Linux U Mnie Działa! Wi-Fi hacking bezpieczeństwo sieci bezprzewodowych Marek 'tezar' Magryś KN KERNEL, WFiIS AGH
Plan działania 1. Dlaczego ktoś chciałby się włamać? 2. Aktualne metody zabezpieczeń 4. Potrzebny sprzęt 8. Zbieranie informacji 16. Techniki włamań 32. Zapobieganie 64. Podsumowanie i Wielki Aplauz
Dlaczego ktoś się włamuje Jest kilka powodów: 1. Bo szuka darmowego internetu 2. Bo chce przechwycić interesujący ruch 3. Bo chce zrobić komuś zia-zia 4. Bo jest fanatykiem bezpieczeństwa 5. Bo chce się sprawdzić 6. Przypadkiem
Rodzaje zabezpieczeń Najczęściej spotykane metody zabezpieczeń sieci bezprzewodowych: - ukrywanie SSID - filtracja adresów MAC - WEP 64 i 128 bitowy - portale autoryzujące (NoCatAuth) - tunele VPN (PPTP i IPSec) - serwery Radius - WPA/PSK - WPA/EAP - rozwiązania komercyjne (EAP/LEAP itp.)
Czego potrzebujemy? Najlepiej posiadać laptopa (do skanowania i sniffowania wystarczy palmtop, np. Sharp Zaurus z OpenZaurusem) wraz z kilkoma akcesoriami: - karta PCMCIA Orinoco (180zł) - karta PCMCIA Prism 2/2.5/3.0 (100-250zł) - karta PCMCIA Cisco Aironet (100-200zł) - karta PCMCIA Atheros (bardzo trudno zdobyć) - pigtaile (ok. 25zł/szt) - anteny (zwykle do 100zł, kierunkowe ok.300zł) - system Linux (ewentualnie *BSD) (0zł)
Karty Orinoco Karta Orinoco Gold: moc 32mW, ale -94dBm!!! Możliwość podłączenia anteny (MC-CARD) Występuje pod markami: Proxim, Lucent, Enterasys, Dell.
Karty na chipsecie Prism Polecane karty: Senao LongRange 200mW i zew. antena Zcom XI-325HP+ - 100, 200 i 300mW!!! i dwie zew. anteny
Karty Cisco Cisco Aironet 350 czułe i potrafią regulować moc nadawania (od 1 do 100mW)
Karty na chipsecie Atheros Karty na chipsecie Atheros są niemal jedymi kartami wspierającymi wszystkie technologie wi-fi (802.11a/b/g). Oprócz tego są dość czułe, ale trudno dostępne jako karta PCMCIA (Zyxel, Netgear, Proxim, Orinoco), zwykle jako minipci
Zbieranie informacji Do zbierania informacji o sieciach bezprzewodowyc w okolicy (i nie tylko) posłuży nam narzędzie Kismet (www.kismetwireless.net) dostępne dla Linuxa, można również użyć GUI gkismet (gkismet.sourceforge.net). Można również używać programów typu airodump czy ethereal, ale musimy być podłączeni do sieci...
Techniki włamań Najpierw musimy zebrać jak najwięcej informacji. Najprostsze zabezpieczenia można bardzo łatwo ominąć: - omijanie filtrowania MAC: musimy dowiedzieć się jakie są adresy klientów i podszyć się pod któryś z nich - ukrywanie SSID: wystarczy poczekać na autoryzację jakiegoś klienta, lub przyspieszyć ten proces wysyłając ramki zrywające połączenie
Zabieramy się za WEP WEP, czyli Wired Equivalent Privacy jest oparty na szyfrowaniu RC4, występuje w odmianach 64 i 128 bitowych. Niestety w każdym z tych kluczy znajduje się przesyłany jawnie 24bitowy Wektor Inicjalizacyjny (IV), co w praktyce oznacza, iż mamy klucze 40 i 104 bitowe. W dodatku w algorytmie RC4 od 1995r. znane są błędy umożliwiające w dość szybki sposób złamanie klucza.
Narzędzia łamiące WEP Aby dobrać się do sieci 'bronionej' przez WEP64 lub WEP128 musimy nazbierać nieco danych (najlepiej w formacie pcap) i wrzucić je do airsnorta, lub lepiej aircracka. Można też ponownie wprowadzać zaszyfrowany ruch do sieci w celu zwiększenia ilości odbieranych pakietów, a co za tym idzie zmniejszenia czasu ataku. Służy do tego narzędzie aireplay dostarczane wraz z aircrackiem.
Krok dalej: WPA Zwykły mechanizm WPA (Wireless Protected Access) można dość prosto obejść, stosując również narzędzia z rodziny aircrack. W ten sposób możemy za pomocą metody brute-force (opartej na słowniku) złamać krótkie i słownikowe hasła chroniące klucz PSK. Należy jednak pamiętać, że atak tego typu może trwać bardzo długo i nie dać żadnych konkretnych rezultatów. Po odgadnięciu PSK możemy wygenerować własne klucze PMK, a na ich podstawie PTK.
Krok dalej: WPA Zwykły mechanizm WPA (Wireless Protected Access) można dość prosto obejść, stosując również narzędzia z rodziny aircrack. W ten sposób możemy za pomocą metody brute-force (opartej na słowniku) złamać krótkie i słownikowe hasła chroniące klucz PSK. Należy jednak pamiętać, że atak tego typu może trwać bardzo długo i nie dać żadnych konkretnych rezultatów. Po odgadnięciu PSK możemy wygenerować własne klucze PMK, a na ich podstawie PTK.
I tu koniec klasyki Niestety (a może na szczęście) w prosty sposób niemożliwe jest złamanie zabezpieczeń opartych na EAP, czyli autoryzacji bazodanowej, certyfikowanej PKI (np. X509), serwerach Radius czy LDAP. Jedyną rzeczą, którą możemy zrobić po napotkaniu takiej sieci to złośliwy atak DoS...
Inne podejście: VPN Kolejną metodą zabezpieczania sieci bezprzewodowych są wirtualne sieci prywatne (VPN). Najpopularniejsze rozwiązania tego typu to PPTP (MPPE/MPPC) oraz IPSec. IPSec jest otwartą implementacją, w przeciwieństwie do MPPC (MPPE jest dostępne w jądrach >2.6.14).
Atakujemy: atak na PPTP Atak na PPTP jest możliwy, gdyż do szyfrowania danych używa się MsCHAP. MsCHAPv1 było podatne na odgadywanie hasła, natomiast MsCHAPv2 jest już przyzwoicie bezpieczne. Można jednak próbować wymusić przejście na v1. Hasło można złamać za pomocą L0phtrack. Sposoby ataku: - DoS na port 1723 - nasłuchiwanie programem anger.c - próby ataku przez sniffer ettercap
Ataki man-in-the-middle Ataki MITM przynoszą bardzo ciekawe rezultaty w przypadku sieci bezprzewodowych. Za pomocą dwóch dobrych kart sieciowych (najlepiej Prism, ale może być też [jedna] Orinoco) możemy sprawić, żeby cały ruch szedł transparentnie przez nasz komputer. Oprócz zrzucania danych np. przez iptables czy tcpdump można w bardzo łatwy i przyjemny sposób przeprowadzić niewykrywalny atak MITM np. na stronę jakiegoś banku.
Portale autoryzujące Portale autoryzujące (np. NoCatAuth) są systemami doskonale nadającymi się np. Do kawiarenek internetowych czy poblicznych hotspotów. Logujemy się po prostu na podanej stronie www (do której dostęp jest otwarty) i mając cały czas otwarte połączenie (czyli de facto okno przeglądarki) możemy korzystać z sieci. Niestety metoda ta jest bardzo podatna na atak MITM.
Zapobieganie Zapobieganie włamaniom opiera się na bardzo oczywistych zasadach: należy stosować jak najdłuższe hasła, stosować ich rotację oraz łączyc możliwie najwięcej technik zabezpieczeń (to może zniechęcić włamywacza). Należy jednak mieć świadomość, że tak na prawdę nie ma stuprocentowego sposobu na bezpieczną sieć wifi, dlatego poufne dane należy dodatkowo szyfrować, lub nie przesyłać ich przez 'radio'. Bardzo pomocne są również systemy IDS.
Wielki Finał Dziękuję. Pytania?