lunedì 18 novembre 2013

Attaccare una WIFi/WPA mediante WPS e Reaver


Come ex amministratore di rete presso l'universita' e come ex white hat conosco un po' di trucchetti per attaccare una rete WiFi
Con l'arrivo del protezione WPA pero' pensavo che non fosse possibile entrare in una rete Wireless a meno di un colpo di fortuna (l'attacco WPA si basa sulla forza bruta) o stupidita' nella configurazione dell'access point (mi e' capitato di vedere degli access point con la password wpa che coincideva con l'SSID)

Frugando su Internet mi  sono imbattuto in Reaver, un software che sfrutta una vulnerabilita' sull'autenticazione automatica WPS, ed ho voluto provare sulla mia attrezzatura

Ho a disposizione un solo router wireless con capacita' Wps ed e' un access point portatile PN51T.
Per usare Reaver e' inoltre necessario avere a disposizione una scheda di rete che possa entrare in Monitor Mode..con mia grande sorpresa una scheda wifi Alfa AWUS036H su porta USB e dotata di chipset Realtek 8087 supporta questa modalita' in modo eccellente aggiungendo anche una antenna ad alto guadagno



Per usare Reaver conviene usare la distribuzione Back Track in modo da avere gia' tutto configurato

L'attacco e' piuttosto semplice perche si deve mandare prima la scheda in Monitor Mode
airmon-ng start wlan1

dopo si individuano gli access point visibili con capacita' wps mediante wash
wash -i mon0

guardando alla colonna WPS Locked si puo' vedere come alcuni access point siano protetti da questo tipo di attacco (Yes)

Selezionato l'obbiettivo di iniziare l'attacco (che rientra nella categoria di forza bruta perche' prova tutte le combinazioni di wps pin code) 
reaver -b mac_access_point -i mon0 -v


con un po' di disappunto la chiave wpa del mio access point e' stata trovata in meno di 30 secondi.
Il motivo della rapidita' e' che l'access point e' configurato con il pin code di default (12345670) che e' il primo che reaver prova

Un paio di controindicazioni:
1) l'attacco e' molto rumoroso perche' genera traffico per tutto il tempo in cui vengono provati i pin code (possono occorrere anche ore) e quindi e' facile da identificare. Alcuni access point prevedono un numero limitato di tentativi nell'unita' di tempo od addirittura disabilitano il wps dopo un certo numero di tentativi falliti

2) l'access point bersaglio deve essere piuttosto vicino all'attaccante perche' il traffico e' basato su una sequenza precisa di pacchetti che non devono essere persi (nel mio caso questo era sicuramente soddisfatto  perche' trra l'antenna e l'access point c'erano circa 20 cm)

PS: ovviamente questi esperimenti si fanno sulle reti che si amministrano....no su quelle dei vicini anche perche' e' reato