Técnica de ataques a redes Wireless

Transcrição

1 Página 1 Técnica de ataques a redes Wireless Obtenção de handshake de quatro vias com quebra por força bruta Nome: Eduardo R. Sant Ana Popovici Pós-Graduação em Cyber Segurança Resumo Quando perguntado, em 1887, que impacto sua descoberta que permitia a detecção de ondas de rádio teria ao mundo, o cientista alemão Heinrich Hertz disse uma frase memorável, Nenhuma, suponho. Naquela ocasião, Hertz não viu uma utilização prática para sua descoberta. Seu legado nos permite usufruir de redes sem fio quase 140 anos após sua descoberta. Com a popularização de equipamentos informáticos e dispositivos móveis como tablets e smartphone, todo o acesso às tecnologias que permitem a comunicação entre seres humanos tornou-se também mais acessível. O é um padrão lançado pelo IEEE, também conhecido como wifi ou wireless fidelity. As redes sem fio caíram no gosto de uma parcela considerável da população, seja para atividades comerciais em grandes corporações, em pequenas empresas, ou para usuários com pouco ou nenhum conhecimento sobre o assunto. O wifi é para todos e é popular pela sua simplicidade e facilidade de manuseio. Da mesma forma com que sua popularidade cresce ao longo do tempo, cresce também o interesse de sua violação por Cyber Criminosos. Este artigo explora e demonstra vulnerabilidades relacionadas ao uso de dispositivos wireless e seus protocolos. Abstract When asked in 1887 what impact his discovery that allowed the radio wave detection would the world, the German scientist Heinrich Hertz said a memorable phrase, "No, I suppose." At that time, Hertz did not see a practical use for his discovery. His legacy allows us to take advantage of wireless networks nearly 140 years after its discovery. With the popularization of computer equipment and mobile devices like tablets and smartphone, all access to technologies that enable communication between humans also became more accessible is a standard released by the IEEE, also known as WiFi or wireless fidelity. Wireless networks fell in love a considerable portion of the population, whether for commercial activities in large corporations, small business, or for users with little or no knowledge about it. The wifi is for everyone and is popular for its simplicity and ease of handling. In the same way that their popularity grows over time, so does the interest of their violation by Cyber Criminals. This article explores and demonstrates vulnerabilities related to the use of wireless devices and their protocols. Palavras chaves Invasão, Wireless, WPA, Handshake, Aircrack 1 OBJETIVO O objetivo deste artigo é o demonstrar uma das inúmeras técnicas utilizadas para quebra de senha em redes wireless. A técnica escolhida para este ataque chama-se de ataque de força bruta com obtenção do handshake de quatro vias. 2 OVERVIEW SOBRE ATAQUES À REDES WIRELESS 2.1 As redes Wireless e seu crescimento O funcionamento das redes wireless é relativamente simples, fazendo uso da atmosfera para trafegar dados transmitidos por um ponto de acesso a estações de trabalho e dispositivos móveis. Essa transmissão de dados fica "disponível" para qualquer um que conheça sua senha ou que possua o conhecimento e a ferramenta certa para obter vantagem ilícita. Em um documentário veiculado pelo canal Discovery Channel em outubro de 2005, foi apresentado uma técnica intitulada War Drive, que utilizava um notebook, uma antena wireless e um carro, para coletar possíveis redes wireless e sua disponibilidade e proteção. Naquele tempo poucas redes eram protegidas por códigos ou criptografias. Em maio de 2011, o jornal Correio Brasiliense, divulgou uma reportagem sobre o crescimento das redes sem fio no Brasil e utilizou o contexto de década da mobilidade reportando que a União Internacional de Telecomunicações (UIT) constatou que, até o fim da

2 Página 2 década, estarão em funcionamento mais de 55 bilhões de dispositivos de comunicação móvel, sendo 12 bilhões esses smartphones e tablets. Um verdadeiro banquete para criminosos cibernéticos. Em agosto de 2015, uma reportagem veiculada pelo site hardware.com.br, informou que houve um aumento expressivo de aquisições de equipamentos de ponto de acesso, e de acordo com o levantamento, entre janeiro e março, o mercado corporativo adquiriu cerca de 101 mil access point, sendo um número 14% maior do que o apresentado no mesmo período de Hoje é raro encontrar uma rede wireless sem um mínimo de proteção (uma senha). Boa parte das redes wireless, sejam elas quais forem, possuem no mínimo uma senha de acesso (mesmo que fracas), fazendo uso de protocolos como WEP ou WPA. A atribuição da senha em redes wifi levou os atacantes para outro nível, permitindo a criação ferramentas específicas para tratar a quebra das senhas em seus protocolos. Uma das ferramentas tratadas neste artigo faz exatamente esse processo, o de quebra da senha utilizada para proteger redes wireless. 2.2 Escolhendo a ferramenta de invasão Para fins de ataque a redes wireless, farei uso de ferramentas como o Aircrack-ng, que se trata de uma ferramenta de linha de comando que permite efetuar uma análise estatística dos dados capturados em relação a protocolos WEP, WPA e WPA2. Através dos dados obtidos de tais capturas, é possível efetuar a descoberta da chave e então adentrar a rede. Meu primeiro contato com esta ferramenta foi pelas páginas do livro Hacker Expostos 7, publicado pela editora Bookman no início do ano de 2016, quando iniciava os estudos sobre o assunto. Através de muitas pesquisas pela internet e DeepWeb, notei que esta ferramenta caiu realmente no gosto de muitos adeptos de plataforma open source devido sua fácil utilização e bons resultados. Sua estrutura é realmente simples e funcional, não requerendo a necessidade de muito conhecimento técnico sobre infraestrutura e redes de dados. Contudo, está técnica exige um arquivo de referência para quebra das senhas através de força bruta, que pode ser criado analisando-se uma série de fatores pelo processo de footpinting. A identificação e posterior quebra de senhas, pode ser efetuada com alguns comandos bem simples, que consistem em acionar uma interface de redes adicional, efetuar rastreamento e então iniciar a obtenção da senha. A técnica consiste em identificar redes wireless próximas, o protocolo que faz sua proteção e então efetuar a quebra de sua segurança. Em determinado momento, é possível identificar o modelo do equipamento e efetuar uma tentativa de acesso a sua console, atendendo o acesso através de usuário e senha padrão disponibilizada pelo fabricante. Optei pela ferramenta aircrack, porém existem muitas outras, como por exemplo a LINSET, demonstrada rapidamente aqui pela figura WL00. WL00 Ferramenta de ataque LINSET Em outro momento, é possível também utilizar payloads específicos para cada tipo de equipamento de ponto de acesso, permitindo uma invasão mais audaciosa e refinada, visando não apenas o acesso a rede wireless, mas também o controle do equipamento, seus logs de acesso e detalhes de trafego. Com a criação de uma cifra chamada RC4, desenvolvida por Adi Shamir, houve a possibilidade do desenvolvimento de um tipo específico de ataque a protocolos utilizados para proteger as redes wireless. Esse ataque efetua a redução da quantidade de vetores de inicialização necessários para decriptar uma chave. Tal ataque foi desenvolvido em abril de 2007 por uma equipe técnica da Universidade de Tecnologia de Darmstadt na Alemanha, sendo incluído ao pacote de ferramentas do Aircrack-ng a partir da versão O arquivo worklist O segredo para esta técnica está em um arquivo que chamaremos de worklist. Este arquivo contêm uma série de palavras e combinações, que serão utilizadas para a quebra da senha após a obtenção do hash. Este arquivo pode ser criado levando-se em consideração senhas mais comuns utilizadas dentro de uma realidade cultural, por exemplo, em áreas periféricas é muito comum encontrar senhas relacionadas a músicas do gênero funk e dados relacionados a futebol. Este artigo não explorar a fase de footpinting, portanto darei ênfase as etapas de utilização da ferramenta e não de sua fase de coleta de informações.

3 Página 3 3 POR QUE É UTILIZADO? A técnica que utilizaremos neste artigo é de simples aplicação, não sendo necessário muito conhecimento técnico. Uma grande vantagem para o uso desta técnica está intimamente ligada à sua simplicidade e facilidade em identificar redes wireless e seus protocolos, além de obviamente, efetuar a quebra de sua segurança com poucos comandos. Esta ferramenta atua como um detector de redes, sniffer de pacote, aplicativo de quebra de WEP/WAP e ferramenta de análise para redes locais sem fios pelo padrão , funcionando com boa qualidade de resultados em qualquer placa de rede wireless cujo driver ofereça suporte ao modo de monitoramento bruto. O próprio site do projeto apresenta uma lista de dispositivos compatíveis com a proposta da ferramenta. Esta ferramenta permite a captura e análise de tráfego a, b e g. O processo de autenticação deixa duas considerações importantes a serem observadas. A primeira é que o ponto de acesso (AP) ainda precisa autenticar-se para a estação cliente (STA), e as chaves para criptografar precisam ser derivadas do tráfego de redes entre ambos. A troca de dados sob protocolos EAP, WPA ou WPA2- PSK fornece o segredo compartilhado ou PMK-chave (Pairwise Master Key). Esta chave é, conhecida e válida durante toda a sessão, sendo exposta tão pouco quanto possível. O four-way handshake é usado para estabelecer outra chave chamada PTK (Pairwise Transient Key). O PTK é gerado concatenando os seguintes atributos: PMK, nonce AP (ANonce), STA nonce (SNonce), endereço MAC do AP, e endereço MAC STA. O produto é então colocado através de PBKDF2-SHA1 como a função hash criptográfico. O conhecido aperto de mãos entre dispositivos de redes, também produz o GTK (Grupo Temporal Key), usada para decriptar o tráfego multicast e broadcast. As mensagens reais trocadas durante o aperto de mão são representadas na figura TR00. TR00 four-way handshake 4 FUNCIONALIDADE E IMPACTO O Aircrack-ng possui uma boa quantidade de funcionalidades, sendo um verdadeiro canivete suíço para detecção e invasão de redes wireless. A tabela 1.0 apresenta algumas das ferramentas disponíveis pelo Aircrack-ng Ferramenta Descrição aircrack-ng Quebra chaves WEP e WPA and WPA (Busca por Força-bruta). airdecap-ng Decriptografa arquivos capturados com criptografia WEP ou WPA com a chave conhecida. airmon-ng Coloca placas diferentes em modo monitor. aireplay-ng Injeção de pacotes (Somente em Linux). airodump-ng Coloca tráfego do ar em um arquivo.cap e mostra informação das redes. airtun-ng É um criador de interface de túnel virtual. Tabela 1.0 Ferramentas para ataque wireless Esta técnica quebra a senha através de força bruta tento como primeira atividade uma desconexão do usuário de modo forçado. Isso faz com que seja exigido uma nova conexão pela ponta do usuário. Esse processo de conexão fornecerá novamente as credenciais, de seu dispositivo com o ponto de acesso em uma rede que estará sob ataque. Quando o dispositivo efetuar novamente sua entrada na rede, através de um processo conhecido como WPA handshake, será coletado através de nossa ferramenta o hash dessa conexão. É através desse hash que faremos a tentativa de quebra a senha.

4 Página 4 5 PASSO A PASSO DA EXPLORAÇÃO E COLETA DA SENHA A) Neste ataque faremos uso de uma ferramenta conhecida como aircrack. Efetue logon em modo de super usuário. Será necessário permissionamento completo do root para a execução de todas as etapas. E) Na sequência iniciaremos o escaneamento das redes próximas com o comando airodump-ng wlan0mon, demonstrado aqui pela figura WL04. B) Em seguida digite o comando ifconfig, para verificar se a interface de rede foi reconhecida adequadamente, conforme demonstrado pela figura WL01. Note que a interface de rede foi identificada como wlan0. WL04 escaneamento de redes wireless Figura WL01 Identificação de interface wireless wlan0 C) Agora será necessário digitar o comando airmon-ng, permitindo que a ferramenta identifique a interface wlan0, conforme demonstrado pela figura WL02. F) Faremos uso de cada dado coletado para efetuar a quebra das senhas para a invasão. Temos já já informações importantes, relacionadas ao SSI da rede alvo, seu nome, protocolo, canal de comunicação, etc. Após a execução do comando para a coleta dos dados, será iniciado a varredura da rede alvo, porém caso seja apresentado a mensagem fixed channel mon0: - 1, será necessário adicionar ao comando de varredura os paramentros --ignore-negativeone, que ignora o travamento de coleta apenas pelo canal 1. O comando completo para iniciar a coleta de dados seria então airodump-ng -- bssid D8:FE:E3:7E:BB:2C -w UAIFAI -c 11 wlan0mon --ignore-negative-one, demonstrado aqui pela figura WL05. WL02 identificação de wlan0 D) Devemos agora colocar nossa interface wlan0 em modo de escuta, permitindo agora a identificação das redes wireless próximos. Utilizaremos o comando airmon-ng start wlan0 para essa atividade, conforme demonstrado pela figura WL03. WL05 coleta de dados da rede alvo, Emanuel G) Quando o contador #Data chegar a quase 400 pacotes, já é suficiente para iniciar a quebra da senha. A próxima figure demonstra o mesmo escaneamento, porém em uma rede chamada Diego_Rede. Note pela figura WL06, que o usuário está conectado e utilizando a rede. O endereçamento MAC de seu dispositivo móvel foi identificado durante o escaneamento de pacotes, que chega facilmente ao número 544. WL03 colocação da interface wlan0 em modo de escuta WL06 Identificação de dispositivo alvo

5 Página 5 H) Em outra janela de terminal, faremos a captura de pacotes direcionando agora nossa ferramenta para o dispositivo conectado à rede, através do comando aireplay-ng --deauth 0 -a C8:3A:35:55:8E:08 -c F0:5A:09:D7:8A:F6 wlan0 --ignore-negative-one. Este comando leva não apenas o ID da rede com o parâmetro -a, mas também o ID do dispositivo conectado a rede, com o parâmetro -c. Ao pressionar a tecla Enter, os frames do dispositivo atacado disparam e desconectam o usuário da rede. Isso força o dispositivo atacado a se reconectar, gerando uma nova sequência de autenticação. Essa nova sequência de autenticação será capturada por nossa ferramenta. A figura WL07 demonstra a sequência de requisições disparadas para o dispositivo. K) Será necessário agora o uso do comando aircrack-ng -w '/home/edupopov/desktop/worklist.txt' '/home/edupopov/sniffer.cap' Ao pressionar a tecla Enter, teremos as senhas da rede wireless, conforme demonstrado pela figura WL10. Neste caso o arquivo Worklist.txt está em /usr/share/wordlists/rockyou.txt.gz e se trata de uma biblioteca utilizada para a quebra das senhas. É possível alimentar seu acervo de bibliotecas de senhas segmentadas por idiomas, perfis de público alvo por região ou ainda situação política. WL07 disparo de requisições em massa I) Após uma determinada sequência de ataques, de mais ou menos 2 a 3 segundos, interrompa o processo com as teclas CTRL + C. Isso fará com que o dispositivo atacado gere uma nova sequência de autenticação. Quando o dispositivo reconecta à rede, é informado então o WPA handshake, conforme demonstrado pela figura WL08. WL10 coleta definitiva da senha da rede alvo L) A figura WL11 demonstra aqui todas as redes encontradas e o processo de quebra de uma delas. WL08 coleta do WPA handshake J) Todos os pacotes capturados são salvos em formato.cap no diretório /. A figura WL09 demonstra exatamente o local onde é salvo o arquivo. WL11 rastreamento e quebra por força bruta WL09 localização do arquivo de captura

6 Página 6 6 RESULTADOS OBTIDOS Durante 15 dias efetuei um ataque a todas as redes próximas, em um total de 34, utilizando dois notebooks. Um deles com dispositivo wireless TL-WN722N da TP- Link e outro com um TL-WN321G. O resultado foi a quebra de 6 delas. O resultado foi que das 34 redes identificadas, 8 utilizavam redes WPA, 1 WEP e o restante WPA2. O tempo médio de obtenção do hash entre todas as 34 redes foi de cerca de 9 minutos cada. Obtive o hash em 100% dos casos, não importando o protocolo utilizado. A figura WL11, demonstrada anteriormente mostra a fase de escaneamento e algumas das redes atacadas. O horário mais efetivo de ataque se fez presente das 19:45 às 4:00 da manhã do dia anterior. A quebra de senha de 6 redes wireless foi possível com a criação de um arquivo worklist montado especificamente com palavras utilizadas no cotidiano das pessoas da região. Das 34 redes diferentes que efetuei ataque durante 15 dias, em 6 delas obtive sucesso em descobrir a senha. Das 6 redes identificadas e invadidas, foi possível chegar até o portal administrativo do ponto de acesso em 100% dos casos. Encontrei vulnerabilidades exploráveis com a ferramenta NESSUS em pelo menos 8 equipamentos dentro de todas as 6 redes. Todas as 6 redes possuíam equipamentos com algum tipo de vulnerabilidade explorável. Os sistemas operacionais encontrados nessas redes variavam entre o Windows XP até sua versão mais atual, o Windows 10. Não pude precisar mais detalhes, pois interrompi o processo para finalização do artigo, uma vez que o objetivo principal havia sido concluído, porém, se eu obtive acesso a tantos dados, qualquer um com um pouco de tempo extra, teria ido mais longe. complexa com padrões específicos pode ajudar muito a dificultar o processo de ataque e invasão. Mesmo ferramentas mais simples que utilizam uma técnica tão primaria como a força bruta, ainda apresentam resposta positiva. Mesmo conseguindo quebrar a segurança de 6 redes de um total de 34 (18%), tenho certeza que poderia aumentar o sucesso dos ataques com melhor refinamento da técnica de footprinting. 8 REFERENCIAS BIBLIOGRAFICAS - CORREIO BRASILIENSE. Crescimento das redes sem fio sinaliza começo da "década da mobilidade" - ologia/2011/05/03/interna_tecnologia,250723/crescime nto-das-redes-sem-fio-sinaliza-comeco-da-decada-damobilidade.shtml - HARDWARE. Pesquisa da IDC revela que o mercado de rede sem fio ficou estável no primeiro trimestre de KALITUTORIALS. Hack WPA/WPA-2 PSK Capturing the Handshake LIVRO Hackers Expostos 7 Segredos e Soluções para a Segurança de Redes 7º Edição Editora bookman 7 CONCLUSÃO Existem inúmeras técnicas utilizadas para obter a senha de uma rede, entre elas está a quebra de criptografia e a obtenção dos dados através da negociação sobre a autenticação. Todas as técnicas permitem obter vantagem sobre falhas relacionadas a protocolos antes considerados seguros. Nesta técnica em especial, levase muito em conta a força da senha do usuário para com seu ponto de acesso, além de sua simplicidade. O fator humano ainda é ponto crucial para o sucesso dessa técnica. A simples atribuição de uma senha