wi-fi hacking – ataques e soluções

Apoio:

www.treinup.com

www.Acaiah.com

Atendimento Entre em contato a partir das 09:00h - ou através dos nossos e-mails

[email protected]

www.Treinup.com

https://www.facebook.com/AcaiahSegurancaDaInformacao

CTAPA0011

Wi-Fi Hacking – Ataques e

Soluções

Marcos Flávio Araújo Assunção Certified Ethical Hacker

[email protected]

www.defhack.com.br Marcos Flávio Araújo Assunção

Marcos Flávio Araújo Assunção


Pós-Graduação em Segurança da Informação UNA


www.una.br

Wi-Fi: Fundamentos


Redes 802.11 (Wi-Fi)

• Princípios • Frequências: 2.4GHz / 5 GHz • Canais e interferência • ESSID e BSSID • DS (Sistema de Distribuição) • IBSS ou AD-HOC • BSS • ESS


http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=LyWXodng1Li03M&tbnid=mDp2W7u95Y2xUM:&ved=0CAUQjRw&url=http://gowireless.wordpress.com/wlan/final-final-wifi-next-logo/&ei=YR2aUarcEo3u8ATot4HQDw&psig=AFQjCNHg7G4LO0LO7uHQEgyxKw9_Aq_Lfw&ust=1369140948383962

Elementos de Segurança Wi-Fi

• Criptografia WEP, WEP2, WEP Dinâmico WPA, WPA2

• Autenticação OSA, Shared Key (WEP), WPA-PSK, WPA-Enterprise (802.1X)

• Rede invisível (ESSID oculto)

• Filtro de endereços MAC

• WIDS / WIPS (Wireless Intrusion Prevention System).

• Outros (VLAN, proteção contra ARP no AP, etc).


Ataques à redes Wireless

Ataques à Infra-estrutura: Negação de Serviço (DoS) Burlar filtros de MAC WarDriving (detecção passiva/ativa)

Ataques de criptoanálise/força-bruta: Decriptação de IVS no WEP (Wep Cracking) Bruteforce em handhshakes WPA Bruteforce no WPS (Wireless Protected Setup)

Ataques ao usuário Wi-Fi: Rogue Access Point Evil Twin Ataque MITM com DNS Spoofing


WarDriving – Detectando e mapeando redes Wi-Fi


Wardriving

Mapeamento de redes wireless Usado como método de descoberta passiva de

redes

Tecnicamento envolve o uso de um automóvel para gravar informações wireless sobre uma larga àrea Warflying utilizam aviões ao invés de

automóveis

Wardriving em si não é uma atividade ilegal Usar o sinal de rádio para se conectar a redes sem a permissão do dono é ilegal


Hardware para o wardriving



Antenas

Categorias básicas

Omni-direcional • Detecta igualmente sinais de todas as direções

Semi-direcional • Foca em uma direção específica

Direcional • Envia o sinal em uma direção bem definida

(ângulo bem fechado). Ideais para War-Driving e ataques de Evil Twin.


GPS – Por quê usar?


Softwares para o wardriving

Aplicações open-source

Kismet

Roda em sistemas Linux (existe porte para Windows)

Pode reportar dados similares ao NetStumbler

Também suporta GPS

Pode capturar pacotes e salvá-los em um arquivo

airodump-ng

Possui quase todos os recursos do Kismet (menos o GPS). Permite integração com outras ferramentas da suíte NG.


WarDriving - Kismet


WarDriving – airodump-ng


Redes ocultas e Filtros de MAC


Ocultando uma rede para protegê-la


http://www.google.com.br/url?sa=i&rct=j&q=ocultar+rede+wi-fi&source=images&cd=&cad=rja&docid=VDyYehEoNc3poM&tbnid=vWoMmV_keTiWLM:&ved=0CAUQjRw&url=http://www.vivasemfio.com/blog/desabilitar-desativar-esconder-ocultar-nao-divulgar-broadcast-ssid/&ei=eWeaUYSYLIrK9gSgoYHoDg&bvm=bv.46751780,d.dmQ&psig=AFQjCNH_rhS9wctOeXvoujXG_dCTinz1qw&ust=1369159918784695

Modo de Monitoração

Neste modo (RFMON) podemos monitorar o tráfego das redes wi-fi sem precisarmos nos

associar à elas. Utilitário: airmon-ng Marcos Flávio Araújo Assunção

Detectando redes ocultas Mesmo que uma rede esteja oculta podemos detectar sua

presença ao monitorar os probes dos dispositivos clientes

no Wireshark. Isso só é possível no modo de monitoração

com a interface mon0.


Descobrindo APs e estações com Airodump

Permite monitorar redes wireless e capturar pacotes para serem analisados posteriormente. Consegue detectar Access Points em qualquer canal, mesmo estando “invisíveis”. Detecta também estações Wi-Fi associadas ou tentando se associar. Ou seja, as máquinas dos usuários serão detectadas.


Aplicando Filtro de MAC


Trocando o MAC da estação


Filtro de MAC “burlado”


Fundamentos e ataques a WEP


Vulnerabilidades do WEP

Implementação do WEP cria um padrão que pode ser detectado por atacantes (continuação) Alguns sistemas wireless sempre começam

com o mesmo IV

Colisão Dois pacotes criptografados com o mesmo IV

Ataque de dedução de chave Determina a chave através da análise de dois

pacotes que se colidiram (mesmo IV)


WEP Hacking –Airodump

Primeiramente, usamos o airodump-ng para filtrar todas as redes com criptografia WEP disponíveis. No examplo acima selecionaremos a rede com o ESSID

carol para realizar o ataque.

airodump-ng --encrypt wep mon0


WEP Hacking - Airodump

Na primeira imagem, rodamos o airodump-ng na interface mon0 filtrando: canal 11, bssid do AP da rede carol e salvando

o resultado para o arquivo chaveWEP. Veja o resultado na segunda imagem.

Agora, teremos que esperar. O campo “Data” deve capturar

milhares de pacotes IVS para que seja possível realizar a decoficação. Tem como acelerar o processo?


WEP Hacking - Aireplay

Utilizando o aireplay-ng nós realizamos o ataque caffe-

latte que pede aos dispositivos conectados à rede carol

que nos enviem mais pacotes IVS. Com isso veja que

temos mais de 40000 pacotes no campo #Data. É mais

que suficiente para quebrar uma chave de 64 bits WEP.


WEP Hacking - Aircrack

Executamos o aircrack-ng com o nome do arquivo que foi

capturado pelo airodump-ng. Veja que o número de IVS já

chegava a 71406. Com isso a chave foi rapidamente

quebrada. A chave utilizada é porco.


Descriptografando os pacotes capturados

O airdecap-ng é um utilitário que consegue

descriptografar todo o tráfego armazenado em um arquivo

PCAP, bastando fornecer a chave WEP ou WPA

descoberta previamente. Assim, o atacante poderá utilizar

o Wireshark para visualizar os dados que já foram

capturados.


Fundamentos e ataques a WPA


Acesso Protegido Wi-Fi (WPA)

Padrão do 802.11i que cuida tanto da criptografia quanto da autenticação

Temporal Key Integrity Protocol (TKIP) Chaves TKIP são conhecidas como “chave por

pacote”

TKIP dinâmicamente gera uma nova chave para cada pacote criado

Previne colisões Que era justamente uma das fraquezas principais do

WEP


Acesso Protegido Wi-Fi 2 (WPA2)

Segunda geração da segurança WPA

Usa o Advanced Encryption Standard (AES) para criptografia dos dados

Suporta autenticação IEEE 802.1x ou tecnologia PSK

WPA2 permite que ambas as tecnologias AES e TKIP operem na mesma rede WLAN


Configurando WPA no Roteador


WPA Hacking – Airodump

Assim como fizemos com o WEP, vamos filtrar no airodump-ng

todas as redes que utilizem criptografia WPA e WPA2 com o

comando: airodump-ng –encrypt wpa mon0

Vamos escolher a rede com o ESSID EmpresaX para realizar o

ataque.


WPA Hacking – Airodump

Também da mesma forma filtraremos no airodump-ng: canal 6, o bssid

da rede EmpresaX e salvaremos o resultado no arquivo chaveWPA.

Tudo isso deve ser feito na interface mon0. Comando:

airodump-ng –c 6 –bssid 50:CC:F8:85:ED:B2 –w chaveWPA mon0

O próximo passo é capturar o handshake do WPA. Isso só é possível

quando algum cliente se conectar na rede. Podemos acelerar esse

processo deautenticando os usuários com o aireplay


WPA Hacking – Aireplay

Utilizamos no aireplay o MAC do AP (-a) e o MAC do cliente (-c) que

foi detectado no airodump. Enviamos 5 pacotes de desassociação .

Verifique no airodump que o WPA Handshake foi capturado.


Handshake WPA

Verifique no airodump que o WPA Handshake foi

capturado. O que fazer com isto? Entra agora o

processo de força-bruta.


WPA Hacking – Aircrack-ng

Primeiramente, ao contrário do WEP, precisamos ter uma wordlist

(lista de palavras) para tentar realizar a força-bruta no handshake

WPA que foi capturado. Uma rainbow table pode ser usada para

acelerar o processo.

O BackTrack Linux já possui uma lista gigantesca no arquivo

/pentest/passwords/wordlists/rockyou.txt (mais de 100 MB)


Aircrack – Força-Bruta na chave

A chave foi descoberta. É nossoprecioso


WPS – Wireless Protected Setup


WPA Hacking – WPS PIN Hacking

O PIN foi configurado para o Wi-Fi Protected

Setup. Ele é 94154016. Marcos Flávio Araújo Assunção


No exemplo da imagem anterior eu pedi o wash para usar a interface mon0 e ignorar erros de frame check sequence (fcs). Ele encontrou a minha rede defhack e outra que também usa WPS.



Vamos executar como exemplo o Reaver "travando" em um determinado canal (opções -f e -c 6), modo verbose (-vv) e usando o bssid do meu Access Point (-b):



A partir deste momento o reaver irá tentar centenas de combinações até descobrir o pin.


Ataques ao cliente wi-fi (que não necessitam da infra-estrutura)


Ataques diretos através de Rogue APs e Evil Twin

Access Point ilegítimo (Rogue AP)

AP instalado por um funcionário

Sem a aprovação ou supervisão da equipe de TI

Está dentro da companhia e possui um ESSID diferente

Evil Twin (fake AP)

É um AP que imita o ESSID de uma rede wi-fi real. Visa enganar e confundir os clientes para que se conectem ao mesmo. Normalmente está fora do ambiente físico da empresa.


Rogue APs e Evil Twin


Capturando o Handshake WPA através do cliente – Evil Twin


Evil Twin – WPA Hacking

Perceba no exemplo da imagem anterior que o airbase-ng levantou o Access Point utilizando o ESSID da rede defhack, o BSSID do AP real, a criptografia WPA TKIP (-z 2) e verbose (-v) para gerar mais informações úteis para debug.


Evil Twin – WPA Handshake

Capturamos o Handshake utilizando apenas o cliente, sem necessidade nem de ter o Access Point real por perto. Agora basta quebrar com o Aircrack-NG. O Aireplay-ng tem ataques voltados para acelerar a captura do handshake WPA ou IVS do WEP, como o Caffe-latte e o Hirte


ESS (Extended Service)

• Desassociação “Desconectar-se” de um AP e “reconectar” em outro em um ESS. Iniciado normalmente pela estação.

• Desautenticação Desautenticar uma estação wi-fi. Automaticamente ela também é desassociada. Iniciado pelo AP.


Desautenticando clientes


Evil Twin – Desautenticando clientes originais

Para desautenticar os usuários wi-fi de uma rede pode ser utilizado o aireplay-ng com --deauth em broadcast para toda a rede


Mas o que garante que, ao se reconectar, o

dispositivo cliente será direcionado ao AP

“falso”? No caso, ao “Evil Twin”?

Lembre-se: o sistema operacional do cliente

escolhe sempre o AP que faça parte do

ESSID e que tenha a melhor “qualidade” de

sinal.


Super-antenas e adaptadores

Antena e NIC de 58dbi e 8000mw Modelo: EDUP EP-MS8515GS Chipset: Ralink 3070L e Realtek 187L Alcance do sinal: Até 10 KM


Super-antenas e adaptadores

Antena e NIC de 98dbi e 6800mw Modelo: EDUP EP-MS8515GS Chipset: RT3070 Alcance do sinal: Até 30 KM


Evil Twin – Visão do cliente

O cliente enxerga a rede Faculdade e tenta se

conectar à ela. Como o Access Point “falso” tem o

mesmo ESSID de um real, o consideramos um

“Evil Twin”.


Evil Twin – Airbase-ng

O utilitário Airbase-ng permite “iniciar” um Access Point

via software (softAP). Isso pode facilmente ser usado

em conjunto com uma rede cabeada para criar um Evil

Twin.

Pode-se inclusive usar o mesmo BSSID do AP original.

Perceba que o airbase-ng cria uma interface at0 . Marcos Flávio Araújo Assunção

Evil Twin – Servidor DHCP

Um Evil Twin pode ser configurado para fornecer

endereço IP aos clientes que se conectarem ao

nosso access point. Marcos Flávio Araújo Assunção

Evil Twin – Servidor DHCP

O servidor DHCP deve ser ativado na interface at0

no caso da criação de um honeypot ou na

interface da bridge caso você tenha feito uma

(será visto mais à frente)


Evil Twin – Cliente recebendo IP do DHCP

Perceba que o cliente pegou um endereço IP do

nosso servidor DHCP. Isso significa que ele se

conectou com sucesso à interface at0 criada pelo

airbase-ng


Evil Twin – Criar um Honeypot utilizando o airbase-ng, DNS Spoofing e Apache ou SET


Evil Twin – DNSSPOOF e Apache

Usando os comandos mostrados realizamos:

- Iniciamos o dns spoof na interface at0 (dnsspoof –i

at0)

- Iniciamos o Apache (apache2ctl start)


Evil Twin - Apache

Veja que qualquer site que o cliente abrir será

direcionando para o nosso servidor Apache. Como

poderíamos substituir essa página?


Evil Twin – Apache com MySQL


Evil Twin – Social Engineering Toolkit

Selecionamos o ataque no SET e escolhemos o

Gmail como template. Importante: o airbase-ng e o

dnsspoof devem continuar rodando em janelas

separadas.


Evil Twin – Página falsa do SET


Evil Twin – Capturando credenciais no SET


Um Honeypot, apesar de eficiente pode ser

facilmente descoberto pelo usuário

E se usássemos o nosso Evil Twin para

fornecer uma conexão completa à Internet

para o usuário? (e monitorar tudo o que ele

acessar...)


Evil Twin – Criando uma Bridge entre a interface at0 e a Ethernet (ethx) ou Wi-Fi (wlanx)


Evil Twin – Criando uma ponte

Podemos criar uma bridge entre a interface at0 do AP falso e

uma interface de rede ethernet (ou outra interface Wireless).

Assim o cliente poderá usar a Internet. Marcos Flávio Araújo Assunção

SSL Strip

Apresentado na BlackHat de 2009 pelo criador do SSLSniff

Utiliza novas técnicas de hijacking para capturar novas sessões http/https

Não depende de aguardar redirect 301/302

Mais eficiente que o ettercap e o Cain


SSL Strip


Passos necessários para o SSL Strip funcionar: - IP Forward - Port redirect - ARP spoofing (poisoning)

Evil Twin - Wireshark

Com o Wireshark, capturamos o tráfego de Internet do

usuário Marcos Flávio Araújo Assunção

Evil Twin – Usando um servidor FreeRadius WPEpara capturar informações de autenticação 802.1X


Evil Twin com FreeRadius WPE – WPA Enterprise


Evil Twin com FreeRadius


Usando asleap para força-bruta no hash


Uma solução de WIPS é suficiente para evitar o Evil Twin?


Uso de um WIDS/WIPS contra Evil Twins

• Wireless Intrusion

Detection/Prevention System

(WIDS/WIPS)

- Realiza proteção ativa/passiva de

uma rede wi-fi.

- Atua contra injeção de pacotes

ARP, captura de handshakes

WEP/WPA e auxilia na detecção

de Rogue APs

- Protege contra Evil Twins

desassociando as estações

desses APs malignos.


Multipot

• São vários Evil Twins

criados com o airbase-

ng, cada um com um

MAC (BSSID) diferente.

• Isso permite aumentar a

concorrência entre o AP

real e os falsos.

• Inutiliza a “proteção” do

WIPS contra Evil Twins.


Multipot (Múltiplos Evil Twins)

Uma antena com maior ganho (maior dBi) será decisiva na escolha do Sistema Operacional do cliente pelo AP correto.


Indo além – Ataques ainda mais avançados

• FakeAuth = Autenticação WEP sem precisar

descobrir a chave

• DNS Tunneling = Permite navegar em APs

“abertos” (OSA) burlando totalmente a

autenticação via browser.

• Evil Twin + Metasploit = Permite explorar

falhas no computador alheio,

comprometendo totalmente o sistema.

• Adaptador/Antena 98dbi + Multipot +

Deauth + DNS Spoofing + Bridge + SSL

Strip= Apocalypse Now!


Contra-medidas para os problemas e ataques apresentados em Wi-Fi


Como se proteger então?

• Utilizar WPA2-Enterprise com client-side certificates e

múltiplas camadas de autenticação.

• Implementar um WIPS com diversos sensores espalhados

pelo ambiente

• Implementar um HIDS (Host-based IDS) para que os

ataques de desautenticação sejam impedidos a nível de

host.

• Definir VLANs, filtros de acesso MAC e ocultar a rede

• Usar criptografia nos protocolos e serviços de camadas

superiores. Ex: IPSEC, SSL, etc.

• Realizar Penetration Tests

• Localizar e remover o Rogue AP e o Evil Twin

“É impossível estar totalmente seguro. O segredo é: dificultar tanto a vida de um possível atacante de modo que o investimento para invadir a rede seja maior que a motivação para fazê-lo”


Localizar Rogue AP - Trilateração


Localizar Rogue AP - Trilateração

Ekahau HeatMapper

Não serve para localizar um Evil Twin com

precisão Marcos Flávio Araújo Assunção

Localizar Evil Twin - GPSD

Usando o gpsd (gps daemon) para

inicializar o GPS USB. É necessário

fazê-lo antes de abrir o Kismet Marcos Flávio Araújo Assunção

Localizar Evil Twin – Kismet + GPS

Acima, os dados de localização

capturados pelo GPS.


Localizar Evil Twin - Giskismet

O Giskismet está exportando os dados

gerados para o Kismet para um

formato que pode ser aberto no Google

Maps/Earth.


Localizar Evil Twin – Google Maps

Dados de localização dos Access

Points Marcos Flávio Araújo Assunção

Localizou Evil Twin? Pega rex!


http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=NedLyBnXO3tdgM&tbnid=XXMTKHQhwaj60M:&ved=0CAUQjRw&url=http://www.humortadela.com.br/imagens-engracadas/17539&ei=n2GbUcfbJ7e24APLo4CoBw&bvm=bv.46751780,d.dmQ&psig=AFQjCNHK4QU07cRwUL9aQekI_t_3UkdtEg&ust=1369223928495763

wi-fi hacking – ataques e soluções

Documents