Compartilhar
-
-
Artigos Recentes
-
Últimos Comentários
-
Category Archives: Segurança
Quebrar WPA
O protocolo WEP, Wired Equivalent Privacy, foi desenvolvido por alguns membros do IEEE para proteger o fluxo de dados entre os equipamentos que operam em conformidade com os padrões 802.11 e suas variações. No entanto, descobriu-se que o WEP possuía diversas vulnerabilidades, fato que classificou este protocolo como “frágil” e colocou em “alerta” os especialistas em segurança. Na internet, pouco tempo depois, apareceram várias publicações sobre o WEP e suas fraquezas, como esta, que foi ao ar na VIVASEMFIO em junho de 2007. Tais acontecimentos, claro, deram origem a outros protocolos, mais robustos e conseqüentemente mais confiáveis que o WEP, como o WPA e o WPA2.
O WPA, Wi-Fi Protected Access, já foi detalhado aqui na VIVASEMFIO. Basicamente, trata-se de um subconjunto do padrão IEEE 802.11i que utiliza o protocolo TKIP (Temporal Key Integrity Protocol) para cifrar o fluxo dados, uma tecnologia mais avançada que o RC4 empregado no WEP. Porém, Erik Tews e Martin Beck, pesquisadores alemães especializados em segurança wireless, fizeram um “estrago” na comunidade científica em novembro de 2008 após divulgarem que o WPA pode ser parcialmente quebrado em poucos minutos.
Antes das descobertas de Tews e Beck, sabia-se que o TKIP poderia ser quebrado através de um ataque de dicionário. Este tipo de ataque funciona assim: primeiro, obtêm-se uma lista com milhares de combinações alfanuméricas. Depois, ferramentas como o CoWPAtty, comparam as combinações da lista com a chave protetora, tentando, desta forma, descobrir o segredo TKIP. Simples, não? Basicamente, uma técnica de tentativa e erro bem rudimentar. Inclusive, ataques deste tipo exigem muitos recursos computacionais, fato que justifica sua baixa popularidade. Quem já usou o CoWPAtty sabe do que estamos falando!
A técnica desenvolvida por Tews e Beck é mais eficiente. Ela não se enquadra num ataque de dicionário e por isso não exige alto poder de processamento. Isto, claro, reflete no tempo de entrega da resposta que neste caso não ultrapassa 15 minutos. Ou seja, Tews e Beck encontraram uma forma de quebrar, mesmo que parcialmente, chaves WPA em até 15 minutos. Isto é incrível! O método consiste em duas etapas distintas. Na primeira o “atacante” deve capturar alguns pacotes da rede alvo, um procedimento extremamente rápido já que utiliza algo semelhante ao “chopchop attack” empregado na quebra do WEP. Na segunda, diversas funções matemáticas “secretas” são aplicadas nesses pacotes, ações que resultarão na quebra parcial do WPA. “In a nutshell, the WPA attack allows an attacker to decrypt packets with a rate of one byte plaintext per minute or a little bit more”, disse Tews.
Parcial porque o método só obtém acesso aos dados que saem do wireless router e vão para uma estação qualquer da rede. Ou seja, a chave WPA responsável por cifrar os dados que saem de uma estação com destino ao wireless router, por enquanto, está imune a este ataque. Mas este “detalhe”, definitivamente, não alivia a gravidade do problema, pois várias informações sigilosas ficarão expostas a qualquer individuo mal intencionado que faça uso do método de Tews e Beck. Alias, parte do método já foi adicionado à ferramenta AirCrack, muito utilizada na quebra de chaves WEP.
E agora? O que fazer? Utilizar técnicas de cifragem mais avançadas, como o WPA2.
É isso!
Aircrack ng Airodump Wzcook em Windows WEP
Considerada uma poderosa ferramenta de análise de tráfego 802.11, Aircrack consegue trabalhar em Linux e Windows. Sua função é quebrar ou descobrir chaves WEP (Wired Equivalent Privacy) a partir de dados capturados duma rede sem fio alvo. Na verdade, o pacote cujo Aircrack faz parte é composto também por outros programas: como o Airodump e Wzcook.
Neste artigo ensinaremos a usar o Aircrack em Windows. Alias, o pacote para Windows contendo o Aircrack, Airodump e Wzcook está disponível em nossa área de download (aqui).
Primeiramente, torna-se necessário capturar alguns pacotes da rede sem fio em questão. Esta captura pode ser feita por qualquer adaptador wireless capaz de entrar em modo monitor (RFMON). Inclusive, em artigos anteriores (aqui), além de detalharmos o RFMON mostramos algumas placas que conseguem operar neste modo. Satisfeita esta condição, precisamos escolher um software para realizar a coleta. Nesta etapa, pode-se utilizar qualquer programa que gere arquivos no formato pcap. Por exemplo: Kismet, Ethereal, Tcpdump ou Airodump (que acompanha o pacote).
Em nosso teste, utilizamos o Kismet. O resultado da captura foi um arquivo com extensão .dump de 374 MB. Trata-se dum tamanho considerável para quebrar nossa rede cuja chave WEP possui 64 bits.
Agora, vamos ao Aircrack
Dentro da pasta bin encontramos o executável Aircrack-ng GUI.
Ao rodá-lo, vemos a seguinte tela:
Na aba Aircrack-ng, além da opção encriptação (WEP ou WPA), podemos escolher o tamanho da chave. Em nosso caso, WEP 64 bits. Clicamos em Choose e fomos até nosso arquivo .dump. Após selecionarmos, clicamos em Launch.
Após algum tempo, o Aircrack poderá fazer algumas perguntas ao usuário conforme o tráfego capturado:
Com base no SSID, MAC e número de IVs, optamos pelo número 1. Feita a escolha, a chave WEP é então revelada:
Fantástico, não?
É isso!
EtherPEG monitorar trafego rede wireless sem fio
Você já ouviu falar no EtherPEG? EtherPEG é um programa bastante útil para quem deseja controlar o tráfego de imagens na rede. Ele consegue extrair e mostrar ao administrador todos os JPGs e GIFs exibidos em cada browser de cada usuário. Por exemplo: você será o palestrante de um importante evento. Neste evento existe uma rede wireless aberta para os convidados. Com o EtherPEG instalado em seu laptop, você irá monitorar as imagens que passam pela rede e com isso perceberá o cansaço e como seus ouvintes se distraem. Melhor que isso. EtherPEG é a ferramenta ideal para controlar o que seu filho de 11 anos vê na internet. Invasão de privacidade? Depende.
EtherPEG foi escrito por Sam Bushell, Peter Bierman e Stuart Cheshire. Não se trata de um programa direcionado para redes sem fio. Ele funciona em qualquer rede TCP/IP – desde que não exista codificação de dados. E mais: é totalmente grátis. Então, trata-se do programa perfeito? Não. Infelizmente, EtherPEG é uma ferramenta voltada para Macintosh. Quer chorar? Nós também.
É isso!
Desabilitar desativar esconder ocultar nao divulgar broadcast SSID
Recentemente uma revista com grande circulação no Brasil publicou uma matéria sobre tecnologias wireless. Ao tocarem no assunto segurança em redes sem fio, disseram: “DEVE-SE DESABILITAR O BROADCAST DE SSID”. Mas o que isto significa? Realmente vale a pena? Eis nosso artigo de hoje. Vamos obter respostas para essas perguntas.
Primeiramente, SSID significa Service Set Identifier. É, grosso modo, o nome da rede. Este valor é único, alfanumérico, sensível a maiúsculas e minúsculas e pode ter até 32 caracteres de comprimento. O SSID passa em claro pela rede em diversos momentos. Um deles é quando o concentrador (AP) envia seus BEACON FRAMES. Pode-se entender o BEACON como sendo um quadro de anúncio, ou seja, informações enviadas pelo AP aos clientes para orientá-los. Além do SSID, os BEACONS carregam outras informações importantes. Por exemplo: sincronização do tempo e taxas suportadas. Dado o exposto, desabilitar o broadcast de SSID significa retirar “o valor SSID” do BEACON FRAME.
Fazer isto é muito fácil. Esta opção geralmente está disponível na página administrativa do AP. A figura abaixo mostra como realizar tal façanha num equipamento com firmware OpenWRT.
Feito isso, após uma varredura por redes sem fio ao redor, obtêm-se o seguinte resultado:
Com isso, para conseguir uma associação com o AP em questão, torna-se necessário conhecer o SSID não divulgado da rede. Esta atitude isolada, denominada segurança por obscuridade, não significa garantia alguma de proteção. Ao usá-la, deve-se combinar tal técnica com outras – como uso de boa criptografia, filtro de MAC, etc. Afinal, há diversos tipos de ataques cujo indivíduo mal intencionado não precisa conhecer o SSID para obter sucesso em sua jornada. Pior: desabilitar o broadcast de SSID pode causar lentidão na conexão dos legítimos usuários. Isto acontece porque neste caso existe um esforço extra para o correto sincronismo entre o cliente e o AP.
E agora? É recomendável esconder o SSID?
NÓS ACHAMOS que não, pois como dissemos, além de causar retardos tal método é pouco eficiente. Ao construir uma rede wireless que necessita de segurança, imaginamos que o ideal é gastar processamento com técnicas robustas – de verdade.
É isso!
Invadir AP ponto acesso aberto default config NMAP
Neste artigo comentaremos sobre uma simples técnica utilizada para acessar a página administrativa de um ponto de acesso desconhecido. Ela é acessada via browser e, basicamente, fornece ao cidadão diversos parâmetros de configuração. A seguir trataremos do caso mais simples possível. Vamos entrar na página administrativa de um ponto de acesso cujos valores de fábrica não foram alterados.
Deparamos-nos com diversas redes abertas ao andarmos pelos centros das grandes cidades. É bastante comum conseguirmos uma associação com estas redes. Quando isto ocorre, geralmente, o DHCP do AP envolvido está habilitado. Ou seja, o equipamento nos fornece um IP válido sem fazermos qualquer esforço. Partindo do princípio que a conexão com o AP desconhecido já foi estabelecida, tentaremos agora acessar sua página administrativa.
Primeiro é necessário descobrir o IP do ponto de acesso. Isto pode ser feito de várias formas. No Windows, ao entrarmos no prompt de comando, basta digitar “ipconfig /all”. No Linux o comando é “ifconfig”, etc, etc, etc. Com o IP do AP em mãos, deveremos coletar alguns dados a respeito do ponto de acesso. A informação de maior relevância, neste caso, é a marca do equipamento. Para descobrirmos o fabricante, basta utilizarmos uma ferramenta chamada NMAP.
O que é NMAP?
Ele foi desenvolvido antes das redes wireless se tornarem populares. O NMAP usa recursos avançados para determinar o estado de um sistema alvo. Dentre suas funcionalidades, a varredura de portas (TCP e UDP) é a mais importante. Também é possível determinar o sistema operacional da vítima, além de utilizar técnicas para ocultar sua presença.
Nosso propósito não exige parâmetros absurdos. Supondo que o IP do AP é 192.168.1.1, é só executar o NMAP sem qualquer frescura.Assim:
root@vivasemfio:/# nmap 192.168.1.1
Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2007-08-15 22:14 BRT
All 1670 scanned ports on 192.168.1.1 are: filtered
MAC Address: 00:14:**:19:**:64 (Cisco-Linksys)
Nmap finished: 1 IP address (1 host up) scanned in 36.007 seconds
Através do singelo comando acima fomos agraciados com duas informações interessantes. O MAC e o fabricante do ponto de acesso. Sabemos agora que a rede infra-estrutura é coordenada por um Linksys. Eis o detalhe que faltava para acessarmos a página administrativa. Num browser qualquer, digitamos:
http://192.168.1.1
Provavelmente uma tela solicitando nome de usuário e senha aparecerá. E agora? Usamos o NMAP para descobrir a marca do AP, certo? Basta termos uma listinha com os valores defaut de cada fabricante. Por exemplo: alguns modelos da Linksys adotam nome de usuário “admin” e senha “admin”. É só arriscar! Se os valores de fábrica não foram alterados pelo responsável, entraremos na página administrativa e teremos totais privilégios. Fácil, né?
Há na internet incontáveis listas com a configuração padrão de diversas marcas.
É isso!
