Dit artikel beschrijft mijn bevindingen. Het is niet mijn bedoeling om een stap-voor-stap handleiding te schrijven, mede omdat dit per OS (of zelfs Linux distributie) en driver verschilt. De commandline voorbeelden in dit artikel zijn voor OpenSuse 11 64-bit in combinatie met deze hardware:

Acer Extensa 5220 laptop
Broadcom BCM94311MCG wlan mini-PCI (wlan0 in de voorbeelden)
Ubiquiti XPress Express Card (Atheros 5006 chipset, ath0 in de voorbeelden)

De voorbeelden kunnen ook voor andere distributies gebruikt worden. Voor Ubuntu bijvoorbeeld moet je overal 'sudo' voortypen . Overigens is een tweede wifi-kaartje zoals ik heb niet nodig.

Hardware voorbereidingen

Wat je nodig hebt is een laptop met een (on-board) wifi chipset dat goed ondersteund wordt onder Linux. Gelukkig had ik nog zo'n laptop liggen.



Software voorbereidingen

Onder Windows zul je ook wel tools hebben, maar de meeste (gratis) tools zijn voor Linux geschreven. Op mijn laptop draait OpenSuse 11. Dus als je Linux hebt met een goedwerkende wifi driver kom je al een heel eind.

Packet injection
Doe daarbij nog packet injection en je bent klaar. Het is eigenlijk niet per se nodig, maar het verkort de tijd van het kraken van een wifi netwerk wel enorm. Je driver moet het wel ondersteunen en in mijn geval kostte het me wat moeite om aan de gang te krijgen. Je moet dus niet schrikken van het feit dat je zelf even een gepatche driver moet hercompileren.

Zoals ik al vertelde heb ik ook een extern wifi kaartje gekocht, deze heeft een Atheros 5006 chipset. Ook bij deze kostte het wat moeite om aan de gang te krijgen.

Aircrack
Om draadloze netwerken te kraken heb ik gebruik gemaakt van Aircrack. Kwestie van downloaden, compileren en installeren:


Overigens zijn er meerdere versies beschikbaar maar daar had ik problemen mee, waarbij de monitor mode met airmon-ng niet werkte:


Monitor mode
Voordat je draadloze netwerken kunt kraken, moet je je netwerkkaart in monitor mode staan. Dit kan op twee manieren: dedicated of shared (termen die ik er zelf aan geef). Dedicated betekent dat je je huidige connectie verliest, shared houdt in dat je een extra monitor netwerk interface aanmaakt, naast je huidige. Zo kun je toch je wireless internet connectie houden terwijl je aan het monitoren bent.

Hier wat voorbeelden om de interfaces in (dedicated) monitor mode te zetten.

Broadcom in monitor mode zetten:


Broadcom monitor mode weer uitzetten:


Bij de Ubiquiti werkte dit niet en was dit nodig:


En weer uitzetten:


Om een extra monitor interface te creeren met Aircrack heb je iw nodig:


Dan kun je, naast het reguliere wireless device, een monitor device creeren met (voor the Broadcom):


Nu is er een mon0 device gecreerd. En weer uitzetten:


Bij de Ubiquiti werkt het net iets anders:


En weer uit:


Ik gebruik deze shared manier overigens niet vaak, omdat de netwerkverbinding met de Broadcom dan trager is en soms wegvalt.

Netwerken vinden

Kraken begint met het vinden van netwerken. Hier kun je de standaard wifi mananager voor gebruiken van je OS, of een tool die bij Aircrack zit:


of een meer gespecialeerde tool zoals Kismet, die ook meer gegevens over de gebruikte encryptie weergeeft. Starten doe je door de drivernaam, devicenaam en een zelf verzonnen naam mee te geven.

Voor Broadcom:

Voor Ubiquity:


Zelf gebruik ik daarnaast ook WiFiFofum op mijn windows smartphone in combinatie met een bluetooth GPS module.


Overigens kunnen de eerste netwerken al toegevoegd worden aan de score lijst: drie open netwerken zonder encryptie, waarvan 2 een internet connectie hebben. De derde werkt niet, waarschijnlijk door MAC filtering.

MAC filtering

Maar MAC filtering is geen obstakel. Het is een kwestie van wachten tot er een client connect en dat MAC adres gebruiken wanneer de client weer offline is:


Werkwijze WEP

Om een WEP netwerk te kraken moet je pakketjes verzamelen. Met deze pakketjes kan de WEP-key gereconstrueerd worden. Daarnaast zijn er manieren om meer pakketjes te genereren zodat het kraken soms al in 5 minuten gedaan is. Ik heb mijn kennis hier opgedaan.

IVs verzamelen
Het kraken van WEP begint met het verzamelen van speciale WEP pakketjes, IVs genaamd. Het zijn een soort initializatie pakketjes, zal er verder niet over uitwijden (omdat ik het zelf ook niet weer). Wanneer er genoeg IVs zijn verzameld, kan een WEP key gekraakt worden.

Type in een terminal:


...waar:
2 is het kanaalnummer
00:1A:2B:3C:4D:5E is de BSSID van het netwerk
ath0 is de netwerkinterface die in monitor mode staat
output is een prefix voor de files die weggeschreven worden

Je ziet nu een overzicht met gegevens van het netwerk. Wanneer er clients verbonden zijn zie je daarvan ook het MAC-adres. Erg handig voor MAC adres spoofing.

False authenticatie
Om straks meer IVs te genereren via ARP request moet het MAC adres van je netwerkinterface bekend zijn bij de accesspoint van het 'target netwerk'. Open een nieuwe terminal en type:


...waar:
6000 de periode in milliseconden waarop de fake authenticatie herhaald moet worden (niet altijd nodig)
Netwerk is de naam van het netwerk
00:1A:2B:3C:4D:5E is de BSSID van het netwerk
00:01:02:03:04:05 is het MAC adres van je netwerkinterface
ath0 is de netwerkinterface die in monitor mode staat

Meer IVs genereren: ARP requests
Om de ARP requests de ether in te sturen doe je een:


...waar:
00:1A:2B:3C:4D:5E is de BSSID van het netwerk
00:01:02:03:04:05 is het MAC adres van je netwerkinterface
ath0 is de netwerkinterface die in monitor mode staat

Heb geduld, maar wanneer de pakketjes 'aanslaan', heb je in een mum van tijd genoeg IVs.

Kraken
Om op de verzamelde pakketjes een aanval uit voeren doe je van uit de directory met de .cap files:


...waar:
00:1A:2B:3C:4D:5E is de BSSID van het netwerk

Het eerste netwerk kraken kostte me ongeveer een uur. Voornamelijk omdat ik niet goed doorhad hoe meer verkeer te genereren. Het volgende netwerk had ik niet meer dan 5 minuten nodig, een kleine dertigduizend pakketjes was genoeg.

Om het leven wat makkelijker te maken heb ik een script gemaakt dat je vanuit gnome kunt starten: crack_wep.sh

Werkwijze WPA en WPA2

Check goed of het gaat om een WPA/PSK netwerk, elke andere vorm van versleuteling hoef je niet eens aan te beginnen. De werkwijze bij WPA (en WPA2) is anders dan bij WEP. WPA is alleen te kraken met een zogenaamde 'brute force attack' of 'dictionary attack'. Bij een brute force attack worden alle mogelijke passphrases geprobeerd. Dit is tijdsintensief en daardoor onpraktisch. Een dictionary attack maakt gebruik van woordenlijsten om wachtwoorden te raden. Voor beide attacks moet je wel eerste de '4-way-handshake' onderscheppen. Ik heb mijn kennis hier opgedaan.

Wachten op de 4-way handshake
Net zoals bij WEP beginnen we met het dumpen van pakketjes naar een file. Deze keer niet om IVs te verzamelen, maar om de 4-way handshake te onderscheppen:


...waar:
2 is het kanaalnummer
00:1A:2B:3C:4D:5E is de BSSID van het netwerk
output is een prefix voor de files die weggeschreven worden
ath0 is de netwerkinterface die in monitor mode staat

Net zoals bij WEP zie je ook nu weer een overzicht met gegevens van het netwerk. Wanneer er clients verbonden zijn zie je daarvan ook het MAC-adres en dat heb je nodig wanneer je de handshake wilt forceren met behulp van de-authorisatie.

Handshake forceren
Een aangemelde client kun je proberen af te melden door de juiste de-authorisatie pakketjes te sturen. Als je geluk hebt zal een client zich dan opnieuw proberen aan te melden bij het accesspoint. En daarbij wordt de 4-way handshake gebruikt die je nodig hebt. Dus:


...waar:
1 is het aantal keer dat de pakketjes gestuurd moeten worden, experimenteer hier maar mee
00:1A:2B:3C:4D:5E is de BSSID van het netwerk
00:AA:BB:CC:DD:EE is het MAC adres van een aangemelde client
ath0 is de netwerkinterface die in monitor mode staat

Dictionary attack
Wanneer je de 4-way handshake hebt (tot nu toe is het bij mij alleen gelukt om deze op mijn eigen netwerk te onderscheppen), kun je een dictionary attack doen. Download een woordenlijst ergens op internet en doe een poging.

Vanuit de directory met de .cap files:


waar:
00:1A:2B:3C:4D:5E is de BSSID van het netwerk
../dictionary/dictionary.txt de woordenlijst is

Conclusie

De 4-way handshake verzamelen is lastiger dan ik dacht omdat het de-authoriseren van clients bij mij niet wil lukken (en omdat ik te ongeduldig ben om te wachten totdat clients zich aanmelden).

Het kan ook zijn dat ik toch net te ver weg zit van het netwerk, want behalve een goede ontvangst moet het wifi device dat je gebruikt ook een groot zendbereik hebben. Je moet namelijk niet alleen de accesspoint kunnen bereiken, maar ook de clients die verbonden zijn.

Score
De score tot nu toe:



Beveiligingstips

Veel mensen laten het na om hun netwerk te beveiligen, want "wie wil er nu hun netwerk op?". Of: "het maakt mij niet uit als ze van mijn internet verbinding gebruik maken".

Nou, mij maakt het wel uit. Men kan via jouw verbinding bv spam sturen, of ergere dingen doen waarvoor men liever anoniem wil blijven. Daarnaast, als de eerste barriere van veiligheid is doorbroken zit men ook meteen op je interne netwerk. Met packetsniffing kunnen wachtwoorden achterhaald worden van bijvoorbeeld je Windows-share met belangrijke documenten, maar ook wachtwoorden van internetsites of creditcard gegevens.

Daarnaast komt het ook vaak voor dat mensen die hun draadloze netwerk niet of nauwelijk beveiligen ook de wachtwoorden in hun kabel- of adslmodem of router niet aanpassen, zodat het standaard wachtwoord gebruikt wordt. Niet slim, op internet zijn deze wachtwoorden gewoon te vinden. En wist je dat aan de hand van het MAC-adres van een router men kan zien welk merk het is? En dat een wireless router dit MAC adres gewoon de ether in stuurt?

In dit artikel stond ik even aan de kant van men, om te zien wat er mogelijk is. Gebruik dit artikel om je netwerk te beveiligen. Hier een tweetal tips:

Gebruik minimaal WPA/PSK met een goed wachtwoord (dat niet te vinden is in een of andere woordenlijst)
Gebruik geen standaard wachtwoorden voor je router en kabel/adslmodem