Atacando redes wifi com Aircrack-ng protegidas com criptografia WPA e WPA2. Wi-Fi Protected Access (WAP)

Transcrição

1 Atacando redes wifi com Aircrack-ng protegidas com criptografia WPA e WPA2 Vimos na postagem anterior como a criptografia WEP é fraca e podemos quebrar a criptografia, obtendo a chave de proteção com o Aircrack-ng. Nesta postagem iremos ver como fazer para entrar em uma rede protegida com WPA e WPA2. Wi-Fi Protected Access (WAP) Assim que a fraqueza do WEP veio à tona, um sistema de segurança wireless mais robusto foi necessário e foi desenvolvido para trocar o WEP, o que ultimamente veio se tornar WPA2. Entretanto, a criação de um sistema criptográfico seguro para wireless levou tempo e neste meio tempo, mais segurança foi necessária para ser compatível com o hardware utilizado. Então, Wi-Fi Protected Access (WPA), também conhecido como Temporal Key Integrity Protocol (TKIP), nasceu. WPA usa o mesmo algoritmo que o WEP (RC4), mas procura endereçara fraqueza do WEP adicionando aleatoriedade na keystream aos IVs e integridade para o ICV. Diferente do WEP, o qual usa uma chave de 40 ou 104 bits combinado com IVs fracas para cada pacote, WPA gera uma chave de 148 bits para cada pacote garantindo que cada um deles seja criptografado com uam keystream única. Adicionalmente, WPA substitui a fraqueza do WEP na verificação de integridade de mensagens CRC-32 com o algoritmo de message authentication code (MAC) chamado Michael, para prevenir os atacantes de calcularem facilmente as mudanças resultantes no

2 ICV quando um bit for alterado. Embora tanto o WPA e até o WPA2 tenha suas fraquezas, as vulnerabilidades mais comuns (que veremos a seguir) é o uso de senhas fracas. WPA2 WPA2 foi construído para prover um sistema de segurança para redes sem fio. Ele implementa um protocolo de criptografia construído especificamente para segurança sem fio, chamada de Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (CCMP). CCMP foi construído no padrão Advanced Encryption Standard (AES). WPA e WPA2 suportam configurações pessoais e empresariais. WPA/WPA2 pessoal usa uma chave pré-compartilhada, similar ao WEP. WPA/WPA2 empresarial (enterprise) adiciona um elemento chamado servidor Remote Authentication Dial-In User Service (RADIUS) para gerenciar a autenticação de clientes. O processo de conexão empresarial Nas redes empresariais WPA/WPA2, o processo de conexão do cliente tem quatro passos, como mostrado na figura abaixo. Primeiro o cliente e o access point acordam entre eles o protocolo escolhido, o access point e o servidor RADIUS trocam mensagens e geram uma chave mestre. Uma vez gerada, uma mensagem de sucesso na autenticação é enviada para o access point e passada para o cliente e a chave mestra é enviada para o access point. O AP e o cliente trocam e verificam chaves mutuamente para se autenticarem, criptografarem mensagens e garantir a integridade das mensagens através de um handshake de quatro vias. As trocas de chaves e tráfego entre o cliente e o AP estará segura com WPA ou WPA2.

3 Conexão empresarial com wpa e wpa2 O processo de conexão pessoal O processo de conexão pessoal de WPA/WPA2 personal é um pouco mais simples que o empresarial, pois não é necessário um servidor RADIUS e o processo é inteiramente entre o AP e o cliente. Não ocorrem os passos de autenticação ou chave mestra e, ao invés de um servidor RADIUS e uma chave mestra, o WPA/WPA2 pessoal usa chaves pré-compartilhadas, as quais são geradas usando uma senha pré-compartilhada. A senha compartilhada do WPA/WPA2 pessoal que você usar para se conectar é uma rede segura é estática, enquanto a empresarial usa chaves dinâmicas geradas pelo servidor RADIUS. Enterprise configura mais segurança, mas a maioria das redes pessoais e até mesmo de pequenos negócios não usam servidores RADIUS. O handshake de quatro vias Na primeira fase da conexão entre o AP e o suplicante (cliente), uma chave mestra em par (PMK), os quais são estáticos através da sessão inteira, é criado. Isto não é a chave que será usada para criptografar, mas será usada durante a segunda fase, onde o handshake de quatro vias será feito entre o AP e o cliente, com o propósito de estabelecer um canal de comunicação e fazer a troca de chaves de criptografia que serão usadas na comunicação de dados futuros.

4 Handshake de quatro vias do WPA e WPA2 Este PMK é gerado a partir de: A chave pré-compartilhada ou PSK; O SSID do AP; O tamanho do SSID; O número de iterações de hashing; O tamanho em bits resultante (256) da chave compartilhada gerada (PMK); Estes valores são alimentados em um algoritmo de hash chamado PBKDF2, que cria uma chave compartilhada de 256 bits. Enquanto sua chave pré-compartilhada (PSK) pode ser DiegoMacedo, esta não será a senha utilizada na segunda fase. Dito isto, qualquer que soubesse a senha e o SSID do AP poderia usar o algoritmo do PBKDF2 para gerar o PMK correto. Durante o handshake de quatro vias, um par de chave transitório (PTK) é criado e usado para criptografar o tráfego entre o AP e o cliente; um grupo transitório de chaves (GTK) é trocado e usado para criptografar o tráfego broadcast. O PTK é feito do seguinte: Uma chave compartilhada (PMK) Um número aleatório (nonce) vindo do AP (ANonce) Um nonce vindo do cliente (SNonce) O endereço MAC do cliente O endereço MAC do AP Estes valores alimentam o algoritmo de hashing do PBKDF2 para criar o PTK. Para gerar o PTK, o AP e o cliente trocam o

5 endereço MAC e os nonces (valores aleatórios). A chave compartilhada estática (PMK) nunca é enviada pelo ar, porque ambos, o AP e o cliente, sabem a chave compartilhada (PSK) e, assim, podem gerar uma chave compartilhada independentemente. Os nonces compartilhados e o endereço MAC são usados por ambos para gerar o PTK. O primeiro passo em um handshake de quatro vias, o AP envia seu nonce (ANonce). Próximo, o cliente escolhe um nonce, gera o PTK, e envia seu nonce (SNonce) para o AP. (O S em SNonce é de suplicante, outro nome para o cliente em uma configuração wireless.) Além de enviar seu nonce, o cliente envia um código de mensagem de integridade (MIC) para guardar contra ataques de falsificação. A fim de calcular o MIC correto, a senha usada para gerar a chave pré-compartilhada deve ser correto ou o PTK será errado. O AP independentemente gera o PTK baseado no SNonce e o endereço MAC enviado pelo cliente, então checa o MIC enviado pelo cliente. Se isto estiver correto, o cliente terá se autenticado com sucesso e o AP envia o GTK mais o MIC do cliente. Na quarta parte do handshake, o cliente reconhece o GTK. Quebrando as chaves WPA/WPA2 Diferente do WEP, o algoritmo de criptografia usado no WPA e WPA2 são robustos o suficiente para parar atacantes na tentativa de recuperar a chave simplesmente capturando tráfego o suficiente e fazendo a criptoanálise. A fraqueza do WPA/WPA2 pessoal está na qualidade da chave pré-compartilhada usada. Se a senha do administrador do Windows que você achou durante a fase de pós-exploração do pentest for a mesma senha do WPA ou WPA2 pessoal ou a senha estiver escrita em um quadro branco em frente ao escritório da organização, é game over. Para tentar adivinhar uma senha fraca, precisamos capturar uma handshake de quatro vias para análise. Lembre-se que, dada a senha correta e o SSID do AP, o algoritmo de hash PBKDF2 pode

6 ser usado para gerar a chave compartilhada (PMK). Dado o PMK, ainda precisamos do ANonce, SNonce e os endereços MAC doap e cliente para calcular o PTK. Claro, a PTK será diferente para cada cliente, porque os nonces serão diferentes em cada handshake de quatro vias, mas se pode capturar um handshake de qualquer cliente legítimo, usando seus endereços MAC e nonces para calcular a PTK para uma determinada frase-senha. Por exemplo, podemos usar o SSID e a senha senha para gerar um PMK, em seguida, combinar o PMK gerado com os nonces capturados e endereços MAC para calcular uma PTK. Se os MICs sai como os do handshake capturado, sabemos que senha é a senha correta. Esta técnica pode ser aplicada em uma lista de palavras de possíveis frases secretas para tentar adivinhar a senha correta. Felizmente, se podemos capturar um handshake de quatro vias e fornecer uma lista de palavras, temos o Aircrack-ng para cuidar de toda a matemática. Usando o Aircrack-ng para quebrar as chaves WPA/WPA2 Para usar o Aircrack-ng para quebrar o WPA/WPA2, primeiro você configura o AP wireless para WPA2 pessoal. Escolha uma chave pré-compartilhada (senha) e, em seguida, ligar o seu sistema host em seu ponto de acesso para simular um cliente real. Para usar uma wordlist para tentar adivinhar a chave précompartilhada (senha) do WPA2, precisamos capturar o handshake de quatro vias. Digite airodump-ng -c 6 para o canal, bssid com o endereço MAC da estação base, -w para especificar o nome do arquivo de saída (use um nome diferente do que você utilizado no exemplo de quebrar o WEP), e mon0 para a interface do monitor, como mostrado abaixo. root@kali:~# airodump-ng -c 6 --bssid 00:23:69:F5:B4:2B -w pentestwpa2 mon0 CH 6 ][ Elapsed: 4 s ][ :31 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH E

7 00:23:69:F5:B4:2B WPA2 CCMP PSK l BSSID STATION PWR Rate Lost Frames Probe 00:23:69:F5:B4:2B 70:56:81:B2:F0: Como você pode ver o host está conectado. Para capturar um handshake de quatro vias, podemos esperar por um outro cliente sem fio entrar na rede ou acelerar o processo chutando um cliente para fora da rede e forçando-o a se reconectar. Para forçar o cliente a se reconectar, utilizaremos o Aireplay-ng para enviar uma mensagem para um cliente conectado dizendo-o que não está ligado ao AP. Quando o cliente autentica novamente, iremos capturar o handshake de quatro vias entre o cliente e o AP. As opções do Aireplay-ng que vamos precisar são: -0 significa desautenticação 1 é o número de desautenticação solicitadas para enviar -a 00:14:6C:7E:40:80 é o endereço MAC do AP -c 00:0F:B5:FD:FB:C2 é o endereço MAC do cliente para desautenticar Veja abaixo como seria o pedindo de desautenticação: root@kali:~# aireplay-ng a 00:23:69:F5:B4:2B -c 70:56:81:B2:F0:53 mon0 21:35:11 Waiting for beacon frame (BSSID: 00:23:69:F5:B4:2B) on channel 6 21:35:14 Sending 64 directed DeAuth. STMAC: [70:56:81:B2:F0:53] [24 66 ACKs] Agora voltaremos para o Airodump-ng: CH 6 ][ Elapsed: 2 mins ][ :10 ][ WPA handshake: 00:23:69:F5:B4:2B u BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:23:69:F5:B4:2B WPA2 CCMP PSK linksys

8 BSSID STATION PWR Rate Lost Frames Probe 00:23:69:F5:B4:2B 70:56:81:B2:F0: Se a captura do Airodump-ng vê um handshake de quatro vias com um cliente, ele irá registra-lo na primeira linha da saída capturada. Uma vez que você capturou o handshake WPA2, feche o Airodumpng e abra o arquivo.cap no Wireshark com File > Open > seuarquivo.cap. Uma vez no Wireshark, filtre pelo protocolo EAPOL para ver os quatro pacotes que compõem o protocolo de reconhecimento, como mostrado abaixo. Handshake WPA2 capturado As vezes o Aircrack-ng vai dizer que capturou com sucesso o handshake, mas quando você for conferir no Wireshark não encontrará os 4 pacotes necessários. Para isto, será necessário refazer o ataque de desautenticação novamente, pois precisamos dos 4 pacotes para adivinhar a senha correta. Agora criaremos uma wordlist e incluiremos a senha correta no

9 meio dela. O sucesso do nosso ataque contra WPA2 depende de nossa capacidade de comparar os valores de hash com a nossa senha utilizando os valores no handshake. Uma vez que temos o handshake, podemos fazer o resto dos cálculos para recuperar a chave off-line; já não precisa estar no alcance do AP ou enviá-lo todos os pacotes. Em seguida, usamos o Aircrack-ng para testar as chaves na wordlist, especificando uma lista com a opção -w. Caso contrário, o comando é idêntico ao quebrar a chave WEP. Se a chave correta está na lista de palavras, ele será recuperado com Aircrack. root@kali:~# aircrack-ng -w password.lst -b 00:23:69:F5:B4:2B seuarquivo.cap Opening seuarquivo.cap Reading packets, please wait... Aircrack-ng 1.2 beta2 [00:00:00] 1 keys tested ( k/s) KEY FOUND! [ DiegoMacedo ] Master Key C1 ED F5 23 : 2F 8B D7 06 FE 00 DB 5E 98 E3 8A 9D D9 50 8E 42 EE F7 04 A0 75 C4 9B 6A 19 Transient Key : 4F 0A 3B C1 1F 66 B6 DF 2F F9 99 FF 2F E DA A0 6B CF 2F D3 BE DB 3F E1 DB 17 B AB 9C E6 E5 15 5D 3F EA C7 69 E8 F B EF C7 4E 60 D7 9C 37 B9 7D D3 5C A0 9E 8C EAPOL HMAC : A CF 28 B E2 A Como você pode ver, a chave correta está na nossa lista de

10 palavras e é recuperada. Este tipo de ataque de dicionário contra o WPA/WPA2 pode ser evitada usando uma senha forte. Aircrack-ng é apenas um conjunto de ferramentas para quebrar wireless. É ideal para iniciantes, porque começa a usar ferramentas diferentes para cada etapa do processo e isto irá ajudá-lo a se familiarizar com a forma como esses ataques trabalham. Outras ferramentas de auditoria amplamente utilizados para Wi-Fi que você pode encontrar são Kismet e Wifite. Fonte: Weidman, Georgia. Penetration Testing: A Hands-On Introduction to Hacking Atacando redes wifi com Aircrack-ng protegidas com criptografia WEP Muitos roteadores vem com um método de criptografia padrão chamado Wired Equivalent Privacy (WEP). Um problema fundamental com o WEP é uma falha no algoritmo, o qual é possível um atacante recuperar qualquer chave WEP. WEP usa a cifra de fluxo Rivest Cipher 4 (RC4) e uma pre-shared key. Qualquer um que queira se conectar à rede pode usa a mesma chave, composta de uma string de dígitos hexadecimais, tanto para criptografar quanto para descriptografar. Os dados em texto claro (não criptografados) passam por uma operação de OU-Exclusivo (XOR) bit a bit de fluxo com uma chave para criar um texto cifrado. A operaçõe tem quatro possibilidade:

11 0 XOR 0 = 0 1 XOR 0 = 1 0 XOR 1 = 1 1 XOR 1 = 0 Os zero e um em um fluxo de dados pode representar qualquer dado sendo enviad através da rede. Veja um exemplo de texto claro sendo cifrado com XOR e uma chave para criar um texto cifrado: Criptografia WEP Quando descriptografado, a mesma chave é usada no XOR novamente com o texto cifrado para restaurar o texto original.

12 Descriptografia WEP A chave compartilhada WEP pode ser tanto de 64 ou 148 bits. Em ambos os casos, um vetor de inicialização (IV) fazer com que os primeiro 24 bits da chave adicione aleatoriedade, fazendo com que o tamanho efetivo da chave seja somente 40 ou 104 bits. Adicionar aleatoriedade com um IV é comum em sistemas criptográficos porque se uma mesma chave é usada repetidamente, atacantes podem examinar o resultado do texto cifrado por padrões e potencialmente irão quebrar a criptografia. Criptoanalistas sempre acham aleatoriedades não implementadas corretamente em algoritmos criptográficos, como é o caso do WEP. Para começar, 24 bits de aleatoriedade é pouco para os padrões modernos de criptografia. O IV e a chave são concatenados, então rodam através de um algoritmo de key-scheduling (KSA) e um gerador numérico pseudoaleatório (PRNG) para criar uma chave de fluxo. Próximo passo é o valor de verificação de integridade (ICV) é calculado e concatenado com o texto claro antes da criptografia para prevenir atacantes de interceptarem os textos cifrados, trocando alguns bits e trocando o resultado do texto claro descriptografado de algo malicioso ou pelo menos enganador. O texto claro é então passado pelo XOR com a

13 chave de fluxo. O pacote resultante é feito do IV, do ICV, do texto claro e uma chave ID de dois bits. Fluxo de criptografia WEP A descriptografia é semelhante. O IV e a chave (indicado pelo ID da chave), armazenada em texto claro como parte do pacote, são concatenadas e rodam através do mesmo KSA e PRNG para criar uma chave de fluxo idêntica a qual foi usada para criptografar. O texto cifrado é então passado pelo XOR com a chave de fluxo para revelar o texto claro e o ICV. Finalmente, o ICV descriptografado é comparado com o valor ICV texto claro acrescentado ao pacote. Se os valores não coincidirem, o pacote é jogador fora.

14 Fluxo da descriptografia WEP Falha do WEP Infelizmente, WEP tem um problema de herança que permite um atacante recuperar uma chave ou alterar pacotes legítimos. De fato, cada chave WEP é recuperável por um atacantes armado o suficiente com textos cifrados e criptografados com a mesma chave. O único criptosistema que realmente é seguro é um onetime pad aleatório, o qual usa a chave apenas uma vez. O principal problema com o WEP é que um IV de 24 bits não introduz uma aleatoriedade suficiente; isto tem apenas 2 elevado a 24 (que são ) valores. Não tem uma forma padrão para placas wireless e access points para calcular IVs e, na prática, o espaço usado IV pode ser ainda menor. De qualquer forma, dado pacotes suficientes, IVs vai ser reutilizada e o mesmo valor (chave estática concatenado com o IV) será utilizada para gerar a mensagem cifrada. Passivamente escutando o tráfego (ou melhor ainda, injetando o tráfego na rede para forçar mais pacotes e, portanto, mais IVs a serem gerados), um atacante pode recolher pacotes suficientes para realizar criptoanálise e recuperar a

15 chave. Da mesma forma, o ICV tenta evitar que os invasores interceptem a mensagem criptografada, lançando bits e mudando o texto claro resultante, é insuficiente. Infelizmente, existe uma deficiências na aplicação do Cyclic Redundancy Check 32 (CRC-32) do ICV que pode permitir que atacantes criem o ICV correto para uma mensagem modificada. Como o CRC-32 é um algoritmo linear, lançando um bit específico no texto cifrado teremos um resultado determinístico no ICV resultante e um atacante com o conhecimento de como CRC-32 é calculado poderia causar uma mensagem modificada ser aceita. Assim, a implementação ICV, como a IV, não é considerada para os padrões criptográficos modernos. Nós podemos usar o Aircrack-ng para recuperar a chave compartilhada de uma rede wireless protegida com WEP. Quebrando chaves WEP com o Aircrack-ng Existem muitas formas de quebrar as chaves WEP, incluindo o ataque de falsa autenticação, de fragmentação, chopchop, caffé latte e o PTW. Veremos o ataque da falsa autenticação, o qual precisa de apenas um cliente legítimo conectado ao access point. Nós usaremos o sistema host para simular um cliente conectado. Primeiro, mudamos a segurança do roteador para WEP e depois devemos ter certeza de que a placa está no modo monitor, assim você poderá capturar o tráfego da rede sem a primeira autenticação. Agora para ver quais dados podemos coletar usando o Airodumpng do Aircrack-ng. Diga ao Airodump-ng para usar a interface wireless no modo monitor mon0 e use a flag -w para salvar

16 todos os pacotes em um arquivo. airodump-ng -w book mon0 --channel 6 CH 6 ][ Elapsed: 20 s ][ :22 BSSID P WR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:23:69:F5:B4:2Bu v 54. WEP WEP linksysx BSSID STATION PWR Rate Lost Frames Probe 00:23:69:F5:B4:2B 70:56:81:B2:F0: Este scan inicial coleta todas as informações que precisamos para começar a atacar contra o WEP do access point. Aqui nós temos o BSSID, o canal wireless, algoritmo de criptografia e o SSID. Usaremos esta informação para coletar os pacotes para quebrar a chave WEP. Sua própria informação de configuração é diferente, claro, mas aqui está com o que iremos trabalhar: Base Station MAC Address: 00:23:69:F5:B4:2B SSID: linksys Channel: 6 Injetando pacotes Embora a saída Airodump-ng mostrada anteriormente exibe algum tráfego a partir do access point, para quebrar uma chave WEP de 64 bits, precisamos de cerca de IVs, e pra uma chave WEP de 148 bits, cerca de Ao invés de braços cruzados capturando pacotes, vamos capturar e retransmitir pacotes para o access point para gerar IVs exclusivos rapidamente. Nós precisamos nos autenticar, porque se o nosso endereço MAC não é autenticado com o access point, todos os pacotes que enviarmos serão descartados, e vamos receber um pedido de deauthentication. Usaremos Aireplay-ng para autenticação falsa com o access point e enganá-lo para responder aos nossos pacotes injetados. Ao usar autenticação falsa, nós dizemos ao access point que

17 estamos prontos para provar que sabemos a chave WEP, como mostrado abaixo. Claro, porque não sabemos a chave ainda, nós não iremos enviá-lo, mas o nosso endereço MAC está agora na lista de clientes que podem enviar pacotes para o ponto de acesso, daí a autenticação falsa. root@kali:~# aireplay-ng e linksys -a 00:23:69:F5:B4:2B -h 00:C0:CA:1B:69:AA mon0 20:02:56 Waiting for beacon frame (BSSID: 00:23:69:F5:B4:2B) on channel 6 20:02:56 Sending Authentication Request (Open System) [ACK] 20:02:56 Authentication successful 20:02:56 Sending Association Request [ACK] 20:02:56 Association successful :-) (AID: 1) Nós falsificamos a autenticação usando as seguintes flags com seus dados associados: -1 diz ao Aireplay-ng para falsificar autenticação; é hora de retransmitir; -e é o SSID; no meu caso linksys; -a é o MAC address do access point que queremos nos autenticar; -h é o MAC address da nossa placa (a qual deve estar ligada no dispositivo); mon0 é a interface para usada para falsificar autenticação. Após enviar solicitação ao Aireplay-ng, você deve receber um smiley e a indicação de que a autenticação foi um sucesso. Gerando IVs com o ataque ARP Request Relay Como a base está disposta a aceitar pacotes de nós, podemos capturar e retransmitir pacotes legítimos. Enquanto o ponto de acesso não vai nos permitir enviar o tráfego sem antes enviar a chave WEP para autenticar, podemos retransmitir o tráfego de

18 clientes devidamente autenticados. Nós usaremos a técnica de ataque conhecido como ARP Request Replay para gerar IVs rapidamente tento o Aireplay-ng ouvindo por uma solicitação ARP e então retransmiti-lo de volta para o access point. Quando o access point recebe uma solicitação ARP, ele faz o broadcast com uma nova IV. Aireplay-ng irá fazer o rebroadcast do mesmo pacote ARP repetidamente. Cada vez que ele faz o broadcast, ele terá um novo IV. Veja abaixo o ataque em ação. Aireplay-ng lê os pacotes procurando por uma solicitação ARP. Você não verá qualquer dado até o Aireplay-ng ver uma solicitação ARP que possa ser reenviada como broadcast. Veremos a seguir. root@kali:~# aireplay-ng -3 -b 00:23:69:F5:B4:2B -h 00:C0:CA:1B:69:AA mon0 20:14:21 Waiting for beacon frame (BSSID: 00:23:69:F5:B4:2B) on channel 6 Saving ARP requests in replay_arp cap You should also start airodump-ng to capture replies. Read 541 packets (got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps) Nós usamos estas três opções: -3 realiza um ataque replay de solicitação ARP; -b é o MAC address do access point; -h é o MAC address da nossa placa de rede; mon0 é a interface. Gerando uma solicitação ARP Infelizmente, como se pode ver no resultado acima, não vemos nenhuma solicitação ARP. Para gerar uma solicitação desta, nós usaremos o sistema host para simular um cliente através de um ping em um IP da rede a partir do sistema host conectado. Aireplay-ng verá a solicitação ARP e retransmitirá para o

19 access point de novo e de novo. Como você pode ver no resultado do Airodump-ng, mostrado abaixo, o número do campo #Data, indicando os IVs capturados, cresce rapidamente de acordo com que o Aireplay-ng continua a retranmitir o pacote ARP, fazendo com que o access point gere mais IVs. Se o seu aireplay-ng -3 disser Got adeauth/disassoc ou algo similar e seu número #Data não está subindo rapidamente, rode um comando de associação falsa mostrada anteriormente de novo para reassociar com o access point. Seu campo #Data deve começar a subir rapidamente de novo. CH 6 ][ Elapsed: 14 mins ][ :31 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:23:69:F5:B4:2B WEP WEP OPN linksys Quebrando a chave Lembre-se, nós precisamos de aproximadamente de IVs para quebrar uma chave WEP de 64 bits. Enquanto você permanecer associado com a estação, rodando o comando novamente quando necessário e estiver gerando solicitações ARP na rede, deve levar apenas alguns minutos para coletar os IVs suficientes. Uma vez coletada os IVs necessários, nós podemos usar o Aircrack-ng para fazer o cálculo de tornar os IVs coletados em uma chave correta do WEP. Veja abaixo como nós quebraremos a chave usando a flag -b e especificando o nome do arquivo que usamos no Airodump-ng seguir pelo *.cap. Isto diz ao Aircrack-ng para ler de todos os arquivos.cap salvos pelo Airodump-ng. root@kali:~# aircrack-ng -b 00:23:69:F5:B4:2B book*.cap Opening book-01.cap Attack will be restarted every 5000 captured ivs. Starting PTW attack with ivs. KEY FOUND! [ 2C:85:8B:B6:31 ]

20 Decrypted correctly: 100% Depois de alguns segundos de análise, o Aircrack-ng retorna a chave correta. Nós podemos nos autenticar com a rede. Se isto for um pentest em uma rede de um cliente, nós podemos atacar diretamente qualquer sistema da rede. Desafios ao quebrar WEP Uma coisa que devemos ter em mente é que quando estamos atacando WEP, provavelmente existirão outros filtros para barrar os ataques como este. Por exemplo, o access point pode usar o filtro de MAC address para permitir apenas placas de redes com certos MAC address para se conectar, e se sua placa não estiver na lista, sua falsa autenticação irá falhar. Para dar um bypass no filtro MAC, você pode usar uma ferramenta como MAC Changer do Kali para fazer o spoof um endereço MAC e criar um valor aceitável. Tenha em mente que as chaves WEP são sempre quebráveis se podermos coletar pacotes o suficiente, e por questões de segurança, criptografia WEP não deve ser usada em produção. É importante notar que a ferramenta Wifite, instalado por padrão no Kali Linux, se comporta como um processo em torno do pacote Aircrack-ng e irá automatizar o processo de ataque a redes sem fio, incluindo quebrar o WEP. Mas enquanto você está aprendendo como ataques Wi-Fi funciona, é melhor fazer o processo passo a passo ao invés de usar um processo de automação. Fonte: Weidman, Georgia. Penetration Testing: A Hands-On Introduction to Hacking. 2014

21 Introdução aos testes de segurança em redes sem fio com Aircrack-NG O Aircrack-NG é conjunto de ferramentas para avaliar a segurança de redes sem fio. Ele foca em diferentes áreas da segurança do WiFi: Monitoramento: Captura de pacote e exporatação de dados para arquivos de textos para processamento posterior em outras ferramentas; Ataque: Replay attacks, deautenticação, falso access points e outros através de injeção de pacotes; Testes: Verificar placas WiFi e capacidades dos drivers (capturar e injetar); Cracking: WEP e WPA PSK (WPA 1 e 2). Todas as ferramentas são através de linhas de comando, as quais permitem usar em scripting de forma pesada. Funciona, a princípio em Linux, mas também no Windows, OS X, FreeBSD, OpenBSD, NetBSD, assim como no Solaris e inclusive no ecomstation 2. Preparando Estarei usando uma placa Alfa Networks AWUS036H USB wireless. Esta placa, e outros modelos similares Alfa USB, são ideias para análises de segurança wireless, particularmente quando se está trabalhando com máquinas virtuais. VMware não tem drivers para placas wireless, mas é capaz de atravessar USB, permitindo o uso dos drivers wireless da máquina virtual Kali. O uso de uma placa USB wireless nos permitirá avaliar as redes através desta máquina virtual.

22 Identificando as interfaces de redes disponíveis Após colocar a placa wireless Alfa no Kali virtual, envie o comando iwconfig para ver as placas wireless disponíveis em sua máquina virtual. No meu caso, a placa Alfa está ligada na wlan0, como mostrado abaixo: root@kali:~# iwconfig wlan0 IEEE bg ESSID:off/any Mode:Managed Access Point: Not-Associated Tx- Power=20 dbm Retry long limit:7 RTS thr:off Fragment thr:off Encryption key:off Power Management:off lo no wireless extensions. eth0 no wireless extensions. Buscando por Access Points (AP s) Agora podemos escanear por access points próximos a nós. O comando iwlist wlan0 scan irá escanear por access points próximos usando a interface wlan0, como mostrado abaixo: root@kali:~# iwlist wlan0 scan Cell 02 - Address: 00:23:69:F5:B4:2Bu Channel:6v Frequency:2.437 GHz (Channel 6) Quality=47/70 Signal level=-63 dbm Encryption key:offw ESSID:"linksys"x Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s 9 Mb/s; 14 Mb/s; 18 Mb/s Bit Rates:24 Mb/s; 36 Mb/s; 48 Mb/s; 54 Mb/s Mode:Master A partir deste scan inicial nós pegamos quase todas as

23 informações que precisamos para realizar um ataque neste AP, que veremos mais a seguir. Nós temos o MAC address, o canal o qual ele está transmitindo, não está usando criptografia neste momento e nós temos o SSID. Modo Monitor Antes de continuar, vamos colocar a placa wireless no modo monitor. Semelhante ao modo promíscuo do Wireshark, o modo monitor nos permite ver o tráfego adicional além do qual é intencional para a nossa placa de rede wireless. Nós iremos utilizar o script Airmon-ng, parte da suíte de avaliação wireless do Aircrack-ng, para colocar a placa no modo monitor. Primeiro, tenha certeza de que não está rodando nenhum processo que irá interferir no modo monitor, enviando o comando airmon-ng check, como mostrado abaixo: root@kali:~# airmon-ng check Found 2 processes that could cause trouble. If airodump-ng, aireplay-ng or airtun-ng stops working after a short period of time, you may want to kill (some of) them! -e PID Name 2714 NetworkManager 5664 wpa_supplicant Como podemos ver, Airmon achou dois processos rodando que podem interferir. Dependendo da sua placa wireless e o seu driver, você pode ou não ter problemas se você não matar estes programas. A placa que estou usando não deverá causar nenhum problema, mas algumas placas USB wireless podem. Para matar todos os processos em um passo, use o comando airmon-ng check kill, como mostrado abaixo: root@kali:~# airmon-ng check kill Found 2 processes that could cause trouble. If airodump-ng, aireplay-ng or airtun-ng stops working after a short period of time, you may want to kill (some of) them!

24 -e PID Name 2714 NetworkManager 5664 wpa_supplicant Killing all those processes... Agora entre com o comando airmon-ng start wlan0 para trocar a interface wireless para o modo monitor, como mostrado abaixo. Isto permitirá capturar pacotes não direcionados a nossa placa. Airmon-ng cria uma interface de rede mon0. root@kali:~# airmon-ng start wlan0 Interface Chipset Driver wlan0 Realtek RTL8187L rtl [phy0] (monitor mode enabled on mon0) Capturando pacotes Com nossa interface no modo monitor, vamos ver os dados que podemos capturar usando o Airodump-ng. Este programa é usado para capturar e salvar pacotes wireless. Veja abaixo como diremos ao Airodump-ng para usar a interface wireless no modo monitor mon0. root@kali:~# airodump-ng mon0 --channel 6 CH 6 ][ Elapsed: 28 s ][ :08 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:23:69:F5:B4:2B OPN linksys BSSID STATION PWR Rate Lost Frames Probe 00:23:69:F5:B4:2B 70:56:81:B2:F0:53x A saída do Airodump-ng coletou informações sobre os pacotes wireless, incluindo o basic service set identification (BSSID), o qual é o endereço MAC da estação. Podemos ver informações adicionais como o algoritmo de criptografia usado na segurança wireless e o Service Set Identification (SSID).

25 Airodump-ng também pega o endereço MAC dos clientes conectados e o endereço MAC da minha máquina host ligada ao access point wireless. Sabemos que o access point Linksys está aberto, sem nenhuma segurança. Diferença entre BSSID e ESSID Antes de prosseguirmos, é importante conhecer e saber a diferença entre esses dois termos: Service Set Identifier (SSID) É o nome associado por um usuário para identificar um AP. É através deste nome que alguém procura pelo WiFi; Basic Service Set Identification (BSSID) É o MAC address do access point; Extended Service Set Identifier (ESSID) Está associado a vários AP em conjunto que compõe um único SSID. Mas o beacon terá informações do BSSID diferentes. Isto envolve o roaming. O usuário se conecta ao AP que tiver a maior força de sinal (RSSI). Wireless aberto Redes wireless abertas são um desastre real do ponto de vista de segurança porque qualquer um com uma antena que alcance a área de cobetura do access point poderá se conectar naquela rede. Enquanto redes abertas podem solicitar autenticação depois de conectado, a maioria deixa qualquer um se conectar. Outro ponto importante é que os pacotes que trafegam em redes abertas não são criptografados e qualquer um que esteja escutando poderão capturar e ver os dados em texto claro. Dados sensíveis podem ser seguros pelos protocolos como SSL, mas não é sempre o caso. Por exemplo, o tráfego FTP em uma rede wireless aberta é completamente descriptografada, incluindo informações de login, e nem precisamos usar ARP ou DNS cache poisoning para capturar os pacotes. Qualquer placa wireless no modo monitor será possível ver o tráfego

26 descriptografado. Fonte: Weidman, Georgia. Penetration Testing: A Hands-On Introduction to Hacking Mapa Mental do Aircrack-ng Mapa mental do Aircrack Qual a diferença entre redes Wifi A B G N? Com certeza você já deve ter se deparado com o termo Wi-Fi em vários lugares, para tanto, nunca buscou realmente o seu significado. Portanto, vamos conhecer hoje o significa essa palavra, o seu funcionamento e também as diferenças desse tipo de rede. O que é uma rede Wi-Fi?

27 O termo Wi-Fi é uma marca registrada pela Wi-Fi Alliance, porém, a expressão é um sinônimo para a tecnologia IEEE Esse tipo de rede permite a conexão entre diversos dispositivos sem o uso fio. O termo Wi-Fi, atualmente muito usado, não possui uma definição específica. A expressão Wi-Fi surgiu baseada na expressão High Fidelity (Hi-Fi), e está sendo usada desde a década de 50, ao ser lançado pelo indústria fonográfica. Portanto, o termo Wi-Fi é a contração das palavras Wireless Fidelity. Como o Wi-Fi funciona? As redes Wi-Fi tem seu funcionamento através de ondas de rádio. A transmissão se dá através de um adaptador, o nosso conhecido roteador. O roteador tem a capacidade de receber os sinais, decodificar e após os emitir a partir de uma antena. Porém, para que o computador, notebook, tablet, enfim, qualquer dispositivo que possa ter acesso à internet, consiga capturar esses sinais é necessário que ele esteja dentro de um determinado raio, que é chamado de hotspot. De acordo com o roteador e a antena, o raio de abrangência da internet é bastante variável. Em lugares abertos poderá variar até 300 metros, porém, nos fechados, poderá se estender até 300 metros. O padrão de rede Wi-Fi é divido em várias partes, conheça algumas delas: IEEE a: Esse tipo de padrão é usado normalmente em empresas de grande tráfego de informações. A principal vantagem desse tipo de padrão é a alta velocidade, como também a ausência de interferências. Esse padrão Wi-Fi é para frequência 5 GHz com capacidade teórica de 54 Mbps. O único problema encontrado nesse tipo de padrão é o seu alcance, que não costuma ser muito grande. IEEE b: Esse padrão de rede é o mais usado no meio doméstico, isto é, em casas. Também é encontrado em pequenas

28 empresas. A sua principal vantagem realmente é o seu alcance. Porém, como desvantagem, a sua velocidade, que costuma ser inferior se comparada às outras. O padrão Wi-Fi para frequência 2,4 GHz com capacidade teórica de 11 Mbps. IEEE g: Esse padrão poder ser comparado ao (b), porém, se comparado a velocidade, esse padrão costuma responder melhor. Igualmente ao padrão (b), é amplamente usado em residência e empresas de porte pequeno. Para tanto, como desvantagem, o alcance costuma ser menor ao padrão (b). O padrão Wi-Fi para frequência 2,4 GHz com capacidade teórica de 54 Mbps. IEEE n: Este é o mais recente padrão, poucos equipamentos fazem uso dessa tecnologia, porém, com o decorrer do tempo, a tendência é aumentar. A Apple, famosa pela qualidade de seus produtos, já possui alguns aparelhos com essa tecnologia, como por exemplo, o iphone de quarta geração e alguns modelos de MacBooks. O padrão Wi-Fi para frequência 2,4 GHz e/ou 5 GHz com capacidade teórica de 65 à 600 Mbps. Fonte: Oficina da Net