Nelle precedenti guide sono state mostrate le principali tecniche di analisi e decifrazione di password di protezione di una rete wireless con cifratura WEP attraverso aircrack-ng e i suoi relativi tool.
Ovviamente il tempo necessario per decifrare una chiave di cifratura è direttamente proporzionale alla tipologia di crittografia e alla lunghezza della chiave stessa, nel caso di una chiave WEP, sono necessari anche pochi minuti, soprattutto quando ci sono dei client connessi al router.
Il protocollo WPA/WPA2 è ben più sicuro e difficilmente attaccabile, grazie al robusto algoritmo TKIP (Temporary Key Integrity Protocol) che costituisce il vero protocollo di sicurezza della chiave.
Rispetto a quanto visto per l’attacco WEP, in questo caso il fulcro del lavoro sta nel recuperare il four-way handshake.
Il four-way handshake, che letteralmente significa “stretta di mano a quattro vie”, è un processo di sicurezza attraverso il quale il router e il dispositivo client, tramite software o hardware, stabiliscono le regole comuni, ovvero la velocità, i protocolli di compressione, di criptazione, di controllo degli errori per poter stabilire una connessione. In sostanza è una sequenza di pacchetti che può essere recuperato durante la fase di autenticazione di un dispositivo verso la rete.
A tal proposito bisogna avviare il tool airodump-ng come mostrato nell’articolo precedente per avviare la fase di sniffing dei pacchetti
airodump-ng -c 1 –bssid 00:1C:F0:77:59:C9 -w dumpFile wlan0mon
E’ necessario fare in modo che i client connessi in qualche modo si riconnettano al router e sniffare il token utilizzato per l’associazione.
Per questo scopo può essere utilizzato un altro tool della suite di Aircrack-ng: aireplay-ng
Aireplay-ng offre una vasta varietà di attacchi sia verso i client connessi sia verso l’access point “vittima” al fine di catturare il maggior numero di pacchetti di rete possibile.
Di seguito tutte le possibili opzioni offerte dal tool aireplay-ng da linea di comando (Figura1)
Figura 1 – Principali tipologie di attacco tramite il tool aireplay-ng
L’attacco di tipo “deauthentication” (-0) può essere utilizzato per disconnettere uno o tutti i client connessi all’access point.
Lanciare il seguente comando affinché tutti i client connessi vengano automaticamente disconnessi
aireplay-ng -0 30 -a 00:1C:F0:77:59:C9 wlan0mon -e dlink
Dove,
-0 Indica che tutti i client connessi con l’access point saranno disconnessi
30 Indica il numero di richieste di deauthicantion che verranno iniettate. In genere è consigliato inviare un elevato numero di richieste per aumentare la probabilità di sniffare il token di autenticazione in breve tempo
-a Indica il MAC address dell’access point “vittima”
-e Indica il nome specifico della rete wireless
Come è possibile notare dalla figura 2, uno dei client connessi viene disconnesso dalla rete (in questo caso si tratta di uno smartphone Android).
Figura 2 – Disconnessione di un client Android
Lanciare più volte il comando mostrato precedentemente, provocando continuamente disconnessioni, aumenta le probabilità di sniffare il four-way handshake.
Tra le altre tipologie di attacco tramite aireplay è possibile sfruttare anche la tecnica di “fake authentication” in cui, come è facile immaginare, viene inviato dal nostro dispositivo un numero massivo di richieste di autenticazioni verso il router. Questo attacco provoca un aumento del traffico dell’access point aumentando ancora le probabilità di sniffare il four-way handshake.
Lanciare quindi il seguente comando:
aireplay-ng -1 3 -a 00:1C:F0:77:59:C9 wlan0mon -e dlink
Dove,
-1 Indica la tipologia di attacco “fake authentication”
3 Indica la frequenza (in secondi) entro cui inviare una nuova richiesta
Una volta lanciato questo comando apparirà un output simile a quello mostrato in figura 3
Figura 3 – Output del comando aireplay in modalità fake authentication
Un’altra tecnica molto diffusa è quella delle richieste di tipo ARP verso l’access point.
Questa tipologia di attacco è molto utilizzata perché consiste nel reinvio di un pacchetto ARP verso il router, il quale dovrà a sua volta inviare nuovamente il pacchetto al client. In questo modo vengono re-inizializzati i vettori di comunicazione aumentando la probabilità di catturare il four-way handshake.
Di seguito il comando utilizzato per questo attacco
aireplay-ng -3 -a 00:1C:F0:77:59:C9 wlan0mon -e dlink
Dove,
-3 Indica la tipologia di attacco di tipo ARP-request replay
Di seguito l’output mostrato una volta eseguito questo comando (Figura 4)
Figura 4 – Output del comando aireplay in modalità arp-request replay
Finalmente dopo questa serie di attacchi è stato trovato il four-way handshake!
Si può verificare cercando nella schermata di output del comando airodump la presenza della scritta “four-way handshake” seguito dal MAC address dell’access point vittima (Figura 5)
Figura 5 – Verifica cattura del four-way handshake
A questo punto la suite di aircrack prevede di decriptare una chiave di cifratura WPA/WPA2 con la modalità dizionario in cui tramite le informazioni contenute all’interno del four-way handshake vengono generate delle chiavi causali e viene effettuato un test di autenticazione.
Purtroppo questo passo è piuttosto lungo e bisogna avere molta fortuna.
E’ possibile recuperare alcuni dizionari standard a questa pagina ufficiale di Aircrack:
http://www.aircrack-ng.org/doku.php?id=faq#where_can_i_find_good_wordlists
Di seguito il comando che occorre lanciare per avviare la fase di decrypt con il dizionario
aircrack-ng -b 00:1C:F0:77:59:C9 -w [path del file wordlist] [path del file .cap]
In genere questa fase richieste diverso tempo, variabile da alcune ore fino a diversi giorni in base chiaramente alla complessità e alla lunghezza della chiave di cifratura.
Bisogna affidarsi anche alla fortuna, se la chiave di cifratura si trova in una delle wordlist trovate in rete, si avrà un output simile a quello in figura 6.
Figura 6 – chiave con cifratura WPA2 decifrata con successo
