Search

מבוא לפריצות רשתות אלחוטיות


רשתות אלחוטיות, Wi-Fi, (תקן 802.11) זוהי אחת הטכנולוגיות המרכזיות ביותר בחיינו. רשתות Wi-Fi מפוזרות בכל רחבי העולם כרשתות פרטיות (לשימוש ביתי, ארגוני או עסקי) או כרשתות ציבוריות שנועדו לתת שירותי גלישה לציבור הרחב. רשתות מהסוג השני ניתן למצוא בנמלי תעופה, מסעדות, רכבות, אוטובוסים, ערים מרכזיות ועוד. תארו לכם, מה היה קורה אם כל רשתות ה- Wi-Fiבעולם היו נפרצות? בפוטנציאל הן כבר נפרצו. פריצת סיסמת ההתחברות לרשתות Wi-Fi היא כמעט מובטחת בגלל פערי אבטחה בפרוטוקולים שעליהם מבוססות רשתות Wi-Fi. ישנם מגוון גדול של התקפות אשר מנצלות חולשות שונות כמו Evil Twin (זיוף נקודת גישה), ניצול של סיסמאות ברירת מחדל והתקפת Brute Force על חבילת המידע הנקראת "4-Way Handshake" במטרה לגלות את סיסמת ההתחברות.

בטכנולוגיית ה- Wi-Fiחבילות המידע נשלחות על גבי גלי רדיו בטווח התדרים 2.4GHz או לחלופין בטווח התדרים GHz5. טווח התדרים 2.4GHz מחולק ל-14 ערוצי שידור כאשר כל ערוצי השידור נמצאים בין התדרים 2.400 לבין 2.500, באופן הבא:

CH1 מתחיל ב-2.401 עד 2.423

CH2 מתחיל ב-2.406 עד 2.428

CH3 מתחיל ב-2.411 עד 2.433

CH4 מתחיל ב-2.416 עד 2.438

CH5מתחיל ב-2.421 עד 2.443

CH6 מתחיל ב-2.426 עד 2.448

CH7 מתחיל ב-2.431 עד 2.453

CH8 מתחיל ב-2.436 עד 2.458

CH9 מתחיל ב-2.441 עד 2.463

CH10 מתחיל ב-2.446 עד 2.468

CH11 מתחיל ב-2.451 עד 2.473

CH12 מתחיל ב-2.456 עד 2.478

CH13 מתחיל ב-2.461 עד 2.483

CH14 מתחיל ב-2.473 עד 2.495

הסיבה לחילוק לערוצים היא מכיוון שעוד מכשירים כמו פלאפונים, מיקרוגלים ושידורי בלוטוס עושים שימוש בטווח התדרים 2.4GHz נוצרת לעיתים "התנגשות באוויר" בין השידורים של המכשירים השונים דבר הגורם להאטה במהירות הרשת. בכדי לפתור את הבעיה הזו ניתן להעביר את המכשירים לערוצי שידור שונים, למשל אם המיקרוגל משדר בערוץ מספר 2 וה-AP משדר בערוץ מספר 11 הסבירות "להתנגשות" נמוכה והכל יעבוד בצורה תקינה. ישנם לא מעט אפליקציות מסוג "Wi-Fi Analyzer" שיודעות לזהות את השידורים באזור ולומר באיזה ערוצי שידור יש שימוש ואילו ערוצי שידור פנויים. כל שידור שנעשה בטווח התדרים 2.4GHz מגיע לרדיוס של 92 מטר לכל היותר.

(Access Point) AP

זהו רכיב הרשת אשר מאפשר למכשירי קצה להתחבר לרשת הפנימית בצורה אלחוטית (Wireless), בתחילה ה-AP שולח חבילת מידע שנקראת “Beacon Frame” באחד מערוצי השידור של טווח התדרים ,2.4GHz חבילה זו מכילה את שם הרשת (אשר נקראת בשפה המקצועית ESSID) את דרך ההתחברות ואת פרוטוקול האבטחה שבו הרשת עושה שימוש (WEP,WPA,WPA2). מכשיר הקצה אשר מאזין לטווח התדרים 2.4GHz מקבל את חבילת המידע ומציג למשתמש את ה- ESSIDכאופציית חיבור לרשת ה-Wi-Fi, במידה והמשתמש מחליט להתחבר אל הרשת הוא שולח חבילת מידע שנקראת "Authentication Request" ובתגובה ה-AP מחזיר כתשובה חבילה שנקראת "Authentication Response", חבילות אלה נועדו לאמת את פרטי החיבור בין המשתמש לבין ה-AP. בשלב הבא המשתמש שולח חבילה בשם "Association Request" ובה הוא מבקש להצטרף אל הרשת כאשר ה-AP ישלח כתשובה חבילת מידע שנקראת "Association Response" (במידה וה-Wi-Fi לא מוגן בסיסמא זה יהיה השלב שבו ייווצר חיבור לרשת).

אם רשת ה-Wi-Fi עושה שימוש בפרוטוקול אבטחה (WEP,WPA,WPA2) נוצר תהליך נוסף ושמו "4-Way Handshake" ובו מבוצע אימות בין המשתמש לבין ה-AP. בתהליך זה המשתמש יבצע שליחה של "Hash" אשר מורכב בחלקו מסיסמת ההתחברות לרשת. ה- Hash יהיה בנוי בצורה שונה בהתאם לפרוטוקול האבטחה שבו עושים שימוש. אחת השיטות הנפוצות ביותר לפריצת סיסמת ההתחברות לרשתות Wi-Fi היא לתפוס את ה- Handshakeולחלץ ממנו את סיסמת ההתחברות ע"י התקפת Brute Force על ה- Hash שנשלח. מכיוון שכל חבילות המידע השייכות ל- Handshakeעוברות בטווח התדרים 2.4GHz ניתן לתפוס אותן באמצעות כרטיס הרשת כולל את ה- Hash עצמו ללא צורך להיות מחוברים לרשת. בברירת מחדל כרטיס הרשת "מזהה" את כל חבילות המידע אשר עוברות בטווח התדרים 2.4GHz אך מתעלם מהן ולכן נדרש להכניס את כרטיס הרשת למצב שנקרא Monitor Mode"", במצב זה כרטיס הרשת יאסוף את כל חבילות המידע מהאוויר ויציג אותן למשתמש. ניתן להכניס את כרטיס הרשת למצב "Monitor Mode" דרך כלי שנקרא Airmon-ng, כלי זה מגיע מובנה במערכת Kali Linux וניתן להשתמש בו ע"י הפקודה "airmon-ng start wlan0".

כדי לתפוס את חבילות המידע מהאוויר ניתן להשתמש בכלי שנקרא Airodump-ng, באמצעות הכלי ניתן לראות את כל רשתות ה- Wi-Fiשפועלות סביבנו. ראוי לציין כי לכל רשת Wi-Fi יש קומפוננט הנקרא BSSID שזהו המזהה הפיזי של כרטיס הרשת של ה-AP והמזהה הייחודי של הרשת, ה-BSSID יופיע באופן קבוע בכל חבילת מידע שנשלחת מה-AP תחת האובייקט "addr2" ובכל חבילת מידע שנשלחת אל ה-AP תחת האובייקט "addr1". באמצעות סינון של אותם אובייקטים הכלי ידע לאסוף את כל חבילות המידע אשר שייכות לרשת בעלת ה-BSSID הנבחר.

לצורך הדוגמא שם הרשת שלנו (ESSID) היא "ThinkCyber" וה-BSSID שלה הוא a4:22:d5:a5:62:88”". כדי למקד את האיסוף של חבילות המידע רק לחבילות ששייכות לרשת של ThinkCyber נדרש לבצע "איסוף ממוקד" שבו נאסוף רק את חבילות המידע שבהם ה-BSSID של ThinkCyber a4:22:d5:a5:62:88)) או במילים אחרות כל חבילות המידע שבהן addr2 או addr1 יהיו שוות בערכן ל-a4:22:d5:a5:62:88. בדרך זו כל התעבורה אשר מגיעה מתוך ואל ה-AP של ThinkCyber מנוטרת באמצעות הכלי Airodump-ng ונדרש לחכות עד שנתפוס את חבילות המידע של תהליך האימות, לאחר מכן הן יכנסו לתוך קובץ PCAP שעליו נוכל לבצע התקפת Brute Force באמצעות הכלי Aircrack-ng.

תהליך ה- Handshake נוצר רק בעת התחברות של מכשיר חדש, במקום לחכות עד שמכשיר חדש יתחבר נוכל לכפות על כל המכשירים המחוברים לבצע את תהליך ה- Handshakeמחדש. ישנה חבילת מידע שנקראת "Deauthenticate" אשר מודיעה לכל ההתקנים על סיום ההתקשרות עם ה-AP, ניתן לזייף חבילה כזאת ולשלוח אותה לכל ההתקנים בחיבור Broadcast מה שיגרום לכל ההתקנים לבצע את תהליך ה- Handshakeמחדש ולמעשה ייתן לנו את האפשרות לתפוס את חבילות המידע הרלוונטיות. זיוף ושליחת חבילת Deauthenticate ניתן לבצע עם הכלי aireplay-ng אך לצורך המאמר כתבתי סקריפט בפייתון (בתמונה) ששולח חבילות Deauthenticate ע"י זיוף ה-BSSID שנמצא תחת הפרמטר addr2 (בעצם אנו שולחים חבילת Deauthenticate בשם ה-AP לכל ההתקנים שמחוברים אליו).

לאחר תפיסת ה- Handshakeייווצר קובץ PCAP אשר מכיל את ה-Hash עם סיסמת ההתחברות. באמצעות הכלי Aircrack-ng ניתן יהיה לבצע התקפת Brute Force” “Offline שבה נריץ את כל סיסמאות החיבור האפשריות עד שנמצא את סיסמת ההתחברות הנכונה. התקפת Brute Force” “Offline יכולה להגיע להרצה של מאות אלפים ואף מיליוני סיסמאות בשנייה, כתלות בחומרה של המחשב שממנו אנו מריצים את ההתקפה. לא מעט סיסמאות Wi-Fi בבתים פרטיים הן מספרי פלאפון, הפקודה הבאה תיצור קובץ המכיל את כל מספרי הפלאפון של חברת סלקום:

כל חברת סלולר ישראלית יכולה לספק עד 10 מיליון מספרי פלאפון, אם הסיסמא לצורך הדוגמא היא מספר פלאפון שמתחיל בקידומת 052 והמחשב שממנו נריץ את המתקפה מסוגל להריץ 10,000 סיסמאות בשנייה, ניתן לפרוץ את הסיסמא בתוך 17 דקות. ניתן ליצור קובץ שמכיל את כל מספרי הפלאפון של כלל החברות הישראליות ולהריץ אותן בקצת פחות משעתיים ככה שאם הסיסמא היא מספר פלאפון - היא תיפרץ.

גיל מתיתיהו, חוקר ומרצה בחברת ThinkCyber.

5 views

© 2020 by ThinkCyber

THE 2020

CYBERIUM