Segurança sem fio

Coluna do Kurt
COLUNA
Segurança
sem fio
Como encontrar, mapear, invadir e se passar por uma rede sem fio.
T
alvez eu esteja entre os últimos a ainda se conectar à Internet por uma rede com fios em vez de
partir para o mundo do wi-fi como meus pais,
meus amigos etc. Parece que todos estão usando laptops e pontos de acesso de R$ 100, o que, para muitas
pessoas, é mais fácil e mais barato do que montar uma
rede Ethernet. Mas, depois de ler esta coluna, você
provavelmente vai querer manter sua rede com fio.
Procura de redes sem fio
Para ver o que me preocupa, o primeiro passo é achar
algumas redes sem fio. Uma das melhores ferramentas
para isso é o Kismet, já presente na maioria das distribuições. Muitas delas vêm com uma versão antiga (2008),
portanto, para começar, baixe a nova versão do Kismet
[1], descompacte-o, execute o script de configuração e
instale-o. Note que o Kismet precisa ser executado pelo
root, pois se comunica diretamente com o hardware.
Outra possibilidade é ativar o suid ao executável e adicionar usuários ao grupo kismet. Note que, se for usada
essa técnica, qualquer usuário do grupo kismet terá acesso às suas interfaces de rede. Portanto, tome cuidado.
cd /directory/kismet-source/
./config
make
make dep
make install
O Kismet possui três componentes principais: o drone, o servidor e o cliente. O drone captura o tráfego da
rede e o envia ao servidor (que pode estar rodando no
mesmo sistema ou remotamente). O servidor coleta
e compara os dados e o cliente se conecta ao servidor
para retornar os dados em uma interface de texto em
tempo real. Isso permite analisar múltiplos sistemas,
incluindo pontos de acesso com firmware embutido
18
(como o WRT54G) e enviar todos os resultados para
um único servidor.
Para rodar o Kismet, basta executar o comando kismet_client, que oferece a opção de iniciar o servidor e
colher dados. Isso, por sua vez, gera vários arquivos,
incluindo dados de GPS (mapeamento de redes com
localização física, caso você tenha um GPS no sistema),
dados de rede (uma lista de redes e clientes encontrados,
o canal usado e todos os detalhes de configuração que
você puder imaginar) e um arquivo PCAP de captura
de rede. Uma coisa que você vai perceber é que, se rodar o Kismet com apenas uma fonte de captura (isto
é, uma única interface wi-fi), ele terá que ir de canal
em canal para verificar todos os 11 canais (ou 12 ou 13,
dependendo do seu país). Mesmo detectando todas as
redes disponíveis, isso vai acabar gerando arquivos de
captura fragmentados, pois o programa captura um
pouco de tráfego de uma rede, um pouco de outra...
Felizmente, a solução é simples: compre alguns adaptadores wi-fi (os USB funcionam muito bem) e adicione
mais interfaces de captura. O ideal parece ser quatro
deles (figura 1). Assim, você pode dedicar um ponto a
cada canal principal (1, 6 e 11) e deixar o último para
passar pelos canais que sobraram, garantindo a localização de todas as redes e maximizando a quantidade
de dados a ser capturada [2]. A configuração é simples.
Basta incluir as seguintes linhas no arquivo kismet.conf:
channellist=hoplist:2,3,4,5,7,8,9,10
ncsource=wlan0:hop=false,channel=1
ncsource=wlan1:hop=false,channel=6
ncsource=wlan2:hop=false,channel=11
ncsource=wlan3:hop=true,flfl
channellist=hoplist
Fui a um café local com o Kismet e em poucos minutos descobri mais de 40 redes. Numa segunda ten-
http://www.linuxmagazine.com.br
SEÇÃO | Matéria
na sua interface wi-fi para que os clientes obtenham
informações de configuração da rede. Depois, execute
o Metasploit com os módulos de servidor – para executar ataques tipo man-in-the-middle – e também com
os módulos de navegador (chamados autopwn, ataque
automático) – para injetar conteúdo hostil em páginas
web (confira a documentação do Karmetasploit [5])
– ou monte um proxy web transparente e divirta-se .
Como se proteger
Figura 1Cliente Kismet com quatro fontes de captura.
tativa, em outro café (na mesma rua, mas no segundo
andar, com uma linha de visão mais direta para os
outros prédios), detectei mais de 70 redes. Em média,
metade delas não era criptografada. Várias eram pontos
que cobravam acesso e algumas poucas tinham apenas
um cliente, provavelmente uma rede doméstica. O que
achei interessante foi a possibilidade de capturar os endereços MAC de clientes de redes pagas, muitos dos
quais usam filtro MAC após a autenticação. Portanto,
se você souber de qual endereço MAC se apropriar,
conseguirá acesso gratuito.
Atravessando a criptografia
O melhor aspecto de quebrar a criptografia é saber que,
na maioria dos casos, isso não é necessário. Quando
você precisar de acesso a uma rede criptografada, no
entanto, saiba que os padrões WEP e WPA são bem
fracos. Muitas distribuições vêm com o Aircrack-ng [3],
um programa para quebrar chaves WEP e WPA. Para
usá-lo, basta executar o programa airoscript, que oferece uma interface de texto. Se estiver com preguiça,
escolha a opção auto, que irá varrer, selecionar e atacar
uma rede de forma autônoma.
Ataque a clientes
As pessoas tendem a se concentrar na proteção de sua
infraestrutura wi-fi (criptografia, controle de acesso etc.),
mas se esquecem dos clientes. Se você tem uma rede wi-fi
ao alcance, pode fingir ser um ponto de acesso legítimo e
convencer os clientes a se conectar a você. Depois, pode
se conectar ao ponto de acesso legítimo para repassar e
modificar seu tráfego dinamicamente. Este tipo de ataque
é conhecido como “falso ponto de acesso”. O programa
para isso é o Karmetasploit (antigamente apenas Karma,
mas agora unido ao Metasploit). As instruções para baixar
e instalar o Metasploit estão em outro artigo [4].
Depois de instalar o Metasploit e o Aircrack-ng,
basta executar airbase-ng e iniciar um servidor DHCP
20
Mesmo os usuários mais cautelosos não têm como se
certificar de que estão seguros. Muitas redes wi-fi com
acesso pago não usam criptografia, pois teriam que fornecer a chave de acesso para cada usuário. Quem quisesse atacar a rede conseguiria facilmente uma cópia
da chave para descriptografar o tráfego. Mesmo que o
provedor tenha um gateway de pagamento protegido
por SSL, não há como evitar que alguém tenha acesso
ao seu tráfego ou obtenha sua senha, por exemplo. A
criptografia de todo o tráfego da rede seria uma proteção, como eu já expliquei no artigo “Túneis secretos”
[6]. Se você não dispõe de um servidor VPN para criptografar seu tráfego, tente o serviço VPN do IPREDator
[7]. Ele permite uma conexão VPN com criptografia
PPTP por apenas 5 € por mês, tunelando todo o tráfego
para a Suécia, onde fortes leis de privacidade impedem
o acesso a ele. n
Mais informações
[1] Kismet: http:/ www.kismetwireless.net
[2] Lista de canais WLAN na Wikipédia
(em inglês): http://en.wikipedia.org/
wiki/List_of_WLAN_channels
[3] Aircrack-ng: http:// www.aircrack‑ng.org/
[4] Kurt Seifried, “Explorar vulnerabilidades
é fácil com o Metasploit”: http://
lnm.com.br/article/2472
[5] KARMA + Metasploit 3 = Karmetasploit: http://
trac.metasploit.com/wiki/Karmetasploit
[6] Kurt Seifried, “Túneis secretos”: http://
lnm.com.br/article/2885
[7] IPREDator: https://www.ipredator.se/
Kurt Seifried é consultor de segurança da informação especializado
em redes e Linux desde 1996. Ele frequentemente se pergunta como
a tecnologia funciona em grande escala mas costuma falhar em
pequena escala.
http://www.linuxmagazine.com.br