Escolar Documentos
Profissional Documentos
Cultura Documentos
LONDRINA 2011
Ronald Lazarini
LONDRINA 2011
SUMRIO
1 INTRODUO.................................................................................................................4 2 ANLISE DA REDE SEM FIO.............................................................................................5 2.1 MTODOS DE CAPTURA DE PACOTES...............................................................................5 2.2 MTODOS DE ANLISE DE PACOTES...............................................................................8 2.2.1 SUPORTE INJEO DE PACOTES................................................................................8 2.2.2 ARP REPLAY........................................................................................................9 2.3 MTODO DE CRIPTOANLISE DA CHAVE DE AUTENTICAO.................................................11 2.3.1 MTODOS AIRCRACK-NG.........................................................................................12 REFERNCIAS........................................................................................................15
1 Introduo
Nos dias de hoje utiliza-se cada vez mais a transmisso sem fio entre computadores, possui vrias vantagens como facilidade na conexo, mobilidade e integrao de vrios equipamentos sem fio; porem necessrio analisar os aspectos de segurana, onde dependendo do protocolo criptogrfico ir garantir uma autenticidade, confidencialidade e integridade dos dados trafegados. A estrutura sem fio pode ser AD HOC, onde se conectam computadores entre si ou centralizada, onde se utiliza um ponto de acesso (AP) para gerenciar os equipamentos sem fio, montando assim uma rede de computadores sem fio. Todos os AP enviam por volta de 10 beacon frames por segundo. Esses pacotes contm as seguintes informaes:
Nome da rede (ESSID); Criptografia (WEP, WPA, WPA2); Taxas de transmisso de dados suportados; Canal da rede; Essas informaes so mostradas por uma ferramenta que analisa a
faixa de redes detectadas, quando sua placa de rede sem fio est configurada no modo monitor, ou seja, modo de configurao de sondagem por beacons. A ferramenta utilizada neste caso seria o airodump-ng. Aps esta coleta, utiliza-se o programa aircrack-ng para realizar a quebra da chave WEP/WPA PSK, onde demonstra a fragilidade de se utilizar a autenticao da rede sem fio por meio desses protocolos de autenticao.
WPA/WPA2 est em uso, voc precisa de autenticao EAPOL. O AP negar o acesso no passo 2. Access Point tem uma lista de clientes permitidos (endereos MAC), e no deixa ningum mais conectar-se. Isso chamado de Filtro de Endereo MAC, ou simplesmente, Filtro MAC.
Access Point usa Autenticao por Chave Compartilhada, voc precisa fornecer a chave WEP correta para conseguir conectar-se.
Para verificar qual a descrio que o Linux identificou sua placa de rede execute o comando iwconfig e aps executar o comando airmon-ng, execute novamente o comando iwconfig para verificar se a placa de rede sem fio est no modo monitor. Aps este processo, inicie o airodump-ng para procurar pelas redes: airodump-ng wlan0 Se o airodump-ng puder conectar-se ao dispositivo Wi-Fi, a tela do programa ser mostrada conforme a figura abaixo.
O airodump-ng salta de canal em canal, e mostra todos os Aps dos quais consegue receber beacons. O canal atual mostrado no canto superior esquerdo. Aps um curto perodo de tempo, alguns APs e alguns clientes associados iro ser mostrados na tela do airodump-ng. O quadro de dados superior mostra os APs encontrados: BSSID: O endereo MAC do AP; PWR: Fora do sinal; Beacons: Nmero de beacon frames recebidos. Se voc no tem a fora do sinal, voc pode estimar usando o nmero de beacons: quanto mais beacons, melhor a qualidade do sinal; Data: Nmero de frames de dados recebidos; CH: Canal no qual o AP est operando; MB: Velocidade ou Modo do AP. 11 significa 802.11b, 54 significa 802.11g;
ENC (Encriptao): OPN: sem criptografia; WEP: criptografia WEP; WPA: criptografia WPA ou WPA2; ESSID: Nome da rede. s vezes escondido.
BSSID: O endereo MAC do AP no qual esse cliente est associado; STATION: O endereo MAC do cliente; PWR: Fora do sinal; PACKETS: Nmero de frames de dados recebidos; PROBES: Nomes das redes (ESSIDs) que este cliente sondou. Aps anlise das redes detectadas, identifique a rede que tenha o
protocolo de autenticao mais fraco (WEP), que esteja capturando com um bom sinal e que pelo menos um usurio esteja conectado. Por causa dos saltos dos canais voc no ir capturar todos os pacotes da sua rede alvo. Ento ns queremos escutar somente um canal e ainda salvar todos os dados no disco, para que possa utiliz-lo para quebrar a chave: airodump-ng -c 11 - -bssid 00:01:02:03:04:05 -w dump wlan0 Com o parmetro -c voc sintoniza um canal especfico, e o parmetro seguinte -w o prefixo para gravar os dados da rede no disco. O -bssid em combinao com o endereo MAC do AP limita a captura para aquele AP. A opo - -bssid est disponvel somente em verses novas do airodump-ng. Voc pode tambm adicionar o parmetro - -ivs. Esse diz ao airodump-ng para capturar somente os IVs, pra economizar espao. Antes de estar pronto para quebrar o WEP, voc geralmente precisa de algo entre 250.000 e 500.000 Vetores de Inicializao diferentes (IVs). Cada pacote de dados contm um IV. IVs podem ser reutilizados, portanto os nmeros de IVs diferentes so um pouco menor do que o nmero de pacote de dados capturados. Se a rede no est ocupada levar muito tempo, em geral voc pode aumentar bastante a velocidade da captura utilizando um ataque passivo, como o Packet Replay.
aireplay-ng - -fakeauth 0 -e "your network ESSID" -a 00:01:02:03:04:05 -h 00:11:22:33:44:55 wlan0 O valor aps -a o BSSID do seu AP, o valor aps -h o MAC do seu prprio dispositivo Wi-Fi. Se injeo funciona, voc deve ver algo assim: 12:14:06 Sending Authentication Request 12:14:06 Authentication successful 12:14:06 Sending Association Request 12:14:07 Association successful Se no funcionar, verifique as opes a seguir:
1. Verifique duas vezes o ESSID, BSSID e seu prprio MAC; 2. Tenha certeza de que seu AP tenha o Filtro de MAC desabilitado; 3. Teste contra outro AP; 4. Tenha certeza de que seu driver est propriamente com o 'patch' e tenha
suporte;
5. Ao invs de 0, tente 6000 -o 1 -q 10.
10
aireplay-ng - -arpreplay -b 00:01:02:03:04:05 -h 00:04:05:06:07:08 wlan0 -b especifica o BSSID alvo, e -h o endereo MAC do cliente conectado. Agora voc tem que esperar um pacote ARP chegar. Se voc obteve xito, ver algo parecido com isso: Saving ARP requests in replay_arp-0627-121526.cap You must also start airodump to capture replies. Read 2493 packets (got 1 ARP requests), sent 1305 packets... Se voc tiver que parar o ataque ARP Replay, no ter que esperar o prximo pacote ARP aparecer, mas pode reutilizar o pacote capturado anteriormente com a opo -r <nome do arquivo>. Quando usar a tcnica de injeo ARP, voc pode usar o mtodo PTW para quebrar a chave WEP. Esse reduz dramaticamente o nmero de pacotes de dados que voc precisa, e tambm o tempo necessrio. Voc precisa capturar o pacote competo no airodump-ng, o que significa no usar a opo - - ivs quando execut-lo. Para aircrack-ng, use aircrack -z <nome do arquivo>. Se o nmero de pacotes de dados recebidos pelo airodump-ng parar de aumentar de vez enquando, ento voc talvez tenha que reduzir a taxa de ARP Replay. Voc faz isso com a opo -x <pacotes por segundo>. Eu geralmente comeo com 50, e vou reduzindo at que os pacotes voltem a ser recebidos continuamente. Melhor posicionamento da sua antena ocasionalmente tambm ajuda. Maneira Agressiva A maioria dos sistemas operacionais apagam a ARP cache quando disconectados. Se eles querem mandar o prximo pacote aps a reconexo (ou simplesmente usando DHCP), eles tm que mandar ARP Requests. Ento a idia desconectar um cliente e forc-lo a reconectar para podermos capturar um ARP Request. Um outro efeito que voc pode sniffar (farejar) o ESSID durante a reconexo tambm. Isso facilita as coisas, se o ESSID do seu alvo est escondido. Mantenha seu airodump-ng e aireplay-ng rodando. Abra outra janela, e execute um ataque de desautenticao: aireplay-ng - -deauth 5 -a 00:01:02:03:04:05 -c 00:04:05:06:07:08 wlan0 -a o BSSID do AP, e -c o MAC do cliente alvo.
11
Espere alguns segundos e seus ARP Replay devem comear a executar. A maioria dos clientes tentam reconectar automaticamente. Mas o risco de algum reconhecer esse ataque, ou ao menos ter a sua ateno dirigida s coisas acontecendo na rede Wi-Fi maior que em outros ataques.
O ataque FMS: Foi o primeiro a conseguir quebrar o WEP em 2001. Ele baseia na
idia de que o atacante recebe passivamente as mensagens enviadas por alguma rede, salvando esses pacotes criptografados com os vetores de inicializao usados por eles. Isso porque os primeiros bytes do corpo da maioria dos pacotes so facilmente previsveis e o atacante pode conseguir usando alguma pouca matemtica e analisando uma grande quantidade de pacotes, descobrir a senha de criptografia da rede. Esse tipo de ataque precisa de 4 a 6 milhes de pacotes para ter ao menos 50% de sucesso.
12
O ataque KoreK: Esse mtodo foi implementado e demonstrado em 2004 neste frum
de Internet. Ele uma evoluo do FMS, pois analisa mais bytes do pacote que so recebidos. Dessa maneira consegue se descobrir mais rapidamente a chave. Esse ataque reduziu para aproximadamente 700 mil pacotes para ter 50% de chances de sucesso.
O ataque PTW: Divulgado em 2007, como parte de uma nova gerao de ataques
WEP. Ele introduz dois novos conceitos: O primeiro que todos os pacotes so usados para fazer uma correlao ainda mais profunda sobre os bytes recebidos e a suposta chave de criptografia. O segundo a mudana da estrutura do ataque. At agora, cada ataque usava uma arvore de deciso como estrutura de dados principal. Nesse mtodo usado um calculo diferente que permite achar mais rapidamente a chave sem o uso das mesmas estruturas de dados usadas nas outras. Com apenas 35 a 40 mil pacotes j se consegue ter 50% de sucesso. E essa quantidade de pacote pode ser obtida em menos de 60 segundo, numa rede rpida.
13
funciona com pacotes ARP Request/Reply e no pode ser empregado contra outro trfego. O segundo mtodo o mtodo FMS/Korek, o qual incorpora mltiplas tcnicas. Os Trabalhos de Tcnicas, na pgina de links, lista vrios trabalhos que descrevem essas tcnicas detalhadamente e a matemtica por detrs delas. Neste mtodo, mltiplas tcnicas so combinadas para quebrar a chave WEP:
Ataques FMS (Fluhrer, Mantin, Shamir) - tcnicas estatsticas; Ataques Korek - tcnicas estatsticas; Fora-Bruta. Quando no uso de tcnicas estatsticas para quebrar a chave WEP,
cada byte da chave em essencial manipulada individualmente. Usando matemtica estatstica, a possibilidade de um certo byte na chave ser adivinhado corretamente sobe at 15% quando o Vetor de Inicializao (IV) correto capturado para um byte de chave particular. Essencialmente, certos IVs "vazam" a chave WEP secreta para bytes de chaves especficos. Esta a base fundamental das tcnicas de estatstica. Aps capturar o mximo de pacotes IVs, utiliza-se o aircrack para q descoberta da chave de autenticao, neste caso, segue o exemplo: Aircrack-ng <nome do pacote>.ivs Ser visualizada a figura abaixo.
Aps 6 segundos e dependendo do numero de dados IVs adquiridos ser apresentado a senha, ou se no for possvel a descriptografia da chave de autenticao dever adquirir mais pacotes.
14
15
REFERNCIAS
ASPYCT Org. Aircrack-ng. Disponvel em: http://www.aircrack-ng.org/doku.php? id=tutorial. Acesso em: 22 out. 2011. Guia do Hacker. Tutorial Aircrack-ng. Disponvel em: http://forum.guiadohacker.com.br/showthread.php?t=8215. Acesso em 23 out 2011. Viva Linux. Linux: Aircrack e sua famlia para quebrar WEP e WPA. Disponvel em: http://www.vivaolinux.com.br/artigo/Aircrackng-e-sua-familia-para-quebrar-WEP-eWPA1. Acesso em 24 de out. 2011. WIKIPEDIA, A Enciclopdia livre. Aircrack-ng. Disponvel em: http://pt.wikipedia.org/wiki/Aircrack-ng. Acesso em 24 de out. 2011.