2. TEST PENETRACYJNY SIECI WIFI
2.8 T ESTOWANIE ZABEZPIECZEŃ Z SZYFROWANIEM WEP I WPA/WPA2
Protokół WEP, pomimo stwierdzonych podatności na ataki kryptograficzne, wciąż jest wykorzystywany w sieciach bezprzewodowych, przez co stanowi - wobec alternatywnych protokołów WPA i WPA2 - najsłabszy algorytm (RC4) umożliwiający szyfrowanie przesyłanych danych.
Test złamania szyfrowania WEP rozpoczęto od zmiany ustawień interfejsu punktu dostępowego i wybrania właściwej metody szyfrowania, 128-bitowej długości klucza w formacie ASCII: ask13ask13ask.
Na platformie testującej uruchomiono interfejs sieciowy wlan1, po czym przełączono go w tryb monitora: airmon-ng start wlan1. Po zlokalizowaniu Access Point'a komendą airodump-ng wlan1mon uzyskano listę punktów dostępowych, w tym właściwy dla sieci ASK13_Lab, działający na kanale 6 (il.33).
Zastosowano polecenia konsolowe umożliwiające zapis przechwytywanych pakietów w pliku o nazwie ask_crack oraz wyświetlenie pakietów z sieci ASK13_Lab
airodump-ng --bssid C0:4A:00:77:F8:70 --channel 6 --write ask_crack wlan1mon W kolejnym terminalu poleceniem
aireplay-ng -3 -b C0:4A:00:77:F8:70 -h 90:xx:xx:xx:xx:xx wlan1mon
gdzie 90:xx:xx:xx:xx:xx oznacza adres MAC karty WiFi testowanego netbooka (il.34), zainicjowano przechwytywanie i ponowne wstrzykiwanie pakietów ARP (il.35).
Ilustracja 33
W trzecim terminalu uruchomiono narzędzie aircrack-ng Ilustracja 34
Ilustracja 35
gdzie ask_crack-02.cap jest plikiem stworzonym przez airodump-ng, zawierającym pakiety przechwycone z sieci ASK13_Lab. Tym samym rozpoczął się proces łamania hasła; po upływie około 90 minut aircrack-ng wyświetił klucz WEP (il.36).
W przypadku szyfrowania WPA, w którym zastosowano algorytm szyfrujacy TKIP, czy szyfrowania WPA2 (silniejszy algorytm AES-CCMP), niebezpieczeństwo związane jest z podatnością na atak słownikowy przeprowadzony po uprzednim przechwyceniu pakietów na linii klient - Access Point. Pakiety pozyskane w trakcie skanowania negocjacji uwierzytelniania, prowadzonej w przypadku sieci domowej za pośrednictwem protokołu PSK, kiedy to w oparciu o pięć parametrów oraz klucz Pre-Shared Key zostaje wygenerowany klucz sesji Pairwise Transient Key, stanowią podstawę dictionary attack.
W celu przeprowadzenia testu zostały zmienione ustawienia w panelu zarządzania punktem dostępowym, w którym dla szyfrowania typu WPA-PSK ustawiono jedno z najpopularniejszych słabych haseł: administrator. Rozpoczęto przechwytywanie pakietów wprowadzając polecenie
airodump-ng --bssid C0:4A:00:77:F8:70 --channel 9 --write wpapasswd wlan1mon W efekcie, po zeskanowaniu czteroetapowej negocjacji towarzyszącej uwierzytelnianiu się klienta, otrzymano plik wpapasswd-01.cap zawierający właściwe pakiety.
W katalogu /usr/share/sqlmap/txt/wordlist zlokalizowano i rozpakowano archiwum .zip zawierające plik słownika haseł, który został wykorzystany wraz z narzędziem aircrack-ng Ilustracja 36
aircrack-ng wpapasswd-01.cap -w /usr/share/sqlmap/txt/wordlist/wordlist.txt
Po około 15 minutach hasło zostało złamane (il.39).
Ilustracja 37
Ilustracja 38
Na zakończenie odszyfrowano przejęte pakiety WPA z wykorzystaniem uzyskanego klucza.
Ilustracja 39
Podsumowanie
Celem niniejszego opracowania było przeprowadzenie testu penetracyjnego modelowej sieci bezprzewodowej. Wybór ten był podyktowany nie tylko argumentami natury prawnej, formalnie uniemożliwiającymi test dowolnej sieci w otoczeniu, zwłaszcza organizacyjnej, bez narażenia się na ewentualne konsekwencje. Zastosowanie laboratoryjnej sieci domowej wzorowanej na rzeczywistej, opartej najczęściej na najtańszym routerze, już na wstępie posiada pewne implikacje wynikające z jej cech, a związane między innymi z faktem słabych zabezpieczeń lub ich całkowitego braku, łączenia wielu pobieżnie skonfigurowanych urządzeń (smartTV, konsole do gier, tablety, smartfony itp.), nieobecności IDS czy IPS i niejednokrotnie firewall'a, a także ujawniania przez domowników detali konfiguracyjnych w rozmowach prywatnych i ich podatności na socjotechnikę. Nie istnieje profesjonalny nadzór nad siecią tego typu, ewentualnie sprawuje go mniej lub bardziej kompetentny właściciel lub jego znajomy, przy równoczesnej niskiej świadomości zagrożeń. Potencjalny atakujący nie jest tak widoczny, jak w otoczeniu organizacji czy instytucji, niejednokrotnie zajmuje lokal w tym samym bloku lub budynek w sąsiedztwie. Jako taka, sieć domowa idealnie nadaje się do wstępnych testów podatności.
W charakterze platformy testującej wykorzystano komputer Raspberry Pi 3 Model B. Jego zaletą okazały się być między innymi takie cechy, jak: stosunkowo wysokie (w odniesieniu do zastosowanej architektury i ceny) parametry techniczne, niewielkie rozmiary, możliwość wykorzystania kilkucalowych wyświetlaczy LCD lub OLED, niewielki pobór energii elektrycznej dzięki niskoprądowej płycie głównej, pozwalającej na zastosowanie zewnętrznego źródła energii w postaci powerbanku i/lub ogniwa fotowoltaicznego oraz doskonała współpraca z systemem operacyjnym Kali Linux. Wszystkie one sprawiają, że Raspberry Pi 3B może być z powodzeniem używany w charakterze mobilnej platformy do pentestingu, tym bardziej że w miejscach publicznych nie przykuwa uwagi, jak typowy laptop czy netbook. Zastosowany powerbank umożliwia około 6h pracy platformy sprzętowej z aktywną kartą WiFi i klawiaturą bezprzewodową. Małe gabaryty platformy pozwalają na jej ukrycie i zebranie danych do późniejszej analizy, tym bardziej że ostatecznie nie są potrzebne ani klawiatura fizyczna ani mysz, zastąpione przez klawiaturę wirtualną Florence i funkcję touchscreen, co pozwala uczynić zestaw jeszce bardziej minimalistycznym, ale kosztem wyraźnie mniejszego komfortu użykowania.
Do ograniczeń powyższego rozwiązania należy zaliczyć stosunkowo mały ekran TFT (pomimo jego dobrej rozdzielczości), z czego wynika pewna dysfunkcjonalność trybu graficznego, utrudniająca działania poza trybem konsoli - ponadwymiarowe okna aplikacji utrudniają korzystanie z programów o złożonym interfejsie użytkownika, vide powyższe printscreen'y programu Wireshark. Dopasowanie rozmiaru okna aplikacji do rodzielczości ekranu jest teoretycznie możliwe, jednak wiąże się potencjalnie z bardzo ograniczoną czytelnością;
konfiguracyjny jest wykorzystanie kombinacji: Ctrl + LMB i przesuwanie go w obrębie pulpitu, co sprawdza się jedynie doraźnie i jest dość niewygodne. Ponadto w przypadku zastosowań profesjonalnych dochodzi konieczność zastosowania komponentów lepszej jakości (np.
wodoodpornej obudowy) i kwestia optymalnego rozwiązania kwestii transportu całego zestawu (chociaż mieści się on z powodzeniem w kieszeniach kurtki lub bluzy).
Wyniki zgromadzone w oparciu o element audytu bezpieczeństwa sieci komputerowej w postaci testu penetracyjnego WiFi, stanowią czynnik pozwalający na wstępną ocenę przydatności platformy Raspberry Pi 3B ze zintegrowanym ekranem TFT do prowadzenia operacji tego typu. W oparciu o powyższe doświadczenia laboratoryjne można stwierdzić, że jest ona pozytywna, co sugeruje ewentualne wykorzystanie Raspberry Pi 3B i systemu Kali Linux w bardziej skomplikowanych, zaawansowanych pentestach sieci LAN i WLAN (ataki na klienta sieci, przechwytywanie sesji, ujawnianie profili zabezpieczeń klientów, ataki na protokół PEAP i szyfrowanie WPS) oraz WAN i Internet (ataki na metody uwierzytelniania, aplikacje internetowe i serwery WWW). Raspberry Pi 3B umożliwia także łamanie haseł - aby określić jego skuteczność w przypadku bardziej złożonych fraz konieczne są dalsze testy: w tym przypadku na spowolnienie całego procesu ma wpływ zastosowany procesor i ograniczona ilość pamięci RAM (1GB).
Niewielkie rozmiary i autonomiczność platformy testującej implikują jej mobilność, przez co umożliwiają nietypowe zastosowania, na przykład zautomatyzowanie pentestu wyłączające konieczność nadzoru nad urządzeniem lub prowadzenie go poprzez zdalne połączenie z platformą RPi 3B umieszczoną chociażby na dronie, co pozwala na skuteczne obejście naziemnych, fizycznych zabezpieczeń audytowanego przedsiębiorstwa lub organizacji (Whitedome.com.au 2017).
Testy, przeprowadzone z wykorzystaniem wybranych wektorów ataku, pozwoliły określić typowe podatności sieci domowej, stanowiąc jednocześnie sugestię co do sposobów ich ograniczenia. Wnioski potwierdzają panującą opinię, że "absolutnie krytycznym czynnikiem staje się uwzględnianie zagadnień związanych z zabezpieczaniem systemu już na wczesnym etapie projektowania całego środowiska i konsekwentne poświęcanie im odpowiedniej uwagi" (Muniz, Lakhani 2014: 271). Pozwoli to nie tylko na wdrożenie adekwatnych elementów bezpieczeństwa IT (polityka zarządzania hasłami, weryfikacja bezpieczeństwa sesji HTTP, szyfrowane połączenie VPN, użycie protokołu MACsec, instalacja dodatków w przeglądarce, usługi typu Unicast RPF czy NetFlow itp.), ale także na zredukowanie do realnego minimum wysokich kosztów (w tym finansowych) potencjalnej ingerencji w użytkowany system informatyczny. Dodatkową opcją oferowaną przez system Kali Linux jest możliwość wykorzystania narzędzi realizujących zadania z zakresu informatyki śledczej (tryb Forensics Mode), pozwalających na określenie źródła i charakterystyki ataku już po wykryciu danego incydentu.
Przedstawiony selektywny pentest laboratoryjnej sieci bezprzewodowej przeprowadzony z wykorzystaniem Raspberry Pi 3B może znaleźć zastosowanie w odniesieniu do rzeczywistej sieci
domowej, pozwalając użytkownikowi na samodzielne określenie stopnia jej podatności na penetrację z zewnątrz (zwłaszcza jeśli zostanie uzupełniony o kolejne wektory ataku z użyciem pozostałych narzędzi dostępnych w systemie Kali Linux), a tym samym na podniesienie poziomu jej zabezpieczeń.
Podsumowując, Raspberry Pi 3B w kontekście testów penetracyjnych stanowi interesujące rozwiązanie. W porównaniu z poprzednią wersją komputera dokonano dość istotnych zmian. Raspberry Pi pierwszej generacji (Model A i B) dysponował procesorem ARM1176JZF-S taktowanym zegarem 700MHz - został on wprowadzony na rynek w 2003 roku.
Różnice między wersjami A i B polegały na różnej ilości zastosowanej pamięci RAM (odpowiednio 256 i 512 MB), model B posiadał dwa porty USB, zaś model A jeden; ponadto tylko model B był wyposażony w zintegrowaną bezprzewodowa kartę sieciową i gniazdo Ethernet; różne były też wartości prądu zasilania: 500 mA 2,5 W w modelu A i 700 mA i 3,5 W w modelu B. Model A został zastąpiony w listopadzie 2014 roku przez Model A+ (40-pinowy GPIO, układ audio lepszej jakości, slot microSD w miejsce SD, usunięto gniazdo RCA Video, zmodyfikowano układ gniazd przenosząc je spoza obrysu płyty głównej w jej strefę, zastosowano mniejszy pobór energii 0,5-1 W i zasilacz impulsowy). Podobnie, w lipcu 2014 roku Raspberry Pi 1 Model B zastąpiono przez B+ (zmiany jak w A+ i dodatkowe dwa porty USB).
W lutym 2015 roku druga generacja, Raspberry Pi 2 Model B, otrzymała nowy czterordzeniowy procesor ARM Cortex-A7 taktowany zegarem 900 MHz oraz 1 GB pamięci RAM.
Rok później pojawiła się trzecia generacja, Raspberry Pi 3 Model B. Przede wszystkim zastosowano tu nowy czterordzeniowy 64-bitowy procesor ARM Cortex-A53 taktowany 1,2 GHz, zmodyfikowano gniazdo Ethernet, dodano moduł Bluetooth oraz porty CSI i DSI, podniesiono zasilanie microUSB do 2,5 A.
Można zatem oczekiwać, że architektura sprzętowa następnej generacji wpłynie pozytywnie na szybkość realizacji procedur testowych, pozwoli wykorzystać moc obliczeniową kolejnego modelu procesora i większe zasoby pamięci RAM, a być może pojawi się upgrade karty WiFi do standardu 802.11ac.
Literatura
Infoopieka.pl (2017), Czym jest audyt, online: http://infoopieka.pl/audyty-bezpieczenstwa/
[dostęp: 02.10.2017].
Itauditor.pl (2017), Testy penetracyjne pentesty sieci i serwerów, online: http://www.
itauditor.pl/testy-penetracyjne-pentesty-sieci-i-serwerow [dostęp: 02.10.2017].
Kennedy David, O'Gorman Jim, Kearns Devon, Aharoni Mati (2013), Metasploit. Przewodnik po testach penetracyjnych, przekł. Lech Lachowski, Gliwice: Helion.
Molski Marian, Łacheta Małgorzata (2007), Przewodnik audytora systemów informatycznych, Gliwice: Helion.
Muniz Joseph, Lakhani Aamir (2014), Kali Linux. Testy penetracyjne, przekł. Grzegorz Kowalczyk, Gliwice: Helion.
Offensive-security.com (2017), Kali Linux ARM Images, online: https://www.offensive-security.com/kali-linux-arm-images/ [dostęp: 02.10.2017].
Pipkin Donald L. (2002), Bezpieczeństwo informacji. Ochrona globalnego przedsiębiorstwa, przekł. Elzbieta Andrukiewicz, Warszawa: WNT.
Ramachandran Vivek, Buchanan Cameron (2016), Kali Linux. Audyt bezpieczeństwa sieci WiFi dla każdego, przekł. Grzegorz Kowalczyk, Gliwice: Helion.
Raspberrypi.stackexchange.com (2017), Does the BCM43438 WiFi chip in Raspberry Pi 3 support “monitor” mode, online: https://raspberrypi.stackexchange.com/questions/
43425/does-the-bcm43438-wifi-chip-in-raspberry-pi-3-support-monitor-mode [dostęp: 02.10.2017].
Whitedome.com.au (2017), Sticky Fingers Kali-Pi, online: https://whitedome.com.au/re4son/
sticky-fingers-kali-pi/ [dostęp: 02.10.2017].
Aneks 1
Specyfikacja sprzętowa
Komputer Raspberry Pi 3 Model B4
Quad Core 1.2GHz Broadcom BCM2837 64bit CPU 1GB RAM
BCM43438 wireless LAN and Bluetooth Low Energy (BLE) on board 40-pin extended GPIO
4 USB 2 ports
4 Pole stereo output and composite video port Full size HDMI
CSI camera port for connecting a Raspberry Pi camera
DSI display port for connecting a Raspberry Pi touchscreen display Micro SD port for loading your operating system and storing data Upgraded switched Micro USB power source up to 2.5A
ARM GNU/Linux and Windows 10 compatibility Dimensions: 85*56*17 mm
LCD Waveshare RPi LCD (A)5
LCD Type TFT
1, 17 3.3V Power positive (3.3V power input)
2, 4 5V Power positive (5V power input)
3, 5, 7, 8, 10, 12, 13,
15, 16 NC NC
6, 9, 14, 20, 25 GND Ground
11 TP_IRQ Touch Panel interrupt, low level while the Touch Panel detects touching
18 LCD_RS Instruction/Data Register selection 19 LCD_SI / TP_SI SPI data input of LCD/Touch Panel
21 TP_SO SPI data output of Touch Panel
22 RST Reset
23 LCD_SCK / TP_SCK SPI clock of LCD/Touch Panel
24 LCD_CS LCD chip selection, low active
26 TP_CS Touch Panel chip selection, low active
Klawiatura bezprzewodowa Xenic SK-095AG6
Karta sieciowa WiFi TP-LINK TL-WN721N7
Porty USB 2.0
Standardy bezprzewodowe IEEE 802.11n, IEEE 802.11g, IEEE 802.11b Częstotliwość pracy 2,400-2,4835GHz
Prędkość transmisji
11n: do 150Mb/s (dynamicznie)
11g: do 54Mb/s (dynamicznie)
11b: do 11Mb/s (dynamicznie)
Czułość odbiornika 130M: -68dBm@10% PER
108M: -68dBm@10% PER
54M: -68dBm@10% PER
6 Źródło: http://xenic.pl/pl/produkty/klawiatury-smart-tv-konsola/klawiatura-sk095ag [02.10.2017].
7 Źródło: http://www.tp-link.com.pl/products/details/TL-WN721N.html#specifications [02.10.2017].
WŁAŚCIWOŚCI TRANSMISJI BEZPRZEWODOWEJ
11M: -85dBm@8% PER
6M: -88dBm@10% PER
1M: -90dBm@8% PER
EIRP <20dBm(EIRP)
Tryby pracy bezprzewodowej Ad-Hoc / Infrastruktury Bezpieczeństwo transmisji
bezprzewodowej 64/128 bitowe szyfrowanie WEP, WPA-PSK / WPA2-PSK Modulacja DBPSK, DQPSK, CCK, OFDM, 16-QAM, 64-QAM
INNE Certyfikaty CE, FCC, RoHS
Zawartość opakowania 7(32/64bit.), Windows Vista(32/64bit.), Windows XP(32/64bit.), Windows 2000
Środowisko pracy
Dopuszczalna temperatura pracy: 0℃~40℃ (32 ~104 )℉ ℉ Dopuszczalna temperatura przechowywania: -40℃~70℃ (-40 ~158 )℉ ℉
Features Raspberry Pi 3 compatibility
Cable length 1.5 m
Height 35.1 mm
Length 73.7 mm
Used at Mains socket
No. of outputs 1 x
Input voltage 115 Vac, 230 Vac
Max. output current per channel 2500 mA USB charger
Power 13 W
Colour Black
Outputs Micro USB
Max. output current 2500 mA
Width 45.1 mm
Powerbank Aukey PB-T69 Pojemność: 6000mAh Input: DC 5V/2A
1 x Output (USB A AiPower i Qualcomm Quick Charge 2.0): DC 5V/2.4A, 9V/1.67A, 12V/1.25A (max)
Wymiary: 16*8.1*1.75 cm Waga: 200 g
Router bezprzewodowy TP-LINK TL-WR841N10
Porty 4 porty 10/100Mb/s LAN 1 port 10/100Mb/s WAN
Przyciski
Wyłącznik
Wyłącznik sieci bezprzewodowej Przycisk WPS/RESET
Antena 2*5dBi Fixed Omni Directional Antenna Zasilanie 9VDC / 0,6A
Standardy bezprzewodowe IEEE 802.11n, IEEE 802.11g, IEEE 802.11b Wymiary (S x G x W) 192 x 130 x 33 mm (7,6 x 5,1 x 1,3 cala)
Czułość odbiornika 270M: -68dBm@10% PER
130M: -68dBm@10% PER
9 Źródło: https://www.aukey.pl/product-page/aukey-pb-t6-power-bank-6000mah-quick-charge-2-0 [02.10.2017].
10 Źródło: http://www.tp-link.com.pl/products/details/TL-WR841N.html#specifications [02.10.2017].
WŁAŚCIWOŚCI TRANSMISJI BEZPRZEWODOWEJ
Funkcje transmisji bezprzewodowej Włączanie/wyłączanie transmisji bezprzewodowej, most WDS, WMM, statystyki transmisji bezprzewodowej
Bezpieczeństwo transmisji bezprzewodowej
64/128/152 bitowe szyfrowanie WEP, WPA/WPA2, WPA-PSK/WPA2-PSK
FUNKCJE OPROGRAMOWANIA Funkcja Quality of Service WMM, Kontrola przepustowości
Sieć WAN Dynamic IP/Static IP/PPPoE/
PPTP/L2TP/BigPond
Przekierowanie portów Serwery wirtualne, Port Triggering, UPnP, DMZ Dynamiczny DNS DynDns, Comexe, NO-IP
VPN Pass-Through PPTP, L2TP, IPSec (ESP Head)
Kontrola dostępu Wiązanie adresów IP i MAC
Protokoły Support IPv4 and IPv6 Funkcja Guest Network 2.4GHz Guest Network x1
INNE Certyfikaty CE, FCC, RoHS
Zawartość opakowania
Bezprzewodowy router TL-WR841N, standard N Zasilacz
Kabel Ethernet (RJ-45) Instrukcja szybkiej instalacji
Wymagania systemowe Microsoft® Windows® 98SE, NT, 2000, XP, Vista™ lub Windows 7, MAC® OS, NetWare®, UNIX® lub Linux.
Środowisko pracy
Dopuszczalna temperatura pracy: 0℃~40℃ (32 ~104 )℉ ℉ Dopuszczalna temperatura przechowywania: -40℃~70℃ (-40 ~158 )℉ ℉
Dopuszczalna wilgotność powietrza: 10%~90%