Guida Definitiva al Crack WPA

Ebbene si mi sono convinto in questo post scriverò una guida su come crakkare sto maledetto WPA, con gli strumenti che abbiamo attualmente, in attesa che venga scoperta (ma già e scoperta! e che non lo vogliono dire!) una falla in questa maledetta protezione.
Dopo aver parlato di wireless & BackTack non poteva mancare un articolo su come crakkare le reti wireless.
non scriverò un articolo su WEP perchè ormai questa protezione è obsoleta e internet e pieno di manuali e tutorial su come superare tale protezione, parlerò invece della seconda protezione nata per colmare le lacune di WEP sto parlando di WPA.
WPA (Wireless Protect Access) un po' ostica come protezione, fino ad ora si può cercare di crakkarla soltanto se la protezione utilizza il metodo PSK (Pre-Shared Key).
In Tale procedura utilizzeremo la suite aircrack-ng (per recuperare la password) contenuta nella distribuzione live di BackTack di seguito l'elenco del materiale.

1) distibuzione live di BackTack 3
2) PC
3) scheda wireless con Chipset compatibile per effettuare l'attacco
4) Tanto e dico tanto Culo!!!

SPIEGAZIONE DEL MATERIALE:

1)utliizzeremo la distibuzione live di BackTack 3 cosi ci risparmieremo un sacco di lavoro, non so se lo sapete si può anche craccare la rete con windows ma non conviene perché in primis su Winzoz servono i driver abilitati per andare in monitor mode (e come se una scheda di rete ethernet andasse in modalità promiscua!), e i driver che danno assieme alla scheda cioè quelli originali per intenderci non sono abilitati per andare in monitor mode, e se uno non sa dove andare rischia di girare su internet senza trovare niente, in secondus perchè per poter fare l'attacco si devono Pachtare i driver per poter fare packet injetion, in terzus utilizzare un po linux non fa male, e in quartus la distribuzione live di BackTack e nata non solo per questo scopo ma anche per altre cose (che non sto a dire) ed e tutta piena di strumenti e ci risparmia un sacco di tempo e fatica, tutta in una distribuzione comodo NO!.

2) ...AzZo se non avete capito serve un PC meglio se è un portatile per poter spostarlo in modo da ricevere miglior segnale possibile!!!

3) Si con BackTrack abbiamo tutti i driver ma si deve avere una scheda wireless con Chipset compatibile per fare la packet injetion, fino ad oggi tutte le schede wireless con i driver contenuti nella distribuzione vanno in monitor mode ma non tutti fanno la packet inetion, la packet injetion serve a velocizzare l'operazione di cracking sia per WEP e WPA accertatevi di avere un Chipset compatibile, di seguito un elenco di alcuni tra i Più diffusi Chipset compatibili con la packet injetion: Atheros, Railink, Prism 1 & 2, Prism GT , Realtek, Zydas,

4) SE siete sfigati, meglio lasciar perdere!!! :-) io non credo a queste fesserie ma nella vita ci vuole anche un po di culo anche per fare cracking su qualsiasi cosa !!!! e sta volta ce ne vuole tanto!!

5) oh non c'è un quinto punto , meglio così andiamo al sodo anzi no!!! al CRACKING!!! :-))

*Prima di iniziare*

INTENDO RICORDARE CHE ENTRARE IN UNA RETE PROTETTA E' UN REATO PERSEGUIBILE A TERMINI DI LEGGE, RAGION PER CUI QUESTA GUIDA E' DA RIFERIRSI A UNA PROVA SULLA PROPRIA RETE, AL FINE DI GIUDICARNE LA SICUREZZA.SE NON SIE CONVINTI Vedere la NORMATIVA sul Wireless.

*Si Inizia Davvero!!*

A tutt'oggi l'unico modo per poter CRAKKARE una Rete wpa/wpa2 psk è usare un dictionay attack in italiano Attacco a Dizionario, ovvero un attacco di tipo dizionario che prova in modo sequenziale tutte le password presenti in un file dizionario.Nell'attesa che venga scoperta una possibile vulnerabilità del WPA/WPA2 psk, vediamo come procedere.

Attenzione!!! RIPETO! Questo metodo funziona solo con wpa/wpa2 psk ovvero con metodo di autenticazione pre-shared keys. Se il
metodo di autenticazione è diverso da PSK non sarà possibile utilizzare tale procedura:

Per fare un Attacco a dizionario abbiamo bisogno di un file chiamato: handshake. handshake o letteralmente ''stretta di mano'' e un file che AP (Access Point) scambia con il client connesso solo al momento dell'autenticazione. questo file e indispensabile per poter portare a termine l'operazione di cracking. Quindi se non l'avete capito nella rete ci deve essere almeno un client connesso!! (no client NO handshake addio cracking:( .

Avviamo da Boot la distribuzione live di BackTrack 3 e attendiamo il caricamento.....
Appena vene visualizzato il desktop andiamo in basso a destra sulla bandierina e cambiamo il layout della tastiera in italiano.
Poi andiamo nel menù Pricipale e andiamo sulla voce internet e poi andiamo a cliccare l'applicazione WiFi Assistant si aprirà una applicazione dove e possibile rilevare le reti wireless prendiamo di mira la rete selezionata e annotiamo su un pezzo di carta i dati della rete, il Mac Address del router ed il canale usato dal router per comunicare,
OK ora che abbiamo Questi piccoli ma essenziali dati dobbiamo abilitare il monitor mode sulla scheda wireless.
Apriamo una finestra l'icona in basso a sinistra (lo schermino nero per intenderci!), e nel terminale scriviamo:

airmon-ng

e vedremo di seguito un elenco del genere:

Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (VAP estroyed)
eth1 ZyDAS zw1112wz

quindi sotto interface vediamo tutte le interfacce wireless presenti nel PC, da notare, che ath0 & eth1 sono i nomi virtuali del device (dispositivo). E che Wifi0 e ath0 sono la stessa cosa.

sotto chipset ci sono i nomi dei Chipset che utilizza il dispositivo, e sotto driver vediamo i driver assegnati (da backtrack)e utilizzati dai dispositivi.

In definitiva (nel mio caso) vedendo il menu sopra: la mia scheda di rete esterna utilizza come nome virtuale eth1 usa un Chipset ZyDAS e utilizza i driver zw1112wz (integrati e già utilizzati in backtrack), e lo stesso vale per la mia periferica PCI (interna) utilizza come nome virtuale ath0 ha un Chipset atheros (i migliori in circolazione) ed usa i driver madwifi.

Quindi disabilitiamo le interfacce che ci servono con il seguente comando:

aimon-ng stop ath0

Con questo comando disabilitiamo soltanto la scheda di rete ath0, eth1 e ancora attiva se vogliamo possiamo disabilitarla con il seguente comando:

airmon-ng stop eth1

Ora le schede di rete sono disabilitate e il menu che ne uscirà e il seguente:

Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode disable)
eth1 ZyDAS zw1112wz (monitor mode disable)

Ora abilitiamo la scheda che ci interessa nel mio caso abilito ath0 con il seguente comando:

airmon-ng start wifi0 1

Da notare, che l'interfaccia ath0, come detto prima e la stessa con quella del nome wifi0 praticamente e una periferica con due nomi virtuali non so perchè forse e questione dei driver ma backtrack fa cosi con tutti i cipset atheros, quindi se provate a scrivere airmon-ng start ath0 vi restituisce un errore.
Da notare che se volevo attivare eth1 si drovrà scrivere airmon-ng start eth1
Un altra cosa come avrete notato ho scritto dopo il nome della periferica, '1' quel numero sta a significare il canale in cui il router comunica, voi mettete il numero di canale precedentemente annotato sul pezzetino di carta :-)

Ora che abbiamo abilitato la scheda ci ritroveremo con il seguente menu:

Interface Chipset Driver

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enable)
eth1 ZyDAS zw1112wz (monitor mode disable)

Ed ora si va al succo, sul terminale scriviamo il comando:

airodump-ng -c 1 -w wpa ath0


con il comando citato sopra andremo ad utilizzare l'applicazione airodump-ng.
airodump-ng non e altro che uno sniffer un programma che cattura i dati che transitano nella rete, e sarà lui a catturare l'handshake.
ora analizziamo il comando passo passso.......

airodump-ng : avvia l'applicazione airodump-ng
-c : sta ad indicare il canale in cui il router\access Point comunica in questo caso il canale 1
-w : sta ad indicare il nome del file in cui verrano salvati i dati, il file si chiamerà 'wpa' (il file viene salvato nella cartella home presente sul desktop )
ath0 : e il nome dell'interfaccia da utilizzare


premendo invio se i dati immessi sono giusti vi ritroverete una schermata del genere:

CH 9 ][ Elapsed: 4 s ][ 2007-11-22 16:58

BSSID PWR RXQ Beacons #Data #/s CH MB ENC CIPHER AUTH ESSID

00:11:5C:7E:40:90 39 100 51 116 14 9 54 WPA2 CCMP PSK Wireless

BSSID STATION PWR Lost Packets Probes
00:11:5C:7E:40:90 00:04:F5:FD:FB:C9 35 0 116

Questa e la schermata di airodump-ng che si compone su 2 'righe'..... Analiziamo i punti piu importanti della prima righa....

sotto BSSID troviamo il mac-adress del router\access point
sotto PWR la potenza del segnale che si riceve
sotto BEACONS troviamo i pacchetti beacons che manda l'access point per dire:'Sono un Access Point collegati a me!', questi pachetti sono inutili anche se si collezionano molto rapidamente

sotto CH troviamo il numero de canale in cui trasmette la rete
sotto ENC troviamo protezione della rete in questo caso WPA2
sotto AUTH troviamo l'autenticazione della rete in questo caso PSK
sotto ESSID il nome della rete

Nella seconda 'righa' toviamo i dati relativi ai client colegati, nel caso sopra nella rete c'e un client collegato nella rete, con i relativi dati:
BSSID: c'è il mac-adress del router\access point in cui é collegato il client
STATION: il mac-adress della scheda wireless con cui il client si collega alla rete
le altre non sono importatnti.....
Una volta avviato airodump-ng attendiamo qualche minuto cosi rileva tutti i client........

Ora si va all'attacco, con WPA per produrre handshake si deve deautenticare il client connesso quindi su un altro terminale scriviamo il comando:

aireplay-ng -0 5 -a 00:11:5C:7E:40:90 -c 00:04:F5:FD:FB:C9 ath0

con il comando citato sopra andremo ad utilizzare l'applicazione aireplay-ng.
Aireplay-ng e l'applicazione che ci permette di effettuare l'attacco tramite packet injection,
utilizzando aireplay-ng si va ad 'accellerare' la produzione di handshake.
Ma analizziamo il comando.......

aireplay-ng : avvia il programma aireplay-ng
-0 : è il deauthentication mode cioè la modalita di attacco
5 : è il numero di gruppi di pacchetti deauthentication da mandare (si puo anche aumentare o diminuire!)
-a 00:11:5C:7E:40:90 : è il MAC address dell router/access point
-c 00:0F:B5:FD:FB:C2 : è il MAC address del client da deautenticare
ath0: il nome dell'interfaccia wireless

dando invio se scritto corretto vi restituirà il seguente comando:

12:55:56 Sending DeAuth to station -- STMAC: [00:04:F5:FD:FB:C9]
12:55:56 Sending DeAuth to station -- STMAC: [00:04:F5:FD:FB:C9]
12:55:57 Sending DeAuth to station -- STMAC: [00:04:F5:FD:FB:C9]
12:55:58 Sending DeAuth to station -- STMAC: [00:04:F5:FD:FB:C9]
12:55:58 Sending DeAuth to station -- STMAC: [00:04:F5:FD:FB:C9]


Una volta deautenticato il client, esso riproverà a riconnettersi producendo cosi pacchetti handshake.
Se l'attacco e andato a buon fine airodump-ng avrà catturato i pacchetti handshake, e visualizzerà in alto a destra (vicino la data e l'ora per intenderci!!): WPA handshake ed il il mac adress del client.

Bene! ora aprirò una parentesi, Seguendo questa guida, sino ad ora vi siete procurati i pacchetti handshake con il normale metodo utilizzato da tutti (Che e anche giusto!!), da notare che prima di iniziare non vi ho detto come e possibile verificare se la vostra scheda e compatibile con aireplay-ng e se fa la packet injection, questo comando si da prima di iniziare cioe prima di aver eseguito airodump-ng, se gia airodump-ng e in esecuzione stoppatelo premendo CTRL+C
il comando e il seguente:

aireplay-ng -9 ath0

dando invio il programma analizzerà il vostro Chipset e proverà a fare una packet injection fittizia alle reti che rileva,
se vedete la scritta Working vuol dire che il vostro chipset compatibile con la packet injection e ed il programma rileverà le reti e farà una statistica della percenuale di successo di packet injection su ciascuna rete,
un altra cosa e se la nostra scheda non e compatibile con la packet injection che si fa?
abbiamo 2 opzioni:
1) la cambiamo ne cerchiamo un altra che abbia un cipset compatibile
2) Possiamo farla andare in monitor mode e aspettare che il cliet si collega, questa é un opzione ardua perché si può fare solo se si conosce bene il bersaglio, immaginiamo se il nostro bersaglio accende il PC la mattina e lo spegne la sera dovremmo attendere ore prima di catturare un misero handshake e avremo basse probabilità rispetto ad uno che connette e si disconnette continuamente.
Quindi Meditate gente meditate..........



Chiusa parentesi...... Ora che abbiamo catturato l'handshake dobbiamo recuperare la password.
per recuperare questa benedetta password vi spiegherò due metodi:
Nel primo metodo ci serviremo di Aircrack-ng quindi su terminale scriviamo:

aircrack-ng -w [percorso del dizionario] [percorso del file *.cap]

Con il comando citato sopra andremo ad utilizzare il programma aircrack-ng,
aircrack-ng non è un programma compreso nella suite aircrack-ng, la sua funzione e quella di di reuperare la password mediante metodi di cracking.
Analiziamo il comando:

aircrack-ng : avvia il programma aircrack
-w : dopo la 'w' e senza parentesi quadre si inserisce il percorso del dizionario che aircrack utilizzerà, e dopo si lascia uno spazio e si inserisce il percorso del file *.cap, quello che contiene l'handshake.


In parole povere, Vi (Ri)spiegerò alcune cose che vi faranno sicuramente comodo:
-per crakkare il WPA diversamente dal WEP si deve effetuare un attacco a dizionario, quindi se non avete un dizionario procuratelo!.
-Ricordo che avviando airodump-ng il programma crea il file nella cartella home sul desktop
-Da sapere che aircrack-ng funziona in off-line quindi potete catturare l'handshake, e fallo processare da un pc più potente
-Nel comando per avviare aircrack-ng si devono scrivere i percorsi, non scriveteli a mano ma fate così: andate nella cartella selezionate il file e trascinatelo nel terminale, al rilascio vi apparirà un piccolo menù cliccate su 'paste' e avrete il percorso già scritto!



Se il comando e stato correttamente 'assemblato' aircrack-ng aprirà il file è vi darà il seguente output:

Opening wpa-01.cap
Read 1827 packets.
# BSSID ESSID Encryption
1 00:11:5C:7E:40:90 Wireless WPA (1 handshake)

Una volta aperto il file aircrack-ng controllerà se ci sono pacchetti validi e uscirà fuori l'elenco del dei file trovati, in questo caso nel file e presente un pacchetto handshake, in questo esempio invece....


Opening wpa-01.cap
Read 1827 packets.
No valid WPA handshakes found.


Aircrack-ng non trova pacchetti handshake quindi e impossibile proseguire, ed ora una piccola perla se non ricordo male il pacchetto handshake e formato da 4 file due che li manda l'access point e due che li manda il client che si deve associare alla rete, da notare che nel ultima versione di aircrack-ng non necessita avere i 4 file per comporre l'handshake ne sono necessari anche due!!!

quindi nell esempio sopra dove c'e l'handshake valido aircrack-ng vi domaderà quale rete craccare, premete 1 e date invio e aircrack-ng si darà da fare. Il programma proverà tutte le password contenute nel dizionario in maniera sequenziale.
Di seguito la schermata di aircrack-ng quando scova la chiave!

Aircrack-ng 0.9
[00:00:00] 2 keys tested (37.20 k/s)

KEY FOUND! [ 12345678 ]

Master Key : CD 69 0D 11 8E AC AA C5 C5 EC BB 59 85 7D 49 3E
B8 A6 13 C5 4A 72 82 38 ED C3 7E 2C 59 5E AB FD

Transcient Key : 06 F8 BB F3 B1 55 AE EE 1F 66 AE 51 1F F8 12 98
CE 8A 9D A0 FC ED A6 DE 70 84 BA 90 83 7E CD 40
FF 1D 41 E1 65 17 93 0E 64 32 BF 25 50 D5 4A 5E
2B 20 90 8C EA 32 15 A6 26 62 93 27 66 66 E0 71

EAPOL HMAC : 4E 27 D9 5B 00 91 53 57 88 9C 66 C8 B1 29 D1 CB



ed ora alcune informazioni, Se usate la versione sviluppo (beta o alpha) di aircrack-ng e se la password da trovare contiene un carattere speciale o una lettera maiuscola o uno spazio, aircrack-ng versione beta non riuscirà a riconoscerla.
Quindi consiglio di usare sempre l'ultima versione stabile dove aircrack-ng riesce tranquillamente a trovare tutti i
caratteri. Infatti dalla definizione degli standard wpa, la password deve essere di lunghezza minima di 8 e massima 63 caratteri stampabili della tabella ASCII.

Bene! fino a qulche tempo fa questo era l'unico modo per poter recuperare la password, però c'é un inconveniente e se la password non e contenuta nel dizionario che fare?, si pensava che invece di fare un attacco a dizionario si poteva abilitare aircrack-ng a fare un attacco a brute-force cioe un attacco a forza bruta, che in parole povere prova tutte le combinazioni possibili fino a quando non recupera la password, ma invece il tentativo si rivelò vano in quanto il processo risulta lentissimo nel recuperare la password perche se non lo sapete una password di default dei router alice e di 24 caratteri alfanumerici pseudocasuali quindi sfido voi a fare dei semplici calcoli per vedere le combimazioni possibli.
26 caratteri(piccoli) + 10 numeri (0-9)= 36 elevato alla 24esima teoricamente impossibile.

da qualche tempo a questa parte una nota casa che si occupa di soluzioni di recupero password, la elcomSoft, a sfornato un magnifico software in grado di sferrare un attacco a brute-force su l'handshake, sfruttando anche la scheda grafica per velocizzare l'attacco , infatti come ho detto prima, la password deve essere di lunghezza minima di 8 e massima 63 caratteri stampabili della tabella ASCII, e voi ve lo immaginate un povero processore ad affrontare un casino di combinazioni possibili, ci impiegherebbe anni!!!!!!
comunque e un bel programma fa egregiamente il suo lavoro l'interfaccia e un po scarna pero e intuitiva (per questo non sto a spiegare come funziona e procedimenti vari) il programma e in inglese, ah mi dimenticavo non vi ho detto come si chiama: Elcomsoft Wireless Security Auditor il programma e in versione trial e permette se scoperta di vedere parzialmente la password, per chi volesse comprarlo il programma costa 1000$ dollarazzi quindi spetta a voi se comprarlo o crakkarlo!!!!!!!!
Bene !!!! la mia guida finisce qui! ringrazio tutti e tutto, in particolare la mia scheda wireless esterna che mi ha abbandonato nel momento del bisogno||| (per questo non ho piu aggionato questo blog).
Quindi per richieste di aiuto e fesserie varie potete contattarmi via e-mail, ciao e al prossimo post :-))