Die Geschichte mit dem WLAN

Irgendwie hat mich das Thema WLAN schon immer fasziniert. Du hast da irgendwo einen Access Point rumstehen und in einem gewissen Umkreis kann sich jedes Gerät einwählen, egal ob es sich bewegt, ob es eine bestimmt Richtung hat, ob was dazwischen ist oder sonstwas. Für jemanden wie mich, der noch die Wireless-Adapter am Game Boy Advance miterlebt und Dateien noch per IRDA von Handy zu Handy geschickt hat, ist das schon was tolles.

Außerdem liebe ich die Mobilität: Ich nehme meinen Laptop und habe im Empfangsbereich überall Internet. Sowohl bei mir zu Hause, als auf Arbeit – egal wo du bist, du hängst immer im Netzwerk drin. Absoluter Wahnsinn!

Eine weitere Faszination hegt das Thema Sicherheit in sich. Lerne, wie du Systeme knacken kannst, damit du deins mit dem Wissen absichern kannst. Was liegt also näher, als sich mal mit dem Thema WLAN-Sicherheit zu beschäftigen?

Ich will euch jetzt nicht mit meiner Lebensgeschichte langweilen, aber ich habe schon relativ früh mich mit aircrack auseinander gesetzt. Das war damals so ziemlich das erste, was ich mit meinem allerersten, eigenen Laptop gemacht habe. Wie alt war ich da, 14? 15? Naja, typisch Scriptkiddie halt hat das selbstverständlich nicht funktioniert, hat mich dann aber auch nicht weiter gekümmert.
Ein bisschen später kam eine Version für meine geliebte PSP heraus (läuft btw heute noch!), die hat aber auch irgendwie nie funktioniert.

Ende des vergangenen Jahres hat mich der Basti SK mal wieder auf das Thema angesprochen und mir gleich ne Empfehlung zu einer USB-WLAN-Karte gegeben, die auch Plug&Play unter Debian laufen soll.
Naja, die 10 Euro kannste ja mal investieren.

Und so kam der Stein in rollen: Die Karte funktionierte einwandfrei und ich habe zum allerersten Mal in meinem Leben aircrack zum Laufen gebracht, wuhu! ^^
Da man damit sehr gut seinen eigenen Router auf Sicherheit testen kann ( 😉 ) habe ich das mal probiert. Im Test: ein WPA2-Netzwerk. Bringen wir aircrack zunächst einmal dazu, unsere WLAN-Karte in den Monitor-Modus zu versetzen:


airmon-ng stop wlan0
ifconfig wlan0 down
airmon-ng start wlan0

wlan0 steht dabei für unsere Karte.
Als nächstes schauen wir, welche Netzwerke sich im Empfangsbereich befinden:

airodump-ng wlan0

Von unserem Target kopieren wir uns nun die BSSID und den Channel und übergeben diese Werte an airodump:

airodump-ng -c [CHANNEL] -w wpa_cap --bssid [BSSID] wlan0 --ig

Nun müssen wir warten, bis der Handshake gesendet wird. Das passiert immer genau dann, wenn sich ein Netzwerkend- oder -kopplungsgerät im Netzwerk authentisiert. Also entweder warten, bis jemand seinen Rechner anmacht, oder einfach mal versuchen, ein Abmelden am Router zu erzwingen:

aireplay-ng -0 20 -a [BSID] wlan0 --ig

Erfahrungsgemäß führt das aber nur zu wenig Erfolg.

Erscheint oben mittig im Terminal die Meldung, dass der Handshake mitgeschnitten wurde, so können wir uns vom Netzwerk wieder trennen. In der enthaltenen *.cap-Datei stehen alle Informationen drin, die wir brauchen.
Wir können zwar nicht direkt das Passwort knacken, aber wir können über eine Wordlist-Attack das Passwort generieren. Das kann man online für ein paar Euro machen lassen, bis zu einer Länge von 7 Zeichen sollte das aber auf unserem Heimrechner möglich sein. Alles, was ihr braucht, ist eine Wordlist mir allen möglichen Einträgen. Ein Tool dazu habe ich in meinem Coding-Blog veröffentlicht: http://coding.kill0rz.com/?beitrid=170
Wenn ihr euch jetzt Hoffnungen macht, alle möglichen Passwörter in eine Wordlist zu packen, muss ich euch leider enttäuschen. Alle möglichen Passwortkombinationen bis zu einer Länge von 20 Zeichen wären rund 1×1038TB – passt nicht auf meinen Laptop 😉 Funfact der Heuristik: Alle Passwortkombinationen bis zu einer Länge von 19 Zeichen aufsummiert wären gerade mal ein hundertstel dieser Größe.
Egal, schauen wir uns zunächst die Vorgehensweise an:

aircrack-ng handshakefile.cap -w wordlist.txt

Mein Laptop schafft in etwa 5,5 Millionen Passwörter pro Stunde. Ich habe zwar keine Vergleichswerte, aber ich denke, dass das recht wenig ist.
Wir können uns das aber live in der Konsole generieren lassen, dazu nutzen wir ein nettes Tool, crunch, und die good old Pipe:

crunch 0 25 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789 | aircrack-ng --bssid [BSSID] -w- handshakefile.cap

Wie ihr seht, werden alle Längen zw. 0 und 25 Zeichen generiert, allerdings sind hier noch keine Sonderzeichen dabei.
Die ganze Wordlist-Generierung verdirbt einen schon den Spaß dabei 😛

Um das ganze aber noch ein Stück weiter voranzutreiben, ein Wort: Wardriving
Das sinnlose umherfahren mit dem Auto, um sinnloser Weiser WLAN-Netzwerke zu protokollieren, um diese dann in einer Karte einzutragen, die sich sowieso niemals mehr jemand ansehen wird, aber egal, wir haben es ja.

Habe zunächst probiert, die Protokollierung über airodump-ng laufen zu lassen, aber das funktionierte bei mir nicht.
Habe mich deshalb für die Mainstream-Variante mit Kismet entschieden.
Zunächst müssen wir die Konfigurationsdatei anpassen, wir finden diese in /etc/kismet/kismet.conf.
Oftmals wird diese Konfiguration als schwer angesehen, aber wenn man weiß, was man macht ist es eigentlich kein Problem. Ich lasse euch damit jetzt mal alleine, Anleitungen im Netz findet ihr genug.
Der Start des Programms ist as simple as possible:

kismet

Wenn ihr euren GPS-Sensor und eure WLAN-Karte angeschlossen, und korrekt als Source angegeben habt, dann fängt Kismet nach Start des Servers sofort an zu protokollieren. Also, auf gehts: Sensor und Antenne per Magnet aufs Dach und schön gegen §30 Abs. 1 der StVO verstoßen!

Nach der Beendigung der Fahrt und des Capturens mit Strg+C können wir uns die netxml-Datei aus dem Log-Verzeichnis holen und mit giskismet in eine durch Google Earth und Google Maps und OpenStreetMap verwertbare .kml-Datei konvertieren:

giskismet -x wardrive.netxml
giskismet -q "select * from wireless" -o output.kml

Fazit: Alles scheiße, weil kein Onlinedienst KMLs über 5MB verarbeiten kann.
Zu den Netzwerken selbst: Zumindest hier in Halle gibt es kaum verwundbare Netzwerke, ca. 90% sind tatsächlich WPA2-gesichert. Anscheinend haben wir hier aber eine recht hohe Dichte an Freifunk-Netzwerken.

Stay safe,
kill0rz

This entry was posted in Allgemein, Hacks & -angriffe, kill0rz, Real-Life, Tutorials. Bookmark the permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte löse die Rechnung! * Time limit is exhausted. Please reload CAPTCHA.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.