Zeller, Lauer, Maresch. WLAN-Hacking

Transkript

1 WLAN-Hacking Bedeutung WLAN hacken... 2 WLAN-Sicherheit... 2 Probleme beim WLAN-Hacking... 4 WLAN-Hacking und Penetration-Testing... 4 Information Gathering und WLAN-Analyse... 4 WPA/WPA2-WLAN hacken... 6 Andere Verfahren UMTS-Verbindungen... 12

2 Bedeutung WLAN hacken Beim WLAN hacken geht es eigentlich darum, sich Zugang zu einem verschlüsselten WLAN zu verschaffen. Dies tut man indem man das Passwort herausfindet. Viele der dafür benötigten Tools werden bei Kali Linux mitgeliefert. Zum WLAN-Hacking eignet sich prinzipiell jeder PC, auch Minicomputer wie z.b. der Raspberry Pi. Rechtlich gesehen ist WLAN-Hacking nur für Bildungszwecke und Penetration-Testing erlaubt. WLAN-Sicherheit Die Sicherheit von WLANs basiert auf Authentifizierung und Verschlüsselung. Dafür verwendete Verfahren: WEP (unsicher und veraltet) WPA (sicher und veraltet) WPA2 (sicher und aktuell) WPS (unsicher und aktuell) WEP (Wired Equivalent Privacy) wurde aufgrund der Erfordernis von Verschlüsselung und Authentifizierung im Schnellschuss entwickelt und gilt seit 2001 als geknackt. In WPA wurden viele der Schwachstellen von WEP eliminiert. WPA (Wifi Protected Access) basiert auf WEP Hardware, somit genügte ein Software-Update auf den Access Points. Es verwendet als Verschlüsselung das Temporal Key Integrity Protocol (TKIP), welches auf den RC4 Algorithmus setzt. WPA wurde nur übergangsweise eingesetzt und heute wird WPA2 empfohlen. WPA2 übernimmt die Sicherheitskonzepte von WPA und erweitert diese. Es verwendet den Advanced Encryption Standard (AES) zur Verschlüsselung

3 anstelle von TKIP. TKIP wird nurnoch als Fallback verwendet. Des Weiteren unterstützt WPA2 einen Enterprise- und einen Personal-Mode: WPA2 Enterprise Mode: Beim Enterprise Mode fehlen die Funktionen von Fast Roaming, welche für VoIP-, Audio- und Video- Anwendungen interessant sind. Dies erlaubt jedoch einen schnelleren Wechsel zwischen Access Points. Ein weiterer Bestandteil ist die Authentifizierung mittels RADIUS. WPA2 Personal Mode: Der Personal Mode ist eine abgespeckte WPA2-Variante, welcher hauptsächlich in SOHO-Geräten für Privatanwender und kleine Unternehmen gedacht ist. Die Authentifizierung erfolgt mit einem Pre-Shared-Key (Passwort). WPS (Wifi Protected Setup) erleichtert die Konfiguration von WLAN-Clients und ist verantwortlich für die Authentifizierung des WLAN-Clients gegenüber dem WLAN-AP und für die Authentifizierung des WLAN-AP gegenüber dem WLAN-Client. Die Authentifizierung kann per Knopfdruck oder per Zahleneingabe erfolgen: Per Knopfdruck (WPS-PBC): Beim WPS-PBC wird ein Knopf am Router/AP gedrückt, welcher die WPS-Anmeldephase startet. Der erste Client der sich daraufhin anmeldet bekommt das Passwort. WPS-PBC gilt als praktisch unangreifbar und sicherer als WPS-Pin, da der Angreifer das Zeitfenster nicht kennt. Per Zahleneingabe (WPS-PIN): Die Anmeldung erfolgt durch die Eingabe einer 8-stelligen Zahlenfolge am WLAN-Client. Bei korrekter Eingabe übermittelt der Router/AP dem Client ein Einrichtungspaket, welches das WLAN-Passwort enthält. Dadurch das WPS-PIN immer aktiv ist, ist es auch immer angreifbar. Schwachstellen in einer WLAN-Infrastruktur können sein: Default-Benutzer und -Passwörter Unsichere Grundkonfiguration Veraltete Sicherheitsstandards

4 Fehlerhafte Implementierung von WPA2 und WPS Angreifbarkeit durch Denial-of-Service Evil Twin und MAC-Spoofing Unsichere Benutzer in Enterprise Netzwerken Probleme beim WLAN-Hacking Beim WLAN-Hacking ist der Erfolg abhängig von dem Angriffsziel, der Entfernung und dem verfügbaren Equipment. Ein weiteres Problem stellen die unterschiedlichen Implementierungen des IEEE Standards dar. Weitergehend muss der für das WLAN-Hacking verwendete Adapter Monitor Mode und Injections unterstützen. WLAN-Hacking und Penetration-Testing Beim WLAN-Hacking steht an erster Stelle das Information Gathering, unabhängig davon, ob man schon sein Ziel weiß oder potenzielle Ziele erst finden muss. Danach erst kommt die Auswahl der richtigen Angriffsmethode. Dabei ist Brute-Force die umständlichste Variante. Sinnvolle Angriffsmethoden basieren auf Fehler, welche von der Implementierung des Herstellers oder der Konfiguration des Benutzers kommen können. Die Auswahl ist weitergehend abhängig von den Ergebnissen des Information Gatherings. Information Gathering und WLAN-Analyse Information Gathering ist eine umfassende WLAN-Analyse, welche zum Ausspähen von geeigneten Zielen dient. Dabei ist das Hauptziel nötige Informationen für das eigentliche Hacking zu sammeln. Einige dafür verwendete Tools: Airodump-ng Wash

5 Wavemon Iwlist Mit diesen Tools beschafft man sich folgende Informationen: Access Point o WLAN-Name (SSID/ESSID) o MAC-Adresse (BSSID) o Hersteller / Modell / Firmware-Version WLAN-Clients o MAC-Adresse o Probe-Requests (SSID/ESSID) Kanal o 1 bis 13 (2,4 GHz) o 36 bis 140 (5 GHz) Authentifizierung und Verschlüsselung o Offen o WEP o WPA o WPA2 o WPS

6 WPA/WPA2-WLAN hacken WPA2 gilt nur mit einem komplexem Passwort als sicher. Der Angriff erfolgt als eine Wörterbuch-Attacke, wobei man Handshakes zwischen dem AP und WLAN-Clients sammelt und daraufhin das Passwort mithilfe einer Wordlist erratet. Der Erfolg ist abhängig von einer guten Wordlist. Im Folgenden wird das Tool airodump-ng verwendet. Ablauf eines WPA/WPA2-WLAN-Hacks: 1. Wordlist erstellen oder besorgen 2. Grundzustand herstellen und Monitor Mode einschalten 3. WLAN mit WPA/WPA2 identifizieren (Information Gathering) 4. Datenverkehr mit Airodump-ng aufzeichnen 5. Deauthentication-Attacke mit Aireplay-ng (optional) 6. WPA-Passwort mithilfe der Wordlist herausfinden 1.: Eine Wordlist ist eine Textdatei, welche in jeder Zeile ein Passwort in Klartext enthält. Dementsprechend kann man seine eigene erstellen, jedoch gibt es ebenfalls eine riesige Auswahl im Internet. 2.: Grundzustand wiederherstellen: rm wpastream* && rm *.cap Monitor Mode aktivieren: ifconfig wlan1 down iwconfig wlan1 mode monitor ifconfig wlan1 up iwconfig 3.: Der Befehl airodump-ng wlan1 zeigt alle WLAN-Netze und Clients in der näheren Umgebung an. Dabei sind alle WLANs von Interesse, welche in der Spalte ENC WPA stehen haben. Die WLAN-Clients findet man durch die Zuordnung einer MAC-Adresse zur BSSID des Netzwerks. Hier notiert man

7 sich die MAC-Adresse des APs, den Kanal des WLANs und die MAC-Adresse den Clients. 4.: Man benötigt weitergehend 4 Pakete des PSK-Handshakes der WPA/WPA2 Authentifizierung. Mit dem Befehl airodump-ng wlan1 -c {CH} - -bssid {BSSID} -w wpastream startet man die Aufzeichnung des WLAN- Datenverkehrs. Dabei müssen die aufgezeichneten Handshakes erfolgreich sein. Falls es zu lange dauert, an die nötigen Handshakes zu kommen, startet man eine Deauthentication-Attacke.

8 5.: Eine Deauthentication-Attacke benötigt einen aktiven WLAN-Client zum Deauthentifizieren. Die Deauthentifizierung des Clients führt zu einer erneuten Anmeldung, was wiederum zu einem Handshake führt. Man kann eine Deauthentication-Attacke gegen vorhandene Clients oder auch gegen alle Clients durchführen. Gegen vorhandenen Client: aireplay-ng wlan1 --deauth 1 -a {BSSID} -c {CLIENT} Gegen alle Clients: aireplay-ng wlan1 --deauth 3 a {BSSID} Unter Umständen benötigt man mehrere Versuche.

9 6.: Schlussendlich probiert man alle Passwörter mit dem Befehl aircrack-ng -w wordlist.txt wpastream.cap durch, was unter Umständen dauern kann ( wordlist.txt enhält die möglichen Passwörter und wpastream.cap enthält die WPA-Handshakes).

10 Andere Verfahren Eine Alternative bieten Angriffe auf das WPS-Pin-Verfahren. Diese basieren auf schlechter Generierung von WPS-Pin Zufallszahlen und funktionieren nur bei Ralink-, Broadcom- oder Realtekchipsätzen (immer weniger, da die Hersteller ihre Implementierungen aktualisieren). Im Folgenden wird das Tool pixiewps verwendet. Ablauf eines sogenannten Pixie-Dust-Angriffs: 1. Monitor Mode einschalten 2. WPS-WLAN mit Pixie-Dust-Lücke identifizieren (Information Gathering) 3. Pixie-Dust-Angriff starten 1.: Siehe WPA/WPA2-WLAN hacken 2.: Der Befehl wash -i wlan1 -C zeigt WLANs mit aktivem WPS an. Hier notiert man sich die MAC-Adresse (BSSID) und die Kanal-Nummer des WLANs.

11 3.: reaver -i wlan1 -b {BSSID} -c {CHANNEL} -K 1 -w -vv Dieser Befehl beginnt das Sammeln von WPS-Austausch Daten mit reaver und übergibt diese Daten an pixiewps, welches dann versucht den WPS-Pin zu knacken. Wenn dies gelingt, versucht reaver sich beim WLAN anzumelden. Das Ergebnis ist der WPS-Pin und das WLAN- Passwort. Die Dauer beträgt ca. 1 Minute.

12 UMTS-Verbindungen UMTS (Universal Mobile Telecommunications System) ist ein Mobilfunkstandard der 3ten Generation (3G). Er erlaubt eine maximale Datenrate von 384 kbit/s. UMTS-Verbindungen umfassen erweiterte multimedia Dienste sowie satelliten- und erdgestützte Sendeanlagen. Im Jahr 2008 gab es 230 3G Netze in 100 Ländern mit über Teilnehmern. UMTS-Verbindungen sind durch eine Sicherheitslücke im SS7-Protokoll anfällig. SS7 (Signalling System 7) ist verantwortlich für die Signalisierung in Telekommunikationsnetzen. Die Sicherheitslücke ist seit 2008 bekannt, bekam 2014 öffentliche Aufmerksamkeit, und wurde noch nicht behoben. Die einzige benötigte Information für Hacker, welche in das Netzwerk eingedrungen sind, ist die Telefonnummer des Ziels. Bei verschlüsselten Daten kann man den Schlüssel mitsenden lassen. Durch diese Sicherheitslücke lassen sich Whatsapp-/Telegramnachrichten abhören und verschicken. Zusätzlich können auch Facebook-Benutzer gehackt werden. Endnutzer können sich kaum dagegen schützen.