Prelomenie WPA / WPA2-PSK cez WPS ľahko a rýchlo (prax)

 Na začiatok pre všetkých s nie veľmi čistými úmyslami musíme konštatovať, že veľmi úspešne rastie zabezpečenie proti tomuto útoku a to vďaka prílivu nových routerov do domácností.
Tieto routery používajú tú najjednoduchšiu ochranu proti útoku hrubou silou a to že zamknú WPS po niekoľkých neúspešných pokusoch (dokonca na dobu rastúcu exponenciálne),tak útok je tak v podstate nereálny.

Na úvod samozrejme musíme začať tým, že vykonávať takéto útoky na cudzie siete s cieľom získať k nim prístup je veľmi neslušné a možno aj niečo viac.
Preto zdôrazňujeme, že nasledujúci postup píšeme hlavne pre tých, ktorí si chcú overiť zabezpečenie vlastnej siete a alebo chcú upozorniť na slabo zabezpečenú sieť svojho suseda.
Zároveň je tento postup vhodný pre tých, ktorí si chcú overiť teoretické vedomosti získané v predchádzajúcom príspevku.

Predpoklady

Na vykonanie úspešného útoku budeme potrebovať nasledujúce veci:

• Wifi sieť zabezpečenú šifrovaním WPA (2) -PSK s aktívnym WPS
• Wifi router nesmie byť príliš ďaleko (potrebujeme relatívne dobrý signál)
• Notebook/ PC s wifi kartou kompatibilný s Aircrack-ng
• BackTrack Linux – Penetration Testing Distribution (voľne k stiahnutiu, viď update nižšie)
• Niečo medzi jednou až dvanástimi hodinami času

Mať útok, resp. útočiť na router s aktivite WPS je naozaj nutnosť, pretože útočíte na slabinu WPS, nie WPA-PSK alebo WPA2-PSK.

UPDATE: BackTrack už nie je aktuálne

… a nemožno ho oficiálnou cestou stiahnuť.
Postup opísaný nižšie ale stále platí!
Najlepšie je prejsť na Kali Linux, ponúka rovnaké alebo lepšie nástroje.
Kto chce BackTrack 5, môže využiť torrent, kde táto distribúcia bude určite ešte dlhú dobu k dispozícii na stiahnutie.

Čo získame?

Ak bude náš útok úspešný, získame cez slabinu WPS heslo k wifi sieti, teda časť PSK z WPA(2) -PSK.
Útok a jeho časová náročnosť nemá vôbec žiadnu súvislosť s kvalitou použitého kľúča (heslá), pretože znovu opakujeme, útočíte na WPS, nie na WPA.
Naďalej platí, že WPA ako také nemožno prelomiť inak ako hrubou silou a je tak teoreticky samo o sebe neprelomiteľné v prípade, že je heslo dostatočne silné.

Predstavenie BackTrack Linux

BackTrack Linux bude náš hackovací nástroj.
Ide o špeciálnu linuxovú distribúciu zameriavajúcu sa na bezpečnosť s využitím hackingu.
BackTrack Linux ponúka kompiláciu nástrojov, pomocou ktorých možno vykonávať útoky (hacking) a tým overovať úroveň zabezpečenia testovaných obetí.
Hoci v distribúcii použité nástroje pre hacking môžete získať aj do ktorejkoľvek inej bežnej linuxové distribúcie (a možno aj do Windows), v BackTrack Linux máte všetko zladené a pripravené pre jednoduché použitie – o čom sa koniec koncov sami za chvíľu presvedčíte.

Stiahnutie a príprava

Aktuálnu verziu si môžete stiahnuť vždy na stránke BackTrack Linux – downloads, v čase písania článku je aktuálnou verziou BackTrack 5 R3.
Veľmi vhodné vzhľadom k rýchlosti je sťahovať distribúciu cez torrent (pozn .: aspoň po dlhej dobe využijete torrent klienta pre niečo, k čomu bol naozaj stvorený;)).

Na stiahnutie je na výber niekoľko kombinácií hotových systémov 32 a 64- bitové systémy a prostredia plochy (desktop environment) GNOME alebo KDE.
Ak neviete o čo ide, zvoľte napríklad GNOME a 32 bitovú variantu.
GNOME preferujeme aj my a všetky ukážky tu budú práve z tohto prostredia.
32-bitová varianta systému pobeží na každom (i starším) strojmi, zatiaľ čo 64-bitová verzia má predpoklady byť výkonnejšia ako 32 bitová, ale pobeží iba na podporovanom hardvéri (architektúre) – nejakú dobu už sú v podstate všetky notebooky a PC na Intel platforme 64-bitové (x64).

{googleads left}

K dispozícii je ISO obraz a tiež obraz pre virtualizované prostredie (VMWare).
Preferujeme ISO obraz, ktorý fyzicky vypálime na DVD a z neho potom nabootujeme hotový systém na nejakom notebooku, ktorý máme práve k dispozícii.
BackTrack Linux sa neinštaluje, je to live distribúcia, ktorá sa spúšťa priamo z DVD a môže sa rovno používať.
Teda presnejšie povedané, je to jeden z možných spôsobov použitia.
Vďaka tomu možno distribúciu spustiť na takmer ľubovoľnom stroji bez dlhých príprav.

Startujeme BackTrack Linux

Takže máme stiahnuté a vypálené, DVD vložené v notebooku a štartujeme.

BackTrack Linux 5 R3 – GNOME desktop

Aj v prostredí GNOME, ale budeme pracovať iba s príkazovým riadkom.
Výhodou oproti klasickému príkazovému riadku môže byť to, že si týchto okien môžeme otvoriť hneď niekoľko.
K otvoreniu okna príkazového riadka použijeme hornú lištu, kde je popri ponuke System pripravený zástupcu pre jeho spustenie.

BackTrack Linux 5 R3 – príkazový riadok

Hackujeme

Teraz nás čaká prevedenie samotného útoku.
Pomocou pár utilít vytvoríme z wifi karty a nášho počítača penetračný nástroj.

Prepnutie wifi karty do monitorovacieho režimu

Prvým krokom je prepnutie bezdrôtovej karty do monitorovacieho režimu.
K tomu použijeme utilitu airmon-ng a to v nasledujúcej syntaxi:

airmon-ng start wlan0

BackTrack Linux 5 R3 – airmon-ng

Parameter wlan0 je označenie fyzickej wifi karty.
Linux čísluje tieto karty od nuly, jedná sa teda o prvú kartu.
Ak je v systéme viac kariet (napríklad interná + cez USB), je možné parameter upraviť na požadovanú hodnotu.
Po vykonaní príkazu sa vytvorí nový virtuálny adaptér s označením mon0, s ktorým budeme neskôr pracovať.
Pozn .: Ak chcete zobraziť zoznam všetkých sieťových kariet v systéme (vrátane virtuálnych), použite príkaz ifconfig.

Získanie informácií o routeru

K samotnému útoku potrebujeme poznať MAC adresu testovaného routera, teda fyzickú adresu tohto zariadenia.
Ak teraz testujeme vlastný router, máme viac možností, ako adresu zistiť.
Najjednoduchšia cesta je cez webové rozhranie routera, popr. môže byť táto adresa vytlačená na niektorom z jeho štítkov.
Nezabudnime ale, že väčšina routerov umožňuje MAC adresu zmeniť (väčšinou sa klonom z PC).
My si ale zahráme na naozajstného hackera a potrebnú informáciu si zistíme pomocou utility airodump-ng.
Skutočný hacker totiž väčšinou k routeru, na ktorý útočí, nemá prístup.

airodump-ng mon0

Utilita akceptuje viac parametrov, pre základný sken okolia, ale stačí len odovzdať označenie adaptéra, ktorý chceme použiť.
Všimnite si, že sme použili už virtuálny adaptér mon0.

airodump-ng

Necháme airodump bežať nejakú chvíľu, kým sa v zozname neobjaví požadovaný router.
Z výpisu je zrejmý SSID každej siete (jej názov) a tiež MAC adresa zariadenia
Akonáhle vidíme požadovaný záznam, stlačíme Ctrl + C a vrátime sa tak späť do príkazového riadku.

Začatie brute-force útoku

V tejto chvíli máme všetky potrebné informácie pre spustenie útoku.
Na rad prichádza posledný utilita reaver, ktorá vykoná samotný útok hrubou silou.
Za predpokladu, že MAC adresa nášho routeru je 11: 22: 33: 44: 55: 66 a pre útok použijeme virtuálny mon0 adaptér, pustíme reaver s nasledujúcimi parametrami:

Reaver -i mon0 -b 11: 22: 33: 44: 55: 66 -vv

Prvé dva parametre sú zrejmé, posledný z nich -vv inštruuje reaver, aby bol veľmi výrečný (very verbose), čo má za následok poskytnutie detailného výpisu na obrazovku počas útoku.

Reaver – práve spustené

Čo keď sa útok nerozbehne?

Ak sa po spustení útoku začne objavovať nasledujúce hláška:

[!] WARNING: Failed to associate with 11: 22: 33: 44: 55: 66 (ESSID: nazov)

Môžeme skúsiť spustiť v druhom okne príkazového riadku (terminálu) aireplay, ktorý začne generovať prevádzku vo wifi sieti a tým pomôže odstrániť problém s asociáciou.

spustíme aireplay (prvý terminál)

# Aireplay-ng mon0 -1 120 -a 11: 22: 33: 44: 55: 66 -e názov routeru (wifi siete)

spustíme Reaver (druhý terminál)

#reaver -i mon0 -A -b 11: 22: 33: 44: 55: 66 -vv

Neprehliadnite, že reaver dostal navyše parameter -A.

Ak sa útok zastaví ihneď po úspešnej asociácii s routerom, teda zostane stáť na tejto hláške:

[+] Associated with 11: 22: 33: 44: 55: 66 (ESSID: nazov)

nie je s najväčšou pravdepodobnosťou na routeri aktívny WPS.
Môžeme ešte skúsiť otestovať stav WPS pomocou utility wash:

wash -i mon0 -C

U aktívneho WPS by mal wash vypísať verziu WPS (1.0) a hodnota WPS Locked musí byť No.

Ako to funguje?

Finta celého útoku je v tom, že router potvrdí správnosť prvej polovice osemmiestneho PINu bez ohľadu na to, či súhlasí zvyšok.
Reaver tak v prvej fáze postupne skúša všetky možnosti v rozsahu 0000yyyy až 9999yyyy.
Pokiaľ je potrebných na jeden PIN zhruba 3 až 5 sekúnd, je zrejmé, že u PINu začínajúceho deviatkou bude útok hrubou silou trvať oveľa dlhšie (až 12 hodín), než u PINu začínajúceho napríklad jednotkou (hodina až dve).
Istotou však je, že ak router nemá implementované žiadne obranné mechanizmy, bude útok vždy úspešný a to radovo v maximálne desiatkach hodín.

Druhá časť útoku je už oveľa rýchlejšia, pretože druhá časť PINu má síce tiež štyri číslice, ale posledný z nich je kontrolný súčet, ktorý možno odvodiť z predchádzajúcich siedmich číslic.
Je teda nutné vyskúšať iba hodnoty v rozsahu xxxx000z až xxxx999z, kde xxxx už poznáme z predchádzajúcej prvej časti a hodnotu kontrolného súčtu z dopočítame.

Reaver – úspešný útok

Útok na tento konkrétny PIN netrval dlhšie ako dve hodiny.
Pre zaujímavosť ešte snímka nastavenie WPS na testovanom routeri:

Router QSS / WPS nastavenie

Po úspešnom útoku máme k dispozícii dva veľmi dôležité údaje.
Samotné heslo k WPA(2) -PSK a tiež PIN k WPS!
Pomocou PINu môžeme opakovane útočiť a získavať okamžite heslo k WPA.
Ak teda majiteľ routera zmení iba heslo a PIN zostane pôvodný, je to pre útočníka len minimálnu prekážka.

Reaver – hack s použitím PINu

Ako je vidieť, opakovaný útok netrval dlhšie ako 4 sekundy.

Čo sa môže počas útoku pokaziť

Útok sa nemusí podariť vždy.
Hlavným dôvodom môže byť to, že router nemá aktívny WPS alebo WPS vôbec nepodporuje.
Potom samozrejme útočiť na WPS nemožno.
Router môže tiež implementovať jeden alebo viac obranných mechanizmov, ktoré môžu útok značne časovo predĺžiť či dokonca v reálnej praxi znemožniť.
Z týchto poznatkov tiež plynie jediná účinná obrana proti tomuto druhu útoku – vypnúť WPS alebo mať router implementujúci obranné mechanizmy proti brute-force útoku.

zdroj:http://www.mrpear.net/cz/