Questo articolo è un estratto dal mio eBook WiFi Penetration testing and Security per aspiranti hacker WiFi e appassionati di sicurezza wireless. Clicca qui per saperne di più
Nei capitoli precedenti abbiamo coperto:
- Introduzione alla suite di strumenti Aircrack-ng
- Introduzione a Wireshark
- Cracking diWEP usando Aircrack-ng
- WPA/WPA2 Personal cracking usando Aircrack-ng
Oggi impareremo il cracking WPS usando reaver.
- Che cos’è WPS?
- Che cos’è Reaver?
- Descrizione:
- Installazione di Reaver dal codice sorgente:
- Step 1: Mettere la scheda in modalità monitor
- Step 2: Scansione dell’aria per reti WPS
- Passo 3: Avviare Reaver
- Step 4: Cracking WPS
- La brutta verità su WPS
- Driver wireless supportati
- Parzialmente supportato
- Non supportato
- Contromisure
- Link utili:
Che cos’è WPS?
WPS sta per Wi-Fi Protected Setup ed è stato progettato per rendere l’impostazione di un AP sicuro più semplice per il proprietario medio. Introdotto per la prima volta nel 2006, nel 2011 si è scoperto che aveva un grave difetto di progettazione. Il PIN WPS potrebbe essere forzato piuttosto semplicemente usando strumenti come Reaver.
Che cos’è Reaver?
Reaver è uno strumento gratuito e open-source per il cracking di WPS che sfrutta una falla nella sicurezza dei router wireless e può craccare la password corrente dei router abilitati WPS con relativa facilità. Viene preinstallato in Kali Linux e può essere installato su altre distro Linux tramite codice sorgente. Reaver esegue un attacco a forza bruta contro il numero pin del WiFi Protected Setup di un access point. Una volta trovato il pin WPS, il WPA PSK può essere recuperato
Guarda il mio nuovo negozio per i migliori adattatori WiFi per l’hacking, i libri di pentesting più venduti e i migliori booster WiFi: Rootsh3ll rStore
Descrizione:
Reaver-wps ha come obiettivo la funzionalità di registrar esterno richiesta dalla specifica WiFi Protected Setup. Gli access point forniranno alle società di registrazione autenticate la loro attuale configurazione wireless (incluso il PSK WPA), e accetteranno anche una nuova configurazione dalla società di registrazione.
Per autenticarsi come società di registrazione, la società di registrazione deve dimostrare la sua conoscenza del numero pin a 8 cifre dell’AP. Le società di registrazione possono autenticarsi con un AP in qualsiasi momento senza alcuna interazione con l’utente. Poiché il protocollo WPS è condotto su EAP, la società di registrazione deve solo essere associata al punto di accesso e non ha bisogno di alcuna conoscenza preliminare della crittografia o della configurazione wireless.
Reaver-wps esegue un attacco a forza bruta contro il punto di accesso, tentando ogni possibile combinazione al fine di indovinare il numero pin a 8 cifre del punto di accesso. Poiché i numeri pin sono tutti numerici, ci sono 10^8 (100.000.000-1 = 99.999.999) valori possibili per qualsiasi numero pin dato, considerando che 00.000.000 non è la chiave. Tuttavia, poiché l’ultima cifra del pin è un valore di checksum che può essere calcolato sulla base delle 7 cifre precedenti, lo spazio della chiave si riduce a 10^7 (10.000.000-1 = 9.999.999) valori possibili, ancora una volta poiché il checksum dei primi 6 zero sarà zero, rimuoviamo 0.000.000 per essere brute-forced.
Lo spazio della chiave si riduce ulteriormente a causa del fatto che il protocollo di autenticazione WPS taglia il pin a metà e valida ogni metà individualmente. Ciò significa che ci sono (10^4 )-1 cioè 9.999 possibili valori per la prima metà del pin e (10^3)-1 cioè 999 possibili valori per la seconda metà del pin, con l’ultima cifra del pin che è un checksum.
Reaver-wps forza brute la prima metà del pin e poi la seconda metà del pin, il che significa che l’intero spazio chiave per il numero del pin WPS può essere esaurito in 10.999 tentativi. La velocità con cui Reaver può testare i numeri pin è interamente limitata dalla velocità con cui l’AP può elaborare le richieste WPS. Alcuni AP sono abbastanza veloci da poter testare un pin ogni secondo; altri sono più lenti e permettono solo un pin ogni dieci secondi. Statisticamente, ci vorrà solo la metà di quel tempo per indovinare il numero di pin corretto.
Installazione di Reaver dal codice sorgente:
Sistema: Ubuntu
Aprire il terminale e digitare:
Se hai letto il tutorial precedente, saprai che prima dobbiamo mettere la nostra scheda wireless in modalità monitor e poi iniziare la scansione.
Step 1: Mettere la scheda in modalità monitor
Prima uccidi i programmi che possono causare problemi, poi metteremo la nostra scheda in modalità monitor.
sudo airmon-ng check killsudo airmon-ng start wlan1
wlan1 è l’interfaccia wireless nel mio caso, puoi controllare la tua semplicemente digitando in terminale.
iwconfig
Step 2: Scansione dell’aria per reti WPS
Airodump-ng ha un limite, non può rilevare router abilitati WPS. Quindi, per questo scopo usiamo il comando Wash che si installa insieme a Reaver e ci aiuta nella scansione dei router abilitati WPS.
Basta scrivere:
sudo wash -i wlan1mon
Si vedrà un output simile:
Nota la colonna “WPS Locked”; questo è lontano da un indicatore definitivo, ma in generale, troverai che gli AP che sono elencati come sbloccati sono molto più suscettibili al brute forcing. Puoi ancora tentare di lanciare un attacco contro una rete che è bloccata WPS, ma le possibilità di successo non sono molto buone.
Qui,
ESSID/Target: belkin.ffd
BSSID: EC:1A:59:43:3F:FD
Channel: 11
WPS bloccato: Sì
Nel caso in cui tu stia ottenendo un output come questo:
Basta aggiungere “-C” o “-ignore-fcs” con il comando precedente per saltare
- wash -i wlan1mon -C
- wash -i wlan1mon -ignore-fcs
Entrambi funzioneranno allo stesso modo, e ignorare i pacchetti FCS e otterrete l’output mostrato precedentemente.
Passo 3: Avviare Reaver
Dopo aver ottenuto il BSSID dell’Ap di destinazione, diremo a Reaver di provare l’attacco WPS pin solo su quello specifico BSSID
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD
In alcuni casi, il BSSID può essere nascosto, o duplicato da un altro attaccante. In questo caso Rever non sarà in grado di condurre con successo un attacco pin WPS. Dovrai essere più preciso fornendo ESSID e numero di canale, come abbiamo notato in precedenza a Reaver.
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e “belkin.ffd”
ESSID può contenere spazi, quindi includete sempre ESSID tra virgolette.
Step 4: Cracking WPS
Questa parte è effettivamente fatta da Reaver stesso, dato che abbiamo già fornito le informazioni necessarie a Reaver. Se il router è vulnerabile all’attacco WPS Pin, vi mostrerà un output come questo:
Se Reaver riesce a provare un pin dopo l’altro, il pin WPS e la corrispondente chiave WPA2-PSK è più probabile che vengano violati in un paio d’ore (3-5).
È abbastanza divertente che il WPS doveva fornire facilità e sicurezza agli utenti domestici, ma un router abilitato WPS vulnerabile permette a un potenziale attaccante di rompere la sicurezza con facilità. Non solo la chiave WPS, ma anche la WPA2 PreShared Key che è considerevolmente molto difficile da decifrare senza WPS.
La brutta verità su WPS
È importante notare che i nuovi AP non hanno più questa vulnerabilità. Questo attacco funzionerà solo sugli AP venduti durante il 2006 e l’inizio del 2012. Poiché molte famiglie mantengono i loro AP per molti anni, ci sono ancora molti di questi vulnerabili in giro. Quindi una volta ogni tanto questa tecnica può essere utile.
Driver wireless supportati
I seguenti driver wireless sono stati testati o segnalati per funzionare con successo con Reaver-wps:
- ath9k
- rtl8187
- carl19170
- ipw2000
- rt2800pci
- rt73usb
Parzialmente supportato
I seguenti driver wireless hanno avuto un successo misto, e possono funzionare o meno a seconda della vostra scheda wireless (es.e., se stai avendo problemi con questi driver/schede, considera di provare una nuova scheda prima di inviare un messaggio di problemi):
- ath5k
- iwlagn
- rtl2800usb
- b43
Non supportato
I seguenti driver/schede wireless sono stati testati o segnalati per non funzionare correttamente con Reaver:
- iwl4965
- RT3070L
- Netgear WG111v3
Contromisure
- Spegnere il WPS dal pulsante WPS, se vulnerabile.
- Non usare WPS, se il tuo router è vulnerabile e usa una forte passphrase WPA2.
- Controlla se il tuo router è prodotto dopo il 2012, potrebbe non essere vulnerabile.
Link utili:
Router:
TP-LINK TL-MR3420 300 MB/s Wireless Router 2x 5dBi antenne
Adattatori di rete:
Alfa AWUSO36NH ad alto guadagno B/G/N USB / Alfa AWUS036NHA B/G/N USB
Antenna ad alto guadagno:
Alfa 9dBi WiFi Omni-Directional High-Gain Antenna
Drive USB (32 GB):
SanDisk Ultra Fit USB 3.0 32GB Pen Drive
SanDisk Ultra USB 3.0 32 GB Pen Drive