Python a kybernetická bezpečnosť / 4. časť
Na konci predošlej časti seriálu sme spomenuli jednu z mnohých aktívnych techník ovplyvnenia bezdrôtových sietí, a síce vynútené odpojenie (deauthentication/disassociation) zariadení od prístupových bodov (AP – Access Point). Na to, aby sme mohli vynútené odpojenie prakticky realizovať, potrebujeme poznať fyzickú adresu konkrétneho AP (BSSID) a konkrétneho asociovaného zariadenia (Station MAC), ak teda nechceme narušiť celú sieť broadcast vysielaním. Pretože týmito informáciami zatiaľ nedisponujeme, musíme našu aplikáciu doplniť o skener uvedených údajov, ktoré následne využijeme na tzv. WiFi Deauthentication (Deauth) Attack.
Deautentifikácia/deasociácia
Deautentifikačné manažment rámce (typ 0, podtyp 12) a deasociačné manažment rámce (typ 0, podtyp 10) sú súčasťou štandardu IEEE 802.11 a v bežných prípadoch slúžia na štandardné odpájanie klientskych zariadení od siete. Konkrétne dôvody odpojenia sú špecifikované pomocou 2-bajtového bloku Reason Code, ktorý je súčasťou oboch spomínaných podtypov manažment rámcov. Kompletnú tabuľku so všetkými kódmi možno nájsť kdekoľvek na internete. Podľa IEEE Std 802.11-2020 (https://standards.ieee.org/ieee/802.11/7028), tab. 9-49, sú prvé kódy č. 0-68 konkretizované a následne kódy č. 69-65535 označené ako rezervované. Medzi bežné dôvody deautentifikácie/deasociácie patrí napr.: 4 – z dôvodu neaktivity, 8 – z dôvodu odchodu zariadenia z dosahu AP, 15 – z dôvodu vypršania času 4-Way Handshake, 23 – z dôvodu chyby 802.1x autentifikácie... Rozdiel medzi deautentifikáciou a deasociáciou je ten, že pri deasociácii môže byť zariadenie stále autentifikované v rámci danej siete, ale nie je asociované s konkrétnym AP. Takýto prípad môže nastať napr. pri prechode zariadenia od jedného AP k druhému v rámci tej istej siete.
Deauth Attack
Deauth Attack patrí do skupiny tzv. Denial of Service (DoS) útokov, teda útokov narúšajúcich bežiace služby. S jeho využitím dokážeme spĺňať niekoľko cieľov, ako napr.:
- získanie detailných informácií o AP, klientskych zariadeniach a nadviazaných spojeniach,
- zachytenie prihlasovacích údajov, resp. WPA/WPA2-Handshakes,
- vynútenie zmeny AP (podvrhnutie AP),
- inštalácia škodlivých aplikácií,
- vynútenie odpojenia neželaných zariadení od siete.
Pri Deauth útokoch imitujeme deautentifikačné/deasociačné rámce, čím prinútime koncové zariadenia k odpojeniu sa od siete. Možno sa nám to bude zdať zvláštne, ale tento typ útokov sa v niektorých prípadoch využíva zámerne, a to v pozitívnom zmysle. Napríklad pri hľadaní skrytých zariadení Wi-Fi, konkrétne kamier či iných záznamových zariadení, alebo napr. na vynútenú/povinnú asociáciu zariadení s firemnými AP. Ochrana pred Deauth útokmi spočíva jednoznačne v používaní silného šifrovania a silných hesiel, ktoré nemožno prelomiť ani v prípade, keby útočník zachytil naše prihlasovacie údaje po vynútenom odpojení. V prípade veľmi citlivých prostredí sa navyše odporúča používať VPN na realizáciu akejkoľvek komunikácie. Pozor však na čo i len občasné prihlásenie sa do otvorených verejných sietí Wi-Fi bez VPN, keď náš predtým starostlivo uzatvorený systém ľahko otvoríme pre prípadných útočníkov.
Praktická realizácia
Na praktickú realizáciu využijeme nástroje balíka Aircrack-ng (https://www.aircrack-ng.org), konkrétne airodump-ng a aireplay-ng. Ide o tzv. command-line nástroje, ktoré sa zameriavajú na sledovanie (monitoring), útoky (attacking), testovanie (testing) a lámanie (cracking) v rámci bezdrôtových sietí Wi-Fi. Celú súpravu nástrojov a detailnú dokumentáciu možno nájsť na domovskej stránke balíka. V predošlej verzii aplikácie sme síce na monitoring siete Wi-Fi, konkrétne na zachytávanie Probe Request a Beacon rámcov, použili nástroj tshark, ale naše sieťové rozhranie sme prepínali do Monitor módu práve pomocou jedného z nástrojov Aircrack-ng, konkrétne príkazom airmon-ng. Z dôvodu získania MAC adries AP a pripojených zariadení bude v najnovšej verzii aplikácie naším hlavným výkonným príkazom airodump-ng.
Airodump-ng
Tento šikovný nástroj balíka Aircrack-ng slúži na zachytávanie tzv. RAW 802.11 rámcov, pričom svoj výstup okrem iného zapisuje aj do tzv. CSV súborov, ktorých umiestnenie modifikujeme pomocou voľby „-w“. Zachytávanie štandardne prebieha na všetkých dostupných kanáloch za podmienok, ktoré sú uvedené na stránke https://www.aircrack-ng.org/doku.php?id=airodump-ng. Na účely našej aplikácie budeme využívať nasledujúce výstupy:
|
BSSID |
MAC adresa AP, resp. výraz „(not associated)“ v prípade, ak klientske zariadenie hľadá AP, ku ktorému by sa pripojil |
|
PWR (Power) |
Sila signálu vysielaného z AP, resp. z klientskeho zariadenia |
|
CH (channel) |
Kanál Wi-Fi daného AP |
|
ENC (Privacy) / CIPHER |
Použitý šifrovací algoritmus a konkrétna šifra |
|
ESSID |
Názov siete, resp. výrazy „“, resp. „ |
|
STATION (Station MAC) |
MAC adresa každého asociovaného klientskeho zariadenia, resp. zariadenia, ktoré hľadá AP |
Nástroj spúšťame následne po predošlom prepnutí sieťového zariadenia do Monitor módu príkazom:
sudo airodump-ng -w „cesta k zložke pre uloženie CSV súborov“ wlp1s0mon
(wlp1s0mon je názov zariadenia v Monitor móde, ktoré vznikne po spustení airmon-ng)
Obr. 1 Príklad obsahu CSV súboru, ktorý je výstupom príkazu airodump-ng
Vynútené odpojenie – Aireplay-ng
UPOZORNENIE: Všetky naše doterajšie kroky boli zamerané na pasívny monitoring siete a takto je zatiaľ pripravená aj najnovšia verzia aplikácie WiFiScanner. Jej hlavný cieľ je získať informácie o AP a pripojených zariadeniach, ktoré následne potrebujeme na vykonanie príkazu aireplay-ng. V okamihu, keď sa rozhodneme tento príkaz spustiť, zasiahneme už aktívne. To sa však nemusí stretnúť so všeobecným porozumením nášho okolia, resp. môžeme mať problémy so zákonmi. Aireplay-ng zašle 64 deautentifikačných paketov smerom na zvolený AP a 64 deauth paketov smerom na zvolené klientske zariadenie. V bežnom prípade sa odpojené klienty automaticky posnažia opätovne pripojiť k AP, čo následne môžeme využiť na splnenie niektorého z uvedených cieľov Deauth útoku.
Marek Sopko
Zobrazit Galériu
