WPS:n murtaminen Reaverilla [ch3pt5]

Tämä artikkeli on ote aloitteleville WiFi-hakereille ja langattoman tietoturvan harrastajille suunnatusta WiFi-tietotestaus- ja tietoturva-aiheisesta e-kirjasta. Klikkaa tästä saadaksesi lisätietoja

Edellisissä luvuissa käsiteltiin mm:

• Esittely Aircrack-ng-työkalupakettiin
• Esittely Wiresharkiin
• WEP:n murtaminen Aircrack-ng:n avulla
• WPA/WPA2 Henkilökohtaisen WPA:n murtaminen Aircrack-ng:n avulla

Tänään opettelemme WPS:n murtamisen reaverilla.

Mikä on WPS?

WPS on lyhenne sanoista Wi-Fi Protected Setup (Wi-Fi suojattu asennus), ja se on suunniteltu tekemään turvallisen AP:n asettamisesta yksinkertaisempaa tavalliselle asunnonomistajalle. Se otettiin käyttöön ensimmäisen kerran vuonna 2006, mutta vuoteen 2011 mennessä huomattiin, että siinä oli vakava suunnitteluvirhe. WPS:n PIN-koodi voitiin murtaa melko yksinkertaisesti käyttämällä Reaverin kaltaisia työkaluja.

Mikä on Reaver?

Reaver on ilmainen, avoimen lähdekoodin WPS-murtotyökalu, joka käyttää hyväkseen langattomien reitittimien tietoturva-aukkoa ja voi murtaa WPS-yhteensopivan reitittimen nykyisen salasanan suhteellisen helposti. Se on esiasennettuna Kali Linuxissa ja se voidaan asentaa muihin Linux-distroihin lähdekoodin kautta. Reaver suorittaa brute force -hyökkäyksen liityntäpisteen WiFi Protected Setupin pin-numeroa vastaan. Kun WPS-pin löytyy, WPA PSK voidaan palauttaa

Katso uusi myymäläni parhaista WiFi-sovittimista hakkerointiin, myydyimmistä Pentesting-kirjoista ja parhaista WiFi Boostereista: Rootsh3ll rStore

Kuvaus:

Reaver-wps kohdistuu WiFi Protected Setup -spesifikaation edellyttämään ulkoisen rekisterinpitäjän toiminnallisuuteen. Liityntäpisteet toimittavat todennetuille rekisterinpitäjille nykyiset langattomat konfiguraationsa (mukaan lukien WPA PSK) ja hyväksyvät myös uuden konfiguraation rekisterinpitäjältä.

Todentuakseen rekisterinpitäjäksi rekisterinpitäjän on osoitettava tietävänsä AP:n 8-numeroisen pin-numeron. Rekisteröijät voivat todentaa itsensä AP:lle milloin tahansa ilman käyttäjän vuorovaikutusta. Koska WPS-protokolla suoritetaan EAP:n kautta, rekisteröijän tarvitsee vain olla yhteydessä AP:hen, eikä hänen tarvitse tuntea langatonta salausta tai konfiguraatiota etukäteen.

Reaver-wps suorittaa AP:tä vastaan brute force -hyökkäyksen, jossa yritetään kaikkia mahdollisia yhdistelmiä arvatakseen AP:n 8-numeroisen pin-numeron. Koska kaikki pin-numerot ovat numeerisia, mille tahansa pin-numerolle on 10^8 (100 000 000-1 = 99 999 999 999) mahdollista arvoa, kun otetaan huomioon, että 00 000 000 ei ole avain. Koska pin-numeron viimeinen numero on kuitenkin tarkistussumman arvo, joka voidaan laskea seitsemän edellisen numeron perusteella, avainavaruus pienenee 10^7 (10,000,000-1 = 9,999,999) mahdolliseen arvoon, ja koska kuuden ensimmäisen nollan tarkistussumma on nolla, poistamme 0,000,000:n, jotta se voidaan murtaa.

Avainavaruus pienenee entisestään, koska WPS:n todennusprotokolla jakaa pin-numeron kahtia ja validoi kummankin puoliskon erikseen. Tämä tarkoittaa, että pinin ensimmäiselle puoliskolle on (10^4 )-1 eli 9 999 mahdollista arvoa ja pinin toiselle puoliskolle on (10^3)-1 eli 999 mahdollista arvoa, ja pinin viimeinen numero on tarkistussumma.

Reaver-wps tekee raa’an voimakeinon ensin pinin ensimmäiselle puoliskolle ja sen jälkeen pinin toiselle puoliskolle, mikä tarkoittaa sitä, että WPS:n pin-numeron koko avainavaruus voidaan uuvuttaa 10 999 yrityksessä. Nopeutta, jolla Reaver voi testata pin-numeroita, rajoittaa täysin se nopeus, jolla AP voi käsitellä WPS-pyyntöjä. Jotkin AP:t ovat niin nopeita, että yksi pin voidaan testata joka sekunti; toiset ovat hitaampia ja sallivat vain yhden pinin kymmenen sekunnin välein. Tilastollisesti oikean pin-numeron arvaamiseen kuluu vain puolet tästä ajasta.

Reaverin asentaminen lähdekoodista:

Järjestelmä: Ubuntu

Avaa terminaali ja kirjoita:

Jos olet lukenut edellisen opetusohjelman, Tiedät, että ensin meidän on laitettava langaton korttimme monitoritilaan ja sen jälkeen aloitettava skannaus.

Vaihe 1: Kortin laittaminen monitoritilaan

Ensin lopetetaan ohjelmat, jotka saattavat aiheuttaa ongelmia, sitten laitetaan kortti monitoritilaan.

• sudo airmon-ng check kill
• sudo airmon-ng start wlan1

wlan1 on minun tapauksessani langaton liitäntä, voit tarkistaa omasi yksinkertaisesti kirjoittamalla terminaaliin.

• iwconfig

Vaihe 2: Skannaus ilmasta WPS-verkkojen varalta

Airodump-ng:llä on rajoitus, se ei voi havaita WPS-käytössä olevia reitittimiä. Joten tähän tarkoitukseen käytämme wash-komentoa, joka asentuu yhdessä Reaverin kanssa ja auttaa meitä skannaamaan WPS-yhteensopivia reitittimiä.

Kirjoita vain:

• sudo wash -i wlan1mon

Se näyttää samanlaisen tulosteen:

Huomaa ”WPS Locked” -sarake; tämä ei ole läheskään lopullinen indikaattori, mutta yleisesti ottaen huomaat, että AP:t, jotka on listattu lukitsemattomiksi, ovat paljon todennäköisemmin alttiita brute forcingille. Voit silti yrittää hyökkäystä WPS-lukittua verkkoa vastaan, mutta onnistumismahdollisuudet eivät ole kovin hyvät.

Tässä,

ESSID/Target: belkin.ffd

BSSID: EC:1A:59:43:3F:FD

Kanava: 11

WPS lukittu: Yes

Jos saat tällaisen tulosteen:

Lisää vain ”-C” tai ”-ignore-fcs” edelliseen komentoon ohittaaksesi

• wash -i wlan1mon -C
• wash -i wlan1mon -ignore-fcs

Kummatkin toimivat samalla tavalla ja jättävät huomioimatta FCS:n sisältämät paketit, jolloin saat aiemmin näytetyn tulosteen.

Vaihe 3: Käynnistä Reaver

Saatuamme kohde-Ap:n BSSID:n, käskemme Reaveriä kokeilemaan WPS-pin-hyökkäystä vain kyseisellä BSSID:llä

• reaver -i wlan1mon -b EC:1A:59:43:3F:FD

Jossain tapauksissa BSSID voi olla verhottu, tai se voi olla toisen hyökkääjän kopioima. Tällöin Rever ei pysty suorittamaan onnistuneesti WPS-pin-hyökkäystä. Sinun on oltava tarkempi antamalla ESSID ja kanavanumero, totesimme aiemmin Reaverille.

• reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e ”belkin.ffd”

ESSID voi sisältää välilyöntejä, joten sisällytä ESSID aina lainausmerkkeihin.

Vaihe 4: WPS:n murtaminen

Tämän osuuden tekee itse asiassa Reaver itse, sillä olemme jo antaneet tarvittavat tiedot Reaverille. Jos reititin on haavoittuvainen WPS-pin-hyökkäykselle, se näyttää tällaisen tulosteen:

Jos Reaver onnistuu Kokeilemaan pinniä toisensa jälkeen, WPS-pin ja sitä vastaava WPA2-PSK-avain murretaan mitä todennäköisimmin parissa tunnissa (3-5).

On aika hassua, että WPS:n piti tarjota helppoutta ja turvallisuutta kotikäyttäjille, mutta haavoittuvainen WPS:n käytössä oleva reititin antaa potentiaaliselle hyökkääjälle mahdollisuuden murtaa tietoturva helposti. Ei vain WPS-avain, vaan myös WPA2 PreShared Key, joka on huomattavasti paljon vaikeampi murtaa ilman WPS:ää.

Ruma totuus WPS:stä

On tärkeää huomata, että uusissa AP-laitteissa tätä haavoittuvuutta ei enää ole. Tämä hyökkäys toimii vain tuon vuoden 2006 ja alkuvuoden 2012 aikana myydyissä AP:issa. Koska monet perheet säilyttävät AP-laitteitaan useita vuosia, näitä haavoittuvia AP-laitteita on edelleen paljon. Joten silloin tällöin tästä tekniikasta voi olla hyötyä.

Tuetut langattomat ajurit

Seuraavat langattomat ajurit on testattu tai niiden on raportoitu toimivan onnistuneesti Reaver-wps:n kanssa:

• ath9k
• rtl8187
• carl19170
• ipw2000
• rt2800pci
• rt73usb

Tietyllä tavalla tuettu

Jäljempänä mainituilla langattomilla ajureilla on ollut vaihtelevia tuloksia, ja ne voivat toimia tai olla toimimatta riippuen langattomasta kortistasi (i.e., jos sinulla on ongelmia näiden ajureiden/korttien kanssa, harkitse uuden kortin kokeilemista ennen vikailmoituksen lähettämistä):

• ath5k
• iwlagn
• rtl2800usb
• b43

Ei tuettu

Jäljempänä mainitut langattomat ajurit/kortit on testattu tai niiden on raportoitu toimivan huonosti Reaverissa:

• iwl4965
• RT3070L
• Netgear WG111v3

Vastatoimet

1. Kytke WPS pois päältä WPS-painikkeella, jos se on haavoittuva.
2. Älä käytä WPS:ää, jos reititin on haavoittuva ja käytä vahvaa WPA2-salasanaa.
3. Tarkista, onko reitittimesi valmistettu vuoden 2012 jälkeen, Se ei välttämättä ole haavoittuva.

Hyödylliset linkit:

Reititin:

TP-LINK TL-MR3420 300 MB/s langaton reititin 2x 5dBi antennit (Korjattu WPS tuettu reititin)

Verkkosovittimet:

Alfa AWUSO36NH High Gain B/G/N USB / Alfa AWUS036NHA B/G/N USB

High Gain Antenna:

Alfa 9dBi WiFi Omni-Directional High-Gain Antenna

USB-asema (32 GB):

SanDisk Ultra Fit USB 3.0 32 Gt:n kynäasema (kansainvälinen)

SanDisk Ultra USB 3.0 32 Gt:n kynäasema (vain Intia)