Содержание
Разработчики WAP2 твердо пообещали пользователям, что с момента внедрения этого протокола защиты взлом беспроводных сетей станет делом практически безнадежным.
Однако, как показывает опыт, «дыры» есть в любом программном обеспечении, разработанном человеком.
Причем с каждым годом их обнаруживается все больше и больше. Вспомним анекдотическую историю, случившуюся с компанией Microsoft, разработавшей «универсальное» ПО для поиска уязвимостей в Windows.
Буквально через несколько дней, после прогона кода ОС через эту систему и громогласных заявлений о его абсолютной надежности, в недрах «Винды» была обнаружена очередная дырка для взломщиков.
Точно так же происходит и с программным обеспечением роутеров и беспроводных модемов. Взлом WPS стал возможен благодаря обнаружению отдельных недостатков Wifi Protected Setup.
Разумеется, прямой подбор сложного и правильно сформированного пароля к WPA технически неосуществим за сколько-нибудь приемлемое время.
Это не означает принципиальной невозможности такого подбора, но количество времени, необходимое для осуществления этой операции, превосходит все разумные пределы даже при использовании самого современного специфического софта и оборудования, предназначенного для этих целей. Впрочем, нормальные герои всегда идут в обход.
Стремление разработчиков ПО и оборудования роутеров облегчить настройку этих аппаратов обернулось неожиданной стороной – выяснилось, что мнимая абсолютная защита ключом совершенной не является и позволяет при наличии «умелых ручек» и соответствующих программ обойти защиту за приемлемое время, составляющее порядка нескольких часов.
Нужно ли ломать WiFi Protected Setup – вопрос риторический. Нормальному, добропорядочному пользователю заниматься этим совершенно незачем. Хотя прочитать нашу заметку и ознакомиться с описанными в ней хакерскими приемами рекомендуется каждому пользователю. Ведь вы можете оказаться не только инициатором атаки, но и ее объектом.
Содержание
Принцип работы WPS
Этот протокол защиты подразумевает, что роутер автоматически формирует и передает абоненту некий код защиты, известный лишь взаимодействующим между собой абонентам. Сформировать такой PIN можно по-разному. Существует три таких технических возможности:
- Путем нажатия специальной кнопки на корпусе роутера и тут же после этого –аналогичной по назначению кнопки в программном интерфейсе аппарата для ПК.
- Путем ввода PIN-кода в web-интерфейсе маршрутизатора, доступ к которому открывается через браузер, запущенный на компьютере, к оному маршрутизатору подключенном. Код этот берется с наклейки, пришпандоренной к нижней крышке роутера. Выглядит этот стикер так:
- При помощи специальной программы для ввода ключа, запускаемой также на компьютере. Интерфейс такой программы крайне примитивен и содержит единственное поле для ввода PIN. Покажем, как это выглядит на практике:
- Вот в это самое поле «Security Key» и вводится код с наклейки.
Ежу понятно, что последний способ – наименее защищенный. При наличии нужного софта можно вполне элементарно организовать на устройство bruteforce-атаку и подобрать PIN тупым (или не очень тупым) перебором.
Учитывая, что длина кода составляет восемь цифр, то количество возможных комбинаций этих цифр составит что-то около ста миллионов вариантов. Понятно, что это довольно много.
Однако ключевыми в коде являются лишь первые семь цифр, а все вместе они должны удовлетворять некоему условию в виде контрольной суммы. Это снижает число комбинаций на порядок.
Структура и порядок сверки PIN также дают повод для размышлений. Сначала проверяются первые четыре цифры, и если они неверны, дальнейшая проверка отменяется.
Если же первые четыре цифры подходят, то проверка еще тысячи вариантов для оставшихся трех – дело техники. То есть на первом этапе нужно перебрать всего 10 000 вариантов, а на втором – еще 1000.
Это по силам любой софтине, специально для этого предназначенной.
Утилиты для взлома
Первой программой, реализующий вышеупомянутый алгоритм подбора, стала утилита под названием wpscrack, разработанная неким Стефаном Фибёком.
Причем она была написана даже не на языке компилирующего типа (для ускорения своей работы), а являла собой скрипт, «настроченный» на python-е.
В качестве параметров этот скрипт принимал имя сетевого интерфейса, MAC-адрес точки доступа и имя сетки (SSID), а на выходе выдавал ключ WPA в текстовой форме. Пользоваться такой программой обычному доморощенному взломщику не очень удобно.
Поэтому наибольшее распространение получили программы наподобие Reaver для взлома WPS. Ее разработчик Крейг Хеффнер заложил в свою утилиту большое число опций для взлома маршрутизаторов самых различных типов и марок. Именно эту программу мы и будем рассматривать дальше.
Остается один вопрос: где взять Reaver для взлома WPS? К неудовольствию пользователей Windows сообщаем, что лучший вариант программы функционирует под Linux.
А обнаружить его можно в недрах популярного в среде хакеров дистрибутива BackTrack. Поставьте себе эту систему и следуйте нашим дальнейшим рекомендациям.
Практика взлома
Итак, как взломать WPS при помощи Reaver? Для этого нужно в точности повторить шаги приводимой ниже инструкции:
- Поставить BackTrack 5 R1 либо на жесткий диск своего компьютера, либо, что еще лучше, на загрузочную флешку и запускаться с нее. В качестве альтернативы предлагается использовать виртуальную машину типа VMWare – тогда систему с нужной утилитой можно запустить из-под Windows. Для создания загрузочной флешки можете использовать программку Netbootin (http://unetbootin.sourceforge.net/).
- Далее требуется войти в систему как root-пользователь и стартануть KDE командой: $ startx.
- Инсталляция Reaver происходит как обычно: программа тянется на ПК из репозитория в интернете. Для этого войдите в терминал и введите две следующие команды:
- При помощи команд $ airmon-ng start wlan0 и $ airodump-ng mon0 выявляем расположенные по близости беспроводные сети. Отобрать из списка лучше WPA-сети из верхней половины списка.
- При помощи упомянутых команд мы выясняем все необходимые для запуска брутфорсинга параметры: MAC, SSID, имя интерфейса и так далее.
- Теперь остается активировать процесс подбора ключа при помощи Reaver для wps. Делается это командой наподобие:
- А специальный ключ –vv нужен для получения максимально информативного вывода.
- Дожидаемся окончания работы утилиты. В результате получаем отчет примерно такого содержания:
- «WPA PSK» — это именно то, что нам нужно. Готовый PIN для создания «левого» подключения к чужой сетке.
Защититься от такой атаки можно единственным способом – просто отключить опцию WPS в настройках маршрутизатора.
В использовании Reaver для взлома сети WiFi через WiFi Protected Setup существует множество нюансов. С ними можно ознакомиться либо в справке к программе, либо на специализированных, посвященных этой теме сайтах.
Взлом wifi через WPSИнтро: Не так давно купил себе роутер (для 2ух стационарных комп-ов) с поддержкой wi-fi. Для того, что бы использовать беспроводное соединение надо было всего лишь подсоединиться. Конечно же я задумался о безопасности и на сколько будет спокойнее с паролем к wifi(на случай, если его взломают). Порывшись в гугле, нашел много информации и статей, так же информативных постов на форумах по этой теме. Есть разные технологии защиты беспроводных сетей: —WEP (устарел, редко используется) —WPA (на данный момент популярен, так же имеет усовершенствованный стандарт) —WPS (используется для быстрого и безопасного доступа) Про каждую технологию можно подробнее почитать в гугле. На практике, мы можем выбрать один из методов шифрования, когда ставим пароль на доступ к wi-fi. Взлом технологий WEP и WPA заключается в подборе пароля, но это не так продуктивно в силу того, что первая устарела, а вторая имеет слишком сложное шифрование и пароль может быть от 8 до 64 символов ASCII (что как бы намекает). Что касаемо WPS, то эта технология поддерживается многими роутерами и является наиболее уязвимой. Представляет кнопку на маршрутизаторе ,либо 8-значный PIN, высылающий параметры сети. PIN конечно можно легко подобрать методом перебора. На данный момент наиболее актуальный метод взлома это подбор пин-а WPS. Для перебора PIN на роутере должен быть включен режим WPS (как раз часто он в таком состоянии и находится, но бывают его выключают, однако это не гарантирует то, что он действительно выключен. Безопаснее роутеры не поддерживающие данную технологию). Далее рассмотрим подробнее взлом WPS.Подготовка: Нам понадобится wi-fi адаптер (можно купить, либо часто встроен в ноутбуках). В качестве операционной системы будем использовать linux дистрибутив, а именно backtrack. Он очень удобен, включает в себя нужный софт и не потребует каких то сверх познаний линукса. Проще всего записать Live версию на DVD болванку или флешку, либо установить вместе с Windows (и снова поможет гугл). Переходим по этой ссылке, выбираем ISO образ и качаем.
[+] Вот картинка src=»https://xak.guru/styles/default/xenforo/clear.png»/> Если у вас такая же ситуация, не расстраивайтесь, с помощью PIN-а тоже можно подключиться, для этого понадобиться Windows 7. Откройте Мой компьютер -> Слева в столбике навигации Сеть -> Выбираем нужное устройство и соединяемся. Нас попросят ввести только ПИН и все Подбор, как говорят, может длиться от 4 до 10 часов, на деле это может занять еще большее время по ряду причин, таких как плохой сигнал, адаптер, роутер блокируется, либо его выключают, ривер может словить глюка и тд. В конце программа reaver должна выдать PIN и пароль.Это конечно в идеале, на деле у кого то могут возникнуть проблемы. Так опишу некоторые дополнительные опции для команд, которые могут повысить продуктивность подбора и тд. Поэтому следующию информацию советую прочитать, вдруг поможет вам, да и не придется тратить время на гугл: В некоторых случаях лучше менять MAC адрес своей карты, делается это так:Но после такой процедуры, надо снова проделывать этапы описанные выше. А вот синтаксис и некоторые опции для aireplay-ng
- [+] Жми для просмотра
-
Aireplay-ng ОПЦИИ ИМЯ_ИНТЕРФЕЙСА атаки:
- 0 — Ре ассоциация узлов
- 1 — Фальшивая аутентификация
- 2 — Интерактивная генерация пакетов
- 3 — Повтор ARP-запрoса
- 4 — Chopchop нападение
- 5 — Фрагментация
- 6 — Caffe-latte attack
- 7 -атака ориентирована на клиента сети
- 8 — Тест инъекции
Так же есть еще полезные дополнительные параметры:
- -b или —bssid – МАС-адрес точки доступа
- -d – MAC-адрес получателя
- -s – MAC-адрес отправителя
- -m – Минимальный размер пакета
- -n – Максимальный размер пакета
- -u – Контроль кадра
[свернуть]’; };»>[свернуть]
Если будут возникать проблемы с каналом, то рекомендуется перед aireplay запустить airodump-ng с опцией -c НОМЕР_Канала. Из за плохого сигнала могут возникать проблемы и reaver может выдавать timeout. Перед подбором PIN-ов проверяйте поддерживает ли точка WPS (делается это командой wash). Если reaver выдает «not associate», то можно пробовать прописать опцию -A или выполняйте команду фальшивой аутентификации:Так же можно добавить опцию «—ingore-negative-one» Будут полезны следующие опции для reaver:
- -d — задает время задержки меж попытками (по умолчанию 1 сек)
- -S — уменьшает значения ключа, благодаря чему подбор идет быстрее
- -t — задает время ожидания ответа (по умолчанию равен 5 сек)
- -L — игнорирует заблокированное состояние точки доступа
- —pin=PIN — с помощью этой опции можно задать риверу проверку конкретного ПИН-а
Бывает так, что reaver пропускает правильный пароль и заканчивает работу с ошибкой. Кто любит кнопки, то есть версия с интерфейсом, рюшечками, кнопочками и тд. Но по сути это та же самая консоль, скачать можно тут:http://sourceforge.net/projects/wpscrackgui/files/Оутро: И так, мы рассмотрели метод взлома wifi средствами WPS, который может использовать злоумышленник. Вооружившись этой информацией, мы сможем более грамотно продумать защиту своих сетей. Можно конечно же все это проделывать и в Windows, качать софт и тд, и снова гугл вам поможет.Старался спецом для xaker.name</blockquote>
Частенько бывает так, что поставив супер-мегасложный (читай длинный) WPA2 пароль на свою точку доступа люди банально забывают про WPS (Wi-Fi Protected Setup). (Это хорошо, пока не добрались до 4g маршрутизаторов). Итак, что за зверь “WPS”? WPS – технология, облегчающая настройку клиента на работу с беспроводной точкой доступа.
На корпусе устройства имеется 8-мизначный PIN-код (значащих цифр 7, восьмая – контрольная, вычисляется на основании первых семи). Передав этот пин в точку устройство в ответ получит остальные параметры (ESSID имя и PSK – парольную фразу) в открытом виде. Итак, семь знаков пин-кода. Это десять миллионов комбинаций. На проверку пин-кода уходит от нескольких секунд до пол минуты. Слишком долго.
Да вот только в стандарте WPS была допущена фатальная ошибка. Оказывается PIN код проверяется в два этапа. Делится на половины и каждая часть проверяется отдельно!
Сам процесс обмена данными аутентификации можно представить в виде 8 сообщений. Message1 идёт от клиента в точку доступа. Message2 – идёт обратно (ответ), и так далее.
Так вот, забавное в этой ситуации то, что пакет EAP_NACK (сброс соединения при неуспешной аутентификации) клиент получит в сообщении M4 когда первая часть пин-кода неверна. И то же самое в сообщении M6, если неверна вторая часть.
Идём по самому неблагополучному сценарию, чтобы узнать первую часть PIN-кода, нужно перебрать от 0000 до 9999 = 10.000 вариантов! А узнать последние три цифры от 000 до 999 – ещё 1.000. Всего 11.000 вариантов! Уже намного меньше 10 миллионов, как заявлено раньше.
Автоматизировать этот перебор поможет утилита reaver, которая уже есть в паке Kali Linux. Пользоваться ей ужасно просто.
Этапы раскрытия парольной фразы на точке доступа с WPS
- Разворачиваем антенну так, чтобы качество сигнала было наилучшим. У меня направленная антенна TP-LINK TL-ANT2414A
Качество сигнала я проверяю при помощи airodump-ng mon0, где mon0 – интерфейс в режиме монитора. Чем больше значение, тем лучше сигнал. В идеале это больше -60. Если есть точки до которых -50 или выше,
root@kali:~# airmon-ng
Interface Chipset Driverroot@kali:~# airmon-ng start wlan1
Появится интерфейс mon0 - Пускаем перебор
root@kali:~# reaver -i mon0 -b 84:C9:**:**:**:** -va
(закрыл звёздочками, чтобы не палить)
Результат пришел через несколько часов:
[+] 97.47% complete @ 2015-03-28 18:41:26 (6 seconds/pin) [+] Max time remaining at this rate: 0:27:48 (278 pins left to try) [+] Trying pin 31****** [+] Trying pin 31****** [+] Trying pin 31****** [+] WPS PIN: '31******' [+] WPA PSK: '**********' [+] AP SSID: '*******************'
Вот так, а защититься от этой напасти нужно отключением WPS в настройках точки доступа. Не такая уж и необходимая тема. Хотя сдаст пароли при первой же возможности. Будьте бдительны!
Опции оптимизации перебора
Можно задать номер канала и SSID точки доступа:
# reaver -i mon0 -b 00:01:02:03:04:05 -c 11 -e linksys
Благотворно сказывается на скорости брутфорса опция ‘–dh-small’, которая задает небольшое значение секретного ключа, тем самым облегчая расчеты на стороне точки доступа:# reaver -i mon0 -b 00:01:02:03:04:05 -vv --dh-small
Таймаут ожидания ответа по умолчанию равен пяти секундам. При необходимости его можно изменить:# reaver -i mon0 -b 00:01:02:03:04:05 -t 2
Задержка между попытками по умолчанию равна одной секунде. Она также может быть настроена:# reaver -i mon0 -b 00:01:02:03:04:05 -d 0
Некоторые точки доступа могут блокировать WPS на определенное время, заподозрив, что их пытаются поиметь. Reaver эту ситуацию замечает и делает паузу в переборе на 315 секунд по умолчанию, длительность этой паузы можно менять:# reaver -i mon0 -b 00:01:02:03:04:05 --lock-delay=250
Некоторые реализации протокола WPS разрывают соединение при неправильном PIN-коде, хотя по спецификации должны возвращать особое сообщение. Reaver автоматически распознает такую ситуацию, для этого существует опция ‘–nack’:# reaver -i mon0 -b 00:01:02:03:04:05 --nack
Опция ‘–eap-terminate’ предназначена для работы с теми АР, которые требуют завершения WPS-сессии с помощью сообщения EAP FAIL:# reaver -i mon0 -b 00:01:02:03:04:05 --eap-terminate
Возникновение ошибок в WPS-сессии может означать, что АР ограничивает число попыток ввода PIN-кода, либо просто перегружена запросами. Информация об этом будет отображаться на экране. В этом случае Reaver приостанавливает свою деятельность, причем время паузы может быть задано с помощью опции ‘–fail-wait’:# reaver -i mon0 -b 00:01:02:03:04:05 --fail-wait=360
Используемые источники:
- https://nastrojkin.ru/device/router/vzlom-wps.html
- https://xak.guru/threads/27024/
- https://litl-admin.ru/xaking/vzlom-wifi-cherez-wps-kak-uvelichit-zashhitu-svoej-tochki-dostupa.html