La Sapienza. Dott. Ing Marco Ramilli 2 Origini. Il termine WarDriving nasce intorno alla fine del secolo scorso. All inizio f concepito per il monitoraggio della sicurezza delle prime reti wireless urbane . Per la verit il termine originale era WarFlying. Gli enti statistici americani effettuavano questa procedura per stilare grafi sull avanzamento tecnologico del paese. 3 Origini. Oggigiorno diventata lazione urbana di piccoli hacker che si dilettano a collezionare accessi alla rete. Coloro che attuano questa tecnica, vengono chiamati WarDriver, essi hanno nozioni tecniche mezzi idonei e linguaggi particolari che utilizzano regolarmente in quest attivit. 4 Simbologia. Open Node Close Node Encripted Node 5 Simbologia. Una strada a Londra. In Germania. A Torino. Marciapiede Roma. 6 Strumenti Hardware. Per i pi bravi. 7 Strumenti Hardware. Per i pi bravi. 8 Strumenti Hardware. Per questo corso sufficiente molto meno. PrismII based card. Orinoco based card or 9 A caccia di wireless. Primo passo: Scoprire reti Wireless. ACTIVE DISCOVERY. Inviando Probe Request. Per esempio NetStumbler (http://www.netstumbler.com). PASSIVE DISCOVERY. Restando in ascolto, captando il segnale radio emesso dagli Access Point. Per esempio Kismet o Airsnort. (http://www.kismetwireless.net/). (http://airsnort.shmoo.com/). 10 A caccia di wireless. 11 A caccia di wireless. 12 A caccia di wireless. KISSMAC solo un esempio di uno dei tanti Tools per il monitoring di wireless. Quello che necessario comprendere sono le seguenti informazioni: Numero di canale in cui avviene la comunicazione Tipologia di comunicazione (Wired,ad-Hoc) Tipologia di sicurezza (WEP, WPA, WPA2 ) Numero e MAC address delle stazioni associate Nome della rete (SSID) Distribuzione temporale della banda disponibile. Questo risulta particolarmente utile soprattutto se si vogliono utilizzare tecniche di attacco dipendenti dala vicininanza dell AP. 13 AIRCRACK. Secondo ed ultimo passo: Utilizzo di AirCrack Che cosa AirCrack ? AirCrack un insieme di strumenti nati per il sucurity testing delle reti Wireless esso prevede: Airodump: 802.11 sniffer Aireplay: 802.11 generatore di pacchetti Aircrack: cracker per chiavi WEP e WPA-PSK Airdecap: decifra file catturati su WEP/WPA 14 AIRCRACK. IDEA base: Catturare quanto pi traffico cifrato possibile (airodump). Ad ogni pacchetto WEP vi associato un Vettore di Inizializzazione (IV) da 3-byte. Dopo molti (daremo poi un ordine di grandezza) pacchetti catturati utilizziamo AirCrack il quale eseguir una SERIE di attacchi statistici. (Attacchi Korek) Primo sorgente disponibile ; una demo di Korek http://www.netstumbler.org/showthread.php?postid=89036#p ost89036 15 AIRCRACK. Ricordare : E necessario essere vicino alla rete wireless. Deve essere presente traffico in rete. E necessario fare molta attenzione al Firmware della Scheda WiFi e ai driver utilizzati, solo alcune schede come le Prism, PrismII sono pienamente supportate. 16 AIRCRACK. Tabella chipset funzionanti 17 AIRCRACK. Tabella chipset funzionanti 18 AIRCRACK. Utilizzo di airodump. airodump <interface> <output prefix> [channel] [IVs flag] Il risultato sar un file .cap / .dump . Altri tools utilizzano file .Ivs, possibile convertire i file utilizzando pcap2ivs. Utilizzando airodump catturo i pacchetti presenti nell etere 19 AIRCRACK. BSSID: MAC address dell access point PWR: Livello di segnale come riportato dalla scheda se =-1 , il driver della scheda difettoso. Beacons: Numero di pacchetti di annuncio spediti dall AP. #Data: Numero di pacchetti dati catturati. CH: Numero di canale in cui airodump in ascolto. 20 AIRCRACK. MB: massima velocit supportata dall AP. Se MB = 11, allora 802.11b Se MB = 22, allora 802.11b+ Se MB > 22, allora 802.11g Se MB = 54, allora 802.11g+ShortPreamble. 21 AIRCRACK. ENC: Algoritmo di cifratura in uso. Se ENC = OPN, libero. Se ENC = WEP, WEP. Se ENC = WEP?, non ci sono abbastanza informazioni per distinguere la crittografia utilizzata Se ENC = WPA se TKIP o CCMP in uso 22 AIRCRACK. ESSID : Il SSID dell AP. Se esso nascosto airodump cerca di scovarlo tramite i client ad esso collegati. STATION : Il MAC address di ogni station associata. 23 AIRCRACK. Sono necessari circa 2 Milioni di pacchetti per risalire alla chiave WEP. Molto spesso le catture avvengono in momenti differenti, quindi sono presenti pi file di cattura da processare con aircrack. E necessario unire tutti i vari file di cattura, possibile utilizzare l utility mergecap. Mergecap parte del pacchetto ethereal- common e presente anche per la distribuzione win32. 24 AIRCRACK. Esempio : mergecap -w out.cap test1.cap test2.cap test3.cap I files .ivs possono essere uniti con il programma mergeivs. Lutilizzo simile al precedente. 25 AIRCRACK. Pu risultare utile cambiare il proprio MAC address, per non farsi riconosccere. Ifconfig ath0 down Ifconfig ath0 hw ether 00:11:22:33:44:55 Ifconfig ath0 up Su windows si pu usare macmakeup. http://www.gorlani.com/Docs/aircrack_documentation_ita.html 26 AIRCRACK. Aireplay: Grazie a questo generatore di pacchetti si possono forgiare header in modo da velocizzare la cattura dei pacchetti: necessitano solo 15 minuti in media. Aireplay fornisce 5 attacchi differenti. 27 AIRCRACK. Aireplay attacco 0: Deautentication. Questo attacco utile per recuperare un ESSID nascosto e per catturare gli handshackes WPA forzando i client a riautenticarsi. Pu anche essere utilizzato per generare richieste ARP come fanno Client Windows quando svuotano le ARP chache in fase di disconnessione. Ovviamente tale attacco risulta inutile se non vi sono Stazioni Associate. 28 AIRCRACK. Esempio airplay attacco 0. Cattura HandShacke WPA con Astheros. airmon.sh start ath0 airodump ath0 out 6 (switch to another console) aireplay -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0(wait for a few seconds) aircrack -w /path/to/dictionary out.cap Generazione di una ARP requestion Prism. airmon.sh start wlan0 airodump wlan0 out 6 (switch to another console) aireplay -0 10 -a 00:13:10:30:24:9C wlan0 aireplay -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B wlan0 29 AIRCRACK. Aireplay attacco 1: Autenticazione falsa. Tale attacco serve se si ha bisogno di un MAC address associato per gli attacchi 2,3,4. In generale necessario possedere un MAC vero. 30 AIRCRACK. Aireplay attacco 2: Replay interattivo dei pacchetti.Questo attacco permette di scegliere un pacchetto specifico per il replay; a volte da risultati migliori che lattacco 3 . Questo attacco funziona solo se l AP recifra ogni pacchetto introdotto . 31 AIRCRACK. Esempio: aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \ -m 68 -n 68 -p 0841 -h 00:09:5B:EB:C5:2B ath0 aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \ -m 86 -n 86 -p 0841 -h 00:09:5B:EB:C5:2B ath0 32 AIRCRACK. Aireplay attacco 3: ARP-request reinjection. E il classico attacco ARP-request. E necessario un MAC address di un client associato o di un MAC falso dell attacco 1. 33 AIRCRACK. Aireplay attacco 4: KreKs chopchop (CRC predication). Tramite questo attacco non si risale alla chiave WEP ma riesce a decifrare un file codificato tramite WEP e WEP dinamico. Non tutti gli AP sono vulnerabili a questo attacco. 34 AIRCRACK. Aireplay attacco 4: Esempio: 1) Prima decifriamo un pacchetto: aireplay -4 -h 00:09:5B:EB:C5:2B ath0 2) Analizziamo le comunicazioni di 3 livello: tcpdump -s 0 -n -e -r replay_dec-0627-022301.capreading from file replay_dec- 0627-022301.cap, link-type [...] IP 192.168.1.2 > 192.168.1.255: i cmp 64: echo request seq 1 3)Creiamo una falsa ARP Request: L IP sorgente non necessario, ma quello di destinazione 192.168.1.2 deve rispondere alle ARP request. IL MAC address sorgente deve essere quello di un client sorgente ./arpforge replay_dec-0627-022301.xor 1 00:13:10:30:24:9C \ 00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap 35 AIRCRACK. Aireplay attacco 4: 4) Eseguiamo il replay della ARP request falsa: aireplay -2 -r arp.cap ath0. Una volta ottenuto il file .cap possibile utilizzare aircrack per decodificare la passKey. 36 NetStumbler. Un esempio di utilizzo di NetStumbler 37 AirSnort. Un altro tool molto comodo per la decodifica . 38 WEPCrack. Meno semplice di AirSnort, ma estremamente portabile 39 Vulnerability. Non dimentichiamo che ogni AP possiede un Firmware ed un set di Software per la gestione dei processi. Ogni software soggetto a bugs. Vediamo un esempio 40 Vulnerability. 41 Vulnerability. PONG, un semplice Windows Tool, per lexploit I D-LINK afetti. 42 WEPLAB. WEPLAB un ottimo strumento per il testing di reti WEP, nella sua ultima versione possiede numerosi strumenti di contorno per effettuare innumerevoli prove alternative al solito WEP Cracking. Attacchi al WEP implementati: BrteForce. Dictionary. Statistical Attack. (Sar di nostro interesse) 43 WEPLAB. Vediamo alcuni esempi: Cattura di traffico 802.11: weplab -c <nomeFile> Analisi del traffico catturato: weplab -a <file.cap> Cracking del traffico con dizionario: cat dictionary | weplab -y file.cap Cracking del traffico con l ausilio di J ohn: john -i -stdout | weplab -y file.cap Cracking del traffico con Attacco Statistico: weplab -r file.cap 44 BACK-TRACK. Distribuzione Slackware aggiornata con principali tools per il cracking. In questa distribuzione LIVE (senza bisogno di installazione) sono gi presenti: driver per schede ORINOCO e PRISM. Aircrack,airodump e aireplay. WepLab. molti altri strumenti utili 45 BACK-TRACK. Passi PRINCIPALI di nostro interesse. monitor.wlan <interfaccia> <canale> Grazie a questo script settiamo la scheda WiFI in promisque mode su un particolare canale di nostro interesse. airodump <interface> <output prefix> [channel] [IVs flag] Avviamo lo Sniffer creando un file .cap aireplay -3 -b <bsid> -h <smac> wlan0 In questo modo eseguiamo del Packet Injection per aumentare la cattura degli IV. weplab -r file.cap Decifriamo la chiave utilizzando un attacco di tipo statistico. 46 BACK-TRACK. Passo1: Avvio dello script monitor.wlan0 47 BACK-TRACK. Passo 2 : Avvio di airodump 48 BACK-TRACK. Passo 3: Avvio di aireplay . 49 BACK-TRACK. Passo4 : Deautentication (DoS). 50 BACK-TRACK. Passo5: Aircrack. 51 Come riassumere 52 10 Consigli. 1. Essere scuri di conoscere tutti gli AP presenti nella propria rete. 2. Eliminare il default. 1. Cambiare lutente di default (admin). 2. Cambiare il SSID di default. 3. Disattivare il SSID broadCast. 4. Controllare\modificare il range di broadCast. 5. Abilitare MAC Filtering. 53 10 Consigli. 6. Configurare DHCP per non accettare pi di 50 connessioni sul AP. 7. Prendere in considerazione l utilizzo di VPN per ogni cliente. 8. Quando si pensa alla sicurezza, non pensare al WEP. 9. Abilitare un server RADIUS 1. Oggi possibile anche attraverso l integrazione di Active Directory e Radius. 10. Pensare di utilizzare applicazioni ad-hoc 1. http://www.trapezenetworks.com/en/products/descriptions.asp #MobilityPoint 54 Non Dimenticate. WarDriving considerato un REATO ! In particolare si segnalano: Art 617-quater c.p. - Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Art 617-quinquies c.p. - Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche Art 615-ter c.p. - Accesso abusivo a un sistema informatico o telematico Il nostro scopo non insegnare a Violare le reti Wireless ma di dimostrare come esse sono poco affidabili attualmente, in modo da stimolare ricercatori e gente competente come voi a non fidarsi dei principali protocolli messi in commercio.