hvordan jeg knækkede 70% af Tel Avivs Trådløse netværk (fra en prøve på 5.000 samlet trådløst internet).
i de sidste syv år, jeg har boet i Tel Aviv, har jeg skiftet lejlighed fire gange. Hver gang jeg stod over for det samme scenario: internetfirmaet tog flere dage at forbinde lejligheden, hvilket efterlod mig frakoblet og frustreret, mens jeg prøvede at se laggy Netfleks på TV ‘ et med min mobiltelefonhotspot. En løsning, jeg har til dette scenario, er at have ” Hej. Jeg er den nye nabo” tal med naboerne, mens du prøver at få deres mobiltelefonnummer i tilfælde af nødsituationer — og spørg, om jeg kunne bruge deres trådløse netværk, indtil kabelselskabet forbandt mig. Jeg tror, at vi alle kan være enige om, at ikke at have internet Let falder ind i nødkategorien! Tit, deres mobiltelefonnummer var også deres trådløse adgangskode!
jeg antog, at de fleste mennesker, der bor i Israel (og globalt), har usikre trådløse adgangskoder, der let kan knækkes eller endda gættes af nysgerrige naboer eller ondsindede skuespillere.
kombinationen af min tidligere erfaring, et relativt nyt trådløst angreb, som jeg vil forklare et øjeblik, en ny monster cracking rig (8 gange 8000 48 GB GPU ‘ er) i CyberArk Labs og det faktum, at trådløst internet er overalt, fordi tilslutningsmuligheder er vigtigere end nogensinde kørte mig til forskning, om jeg havde ret med min hypotese eller måske bare heldig.
med det fortsatte skift til fjernarbejde på grund af pandemien er sikring af hjemmenetværk blevet bydende nødvendigt og udgør en risiko for virksomheden, hvis ikke gjort det. Hjemmenetværk har sjældent de samme kontroller som virksomhedsnetværk. Og et sikkerhedsprogram er kun så stærkt som dets svageste led.
Figur 1 – CyberArk Labs ny cracking rig
for at teste denne hypotese samlede jeg 5.000 trådløse netværkshashes som min studiegruppe ved at slentre gaderne i Tel Aviv med trådløst sniffingudstyr. I slutningen af forskningen var jeg i stand til at bryde mere end 70% af de sniffede trådløse netværks adgangskoder med relativ lethed. Tel Aviv hovedstadsområdet har mere end 3.9 millioner mennesker-du kan forestille dig, hvad tallene ville have været, hvis vi ikke havde afskåret vores forskning på 5.000 Trådløse netværk. Og mens denne forskning blev udført i Tel Aviv, bruges de routere, der var modtagelige for dette angreb — fra mange af verdens største leverandører — af husholdninger og virksomheder over hele verden.
i denne blog demonstrerer jeg, hvor let (du ikke har brug for en revnerig) og med lidt udstyr kan usikre trådløse adgangskoder knækkes og dermed hacke det trådløse netværk .I slutningen afslører vi statistikker over de krakkede hashes og forklarer, hvordan du forsvarer dit netværk mod denne type angreb. Derfor er det yderst vigtigt, at vi kender og forstår krakningsmetoden for at danne et passende forsvar.
lad os grave i
før Jens “atom” Steubes (Hashcats hovedudvikler) forskning, da en hacker ønskede at knække en trådløs adgangskode, havde de brug for at fange et live firevejs håndtryk mellem en klient og en router, der kun forekom under oprettelsen af forbindelsen. Kort sagt skal angriberen overvåge netværket på det tidspunkt, hvor brugeren eller enheden opretter forbindelse til det trådløse netværk. Derfor skulle en hacker være et fysisk sted mellem adgangspunktet (routeren) og klienten i håb om, at brugeren ville indtaste den rigtige adgangskode, og at alle fire pakker med håndtrykket blev snuset korrekt. Hvis en hacker ikke ønskede at vente, indtil et offer etablerer en forbindelse (som kan tage timer, hvem opretter forbindelse til deres hjemmenetværk, mens de er på arbejde?), kunne angriberen de-autentificere en allerede tilsluttet bruger for at tvinge offeret til at få et nyt firevejs håndtryk.
en anden angrebsvektor er at oprette et ondsindet tvillingnetværk med det samme SSID (netværksnavn) i håb om, at offeret ville forsøge at logge ind på det falske netværk. En stor mangel ved dette er selvfølgelig, at det er meget støjende (hvilket betyder, at det let kan spores) og let kan bemærkes.
på simpelt engelsk, hvis en modstander ønskede at hacke / knække en trådløs adgangskode, skal de være på det rigtige sted (mellem brugere og en router) på det rigtige tidspunkt (når brugerne logger ind) og være heldige (brugere indtastede den korrekte adgangskode, og alle fire pakker blev snuset korrekt).
alt dette ændrede sig med atoms banebrydende forskning, som udsatte en ny sårbarhed rettet mod RSN IE (Robust Sikkerhedsnetværksinformationselement) for at hente en pmkid hash (vil blive forklaret i en smule), der kan bruges til at knække målnetværkets adgangskode. PMKID er en hash, der bruges til roamingfunktioner mellem APs. Den legitime brug af PMKID er dog af ringe relevans for omfanget af denne blog. Helt ærligt giver det ikke mening at aktivere det på routere til personlig/privat brug (app2-personlig), da der normalt ikke er behov for roaming i et personligt netværk.
atoms teknik er klientløs, hvilket gør behovet for at fange en brugers login i realtid og behovet for brugere at oprette forbindelse til netværket overhovedet forældet. Desuden kræver det kun angriberen at fange en enkelt ramme og fjerne forkerte adgangskoder og misdannede rammer, der forstyrrer krakningsprocessen.
klart sagt, vi behøver ikke at vente på, at folk, der opretter forbindelse til deres routere, for at dette angreb skal lykkes. Vi er lige i nærheden af routeren/netværket, der får en pmkid hash og forsøger at knække den.
for at knække et PMKID skal vi først forstå, hvordan det genereres.
hvordan genereres pmkid hash, og hvilke elementer indeholder den
figur 2 – Strøm af beregning af PMKID hash og PMK
hashberegningen kan virke skræmmende ved første øjekast, men lad os dykke ned i det.
vi er nødt til at generere en PMK drevet fra SSID (netværksnavnet) og adgangssætningen; derefter genererer vi en PMKID drevet fra den PMK, vi genererede, AP MAC-adressen og klient-MAC-adressen. Så lad os se, hvor vi kan finde dem:
PMK beregnes som følger:
figur 3 – PMK beregning
- Passphrase– den trådløse adgangskode — dermed den del, vi virkelig leder efter.
- SSID – navnet på netværket. Den er frit tilgængelig på routeren beacons (figur 3).
- 4096-Antal PBKDF2 iterationer
figur 4-SSID fra et fyrtårn
efter en PMK blev genereret, kan vi generere et PMKID.
Pmkid beregnes som følger:
figur 5 – pmkid beregning
- PMK – hvad vi søger efter, genereret ovenfor. I apa2 personal er PMK PSK (vil blive forklaret i næste afsnit).
- “PMK Name” – statisk streng for alle PKMIDs.
- MAC_AP-Access Point ‘ s MAC-adresse – denne adresse kan findes i enhver ramme, der sendes af routeren (figur 4).
- MAC_STA-klientens Mac-adresse kan findes i enhver ramme sendt af klientens computer (figur 4). Det kan desuden findes i output fra ifconfig\ip a-kommandoer.
figur 6 – PMKID, AP ‘s MAC, Client’ s MAC
Cracking PMKID hash er i sidste ende bare at generere/beregne PMK ‘ er med SSID og forskellige passphrases, og derefter beregne PMKID fra PMK og de andre oplysninger, vi opnåede. Når vi genererede et PMKID svarende til PMKID, der blev hentet fra AP (figur 3), er hash revnet; de adgangssætninger, der blev brugt til at generere den rigtige PMK, som PMKID blev genereret fra, er den korrekte trådløse adgangskode.
nu ved vi, hvordan et PMKID genereres, og vi kan fortsætte til sniffing og cracking faser af vores forskning.
Sniffing PMKID
for at samle trådløse pmkid hashes kræves en trådløs netværksgrænseflade, der har skærmtilstandsfunktioner. Skærmtilstand tillader pakkeoptagelse uden at skulle forbinde med et adgangspunkt.
jeg købte et AUS036ACH ALFA-netværkskort til $50 (Der er endnu billigere muligheder), der understøtter skærmtilstand og pakkeinjektion og gik rundt i centrum af Tel Aviv for at snuse kone.
før vi kan starte sniffingen, skal vi forberede vores miljø:
jeg brugte en ubuntu-maskine med AUS036ACH ALFA.
Figur 7 – AUS036ACH ALFA NIC
git clone https://github.com/ZerBea/hcxdumptool.gitsudo apt-get install libcurl4-OpenSSL-dev libssl-dev pkg-configmake
derefter skal vi installere drivere med monitor mode kapacitet. Hvert chipsæt har sine drivere:
git clone -b v5.6.4.2 https://github.com/aircrack-ng/rtl8812au.gitmake && make install
det anbefales at lukke tjenester, der kan forstyrre Hccdumptool udførelse:
sudo systemctl stop wpa_supplicantsudo service NetworkManager stop
så er det tid til at begynde at snuse.
sudo ../../tools/hcxdumptool/hcxdumptool -i wlx00c0caac2745 -o Wi-Fi_PMKID.pcapng --disable_deauthentication --disable_client_attacks --enable_status=3
- -jeg min Alfa NIC, du kan udføre ifconfig\ip A for at finde dit interface navn.
- – o output pcapng af udførelsen.
brug nu en hættetrøje, fordi du får et PMKID af hvert netværk, du krydser, der er sårbart over for angrebet.
figur 8 – Mig i en hættetrøje
da jeg nåede 5.000 indsamlede netværk, besluttede jeg at holde op; den israelske sommer var for varm for mig, så jeg vendte mig til den sjove del — revner.
det er cracking tid!
vores første skridt i krakningsproceduren er at installere hashcat, verdens hurtigste og mest avancerede adgangskodegendannelsesværktøj. Da sniffingsresultaterne er i form af pcapng, var vi nødt til at konvertere dem til et hashfilformat for at passe det til hashcat. Til dette formål brugte jeg et andet værktøj fra den store pakke af hctools.
hcxpcapngtool -o Wi-Fi_pmkid_hash_22000_file.txt Wi-Fi_PMKID.pcapng
resulterer i en hashfil, som hver linje får følgende struktur:
signatur * TYPE * PMKID / MIC * MACAP * MACSTA * ESSID * * *
her er et eksempel på en hashline:
APV*01 * c6d5c97b9aa88cbe182429275a83efdb*302478bee0ee * acde48a84862*54686557494649***
- signatur = “APPA”
- TYPE = 01 for PMKID, 02 for EAPOL, andre at følge
- PMKID/MIC = pmkid if TYPE==01, MIC if TYPE==02
- MACAP = MAC af AP
- MACSTA = Mac af station
- ESSID = ESSID
- ikke brugt i et pmkid-angreb:
- ANONCE = ANONCE
- EAPOL = EAPOL (SNONCE er herinde)
- MESSAGEPAIR = Bitmask
det næste skridt er at påbegynde krakningsproceduren ved at udføre hashcat:
Hashcats evner omfatter flere krakningsmetoder, hvoraf de mest almindelige er Ordbog + regler og maskeangreb. Metoderne adskiller sig i den måde, de danner adgangssætningen på.
vi valgte at starte med det, der kaldes et “maskeangreb” på grund af den forfærdelige vane, som mange mennesker, der bor i Israel, har med at bruge deres mobiltelefonnumre som trådløse adgangskoder. Du kan tænke på maskeangreb som Regeks:
- ?d-cifre
- ?l-små bogstaver
- ?U-store bogstaver
- ?s-særlige symboler som ? ! $ …..
masken til adgangskoden: 202!$ommer ville blive ?d?d?d?s?s?l?l?l?l?u
her er min Hashcat-kommando, der prøvede alle mulige mobiltelefonnumrekombinationer i Israel
sudo hashcat -a 3 -w4 -m 22000 /home/tuser/hashes/Wi-Fi_pmkid_hash_22000_file.txt 05?d?d?d?d?d?d?d?d -o /home/tuser/hashes/pmkid_cracked.txt
under denne første udførelse af maskeangrebet knækkede vi 2.200 adgangskoder. Lad os beregne antallet af muligheder for Israelske mobiltelefonnumre:
den er 10 cifre lang, og den starter med 05. Derfor skal vi gætte de resterende 8 cifre.
hvert ciffer har 10 muligheder (0-9), dermed 10**8 mulige kombinationer. Et hundrede millioner virker som en masse kombinationer, men vores monster rig beregner med en hastighed på 6819,8 kH/s, hvilket betyder 6.819.000 hashes per sekund.
en cracking rig er ikke påkrævet, da min bærbare computer kan komme til 194,4 kH/s, hvilket svarer til 194.000 hashes per sekund. Det svarer til mere end nok computerkraft til at cykle gennem de muligheder, der er nødvendige for at knække adgangskoderne. Derfor tog det min bærbare computer cirka 9 minutter at bryde en enkelt trådløs adgangskode med egenskaberne ved et mobiltelefonnummer. (10**8)/194,000 = ~516 (sekunder) / 60 = ~9 minutter.
krakningshastigheden for hashtyper adskiller sig på grund af forskellige hashfunktioner og antallet af iterationer. For eksempel er PMKID meget langsom sammenlignet med MD5 eller NTLM. Ikke desto mindre er det muligt at knække en pmkid hash, hvis angriberen fokuserer på et bestemt netværk, og adgangskoden er ikke kompliceret nok.
bagefter udførte vi et standardordbogangreb med den mest almindelige ordbog, Rockyou.mere end 900 hashes. Her er et lille indblik i Rockyou.tekst indhold:
123456 12345 123456789 adgangskode iloveyou prinsesse 1234567 rockyou 12345678 abc123 nicole daniel babygirl abe dejlige jessica 654321 michael ashley
lad os se over statistikken over de krakkede hashes:
knækkede adgangskoder efter deres længde:
adgangskode længde | forekomster |
10 | 2405 |
8 | 744 |
9 | 368 |
12 | 14 |
11 | 14 |
14 | 7 |
13 | 7 |
Sum | 3,559 |
som du kan se, bortset fra den 10-cifrede adgangskode — som vi havde en skræddersyet maske til — da adgangskodelængden steg, antallet af knækkede adgangskoder faldt. Læren her? Jo længere adgangskoden er, desto bedre.
Top 4 masker til de knækkede adgangskoder:
maske | forekomster | Betydning |
maske | forekomster | Betydning |
?d?d?d?d?d?d?d?d?d?d | 2349 | 10 cifre |
?d?d?d?d?d?d?d?d | 596 | 8 cifre |
?d?d?d?d?d?d?d?d?d | 368 | 9 cifre |
?l?l?l?l?l?l?l?l | 320 | 8 små bogstaver |
Sum | 3,633 |
vi kan se, at knækkede adgangskoder oftest passer til en maske, der kun indeholder cifre eller kun små bogstaver.
ikke alle routere understøtter roamingfunktioner og er derfor ikke sårbare over for pmkid-angrebet. Vores forskning fandt imidlertid, at routere fremstillet af mange af verdens største leverandører er sårbare.
som jeg estimerede på forhånd, var processen med at snuse kone og de efterfølgende krakningsprocedurer en meget tilgængelig virksomhed med hensyn til udstyr, omkostninger og udførelse.
den nederste linje er, at om et par timer og med cirka $50 kan din nabo eller en ondsindet skuespiller kompromittere dit privatliv og meget mere, hvis du ikke har en stærk adgangskode.
konklusion
i alt knækkede vi mere end 3.500 Trådløse netværk i og omkring Tel Aviv – 70% af vores prøve.
truslen om et kompromitteret trådløst netværk udgør en alvorlig risiko for både enkeltpersoner, ejere af små virksomheder og virksomheder. Og som vi har vist, når en angriber kan knække mere end 70% af trådløse netværk i en større global by med relativ lethed, skal der lægges større vægt på at beskytte sig selv.
på det mest basale niveau tager folk, der bruger dit netværk, en del af din båndbredde, hvilket kan bremse din internetoplevelse. Men mere konsekvens er, at når angribere får adgang til dit netværk, kan de starte forskellige Man-in-the-middle (MITM) angreb. Det kan føre til, at angribere får adgang til dine vigtige konti, såsom din bankkonto, din e-mail-konto (som er alt i det moderne liv) og kompromitterer andre følsomme legitimationsoplysninger. Dette åbner også yderligere angrebsvektorer til dine IoT-enheder som smart home-udstyr, smart TV ‘ er, sikkerhedssystemer osv.
for den lille virksomhed ligger risikoen i, at en angriber infiltrerer et netværk og derefter flytter sideværts til applikationer eller data af høj værdi, såsom et faktureringssystem eller kasserer.
med hensyn til virksomheden er det muligt for en hacker at få første adgang til en fjernbrugers Trådløse netværk og derefter hoppe til brugerens computer og vente på en VPN-forbindelse eller for brugeren at gå til kontoret og flytte sideværts derfra.
fra et bredere perspektiv er computere og andre enheder normalt ikke tilgængelige uden for netværket på grund af NAT, men når en angriber er i netværket, letter det en række angrebsvektorer.
hvordan skal jeg beskytte mig selv?
- vælg en kompleks adgangskode. En stærk adgangskode skal indeholde mindst et lille bogstav, et stort bogstav, et symbol, et ciffer. Det skal være mindst 10 tegn langt. Det skal være nemt at huske og svært at forudse. Dårligt eksempel: sommer $ 021
- Skift standard brugernavn og adgangskode til din router.
- Opdater din router-version.
- Deaktiver svage krypteringsprotokoller (som VAP eller VAP1).
- Deaktiver VPS.
det er vigtigt at bemærke, at implementering af multifaktorautentificering (MFA) til personlig trådløst internet er vanskelig og stort set upraktisk for en personlig trådløst internet og en ikke-teknisk forbruger. Det er også usandsynligt, at MFA vil være bredt tilgængelig for generelle forbrugerbrugssager i nær-funktionen.
Jeg vil gerne give et stort råb til Atom og Nulbea for deres utrolige arbejde med denne angrebsteknik og for deres arbejde generelt.
jeg håber du nød denne blog, og at du vil tage de nødvendige skridt til at sikre dit trådløse netværk. Og som en påmindelse blev ingen af de adgangskoder, vi knækkede, brugt til uautoriseret adgang til disse trådløse netværk eller andre oplysninger, der er tilgængelige via disse netværk.