WARDRIVING

Corso di sicurezza delle reti Wireless.

La Sapienza.
Dott. Ing Marco Ramilli
2
Origini.
Il termine WarDriving nasce intorno
alla fine del secolo scorso. All inizio f
concepito per il monitoraggio della
sicurezza delle prime reti wireless
urbane . Per la verit il termine
originale era WarFlying. Gli enti
statistici americani effettuavano
questa procedura per stilare grafi sull
avanzamento tecnologico del paese.
3
Origini.
Oggigiorno diventata lazione urbana di
piccoli hacker che si dilettano a
collezionare accessi alla rete.
Coloro che attuano questa tecnica,
vengono chiamati WarDriver, essi hanno
nozioni tecniche mezzi idonei e linguaggi
particolari che utilizzano regolarmente in
quest attivit.
4
Simbologia.
Open Node
Close Node
Encripted Node
5
Simbologia.
Una strada a Londra. In Germania.
A Torino.
Marciapiede Roma.
6
Strumenti Hardware.
Per i pi bravi.
7
Strumenti Hardware.
Per i pi bravi.
8
Strumenti Hardware.
Per questo corso sufficiente molto meno.
PrismII based card.
Orinoco based card
or
9
A caccia di wireless.
Primo passo:
Scoprire reti Wireless.
ACTIVE DISCOVERY.
Inviando Probe Request.
Per esempio NetStumbler (http://www.netstumbler.com).
PASSIVE DISCOVERY.
Restando in ascolto, captando il segnale radio emesso
dagli Access Point.
Per esempio Kismet o Airsnort.
(http://www.kismetwireless.net/).
(http://airsnort.shmoo.com/).
10
A caccia di wireless.
11
A caccia di wireless.
12
A caccia di wireless.
KISSMAC solo un esempio di uno dei tanti
Tools per il monitoring di wireless. Quello che
necessario comprendere sono le seguenti
informazioni:
Numero di canale in cui avviene la comunicazione
Tipologia di comunicazione (Wired,ad-Hoc)
Tipologia di sicurezza (WEP, WPA, WPA2 )
Numero e MAC address delle stazioni associate
Nome della rete (SSID)
Distribuzione temporale della banda disponibile.
Questo risulta particolarmente utile soprattutto se si vogliono
utilizzare tecniche di attacco dipendenti dala vicininanza dell
AP.
13
AIRCRACK.
Secondo ed ultimo passo:
Utilizzo di AirCrack
Che cosa AirCrack ?
AirCrack un insieme di strumenti nati per il sucurity
testing delle reti Wireless esso prevede:
Airodump: 802.11 sniffer
Aireplay: 802.11 generatore di pacchetti
Aircrack: cracker per chiavi WEP e WPA-PSK
Airdecap: decifra file catturati su WEP/WPA
14
AIRCRACK.
IDEA base:
Catturare quanto pi traffico cifrato possibile
(airodump).
Ad ogni pacchetto WEP vi associato un Vettore di
Inizializzazione (IV) da 3-byte.
Dopo molti (daremo poi un ordine di grandezza)
pacchetti catturati utilizziamo AirCrack il quale
eseguir una SERIE di attacchi statistici. (Attacchi
Korek)
Primo sorgente disponibile ; una demo di Korek
http://www.netstumbler.org/showthread.php?postid=89036#p
ost89036
15
AIRCRACK.
Ricordare :
E necessario essere vicino alla rete wireless.
Deve essere presente traffico in rete.
E necessario fare molta attenzione al Firmware
della Scheda WiFi e ai driver utilizzati, solo alcune
schede come le Prism, PrismII sono pienamente
supportate.
16
AIRCRACK.
Tabella chipset funzionanti
17
AIRCRACK.
Tabella chipset funzionanti
18
AIRCRACK.
Utilizzo di airodump.
airodump <interface> <output prefix> [channel] [IVs flag]
Il risultato sar un file .cap / .dump .
Altri tools utilizzano file .Ivs, possibile convertire i file
utilizzando pcap2ivs.
Utilizzando airodump catturo i pacchetti presenti nell etere
19
AIRCRACK.
BSSID: MAC address dell access point
PWR: Livello di segnale come riportato dalla
scheda se =-1 , il driver della scheda difettoso.
Beacons: Numero di pacchetti di annuncio
spediti dall AP.
#Data: Numero di pacchetti dati catturati.
CH: Numero di canale in cui airodump in
ascolto.
20
AIRCRACK.
MB: massima velocit supportata dall AP.
Se MB = 11, allora 802.11b
Se MB = 22, allora 802.11b+
Se MB > 22, allora 802.11g
Se MB = 54, allora
802.11g+ShortPreamble.
21
AIRCRACK.
ENC: Algoritmo di cifratura in uso.
Se ENC = OPN, libero.
Se ENC = WEP, WEP.
Se ENC = WEP?, non ci sono
abbastanza informazioni per distinguere
la crittografia utilizzata
Se ENC = WPA se TKIP o CCMP in
uso
22
AIRCRACK.
ESSID : Il SSID dell AP. Se esso
nascosto airodump cerca di scovarlo
tramite i client ad esso collegati.
STATION : Il MAC address di ogni station
associata.
23
AIRCRACK.
Sono necessari circa 2 Milioni di pacchetti per
risalire alla chiave WEP. Molto spesso le
catture avvengono in momenti differenti,
quindi sono presenti pi file di cattura da
processare con aircrack. E necessario unire
tutti i vari file di cattura, possibile utilizzare l
utility mergecap.
Mergecap parte del pacchetto ethereal-
common e presente anche per la
distribuzione win32.
24
AIRCRACK.
Esempio :
mergecap -w out.cap test1.cap test2.cap test3.cap
I files .ivs possono essere uniti con il
programma mergeivs.
Lutilizzo simile al precedente.
25
AIRCRACK.
Pu risultare utile cambiare il proprio MAC
address, per non farsi riconosccere.
Ifconfig ath0 down
Ifconfig ath0 hw ether 00:11:22:33:44:55
Ifconfig ath0 up
Su windows si pu usare macmakeup.
http://www.gorlani.com/Docs/aircrack_documentation_ita.html
26
AIRCRACK.
Aireplay:
Grazie a questo generatore di pacchetti
si possono forgiare header in modo da
velocizzare la cattura dei pacchetti:
necessitano solo 15 minuti in media.
Aireplay fornisce 5 attacchi differenti.
27
AIRCRACK.
Aireplay attacco 0:
Deautentication. Questo attacco utile per
recuperare un ESSID nascosto e per
catturare gli handshackes WPA forzando i
client a riautenticarsi. Pu anche essere
utilizzato per generare richieste ARP come
fanno Client Windows quando svuotano le
ARP chache in fase di disconnessione.
Ovviamente tale attacco risulta inutile se
non vi sono Stazioni Associate.
28
AIRCRACK.
Esempio airplay attacco 0.
Cattura HandShacke WPA con Astheros.
airmon.sh start ath0
airodump ath0 out 6 (switch to another console)
aireplay -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B
ath0(wait for a few seconds)
aircrack -w /path/to/dictionary out.cap
Generazione di una ARP requestion Prism.
airmon.sh start wlan0
airodump wlan0 out 6 (switch to another console)
aireplay -0 10 -a 00:13:10:30:24:9C wlan0
aireplay -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B wlan0
29
AIRCRACK.
Aireplay attacco 1:
Autenticazione falsa. Tale attacco serve se
si ha bisogno di un MAC address associato
per gli attacchi 2,3,4. In generale
necessario possedere un MAC vero.
30
AIRCRACK.
Aireplay attacco 2:
Replay interattivo dei pacchetti.Questo
attacco permette di scegliere un pacchetto
specifico per il replay; a volte da risultati
migliori che lattacco 3 . Questo attacco
funziona solo se l AP recifra ogni
pacchetto introdotto .
31
AIRCRACK.
Esempio:
aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \ -m 68 -n 68 -p
0841 -h 00:09:5B:EB:C5:2B ath0
aireplay -2 -b 00:13:10:30:24:9C -d FF:FF:FF:FF:FF:FF \ -m 86 -n 86 -p
0841 -h 00:09:5B:EB:C5:2B ath0
32
AIRCRACK.
Aireplay attacco 3:
ARP-request reinjection. E il classico
attacco ARP-request. E necessario un
MAC address di un client associato o di un
MAC falso dell attacco 1.
33
AIRCRACK.
Aireplay attacco 4:
KreKs chopchop (CRC predication).
Tramite questo attacco non si risale alla
chiave WEP ma riesce a decifrare un file
codificato tramite WEP e WEP dinamico.
Non tutti gli AP sono vulnerabili a questo
attacco.
34
AIRCRACK.
Aireplay attacco 4:
Esempio:
1) Prima decifriamo un pacchetto:
aireplay -4 -h 00:09:5B:EB:C5:2B ath0
2) Analizziamo le comunicazioni di 3 livello:
tcpdump -s 0 -n -e -r replay_dec-0627-022301.capreading from file replay_dec-
0627-022301.cap, link-type [...]
IP 192.168.1.2 > 192.168.1.255: i cmp 64: echo request seq 1
3)Creiamo una falsa ARP Request:
L IP sorgente non necessario, ma quello di
destinazione 192.168.1.2 deve rispondere alle ARP
request. IL MAC address sorgente deve essere quello di
un client sorgente
./arpforge replay_dec-0627-022301.xor 1 00:13:10:30:24:9C \
00:09:5B:EB:C5:2B 192.168.1.100 192.168.1.2 arp.cap
35
AIRCRACK.
Aireplay attacco 4:
4) Eseguiamo il replay della ARP request
falsa:
aireplay -2 -r arp.cap ath0.
Una volta ottenuto il file .cap possibile
utilizzare aircrack per decodificare la
passKey.
36
NetStumbler.
Un esempio di utilizzo di NetStumbler
37
AirSnort.
Un altro tool molto comodo per la decodifica .
38
WEPCrack.
Meno semplice di AirSnort, ma estremamente portabile
39
Vulnerability.
Non dimentichiamo che ogni AP possiede un
Firmware ed un set di Software per la
gestione dei processi. Ogni software
soggetto a bugs.
Vediamo un esempio
40
Vulnerability.
41
Vulnerability.
PONG, un semplice Windows Tool, per lexploit
I D-LINK afetti.
42
WEPLAB.
WEPLAB un ottimo strumento per il testing di
reti WEP, nella sua ultima versione possiede
numerosi strumenti di contorno per effettuare
innumerevoli prove alternative al solito WEP
Cracking.
Attacchi al WEP implementati:
BrteForce.
Dictionary.
Statistical Attack. (Sar di nostro interesse)
43
WEPLAB.
Vediamo alcuni esempi:
Cattura di traffico 802.11:
weplab -c <nomeFile>
Analisi del traffico catturato:
weplab -a <file.cap>
Cracking del traffico con dizionario:
cat dictionary | weplab -y file.cap
Cracking del traffico con l ausilio di J ohn:
john -i -stdout | weplab -y file.cap
Cracking del traffico con Attacco Statistico:
weplab -r file.cap
44
BACK-TRACK.
Distribuzione Slackware aggiornata con principali
tools per il cracking.
In questa distribuzione LIVE (senza bisogno di
installazione) sono gi presenti:
driver per schede ORINOCO e PRISM.
Aircrack,airodump e aireplay.
WepLab.
molti altri strumenti utili
45
BACK-TRACK.
Passi PRINCIPALI di nostro interesse.
monitor.wlan <interfaccia> <canale>
Grazie a questo script settiamo la scheda WiFI in promisque
mode su un particolare canale di nostro interesse.
airodump <interface> <output prefix> [channel] [IVs flag]
Avviamo lo Sniffer creando un file .cap
aireplay -3 -b <bsid> -h <smac> wlan0
In questo modo eseguiamo del Packet Injection per
aumentare la cattura degli IV.
weplab -r file.cap
Decifriamo la chiave utilizzando un attacco di tipo
statistico.
46
BACK-TRACK.
Passo1: Avvio dello script monitor.wlan0
47
BACK-TRACK.
Passo 2 : Avvio di airodump
48
BACK-TRACK.
Passo 3: Avvio di aireplay .
49
BACK-TRACK.
Passo4 : Deautentication (DoS).
50
BACK-TRACK.
Passo5: Aircrack.
51
Come riassumere
52
10 Consigli.
1. Essere scuri di conoscere tutti gli AP
presenti nella propria rete.
2. Eliminare il default.
1. Cambiare lutente di default (admin).
2. Cambiare il SSID di default.
3. Disattivare il SSID broadCast.
4. Controllare\modificare il range di broadCast.
5. Abilitare MAC Filtering.
53
10 Consigli.
6. Configurare DHCP per non accettare pi di 50
connessioni sul AP.
7. Prendere in considerazione l utilizzo di VPN per
ogni cliente.
8. Quando si pensa alla sicurezza, non pensare al
WEP.
9. Abilitare un server RADIUS
1. Oggi possibile anche attraverso l
integrazione di Active Directory e Radius.
10. Pensare di utilizzare applicazioni ad-hoc
1. http://www.trapezenetworks.com/en/products/descriptions.asp
#MobilityPoint
54
Non Dimenticate.
WarDriving considerato un REATO !
In particolare si segnalano:
Art 617-quater c.p. - Intercettazione, impedimento o interruzione
illecita di comunicazioni informatiche o telematiche
Art 617-quinquies c.p. - Installazione di apparecchiature atte ad
intercettare, impedire o interrompere comunicazioni informatiche o
telematiche
Art 615-ter c.p. - Accesso abusivo a un sistema informatico o
telematico
Il nostro scopo non insegnare a Violare le reti Wireless
ma di dimostrare come esse sono poco affidabili
attualmente, in modo da stimolare ricercatori e gente
competente come voi a non fidarsi dei principali protocolli
messi in commercio.