Взлом WPA2-PSK на Wi-Fi роутере

Взлом WPA2-PSK на Wi-Fi-роутере

Содержание статьи

В прежние времена основной причиной, побуждающей хакера производить взлом Wi-Fi-сетей, была немалая стоимость услуг провайдеров Интернета. Сейчас же, когда доступ в Интернет стал относительно дешев, казалось бы, нет уже такого интереса к взлому беспроводных сетей. Но это вовсе не так!

Психология хакера зачастую такова, что его заветной мечтой является не столько получение «дармовщины», сколько удовлетворение собственных амбиций: «Ага, я смог! Вот какой я умный»! Неплохим стимулом злоумышленнику служит и то, что для подобного взлома не нужно далеко ходить, потому что Wi-Fi-роутеры в настоящее время применяют на каждом шагу!

Кроме того, еще одним мощным побуждающим фактором является и то, что Интернет буквально наполнен советами и различными программами для этих целей. Проблема лишь в том, что в подавляющем большинстве случаев почему-то ничего не получается! Немало юных хакеров, глотая слюнки, бросалось во все тяжкие в этом направлении. Итог: потерянное время и отсутствие какого-либо результата.

В чем же дело?

Поскольку теоретизирование не входит в планы автора этой книги, то не будем сейчас рассказывать о принципах работы различных сетевых протоколов, особенности шифрования и прочие научные вещи из области теории беспроводных сетей.

Поясним все просто. Проблема, оказывается, заключается в двух направлениях.

Корни первой причины лежат в самих предлагаемых методиках взлома. Инструкции эти, как правило, размножены в разных вариациях из одного, уже давно позабытого источника. А ведь изначально это было написано для какого-нибудь конкретного случая. И поскольку тиражирование производилось не специалистами, то допущено много неточностей, недоговоренностей, да что там говорить — просто грубейших ошибок. Да ладно, если дело было бы только в этом! Думается, что нас умышленно вводит в заблуждение якобы универсальность указанных методов. Причем, причина просто банальна: привлечение большего числа пользователей к интернет-ресурсу, где размещена методика. И не более того!

Взлом Wi-Fi

Например, одной из основных методик, предлагаемых в Интернете для взлома, является комбинация какого-нибудь сниффера Wi-Fi (как правило, WinPcap или уже известной нам программы CommView for WiFi), предназначенной для захвата пакетов, и программы Aircrack, используемой непосредственно для подбора ключей. Никто при этом не поясняет, что программа Aircrack хороша в основном для «восстановления» ключей протокола WEP. Но! Посмотрите же вокруг: уже давно никто не применяет WEP! А вот для взлома протокола защиты данных WPA программа эта практически непригодна. Дело в том, что в случае применения протокола WPA подобрать пароль можно только с помощью словаря. Плохо то, что практически невозможно составить такой словарь, чтобы заложить в него заветные искомые точные значения паролей, применяемые при выработке ключей указанного протокола. Каким же должен быть словарь, если нынешние продвинутые подростки, настраивающие роутеры и придумывающие пароли, избалованные интернетовскими и «эс-эм-эсовскими» традициями, даже в слове «еще» делают четыре ошибки («исчо»)? При этом способ использования словаря в программе Aircrack не предполагает такого замечательного приема, как мутация слов. Но об этом немного позже.

Кроме того, незадачливый хакер, не понимая разницы в протоколах и соответственно в способах взлома, захватив пакеты WPA-PSK, нередко пытается «ломать» их, используя ту же методику, что и для WEP. Конечно же, это не даст результата.

Вторая причина неудач начинающих хакеров заключается в том, что сами программы, скачиваемые из различных источников Интернета, не редко оказываются фальшивками: как-то что-то работает, что-то там делает, а результата по-прежнему нет.

Как взломать Wi-Fi

Чтобы понять, что взлом WPA-PSK все же возможен, осуществим его, как законопослушные граждане, собрав небольшой стенд.

Настроим Wi-Fi-роутер, присвоив значение TEST параметру SSID (рис. 5.1).

tp-link wireless settings ssid test

Включим на роутере шифрование, используя протокол PWA2-PSK, при этом присвоив простое значение пароля, уже излюбленную нами комбинацию abc12345 (рис. 5.2).

Присоединимся к нашей сети TEST с любого компьютера (рис. 5.3). Создадим непрерывный трафик в сети, запустив, например, просмотр кинофильма непосредственно из Интернета.

Для сбора пакетов, необходимых для осуществления «взлома», будем использовать уже знакомую нам программу CommView for WiFi.

В целях экономии времени при осуществлении задуманного настроим программу только на пятый канал, т. к. сеть TEST была запущена нами именно в этом диапазоне (рис. 5.4).

Произведем сканирование и убедимся, что наша сеть появилась в списке найденных, здесь это сеть с MAC-адресом 74:EA:3A:E4:5A:C2 (рис. 5.5).

Правила для работы установим такие, чтобы захватывать все пакеты (рис. 5.6).

wireless settings WPA2-PSK

wi-fi взлом сканер

CommView for WiFi  сканер

CommView for WiFi захватить все пакеты

При желании можно было бы использовать правила, позволяющие отфильтровать только именно исходящие (smac) с нашего роутера пакеты и входящие на него (dmac). Для этих целей, используя принятый в программе синтаксис, можно было бы ввести следующее правило — «smac=74:EA:3A:E4:5A:C2 or dmac=74:EA:3A:E4:5A:C2» (рис. 5.7).

CommView for WiFi smac

Но всё же в эксперименте не будем включать универсальные правила, ограничивающие захват. Пусть к нам попадают все пакеты (рис. 5.8).

Включим захват пакетов, предварительно удостоверившись, что установлено их автосохранение (рис. 5.9).

Захватив достаточное количество пакетов, нажатием комбинации клавиш + вызовем подпрограмму для работы с протоколами CommView (LogViewer). Произведем подгрузку всех файлов протоколов, захваченных CommView в эту подпрограмму. После загрузки протоколов укажем, чтобы к содержимому применились текущие правила. Для этого в меню Правила выберем команду Применить текущие (рис. 5.10).

CommView for WiFi все пакеты

CommView for WiFi Включим захват пакетов

CommView for WiFi LogViewer

Выгрузим полученный результат в формате, понятном большинству программ, применяемых для взлома беспроводных сетей.

Для этого с помощью последовательности команд Файл | Импорт log-файлов выберем опцию Формат tcpdump… и присвоим итоговому файлу любое имя. С полученным в результате этой операции файлом мы и будем работать дальше. Для обработки захваченных пакетов (в формате tcpdump) и проведения собственно самого взлома будем использовать программу Elcomsoft Wireless Security Auditor. Подгрузим в нее файл, полученный ранее, выбрав в меню Файл команду Импортировать файл TCPDUMP (рис. 5.11).

При загрузке файла, если все прошло удачно, мы увидим, что программа готова приступить к расшифровке именно нашей сети с SSID=TEST (рис. 5.12).

В диалоговом окне, появляющемся после выбора команд Настройки | Опции атаки | Атака по словарю | Настройка мутации паролей, оставляем все по умолчанию (рис. 5.13).

Elcomsoft Wireless Security Auditor Импортировать файл TCPDUMP

Elcomsoft Wireless Security Auditor выбор сессии

Elcomsoft Wireless Security Auditor Настройка мутации паролей

Если бы мы использовали пароль «параноидальной сложности», то в ущерб скорости взлома пришлось бы установить регуляторы настроек в большее значение, сдвинув их правее.

Используя взлом по словарю, сейчас, в нашем конкретном случае, в меню подключения словарей мы пока не будем добавлять еще и словарь русских слов (который также прилагается к программе). Просто потому, что этот взлом тестовый, и нам доподлинно известно: в искомом значении пароля нет русских символов. Таким образом, мы сэкономим время, тем не менее, убедившись в работоспособности программы и эффективности методологии.

Наконец осуществляем долгожданную атаку (рис. 5.14).

Взлом произошел успешно (рис. 5.15).

Elcomsoft Wireless Security Auditor атака

Интересно, что заветный пароль находится достаточно быстро, за 12 секунд. Причем обнаружен он на мутации слова 123, содержащегося в середине значения нашего пароля (обратите внимание на поле программы Последний пароль).

Попробуем убрать из словаря набор слов с цифрами 123 и снова запустим программу.

Взлом произойдет уже за более долгое время — 2 минуты 12 секунд, сработав на мутации уже символьного, а не цифрового пароля (рис. 5.16).

Делаем вывод: при подключении одновременно двух словарей, и русского и английского, установив достаточно значительные значения для мутаций (правда, в ущерб производительности), можно с большой степенью вероятности осуществить взлом не очень сложного пароля для WPA2-PSK.

Остается только упомянуть о том, как можно повысить скорость взлома! Сделать это просто, задействовав мощности видеокарты: комбинация клавиш +! Но это только при условии, что вам повезет и ваша видеокарта поддерживает технологию CUDA или технологию ATI Stream.

Elcomsoft Wireless Security Auditor атака взлом пароля

Elcomsoft Wireless Security Auditor атака мутация пароля

Большинство новых видеокарт имеет эти режимы. Эксперимент показывает, что для видеокарты, имеющей 1 Гбайт памяти, 336 процессоров, тактовую частоту 1620 МГц, скорость подбора при подключении одной видеокарты ориентировочно увеличится более чем в 10 раз. Средняя скорость возросла почти до 22 тыс. паролей, вместо 2 тыс., как было ранее (рис. 5.17 и 5.18).

Что произойдет при использовании одновременно четырех возможных видеокарт — не знаем, но, думается, будет здорово!

Elcomsoft Wireless Security Auditor использования GPU

Elcomsoft Wireless Security Auditor

Итак, взлом WPA2-PSK все же возможен! Но с какими усилиями? Достаточно сказать, что оставляя уровень мутаций по умолчанию, и не используя возможности видеокарты, для полного перебора по двум словарям на компьютере средней мощности у вас уйдет не менее двух суток (двухъядерный 3-гигигерцевый Intel-процессор, 2 Мбайт оперативной памяти). Ориентировочные расчеты сделаны на этом примере — 50% одного словаря ≈ 12 часов, значит, на 2 словаря 12 × 4 = 48 часов (рис. 5.19).

Elcomsoft Wireless Security Auditor взлом WPA2-PSK

В случае применения видеокарты с характеристиками, указанными ранее, полный перебор по двум словарям займет примерно 5 часов.

И все же, когда пароль, наконец, получен, что дальше?.. Если цель злоумышленника была определенной, например получение почтового пароля пользователя взламываемой сети, то мы писали уже о том, как он может это сделать: использовать атаку ARP-spuffing. Но для этого необходимо подсоединиться к взломанной сети. А это уже прямое нарушение закона! Да и при непосредственном подключении опасность быть пойманным очень высока.

Тем не менее хакер, не подключаясь к роутеру, может (с какой-то ему одному известной целью) просто, например, читать «на лету» трафик жертвы. Да хотя бы опять же с целью завладения почтовым паролем! Но, и здесь не все так просто! Как расшифровывать трафик «на лету»? Дело в том, что алгоритм шифрования WPA не так уж и прост, для дешифрации трафика недостаточно знания пароля. И все же это возможно. С этой целью программе CommView for WiFi нужно перехватить то мгновение, когда происходит первая фаза обмена ключами между роутером и компьютером жертвы (рукопожатие)! Любителей теории мы отошлем изучать протокол EAPOL, который применяется при аутентификации. Хакер же, даже не изучая теории, будет просто использовать во время атаки «модуль реассоциации» уже полюбившейся и нам программы CommView (рис. 5.20).

CommView реассоциация узлов

Модуль посылает запрос на деаутентификацию от роутера. Это приводит к реассоциации компьютера жертвы и роутера. Процедура длится всего лишь доли секунд. Зато перехвачены EAPOL-пакеты, необходимые для дешифрации WPA-PSK.

Причем, в силу особенностей устройства протоколов TCP IP жертва во время этой процедуры практически даже не заметит небольшого сбоя. По той причине, что на уровне работы приложений его (сбоя) просто не будет: потерянные пакеты повторятся, а замедление будет незначительным

Ну, хорошо! Трафик перехватывается, расшифровывается, а как посмотреть пакеты в приемлемом для человеческого восприятия виде? Оказывается, и это можно. Для этих целей в программе предусмотрена команда Декодировать как. И далее выбирается протокол, который будет декодироваться (рис. 5.21).

Декодировать как

Пример реконструкции HTTP-пакета представлен на рис. 5.22.

Получается вполне читаемая страничка: видно название форума, читается ник…

Ну, а картинки тоже можно посмотреть, правда, отдельно.

В заключение разговора о взломе Wi-Fi-роутеров нельзя не упомянуть еще и о том, что кроме всего уже перечисленного программа CommView включает в себя большие возможности для автоматизации работ в диалоговом окне Настройка предупреждения (рис. 5.23), где можно настроить различные действия.

Пример реконструкции HTTP-пакета CommView

Настройка предупреждения CommView

При умелой настройке хакер может, например, заставить программу начинать запись пакетов в протокол только в случае появления начала диалога при аутентификации и авторизации жертвы на почтовом сервере.

Приведем также статистику с сайта http://hashcat.net/oclhashcat-plus/ в отношении программы взлома различных хэш-функций oclHashcat-plus, тоже использующей технологию CUDA и умеющую расшифровывать 55-символьные пароли. Статистика приведена для четырех вариантов конфигурации (различные видеокарты и операционные системы). Анализ показывает, что тип видеокарты имеет значение.

Performance

  • PC1: Windows 7, 64 bit
  • Catalyst 13.8beta1
  • 1x AMD hd7970
  • stock core clock
  • PC2: Windows 7, 64 bit
  • ForceWare 325.15
  • 1x NVidia gtx580
  • stock core clock
  • PC3: Ubuntu 12.04.1, 64 bit
  • Catalyst 13.8beta1
  • 1x AMD hd6990
  • stock core clock
  • PC4: Ubuntu 12.04.2, 64 bit
  • ForceWare 319.37
  • 1x NVidia gtx560Ti
  • stock core clock Hash Type PC1
Hash Type PC1 PC2 PC3 PC4
NTLM  7487M c/s  2489M c/s  10935M c/s  1772M c/s
MD5  5144M c/s  1802M c/s  6974M c/s  1363M c/s
 SHA1  2030M c/s  785M c/s  3139M c/s  535M c/s
SHA256 1003M c/s 350M c/s 1247M c/s 232M c/s
SHA512 75M c/s 117M c/s 214M c/s 71M c/s
LM 1276M c/s 465M c/s 1004M c/s 242M c/s
phpass $P$ 2071k c/s 789k c/s 2771k c/s 511k c/s
descrypt 63371k c/s 37137k c/s 79100k c/s 18332k c/s
md5crypt $1$ 3445k c/s 1044k c/s 4425k c/s 648k c/s
Bcrypt $2a$ 3788 c/s 1583 c/s 3861 c/s 626 c/s
sha512crypt $6$ 12545 c/s 15153 c/s 34192 c/s 6726 c/s
Password Safe
(SHA-256)
495k c/s 158k c/s 648k c/s 106k c/s
IKE-PSK (MD5) 297M c/s 99M c/s 335M c/s 59M c/s
Oracle (DES) 371M c/s 142M c/s 265M c/s 68M c/s
DCC (MD4) 3803M c/s

1181M c/s

5377M c/s 851M c/s
Joomla (MD5) 4609M c/s 1659M c/s 6253M c/s 1172M c/s
MSSQL (SHA1) 1677M c/s 639M c/s 2659M c/s 503M c/s
WPA/WPA2(PBKDF2) 133k c/s 45k c/s 181k c/s 33k c/s

На этом же сайте приведены ссылки на видеоматериалы по взлому паролей, а также на форум по указанной теме.

К этому сообщению добавлено 3 комментариев

  1. Я использую Кали Линукс, полностью устраивает, тем более что вышла версия 2.0, лучше для взлома ничего нет!

Добавить комментарий

Ваш адрес email не будет опубликован.