Blog di Antonio Trinca

Ho effettuato queste prove, solo ed esclusivamente per “testare” la validità della sicurezza della mia rete wireless nell’intento di prevenire intrusioni da parte di sconosciuti. Invito i lettori di queste righe a porre la giusta attenzione sul fatto che violare reti altrui e’ cosa da NON fare….. Cominciamo? La situazione di lavoro è la seguente:

• un modem adsl, router, wireless (lo indichero’ con AP)
• un computer con windows2000 (Client1)
• un computer con Ubuntu (Client2)
• un portatile con cui effettuerò’ i miei esperimenti.

Appena ho comprato l’AP, un po’ per pigrizia, un po’ per ignoranza, non ho impostato nessun tipo di cifratura (WEP o WPA). L’unica cosa che fortunatamente ho fatto è stata quella di impostare un filtro sui MAC address dei client che si possono connettere al router tramite il wireless. Col passare del tempo, navigando e iniziando ad interessarmi alla “sicurezza informatica” ho iniziato a capire che questa scelta, anche se buona, non era però sufficiente. I dati nella mia rete, ma soprattutto “nell’aria” viaggiavano “in chiaro”.

Ho deciso quindi di attivare una cifratura WEP sul mio AP, e sui due client, con una chiave a 64 bit. Per vedere se questa mia scelta, è sufficiente a tenere lontani gli intrusi, ho deciso di utilizzare una suite che la nostra distro ci mette a disposizione.

Si tratta della suite aircrack-ng.

Un po’ di teoria, così come sono riuscito a capirla:

Ogni pacchetto WEP ha associato un vettore di inizializzazione (detto IV). Catturando un numero abbastanza consistenze di pacchetti (e quindi di vettori) è possibile effettuare su di essi un’analisi/attacco di tipo statistico per trovare la chiave WEP con cui sono stati cifrati e quindi la chiave WEP della rete sotto analisi.

La prima cosa da fare è porre la nostra scheda wireless in monitor mode.

La scheda si mette in ascolto di tutto quello che le passa intorno.

Sul Wiki di backtrack c’è un elenco di schede wireless (pci, pcmcia e usb) consigliate e le istruzioni per attivare, per ognuna di esse, il monitor mode.

La seconda cosa da fare è cambiare, con l’istruzione macchanger, il MAC address della scheda. In questa maniera l’AP non la riconosce tra quelle autorizzate e quindi a tutti gli effetti potrebbe essere la scheda di un probabile intruso. Creiamo anche una directory apposita, dove poi ci sposteremo prima di eseguire i vari comandi, poiché i comandi che seguono porteranno alla creazione di numerosi file che in seguito potremmo cancellare più velocemente proprio perché sono contenuti tutti in un’unica directory. A questo punto apriamo una shell e digitiamo airodump-ng ath1 (abbiamo eseguito airodump-ng passandogli come parametro l’interfaccia wireless che avevamo posto in monitor mode) otteniamo:

In questo caso ci viene segnalata la presenza di un solo Access point (giusto!) il cui MAC address e indicato sotto l’etichetta BSSID (00:0F:3D:??:??:??).

Ci viene anche segnalato che a questo AP sono collegati due computer client (giusto! Sono: Client1 e Client2).

Sotto l’etichetta STATION vengono indicati i due MAC address (diversi chiaramente tra loro) delle due distinte schede di rete dei due client.

In alto a sinistra notiamo l’etichetta CH seguita da un numero che cambia ciclicamente. Rappresenta il canale radio che airodump-ng sta in quel momento analizzando alla ricerca di un AP. Notiamo che l’AP sta lavorando sul canale 6 e successivamente focalizzeremo airodump-ng solo su questo canale per raccogliere solo i dati necessari.

Fermiamo ora il programma e sempre nella stessa shell lanciamo il comando:

airodump-ng -c 6 -w prova ath1

(abbiamo aggiunto il parametro -c per focalizzare il programma solo sul canale 6 ed il parametro -w per far scrivere i dati che ci interessano sul file prova , il programma creerà il file “prova-01.cap“).

Avremo una schermata molto simile alla precedente solo che il CH “non si muoverà”.

NON fermiamo il programma, che sta ascoltando e salvando i pacchetti eventualmente utili. La nostra idea è di salvare quanti più possibili pacchetti IV (il numero dei quali è indicato sotto l’etichetta #Data).

Quanti pacchetti ci servono per “trovare” una chiave WEP?

Orientativamente dai 300.000 al 1.000.000. Chiaramente sono delle cifre che devono essere utilizzate per avere l’idea dell’ordine di grandezza. Ce ne possono bastare 200.000 come ne potremmo aver bisogno di 2.000.000!

Ora o aspettiamo pazientemente per delle ore, o “aiutiamo” la rete a generare nuovi panchetti IV.

Questo e’ possibile in vari modi , vediamo quello classico e più semplice, per ora. Utilizziamo l’attacco ARP-request replay.

ARP-request replay , è un tipo di attacco pero’ che non funziona se non c’è traffico nella rete. Nella mia rete, il traffico c’è, lo sto generando apposta , e quindi lo usiamo.

A questo punto apriamo una nuova shell e digitiamo:

aireplay-ng -3 -b <MAC address dell’AP> -h <MAC address del Client> ath1

il warning che otteniamo, relativo alla differenza di MAC address tra la nostra scheda e quella del client, è del tutto ininfluente.

Molto semplicemente, ma perché così l’ho capito, il programma si mette in ascolto di un pacchetto ARP e appena lo sente lo ritrasmette all’AP. L’AP lo ritrasmette con un nuovo IV che viene catturato e così via.
Ci sono vari modi “per forzare” un primo invio, da parte dell’AP, di un pacchetto ARP, ma magari li vediamo un’altra volta.

Non appena “inizia il giro” notiamo salire il numero degli ARP request

e nell’altra shell notiamo salire il numero dei #Data.

Quando arriviamo a circa 100.000 #Data, lanciamo in una terza shell il comando

aircrack-ng -a 1 -b <MAC address dell’AP> -n 64 prova-01.cap

Con questo comando chiediamo di trovare una chiave WEP, riferita all’AP il cui MAC address indichiamo, utilizzando il file prova-01.cap (che airodump sta creando).
Man mano che il file prova-01.cap “aumenta” il programma “aircrack-ng” legge i nuovi pacchetti salvati.

Utilizzando il parametro “-n 64” forziamo aircrack-ng a lavorare solo su chiavi a 64 bit.

La mia e’ una chiave a 64 bit e quindi con circa 130′000 IV viene scoperta immediatamente.

Analizzati 400.000 / 500.000 pacchetti IV, non trovando la chiave, si dovrebbe fermare aircrack-ng e lanciarlo nuovamente senza il parametro “-n 64”.

E’ stato sviluppato un altro programma, l’ aircrack-ptw , appositamente per trovare la chiave WEP.

Abbiamo visto, nel mio caso, che con circa 130.000 pacchetti IV (catturati in circa 20 minuti) siamo riusciti ad ottenere la mia chiave WEP.

Il sistema non è proprio sicuro!

Alla prossima!

Fonte: Carlito Brigante Blog