Este artigo é um excerto do meu eBook de Penetração WiFi e Segurança para aspirantes a hackers WiFi e entusiastas da segurança Wireless. Clique aqui para saber mais
Nos capítulos anteriores, nós cobrimos:
- Introduction to Aircrack-ng Suite of tools
- Introduction to Wireshark
- WEP cracking using Aircrack-ng
- WPA/WPA2 Personal cracking using Aircrack-ng
Hoje vamos aprender WPS cracking usando reaver.
- O que é WPS ?
- What is Reaver ?
- Descrição:
- Installing Reaver from Source Code:
- Passo 1: Colocando a placa em modo monitor
- Step 2: Scanning the Air for WPS Networks
- Passo 3: Disparar Reaver
- Passo 4: Cracking WPS
- A Verdade Feia sobre WPS
- Controladores sem fio suportados
- Parcialmente suportados
- Não Suportado
- Contra-medidas
- Ligações úteis:
O que é WPS ?
WPS significa Wi-Fi Protected Setup e foi projetado para tornar a configuração de um AP seguro mais simples para o proprietário médio de uma casa. Introduzido pela primeira vez em 2006, em 2011 foi descoberto que tinha uma falha séria no design. O PIN WPS poderia ser forçado a usar ferramentas como Reaver.
What is Reaver ?
Reaver é uma ferramenta de cracking WPS gratuita e de código aberto que explora uma falha de segurança em roteadores sem fio e pode craquear a senha atual do roteador WPS-Enabled com relativa facilidade. Ele vem pré-instalado no Kali Linux e pode ser instalado em outras distros Linux via código fonte. O Reaver executa um ataque de força bruta contra o número do pin de configuração protegida por WiFi de um ponto de acesso. Uma vez encontrado o pino WPS, o WPA PSK pode ser recuperado
Checkout my new store for Best WiFi adapters for Hacking, Best-selling Pentesting Books e Best WiFi Boosters: Rootsh3ll rStore
Descrição:
Reaver-wps tem como alvo a funcionalidade de registo externo exigida pela especificação WiFi Protected Setup. Os pontos de acesso fornecerão aos registradores autenticados a sua configuração sem fio atual (incluindo o WPA PSK), e também aceitarão uma nova configuração do registrador.
Para autenticar como registrador, o registrador deve provar seu conhecimento do número pin de 8 dígitos do AP. Os registradores podem se autenticar em um AP a qualquer momento sem nenhuma interação do usuário. Como o protocolo WPS é conduzido sobre EAP, o registrador só precisa estar associado ao AP e não precisa de nenhum conhecimento prévio da criptografia ou configuração wireless.
Reaver-wps executa um ataque de força bruta contra o AP, tentando todas as combinações possíveis a fim de adivinhar o número de pinos de 8 dígitos do AP. Como os números pin são todos numéricos, existem 10^8 (100,000,000-1 = 99,999,999) valores possíveis para qualquer número pin dado, considerando que 00,000,000 não é a chave. Entretanto, como o último dígito do pino é um valor de soma de verificação que pode ser calculado com base nos 7 dígitos anteriores, esse espaço de chave é reduzido para 10^7 (10,000,000-1 = 9,999,999) valores possíveis, novamente como a soma de verificação dos 6 primeiros zero será zero, removemos 0,000,000 para ser forçado a brutal.
O espaço de chave é reduzido ainda mais devido ao fato do protocolo de autenticação WPS cortar o pino pela metade e validar cada metade individualmente. Isto significa que existem (10^4 )-1 i.e. 9,999 valores possíveis para a primeira metade do pino e (10^3)-1 i.e. 999 valores possíveis para a segunda metade do pino, sendo o último dígito do pino um checksum.
Reaver-wps brute força a primeira metade do pino e depois a segunda metade do pino, significando que todo o espaço chave para o número do pino WPS pode ser esgotado em 10,999 tentativas. A velocidade na qual o Reaver pode testar o número de pinos é inteiramente limitada pela velocidade na qual o AP pode processar os pedidos WPS. Alguns APs são suficientemente rápidos para que um pino possa ser testado a cada segundo; outros são mais lentos e permitem apenas um pino a cada dez segundos. Estatisticamente, levará apenas metade desse tempo para adivinhar o número de pinos correto.
Installing Reaver from Source Code:
System: Ubuntu
Abrir terminal e digite:
Se você leu o tutorial anterior, você saberá que primeiro temos que colocar nossa placa sem fio em modo monitor e depois começar a varredura.
Passo 1: Colocando a placa em modo monitor
Primeiro matar os programas que possam causar problemas, então colocaremos nossa placa em modo monitor.
sudo airmon-ng check kill
sudo airmon-ng start wlan1
wlan1 é a interface wireless no meu caso, você pode verificar a sua simplesmente digitando no terminal.
iwconfig
Step 2: Scanning the Air for WPS Networks
Airodump-ng tem uma limitação, Ele não pode detectar roteadores WPS habilitados. Então, para isso usamos o comando wash que instala junto com o Reaver e nos ajuda a varrer por roteadores WPS habilitados.
Apenas escreva:
sudo wash -i wlan1mon
Vai mostrar uma saída semelhante:
Note a coluna “WPS Locked”; isto está longe de ser um indicador definitivo, mas em geral, você vai descobrir que os APs que estão listados como desbloqueados são muito mais suscetíveis à forçagem bruta. Você ainda pode tentar lançar um ataque contra uma rede que está WPS bloqueada, mas as chances de sucesso não são muito boas.
Aqui,
ESSID/Target: belkin.ffd
BSSID: EC:1A:59:43:3F:FD
Channel: 11
WPS Bloqueado: Sim
No caso de estar a obter uma saída como esta:
>
Só adicione “-C” ou “-ignore-fcs” com o comando anterior para saltar
- wash -i wlan1mon -C
- wash -i wlan1mon -ignore-fcs
Bambos funcionarão da mesma forma, e ignore os pacotes FCS e você terá a saída mostrada anteriormente.
Passo 3: Disparar Reaver
Após obter o BSSID do Ap alvo, vamos dizer ao Reaver para tentar um ataque de pinos WPS apenas naquele BSSID específico
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD
Em alguns casos, o BSSID pode estar camuflado, ou duplicado por outro atacante. Nesse caso, o Rever não será capaz de conduzir com sucesso o ataque de pinos WPS. Você terá que ser mais preciso, fornecendo ESSID e número de canal, nós anotamos anteriormente para Reaver.
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e “belkin.ffd”
ESSID pode conter espaços, portanto inclua sempre ESSID entre aspas.
Passo 4: Cracking WPS
Esta parte é na verdade feita pelo próprio Reaver, pois já fornecemos as informações necessárias ao Reaver. Se o router é vulnerável ao ataque do WPS Pin, ele irá mostrar uma saída como esta:
Se o Reaver tiver sucesso em Tentar um pino após o outro, o WPS pin e a chave WPA2-PSK correspondente é mais parecido com ser quebrado em algumas horas (3-5).
É bastante engraçado que o WPS era suposto fornecer facilidade e segurança aos utilizadores domésticos, mas um router WPS vulnerável permite que um potencial atacante quebre a segurança com facilidade. Não apenas a chave WPS, mas também a chave WPA2 PreShared que é consideravelmente difícil de quebrar sem WPS.
A Verdade Feia sobre WPS
É importante notar que os novos APs não têm mais essa vulnerabilidade. Este ataque só funcionará nos APs vendidos durante aquele 2006 e início de 2012. Como muitas famílias mantêm seus APs por muitos anos, ainda há muitos destes vulneráveis por perto. Portanto, de vez em quando, esta técnica pode ser útil.
Controladores sem fio suportados
Os seguintes controladores sem fio foram testados ou reportados como funcionando com sucesso com Reaver-wps:
- ath9k
- rtl8187
- carl19170
- ipw2000
- rt2800pci
- rt73usb
Parcialmente suportados
Os seguintes drivers sem fio tiveram sucesso misto, e pode ou não funcionar, dependendo do seu cartão sem fios (i.e., se está a ter problemas com estes drivers/cartões, considere tentar um novo cartão antes de submeter um ticket de problemas):
- ath5k
- iwlagn
- rtl2800usb
- b43
Não Suportado
Os seguintes drivers/cartões sem fios foram testados ou reportados como não funcionando correctamente com o Reaver:
- iwl4965
- RT3070L
- Netgear WG111v3
Contra-medidas
- Desligue o WPS através do botão WPS, se vulnerável.
- Não use WPS, se o seu router estiver vulnerável e use uma frase-chave WPA2 forte.
- Verifica se o teu router é fabricado depois de 2012, Pode não estar vulnerável.
Ligações úteis:
Roteador:
TP-LINK TL-MR3420 300 MB/s Roteador sem fio 2x antenas de 5dBi (Roteador WPS com suporte de patches)
Adaptadores de rede:
Alfa AWUSO36NH High Gain B/G/N USB / Alfa AWUS036NHA B/G/N USB
>
Anutena High Gain:
Alfa 9dBi WiFi Omni-Directional High-Gain Antenna
>
Drive USB (32 GB):
>
SanDisk Ultra Fit USB 3.0 Pen Drive de 32 GB (Internacional)
SanDisk Ultra USB 3.0 32 GB Pen Drive (Apenas na Índia)