Embed Size (px)
DESCRIPTION
Citation preview
Presentazione Società e Relatori
Secure Edgey o u r s a f e t y .net
Essere il partner tecnologico per l’Information Security, affiancando il Cliente nel processo di progettazione del suo Information Security Management System
Roberto Battistoni Vito Milio
““Wireless HackingWireless Hacking””
Agenda
Obiettivi incontro
Cenni legislativi
Cenni sulle potenze erogate e modulazioni
Wi-Fi Hardware Hacking Client ed Access Point
Antenne
Link Budget
Wi-Fi Hacking Software
Obiettivi dell’intervento
• Illustrare alcune delle tecniche di Hacking
• Illustrare alcuni degli strumenti Hacking
• Condividere le nostre esperienze
Agenda
Obiettivi incontro
Cenni legislativi
Cenni sulle potenze erogate e modulazioni
Wi-Fi Hardware Hacking Client ed Access Point
Antenne
Link budget
Wi-Fi Hacking Software
Cenni Normativi
•Codice delle comunicazioni pubblicato in Agosto 2003 (articolo 99 comma 5 “attraversamento suolo pubblico NON consentito”)
•Piano di ripartizione delle frequenze Tabella (B) per i 2,4 GHzImportante statuto secondario per gli SRD RadioLan Wi-Fi
Piano di Ripartizione delle Frequenze
• Channel 01 : 2.412 GHz • Channel 02 : 2.417 GHz • Channel 03 : 2.422 GHz • Channel 04 : 2.427 GHz • Channel 05 : 2.432 GHz • Channel 06 : 2.437 GHz • Channel 07 : 2.442 GHz • Channel 08 : 2.447 GHz • Channel 09 : 2.452 GHz • Channel 10 : 2.457 GHz • Channel 11 : 2.462 GHz • Channel 12 : 2.467 GHz • Channel 13 : 2.472 GHz • Channel 14 : 2.484 GHz
2,450- 2,468 GHzMinistero difesa
2,440- 2,450 GHzMinistero Comunicazioni
Assegnate a statuto secondario per SRD RadioLan Wi-Fi
2,468 – 2,483 GHzMinistero Comunicazioni
Assegnazione a Statuto PrimarioFrequenza da:
2,300- 2,440 GHzMinistero Comunicazioni
Piano di Ripartizione delle Frequenze
• Channel 01 : 2.412 GHz • Channel 02 : 2.417 GHz • Channel 03 : 2.422 GHz • Channel 04 : 2.427 GHz • Channel 05 : 2.432 GHz • Channel 06 : 2.437 GHz • Channel 07 : 2.442 GHz • Channel 08 : 2.447 GHz • Channel 09 : 2.452 GHz • Channel 10 : 2.457 GHz • Channel 11 : 2.462 GHz • Channel 12 : 2.467 GHz • Channel 13 : 2.472 GHz • Channel 14 : 2.484 GHz
2,450- 2,468 GHzSRD, Radio Localizzazione
2,440- 2,450 GHzSRD, Radio Lan, Trasferimento segnalianalogici audio, Radioamatori via Satellite
Assegnate a statuto secondario per SRD RadioLan Wi-Fi
2,468 – 2,483 GHzMinistero Comunicazioni
Assegnazione a Statuto SecondarioWi-Fi Frequenza da:
2,300- 2,440 GHzSRD, Radio Lan, Rete Fissead uso privato, Radioamatori
Agenda
Obiettivi incontro
Cenni legislativi
Cenni sulle potenze erogate e modulazioni
Wi-Fi Hardware Hacking Client ed Access Point
Antenne
Link Budget
Wi-Fi Hacking Software
Potenze emesse dai nostri apparati
100 mW ERP (Effective Radiated Power)Massima Potenza irradiata secondo raccomandazioni CEPT/ERC recepite nella nostra normativa
Estratto tabella potenze
Schemi di modulazione
Il Wi-Fi utilizza degli schemi di modulazione molto complessi:
Spread Spectrum.
Gli standard nel tempo si sono evoluti:Si é passati dal Frequency Hopping al Direct Sequence ed ultimamente, poiché si é voluto aumentare le velocità, gli sviluppatori hanno abbandonando quasi del tutto gli schemi inizialmente utilizzati adottando altre tecniche.
Il mezzo trasmissivo
Schema a blocchi per comprendere come avviene la trasmissione di un segnale Wi-FI
Lo spettro di frequenza utilizzato
Ecco cosa accade in aria:Strumenti come analizzatori di spettro mostrano il segnaleWi-Fi in questo modo.
Portante “spalmata” su 42 MHz flusso principale dentro 22 MHz due sottolobi a -30 dB che contengono parte delle informazioni trasmesse.
Agenda
Obiettivi incontro
Cenni legislativi
Cenni sulle potenze erogate e modulazioni
Wi-Fi Hardware Hacking Client ed Access Point
Antenne
Link Budget
Wi-Fi Hacking Software
Utilizzo di WiFi AP e schede modificate
Wireless Hacking – WiFi AP e Client
Esempio di scheda PCMCIA modificata aggiungendo un connettore per antenna esterna
Antenna autocostruita
Wireless Hacking – WiFi AP e Client
1) Togliere con una leggera pressione i due binari laterali aiutandosi con un giravite molto piccolo.
Modificare una scheda Dlink 650 (1)
2) Togliere i due gusci metallici.
Wireless Hacking – WiFi AP e Client
3) Rimozione del connettore presente
4) Applicazione di un cavo per microonde semirigido con connettore “SMA” standard per permettere un collegamento più sicuro con un’antenna
Modificare una scheda Dlink 650 (2)
Wireless Hacking – WiFi AP e Client
Modifica di un AP Dlink 900+
Rimozione del connettore presente e sostituzione con un cavetto di cavo semirigido acquistato in una fiera di materiale surplus
Versione C2
Versione B1
Wireless Hacking – WiFi AP e Client
Da sinistra:•Cavetto rimosso dall’AP•Antenna omnidirezionale•Adattatore “SMA” modificato in “Reverse SMA”•Adattatore “SMA” NON Modificato •Femmina da pannello “SMA” acquistato come materiale surplus•Antenna omnidirezionale Standard•Trapano auto costruito per modificare l’adattatore da “SMA” a “N”
Wireless Hacking – Connettori SMA
Se non trovate un adattatore SMA Reverse, modificate un SMA normale eliminando il polo centrale ed apportando un foro al centro.
SMA Reverse Modificato SMA NON Modificato
Agenda
Obiettivi incontro
Cenni legislativi
Cenni sulle potenze erogate e modulazioni
Wi-Fi Hardware Hacking Client ed Access Point
Antenne
Link Budget
Wi-Fi Hacking Software
Wireless Hacking – Antenne
Tipologie di Antenne:
Yagi
Barattolo
Griglia
Pannello
I lobi di irradiazione dipendono dalla geometria dell’antennaDi solito più l’antenna guadagna, maggiore é la direttività
Wireless Hacking – Antenne
Come calcolarci la nostra antenna a barattolo:Questa antenna si presta benissimo per illuminare una parabola.
http://www.saunalahti.fi/elepal/antenna2calc.phpLink utile per calcolare la nostra antenna a barattolo
Se abbiamo intenzione di illuminare una parabola facciamo attenzione a scegliere il barattolo perché se troppo grande finisce con oscurare parte del segnale.Per evitare del tutto l'ombra del barattolo si fanno le antenne offset
Usiamo le antenne
L’antenna contenuta all’interno delle schede wireless si presenta all’incirca come un dipolo ripiegato. Per convenzione possiamo stabilire che questa ha un guadagno di 0 dBd.
Nel nostro caso abbiamo provato a connetterci su un AP, con due modelli di scheda Cisco Aironet 350. La prima con antenna interna la seconda con antenna esterna ad ¼ d’onda autocostruita.
Il risultato é stato che con l’antenna autocostruita abbiamo avuto un aumento del segnale di 5 dBm almeno.
Concludendo utilizziamo antenne esterne per aumentare il livello di segnale ricevuto/trasmesso. (Attenzione però in questo caso potremmo essere fuori normativa rispetto ai 100 mW E.R.P.)
Agenda
Obiettivi incontro
Cenni legislativi
Cenni sulle potenze erogate e modulazioni
Wi-Fi Hardware Hacking Client ed Access Point
Antenne
Link Budget
Wi-Fi Hacking Software
Radio Mobile per calcolare le tratte
Uno strumento che aiutato da una base cartografica permette di verificare se teoricamente tra due punti sia possibile effettuare un collegamento
http://www.cplus.org/rmw/download.html
Wireless Hacking – Costo di Tratta
Wireless Hacking – Costo di Tratta
Radio Mobile per calcolare le tratte. Impostare i parametri
Wireless Hacking – Costo di Tratta
Radio Mobile per calcolare le tratte. Creare le reti
Radio Mobile per calcolare le tratte. Associare le unità
Wireless Hacking – Costo di Tratta
Wireless Hacking – Costo di Tratta
Risultato Finale Casa Vito verso Monteporzio
Risultato Finale Monteporzio verso Casa Vito
Wireless Hacking – Costo di Tratta
Agenda
Obiettivi incontro
Cenni legislativi
Cenni sulle potenze erogate e modulazioni
Wi-Fi Hardware Hacking Client ed Access Point
Antenne
Link Budget
Wi-Fi Hacking Software
Wireless Hacking – Hacking software
•L’hacking su Wireless è più appetibile poiché il mezzo trasmissivo è soggetto ad ascolto da parte di utenti maliziosi (se non è cifrato opportunamente - WEP e cifrature su layersuperiori). Possiamo affermare che gli attacchi su Wireless sono attacchi locali da remotopoiché non si deve accedere necessariamente ai locali con gli host attaccati.
•Le attività di Wireless Vulnerability Assessment prevedono i seguenti step:• Network discovery: individuare le possibili reti Wireless.• Network mapping: caratterizzare le reti Wireless intercettate (open o closed,cifratura del traffico, MAC address di Access Point e Client).• MAC resolving: individuare il produttore dell’AP per sfruttare eventuali vulnerabilità (amministrazione remota tramite http).• WEP cracking: individuare la chiave WEP per decifrare il traffico a livelloDatalink.
• E’ importante fermarsi alla sola attività di ascolto del traffico; ogni caso di attivitàproattiva (assegnazione di un MAC address valido o di un #IP valido) costituisce un possibile reato se non opportunamente autorizzata (Penetretion Test).
• Le attività di Penetration test non sono oggetto del nostro intervento.
Wireless Hacking – Network Discovery
•Individuare reti Wireless è abbastanza semplice con l’ausilio di tool facilmente reperibili su Internet; i più usati sono:
• Netstumbler (Windows): individua solo reti Wireless open, ossia che inviano l’SSID dell’AP in broadcast con i beacon; non pone la schedawireless in modalità promiscua; permette di rilevare il MAC address dell’AP e viene utilizzato anche per attività di wardriving (ministumbler su palmari).
• Kismet (Linux): permette di intercettare anche reti closed, ossia che non inviano l’SSID con il beacon; a differenza di Netstumbler, mette la scheda di rete Wireless in modalità promiscua ed è in grado di intercettare l’SSID dalle connessioni di altri client oltre a mappare la rete a livello datalink e network (se non ha cifratura WEP).
Wireless Hacking – Network mapping
•NetStumbler è utile per posizionare antenne direttive e per rilevare i segnali di AP. Viene utilizzato anche per attività diwardriving. Non pone la scheda in modalità promiscua.
•Kismet permette di mapparela rete intercettando il MACaddress dell’AP e i MACaddress e gli IP dei client (IP solo in caso di traffico non cifrato).
Wireless Hacking – MAC resolving
Oppure possiamo visitare il sito degli standard IEEE:http://standards.ieee.org/regauth/oui/index.shtml
Per ricavare i produttori delle schede Wireless o AP possiamo utilizzare ilseguente script perl su GNU Linux.
Wireless Hacking – Vulnerability Assessment
•Mettendo la scheda Wireless in modalità promiscua e con utility quali tcpdump e etherealpossiamo effettuare lo sniffing del traffico wireless. Se il traffico è cifrato con la chiave WEP possiamo intercettarla con tool quali Airsnort o decrypt.
•Una volta determinata la mappa di rete possiamo attribuire alla nostra macchina maliziosaun ip valido. Questo sempre ché non vi siano meccanismi di autenticazione dei clientconnessi all’AP (MAC address filtering, autenticazione con certificati digitali X.509).
•Suponendo che la nostra macchina abbia un IP valido, allora tutti le attività maliziose sono possibili, dallo scanningdelle porte (nmap) allo sfruttamento delle vulnerabilità con exploit e rootkit.
Wireless Hacking – WEP cracking
• Una vulnerabilità nell’implementazione del WEP permette di risalire alla chiave segreta (wepkey). L’IV (Initialization Vector) viene reinizializzato a zero in caso di errori nella trasmissione e questo indebolisce notevolmente l’algoritmo di cifratura.
•Attacchi per decifrare la chiave WEP richiedono una quantità di traffico notevole.
•Spesso le reti Wireless non hanno nemmeno la cifratura con chiave WEP a 64 bit!!! Il traffico è in chiaro…porte aperte a tutto il mondo ☺
• Il protocollo 802.11 prevede l’utilizzo di una chiave simmetrica per la cifratura del traffico. La chiave WEP ,Wired Equivalent Privacy, è sia nell’AP che sui vari client. L’algoritmo utilizzato è RC4 con chiavi di 64/128 bit (IV di 24 bit e chiave da 40/104 bit).
)(4))(32( wepkeyIVRCMcrcMC
CIVPacket
⋅⊕⋅=
⋅=
Wireless Hacking – Airsnort
•Airsnort è un tool su Linux che permette di intercettare il traffico Wireless e intercettare la chiave WEP sfruttando le vulnerabilità del protocollo WEP. Con una chiave WEP di 40 bit ci possono volere dai 0.5 ai 2 Gbyte di traffico.
•Altri tool quali decrypt sfruttano invece la tecnica del dizionario per intercettare la chiave WEP, è quindi consigliabile utilizzare sempre password alfanumeriche (anche con segni di interpunzione).
Wireless Hacking – Come proteggersi?
• Vediamo alcune regole per aumentare la sicurezza di reti Wireless:
1. Utilizzare antenne adeguate cercando di dirigere il segnale dove serve2. Considerare il protocollo WEP non affidabile.3. Utilizzare chiavi WEP a 128 bit e protocolli per lo scheduling delle chiavi
qualora siano disponibili.4. Utilizzare password non intercettabili con attacchi del dizionario5. Trovare eventuali vulnerabilità degli AP e se possibile eliminarle (almeno
cambiare la password di amministrazione!)6. Interporre un Firewall tra l’AP e la rete locale (scelte architetturali)7. Utilizzare il MAC address filtering sull’AP (autenticazione debole).8. Utilizzare FreeRadius ed autenticazione con EAP/TLS9. Utilizzare meccanismi di autenticazione basati su certificati di firma
digitale (autenticazione forte).
Riepilogo riferimenti e link
•Nuovo piano di ripartizione delle frequenzewww.cisar.it/noi_ministero/tabella_b.zip
•Nuovo codice delle comunicazioni www.cisar.it/noi_ministero/codice_delle_comunicazioni.pdf
•Raccomandazioni CEPT/ERCwww.radiometrix.com/pdf/ERC70-03.pdf
•Modulazioni www.cisar.it/wifi/documenti/Modulazioni_confronto.pdf
•Calcolo antenna a Barattolowww.saunalahti.fi/elepal/antenna2calc.php
•Link Budgetwww.cplus.org/rmw/download.html
•IEEE standards.ieee.org/regauth/oui/index.shtml
•Vulnerabilità del WEP Stubblefield et al., 2001, “Using the Fluhrer, Mantin, and Shamir Attack toBreak WEP”
Wireless Hacking – The End
Grazie per la vostra attenzione
☺
