WiFi cracking blog cabeçalho Imagem

como eu rachado 70% das redes Wi-Fi de Tel Aviv (a partir de uma amostra de 5.000 Wi-Fi reunidos).Nos últimos sete anos em que vivi em Tel Aviv, mudei de apartamento quatro vezes. Toda vez que enfrentava o mesmo cenário: a empresa de internet levava vários dias para conectar o apartamento, deixando-me desconectada e frustrada ao tentar assistir Netflix laggy na TV com meu hotspot de celular. Uma solução que tenho para este cenário é ter o ” Olá. Eu sou o novo vizinho” fale com os vizinhos enquanto tenta obter seu número de telefone celular em caso de emergências — e perguntando se eu poderia usar seu WiFi até que a empresa de cabo me conectasse. Eu acho que todos nós podemos concordar que não ter internet facilmente se enquadra na categoria de emergência! Muitas vezes, seu número de telefone celular também era sua senha WiFi!

eu levantei a hipótese de que a maioria das pessoas que vivem em Israel (e globalmente) têm senhas Wi-Fi inseguras que podem ser facilmente quebradas ou mesmo adivinhadas por vizinhos curiosos ou atores maliciosos.

A combinação da minha experiência do passado, um relativamente novo, wi-Fi ataque que vou explicar em breve, um novo monstro fissuras rig (8 x QUADRO RTX 8000 48GB GPUs) CyberArk Laboratórios e o fato de que o wi-Fi está em toda parte porque a conectividade é mais importante do que nunca, me levou para a investigação, se eu estava certo com a minha hipótese, ou talvez apenas de sorte.

com a mudança contínua para o trabalho remoto devido à pandemia, proteger as redes domésticas tornou-se imperativo e representa um risco para a empresa se não o fizer. As redes domésticas raramente têm os mesmos controles que as redes corporativas. E um programa de segurança é tão forte quanto seu elo mais fraco.

Figura 1 - CyberArk Laboratórios de novas fissuras rig

Figura 1 – CyberArk Laboratórios de novas fissuras rig

Para testar esta hipótese, que reuniu 5.000 a rede wi-Fi hashes como o meu grupo de estudo passear pela ruas de Tel Aviv, com wi-Fi cheirando equipamento. No final da pesquisa, consegui quebrar mais de 70% das senhas de redes WiFi farejadas com relativa facilidade. A Área Metropolitana de Tel Aviv tem mais de 3.9 milhões de pessoas — você pode imaginar quais seriam os números se não tivéssemos cortado nossa pesquisa em 5.000 redes WiFi. E enquanto essa pesquisa foi realizada em Tel Aviv, os roteadores suscetíveis a esse ataque — de muitos dos maiores fornecedores do mundo — são usados por famílias e empresas em todo o mundo.

neste blog, demonstro com que facilidade (você não precisa de um equipamento de craqueamento) e com pouco equipamento senhas WiFi inseguras podem ser quebradas, hackeando assim a rede WiFi .No final, revelaremos estatísticas dos hashes quebrados e explicaremos como defender sua rede desse tipo de ataque. Portanto, é de extrema importância que conheçamos e entendamos o método de craqueamento para formar uma defesa adequada.

vamos cavar

antes da pesquisa de Jens” atom ” Steube (principal desenvolvedor do Hashcat), quando um hacker queria quebrar uma senha WiFi, eles precisavam capturar um handshake de quatro vias entre um cliente e um roteador ocorrendo apenas durante o estabelecimento da conexão. Simplificando, o invasor precisaria monitorar a rede no momento em que o usuário ou dispositivo se conecta à rede WiFi. Portanto, um hacker precisava estar em um local físico entre o ponto de acesso (roteador) e o cliente, esperando que o usuário digitasse a senha certa e que todos os quatro pacotes do aperto de mão fossem farejados corretamente. Se um hacker não quis esperar até que uma vítima estabeleça uma conexão (que pode levar horas, Quem se conecta à sua rede doméstica enquanto está no trabalho?), o invasor pode desautenticar um usuário já conectado para forçar a vítima a ter um novo handshake de quatro vias.

outro vetor de ataque é configurar uma rede gêmea maliciosa com o mesmo SSID (nome da rede), esperando que a vítima tente fazer login na rede falsa. Uma grande desvantagem disso é, é claro, que é muito barulhento (o que significa que pode ser facilmente rastreado) e pode ser facilmente notado.

Em inglês simples, se um adversário queria cortar/quebrar a senha do WiFi, eles precisam estar no lugar certo (entre os usuários e um roteador) na hora certa (quando os usuários efetuam logon) e a sorte (usuários digitou a senha correta e todos os quatro pacotes foram percebidos corretamente).Tudo isso mudou com a pesquisa inovadora da atom, que expôs uma nova vulnerabilidade visando RSN IE (robusto elemento de informação de rede de segurança) para recuperar um hash PMKID (será explicado em um bit) que pode ser usado para quebrar a senha de rede de destino. PMKID é um hash usado para recursos de roaming entre APs. O uso legítimo do PMKID é, no entanto, de pouca relevância para o escopo deste blog. Francamente, faz pouco sentido ativá-lo em roteadores para uso pessoal/privado (WPA2-Pessoal), pois geralmente não há necessidade de roaming em uma rede pessoal.

a técnica do Atom não tem clientes, tornando obsoleta a necessidade de capturar o login de um usuário em tempo real e a necessidade de os usuários se conectarem à rede. Além disso, requer apenas que o invasor capture um único quadro e elimine senhas erradas e quadros malformados que estão perturbando o processo de cracking.
claramente colocado, não precisamos esperar que as pessoas se conectem aos seus roteadores para que esse ataque seja bem-sucedido. Estamos apenas nas proximidades do roteador / rede recebendo um hash PMKID e tentando quebrá-lo.

para quebrar um PMKID, primeiro precisamos entender como ele é gerado.

Como é PMKID hash gerado e quais os elementos que ele contém

Figura 2 - Fluxo de Calcular PMKID hash e PMK

Figura 2 – Fluxo de Calcular PMKID hash e PMK

O cálculo de hash pode parecer difícil à primeira vista, mas vamos mergulhar nela.

precisamos gerar um PMK acionado a partir do SSID (o nome da rede) e da senha; então geramos um PMKID acionado a partir do PMK que geramos, o endereço MAC do AP e o endereço MAC do cliente. Então, vamos ver onde podemos encontrar aqueles:

o PMK é calculado da seguinte forma:

 Figura 3-cálculo PMK

Figura 3-cálculo PMK

  • senha-a senha WiFi-portanto, a parte que estamos realmente procurando.
  • SSID – o nome da rede. Está disponível gratuitamente nas balizas do roteador (Figura 3).
  • 4096-número de iterações PBKDF2

Figura 4-SSID de um beacon

Figura 4-SSID de um beacon

depois que um PMK foi gerado, podemos gerar um PMKID.
o PMKID é calculado da seguinte forma:

Figura 5 - PMKID cálculo

Figura 5 – PMKID cálculo

  • PMK – o Que estamos procurando, gerado acima. No WPA2 personal, O PMK é o PSK (será explicado no próximo parágrafo).
  • “nome PMK” – string estática para todos os PKMIDs.
  • MAC_AP-endereço MAC do Access Point – este endereço pode ser encontrado em qualquer quadro enviado pelo roteador (Figura 4).MAC_STA-o endereço Mac do cliente pode ser encontrado em qualquer quadro enviado pelo computador do cliente(Figura 4). Além disso, pode ser encontrado na saída dos comandos ifconfig\ip a.

Figura 6 - PMKID,AP MAC,MAC do ClienteFigura 6 – PMKID, AP MAC, MAC do Cliente

Decifrando o PMKID hash é, em última análise, apenas a geração/cálculo PMKs com o SSID e diferentes frases-passe e, em seguida, calcular PMKID do PMK e outras informações nós obtivemos. Uma vez que geramos um PMKID igual ao PMKID que foi recuperado do AP (Figura 3), o hash é quebrado; as senhas que foram usadas para gerar o PMK certo do qual o PMKID foi gerado são a senha WiFi correta.

agora sabemos como um PMKID está sendo gerado e podemos continuar nas fases de cheirar e rachar de nossa pesquisa.

Sniffing PMKID

para reunir hashes WiFi PMKID, é necessária uma interface de rede sem fio com recursos de modo de monitor. O modo Monitor permite a captura de pacotes sem ter que se associar a um ponto de acesso.

comprei uma placa de rede AWUS036ACH ALFA por US $50 (existem opções ainda mais baratas) que suporta o modo de monitor e injeção de pacotes e contornei o centro de Tel Aviv para cheirar WiFis.

Antes de podermos iniciar o sniffing, precisamos preparar nosso ambiente:

usei uma máquina ubuntu com AWUS036ACH ALFA.

Figura 7 - AWUS036ACH ALFA NIC

Figura 7 – AWUS036ACH ALFA NIC

, Podemos construir o pacote Hcxdumptool — uma grande utilidade por ZerBea para capturar pacotes de dispositivos WLAN.

git clone https://github.com/ZerBea/hcxdumptool.gitsudo apt-get install libcurl4-OpenSSL-dev libssl-dev pkg-configmake

depois disso, precisamos instalar drivers com capacidade de modo de monitor. Cada chipset tem seus drivers:

git clone -b v5.6.4.2 https://github.com/aircrack-ng/rtl8812au.gitmake && make install

recomenda-se desligar os serviços que possam interferir na execução do Hcxdumptool:

sudo systemctl stop wpa_supplicantsudo service NetworkManager stop

então é hora de começar a cheirar. Hcxdumptool é uma ferramenta poderosa que pode ser usada para vários ataques, não apenas o PMKID; portanto, desativamos qualquer ataque que não tenha como alvo o PMKID.

sudo ../../tools/hcxdumptool/hcxdumptool -i wlx00c0caac2745 -o Wi-Fi_PMKID.pcapng --disable_deauthentication --disable_client_attacks --enable_status=3
  • -i Meu Alfa NIC, você pode executar ifconfig \ ip a para encontrar o nome da sua interface.
  • – o o PCAPNG de saída da execução.

agora use um casaco com capuz, porque você receberá um PMKID de cada rede pela qual você atravessa que é vulnerável ao ataque.

Figura 8 - Eu Com Capuz

Figura 8-Eu Com Capuz

quando cheguei a 5.000 redes coletadas, decidi desistir; O Verão Israelense estava muito quente para mim,então me virei para a parte divertida.

é hora de quebrar!

nosso primeiro passo no procedimento de cracking é instalar o hashcat, a ferramenta de recuperação de senha mais rápida e avançada do mundo. Como os resultados do sniffing estão na forma de pcapng, precisávamos convertê-los em um formato hashfile para ajustá-lo ao hashcat. Para este objetivo, fiz uso de outra ferramenta do grande conjunto de hcxtools.

hcxpcapngtool -o Wi-Fi_pmkid_hash_22000_file.txt Wi-Fi_PMKID.pcapng

Resultando em um hashfile que cada linha tem a seguinte estrutura:

ASSINATURA*TIPO*PMKID/MIC*MACAP*MACSTA*ESSID* * *

Aqui está um exemplo de um hashline:

WPA*01*c6d5c97b9aa88cbe182429275a83efdb*302478bee0ee*acde48a84862*54686557494649***

  • ASSINATURA = “WPA”
  • TIPO = 01 para PMKID, 02 para EAPOL, outros a seguir
  • PMKID/MIC = PMKID se TIPO==01, MIC se TIPO==02
  • MACAP = MAC do AP
  • MACSTA = MAC da estação
  • ESSID = ESSID
  • Não é utilizada em um ataque PMKID:
    • ANONCE = ANONCE
    • EAPOL = EAPOL (SNONCE está aqui)
    • MESSAGEPAIR = Bitmask

O próximo passo é começar a rachar o procedimento de execução hashcat:

Hashcat capacidades incluem várias fissuras, métodos, dos quais os mais comuns são o dicionário + regras e máscara de ataque. Os métodos diferem na forma como estão formando a senha.Escolhemos começar com o que é chamado de “ataque de máscara”, devido ao terrível hábito que muitas pessoas que vivem em Israel têm de usar seus números de celular como senhas WiFi. Você pode pensar em ataque de máscara como Regex:

  • ?d-dígitos
  • ?l-letras minúsculas
  • ?u-caracteres maiúsculos
  • ?s-símbolos especiais como ? ! $ …..

a máscara para a senha: 202!$ verão se tornaria ?d?d?d?s?s?eu?eu?eu?eu?u

aqui está meu comando Hashcat que tentou todas as combinações possíveis de números de celular em Israel

sudo hashcat -a 3 -w4 -m 22000 /home/tuser/hashes/Wi-Fi_pmkid_hash_22000_file.txt 05?d?d?d?d?d?d?d?d -o /home/tuser/hashes/pmkid_cracked.txt

durante esta primeira execução do ataque de máscara, quebramos 2.200 senhas. Vamos calcular o número de opções para números de celular Israelenses:
tem 10 dígitos e começa com 05. Portanto, precisamos adivinhar os 8 dígitos restantes.

cada dígito tem 10 opções (0-9), daí 10**8 combinações possíveis. Cem milhões parecem muitas combinações, mas nosso equipamento monstro calcula a velocidade de 6819,8 kH/s, o que se traduz em 6.819.000 hashes por segundo.
um equipamento de craqueamento não é necessário, pois meu laptop pode chegar a 194,4 kH/s, o que se traduz em 194.000 hashes por segundo. Isso equivale a poder de computação mais do que suficiente para percorrer as possibilidades necessárias para quebrar as senhas. Consequentemente, meu laptop levou cerca de 9 minutos para quebrar uma única senha WiFi com as características de um número de celular. (10**8)/194,000 = ~516 (segundos) / 60 = ~ 9 minutos.

a velocidade de craqueamento para hashtypes difere devido a diferentes funções hash e ao número de iterações. Por exemplo, o PMKID é muito lento em comparação com MD5 ou NTLM. No entanto, é possível quebrar um hash PMKID se o invasor se concentrar em uma rede específica e a senha não for complicada o suficiente.

depois, executamos um ataque de dicionário padrão com o dicionário mais comum, Rockyou.txt, e rachou mais de 900 hashes. Aqui está um pequeno vislumbre de Rockyou.txt o conteúdo:

123456 12345 123456789 senha iloveyou princesa 1234567 rockyou 12345678 abc123 nicole daniel babygirl macaco linda jessica 654321 michael ashley

Vamos olhar sobre as estatísticas da rachado hashes:

Rachado senhas por seu tamanho:

Comprimento Da Palavra-Passe Ocorrências
10 2405
8 744
9 368
12 14
11 14
14 7
13 7
Soma 3,559

Como você pode ver, exceto para os 10 dígitos de senha—, o que nós tinha um adaptado máscara para — como o aumento do comprimento da palavra-passe, o número de senhas quebradas diminuiu. A lição aqui? Quanto maior a senha, melhor.

Top 4 máscaras para o rachado senhas:

Máscara Ocorrências Significado
Máscara Ocorrências Significado
?d?d?d?d?d?d?d?d?d?d 2349 10 dígitos
?d?d?d?d?d?d?d?d 596 8 dígitos
?d?d?d?d?d?d?d?d?d 368 9 dígitos
?eu?eu?eu?eu?eu?eu?eu?l 320 8 letras minúsculas
Soma 3,633

podemos ver que quebraram as senhas mais frequentemente ajuste de uma máscara que contém apenas dígitos ou apenas letras minúsculas.

nem todos os roteadores suportam recursos de roaming e, portanto, não são vulneráveis ao ataque PMKID. No entanto, nossa pesquisa descobriu que os roteadores fabricados por muitos dos maiores fornecedores do mundo são vulneráveis.

como eu estimei anteriormente, o processo de farejar WiFis e os procedimentos subsequentes de craqueamento foi um empreendimento muito acessível em termos de equipamento, custos e execução.

o resultado final é que em algumas horas e com aproximadamente US $50, seu vizinho ou um ator malicioso pode comprometer sua privacidade e muito mais se você não tiver uma senha forte.

conclusão

no total, quebramos mais de 3.500 redes WiFi dentro e ao redor de Tel Aviv – 70% da nossa amostra.

a ameaça de uma rede Wi-Fi comprometida apresenta sérios riscos para indivíduos, proprietários de pequenas empresas e empresas. E como mostramos, quando um invasor pode quebrar mais de 70% das redes WiFi em uma grande cidade global com relativa facilidade, maior atenção deve ser dada à proteção de si mesmo.

no nível mais básico, as pessoas que usam sua rede participam de sua largura de banda, o que pode retardar sua experiência na internet. No entanto, mais consequente é que, uma vez que os invasores obtenham acesso à sua rede, eles podem lançar vários ataques man-in-the-middle (MITM). Isso pode levar os invasores a obter acesso às suas contas importantes, como sua conta bancária, sua conta de E-mail (que é tudo na vida moderna) e comprometer outras credenciais confidenciais. Isso também abre vetores de ataque para seus dispositivos IoT, como equipamentos domésticos inteligentes, TVs inteligentes, sistemas de segurança, etc.

para as pequenas empresas, o risco está em um invasor se infiltrar em uma rede e, em seguida, mover lateralmente para aplicativos ou dados de alto valor, como um sistema de faturamento ou caixa.

em relação à empresa, é possível que um invasor obtenha acesso inicial ao WiFi de um usuário remoto e, em seguida, acesse o computador do Usuário e aguarde uma conexão VPN ou que o usuário vá ao escritório e se mova lateralmente de lá.

de uma perspectiva mais ampla, computadores e outros dispositivos geralmente não são acessíveis de fora da rede por causa do NAT, mas uma vez que um invasor está na rede, ele facilita uma variedade de vetores de ataque.

Como devo me proteger?

  1. Escolha uma senha complexa. Uma senha forte deve incluir pelo menos um caractere minúsculo, um caractere maiúsculo, um símbolo, um dígito. Deve ter pelo menos 10 caracteres. Deve ser facilmente lembrado e difícil de antecipar. Mau exemplo: Summer $ 021
  2. altere o nome de usuário e a senha padrão do seu roteador.
  3. atualize a versão do firmware do roteador.
  4. desativar protocolos de criptografia fracos (como WAP ou WAP1).
  5. Desativar WPS.

é importante notar que a implementação de autenticação multifator (MFA) para WiFi pessoal é difícil e praticamente impraticável para um WiFi pessoal e um consumidor não técnico. Também é improvável que o MFA esteja amplamente disponível para casos gerais de Uso do consumidor no recurso próximo.

gostaria de dar um grande grito a Atom e ZerBea por seu incrível trabalho nesta técnica de ataque e por seu trabalho em geral.

espero que você tenha gostado deste blog e que você tome as medidas necessárias para proteger sua rede WiFi. E como lembrete, nenhuma das senhas que deciframos foi usada para acesso não autorizado a essas redes WiFi ou qualquer outra informação acessível por meio dessas redes.

Deixe uma resposta

O seu endereço de email não será publicado.