10 mar. 2012

Wireless de la UPC - Cisco EPC3925

E un fail. O retea criptata cu WPA/WPA2 si un router cu WPS, impreuna cu Reaver nu fac casa buna. Sau fac. Dar doar pentru altii.

Hai sa vedem:

Am o noua retea wireless in apropiere. Se numeste Tina. Singura tipa Tina pe care o stiu, sta la o distanta destul de mare fata de mine. Lucrul asta s-a dovedit si in cazul receptiei proaste a retelei. Initial am plecat cu gandul s-o sparg pe asta, tot prin Reaver. Ma chinuiam de 2-3 zile sa o sparg, dar apare si disapre cand ti-e lumea mai draga. Nu am reusit sa fac prea multe, ca se pierde reteaua.
Am zis ca trebuie sa reusesc ceva cu Reaver. Ar fi fost primul programel cu care nu reusesc sa sparg un wireless si mi-era asa un pic scarba, mai ales ca se tot lauda ca e nou, se bazeaza pe o vulnerabilitate descoperita recent ( decembrie 2011 ).

Asa ca am luat ariodump-ul si am scanat in jur sa vedem ce gasim. Am dat peste o retea numita UPC543008. O stiu de ceva timp, dar nu mi-a atras niciodata atentia cand lucram cu airodump pentru ca pur si simplu nu se conecta nimeni la ea. Nu exista trafic, nu exista clienti, nu exista handshake si nici interceptarea lui.

Si deci i-am dat o sansa lui Reaver. Daca pentru Tina trebuie sa astepti destul de multicel, pentru UPC mi-au trebuit doar 6 secunde.

Pot zice ca am avut totusi bafta. Cine are routerul chiar nu se pricepe DELOC. 
Nu stiu cine este nefericitul, as vrea sa-l sun sa ii spun ca e mai vulnerabil ca un smoc de iarba in mijlocul unui camp plin cu vaci.
Urmatorul lucru pe care l-am facut a fost evident... incercarea de a ma conecta la retea, folosind parola data de Reaver. ( SRROHRAH ) 
Nu prea aveam semnal bun, dar am reusit din a doua incercare sa intru in setarile routerului. Pur si simplu imi era extrem-extrem de usor sa ma fac proprietarul acelui router si sa detin controlul retelei fara ca el sa-si dea seama ce se intampla. Puteam sa schimb tot in router-ul ala, puteam sa-i bag un firmware luat de pe net si sa-l trimit la garantie cu el, instant. Sau sa ii fac hijack, sa lansez un atac man in the middle, sa ii fac reteaua de acasa muci. Sau... flood si sa ii fac netul sa mearga cu viteza melcului.




Hai sa vedem ce a gresit:
 

PIN neschimbat. Lucrul asta a simplificat atacul. Reaver cauta mai intai PIN-uri care sunt default pe anumite modele de routere. Tina si-a schimbat PIN-ul si deci trebuie sa se genereze o lista cu carctere si sa astepti ca PIN-ul generat sa se potriveasca cu cel al router-ului. Prima linie de aparare a cazut.

Ok, am trecut de PIN, m-am bagat in reteaua lui, prima linie a cazut. Pana sa fac ravagii, mai sunt cateva linii de aparare.

Urmatoarea este serverul DHCP. Deci o alta greseala: serverul DHCP. Existenta lui de fapt. Sau inexistenta unui filtru MAC/IP ( putin useless, dar nu neaparat ). 
Asta e de fapt marea problema aici. El reprezinta pana la urma capul rautatilor, daca pot sa zic asa. Daca nu aveam un DHCP care sa ma bage automat in retea, puteam doar sa ghicesc setarile retelei. Deci practic vecinul/routerul ma invita in retea. De ce? Pentru ca am dat parola corecta la wireless, se trimite handshake-ul respectiv, router-ul recunoaste parola si m-a invitat la el in casa.

Daca se opreste serverul DHCP, se da handshake-ul respectiv, dar daca nu ma recunoaste router-ul dupa MAC/IP, (daca nu le am pe alea corecte, gen) nu ma pot conecta. Daca era schimbata subclasa era altceva.
Logic, nu imi era prea complicat sa ghicesc IP-ul, puneam capul la contributie si gaseam eu pana la urma un IP corespunzator daca era ceva ales de "un meserias". Primele IP-uri pe care la gandeam incepeau cu 192, 162, 10. Daca nu reuseam din 10 incercari pentru fiecare IP, renuntam.
A cazut si linia 2, macar ultima sa reziste!

Linia 3, ultima si probabil cea mai importanta.
Pe langa faptul ca a lasat PIN-ul default, lucru clar nerecomandat, vecinul nu a intrat nici in setarile routerului sa modifice parola si userul.
Setarile parolei/utilizatorului pentru router ar fi linia 3. Daca ai trecut si de asta, deja reteaua poate fi compromisa la modul cel mai grav. Felicitari, tocmai ai devenit administratorul retelei respective. :)

Faptul ca s-au pastrat user-ul si parola implicite a fost iarasi o mare gaura de securitate. Daca nu se pastrau, imi era greu, daca nu chiar poate imposibil sa intru in setari. In cel mai rau caz, puteam doar sa vad ceva activitate in retea si nimic mai mult. Bineinteles, daca erau parole transmise necriptat se puteau vedea, etc,etc. Ma rog. Mai rar in zilele noastre. Ai mai multe sanse sa faci rost de o parola daca intrebi pe cineva la betie decat sa vezi un Facebook sau Yahoo spart asa usor, doar prin sniffing. Nu zic ca e imposibil.



Ce am invatat cu totii?

1. WPS-ul e cea mai mare prostie ever. Daca aveti un router prin casa care are pe cutie logoul din dreapta, schimbati la el PIN-ul si opriti functia. In mod clar nu o folositi, asa ca cel mai bine este sa o opriti si sa schimbati PIN-ul inainte. De ce? Pentru ca e mai bine sa il schimbati. Pentru unele routere oprit nu inseamna ca scoate modulul din kernel, doar ca ii da disable. Functia WPS deci se incarca cu PIN-ul ales, dar nu este vizibila tuturor. Reaver o vede. Se foloseste PIN-ul default, se intampla ca mai sus.

2. Sa zicem ca am trecut de PIN/parola de wireless. Mai departe nu pot face nimic daca nu am un server DHCP care sa ma bage automat in retea. Asadar:
-disable DHCP
-filtru MAC
-schimbare sublcasa de IP-uri
Prima si ultima obligatorii, a doua optional pentru ca e useless in unele cazuri. Disable DHCP fara schimbarea subclasei de IP e ca si cum ai manca ceapa cu un carlig pe nas. Nu simti gustul, dar o sa te doara dupa ce dai carligul jos. De ce? Pentru ca eu pot sa ghicesc subclasa. E greu daca avem o subclasa aiurea, simplu daca nu.

3. Ajung pana la urma in retea. Ca sa nu iti fac prostioare pe acolo:
-user/parola la router schimbata, obligatoriu ( sa nu iti fac reteaua inutilizabila tie )
-calculatoare updatate la zi, firewall activat pe ele ( anti prostioare pe/cu PC-ul tau ), atentie cei cu XP SP2 cu firewall-ul si update-urile de securitate dezactivate, dar nu numai! Prietenii stiu de ce. :))

Hai va pupa tata.