Атака на Wi-Fi

Личный опыт взлома беспроводных сетей.

Как-то раз девушка одного моего друга, услышав от него по мобильному фразу «Мы сейчас на Тверской вардрайвим, пока никого не подцепили, перезвоню позже», устроила ему жуткий скандал. Очень сложно было втолковать ранимой особе, что термин «вардрайвинг» хоть и связан очень тесно с Тверской улицей, однако носит исключительно компьютерный характер. Чтобы хотя бы у тебя не возникало таких проблем, не пропусти! Прямо сейчас! Вся правда о «вардрайвинге».

Вся правда!

Чем же мы занимались на Тверской и кого пытались подцепить? Дело все в том, что и у меня, и у моего друга есть ноутбук с Wi-Fi-адаптером на борту. И поскольку мы очень любим изучать технологии, то время от времени выбираемся в центр, чтобы повеселиться, подключаясь к беспроводным сетям многочисленных организаций, которыми просто-таки усеян весь центр Москвы. Какие цели мы преследуем? Ну хотя бы и так: поснифать чужой трафик и посидеть на халяву в инете.

На первый взгляд может показаться, что сделать это сложно. Вовсе нет. Порой для этого совсем не обязательно эксплуатировать какие-то уязвимости, ведь часто создатели сети делают все для того, чтобы поломать их систему было проще простого.

Когда я только начинал заниматься Wi-Fi-сетями, передо мной стояла целая гора вопросов. Самый первый из них заключался в том, какое железо использовать. Ответ на самом деле ожидаемый: по существу, это не так уж и важно, можно заставить работать любую железяку. Например мой друг использует встроенный в ноутбук Wi-Fi-адаптер, а я купил отдельную PCMCI-карточку, поскольку у меня древний ноут. Однако можно дать несколько простых советов. Прежде всего, бери карточку на чипсете Prism или Prism2. Советую это сделать, даже если у тебя в ноуте есть интегрированный адаптер, поскольку если он работает не на этом чипсете, то ты можешь забыть о полноценном пользовании Wi-Fi . Подходящая PCMCI-карточка стоит около $50.

Также рационально брать карточку с возможностью подключения внешней антенны. Если ты собираешься быть настоящим Wi-Fi-гуру, возможности встроенной антенны уже в скором времени перестанут устраивать тебя.

Вообще выбор железа - это очень индивидуальный вопрос, поэтому я не буду с пеной у рта советовать тебе конкретные модели. Я-то свой выбор сделал уже давно.
Вот моя конфигурация: HP OmniBook 900 Orinoco Gold Hermes PCMCIA Card.
Что касается внешней антенны, то, конечно, если у тебя есть куча денег, логично купить красивую фирменную антенну и не париться. Однако опыт показывает, что ее можно изготовить самостоятельно и она будет прекрасно работать. Вообще, в инете очень много об этом пишут, даже приводят чертежи. Могу тебе сказать, что есть даже несколько типов антенн, которые можно изготовить в домашних условиях! Хорошие результаты показывают так называемые спиралевидные антенны, об их изготовлении почитать можно здесь.

Также очень популярны баночные антенны, в которых роль принимающего контура играет банка из-под ананасов «Дядя Ваня», кофе или краски. Почитать об изготовлении таких антенн можно здесь и здесь. А по этой ссылке можно найти очень забавную статью, в которой сравниваются возможности фабричной антенны и баночного самопала.

Следует также отметить, что внешняя антенна нужна только для работы со слабым сигналом на значительном расстоянии. Опыт показывает, что в центре города спокойно можно обойтись и без отдельной антенны, поскольку все расположено компактно, расстояние между точками доступа очень маленькое и к многим из них можно подобраться совсем близко.

Итак, с оборудованием мы определились. Следующий вопрос, который тебя наверняка беспокоит, заключается в том, какую операционную систему использовать. Не следует думать, что надо обязательно ставить на ноут Linux или, что еще более ужасно, FreeBSD. Не стоит также обращать особого внимания на миф о том, что Windows - это ОС для домохозяек. Я, например, использую Windows 2000, а у друга стоит как раз Linux.
Так вот что я тебе скажу: мы с ним замечательно дополняем друг друга, если вдуматься – идеальная пара!

Думаю, тебе захочется не возиться с юниксом, а попробовать провести свои эксперименты прямо под виндой. Тут есть одно «но». Ни один толковый вардрайвер не посоветует тебе юзать win xp – она создает кучу ненужных сложностей. Например после того как xp подсоединится к какой-нибудь Wi-Fi-сети, могут возникнуть проблемы с отсоединением от нее и реконнектом в другую сеть. Дело доходит до физического вытаскивания карточки из гнезда и остановки сервиса, отвечающего за wireless-соединения. Так что лучше юзать win2k.

Выбираем софт.

Главное место среди всего софта для атаки на беспроводные сети занимает сканер Network Stubmler (netstumbler.com). Он позволяет обнаруживать беспроводные сети и получать массу информации. Можно определить имена и названия сетей, производителя оборудования, узнать, применяется ли шифрование для передачи данных, и т.д. Если у тебя есть GPS-приемник, Нетстамблер будет записывать координаты обнаруживаемых точек доступа, уровень сигнала и прочую информацию в отдельный файл, по которому ты легко сможешь создать карту с отмеченными на ней точками доступа. Этот инструмент по праву занимает лидирующее место. Он поддерживает почти все существующие на сегодняшний день сетевые адаптеры, полностью бесплатен и гибко настраивается под конкретного пользователя.

В свойствах NetStumbler'a я перечислил также все данные о сети, которые нас интересуют. Зная название сети (так называемый идентификатор SSID), вид используемого шифрования и уровень сигнала, уже можно проникнуть в нее. Подключение в сеть осуществляется при помощи программ, прилагаемых к сетевой карточке, либо с использованием специального софта.

Я остановил свой выбор на Boingo Wireless (boingo.com). Эта программа распространяется бесплатно и позволяет присоединяться к любой сети, в зоне действия которой ты находишься. Для соединения достаточно наличия хотя бы одного зеленого квадратика, символизирующего уровень сигнала. Отловив с помощью NetStumbler'а интересующую сеть, нужно дождаться, пока она появится в списке Boingo, и нажать на кнопку «Connect».
Дальше возможны два варианта: подавляющее большинство точек доступа (Access Points, или сокращенно AP) имеет встроенный DHCP-сервер, который при подключении присваивает IP-адрес. Если ты подключаешься к сети с SSID вроде default, это верно практически в 100% случаев.

Но есть и другой вариант, при котором DHCP отсутствует или заблокирован. Чтобы работать в такой сети, надо будет приложить некоторые усилия.

Ты, конечно, не раз слышал о пакетных сниферах - софте, который позволяет получить доступ к пакетам, проходящим по сети. Из-за специфики беспроводных сетей получить доступ к передаваемым пакетам данных может любое устройство в зоне действия сети. Как ты знаешь, в любом TCP-пакете есть такие поля, как SOURCE IP и DESTINATION IP. Следовательно, если DHCP отключен, то узнать используемую в сети адресацию довольно легко – нужно всего лишь наснифать пару десятков пакетов.

После того как сетевая карточка подключилась к Wi-Fi-сети и ей уже присвоен уникальный IP-адрес, можно шариться по сетке, выступая в роли обыкновенного локального устройства. Можно просканировать весь IP-диапазон на открытые порты 80, 8080, 3128. Эти порты соответствуют HTTP-проксям, и не раз бывало, что я отправлял письма своей девушке, находясь в ста метрах от здания Администрации президента РФ . Можно вспомнить былое и просканировать сеть на расшаренные ресурсы, попробовать поискать машины с DCOM-уязвимостями, поставить на поломанные компьютеры троянцев и RAT. В общем, в открытой Wi-Fi-сети клиенты защищены так же, как и сама сеть, то есть никак.

Won’t ever protect.

Однако все, что я писал выше, верно лишь для сетей, в которых не применяется никакого шифрования данных. По статистике к этой категории относится примерно 70% точек доступа. Это мировая статистика, и будь то Москва, Лондон, Нью-Йорк или Пекин, она не сильно отличается в ту или иную сторону. Еще примерно 25% точек доступа защищены протоколом WEP, шифрующим передаваемые данные. Что это такое, как работает и какие недостатки есть в этом протоколе, ты можешь прочитать в следующей статье (ее я опубликую позже). Он там здорово прогрузил с теоретическими выкладками и все подробно объяснил. Но нас сейчас теория мало волнует, так ведь?

На приведенном скриншоте Нетстамблера видно, что на некоторых AP перед SSID стоит замочек. Это означает, что в этой сети используется шифрование данных и для работы с ней нужно знать специальный ключ. При подключении к защищенной сети при помощи Boingo появится диалоговое окно для ввода ключа, которого мы не знаем. Что же делать? Читать статью Токсы!

Примерно с лета 2001 года взлом WEP, конечный результат которого заключается в том, что мы будем иметь на руках пароль для доступа в сеть, представляет собой простейшую задачу, правда, требующую значительного времени. Существует огромное количество утилит, в основном, портированных с Linux-систем на платформу Windows, которые выполняют эту задачу. Лучшей по всем показателям является Aircrack, написанная специалистом в области беспроводных технологий Кристофером Девайном. Этот полноценный программный комплекс для взлома WEP представляет собой две маленькие утилитки: airodump.exe и aircrack.exe. Использование их чрезвычайно просто. Сначала нужно запустить airodump.exe:

Known network adapters:
3 Orinoco Gold Hermes PCMCIA Card (502A-D)
9 3Com EtherLink III LAN PC Card (3C589D) (Ethernet)
Network interface type -> o
Network interface index -> 3
Wireless channel list -> 6
Output filename prefix -> my.super.log
MAC filter (p = none) -> p

В результате в файле my.super.log будут лежать все перехваченные пакеты из сети, в которой применяется WEP-шифрование. После того как задампилось достаточное количество пакетов, следует скормить этот файл второй утилите aircrack.exe, которая, собственно говоря, и возьмет на себя весь процесс взлома.

Но тут возникает несколько «но»:
В начале статьи я предупредил, что используемый тобой Wi-Fi-адаптер должен быть совместим с чипсетом PRISM, PRISM2. В противном случае airodump у тебя работать не будет.
Для успешного взлома ключа необходимо собрать минимум 200 000 пакетов, если применяется 64-битный ключ шифрования, и минимум 500 000 пакетов для 128-битного. Можно особо не заморачиваться, что перехваченные пакеты должны быть с уникальными IV, так как доля уникальных IV в общем потоке трафика составляет примерно 95%.
К сожалению, чтобы собрать примерно миллион пакетов, надо просидеть около интересуемой сети порядка 2-5 часов. Но чем больше данных ты соберешь, тем больше вероятность, что WEP-ключ будет взломан буквально в течение одной минуты.

Если же у тебя ни airdump, ни aircrack ни в какую не хотят работать, то можешь попробовать еще одну утилиту для взлома ключа под названием WEPlab (weplab.sourceforge.net). Каким образом ты соберешь пакеты, ее не волнует, а для взлома WEP надо всего лишь указать параметры шифрования и файл с захваченными пакетами:

D:Wi-Fiweplab -rpackets.pcap --key 128 testers.pcap

Самый лучший на сегодняшний день пакетный снифер для Wi-Fi-сетей - это AiroPeek NX (wildpackets.com/products/airopeek). Он умеет не только декодировать все WLAN-пакеты, но и получать полную информацию о производительности исследуемой сети, точном уровне сигнала. И его цена, которая составляет $3k (!) за годовую лицензию, полностью себя оправдывает. Но, опять же, он работает только с карточками, совместимыми с чипсетом Prism.

Подведем небольшой итог: используя ноутбук с Windows 2000 и указанным выше софтом, задача проникнуть в сеть Wi-Fi, открытую или защищенную WEP, не потребует большого количества мозгов!

Даже не входя в сеть и используя Wi-Fi-сниферы, можно перехватывать пакеты, внутри которых реально отыскать пароли на секретные ресурсы, чужую переписку и т.д.

Постой, помнишь, я рассказывал тебе о своем друге, который юзает Linux для атак на беспроводные сети? Как же поступает он?

Воинственный Linux

На мой взгляд, самое главное и ценное оружие Linux-хакеров - это программный продукт Kismet (kismetwireless.net). Эта офигенная софтина, которая, по сути, является сетевым снифером Wi-Fi, ничуть не уступает по функциональности NetStumbler'у. Кроме всего прочего, эта программа поддерживает огромное количество адаптеров под Linux, позволяет сканировать одновременно несколько беспроводных сетей и многое другое.

Для взлома WEP под линуксом используются те же самые aircrack и airdump.

Конкуренция

На самом деле за кажущейся простотой взлома беспроводных сетей кроется огромная куча подводных камней, которые так сразу и не разглядеть. Однако есть масса людей, которые преодолели все эти трудности и встали на шаткую дорожку вардрайвинга.

В США, где точками доступа оборудованы чуть ли не уличные туалеты, это является уже почти национальным спортом людей, имеющих ноутбуки. У каждого уважающего себя стамблера имеется карта местности, где он проживает или работает. Используя GPS-приемник для вычисления координат точки доступа, они наносят их на карту. Именно карты города или района с нанесенными на них точками доступа являются показателем элитности. Многие из стамблеров специально путешествуют по стране, стремясь обнаружить как можно больше точек доступа и составить доказательство обнаружения. Если у тебя есть GPS-приемник, то же самое можешь делать и ты. Более того, вряд ли это нарушает какие-то законы, ты же никому не мешаешь своими действиями, это своего рода коллекционирование, которое, по сути, ничем не отличается от сбора статистики по используемым в Сети операционным системам и браузерам.

Как же это делается на практике? И NetStumbler, если у тебя Windows, и Kismet, в случае использования Linux, способны вычислять координаты точек доступа, получаемые с GPS. Затем, используя, скажем, программу Stumbverter (sonar-security.com), которая обрабатывает логи сканеров, можно наносить точки на растровые изображения карт местности.

Именно это занятие получило историческое название wardriving, «боевое вождение», а люди, которые этим занимаются, называются wardrivers. Так как в США машину не водит только ленивый, термин wardriving подразумевает, что для перемещения по местности используется четырехколесное транспортное средство .

Но кроме вардрайвинга существует огромное количество схожих терминов. Скажем, warboating - обнаружение беспроводных сетей при помощи плавательных средств, или warflying - при помощи летательных аппаратов. У тебя на лице проскочила усмешка? Наверное, ты не был в Питере. Нет ничего приятнее для вардрайвера стать ненадолго варбоатером, передвигаясь на экскурсионном катере по узким каналам в центре города. И это все для тебя. Офисы с двух сторон. Экскурсия длится два часа, и заряда батареек в твоем ноутбуке хватит на столько же.

Впрочем, машина предоставляет вардрайверу огромное преимущество: питание от прикуривателя даст намного больше возможностей и времени для работы с беспроводными сетями . Тонированные стекла скроют тебя от глаз любопытных, а теплая печка спасет от зимнего мороза. Ты передвигаешься по улицам в поиске Wi-Fi и при обнаружении сети с интересным SSID останавливаешься и исследуешь ее более детально .

Ах, ты любитель метрополитена, спортсмен, ненавидишь педали и ручку тормоза, но хочешь гулять по улицам, также обнаруживая Wi-Fi? Без проблем, клади ноутбук в рюкзак - и вот ты уже WarStroller. WarStrolling - это сканирование местности на своих двоих. Тут-то ты и поймешь, что на улице сейчас не май месяц. Доставать при куче народу свой ноутбук и смотреть, что же он там обнаружил, тоже не совсем удобно. Какие же есть выходы? Ну, первое, что нам облегчает жизнь, - это тот факт, что и Kismet, и Netstumler умеют зачитывать инфу об обнаруженных сетях голосом. Поэтому ноутбук можно из сумки и не вынимать, а подсоединить к нему наушники и, идя по улице, слышать информацию обо всех обнаруживаемых сетях. Найдя что-нибудь интересное, можно зайти во двор или ближайшее кафе и там уже достать свой компьютер.

Но есть способ потехнологичнее. Твой КПК, на котором ты раньше только книги читал, тоже способен оказать значимую помощь. Во-первых, есть аналог NetStumbler для PocketPC 2002/2003 под названием MiniStumbler (www.netstumbler.com). То есть если на твоем КПК есть встроенный Wi-Fi-адаптер или CF-слот с wireless адаптером (для PocketPC стоит порядка $80), то ты легко сможешь сканировать сети на КПК, а лезть в сеть уже с ноутбука. Если есть тот же BlueTooth и у тебя стоит Zaurus или Linux, ты можешь использовать клиент для Kismet'а, позволяющий получать все данные с ноутбука.

Вардрайвинг на троллейбусе

Сколько я не читал статей, а так и не нашел ни одного упоминания об использовании общественного наземного транспорта для сканирования Wi-Fi-сетей . В условиях мегаполиса это может оказаться классным решением. Лучше всего троллейбусы: двигаются они медленно, каждую обнаруживаемую сеть можно исследовать. Для жителей Москвы советую маршрут «Б», движущийся по Садовому кольцу. Вокруг одни офисы, частые пробки. Зато тепло! Единственная проблема – бабульки, которым очень интересно узнать, что же у тебя там мерцает на экране. Хотя это на 100% лучше камер внешнего наблюдения и группы захвата картинка

Советы начинающему вардрайверу.

Перед тем как я отпущу тебя на вольные вардрайвинговые хлеба, хочу дать несколько практических советов:
При вардрайвинге следует переименовать название своего компьютера с RealWi-FiHacker на что-нибудь поскромнее, не притягивающее взгляда администратора сети при просмотре лог-файлов с точек доступа. Названия типа workstation21, lanbackup или user_123 выглядят менее угрожающе.
Если находиться на одном месте длительное время при взломе беспроводной сети, это может обернуться серьезными проблемами со службой охраны. Ведь как только факт вторжения в сеть заметят, вычислить твои координаты не составит труда. Чем мощнее у тебя антенна, тем дальше от точки доступа ты можешь находиться. Сам стандарт Wi-Fi 802.11b декларирует 300 метров. Но в городских условиях эта цифра можешь значительно варьироваться. А если уж ты проникаешь в защищенную сеть или сеть какой-нибудь корпорации, использование мощных антенн - единственный способ не попасться в руки службы безопасности.

Первоисточник: Взято из журнала *Xaker*