI esadecimale = 209 decimale = carattere numero 209 della stringa = t;
e così via per i primi 24 caratteri. II risultato è la WPA, nell'esempio 9qtg.. .
17
Craccare password codificate in MD5 con Google
MD5 (acronimo di Message Digest 5) è un algoritmo capace di crittografare
una parola in modo teoricamente irreversibile.
Questo tipo di codifica, prevede, in input una stringa di lunghezza variabile, e restituisce in output un stringa di lunghezza fissa composta da 32 valori esadecimali (chiamata hash MD5).Questo tipo di crittografia dovrebbe essere monodirezionale, ovvero, avendo un hash
MD5 non si dovrebbe poter tornare alla parola che lo ha originato. Dico “dovrebbe” perchè con il Brute Forcing è
possibile craccare un hash in un tempo
finito ma lunghissimo. In questo articolo
voglio suggerire una via alternativa alla
lenta “forza bruta”: Google.
Oltre a essere uno dei motori di ricerca
più utilizzati, Google, ci aiuta anche a recuperare le password smarrite. Per trovare una password crittografata con MD5,
ti è sufficiente inserile l’hash di cui disponi nel campo di ricerca e cliccare su
“Cerca con Google”.
Due modi diversi per monitorare la propria rete
1) CONTROLLO IN TEMPO REALE
Non sono necessari strumenti avanzati per controllare se qualcuno si è intrufolato nella rete di casa a nostra insaputa. Basta andare nella pagina di configurazione del router e dalla sezione relativa al wiretess controllare il numero dì client (dispositivi) connessi. Spesso però questo procedimento si rivela
alquanto macchinoso,pertanto ci conviene tare uso di ZamZom
(www. zamzom.net) un tool che, già nella versione gratuita,è in grado di analizzare il traffico della rete restituendo la lista dei client connessi in tempo
reale. ZamZom è compatibile con Windows Vista/7. Il programma è già
configurato con i parametri ottimati , quindi non resta che avviare la scansione:
Scansione rapida dura appena qualche secondo, ma non è precisa come
Scansione completa. Analizzando gli indirizzi MAC che appaiono e verificando se si tratta di dispositivi di nostra proprietà riusciremo a capire se in
quel momento qualcuno sta scroccando la nostra connessione Internet.
18
2) ANALISI DEL LOG DEL ROUTER
Gran parte dei dispositivi elettronici complessi tiene un cosiddetto file di
LOG. Una sorta di scatola nera che torna molto utile nel momento in cui vogliamo analizzare cosa sia accaduto in nostra assenza. I router commerciali
danno l'opportunità di accedere ai log dalla pagina di configurazione. All'interno dei LOG sono stipati tutti gli indirizzi MAC dei client connessi e gli
orari di connessione, oltre a numerose altre informazioni.
19
L’MD5 è un algoritmo per la crittografia dei dati, che prendendo in ingresso una stringa di qualsiasi
lunghezza ne produce un’altra da 128 bit, ovvero di 32 caratteri esadecimali. Non esiste nessun cracker per l’MD5 valido al 100%, ma se la stringa crittografata è una parola comune è possibile risalire a questa tramite dei siti che ne confrontato l’hash codificato con altri hash conosciuti presenti
nel loro archivio.
Ecco i migliori siti per decriptare le password in MD5:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
20
Milw0rm Cracker
md5()
PassCracking
MD5oogle
GDataOnline
SecurityStats
Plain-Text
Reverse MD5
Ophcrack
Xpzone
Project MD5
Crysm
Ice Breaker
Md5 Hash database
Due modi diversi per monitorare la propria rete
1) CONTROLLO IN TEMPO REALE
Non sono necessari strumenti avanzati per controllare se qualcuno si è intrufolato nella rete di casa a nostra insaputa. Basta andare nella pagina di configurazione del router e dalla sezione relativa al wiretess controllare il numero dì client (dispositivi) connessi. Spesso però questo procedimento si rivela
alquanto macchinoso,pertanto ci conviene tare uso di ZamZom
(www. zamzom.net) un tool che, già nella versione gratuita,è in grado di analizzare il traffico della rete restituendo la lista dei client connessi in tempo
reale. ZamZom è compatibile con Windows Vista/7. Il programma è già
configurato con i parametri ottimati , quindi non resta che avviare la scansione:
Scansione rapida dura appena qualche secondo, ma non è precisa come
Scansione completa. Analizzando gli indirizzi MAC che appaiono e verificando se si tratta di dispositivi di nostra proprietà riusciremo a capire se in
quel momento qualcuno sta scroccando la nostra connessione Internet.
2) ANALISI DEL LOG DEL ROUTER
Gran parte dei dispositivi elettronici complessi tiene un cosiddetto file di
LOG. Una sorta di scatola nera che torna molto utile nel momento in cui vogliamo analizzare cosa sia accaduto in nostra assenza. I router commerciali
danno l'opportunità di accedere ai log dalla pagina di configurazione. All'interno dei LOG sono stipati tutti gli indirizzi MAC dei client connessi e gli
orari di connessione, oltre a numerose altre informazioni.
21
TOOL PER RETI WIRELESS
Cain&Abel
Il programma è uno sniffer in grado di
analizzare tutto il traffico che scorre
sullarete. In pratica, il software analizza le tante informazioni che transitano
sulla nostra connessione mostrandole
ordinate e in forma leggibile. Ideale
soprattutto per recuperare password
smarrite e controllare le connessioni attive del computer (sia in entrata che in
uscita). Attenzione: durante l'installazione di Cain & Abel alcuni antivirus
potrebbero rilevare il software come un possibile pericolo. Ignoriamo tranquillamente gli avvisi e terminiamo la procedura di setup.
WirelessKeyView
Questo software fa una cosa sola, ma incredibilmente bene: recupera le ''chiavi'' delle connessioni wireless, posto che queste siano memorizzate nel computer. Non si tratta di un'eventualità remota, dopotutto: quelle di tipo WEP e
WPA, in genere sono molto lunghe e ben pochi
utenti si prendono la briga di inserirle ad ogni
connessione. Una volta avviato, WirelessKeyView analizza la memoria del computer, rintraccia dove si trovano le chiavi della connessione e le ''decripta'', porgendocele su un piatto
d'argento! Le informazioni recuperate potranno
poi essere salvate in formato TXT, HTML o
XML. Infine, il software può anche recuperare
le password di login degli account e-mail di
Outlook, MSN o Windows Live Messenger.
ZamZomWireless
La connessione Wi-Fi è troppo lenta? Forse qualcuno si è collegato abusivamente alla nostra rete LAN. Se così fosse, possiamo facilmente scovare l'intruso con
ZamZom: avviata l'applicazione, clicchiamo su ''Deep Scan'' e in pochi secondi il
programma rivelerà tutti i computer connessi alla nostra rete. Basta poi confrontare gli indirizzi IP visualizzati con il nostro (Your IP Adress) e scovare l'intruso.
22
inSSIDer
Il SSID (Service Set IDentifier) sostanzialmente identifica il nome della
rete, visibile ad una normale scansione con il computer. Il SSID può
essere nascosto disattivando la funzione SSID broadcast: in questo modo, chiunque tenti di connettersi alla
rete, dovrà digitarne (e quindi conoscerne) anche il nome. Questo programma è uno scanner che cerca tutte le reti wireless non protette nelle
nostre vicinanze e visualizza in una
tabella l'elenco dell'indirizzo MAC, il SSID, la sicurezza e la velocità.
MAC Manager
L'indirizzo MAC, detto anche indirizzo
fisico, è un codice univoco di 6 byte
assegnato ad una scheda di rete al momento della sua produzione. Tutte le
schede di rete in commercio quindi,
siano esse ethernet, wireless o bluetooth, hanno un codice che le differenzia
da tutte le altre. Questo tool, in particolare, ci consente di cambiare il MAC della nostra scheda di rete senza passare dal
Registro di configurazione di sistema.
Aircrack Gui
Il programma raccoglie un insieme
di strumenti per la verifica delle
reti Wireless: nello specifico, si
tratta di airodump (sniffer di rete),
aireplay (generatore di pacchetti),
aircrack (cracker per chiavi statiche WEP e WPA) e airdecap (decifra file catturati WEP/WPA).
Tutti questi tool sono indispensabili per verificare la sicurezza della propria rete wireless, in modo
da poter sempre navigare in tranquillità senza correre il rischio che qualcuno possa rubare la banda.
23
Wireshark (sostituisce il vecchio Ethereal)
Wireshark è un software utilizzato per la soluzione di
problemi di rete e per l'analisi/sviluppo di protocolli di
comunicazione. Tra le caratteristiche del programma troviamo funzionalità di ordinamento/filtraggio e la possibilità di osservare tutto il traffico
presente sulla rete. Tipicamente si riferisce alle reti Ethernet, ma è possibile analizzare anche altri tipi di rete fisica. Per la cattura dei pacchetti, Wireshark non dispone di proprio codice, ma utilizza lo sniffer di rete
WinPcap, che viene installato durante la procedura di setup iniziale.
WPA Security Inspector
Questo programma mette
a disposizione
dell'utente numerose funzionalità che permettono di effettuare avanzati test di sicurezza sulla propria rete Wi-Fi
(Alice o Fastweb). Tra queste, in particolare, è possibile calcolare la chiave WPA a partire
dal MAC e dal seriale del router, calcolare il MAC e il seriale a partire dal SSID
e scoprire i coefficienti di calcolo del seriale a partire dal seriale stesso. Per utilizzare il software correttamente è necessario procurarsi da Internet il file config.txt
24
WiFi RADAR trova e connette tutte le Reti Wireless Aperte
Easy WiFi Radar attualmente funziona solo con XP, la versione per Vista dovrebbe seguire tra non molto, installa e avvia la scansione dopo aver acceso e
abilitato la scheda di rete WiFi del portatile.
Dopo qualche secondo di scansione, se dove ti trovi sono presenti segnali di reti
WiFi, appariranno sul monitor dei quadratini di colore Verde, Giallo o Rosso oltre che una piccola finestra di stato con informazioni testuali,
I quadratini Verdi rappresentano punti di accesso “aperti” non criptati con un segnale forte, il programma li proverà per primi per stabilire una connessione.
I quadratini Gialli rappresentano punti di accesso “aperti” non criptati ma con un
segnale debole, sarà tentato il collegamento solo se non é possibile connettersi a
un punto di accesso verde.
I quadratini Rossi rappresentano punti di accesso “chiusi”, criptati con WEP o
WPA, la connessione sarà possibile eventualmente solo ai WEP inserendo la relativa chiave nel menu delle opzioni, dato che il programma non supporta la crittografia WPA.
Collegato un punto di accesso, verrà richiesto automaticamente un indirizzo IP, e
una volta ricevuto e verificata la connessione internet, si aprirà automaticamente
il tuo web browser e il radar verrà minimizzato a icona nell’angolo in basso a destra dello schermo.
25
Tutorial Wireshark
UNO STRUMENTO INDISPENSABILE PER CHIUNQUE SI OCCUPI DI SICUREZZA O PER CHI È CURIOSO SULLE DINAMICHE DI RETE.
Il funzionamento è abbastanza semplice: il programma si pone in ascolto sulla
connessione di rete e intercetta tutto il traffico che vi scorre, mostrandoci il risultato sul monitor.La cattura può essere salvata in un file su disco per altri utilizzi,
mentre le informazioni a schermo sono esaurienti in quanto Wireshark è in grado
di riconoscere molti tipi di pacchetti e di associarli al corretto protocollo, cosa utile per capire come funzionano gli stessi. In più, usando filtri definiti dall'utente,
è in grado di escludere traffico ritenuto poco interessante e di segnalare immediatamente qualunque anomalia riscontrata. Si tratta quindi di uno strumento che
non può mancare nella dotazione chiunque si occupi di questioni legate alla sicurezza delle reti.
1)La schermata iniziale di
Wireshark ci guida attraverso tutte le operazioni
necessarie per compiere la
cattura del traffico che
scorre sulla connessione
di rete dei nostro computer. Da qui possiamo configurare il programma,
scegliere l'interfaccia di
rete con fa quale operare e
iniziare la cattura vera e
propria. In più, offre collegamenti diretti alle guide disponibili con il programma e su! sito Web.
2)La prima cosa da fare è
scegliere l'interfaccia di
rete da usare per la cattura. La finestra mostrata
offre l'elenco di tutte le
interfacce (cioè di tutte le
schede di rete) fisiche o
virtuali presenti nel sistema:per ognuna, di cui
viene riportato il nome e l'indirizzoIP assegnato, è possibile impostare opzioni di
cattura diverse. Per iniziare la cattura vera e propria basta fare clic sul pulsante
Start relativo all'interfaccia scelta.
26
3)Tra le opzioni relative
alla singola interfaccia
di rete, sono da tenere
presenti il filtro di cattura,che permette di escludere tutti quei pacchetti che non interessano per lo studio che ci
prefiggiamo di compiere in seguito, e la possibilità di salvare il file
della cattura stessa. Usando per il salvataggio
il formato .cap i l file
potrà essere usato anche
da altro software, dato che si tratta di un formato standard per le catture dei pacchetti.
4)II filtro di cattura può essere configurato
secondo le nostre esigenze. Sono presenti
diversi filtri preconfigurati per le operazioni più frequenti, per esempio la cattura
dei sol i pacchetti TCP: impostando uno di
questi filtri verranno ignorati tutti i pacchetti che non rispondono ai requisiti. Se
necessario, è possibile costruire anche filtri
personalizzati, a patto di conoscere approfonditamente la tecnologia che vogliamo
analizzare.
5)Durante la cattura,
laparte superiore della schermata principale del programma
ci mostra l'elenco dei
pacchetti ricevuti. Per
ogni pacchetto, oltre
al numero progressi-
27
vo e al tempo trascorso dall'inizio della cattura espresso in secondi, possiamo vedere gli indirizzi di partenza e destinazione del pacchetto, il protocollo usato e il
tipo di pacchetto, del quale, se riconosciuto, viene riportato espressamente il nome del servizio per cui viene usato.
6)Nella parte inferiore della finestra,
invece,vengono
mostrati i dettagli
del pacchetto selezionato nel riquadro
superiore. Questo è
molto interessante,
in quanto analizzando il pacchetto
fin nel suo intimo
potremmo scovare
non solo i dati palesi riportati dal programma, come gli
indirizzi MAC delle schede di rete coinvolte,ma anche il contenuto dei pacchetti
stessi,nel quale si trovano comunicazioni in chiaro, password e molto altro.
LINUX
Utilizzando le versioni live di linux (Knopils, Backtrack,Restore, Opcrack, Helix
ecc. ecc.) è possibile avviare un computer anche quando il sistema operativo non
risponde. E’ fondamentale che il PC si avii dal CDRom
A questo punto cosa si può fare:
*) recuperare i dati e successivamente formattare ed installare il S.O.
*) Scoprire le password (recuperare le psw)
*) catturare pacchetti della rete cablata o wireless (Aircrack,Wireshark, Ba
cktrack)
*) utilizzare software per senza installazione sul PC
Vediamo alcuni esempi:
Con OPCrack si trovano le password, basta avviare e, con un pò di pazienza, saranno visibili a monitor gli utenti con rispettive password.
28
Con Kon-Boot si avvia il S.O. senza richiesta PSW (non funziona su reti client
server, per il momento!)
Cambiare la Password di Windows con Backtrack
Innanzitutto per chi non l’avesse fatto suggerisco di installare backtrack su usb, è
davvero comoda, ed ecco come cambiare la password di windows:
* Fare login in backtrack.
* Aprire la shell e smontare la partizione di windows (umount /dev/sda1) nel mio
caso che è /dev/sda1 ed userò questo come esempio, per vedere facilmente la vostra aprite konqueror sul pannello in basso, cliccate sul disco di windows, nella
barra degl’indirizzi apparirà un indirizzo del tipo: system:/media/sda1, sda1 è la
partizione di windows.
* Adesso create una nuova directory che io ho chiamato win per comodità e
montate la partizione in lettura e scrittura con i seguenti comandi: mkdir
/mnt/win e mount -t ntfs-3g /dev/sda1/ /mnt/win.
* Ora bisogna andare nel menu k/backtrack/privilege escalation/PasswordAttack/
e selezionare chntpw.
* Guardiamo qual’è il nostro utente windows a cui vogliamo cambiare la
password con il comando chntpw -i /mnt/win/system32/config/SAM .
* Adesso se il vostro utente si chiama pippuzzo per cambiare password si digita
chntpw -u pippuzzo /mnt/win/WINDOWS/system32/config/SAM, quando verrà
richiesto si digita la nuova password.
29
Configurare una rete wireless
Configurazione del Wireless Access Point e Router: nel nostro caso è un
Linksys WRT54GL con Ip di default 192.168.1.1 senza modem, quindi adatto ad
essere utilizzato all’interno di una rete cablata con connessione ad internet.
Ip Router 192.168.1.1
1. Configurare la NIC con ip compatibile del router 192.168.1.X
2. In strumenti Opzioni di Internet Explorer togliere il proxy (se è attivo)
3. Digitare URL 192.168.1.1
4. Nome utente blanck(vuoto) Password admin
SETUP
Basic Setup
1. Internet connection type: Static IP immettere i parametri della rete cablata.
2. Optional setting: non cambiare
3. Network setup: IP 192.168.(10-20-30 ecc).1 SM 255.255.255.0
4. Abilitando il DHCP è possibile scegliere il numero massimo di host che
si possono collegare e lo Starting IP , il tempo per assegnare un nuovo
IP, IP WINS.
WINS è l'acronimo di Windows Internet Naming Service ed è un'implementazione Microsoft del NBNS NetBIOS Name Server su Windows, un servizio di
name server per NetBIOS. Quando si utilizza un WINS Server inserire in questo
campo IP del Server, altrimenti lasciare vuoto.
Disabilitare DHCP
Save setting
5. Cambiare IP della NIC e il Gateway
6. Collegare la WAN del Router alla rete cablata
7. Abilitare il proxy di IE (se era attivo)e collegarsi a Internet.
Vediamo in particolare alcuni parametri che sono nella configurazione del router
DDNS: disable
Il DNS Dinamico è una tecnologia che permettere ad un nome DNS in Internet
di essere sempre associato all'indirizzo IP di uno stesso host, anche se l'indirizzo
cambia nel tempo. I nomi DNS sono normalmente associati stabilmente ad indirizzi IP, i quali a loro volta sono stabilmente assegnati ad host che hanno funzioni di server. Molti host, in particolare quelli che si collegano ad internet utilizzando i servizi di uno (o più) ISP, ricevono invece un indirizzo diverso ad ogni
connessione. Pertanto è impossibile raggiungerli da internet, perché non si conosce il loro indirizzo IP. Questo preclude la possibilità di amministrarli remotamente e di offrire servizi su questi host.
30
Il DNS dinamico permette a questi host di essere sempre raggiungibili attraverso
il loro nome DNS, e quindi rende possibile amministrarli remotamente ed erogare servizi raggiungibili da chiunque su internet.
MAC Address Clone
Alcuni ISP richiedono la registrazione del MAC per accedere ad Internet.
Advanced Routing (definisce le Route statiche e dinamiche: argomento Discovery 2)
Se il router deve connettere gli host ad Internet deve essere configurato come
Gateway, altrimenti come Router, se esiste un altro router nella rete per la connessione ad Internet. (diventa un Access Point.)
Wireless
Basic Wireless Setting
Wireless Network Mode: selezionare lo standard Wireless della rete, Mixed se si
utilizzano più standard (11.b 11.g). Disabled: non ci si può connettere, si utilizza
solo la cablata.
Wireless Network Name(SSID): nome della rete condivisa da tutti i dispositivi
della rete wireless. Per sicurezza cambiare il nome di default (linksys)
Wireless Channel: scegliere un canale per la rete, tutti i dispositivi devono essere sintonizzati su questo canale per funzionare correttamente.
Wireless SSID Broadcast: quando i wireless clients esaminano la rete locale per
associarsi alle reti wireless, ricevono il SSID broadcast dal router. Disabilitare
per non essere trasmesso.
Conoscendo il nome è possibile configurare la scheda wireless, una volta
collegata il SSID si vede.
Wireless security
Wi-Fi Protected Access (WPA e WPA 2) è un programma di certificazione
amministrato dall'alleanza del Wi-Fi come forma di protezione per le reti di
computer wireless. Il protocollo è stato creato in risposta alle numerose falle che
i ricercatori hanno trovato nel sistema precedente, Wired Equivalent Privacy
(WEP). Nella fattispecie, il protocollo TKIP (Temporal Key Integrity Protocol),
fu incluso nel WPA. Il protocollo TKIP cambia dinamicamente la chiave in uso e
la combina con un vettore di inizializzazione (IVS) di dimensione doppia rispetto
al WEP (in modo da rendere vani gli attacchi simili a quelli previsti per il WEP)
e può essere implementato nelle schede di interfaccia wireless pre-WPA.
WPA Personal: due metodi di crittografia, TKIP e AES, con chiave dinamica,
scegliere l’algoritmo e la chiave condivisa formata da 8 a 63 caratteri. Scegliere
anche il periodo dopo il quale il router deve cambiare la chiave.
WPA Enterprise: utilizzata quando si ha un Server Radius connesso al router
31
WPA2 Personal: come WPA Personal solo che è possibile scegliere AES o
TKIP + AES
WPA2 Enterprise: come WPA Enterprise solo che è possibile scegliere ( AES o
TKIP + AES)
RADIUS: tipo di opzione WEP usato in coordinazione con un server Radius
WEP: metodo base di crittografia, scegliere quale chiave utilizzare tra 4 generate
dalla frase di password che può essere 64 bit o 128 bit.
Wireless MAC Filter: l’accesso alla wireless può essere filtrato dal MAC del
dispositivo all’interno della rete radius. Quando si abilita si può scegliere tra
Prevent (impedire) l’accesso alla rete wireless di una lista di MAC, oppure Permit only (permettere solo) l’accesso ad una listya di MAC.
Advanced Wireless Settings: utilizzato da esperti amministratori in quanto, se
si sbaglia il settaggio, si riduce la wireless performance.
Autentication Type : per default è settato su Auto, per un sistema aperto,chi riceve e chi trasmette non usa una chiave WEP per autenticarsi; oppure su Shared
Key per usare la chiave.
Basic Rate: default per tutte le velocità (Mbps) oppure 1-2 Mbps per vecchie
tecnologie
Trasmission Rate: dipende dalla velocità dei dispositivi wireless della rete.
CTS (Clear to Send)Protection Mode: dovrebbe rimanere disabilitato a meno
che non si hanno problemi con una wireless-G che non è in grado di collegarsi ad
un router settato su 802.11b.
Frame Burst: abilitando questa opzione si ottiene una migliore performance, dipende dal tipo di manifattura dei dispositivi wireless, se non si è sicuri degli effetti disabilitare.
Beacon interval: di default è 100 msec, è possibile variare da 1 a 65.535, indica
l’intervallo di frequenza con cui il router sincronizza, con un packet broadcast, i
dispositivi della wireless network
DTIM interval : range 1 a 256, indica l’intervallo del Delivery Traffic Indication
Message.
Un DTIM è un tipo di messaggio di indicazione del traffico atto ad informare i
client della presenza di dati multicast/broadcast e/o memorizzati nel buffer dell'
Access Point. Tale messaggio viene generato dopo ogni periodo DTIM specificato nel beacon, cioè nei pacchetti inviati dall'Access Point per la sincronizzazione
della rete wireless. I normali messaggi di indicazione del traffico (Traffic Indication Message, (TIM)) che sono presenti in ogni beacon servono a segnalare la
presenza di dati unicast non bufferizzati. Successivamente ad un DTIM, l'Access
Point invierà i dati multicast/broadcast sul canale in accordo alle normali regole
di accesso al mezzo.
Fragmentation Threshould: specifica la grandezza massima per un packet prima che un dato sia diviso in più packet, nella maggio parte dei casi questo valore
è 2346.
32
RTS Threshold: RTS Threshold è la soglia della dimensione dei pacchetti che
un segnale Request to Send (RTS) (Richiesta di invio) deve utilizzare per l'invio
all'unità wireless ricevente, prima che l'unità wireless che trasmette apra le comunicazioni. Il valore predefinito è 2347.
AP Isolation: per isolare tutti client e i dispositivi wireless della rete l’uno
dall’altro, i dispositivi possono comunicare col router ma non tra di loro.
Secure Easy Setup: permette, premendo “Cisco System” sul Router, di settarlo
in sicurezza creando un file testo per il successivo settaggio della scheda. (tramite il programma in dotazione con la scheda)
Security: Firewall
Firewall Protection: questa caratteristica impiega SPI(Stateful Packet Inspection)
Algoritmo che analizza il contenuto di ciascun pacchetto di dati che transita attraverso un firewall, in entrata od in uscita, e che stabilisce se sia accettabile o da
fermare. All'interno del pacchetto vengono cercate stringhe di byte tipiche di operazioni illecite come un attacco DoS, virus od altro, e viene controllato la congruità del singolo pacchetto con la serie e con il tipo di sessione cui appartiene.
Block WAN Request: Se il Block Anonymous Internet Requests è abilitato si evita che richieste di ping esterne arrivino al router. Mentre il Filter Multicast
permette multiple trasmissioni ad uno specifico destinatario nello stesso tempo,
se si permette il multicast quando il router riceve un IP Multicast Packet lo fa
passare e lo invia ai PC della rete intasandola.
Filter Internet NAT (network address translation) Redirection: utilizzato per
bloccare o permettere l’accesso al server locale attraverso i PC della rete, attraverso la WAN.
Filter Ident(port 113): questa caratteristica utilizza la porta 113 per iniziare la
scansione dei dispositivi al di fuori della rete locale.
VPN Passthrough: utilizzare questo settaggio se si utilizza una VPN tunnel utilizzando IPSec,PPTP o L2TP.
ACCESS RESTRICTIONS (Access List): blocca o consente, attraverso delle
policy, l’accesso a Internet o a servizi Internet a specifici utenti della LAN. (Discovery 2)
APPLICATION e GAMING: Permette di settare public services sulla network,
come web servers, ftp servers,e-mail servers, o altre applicazioni Internet( videoconferenze o giochi online).
Port Range Forward: Nelle reti informatiche il port forwarding, a volte chiamato anche tunneling, è l'operazione che permette il trasferimento dei dati (forwarding) da un computer ad un altro tramite una specifica porta di comunicazione.
Questa tecnica può essere usata per permettere ad un utente esterno di raggiunge-
33
re la porta di un computer con indirizzo IP privato, all'interno di una rete locale
(LAN). Per compiere questa operazione si ha bisogno di un router in grado di eseguire una traduzione automatica degli indirizzi di rete, detta NAT.
Application: nome dell’applicazione (es. Emule)
Start End: range delle porte
Protocol: protocollo utilizzato TCP UDP o Entrambi
IP Address: IP del PC
Port Triggering: In informatica, il port triggering è una tecnica simile al port
forwarding, con la differenza che non c'è necessariamente bisogno di conoscere
l'indirizzo IP del destinatario. Il port triggering agisce su tutta la LAN o su un intervallo di indirizzi IP (dipende dal modello di router) ed apre una porta non appena sente la richiesta di trasferimento.
Differenze con il port forwarding: Poniamo per esempio che venga usata la porta
5555 per richieste in uscita (upload) e contemporaneamente arrivi una richiesta
in entrata sulla stessa porta. Nel port forwarding la richiesta in entrata non potrà
passare e dovrà aspettare che la porta si liberi. Invece con il port triggering, il
router aprirà temporaneamente un'altra porta (o altre) in modo da evitare le attese. Ecco perché è utile nel gaming online: in questi casi bisogna gestire molte richieste contemporanee in entrata e in uscita; trovare una porta occupata creerebbe ritardi meglio conosciuti come Lag_(informatica).
DMZ: Una DMZ (demilitarized zone) è un segmento isolato di LAN (una "sottorete") raggiungibile sia da reti interne che esterne che permette, però, connessioni esclusivamente verso l'esterno: gli host attestati sulla DMZ non possono
connettersi alla rete aziendale interna.
Tale configurazione viene normalmente utilizzata per permettere ai server posizionati sulla DMZ di fornire servizi all'esterno senza compromettere la sicurezza
della rete aziendale interna nel caso una di tali macchine sia sottoposta ad un attacco informatico: per chi si connette dall'esterno dell'organizzazione la DMZ è
infatti una sorta di "strada senza uscita" o "vicolo cieco".
Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei
server che necessitano di essere raggiungibili dall'esterno della rete aziendale ed anche dalla internet - come, ad esempio, server mail, webserver e server DNS)
che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrità.
QoS: Qualità di servizio o più semplicemente QoS (dall'inglese Quality of Service) è usato per indicare i parametri usati per caratterizzare la qualità del servizio offerto dalla rete (ad esempio perdita di pacchetti, ritardo), o gli strumenti per
ottenere una qualità di servizio desiderata.
34
ADMINISTRATION
Management: da questa finestra è possibile cambiare la password, protocollo
web di accesso al router, disabilitare accesso web al router attraverso una wireless o attraverso accesso remoto (WAN attraverso la porta 8080)
Universal Plug and Play (UPnP) l'architettura UPnP permette la creazione di
una rete Peer-to-peer tra personal computer e periferiche di rete, wireless e non.
È un'architettura aperta e distribuita basata sui protocolli internet TCP/IP, UDP
(porta 1900) e HTTP. UPnP permette la comunicazione di due periferiche nella
rete in cui sia presente una periferica di controllo (un server o un router).
Essendo un rischio per la sicurezza disabilitare se non utilizzata.
LOG: per memorizzare i log del traffico in uscita e in ingresso in una tabella.
Diagnostics: ping test per verificare la connessione con un host, Traceroute per
testare la performance della connessione.
Factory Defaults: per resettare tutte le modifiche
Config Management: backup e restore di un configurazione.
Operazioni sul Router come AP o router Wireless (ricordarsi, dopo ogni
cambiamento, Save Setting)
Ip Router 192.168.1.1
• Configurare la NIC con ip compatibile del router 192.168.1.X
• Resettare il Router (tenere premuto il reset fino a che il led power lampeggia e poi torna fisso.
• In strumenti Opzioni di Internet Explorer e togliere spunto sul proxy
• Digitare URL 192.168.1.1
• Nome utente blanck(vuoto) Password admin
SETUP
Basic Setup
Internet connection type: Static IP immettere i parametri della rete cablata
Optional setting: non cambiare
Advanced Routing
Operating Mode: Gateway se utilizzato per connettersi ad Internet, altrimenti
Router
Wireless
Basic Wireless Setting
1. Wireless network mode: G-Only
2. Cambiare il SSID e il Wireless Channel (immettere quello dello schema
allegato)
3. Non disabilitare il SSID Broadcast (disabilitare, per sicurezza, solo se si
utilizza il programma in dotazione alla NIC wireless)
Wireless MAC Filter
1. Abilitare
2. Permit Edit (digitare il MAC della Scheda)
35
Administration
Cambiare Router Password (lab_wireless)
Setup
Basic Setup
Network Setup
Cambiare Router IP (192.168.X.1)
A questo punto cade la connessione in quanto la NIC non è configurata correttamente.
Configurazione della Wireless Client
Inserire il CD della scheda wireless e seguire le istruzioni per l’installazione dei
Driver.
In alternativa inserire la NIC nella porta USB e, quando richiesto dal S.O., caricare i Driver dal CD
Configurare la NIC Wireless con i parametri IP del router
Con windows XP ( SSID Broadcast abilitato)
• Risorse di rete
• Visualizza connessioni di rete
• Clic destro sulla NIC Wireless
• Proprietà
• Protocollo Internet
• Proprietà
• Immettere IP 192.168.X.2
• SM 255.255.255.0
• Gateway e DNS 192.168.X.1 OK
• In base al Sistema Operativo, seguire le istruzioni per vedere il SSID
della wireless e collegarsi.
• Ping al gateway, se risponde entrare nella configurazione del Router.
Wireless Security
1. Scegliere una crittografia(WPA Personal) (la NIC non gestisce WPA2)
2. Scegliere l’algoritmo (TKIP o AES)
3. Immettere la Key(lab_wireless)
4. disabilitare il SSID Broadcast
5. Abilitare il DHCP per 25 utenze a partire dal 100
Con Wireless Network Monitor
•
36
Lanciare il programma Network Monitor
•
•
•
•
•
•
•
•
•
•
Profiles
Edit
Advanced Setup
Specify Network Setting
Riempire i campi next
Immettere il SSID Next
Security (WPA-Personal)
Encryption (TKIP)
Passphrase (..........................) Save
Connect
TELEFONINO BLOCCATO? Ecco la soluzione
Vediamo come recuperare o eliminare i codici di blocco che abbiamo impostato e che, abbiamo malauguratamente dimenticato.
In caso di furto sia per smarrimento, i dati contenuti al loro interno possono cadere in mani sbagliate ed è meglio correre ai ripari. Il primo livello di protezione
è il classico PIN della scheda SIM che blocca il telefonino in chiamata. I dati in
memoria, però, possono essere sempre accessibili. Ecco perché ogni telefonino è
provvisto di un ulteriore sistema di sicurezza che è il codice di blocco. Nel caso
si dovesse perdere il codice FIN, sarebbe pur sempre possibile recuperarlo attraverso il PUK o contattando il proprio operatore di telefonia mobile. Per il codice
di blocco le cose sono un po' più complicate. In molti casi col reset del telefonino
è possibile eliminarlo per impostarne uno nuovo. Il reset, però, cancellerà anche
tutti i dati che non potranno poi essere recuperati nel caso non sia stato fatto un
backup. Con alcunimodelli, come i Nokia con sistema operativo Symbian, attraverso una particolare procedura si può evitare questo inconveniente recuperandolo senza dover effettuare il ripristino totale che comunque non lo cancellerebbe.
In casi estremi, quando proprio non si riesce a trovare una soluzione, ci si può rivolgere all'assistenza tecnica del produttore, ma anche in questi casi non sempre
è possibile recuperare il codice di blocco.
SBLOCCHIAMO LE MMC DEI VECCHI NOKIA
Chi possiede un telefonino che utilizza la vecchie schede MMC può proteggere
l'accesso alla memoria esterna attraverso una password. Nel caso fosse andata
dimenticata, è possibile recuperarla con una piccola procedura. Installiamo sul
telefonino un programma che permetta di esplorare i file di sistema come
Fexplorer (www.gosymbian.com/FE_download. html). Andiamo, quindi, nella
directory System, troviamo il file mmcstore, copiamelo e salviamolo sul PC. Rinominiamolo in mmcstore.txt e apriamolo col Blocco note. All'interno troveremo
la password della MMC.
-
37
A MALI ESTREMI, ESTREMI RIMEDI: L’HARD RESET
38
39
BackTrack e Aircrack
ACCEDERE A WINDOWS XP SENZA SAPERE LA PASSWORD
Molto spesso necessitiamo di accedere ad un computer windows protetto da password, password che magari non sappiamo perchè ce la siamo dimenticata o magari perchè il pc non è esattamente nostro XD .
In questo capitolo vedremo come poter risolvere questo problema tramite BackTrack, una distribuzione GNU/Linux live, quindi avviabile da cd, con un set
mostruoso di strumenti di penetration test .
All'opera
Inseriamo il cd nella macchina windows in questione, resettiamola e facciamo il
boot del cd .
All'avvio di backtrack usiamo le credenziali di default per entrare
username : root
password : toor
e facciamo partire il desktop manager con il comando 'startx' .
A questo punto, dobbiamo identificare la partizione NTFS dove risiede il sistema
windows, per fare questo apriamo la console e digitiamo il comando 'mount' che
stamperà una lista delle partizioni montate in automatico da backtrack .
Avremmo un output di questo tipo
/dev/sda5 on / type auto (rw)
...
/dev/sda1 on /mnt/sda1 type ntfs (ro,noatime)
come possiamo vedere la partizione /dev/sda1 è di tipo ntfs, quindi è lei !
Ma c'è un problema, di default le ntfs vengono montate in sola lettura (ro,noatime) mentre noi dobbiamo poterci scrivere .
Niente paura, basta rimontare la partizione con il modulo ntfs-3g
dando i seguenti comandi
umount /dev/sda1
mkdir /mnt/windowz
mount -t ntfs-3g /dev/sda1 /mnt/windowz
così facendo dovremmo avere la partizione scrivibile montata nella directory da
noi creata '/mnt/windowz', per verificare ridiamo il comando mount
/dev/sda1 on /mnt/windowz type ntfs (rw,noatime)
e notiamo che stavolta c'è il flag 'rw' ovvero sia lettura che scrittura .
Ora dobbiamo individuare il file SAM delle password di windows ... il path è
'WINDOWS/system32/config/SAM' .
E' ora di mettere mano alla mitica applicazione chntpw, che ci permetterà di
modificare questo file impostando le password di sistema a nostro piacimento .
Prima di tutto cerchiamo la lista degli utenti di windows, quindi digitiamo
chntpw -l /mnt/windowz/WINDOWS/system32/config/SAM
40
il che ci darà un output di questo tipo
RID: 01f4, Username: <Administrator>
...
RID: 03ee, Username: <paperino>
RID: 03ef, Username: <pippo>
...
RID: 01f5, Username: <Guest>, *BLANK password*
Non ci rimane che decidere con quale utenza vogliamo entrare ...
Naturalmente l'account Administrator !
Eheh scherzi a parte, per cambiare la sua password digitiamo
chntpw -u Administrator /mnt/windowz/WINDOWS/system32/config/SAM
o semplicemente
chntpw /mnt/windowz/WINDOWS/system32/config/SAM
dato che l'account di amministrazione è quello che il programma usa di default
se non ne viene specificato uno da linea di comando .
Quando chntpw ce lo chiede digitiamo la nuova password et violà !
Possiamo riavviare il pc, far caricare windows ed entrare dentro il
sistema con la password che abbiamo impostato pocanzi .
NOTA : Questo metodo è tanto efficace quanto invasivo, dato che l'utente al
quale cambierete la password non sarà più in grado di accedere al sistema, quindi usatelo solo in casi di estrema necessità .
Configurare le periferiche LAN/WiFi sulla BackTrack
Come configurare una connessione ad un Access Point con la nostra scheda di
rete su BT2 in maniera permanente .
Partiamo dal presupposto che abbiate BT2 installato sull'Hd , puoi configurare la
tua scheda di rete per usarla su un Network ( fattibile anche su BT2 installato su
PenDrive ). Si puo fare anche sè usi una distro live ma dovrai riconfigurare il tutto ad ogni riavvio , ci sono molti modi per configurare una scheda ma quello che
vedremo quì e quello più comune per tutte le distro .
Per accedere alla tua scheda ethernet (LAN):
ifconfig eth0 up
eth0 è il nome della scheda , questo può però essere diverso a seconda dell'
hardware che hai installato .
Per avere una lista delle schede digita :
ifconfig -a
In questo modo potrai vedere tutte le schede (-a) .
Per avere assegnato un indirizzo automatico DHCP dal DHCP server:
41
dhcpcd eth0
Questo funzionerà solo sè è presente un unica scheda e la tua scheda è eth0 o
qualsiasi essa sia , sè nò configurerà tutte le schede compatibili presenti allo stesso modo .
NOTA: Auditor ha uno script chiamato 'pump' che genera lo stesso processo .
Ora controlla sè hai un indirizzo ip:
ifconfig eth0
Dovresti vedere un indirizzo ip , da qualche parte .
Sè vuoi impostare un ip statico al posto di uno dinamico :
ifconfig eth0 192.168.1.2
Questo comando ti fà vedere il contenuto di /etc/resolv.conf file.
Per cambiare il tuo indirizzo ip DHCP sè è stato già assegnato ad un'altra scheda
, devi cancellare il DHCP file assegnato alla scheda:
rm /etc/dhcpc/dhcpcd-eth0.pid
Attravesro questo potrai fare dei cambiamenti di impostazioni base sulla tua
scheda !
Schede Wireless.
Le schede wireless sono molto differenti tra loro a seconda del chipset che hanno e non tutte si prestano a tutti i tipi di
attacco .
Adesso andremo a vedere i comandi generici per settare e configurare un'interfaccia wireless .
Usiamo un termine generico per la nostra interfaccia , nel nostro caso eth0 anche
sè potremo trovarla con un nome diverso a seconda del chipset che monta , di
seguito una lista di possibili interfacce che possiamo trovare :
42
ath0
wlan0
wifi0
eth0
Abbiamo bisogno di capire quale è la nostra e quindi inviamo il seguente comando :
iwconfig -a
Questo ci fara vedere tutte le interfacce presenti nel nostro pc ma solo quelle wireless avranno al loro seguito delle informazioni dettagliate .
" Accendiamo la nostra interfaccia :
ifconfig eth0 up
Come connettersi ad un Acces Point 'open' wireless access point (Access Point):
iwconfig eth0 essid 'nomenetwork'
Il 'nomenetwork' è il tuo Service Set IDentifer (SSID).
Per configurare una chiave Wep :
iwconfig eth0 key 3B5D3C7D207E37DCEEEDD301E3 ( chiave scritta a caso ,
ognuno metterà la chiave wep giusta naturalmente )
Per connettersi ad un Acces Point :
iwconfig eth0 Access Point ff:ff:ff:ff:ff:ff
Dove 'ff:ff:ff:ff:ff:ff' è il MAC address dell' Access Point, meglio conosciuto
come Basic Service Set IDentifier (BSSID).
Una volta settata la connessione , puoi avere il tuo DHCP address:
dhcpcd eth0
Quindi puoi verificare sè ti viene attribuita un Ip dal wireless network.
Cosa facciamo invece sè il nostro network utilizza il WPA ?
43
Dobbiamo riassegnare l' ESSID e il MAC dell' Access Point , Quindi :
Creiamo un file di testo chiamandolo wpa_supplicant.conf , tutto quello che segue dovrà essere scritto all'interno del file di testo così com'è , oppure un copia
incolla , onde evitare errori di battitura , abbiamo due possibili opzioni :
Questa è la prima :
network={
essid="nomenetwork"
key_mgmt=WPA-PSK
proto=WPA
pairwise=TKIP
group=TKIP
psk="WPApassphrase"
}
Dove il nomenetwork è il tuo essid e psk è la tua chiave WPA pre-shared key!
Questa è la seconda : PERMANENTE !
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=0
eapol_version=1
# ap_scan=2 was the one for me you may try 0 or 1 indstead of 2
ap_scan=2
fast_reauth=1
network={
ssid="NimeNetwork"
proto=WPA
key_mgmt=WPA-PSK
pairwise=TKIP
group=TKIP
psk="Chiave"
}
Quindi lanciamo il wpa_supplicant tool.
wpa_supplicant -D madwifi -i eth0 -c wpa_supplicant.conf
Questa stringa necessita di alcune piccole modifiche a seconda del chipset della
scheda usata in questo caso il comando è per un chipset Atheros.
44
Questi comando che seguono ci danno la possibilita di salvare all'interno del nostro BT2 l'autenticazione alla rete WPA
quindi procediamo come segue : ( PERMANENTE )
Copia il file di testo wpa_supplicant.conf appena creato in /etc directory ,
nella stessa directory c'è una cartella chiamata dhcpc , la locazione è la medesima , /etc/dhcpc folder e CANCELLATE TUTTO !
Ora mandiamo questi comandi :
bt ~ # chmod 777 /etc/wpa_supplicant.conf
bt ~ # wpa_supplicant -w -Dwext -eth0 -c/etc/wpa_supplicant.conf
Adesso dovremo vedere qualcosa tipo :
Trying to associate with SSID 'NomeNetwork'
Associated with FF:FF:FF:FF:FF:FF
WPA: Key negotiation completed with FF:FF:FF:FF:FF:FF [PTK=TKIP
GTK=TKIP]
CTRL-EVENT-CONNECTED - Connection to FF:FF:FF:FF:FF:FF completed
(auth) [id=0 id_str=]
Digitiamo poi di seguito :
dhcpcd eth0 ( o qualsiasi sia la tua scheda )
Dovremo vedere un "pop-up" da qualche parte nel monitor che ci dice "KDE
Network Monitoring...Connection Established!"
Possiamo anche usare l'opzione -b nella stringa :
Che diventerà :
bt ~ # wpa_supplicant -w -Dwext -iath0 -B -c/etc/wpa_supplicant.conf
Il programma lavorerà in background e quindi avremo una risposta immediata
dalla
45
bt ~ #
nonostante il programma stia ancora lavorando
Mettere la scheda in monitor mode:
iwconfig eth0 mode monitor
Per assegnargli un canale di connessione specifico :
iwconfig eth0 channel XX
Qualche volta sempre a seconda del chipset è possibile che assegnando un canale
automaticamente sul canale 11 .
46
Craccare una rete Wi-fi con chiave WEP con
Backtrack 3 (1°Parte)
Avviamo la nostra Backtrack in modalità live (per esempio da USB)
I passi da seguire sono i seguenti:
Individuare un bersaglio, rete più debole con protezione più bassa
•
•
•
Avviamo Kismet: K–>backtrack–>Radio Network Analysis–
>80211–>Analyser–>Kismet
Ordiniamo le reti: premiamo S e poi Q , la rete più in alto è quella con il
segnale più forte, selezioniamo quella in cima e premiamo invio.
Informazioni: comparirà una lunga serie di dati sull’access point. Le linee da leggere sono SSID, BSSID, Channel, Encrypt, per uscire q e
poi Q. (consiglio di appuntarsi questi dati)
Impostare la scheda di rete del pc in Monitor Mode (Kismet lo fa in automatico ma se lo chiudiamo dobbiamo farlo manualmente)
•
•
•
Apriamo un terminale, eseguimao airmon-ng per individuare
l’interfaccia della scheda di rete.
Eseguiamo airmon-ng stop eth0 (se è eth0 la vostra interfaccia di rete)
Eseguiamo airmon-ng start eth0 11 , così facendo abbiamo abilitato la
modalità monitor, 11 è il canale (Channel) utilizzato dall’access point
bersaglio, canale che abbiamo scritto precedentemente su un foglio.
Catturiamo il traffico:
•
Eseguiamo: airodump-ng -c 11 -bssid 00:80:5A:47 –ivs -w wep eth0
chiaramente dobbiamo sostituire con i valori appropriati che abbiamo
sul nostro pc/access point;
11: numero di canale (Channel)
00:80:5A:47: BSSID dell’access point
–ivs: catturiamo solo i pacchetti iv
wep: suffisso del file (verrà creato un file wep-01.ivs)
47
•
Adesso dobbiamo tener conto della colonna #Data che sono il numero
di iv catturati
Velocizziamo la cattura degli iv (Arp Request Replay)
•
Apriamo una shell senza chiudere quella di airodump-ng, scriviamo il
comando:
aireplay-ng -3 -b 00:80:5A:47 -h 00:13:Ce:C6 eth0 , cambiando con i
valori appropriati
-3: indica di usare l’attacco arp request replay
00:80:5A:47: MAC address dell’access point
00:13:Ce:C6: MAC del client associato alla rete IMPORTANTE: per
conoscere il mac basta usare kismet, premere S e Q, selezionare il bersaglio e premere C
•
Se non ci fossero client dobbiamo falsificarne uno:
ARP Request Replay con Fake Authentication
•
eseguire da terminale:
aireplay-ng -1 0 -e SSID -a BSSID -h MACinterfaccia eth0
con i valori appropriati:
-1:indica al programma di effettuare una fake authentication
0: stabilisce il ritardo tra un attacco e il successivo
SSID:della rete bersaglio
BSSID: della rete bersaglio
MAC:della nostra scheda wi-fi
48
per acquisire il nostro mac…apriamo un terminale e diamo ifconfig
Per esempio:
aireplay-ng -1 0 -e wireless -a 00:80:5A:47:0B:01 -h 00:13:Ce:C6:05:53 eth0
Quando nella finestra di airodump-ng i pacchetti sono 100.000 possiamo iniziare
a craccare.
Apriamo una nuova shell e scriviamo:
•
aircrack-ng -a 1 -b 00:80:5A:47 -n64 wep-01.ivs
con i valori appropriati:
1: protocollo WEP
-n64: ricerca chiavi a 64 bit (se dopo migliaia di iv la chiave non viene
trovata rifacciamo senza -64)
Se vogliamo possiamo provare il programma che potrebbe craccare la chiave in
due minuti, si chiama: wesside-ng
wesside-ng -i interfaccia -a MAC -v BSSID
con valori appropriati:
interfaccia: la nostra interfaccia di rete
MAC: mac address della scheda
BSSID: access point bersaglio
La scheda deve essere in monitor mode
Bene! Siamo arrivati alla fine….non vi resta che provare l’emozione di vedere
scritto Key Found!!
49
Scacco al Wi-Fi con
Backtrack 3 (2°Parte)
Ti spieghiamo come fanno i pirati informatici a entrare nelle reti senza fili,
anche la tua. Perché la migliore difesa è sempre l'attacco
BackTrack, la distro per la sicurezza
In questo caso specifico utilizzeremo come distribuzione di riferimento BackTrack 3. Si tratta di una live basata su Slax (quindi Slackware) sviluppata per
effettuare test di sicurezza. Non richiede l'installazione su hard disk (anche se
possibile), è installabile su una chiavetta USB (vederemo come è possibile farlo)
e fornisce un numero impressionante di strumenti per l'analisi della sicurezza di
un sistema. BackTrack 3 non è una distro pensata per un utilizzo generico, anche
se dispone di tutte le applicazioni presenti sulle distribuzioni desktop come, ad
esempio, Firefox e Pidgin.
Wi-Fi: primo contatto
Le nozioni fondamentali per capire come inizia un attacco a una rete senza fili:
l'analisi del sistema di protezione. WEP e WPA non avranno più segreti!
L'argomento richiede un approfondimento iniziale. Motivo per cui, in queste
prime pagine, forniremo le informazioni necessarie per comprendere alcuni concetti di base relativi alla sicurezza delle reti Wi-Fi. Fatto ciò, entreremo subito
nel vivo della questione. In pratica, sceglieremo una rete da utilizzare come bersaglio e cercheremo di scoprire l'algoritmo di cifratura utilizzato. Si tratta, chiaramente, di un semplice esperimento, utile per seguire passo passo le strategie
adottate dai cracker per avere accesso a una rete Wi-Fi. Tutte le operazioni descritte in questa sezione e nelle successive, infatti, vanno rigorosamente effettuate sulla propria rete Wi-Fi domestica.
I protocolli di sicurezza
Anche se è stata ampiamente dimostrata la sua inefficacia per la protezione delle
reti, il protocollo WEP è ancora piuttosto diffuso in ambito domestico. È stato introdotto nell'ormai lontano 1999 e il suo nome è l'acronimo di Wired Equivalent
Privacy: il WEP, infatti, doveva rendere le reti Wi-Fi sicure quanto quelle cablate
(wired). Purtroppo, invece, allo stato attuale, una rete protetta con WEP può essere compromessa in una manciata di minuti, sfruttando alcune debolezze intrinseche del protocollo. Il suo successore, il protocollo WPA (Wi-Fi Protected
Access), introduce molte novità sostanziali. La chiave di cifratura viene cambiata
dinamicamente, grazie al protocollo TKIP, inoltre, è di dimensioni maggiori rispetto a quella utilizzata dal WEP: il protocollo WEP standard, a 64 bit, fa uso di
50
una chiave a 40 bit, mentre il WEP a 128 bit consente l'utilizzo di una chiave a
104 bit, invece, una chiave WPA è sempre di 128 bit. Anche i vettori di inizializzazione (IV) sono più grandi: a 48 bit nel WPA e a 24 bit nel WEP.
Le debolezze dei protocolli Wep e Wpa
Il protocollo WEP è estremamente vulnerabile: non è necessario procedere con
un attacco a forza bruta ma è sufficiente catturare un numero abbastanza grande
di IV e, poi, effettuare un'analisi statistica dei dati raccolti. Dato che nel normale
traffico di una rete vengono generati pochi IV, grazie ad una tecnica chiamata
Packet Injection è possibile generare un volume di traffico maggiore, così da ridurre il tempo richiesto per raccogliere i IV necessari. Non è possibile, invece,
adottare l'analisi statistica per attaccare una rete WPA. In questo caso, quindi, bisogna impiegare un attacco a forza bruta (brute force) catturando le informazioni
sulla chiave dall'handshake tra l'Access Point e un client: per non dover attendere
che un nuovo client si autentichi sull'Access Point, quindi, è possibile far disconnettere un client già connesso e catturare così l'handshake nel più breve tempo
possibile. Ottenuto questo, è richiesto l'utilizzo di una wordlist per effettuare
l'attacco vero e proprio.
Perché il WEP è così debole?
Gli IV troppo "piccoli" consentono attacchi rapidi
Perché è così facile attaccare una rete WEP? La chiave RC4 di questo protocollo
è formata da 40 o 104 bit effettivi di chiave e 24 bit di IV: in 24 bit disponibili, la
possibilità che un singolo IV venga ripetuto è piuttosto alta e non richiede che il
trasferimento di una manciata di Mbyte di traffico nella rete da attaccare. È proprio la presenza di ripetizioni negli IV (chiamate anche “collisioni”), quindi, che
consente di ridurre drasticamente i tempi richiesti per l'analisi e la decifrazione
della chiave.
Qualche termine tecnico
Quelli da conoscere assolutamente
Nome
Vettori di inizializzazione (IV)
Significato
Sono dei numeri casuali, sempre diversi, che vengono aggiunti alla chiave di cifratura per aumentarnela sicurezza.
Tecnica di decifrazione delle password che analizza in seAttacco a forza
quenza tutte le possibili soluzioni finché non viene individuabruta
ta quella corretta.
Attacco che utilizza l'analisi statistica dei dati raccolti per riAttacco statistico
cavare la chiave di cifratura.
51
Handshake
Mac address
BSSID
Lo scambio di pacchetti iniziale per mezzo dei quali Access
Point e client negoziano la connessione.
Codice che identifica, in modo univoco. Un dispositivo
hardware, schede di rete Wi-Fi comprese.
MAC Address dell'Access Point.
Le dritte per scegliere la rete bersaglio
La prima operazione da compiere durante la fase di preparazione di un attacco, è
individuare il bersaglio più appetibile, in poche parole quello più facile da portare al termine, ovvero la rete più debole, con il livello di protezione più basso. Inoltre, è consigliabile che la scheda Wi-Fi del proprio PC si trovi il più vicino
possibile alla rete bersaglio.Altro dato fondamentale è conoscere il protocollo di
sicurezza utilizzato dalla rete vittima, in modo tale da pianificare un attacco efficace con gli strumenti più idonei al tipo specifico di protezione. Nel tutorial “Informazioni sulla rete da attaccare”, faremo uso di un importante strumento incluso come predefinito in BackTrack 3, chiamato Kismet. Grazie allo stesso otterremo un elenco degli Access Point presenti nelle vicinanze della nostra macchina, sarà poi possibile individuare la rete con il segnale più forte (quella più vicina, quindi) e ricavare tutte le informazioni necessarie per sferrare l'attacco. Leggendo il tutorial si scopre che Kismet è in grado di individuare anche le reti WiFi con SSID nascosto: ciò mostra come nascondere il SSID della propria rete sia,
in realtà, una tecnica di difesa inutile.
I vantaggi di Backtrack 3
Kismet non richiede alcuna configurazione. Già da questa primo “assaggio” è
possibile notare uno dei principali vantaggi di usare una distro specifica per i test
di sicurezza. Solitamente, infatti, Kismet necessita di una configurazione iniziale
per mettere la scheda di rete in modalità monitor e poter quindi funzionare a dovere; con Backtrack 3, invece, il programma è in grado di analizzare il traffico
nelle reti senza alcun intervento dell'utente. Più semplice di così...
La modalità monitor
Così Kismet analizza tutto il traffico Wi-FiKismet agisce in modo passivo, non
inviando alcun pacchetto verso le reti. Così non è possibile individuare l'attività
di analisi del programma: un notevole vantaggio nella fase d'avvio di un attacco,
che può quindi avvenire senza lasciare alcuna traccia. Per ottenere ciò Kismet
deve mettere la scheda di rete dell'attaccante in modalità monitor. Tale modalità
permette di leggere tutto il traffico che passa per la scheda, a differenza della
modalità promiscua che richiede di associare la scheda a un Access Point e che,
quindi, consente di raccogliere solo i dati in transito su questo.
52
Informazioni sulla rete da attaccare
Con Kismet individuiamo l'Access Point più vicino e otteniamo informazioni
dettagliate
Avvio di Kismet
1)Per avviare Kismet andiamo sul menu K e selezioniamo Backtrack/ Radio
Network Aanalysis/80211/Aanalyser/Kismet. Nella nuova finestra, la parte principale è occupata dall'elenco delle reti Wi-Fi (gli Access Point) individuate. Le
reti nascoste sono quelle Name.
53
Ordina e seleziona
2)Ordiniamo le reti per potenza del segnale. Premiamo il tasto 's', quindi 'Q'. La
rete più in alto è quella con il segnale più forte. Ora che le reti sono ordinate, selezioniamone una con i tasti cursore Su e Giù: evidenziamo la prima nell'elenco e
premiamo Iinvio per selezionarla.
54
Le informazioni
Comparirà una lunga serie di dati sull'Access Point selezionato. Per spostarci
nell'elenco usiamo i tasti cursore Su e giù. Le linee da leggere sono SSID,
BSSID, Cchannel e Eencrypt (il protocollo di sicurezza utilizzato). Per uscire
dall'elenco "q" e da Kismet "Q".
Attacco al WEP
La tecnica per scoprire la chiave di accesso a una rete wireless protetta mediante
questo tipo di protocollo giudicato, a ragione, poco sicuro. Adesso scopriremo
perchèLa linea Encrypt dell'Access Point individuato, indica che questo utilizza
l'algoritmo WEP? In questa sezione della Cover Story, quindi, scopriremo come
catturare i pacchetti in transito nella rete bersaglio e come decifrare la relativa
chiave di cifratura WEP. Per le operazioni che seguono, sul PC da cui vengono
sferrati gli attacchi, deve essere presente una scheda di rete Wi-Fi provvista di
driver funzionante su Backtrack 3: per un elenco di schede compatibili puntiamo
il web browser alla pagina http://backtrack.offensivesecurity.com/index.php?title=HCL:Wireless
Impostare la scheda di rete in monitor mode
La prima operazione da compiere è mettere la scheda di rete del PC in monitor
mode per analizzare il traffico: Kismet fa ciò in automatico ma, se si chiude il
programma (scelta raccomandata), è necessario procedere manualmente. Apria-
55
mo dunque un terminale cliccando sulla seconda icona nel pannello del desktop,
partendo da sinistra. Comparirà una finestra di Konsole. Eeguiamo il comando
airmon-ng per individuare l'interfaccia usata dalla scheda di rete Wi-Fi. L'output
sarà simile al seguente:
Interface Chipset Driver
eth0 Centrino b/g ipw2200
Nel PC di prova, dunque, l'interfaccia è eth0. A questo punto, eseguiamo una seconda volta airmon-ng, inserendo come parametro “stop” seguito dall'interfaccia
della scheda Wi-Fi, così da bloccare l'interfaccia stessa:
airmon-ng stop eth0
Infine, lanciamo ancora airmon-ng, questa volta con l'opzione “start” per abilitare la modalità monitor sulla scheda; a questo punto, bisogna ancora aggiungere
un ulteriore parametro, che è il canale utilizzato dall'Access Point bersaglio:
airmon-ng start eth0 11
L'output confermerà l'attivazione del monitor mode:
Interface Chipset Driver
eth0
&nbs
Le dritte per scegliere la rete bersaglio
La prima operazione da compiere durante la fase di preparazione di un attacco, è
individuare il bersaglio più appetibile, in poche parole quello più facile da portare al termine, ovvero la rete più debole, con il livello di protezione più basso. Inoltre, è consigliabile che la scheda Wi-Fi del proprio PC si trovi il più vicino
possibile alla rete bersaglio.Altro dato fondamentale è conoscere il protocollo di
sicurezza utilizzato dalla rete vittima, in modo tale da pianificare un attacco efficace con gli strumenti più idonei al tipo specifico di protezione. Nel tutorial “Informazioni sulla rete da attaccare”, faremo uso di un importante strumento incluso come predefinito in BackTrack 3, chiamato Kismet. Grazie allo stesso otterremo un elenco degli Access Point presenti nelle vicinanze della nostra macchina, sarà poi possibile individuare la rete con il segnale più forte (quella più vicina, quindi) e ricavare tutte le informazioni necessarie per sferrare l'attacco. Leggendo il tutorial si scopre che Kismet è in grado di individuare anche le reti WiFi con SSID nascosto: ciò mostra come nascondere il SSID della propria rete sia,
in realtà, una tecnica di difesa inutile.
56
I vantaggi di Backtrack 3
Kismet non richiede alcuna configurazione
Già da questa primo “assaggio” è possibile notare uno dei principali vantaggi di
usare una distro specifica per i test di sicurezza. Solitamente, infatti, Kismet necessita di una configurazione iniziale per mettere la scheda di rete in modalità
monitor e poter quindi funzionare a dovere; con Backtrack 3, invece, il programma è in grado di analizzare il traffico nelle reti senza alcun intervento dell'utente. Più semplice di così...
La modalità monitor
Così Kismet analizza tutto il traffico Wi-Fi
Kismet agisce in modo passivo, non inviando alcun pacchetto verso le reti. Così
non è possibile individuare l'attività di analisi del programma: un notevole vantaggio nella fase d'avvio di un attacco, che può quindi avvenire senza lasciare alcuna traccia. Per ottenere ciò Kismet deve mettere la scheda di rete dell'attaccante in modalità monitor. Tale modalità permette di leggere tutto il traffico che
passa per la scheda, a differenza della modalità promiscua che richiede di associare la scheda a un Access Point e che, quindi, consente di raccogliere solo i dati
in transito su questo.
Informazioni sulla rete da attaccare
Con Kismet individuiamo l'Access Point più vicino e otteniamo informazioni
dettagliate
Avvio di Kismet
57
Per avviare Kismet andiamo sul menu K e selezioniamo Backtrack/ Radio
Network Aanalysis/80211/Aanalyser/Kismet. Nella nuova finestra, la parte principale è occupata dall'elenco delle reti Wi-Fi (gli Access Point) individuate. Le
reti nascoste sono quelle Name.
Ordina e seleziona
Ordiniamo le reti per potenza del segnale. Premiamo il tasto 's', quindi 'Q'. La
rete più in alto è quella con il segnale più forte. Ora che le reti sono ordinate, selezioniamone una con i tasti cursore Su e Giù: evidenziamo la prima nell'elenco e
premiamo Iinvio per selezionarla.
58
Le informazioni
Comparirà una lunga serie di dati sull'Access Point selezionato. Per spostarci
nell'elenco usiamo i tasti cursore Su e giù. Le linee da leggere sono SSID,
BSSID, Cchannel e Eencrypt (il protocollo di sicurezza utilizzato). Per uscire
dall'elenco "q" e da Kismet "Q".
Attacco al WEP
La tecnica per scoprire la chiave di accesso a una rete wireless protetta mediante
questo tipo di protocollo giudicato, a ragione, poco sicuro. Adesso scopriremo
perchè
La linea Encrypt dell'Access Point individuato, indica che questo utilizza l'algoritmo WEP? In questa sezione della Cover Story, quindi, scopriremo come catturare i pacchetti in transito nella rete bersaglio e come decifrare la relativa chiave
di cifratura WEP. Per le operazioni che seguono, sul PC da cui vengono sferrati
gli attacchi, deve essere presente una scheda di rete Wi-Fi provvista di driver
funzionante su Backtrack 3: per un elenco di schede compatibili puntiamo il web
browser alla pagina http://backtrack.offensivesecurity.com/index.php?title=HCL:Wireless
59
Impostare la scheda di rete in monitor mode
La prima operazione da compiere è mettere la scheda di rete del PC in monitor
mode per analizzare il traffico: Kismet fa ciò in automatico ma, se si chiude il
programma (scelta raccomandata), è necessario procedere manualmente. Apriamo dunque un terminale cliccando sulla seconda icona nel pannello del desktop,
partendo da sinistra. Comparirà una finestra di Konsole. Eeguiamo il comando
airmon-ng per individuare l'interfaccia usata dalla scheda di rete Wi-Fi. L'output
sarà simile al seguente:
Interface Chipset
eth0
Driver
Centrino b/g ipw2200
Nel PC di prova, dunque, l'interfaccia è eth0. A questo punto, eseguiamo una seconda volta airmon-ng, inserendo come parametro “stop” seguito dall'interfaccia
della scheda Wi-Fi, così da bloccare l'interfaccia stessa:
airmon-ng stop eth0
Infine, lanciamo ancora airmon-ng, questa volta con l'opzione “start” per abilitare la modalità monitor sulla scheda; a questo punto, bisogna ancora aggiungere
un ulteriore parametro, che è il canale utilizzato dall'Access Point bersaglio:
L'output confermerà l'attivazione del monitor mode:
Interface Chipset
Driver
eth0
Centrino b/g ipw2200 (monitor mode enabled)
A questo punto può avere iniziare l'attacco. Durante questa fase è necessario raccogliere un numero sufficiente di pacchetti IV in transito nella rete bersaglio, di
solito tra 300.000 e 1.500.000. Per fare questo basta seguire le semplici istruzioni
fornite nel tutorial “Catturiamo il traffico nella rete WEP.
Catturare il traffico di una rete WEP
Con airodump-ng salviamo su file i pacchetti IV che ci servono per craccare la
rete
60
Il canale della rete
Eseguiamo il programma airodump-ng, contenuto nella suite aircrack-ng. Per
catturare i pacchetti IV bisogna costruire, pezzo per pezzo, la giusta sequenza di
opzioni e parametri. Iniziamo scrivendo “airodump-ng -c “ seguito dal numero di
channel della rete bersaglio.
BSSID e IVS
Nella riga di comando aggiungiamo “--bssid ”, seguito dal BSSID dell'Access
Point bersaglio. Così cattureremo solo i dati in transito su questa rete. A noi servono i pacchetti IV: inseriamo il parametro “--ivs”, in modo tale da catturare solo
gli IV e occupare così meno spazio su disco.
File e interfaccia
Indichiamo il file in cui salvare i pacchetti IV catturati. Per farlo aggiungiamo “w ”, seguito dal prefisso del file: ad esempio con “-w wep” verrà creato il file
wep-01.ivs. Infine, aggiungiamo come ultimo parametro l'interfaccia di rete della
nostra scheda Wi-Fi, ad esempio eth0.
Due schede sono meglio di una
61
Una per ricevere, l'altra per trasmettere
Attenzione! Non tutte le schede Wi-Fi permettono di utilizzare il monitor mode
e, nello stesso tempo, trasmettere (la possibilità di inviare dati è indispensabile
per l'attacco ARP request replay). In alcuni casi, quindi, è necessario dotarsi di
due schede Wi-Fi: una per catturare i pacchetti, l'altra per trasmettere i dati necessaria a sferrare l'attacco. Consentono invece questa duplice modalità di utilizzo le schede dotate di chipset Prism 2, Prismgt, Ralink e Atheros.
L'output di Airodump-ng
Una volta costruita la riga di comando di airodump-ng, nella finestra del terminale comparirà l'output del programma; l'informazione di cui bisogna tener conto è
quella posta sotto la scritta #Data, si tratta di un numero che indica la quantità di
IV catturati. Prima di poter ottenere una quantità sufficiente di pacchetti è possibile che si debbano attendere alcune ore, a seconda dell'intensità del traffico nella
rete bersaglio. È comunque possibile rendere più rapida l'operazione effettuando
un particolare attacco alla rete chiamato ARP request replay.
Come catturare gli IV rapidamente
Questo tipo di attacco attende l'invio di un pacchetto ARP (8) e lo ritrasmette all'Access Point: ogni pacchetto ARP che viene ritrasmesso genererà un diverso
pacchetto IV e, quindi, questo si andrà a sommare a tutti gli IV catturati da airodump-ng. In questo modo, il tempo richiesto per raccogliere un numero sufficiente di pacchetti verrà ridotto drasticamente. Nel tutorial “L'attacco ARP request replay”, quindi, vedremo passo passo come utilizzare l'attacco ARP request
replay. Nei passaggi del tutorial faremo riferimento a un client associato all'Access Point: questo attacco, infatti, presuppone la presenza di un client connesso
alla rete bersaglio.
Conoscere i client della rete bersaglio
Se sono effettivamente presenti dei client associati, per conoscere il MAC address di uno di questi è possibile usare Kismet: bisogna eseguire il programma,
preme “s” e “Q” per ordinare gli Access Point Wi-Fi e, quindi, seleziona con i
tasti cursore la rete bersaglio e, infine, premere “c”. Nella schermata che appare
verranno mostrati i MAC address di tutti i client associati alla rete; basterà quindi
utilizzarne uno presente nella riga di comando di aireplay-ng (secondo passaggio
del tutorial).
L'attacco ARP request replay
Riduce il tempo richiesto per catturare gli IV, ritrasmettendo i pacchetti ARP all'Access Point
62
Indicare l'attacco
Apriamo una nuova shell senza chiudere quella utilizzata da airodump-ng. Per
effettuare l'attacco useremo aireplay-ng, anch'esso parte della suite aircrack-ng.
Cominciamo a scrivere “aireplay-ng -3 ”. Il parametro “-3” indica di usare l'attacco ARP request replay.
Access point e client
Aggiungiamo “-b “ seguito dal MAC Address dell'Access Point bersaglio. Il parametro, “-h “, è seguito, invece, dal MAC Address di un client associato alla rete. Se non è associato alcun client si può generare una falsa autenticazione per la
nostra scheda, come spiegato di seguito.
Interfaccia
63
Infine, indichiamo l'interfaccia di rete della nostra scheda Wi-Fi, ad esempio
eth0. Torniamo alla finestra con l'output di airodump-ng: si noti come il numero
di pacchetti IV catturati aumenti molto più rapidamente di prima. La rete è stata
“stimolata” dall'attacco!
Craccare la chiave WEP
Ottenuta una quantità sufficiente di pacchetti IV, è il momento di svelare la chiave
Il protocollo
Senza chiudere airodump-ng e aireplay-ng, apriamo una nuova shell e scriviamo
“aircrack-ng -a 1 -b “. Il parametro “-a ” è seguito dal protocollo utilizzato dalla
rete bersaglio: 1 per il WEP, 2 per il WPA-PSK 1). Il parametro “-b “ dal MAC
Address dell'Access Point bersaglio.
Chiave a a 64 bit
Per essere più veloci inseriamo l'opzione “-n 64”: verranno ricercate esclusivamente chiavi a 64 bit. Se dopo migliaia di IV catturati da airodump-ng la chiave
non viene trovata, blocchiamo aircrack-ng con Cctrl + Cc ed eseguiamolo nuovamente senza l'opzione “-n 64”.
64
File dei pacchetti
L'ultimo parametro è il file dei pacchetti catturati. In base al tutorial “Ccatturiamo il traffico nella rete WEeP”, questo è wep-01.ivs. A questo punto la linea di
comando per aircrack-ng è terminata. Non resta che premere Iinvio e attendere
che il programma individui la chiave!
Un'autenticazione falsa
Nel caso in cui non ci fosse alcun client associato alla rete bersaglio, si può combinare l'attacco ARP request replay con il Fake Authentication, un ulteriore attacco che consente di effettuare un'autenticazione con il protocollo WEP e di associare la propria scheda all'Access Point. Per ottenere una Fake Authentication
si usa aireplay-ng, con la sintassi seguente:
aireplay-ng -1 0 -e SSID -a BSSID -h MAC interfaccia
Il parametro “-1” indica al programma di effettuare l'attacco Fake Authentication
mentre “0” stabilisce il ritardo tra un singolo attacco ed il successivo; nelle opzioni seguenti, quindi, bisogna inserire dopo “-e ” il SSID della rete bersaglio,
dopo “-a ” il BSSID della rete bersaglio e dopo “-h” il MAC Address della nostra
scheda Wi-Fi. Come ultimo parametro si inserisce l'interfaccia della scheda. Un'ipotetica linea di comando per ottenere una Fake Authentication è dunque la
seguente:
aireplay-ng -1 0 -e wireless -a 00:80:5A:47:0B:01
-h 00:13:ce:c6:05:53 eth0
Con un'autenticazione falsa, quindi, sarà possibile sferrare un attacco ARP request replay alla rete bersaglio (tutorial precedente).
Pacchetti IV in un solo file
Per ottenere ciò ci serviremo degli Ivtools
A volte capita di dover interrompere una sessione di cattura dei pacchetti IV, per
65
poi riprenderla successivamente. Ogni volta che airodump-ng viene avviato, però, genera un nuovo file di output. Per riunire i vari file contenenti i pacchetti IV
catturati è possibile usare ivstools, un programma presente nella consueta suite
aircrack-ng. La sintassi del programma è “ivstools --merge file1 file2 ecc file_output”, con file_output che è il file in cui raccogliere tutte le sessioni di cattura. Ecco un esempio:
ivstools --merge
wep-01.ivs wep-02.ivs
wep-03.ivs wep.ivs
Scoprire la chiave Wep
Ricapitolando: in un terminale stiamo visualizzando l'output di airodump-ng, in
un altro effettuiamo un ARP request replay e, in un altro ancora, se necessario,
associamo la nostra scheda Wi-Fi all'Access Point bersaglio. Quando nella finestra di airodumpng i pacchetti sotto la dicitura #Data sono più di 100.000, possiamo iniziare a craccare la chiave WEP: via via che verranno catturati nuovi IV,
quindi, aumenteranno le probabilità di individuare la chiave. Per quest'ultimo
passaggio ci serviremo di aircrack-ng. Non ci resta dunque che seguire le istruzioni presenti nel tutorial “Craccare la chiave WEP”.
Cambiare il Mac Address
E' utile avere un indirizzo facile da ricordare
Si può voler modificare il MAC Address della propria scheda Wi-Fi semplicemente per un'esigenza di praticità. Alcuni programmi presentati in queste pagine,
infatti, richiedono di inserire fra i parametri il MAC Address della propria scheda. Si tratta solitamente di un indirizzo difficile da ricordare; scegliere un MAC
Address semplice come 01:23:45:67:89:AaB, quindi, può rendere più pratico l'utilizzo di alcuni dei tool contenuti nella suite aircrack-ng.
Crack ultraveloce di una rete Wep
In queste pagine sono stati presentati tutti i passaggi necessari per craccare una
chiave WEP; ciò è senz'altro utile per capire nel dettaglio le diverse tecniche adottate dai cracker. Nella suite aircrack-ng, però, è presente un tool che consente
di craccare una chiave WEP a 128 bit in due minuti e, per di più, tramite l'esecuzione di un unico comando, richiedendo così il minor intervento possibile da parte dell'utente. Il programma si chiama wesside-ng ed eccone la sintassi:
wesside-ng -i interfaccia -a MAC -v BSSID
66
Al posto di interfaccia inseriamo l'interfaccia di rete della nostra scheda Wi-Fi, al
posto di MAC il MAC Address della stessa scheda e, infine, al posto di BSSID il
MAC Address dell'Access Point bersaglio. Per il funzionamento di wesside- ng è
necessario che la scheda sia in Monitor mode.
Cambiare il Mac Address della scheda
Durante un attacco, può risultare utile modificare il MAC Address della scheda
Wi-Fi: dato che ogni scheda possiede un indirizzo univoco, alterando il MAC
Address (operazione detta “mac spoofing”) non sarà possibile risalire all'effettivo
dispositivo mediante il quale è stato effettuato l'attacco; nei log nel sistema bersaglio, infatti, non sarà presente alcun riferimento all'indirizzo originario della
scheda. Cambiare il MAC Address, inoltre, può servire per entrare in una rete in
cui è stato attivato un filtro sul MAC Address: nel tutorial “La scheda cambia identità”, viene spiegato come individuare uno dei MAC Address che hanno accesso alla rete e, poi, come impossessarsi di questo alterando l'indirizzo della
propria scheda Wi-Fi.
La scheda cambia identità
Ecco come si fa per trovare il MAC Address di un client e assumere l'identità di
questo.
Client Connessi
Eseguiamo Kismet e ordiniamo le reti trovate premendo “s” e poi “Q”. Selezioniamo la rete bersaglio e premiamo “c”. Apparirà l'elenco dei client connessi all'Access Point: sotto la scritta MAC sono presenti i MAC Address. Ora bisogna
trovare il client giusto per lo spoofing.
67
Meno traffico
Per
dimi
nuire il
rischi
o di conflitti nella rete assumiamo il MAC Address del client che genera meno
traffico. Per individuarlo ordiniamo la lista di quelli connessi alla rete secondo il
numero dei pacchetti trasmessi premendo “s” e poi “p”. Annotiamo il MAC Address e usciamo.
Mac Del Client
In una shell eseguiamo “ifconfig eth0 down hw ether MACmac”, con al posto di
eth0 la nostra scheda e al posto di il MAC Address del client “vittima”. Questo
comando disattiva la scheda. Eseguiamo “ifconfig eth0 up” per riattivare la scheda e ottenere il MAC del client.
68
I difetti nascosti del WPA
Anche il protocollo WPA ha un punto debole: la cosiddetta fase di handshake.
Scopriamo in questa sezione come sfruttarlo per ottenere l'accesso a una rete protetta.
Nelle pagine precedenti abbiamo conosciuto in dettaglio i difetti del WEP e,
quindi, individuato le principali tecniche per entrare in una rete protetta da questo protocollo. A questo punto è evidente come la debolezza del WEP sia strutturale: data una qualsiasi chiave d'accesso, questa potrà essere individuata da un intruso con facilità e, spesso, in poco tempo. Il protocollo WPA fornisce una protezione decisamente più solida rispetto al suo precedessore. Ma anche in questo
caso è possibile sfruttare le debolezze del protocollo per attaccare una rete.
Psk o Radius
Il WPA fornisce due diverse modalità di autenticazione: PSK (Pre-Shared Key) e
RADIUS. La prima è basata sull'utilizzo di una passphrase, una lunga e (preferibilmente) complessa chiave d'accesso che deve essere inserita da tutti i client che
si collegano alla rete. RADIUS, invece, è un protocollo per l'autenticazione remota e centralizzata che viene usato prevalentemente nelle reti aziendali di grandi dimensioni. Una rete protetta tramite WPA RADIUS è difficilmente espugnabile; il RADIUS, però, non è supportato dalla maggior parte degli Access Point
e, del resto, è stato espressamente pensato per gli ambienti enterprise. Una
WLAN che utilizza la modalità PSK, invece, può essere attaccata tramite la cattura dell'handshake: per un simile attacco è necessario che almeno un client sia
collegato alla rete bersaglio ma, una volta raccolti i dati di autenticazione tra il
client e l'Access Point, la successiva individuazione della passphrase non richiede alcuna connessione alla WLAN vittima.
Controllare l'handshake
Wireshark per verificare i pacchetti handshake
Catturato l'handshake, è consigliabile verificare di avere tutti i pacchetti che ne
compongono uno completo. Per farlo usiamo Wireshark. Eseguiamolo dal menu
K/Backtrack/Privilege Eescalation/Sniffers/Wireshark. Nella finestra del programma apriamo il selettore di file (menu file/Oopen) e apriamo il file dei pacchetti catturati. Per visualizzare solo i pacchetti di handshake inseriamo la sringa
“eapol” come valore dell'opzione filter, in alto nella schermata di Wireshark: i
pacchetti per un handshake completo devono essere quattro. Se l'handshake non
è completo è necessario catturarne un altro tramite airodump-ng.
Primo passo: catturare l'handshake
Poniamo la scheda in monitor mode e catturiamo i pacchetti tra client e Access
Point
69
Monitor mode
Come per le reti WEP, l'attaccante deve mettere la scheda Wi-Fi in Mmonitor
mode. Eseguiamo “airmon-ng stop eth1” e quindi “airmon-ng start eth1 11”. Al
posto di eth1 scriviamo l'interfaccia della nostra scheda e, al posto di 11, inseriamo il canale utilizzato dall'Access Point bersaglio.
Il Mac dell'Ap
Eseguiamo airodump-ng. Questa volta non bisogna catturare solo i pacchetti IV,
quindi la sintassi del comando sarà diversa. Cominciamo aggiungendo “--bssid “
seguito dal MAC Address dell'Access Point bersaglio. Per avere informazioni su
di esso, ricordiamo, basta usare Kismet.
70
Il canale
Aggiungiamo “--channel “ seguito dal numero del canale utilizzato dalla rete vittima e inseriamo“-w “ più il prefisso del file in cui verranno salvati i pacchetti
catturati. Indicando wpa, il file che verrà creato sarà wpa-01.cap. Infine,aggiungiamo l'interfaccia della nostra scheda.
Attacco a forza bruta con aircrack-ng
Il file con l'handshake e un dizionario: basta questo per attaccare una rete protetta
con WPA
Il dizionario
Scarichiamo dalla rete una wordlist a piacere. Ad esempio, per un dizionario italiano apriamo una shell e lanciamo “wget
ftp://ftp.ox.ac.uk/pub/wordlists/italian/words.italian.Z”. Scompattiamolo con
71
“gunzip words.italian.Z”. Il file risultante sarà words.italian, nella directory corrente.
Aircrack-Ng
Diamo in pasto ad aircrack-ng sia il dizionario che il file con l'handshake. Cominciamo a scrivere “aircrack-ng -b ” seguito dal MAC Address dell'Access
Point bersaglio. Poi aggiungiamo “-w “ e inseriamo il percorso completo della
wordlist, che nel caso del dizionario d'esempio sarà words.italian.
Pacchetti Handshake
Infine inseriamo il file contenente i pacchetti di handshake catturati da airodump-ng. Seguendo l'esempio nel tutorial “catturiamo l'handshake”, il file sarà
wpa-01.cap. Premiamo Iinvio. A questo punto il programma tenterà di individuare la passphrase provando, via via, tutte le parole presenti nel dizionario.
Inizia l'attacco alla rete Wpa
Le prime fasi dell'attacco a una rete WPA sono spiegate nel tutorial “Primo passo
catturare l'handshake”. Arrivati all'ultimo passaggio, bisogna attendere che un
client effettui la connessione alla rete bersaglio; quando ciò avverrà, nella finestra in cui abbiamo eseguito airodump-ng comparirà:
WPA handshake: 00:13:ce:c6:05:53
72
Deautenticare un client
Un attacco, per essere efficace, deve essere anche rapido. Può capitare però, e
con una certa frequenza, che durante le sessioni di cattura, nessun client effettui
l'autenticazione nella rete. Per ottenere, in tempi rapidi, dei pacchetti di handshake, è possibile forzare la deautenticazione di un client: questo sarà poi costretto
ad autenticarsi di nuovo e noi, così, riusciremo a catturare i dati dell'handshake a
noi necessari. Per fare ciò bisogna aprire una nuova finestra di terminale (senza
chiudere quella di airodump-ng) ed eseguire aireplay-ng: nelle pagine dedicate al
protocollo WEP abbiamo visto come farne uso per l'attacco ARP request replay e
per il Fake Authentication, adesso è il momento di impiegarlo per il Deauthentication Attack.
Il Deauthentication Attack
Il comando da usare in aireplay-ng per questo particolare tipo di attacco è la seguente: aireplay-ng -0 1 -a BSSID -c CLIENT eth1. Il parametro “-0” indica che
si vuole effettuare il Deauthentication Attack, “1” stabilisce il numero di deautenticazioni da inviare. Quindi, al posto di BSSID, si inserisce il consueto MAC
Address dell'Access Point bersaglio e, al posto di CLIENT,si digita l'indirizzo
MAC del client che si vuole deautenticare; per individuare un client basta lanciare Kismet e seguire le istruzioni precedentemente fornite nel tutorial “La scheda
cambia identità”. Infine inseriamo al posto di eth1 l'effettiva interfaccia associata
alla nostra scheda Wi-Fi.
Gli hash. Questi sconosciuti
Cosa sono e come vengono usati con il WPA
L'hash è una stringa di dimensioni fisse, dipendente dalla funzione di hash utilizzata, che individua in modo univoco una sequenza di informazioni. Nel caso del
protocollo WPA, si usa l'hash per generare la chiave di cifratura partendo dalla
passphrase inserita dall'utente. Un dato interessante è che l'hash di una chiave
WPA è diverso a seconda del SSID impiegato nella rete: è per questa ragione che
per generare una tabella degli hash, nell'operazione è necessario fornire anche il
SSID dell'Access Point da attaccare. Precalcolando gli hash si riducono i tempi
del cracking, poichè coWPAtty non deve rinvenire ogni volta l'hash di ciascuna
parola contenuta nel dizionario.
Tabelle di hash pronte all'uso
Church of Wifi: una mega tabella pronta all'uso
Precalcolare gli hash riduce sensibilmente i tempi di cracking di una rete ma è
un'operazione che, nel caso di dizionari voluminosi, richiede comunque tempi di
calcolo ingenti. Il progetto Cchurch of Wifi fornisce dei set di tabelle di hash
“precotte”, calcolate utilizzando un vocabolario di ampie dimensioni e 1000
73
SSID più diffusi. Il set da 7 GB ha all'origine una wordlist di 172000 parole
mentre il set da 33 GB nasce da un dizionario di ben 1 milione di parole. Quale
insegnamento trarre da tutto ciò? Beh, il messaggio è chiaro: assicuriamoci di
scegliere per la nostra WLAN anche un SSID non banale!
www.renderlab.net/projects/WPA-tables
Trovare la passphrase
Adesso che i pacchetti di handshake sono in mano nostra, non resta che individuare la passphrase per l'accesso alla rete bersaglio. Il metodo più immediato per
farlo è quello di effettuare un semplice attacco a forza bruta, munendosi di una
wordlist, così come spiegato nel tutorial “Attacco a forza bruta con aircrack-ng”.
Nelle pagine successive, quindi, verranno fornite altre tecniche di cracking.
Usare Cowpatty per craccare una passphrase
L'attacco tramite dizionario ottenibile con aircrack-ng ha un difetto evidente: l'estrema lentezza. Dato che questo tipo di attacco è l'unica soluzione praticabile
per individuare una passphrase WPA, si può provare a rendere più veloce l'operazione di cracking precalcolando gli hash. Per fare questo si usa, al posto di aircrack-ng, il programma coWPAtty: la prima operazione da compiere è generare
una tabella degli hash inserendo l'SSID dell'Access Point bersaglio (sappiamo
come trovarlo con Kismet...) e un file di dizionario: va bene quello scaricato nel
tutorial “Attacco a forza bruta con aircrack-ng”. Poi bisogna richiamare coWPAtty inserendo negli argomenti la tabella degli hash appena creata. Tutto
questo viene spiegato, fin nel minimo dettaglio, nel tutorial “Troviamo in un attimo la chiave con Cowpatty”.
Trovare la chiave in attimo con Cowpatty
Precalcolando gli hash si riduce notevolmente il tempo richiesto per craccare una
rete WPA.
74
Generiamo gli hash
Da console eseguiamo “cd /pentest/wireless/cowpatty/”. Poi lanciamo genpmk,
incluso in cowpatty: 'genpmk -s “SSID” -f wordlist -d tabella_ hash'. SSID è il
SSID della rete vittima, wordlist è il dizionario, mentre tabella_hash è il file degli hash da generare.
Precalcolare
Creata la tabella degli hash eseguiamo cowpatty. Iniziamo scrivendo './cowpatty
-d ' seguito dal nome del file contenente la tabella degli hash. È possibile utilizzare cowpatty senza precalcolare gli hash: in questo caso si usa l'opzione '-f ' seguita dal file dizionario.
75
Il nome della rete
Inseriamo '-s “SSID”' e al posto di SSID il nome della rete da attaccare. Infine
scriviamo “-r “ e aggiungiamo nella riga di comando il file con i pacchetti di
handshake catturati da airodump-ng. Non resta che premere Iinvio attendere elaborazione, veloce, di cowpatty.
Creare un dizionario esteso
Basando gli attacchi su di una normale wordlist è possibile individuare solo le
passphrase più elementari: singole parole come “casa” o “computer”. E se la rete
è stata protetta con una parola chiave come “casa!” oppure “1computer”? Per
riuscire a scovare anche questi tipi di passphrase è necessario far processare il
dizionario che usiamo da John the Ripper, un potente software che consente di
creare delle permutazioni a partire da una wordlist: una passphrase come
“1computer”, infatti, non è altro che una semplice alterazione di una parola tratta
da un dizionario. Nel tutorial “Craccare il WPA con John the Ripper”, quindi,
viene spiegato come affiancare John The Ripper a cowpatty, così da rendere più
efficace un attacco tramite dizionario.
Permutazioni da dizionario
Espandere la wordlist per craccare la rete
Nel tutorial precedente si è scoperto come precalcolare gli hash per mezzo del
programma genpmk. Dare in output a genpmk le permutazioni generate da un dizionario è molto semplice. In questo caso, la sintassi del programma john diventa
così
john --rules
--wordlist=words.
italian --stdout >
words.john
76
Al termine dell'operazione, il file words.john conterrà quindi il dizionario con
tutte le permutazioni create da john. A questo punto non rimane che seguire le istruzioni presenti nel tutorial “Ttrovare la chiave in attimo con cowpatty ” utilizzando words.john come wordlist.
Un database degli hash
Airolib-ng per gestire password e SSID
Esiste un'alternativa a genpmk ed è airolib-ng. Come il primo consente di precalcolare gli hash, ma utilizza un vero e proprio database per gestire le liste di
password e gli SSID. Il vantaggio è una maggiore flessibilità: ad esempio, è possibile aggiungere a un database preesistente nuovi SSID o ulteriori password,
senza che questo comporti l'eliminazione dei dati calcolati in precedenza.Il prezzo da pagare, però, è una maggiore complessità di utilizzo rispetto a genpmk. Airolib-ng è compatibile sia con aircrack-ng che con cowpatty. Per maggiori informazioni visitare la pagina www.aircrack-ng.org/doku.php?id=airolib-ng.
Craccare il WPA con John the Ripper
Utilizzamo il tool per creare permutazioni a partire da un dizionario. Poi, ancora,
coWPAtty
Le permutazioni
Quello che si vuole fare è creare una pipe tra john (l'eseguibile di John the Ripper) e cowpatty: l'output del primo diventerà l'input del secondo. Cominciamo
scrivendo “john --rules “. L'opzione “--rules” indica al programma che si vogliono generare delle permutazioni partendo dalle parole di un dizionario.
Il dizionario
77
Aggiungiamo l'opzione “--wordlist=” seguita dal nome del dizionario che si intende usare. Nell'esempio è words.italian. Quindi, aggiungiamo alla linea “-stdout” per inviare il risultato delle permutazioni sullo standard output. Chiudiamo la sezione della riga che riguarda john con “|”: è il carattere che indica una
pipe.
Pipe con cowpatty
Rieseguiamo cowpatty. Scriviamo “/pentest/wireless/cowpatty/ cowpatty ” e aggiungiamo “-f - “ per leggere il dizionario dallo standard input. Poi scriviamo '-s
“SSID” ' inserendo l'SSID della rete bersaglio. Infine aggiungiamo “-r “ seguito
dal file con l'handshake: negli esempi precedenti il file è wpa-01.cap.
Accesso alla rete
Ottenuta la chiave di protezione WEP o WPA, non resta che portare a termine
l'attacco effettuando la connessione alla rete wireless appena craccata. Ma attenzione!
Arrivati a questo punto, sia che la rete bersaglio utilizzi il protocollo WEP sia
che sia protetta mediante quello WPA, la chiave di accesso per poter effettuare il
collegamento è ormai in nostro possesso. In questa ultima parte della Cover
Story, quindi, ci occuperemo degli strumenti per connettersi a reti WEP e WPA.
BackTrack dispone di tutti gli strumenti di connessione wireless tipici delle distribuzioni desktop, ma, per una questione di omogeneità rispetto ai programmi
utilizzati nel corso dell'articolo, ci serviremo ancora una volta di tool dotati esclusivamente di interfaccia a riga di comando. Il loro utilizzo è comunque molto
semplice e tutto si svolge in pochi passi.
E adesso la procedura di connessione alla rete
Ci occuperemo prima dell'accesso alla rete WEP. In questo caso, i passaggi da
compiere per collegarsi alla WLAN sono semplicissimi. Basta aprire una console
ed eseguire il comando seguente:
78
iwconfig eth1 key CHIAVE
Al posto di eth1 bisogna indicare l'interfaccia della propria scheda Wi-Fi e, al
posto della parola CHIAVE, dobbiamo inserire la chiave (key) individuata da
aircrack-ng, in pratica quella scoperta in precedenza. Non è detto che la chiave
mostrata da aircrack-ng sia per forza di cose disponibile in formato ASCII: se
questa appare in esadecimale (ad esempio 09:87:A5:4E:21) inseriamola nella linea di iwconfig senza aggiungere i caratteri ':' di divisione. Seguendo l'esempio
precedente avremo questa situazione: 0987A54E21). Nel caso compaia in ASCII, sarà necessario premettere “s:” alla chiave. Ecco dunque un esempio in esadecimale e un altro in ASCII:
iwconfig eth1 key 0987A54E21
iwconfig eth1 key s:linux1
Dopo questa prima linea di configurazione eseguiamo 'iwconfig eth1 essid
“SSID”', inserendo qui l'SSID della rete bersaglio. Infine, richiediamo un IP dalla WLAN con il comando “dhcpcd eth1”. Connettersi a una rete che adotti il protocollo WPA è leggermente più complesso. Le istruzioni dettagliate sono fornite
nel tutorial seguente.
Accesso a una Rete protetta con WPA
Di seguito i passaggi da seguire per entrare in una rete protetta da questo protocollo
Configurazione
79
Da console: “nano /etc/wpa_supplicant.conf”. Abbiamo aperto il file di configurazione /etc/wpa_supplicant.conf con l'editor nano. Spostiamoci alla fine del file
e aggiungiamo le righe 'network={', 'ssid=”SSIiD”', 'psk=”CcHIAiaVEe”' e '}'.
Inseriamo l'SSID della rete bersaglio e la Chiave della WLAN.
Wpa Supplicant
Salviamo le modifiche al file premendo Cctrl + Oo e poi Iinvio. Usciamo dall'editor nano con i tasti + X. Ora con wpa_supplicant leggiamo il file di configurazione per accedere con i giusti parametri alla rete WPA. In console eseguiamo
“wpa_supplicant -Dwext -ieth1 -c/etc/wpa_supplicant.conf”.
Richiesta Ip
L'opzione “-D” è seguita dal driver (wext) utilizzato dalla nostra scheda 1. Il parametro “-i” indica l'interfaccia della scheda (eth1) mentre “-c” è seguito dal file
di configurazione da leggere per collegarsi alla rete WPA. Lanciato il comando,
non resta che richiedere un indirizzo IP al server DHCP nella WLAN con
“dhcpcd eth1”.
BackTrack su penna USB
La procedura per installare la versione "live" su una chiavetta: molto più pratica
e veloce di un CD. Il sistema ideale per portare sempre con se tutti gli strumenmti di cui la distro dispone.
80
BackTrack con i tool wireless disponibili
Installare BackTrack 3 su una chiavetta USB è molto semplice: è disponibile una
versione specifica per questo tipo di memorie. In questo caso, la prima cosa da
fare è scaricare dal sito web di BackTrack l'immagine ISO da trasferire sulla
pendrive USB. Cerchiamo la riga Description: USB Version (Extended) e, in
basso, clicchiamo su Click here vicino alla scritta Download. Terminato il download (il file è bt3final_usb.iso), assumiamo il controllo di root (“su -” o “sudo
-s”) e seguiamo le istruzioni del tutorial “Installiamo BackTrack 3 sulla penna
USB”. Infine, non resta che riavviare il PC assicurandoci che nel BIOS la penna
USB sia impostata come prima periferca di boot. Per accedere al BIOS, nella
maggior parte dei casi basta premere Canc o F2 (sui portatili). Attenzione a quello che fate, configurazioni errate a questa parte del sistema possono renderlo inutilizzabile. Il discorso è più complesso, ma fattibile, per quanto riguarda rendere
definitive le modifiche alla configurazione della distribuzione, altrimenti annullate a ogni riavvio.
Installare BackTrack 3 sulla chiavetta USB
Bisogna copiare i file presenti nell'immagine ISO sulla pendrive e renderla avviabile
81
Montiamo l'ISO
Scaricata l'ISO, apriamo una finestra di terminale e creiamo il punto di mount
per montarla: ci servirà per copiare la distribuzione sulla penna USB. Eseguiamo
“mkdir /mnt/img”, quindi montiamo l' ISO nel punto di mount: “mount -t iso9660 -o loop bt3final_usb.iso /mnt/img”.
Montiamo la penna
Inseriamo la chiavetta nel PC: in ambiente grafico verrà montata automaticamente. Altrimenti eseguiamo “mount /dev/sdb1 /media/disk”: /dev/sdb1 è il file di
dispositivo della penna e /media/disk, una directory su disco. Se non presente
creiamola con “mkdir /media/disk”.
Penna avviabile
Copiamo il contenuto dell'ISO sulla penna con “cp -a /mnt/img/boot
/media/disk” e “cp -a /mnt/img/bt3 /media/disk”. Adesso, rendiamo avviabile la
82
chiavetta entrando in /media/disk/boot (“cd /media/disk/boot”) ed eseguiamo
“./bootinst. sh”. Quindi premiamo due volte Invio.
Craccare una rete Wi-fi con chiave WPA con
Backtrack 3 (3° Parte)
Innanzitutto dobbiamo dire che il WPA fornisce due diverse modalità di autenticazione: RADIUS e PSK, la prima è praticamente inespugnabile, mentre una
WLAN che utilizza PSK (la maggior parte) può essere attaccata tramite la cattura
dell’handshake, per fare questo è necessario che almeno un client sia collegato
alla rete bersaglio.
Read more: http://www.hackgeek.it/craccare-una-rete-wi-fi-conchiave-wpa/#ixzz0zYC3Wyur
PRIMO PASSO: CATTURARE L’HANDSHAKE
Innanzitutto dobbiamo mettere la scheda wi-fi in modalità Monitor mode, quindi apriamo un terminale ed eseguiamo:
chiaramente al posto di eth1 dobbiamo scrivere l’interfaccia della nostra scheda
di rete e al posto di 11 inseriamo il canale utilizzato dall’access point bersaglio
Adesso eseguiamo airodump-ng, con la seguente sintassi:
airodump-ng –bssid [mac address access bersaglio] –channel [numero canale] -w wpa [interfaccia nostra scheda]
Ricordo che per avere informazioni su il MAC Address dell’access point basterà
usare Kismet (vedi articolo precedente)
Adesso dobbiamo attendere…che un client si connetta alla rete,e nel momento in
cui accadrà,nella nostra finestra dove abbiamo eseguito airodump-ng comparirà:
WPA handshake: 00:13:ce:c6:05:53
DEAUTENTICAZIONE DI UN CLIENT
L’attacco deve essere rapido e può capitare che nessun client si connetta, in questo caso è possibile forzare la deautenticazione del client cosicchè sarà costretto a
riautenticarsi e noi saremo pronti per catturare i dati necessari dell’handshake.
Per far ciò apriamo un terminale (lasciando aperta quella di airodump-ng) ed esguiamo aireplay-ng, adesso è il momento di impiegare un Deauthentication
Attack!
Il comando da usare sarà:
aireplay-ng -0 1 -a [BSSID] -c CLIENT eth1
Al posto di BSSID inseriremo il MAC address dell’access point bersaglio e al
83
posto di CLIENT scriveremo l’indirizzo MAC del client. Per individuare ul
client basta lanciare Kismet (vedi sopra).
Adesso che abbiamo i pacchetti di Handshake non ci resta che individuare la
passphrase, per far ciò, il metodo più semplice è quello di fare un attacco a forza
bruta.
ATTACCO A FORZA BRUTA
Iniziamo con lo scaricare una wordlist (un elenco che ci aiuterà per rubare la passphrase), per il dizionario italiano, quindi apriamo una shell e digitiamo:
wget ftp://ftp.ox.ac.uk/pub/wordlists/italian/words.italian.Z
Adesso possiamo dare questo file a aircrack-ng insieme al file di handshake.
Apriamo un terminale e scriviamo:
aircrack-ng -b [mac address access bersaglio] -w [percorso completo della
wordlist creata prima][file contenente handshake]
Dato che questo metodo sarà molto lento, possiamo vedere di fare qualcosa per
velocizzare tutto, precalcolando l’hash. Per fare questo si usa il programma coWPAtty. Adesso dobbiamo generare una tabella degli hash, inserendo l’SSID
dell’access point (con Kismet lo troviamo) e un file dizionario (va bene quello
che già abbiamo). Adesso possiamo richiamare coWPAtty.
TROVARE LA CHIAVE CON coWPAtty
Apriamo un terminale ed eseguiamo:
cd/pentest/wireless/coWPAtty:’genpmk -s [SSID] -f wordlist -d tabella_hash’.SSID
creata la tabella degli hash eseguiamo coWPAtty:
./cowpatty -d [nome tabella hash] -s [nome rete da attaccare] -r [file con i
pacchetti di handshake]
Se la passphrase è composta da una parola comune ma con delle lettere variate,per esempio”casa!”…abbiamo bisogno di un tool che proverà queste permutazioni: John the Ripper
CRACCARE LA RETE CON JOHN THE RIPPER
apriamo un terminale e scriviamo:
john—rules –wordlist=[nome dizionario] –stdout |
/pentest/wireless/cowpatty/cowpatty -f- -s [SSDI rete bersaglio] -r [file con
handshake]
84
Craccare rete WiFi tramite Aircrack con interfaccia
grafica
Read more: http://www.hackgeek.it/guida-dettagliata-craccare-rete-wifi-tramiteaircrack-con-interfaccia-grafica/#ixzz0zYEDKXcH
Ti starai chiedendo: questa guida cosa ha di nuovo rispetto alle altre due? Semplice…potrai craccare una rete wifi senza smanettare con il terminale.
Infatti da oggi potrai sfruttare Aircrack con interfaccia grafica. L’interfaccia è
stata sviluppata da BUC (Basta un Click) e ti permette di eseguire tutte le operazioni per craccare la rete wifi senza utilizzare il terminale.
Iniziamo subito con l’installazione del software…
Per utilizzare questo applicativo devi aver installato sul tuo pc Aircrack. Se hai
ubuntu ti basta aprire un terminale e digitare:
sudo apt-get install aircrack-ng
Adesso devi installare BUC
Installare BUC tramite deb
Per chi utilizza Ubuntu è sicuramente più comodo installare BUC tramite i pacchetti deb.
Installazione
Alla pagina download, del sito ufficiale di BUC, trovate disponibili per il download i pacchetti .deb del programma,(per 32bit e 64bit) sia della versione più
recente, che di quelle passate.
Una volta eseguito il download del pacchetto .deb per installare BUC bisogna da
terminale il comando:
sudo dpkg -i buc-*.deb
85
Al termine dell'installazione, se tutto è andato a buon fine si aprirà la finestra:
Se non vuoi utilizzare il terminale puoi anche cliccare con il tasto destro sul pacchetto scaricato e installarlo tramite GDebi, l’installatore di pacchetti.
Adesso vai nella pagina Download http://buc.billeragroup.net/?page_id=15 di
BUC e scarica il programma Aircrack.zip. Puoi scaricarlo anche direttamente da
questo link : http://buc.billeragroup.net/wp-content/plugins/downloadmonitor/download.php?id=5
Decomprimi il file compresso che hai appena scaricato, così facendo avrai un file di nome aircrack.mc.
Vai sul menù in alto a sinistra “Applicazioni” –> “Altro” –> “BUC”, ti verrà
chiesto di inserire il file che hai appena decompresso. Selezionalo e clicca su
Load.
Ci sei? Bene…adesso dovrai impostare il tuo nuovo applicativo per craccare le
reti wifi.
86
Impostazioni Iniziali
Dovresti avere davanti Aircrack con interfaccia grafica. Dirigiti nella prima
scheda: Impostazioni. Hai davanti 4 Step da impostare.
Step1: devi scegliere una cartella nella quale Aircrack salverà i dati generati allo
scopo di decriptare la password della rete wifi. Nella riga sotto devi inserire il
nome della periferica wifi. Se non lo sai apri un terminale (Applicazioni –> Accessori –> Terminale) e digita iwconfig. Nella terza riga devi inserire il MAC
Address della periferica wifi, anche in questo caso puoi ricavarlo dando da
terminale il seguente comando: ifconfig (guarda il valore alla voce HWaddr)
87
Step2: Se vuoi utilizzare Aircrack devi impostare la tua scheda wifi per lavorare
in Monitor Mode. In questa fase dovrai appuntarti delle informazioni importanti: essid, bssid e il canale. Per fare questo basta cliccare sul pulsante “Attiva airodump-ng”. Ti si aprirà un terminale con all’interno tutti i dati di cui hai bisogno. Prendi carta e penna e appuntati BSSID (è il MAC Address dell’access
point vittima), CH (il canale) e ESSID (nome access point).
Step3: Devi semplicemete inserire i dati che hai appena appuntato.
Step4: in questa schermata ti viene notificato se hai inserito i dati in maniera
corretta. Una volta terminata tutta la procedura ricorda di utilizzare questo pulsante per disattivare il Monitor Mode.
Iniziamo a divertirci!!
Craccare Rete Wifi con chiave WEP e client collegato
Questa guida ti permete di craccare una rete wifi con chiave wep con almeno
un client connesso.Per controllare se c’è almeno un client connesso ti basta guar-
88
dare se ci sono delle righe sotto la colonna BSSID.
Sfoglia la scheda WEP e clicca sul tasto “Airodump-ng-recuperare IVs-”. Si
aprirà un terminale, presta particolare attenzione alla colonna #Data, qui potrai
controllare la quantità di paccheti IVs catturati.
Adesso non ti resta che attendere e lasciare lavorare Aircrack.
Devi catturare una elevata quantità di pacchetti, almeno 7000 (per esperienza
personale). Quando avrai raggiunto questa soglia di pacchetti puoi cliccare sul
tasto “Aircrack-ng – Decriptare Password-”.
Alla fine di questo processo avrai la tua password di rete. Nel caso in cui i pacchetti fossero pochi dovrai catturarne altri e riprovare.
Craccare Rete Wifi con chiave WEP senza client collegato
Vediamo adesso come craccare una rete wifi con chiave wep nel caso in cui nessun client è collegato all’access point.
89
Vai nella scheda Wep No-client. Clicca su “Airodump-ng – Recuperare IVs”.
Si aprirà un terminale simile al precedente, ma in questo caso non saremo in grado di catturare nessun pacchetto grazie al client collegato (in quanto non c’è).
Per risolvere questo problema clicca sul tasto “Aireplay-ng – Injection-” . tramite questa operazione il programma cercherà di autenticarsi all’access point e
nel caso tutto vada a buon fine vedrai comparire il tuo MAC Address nella colonna BSSID.
Attenzione: Non tutte le schede wifi supportano questa pratica, quindi potrebbe
non andare a buon fine. E’ possibile risolvere installando driver diversi adatti a
questo scopo.
Se tutto è andato a buon fine puoi cliccare sul tasto “Aireplay-ng – Inviare Dati” . In questo modo inizieremo ad inviare pacchetti all’acces point.
Nota che i pacchetti catturati aumenteranno notevolmente (colonna #Data). Una
volta catturata una buona quantità di pacchetti, consiglio almeno 7000, puoi cliccare sul tasto “Aircrack-ng – Decriptare Password”. Attendi qualche istante e
preparati a leggere la password della rete wifi.
Craccare Rete Wifi con chiave WPA
In questa sezione ti spiego come craccare una rete wifi con chiave WPA con
almeno un client collegato all’access point “vittima”.
90
Posizionati nella scheda WPA.
Clicca sul pulsante “Airodump-ng – Recuperare IVs”. Si aprirà un terminale
come al solito dal quale potrai vedere i pacchetti che vengono catturati dalla colonna #Data.
Se noti che la cattura dei pacchetti è molto lenta devi inserire nello spazio bianco il MAC Address del client collegato all’access point e cliccare sul tasto “Aireplay-ng – Scollega Client”.
In questo modo disconnetterai il client collegato e non appena il client tenterà
di ricollegarsi tu sarai pronto a carpire porzioni della chiave da decriptare.
Adesso devi attendere che il software catturi un numero sufficente di pacchetti,
almento 7000 (consiglio personale).
Una volta raggiunta questa soglia dovrai selezionare il vocabolario per decriptare la password.
Un vocabolario puoi trovarlo nella cartella usr/share/dict, una volta selezionato
clicca sul pulsante “Aircrack-ng – Decriptare Password”. Attendi che il processo di decriptamento sia terminato e controlla se è stato possibile recuperare la
password o meno.
craccare una rete Wifi con Gerix WiFi Cracker
Il Software si chiama “Gerix Wifi Cracker” è stato di recente rilasciato da
Emanuele Gentili, uno degli sviluppatori del progetto Backtrack, nonchè organizzatore del CAT2009.
In pratica questo software è una GUI che permette di utilizzare al meglio la suite
Aircrack-NG, questo ti aiuterà nell’effettuare attacchi verso le reti wifi senza
dover smanettare fra i vari comandi e terminali.
Questo software permette all’utente di impostare vari campi e con pochi e semplici click effettuare un vero e proprio attacco verso le reti wireless.
Link utili
www.astalavista.com
http://www.s0ftpj.org/
91
INDICE
1 COME ENTRARE NELLE RETI Wi-Fi
5 CRACK WPA IN PRATICA
22 TOOL PER RETI WIRELESS
28 LINUX
30 Configurare una rete wireless
37 Telefonino bloccato: ecco la soluzione
BackTrack e Aircrack
40 Accedere a windows senza sapere la password
41 Configurare le periferiche LAN/WiFi sulla BackTrack
47 Craccare una rete Wi-fi con chiave WEP con Backtrack 3(1°Parte)
50 Scacco al Wi-Fi con Backtrack 3 (2°Parte)
83 Craccare una rete Wi-fi con chiave WPA con Backtrack 3(3°Parte)
85 Craccare rete WiFi tramite Aircrack con interfaccia grafica
91 craccare una rete Wifi con Gerix WiFi Cracker
92

LibroHackerVol2

Transcript

Documenti analoghi

istruzioni-router-dlink-dir-300.odt - NeoOffice Writer

Manuale configurazione router ( D-Link - PPPoE )

Ripetitore MANUALE WI-FI OMEGA ΩMEGA O25W

Manuale configurazione router ( Zyxel - IP)

Hacking delle reti wireless

Istituto Superiore Mario Boella (ISMB)

EPSON STYLUS D88 Series

Sicurezza delle reti wireless

Data Solution di Marco Barraco – Piazzale Bligny 2