GiBit

Hai una rete wireless Alice? Con uno di quei bei modem nuovi fiammanti, che hanno il Voip, il NAT, la porta USB e la macchinetta del caffè? L’hai protetta con la WPA “inespugnabile” fornita da Telecom? Bene, allora prega che nessuno ti stia scroccando la connessione. Come annunciato qualche giorno fa per Fastweb, il team white hats ha scoperto il modo in cui viene scelta la password predefinita dei router Pirelli AGPF, la maggior parte di quelli distribuiti ultimamente da Telecom Italia. Senza scendere in inutili tecnicismi vedremo quanto può essere facile per un hacker entrare nella nostra rete domestica, grazie all’aiuto di Alice WPA Calculator, sviluppato apposta per testare la sicurezza della WLAN Alice. Voglio lanciare il mio appello a tutti gli utenti di Alice, come per Fastweb: CAMBIATE SUBITO LA VOSTRA PASSWORD!

Prima di cominciare voglio sottolineare come tutte le informazioni e il materiale presente in questa pagina sono presentati a scopo didattico e di protezione da eventuali malintenzionati. Vi ricordo che entrare in una rete altrui senza permesso è reato, anche se la rete non è protetta da password e non sono responsabile in alcun modo per l’utilizzo che farete di quanto presentato. La procedura descritta è stata applicata alla MIA rete domestica.

ATTENZIONE: A causa delle troppe richieste di persone intenzionate a trovare password di router a cui non hanno accesso mi vedo costretto a rendere indisponibile il download del programma. Mi dispiace perché in questo modo non si permette agli appassionati di studiare la cosa e capirne di più, ma tant’è. L’integrità non è cosa da tutti, ne prendo atto a malincuore. Detto questo invito chiunque a NON contattarmi per richiedere password ecc…  Se volete discutere mandatemi una mail usando il modulo per i contatti.

In questa pagina del forum viene descritto l’algoritmo e il procedimento completo, in modo che ognuno possa condividere le proprie scoperte.

Chi ha voglia di continuare a studiare può dare un’occhiata alla lista dei Magic Numbers noti su questa pagina del forum.

LA VULNERABILITA’

In poche parole la WPA dei nuovi Alice Gate forniti da Pirelli viene calcolata usando il MAC ethernet e il seriale del modem, tutti dati facilmente calcolabili a partire dal nome della rete (SSID). Non c’è modo di sapere a priori se un certo router sia o meno un AGPF, se non facendo una piccola prova. In giro si trovano parecchi script in php che in teoria permettono di calcolare la WPA conoscendo il solo SSID, ma spesso non funzionano fondamentalmente per 2 ragioni:

1) database di partenza piuttosto ridotto, nonostante ci siano molte persone a darsi da fare per ampliare i dati sulle reti);

2) calcolare il MAC ethernet può portare a più risultati, per cui è necessario fare qualche prova con dati diversi.

Comunque se volete altre delucidazioni tecniche vi rimando direttamente alla pagina di chi ha scoperto l’algoritmo.

ALICE WPA CALCULATOR

Alice WPA Calculator è un piccolo software (scaricabile da qui) che ho scritto per rendere più agevole il test della sicurezza della propria rete, con numerose funzioni:

1) Calcolo della WPA a partire dal MAC e dal seriale del router

2) Calcolo del MAC a partire dal SSID (nome della rete)

3) Calcolo del seriale a partire dal SSID

4) Brute force sui seriali (per scoprire il seriale di un router data la WPA)

5) Calcolo dei numeri magici (per scoprire i coefficienti di calcolo del seriale a partire dal seriale stesso)

6) E la più succulenta di tutte: creazione di un dizionario per effettuare il bruteforce sulla WPA usando aircrack (cosa praticamente impossibile fino a qualche tempo fa).

ATTENZIONE: visto il rilascio di nuove versioni secondo le richieste degli utenti il software potrebbe dirrefire leggermente dagli screenshot qui riportati.

CALCOLO DI WPA, ETHERNET E SERIALE

Come potete vedere dallo screenshot la prima scheda permette di calcolare il MAC ethenet, il seriale e la WPA della rete. Basta digitare il SSID della rete e cliccare su “Calcola MAC” per avere la lista di tutti i probabili indirizzi MAC. Il software tenta di mostrare per primo il MAC più probabile. Se la prova non dovesse andare a buon fine bisognerà provarne un altro.

Stessa storia per il calcolo del numero di serie del router. Una volta inserito il SSID il programma caricherà automaticamente i coefficienti più probabili per il calcolo. Scorrendo le liste verranno mostrati altri coefficienti possibili, ma in ogni caso potete digitare a mano i valori che ritenete essere più corretti, anche aiutandovi con la tabella visibile nella scheda “Tabella valori”.

Il calcolo della WPA, poi, va effettuato con i valori appena calcolati. Se non ci riuscite al primo colpo basta fare qualche prova, il numero di combinazioni possibili resta comunque molto ristretto. Se poi proprio non ci riuscite è possibile che il vostro router non sia un AGPF e quindi non vulnerabile a questo tipo di attacco.

BRUTE FORCE SUI SERIALI

Un attacco brute force (dall’Inglese “forza bruta”) consiste nel provare tutte le possibili combinazioni fin quando non si trova quella giusta. Il vantaggio è che teoricamente porta sempre ad un risultato concreto, mentre lo svantaggio più grande è il tempo necessario ad analizzare tutte le combinazioni. Grazie alle ultime scoperte, però, le combinazioni di dati necessarie per un brute force sulle WPA di alice si sono drasticamente ridotte, permettendo di trovare un risultato concreto in pochi minuti.

Brute force su seriali. Se si vuole conoscere il seriale di un router data la WPA basta digitare la WPA e il MAC ethernet (che si può calcolare come descritto poco sopra) e aspettare che il programma faccia il resto. E’ possibile specificare il punto di inizio e di fine del brute force.

Mi spiego meglio: in pratica il resiale di un router Alice AGPF è strutturato nel modo seguente: una prima parte di 5 cifre, seguita da una “X”, seguita da una seconda parte di 7 cifre. Il software calcola tutte le possibili combinazioni della seconda parte (quindi da 0000000 a 9999999), mentre la prima va specificata manualmente (SN1 in figura) e resterà fissa per tutta la durata del calcolo. Il valore di SN1 può essere facilmente preso dalla tabella valori (varia per ogni serie alice) e in giro ne è presente comunque un numero molto ristretto. Nel caso in cui il brute force non vada a buon fine bisogna cambiare il MAC o il SN1 e riprovare. Il numero di combinazioni resta comunque molto ristretto e il software è particolarmente rapido.

Brute force sul numeri magici. Se invece vogliamo ampliare la nostra banca dati Alice WPA Calculator ci viene incontro calcolando tutti i possibili numeri magici per un determinato SSID e un numero seriale (se non sai di cosa sto parlando leggi la full disclosure della vulnerabilità). E’ necessario specificare l’SSID, il seriale del router e i valori di K per cui calcolare Q.

Trattandosi di un sistema a 2 incognite (K e Q), dove Seriale = (SSID – Q)/K, è necessario effettuare l’operazione su 2 reti Alice della stessa serie (es. 2 Alice-52XXXXXX) e confrontare i dati ottenuti. Fino ad ora tutti i numeri magici calcolati hanno K=8 o K=13.

GENERARE UN DIZIONARIO PER CRACKARE LA WPA

La funzione pià interessante del programma è sicuramente quella che permette di generare un dizionario utilizzabile con programmi come aircrack per il calcolo della WPA. L’attacco dizionario non è altro che un brute force “in versione light”, con un numero ristretto di combinazioni da verificare.

Fino a poco tempo fa la lunghezza delle WPA di Alice (24 caratteri alfanumerici) era sufficiente a scoraggiare  un attacco del genere, che avrebbe potuto richiedere svariati mesi. Oggi invece è possibile generare un dizionario a partire da appena 25 MB e verificarlo in pochi minuti. Vediamo come fare.

Di cosa abbiamo bisogno. Ci serve sicuramente il file dizionario creato dal programma e un handshake della rete. Abbiamo anche bisogno che vi sia un altro computer collegato in wireless alla rete. Un handshake non è altro che la “stretta di mano” tra il router e la vostra scheda di rete che cerca di autenticarsi. Per catturare un handshake abbiamo bisogno di Linux e di alcuni programmi presenti solo su quell, quindi consiglio a tutti di scaricare BackTrack 4 , che è fatto apposta per questo genere di cose.

Backtrack si avvia automaticamente da CD, senza dover essere installato e senza intaccare in alcun modo il nostro computer. Se avete dubbi sull’utilizzo di BackTrack  fate riferimento alla precedente guida per crackare le reti WEP.

PASSO1 – Identifichiamo la nostra scheda di rete.

Aprite una finestra del terminale in BackTrack e digitate iwconfig

Com’è possibile vedere anche in figura, il programma ci mostrerà tutte le schede di rete disponibili. Noi dovremo individuare quella wireless (IEEE 802.11), che in questo caso si chiama wlan0.

Diamo quindi i seguenti comandi:

airmon-ng stop wlan0

airmon-ng start wlan0

Notate la scritta “monitor mode enablen on mon0“. Vuol dire che da questo momento faremo riferimento all’interfaccia mon0 anziché wlan0.

PASSO 2. – Identifichiamo la rete

Quello che ci serve ora è dire al computer di memorizzare i dati provenienti dalla rete che ci interessa. Digitiamo quindi il seguente comando per avere l’elenco di tutte le reti disponibili con i relativi dati:

airodump-ng mon0

Individuiamo la rete (evidenziata in figura) e premiamo CTRL+C per fermare il programma. A questo punto segnatevi da qualche parte i dati evidenziati: canale della rete, BSSID della rete e MAC del client (STATION). Un client (chiamato STATION su airodump) è un computer collegato alla rete.

Una volta raccolti i dati necessari digitiamo il comando che dice al compute di memorizzare i dati provenienti da quella rete:

airodump-ng –channel 1 –bssid 00:25:53:04:FB:AC –write alice mon0

In pratica ora il computer registra tutto ciò che proviene dall’indirizzo 00:25:53:04:FB:AC su un file chiamato alice. Poi vedremo cosa dobbiamo farne. Lasciate aurodump in esecuzione ed aprite un’altra finestra del terminale.

PASSO 3 – DEAUTENTICHIAMO UN CLIENT

Questa operazione provoca la momentanea disconnessione di un client dalla rete, in modo che al suo tentativo di riconnessione si scambi un handshake con il router, che il nostro airodump potrà facilmente catturare. Ovviamente non dovete trovarvi troppo lontani dal router.

Nella nuova finestra del terminale digitiamo:

aireplay-ng –deauth 20 -a 00:25:53:04:FB:AC -h 00:22:68:C9:EA:53 -c 00:22:68:C9:EA:53 mon0

Il paramentro -a indica il MAC del router (BSSID) , mentre -c e -h indicano il MAC del client da deautenticare (STATION).

Attendiamo qualche secondo, in modo che il comando deauth dia i suoi effetti, e poi controlliamo se siamo riusciti a catturare un handshake digitando

aircrack-ng alice*.cap

Se accanto al nome della nostra rete vediamo scritto “(1 handshake)”, o anche più, siamo a posto.

PASSO 4 – Crackiamo la rete

Ora viene il cracking vero e proprio. Copiamo il file dizionario nella cartella home di BackTrack (per rendere le cose più semplici) e digitiamo:

aircrack-ng -w password.lst alice*.cap

dove password.lst è il nome del file dizionario

A questo punto aspettiamo che aircrack faccia il suo lavoro. Se non dovesse riuscirci bisognerà generare un altro dizionario secondo paramentri differenti. Comunque vi consiglio di salvare i files alice*.cap su una penna USB in modo da non dover ripetere tutte le operazioni da capo.

Questo è quanto. Spero di esservi stato utile e raccomando a tutti, come sempre, di modificare la propria chiave di rete se questa dovesse risultare vulnerabile agli attacchi qui presentati.

E’ possibile effettuare il download di Alice WPA Calculator da questo collegamento. Il software è basato sul .NET Framework 3.5 SP1. Pertanto chi ha Windows Vista o 7 non dovrebbe avere problemi. Gli utenti con XP devono scaricare il Framework da qui.

In caso di dubbi, problemi  e quant’altro lasciate pure un commento in attesa che abbia il tempo di attivare il forum del sito.

Alla prossima, stay tuned!

Articoli correlati

• CLAMOROSO! Crackare la WPA di Fastweb in pochi secondi. Utenti Fastweb cambiate subito la chiave di rete! (19)
• Crackare una rete Wi-Fi WEP in 10 minuti (45)
• Condividere la rete Wireless sulla rete Ethernet (LAN) con Windows Xp (9)
• Collegare l’Xbox 360 alla rete wireless senza l’adattatore Microsoft (2)
• Cambiare l’indirizzo MAC della scheda wireless con MAC Manager (6)