warning

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

На­ибо­лее час­то встре­чают­ся сети WPA PSK. Даже если в ком­пании исполь­зуют­ся сети WPA-Enterprise, а все осталь­ное зап­рещено, мы всег­да можем най­ти WPA PSK бла­года­ря тем же бес­про­вод­ным прин­терам и вся­чес­ким несан­кци­они­рован­ным точ­кам дос­тупа, работа­ющим на телефо­нах сот­рудни­ков. И чем боль­ше периметр ком­пании, тем боль­ше таких потен­циаль­ных точек вхо­да мож­но обна­ружить. При ата­ках на точ­ки дос­тупа с WPA PSK обыч­но исполь­зует­ся сле­дующая схе­ма.

Но что делать, если у точ­ки дос­тупа нет кли­ентов? Гру­бо говоря, где‑то у полови­ны обна­ружен­ных бес­про­вод­ных сетей будут отсутс­тво­вать активные кли­енты, а дру­гая полови­на не будет под­верже­на PMKID, и у таких сетей не обна­ружит­ся уяз­вимый к перебо­ру WPS. Выходит, подоб­ные точ­ки дос­тупа устой­чивы к ата­кам, даже если на них исполь­зует­ся пароль 12345678? А что нам меша­ет ата­ковать их?

Онлайновый брутфорс с использованием wpa_supplicant

По­доб­рать пароль к обыч­ной WPA-сети всег­да мож­но прос­тым перебо­ром, аутен­тифици­руясь и спра­шивая каж­дый раз пароль непос­редс­твен­но у точ­ки дос­тупа (этот метод называ­ется онлайн‑брут­форсом).

Ата­ки онлайн‑под­бором пароля к Wi-Fi-сетям край­не ред­ки, и в интерне­те мож­но най­ти не так уж мно­го реали­заций такой ата­ки. Оно и понят­но: ведь ее ско­рость низ­кая в срав­нении с брут­форсом того же WPA Handshake или PMKID. Но имен­но эта ата­ка может быть единс­твен­но воз­можной поч­ти в чет­верти слу­чаев. И пусть ско­рость под­бора будет не так высока, это явно луч­ше, чем сидеть и ждать у моря погоды. Так ли нуж­на нам высокая ско­рость брут­форса, ког­да речь идет о небезо­пас­ных паролях? Мож­но пред­положить, что при­мер­но на каж­дой десятой точ­ке дос­тупа исполь­зован прес­ловутый пароль 12345678. Неуже­ли для ата­ки подоб­ных устрой­ств нужен хен­дшейк?

А что, если мы возь­мем с десяток самых сла­бых паролей? Реали­зовать онлайн‑брут­форс мы можем дос­таточ­но прос­то с помощью скрип­та на Bash, исполь­зуя лишь wpa_supplicant:

Скрипт будет пытать­ся под­клю­чить­ся к точ­ке дос­тупа, исполь­зуя исклю­читель­но легитим­ное ПО. На каж­дой ите­рации, что­бы избе­жать бло­киро­вок, он может менять наш MAC-адрес на ран­домный. Такой скрипт не тре­бует осо­бых режимов бес­про­вод­ной сетевой кар­ты и может быть запущен на любом компь­юте­ре и даже на устрой­стве с Android.

Этот метод не так уж и плох, ведь даже Android по умол­чанию управля­ет бес­про­вод­ными соеди­нени­ями через ста­рый доб­рый wpa_supplicant. Cчи­тает­ся, что онлайн‑брут­форс точек дос­тупа не парал­лелит­ся, а ско­рость под­бора пароля уве­личить невоз­можно. Одна­ко при одновре­мен­ном брут­форсе паролей сра­зу с двух устрой­ств не было замече­но падения ско­рос­ти, сле­дова­тель­но, уве­личе­ние быс­тро­дей­ствия воз­можно.

В скрип­те wpa-brute.sh есть под­дер­жка мно­гопо­точ­ности, реали­зован­ная дос­таточ­но прос­тым и ори­гиналь­ным спо­собом: на одном и том же WLAN-интерфей­се мы можем одновре­мен­но запус­кать сра­зу нес­коль­ко про­цес­сов wpa_supplicant. Пока один ждет отве­та от точ­ки дос­тупа, дру­гой wpa_supplicant может отправ­лять пакеты аутен­тифика­ции со сле­дующим паролем. Зна­чит, ско­рость брут­форса все же может быть уве­личе­на, прав­да, в разум­ных пре­делах и не на всех точ­ках дос­тупа в рав­ной сте­пени.

До­бавив обер­тку вок­руг скрип­та wpa-brute.sh, мы можем реали­зовать брут­форс в ширину:

Cкрипт на каж­дой ите­рации будет ска­ниро­вать эфир, про­верять наличие бес­про­вод­ных сетей, сор­тировать их по уров­ню сиг­нала и пытать­ся подоб­рать толь­ко один или нес­коль­ко ука­зан­ных паролей.

Брут­форс в ширину может быть очень полезен, ког­да ата­куемый объ­ект име­ет про­тяжен­ный периметр с кучей раз­нооб­разных Wi-Fi-сетей, мно­гие из которых — это несан­кци­они­рован­ные сети, раз­дава­емые поль­зовате­лями, не силь­но заботя­щими­ся о защищен­ности. Дру­гой хороший при­мер сла­бо защищен­ных устрой­ств, которые обя­затель­но сто­ит искать подоб­ным методом, — это прин­теры. И то и дру­гое может стать отличной точ­кой вхо­да во внут­реннюю сеть ком­пании.

Ис­поль­зовать брут­форс в ширину мож­но и без цели про­ник­новения, нап­ример что­бы орга­низо­вать ано­ним­ный выход в интернет через чужой канал.

Онлайновый брутфорс с использованием scapy

Теги: CSS