wi-fi hacking – ataques e soluções
TRANSCRIPT
Atendimento Entre em contato a partir das 09:00h - ou através dos nossos e-mails
www.Treinup.com
Wi-Fi Hacking – Ataques e
Soluções
Marcos Flávio Araújo Assunção Certified Ethical Hacker
www.defhack.com.br Marcos Flávio Araújo Assunção
Redes 802.11 (Wi-Fi)
• Princípios • Frequências: 2.4GHz / 5 GHz • Canais e interferência • ESSID e BSSID • DS (Sistema de Distribuição) • IBSS ou AD-HOC • BSS • ESS
Marcos Flávio Araújo Assunção
Elementos de Segurança Wi-Fi
• Criptografia WEP, WEP2, WEP Dinâmico WPA, WPA2
• Autenticação OSA, Shared Key (WEP), WPA-PSK, WPA-Enterprise (802.1X)
• Rede invisível (ESSID oculto)
• Filtro de endereços MAC
• WIDS / WIPS (Wireless Intrusion Prevention System).
• Outros (VLAN, proteção contra ARP no AP, etc).
Marcos Flávio Araújo Assunção
Ataques à redes Wireless
Ataques à Infra-estrutura: Negação de Serviço (DoS) Burlar filtros de MAC WarDriving (detecção passiva/ativa)
Ataques de criptoanálise/força-bruta: Decriptação de IVS no WEP (Wep Cracking) Bruteforce em handhshakes WPA Bruteforce no WPS (Wireless Protected Setup)
Ataques ao usuário Wi-Fi: Rogue Access Point Evil Twin Ataque MITM com DNS Spoofing
Marcos Flávio Araújo Assunção
Wardriving
Mapeamento de redes wireless Usado como método de descoberta passiva de
redes
Tecnicamento envolve o uso de um automóvel para gravar informações wireless sobre uma larga àrea Warflying utilizam aviões ao invés de
automóveis
Wardriving em si não é uma atividade ilegal Usar o sinal de rádio para se conectar a redes sem a permissão do dono é ilegal
Marcos Flávio Araújo Assunção
Hardware para o wardriving
Antenas
Categorias básicas
Omni-direcional • Detecta igualmente sinais de todas as direções
Semi-direcional • Foca em uma direção específica
Direcional • Envia o sinal em uma direção bem definida
(ângulo bem fechado). Ideais para War-Driving e ataques de Evil Twin.
Marcos Flávio Araújo Assunção
Softwares para o wardriving
Aplicações open-source
Kismet
Roda em sistemas Linux (existe porte para Windows)
Pode reportar dados similares ao NetStumbler
Também suporta GPS
Pode capturar pacotes e salvá-los em um arquivo
airodump-ng
Possui quase todos os recursos do Kismet (menos o GPS). Permite integração com outras ferramentas da suíte NG.
Marcos Flávio Araújo Assunção
Ocultando uma rede para protegê-la
Marcos Flávio Araújo Assunção
Modo de Monitoração
Neste modo (RFMON) podemos monitorar o tráfego das redes wi-fi sem precisarmos nos
associar à elas. Utilitário: airmon-ng Marcos Flávio Araújo Assunção
Detectando redes ocultas Mesmo que uma rede esteja oculta podemos detectar sua
presença ao monitorar os probes dos dispositivos clientes
no Wireshark. Isso só é possível no modo de monitoração
com a interface mon0.
Marcos Flávio Araújo Assunção
Descobrindo APs e estações com Airodump
Permite monitorar redes wireless e capturar pacotes para serem analisados posteriormente. Consegue detectar Access Points em qualquer canal, mesmo estando “invisíveis”. Detecta também estações Wi-Fi associadas ou tentando se associar. Ou seja, as máquinas dos usuários serão detectadas.
Marcos Flávio Araújo Assunção
Vulnerabilidades do WEP
Implementação do WEP cria um padrão que pode ser detectado por atacantes (continuação) Alguns sistemas wireless sempre começam
com o mesmo IV
Colisão Dois pacotes criptografados com o mesmo IV
Ataque de dedução de chave Determina a chave através da análise de dois
pacotes que se colidiram (mesmo IV)
Marcos Flávio Araújo Assunção
WEP Hacking –Airodump
Primeiramente, usamos o airodump-ng para filtrar todas as redes com criptografia WEP disponíveis. No examplo acima selecionaremos a rede com o ESSID
carol para realizar o ataque.
airodump-ng --encrypt wep mon0
Marcos Flávio Araújo Assunção
WEP Hacking - Airodump
Na primeira imagem, rodamos o airodump-ng na interface mon0 filtrando: canal 11, bssid do AP da rede carol e salvando
o resultado para o arquivo chaveWEP. Veja o resultado na segunda imagem.
Agora, teremos que esperar. O campo “Data” deve capturar
milhares de pacotes IVS para que seja possível realizar a decoficação. Tem como acelerar o processo?
Marcos Flávio Araújo Assunção
WEP Hacking - Aireplay
Utilizando o aireplay-ng nós realizamos o ataque caffe-
latte que pede aos dispositivos conectados à rede carol
que nos enviem mais pacotes IVS. Com isso veja que
temos mais de 40000 pacotes no campo #Data. É mais
que suficiente para quebrar uma chave de 64 bits WEP.
Marcos Flávio Araújo Assunção
WEP Hacking - Aircrack
Executamos o aircrack-ng com o nome do arquivo que foi
capturado pelo airodump-ng. Veja que o número de IVS já
chegava a 71406. Com isso a chave foi rapidamente
quebrada. A chave utilizada é porco.
Marcos Flávio Araújo Assunção
Descriptografando os pacotes capturados
O airdecap-ng é um utilitário que consegue
descriptografar todo o tráfego armazenado em um arquivo
PCAP, bastando fornecer a chave WEP ou WPA
descoberta previamente. Assim, o atacante poderá utilizar
o Wireshark para visualizar os dados que já foram
capturados.
Marcos Flávio Araújo Assunção
Acesso Protegido Wi-Fi (WPA)
Padrão do 802.11i que cuida tanto da criptografia quanto da autenticação
Temporal Key Integrity Protocol (TKIP) Chaves TKIP são conhecidas como “chave por
pacote”
TKIP dinâmicamente gera uma nova chave para cada pacote criado
Previne colisões Que era justamente uma das fraquezas principais do
WEP
Marcos Flávio Araújo Assunção
Acesso Protegido Wi-Fi 2 (WPA2)
Segunda geração da segurança WPA
Usa o Advanced Encryption Standard (AES) para criptografia dos dados
Suporta autenticação IEEE 802.1x ou tecnologia PSK
WPA2 permite que ambas as tecnologias AES e TKIP operem na mesma rede WLAN
Marcos Flávio Araújo Assunção
WPA Hacking – Airodump
Assim como fizemos com o WEP, vamos filtrar no airodump-ng
todas as redes que utilizem criptografia WPA e WPA2 com o
comando: airodump-ng –encrypt wpa mon0
Vamos escolher a rede com o ESSID EmpresaX para realizar o
ataque.
Marcos Flávio Araújo Assunção
WPA Hacking – Airodump
Também da mesma forma filtraremos no airodump-ng: canal 6, o bssid
da rede EmpresaX e salvaremos o resultado no arquivo chaveWPA.
Tudo isso deve ser feito na interface mon0. Comando:
airodump-ng –c 6 –bssid 50:CC:F8:85:ED:B2 –w chaveWPA mon0
O próximo passo é capturar o handshake do WPA. Isso só é possível
quando algum cliente se conectar na rede. Podemos acelerar esse
processo deautenticando os usuários com o aireplay
Marcos Flávio Araújo Assunção
WPA Hacking – Aireplay
Utilizamos no aireplay o MAC do AP (-a) e o MAC do cliente (-c) que
foi detectado no airodump. Enviamos 5 pacotes de desassociação .
Verifique no airodump que o WPA Handshake foi capturado.
Marcos Flávio Araújo Assunção
Handshake WPA
Verifique no airodump que o WPA Handshake foi
capturado. O que fazer com isto? Entra agora o
processo de força-bruta.
Marcos Flávio Araújo Assunção
WPA Hacking – Aircrack-ng
Primeiramente, ao contrário do WEP, precisamos ter uma wordlist
(lista de palavras) para tentar realizar a força-bruta no handshake
WPA que foi capturado. Uma rainbow table pode ser usada para
acelerar o processo.
O BackTrack Linux já possui uma lista gigantesca no arquivo
/pentest/passwords/wordlists/rockyou.txt (mais de 100 MB)
Marcos Flávio Araújo Assunção
Aircrack – Força-Bruta na chave
A chave foi descoberta. É nossoprecioso
Marcos Flávio Araújo Assunção
WPA Hacking – WPS PIN Hacking
O PIN foi configurado para o Wi-Fi Protected
Setup. Ele é 94154016. Marcos Flávio Araújo Assunção
WPA Hacking – WPS PIN Hacking
No exemplo da imagem anterior eu pedi o wash para usar a interface mon0 e ignorar erros de frame check sequence (fcs). Ele encontrou a minha rede defhack e outra que também usa WPS.
Marcos Flávio Araújo Assunção
WPA Hacking – WPS PIN Hacking
Vamos executar como exemplo o Reaver "travando" em um determinado canal (opções -f e -c 6), modo verbose (-vv) e usando o bssid do meu Access Point (-b):
Marcos Flávio Araújo Assunção
WPA Hacking – WPS PIN Hacking
A partir deste momento o reaver irá tentar centenas de combinações até descobrir o pin.
Marcos Flávio Araújo Assunção
Ataques diretos através de Rogue APs e Evil Twin
Access Point ilegítimo (Rogue AP)
AP instalado por um funcionário
Sem a aprovação ou supervisão da equipe de TI
Está dentro da companhia e possui um ESSID diferente
Evil Twin (fake AP)
É um AP que imita o ESSID de uma rede wi-fi real. Visa enganar e confundir os clientes para que se conectem ao mesmo. Normalmente está fora do ambiente físico da empresa.
Marcos Flávio Araújo Assunção
Evil Twin – WPA Hacking
Perceba no exemplo da imagem anterior que o airbase-ng levantou o Access Point utilizando o ESSID da rede defhack, o BSSID do AP real, a criptografia WPA TKIP (-z 2) e verbose (-v) para gerar mais informações úteis para debug.
Marcos Flávio Araújo Assunção
Evil Twin – WPA Handshake
Capturamos o Handshake utilizando apenas o cliente, sem necessidade nem de ter o Access Point real por perto. Agora basta quebrar com o Aircrack-NG. O Aireplay-ng tem ataques voltados para acelerar a captura do handshake WPA ou IVS do WEP, como o Caffe-latte e o Hirte
Marcos Flávio Araújo Assunção
ESS (Extended Service)
• Desassociação “Desconectar-se” de um AP e “reconectar” em outro em um ESS. Iniciado normalmente pela estação.
• Desautenticação Desautenticar uma estação wi-fi. Automaticamente ela também é desassociada. Iniciado pelo AP.
Marcos Flávio Araújo Assunção
Evil Twin – Desautenticando clientes originais
Para desautenticar os usuários wi-fi de uma rede pode ser utilizado o aireplay-ng com --deauth em broadcast para toda a rede
Marcos Flávio Araújo Assunção
Mas o que garante que, ao se reconectar, o
dispositivo cliente será direcionado ao AP
“falso”? No caso, ao “Evil Twin”?
Lembre-se: o sistema operacional do cliente
escolhe sempre o AP que faça parte do
ESSID e que tenha a melhor “qualidade” de
sinal.
Marcos Flávio Araújo Assunção
Super-antenas e adaptadores
Antena e NIC de 58dbi e 8000mw Modelo: EDUP EP-MS8515GS Chipset: Ralink 3070L e Realtek 187L Alcance do sinal: Até 10 KM
Marcos Flávio Araújo Assunção
Super-antenas e adaptadores
Antena e NIC de 98dbi e 6800mw Modelo: EDUP EP-MS8515GS Chipset: RT3070 Alcance do sinal: Até 30 KM
Marcos Flávio Araújo Assunção
Evil Twin – Visão do cliente
O cliente enxerga a rede Faculdade e tenta se
conectar à ela. Como o Access Point “falso” tem o
mesmo ESSID de um real, o consideramos um
“Evil Twin”.
Marcos Flávio Araújo Assunção
Evil Twin – Airbase-ng
O utilitário Airbase-ng permite “iniciar” um Access Point
via software (softAP). Isso pode facilmente ser usado
em conjunto com uma rede cabeada para criar um Evil
Twin.
Pode-se inclusive usar o mesmo BSSID do AP original.
Perceba que o airbase-ng cria uma interface at0 . Marcos Flávio Araújo Assunção
Evil Twin – Servidor DHCP
Um Evil Twin pode ser configurado para fornecer
endereço IP aos clientes que se conectarem ao
nosso access point. Marcos Flávio Araújo Assunção
Evil Twin – Servidor DHCP
O servidor DHCP deve ser ativado na interface at0
no caso da criação de um honeypot ou na
interface da bridge caso você tenha feito uma
(será visto mais à frente)
Marcos Flávio Araújo Assunção
Evil Twin – Cliente recebendo IP do DHCP
Perceba que o cliente pegou um endereço IP do
nosso servidor DHCP. Isso significa que ele se
conectou com sucesso à interface at0 criada pelo
airbase-ng
Marcos Flávio Araújo Assunção
Evil Twin – Criar um Honeypot utilizando o airbase-ng, DNS Spoofing e Apache ou SET
Marcos Flávio Araújo Assunção
Evil Twin – DNSSPOOF e Apache
Usando os comandos mostrados realizamos:
- Iniciamos o dns spoof na interface at0 (dnsspoof –i
at0)
- Iniciamos o Apache (apache2ctl start)
Marcos Flávio Araújo Assunção
Evil Twin - Apache
Veja que qualquer site que o cliente abrir será
direcionando para o nosso servidor Apache. Como
poderíamos substituir essa página?
Marcos Flávio Araújo Assunção
Evil Twin – Social Engineering Toolkit
Selecionamos o ataque no SET e escolhemos o
Gmail como template. Importante: o airbase-ng e o
dnsspoof devem continuar rodando em janelas
separadas.
Marcos Flávio Araújo Assunção
Um Honeypot, apesar de eficiente pode ser
facilmente descoberto pelo usuário
E se usássemos o nosso Evil Twin para
fornecer uma conexão completa à Internet
para o usuário? (e monitorar tudo o que ele
acessar...)
Marcos Flávio Araújo Assunção
Evil Twin – Criando uma Bridge entre a interface at0 e a Ethernet (ethx) ou Wi-Fi (wlanx)
Marcos Flávio Araújo Assunção
Evil Twin – Criando uma ponte
Podemos criar uma bridge entre a interface at0 do AP falso e
uma interface de rede ethernet (ou outra interface Wireless).
Assim o cliente poderá usar a Internet. Marcos Flávio Araújo Assunção
SSL Strip
Apresentado na BlackHat de 2009 pelo criador do SSLSniff
Utiliza novas técnicas de hijacking para capturar novas sessões http/https
Não depende de aguardar redirect 301/302
Mais eficiente que o ettercap e o Cain
Marcos Flávio Araújo Assunção
SSL Strip
Marcos Flávio Araújo Assunção
Passos necessários para o SSL Strip funcionar: - IP Forward - Port redirect - ARP spoofing (poisoning)
Evil Twin - Wireshark
Com o Wireshark, capturamos o tráfego de Internet do
usuário Marcos Flávio Araújo Assunção
Evil Twin – Usando um servidor FreeRadius WPEpara capturar informações de autenticação 802.1X
Marcos Flávio Araújo Assunção
Uso de um WIDS/WIPS contra Evil Twins
• Wireless Intrusion
Detection/Prevention System
(WIDS/WIPS)
- Realiza proteção ativa/passiva de
uma rede wi-fi.
- Atua contra injeção de pacotes
ARP, captura de handshakes
WEP/WPA e auxilia na detecção
de Rogue APs
- Protege contra Evil Twins
desassociando as estações
desses APs malignos.
Marcos Flávio Araújo Assunção
Multipot
• São vários Evil Twins
criados com o airbase-
ng, cada um com um
MAC (BSSID) diferente.
• Isso permite aumentar a
concorrência entre o AP
real e os falsos.
• Inutiliza a “proteção” do
WIPS contra Evil Twins.
Marcos Flávio Araújo Assunção
Multipot (Múltiplos Evil Twins)
Uma antena com maior ganho (maior dBi) será decisiva na escolha do Sistema Operacional do cliente pelo AP correto.
Marcos Flávio Araújo Assunção
Indo além – Ataques ainda mais avançados
• FakeAuth = Autenticação WEP sem precisar
descobrir a chave
• DNS Tunneling = Permite navegar em APs
“abertos” (OSA) burlando totalmente a
autenticação via browser.
• Evil Twin + Metasploit = Permite explorar
falhas no computador alheio,
comprometendo totalmente o sistema.
• Adaptador/Antena 98dbi + Multipot +
Deauth + DNS Spoofing + Bridge + SSL
Strip= Apocalypse Now!
Marcos Flávio Araújo Assunção
Como se proteger então?
• Utilizar WPA2-Enterprise com client-side certificates e
múltiplas camadas de autenticação.
• Implementar um WIPS com diversos sensores espalhados
pelo ambiente
• Implementar um HIDS (Host-based IDS) para que os
ataques de desautenticação sejam impedidos a nível de
host.
• Definir VLANs, filtros de acesso MAC e ocultar a rede
• Usar criptografia nos protocolos e serviços de camadas
superiores. Ex: IPSEC, SSL, etc.
• Realizar Penetration Tests
• Localizar e remover o Rogue AP e o Evil Twin
“É impossível estar totalmente seguro. O segredo é: dificultar tanto a vida de um possível atacante de modo que o investimento para invadir a rede seja maior que a motivação para fazê-lo”
Marcos Flávio Araújo Assunção
Localizar Rogue AP - Trilateração
Ekahau HeatMapper
Não serve para localizar um Evil Twin com
precisão Marcos Flávio Araújo Assunção
Localizar Evil Twin - GPSD
Usando o gpsd (gps daemon) para
inicializar o GPS USB. É necessário
fazê-lo antes de abrir o Kismet Marcos Flávio Araújo Assunção
Localizar Evil Twin – Kismet + GPS
Acima, os dados de localização
capturados pelo GPS.
Marcos Flávio Araújo Assunção
Localizar Evil Twin - Giskismet
O Giskismet está exportando os dados
gerados para o Kismet para um
formato que pode ser aberto no Google
Maps/Earth.
Marcos Flávio Araújo Assunção
Localizar Evil Twin – Google Maps
Dados de localização dos Access
Points Marcos Flávio Araújo Assunção
Localizou Evil Twin? Pega rex!
Marcos Flávio Araújo Assunção