вторник, 11 сентября 2012 г.

Как взломать WiFi сеть



Как взломать Wi-Fi? Если вы читаете эту статью, то скорее всего вы относитесь к одному из двух типов пользователей: те которые думают, что взломать Wi-Fi сеть не возможно или же к тем, кто считает, что WiFi  можно взломать одной кнопкой. Я хочу развеять эти стереотипы. И то и другое миф. Взломать WiFi можно, но это не так просто. Нужно иметь базовые понятия функционирования сети, чтобы верно действовать, а в случае возникновения проблемы, чтобы ее можно было бы решить. Так все же, как взломать WiFi сеть? И так начнем :)
Взлом WiFi. Прежде, чем ломится в чужую сеть, вы должны определится зачем это нужно. В большинстве случаев, хакера манит халявный интернет. Вы должны понимать, что взлом чужой сети - незаконный. Даже для использования интернета, не говоря уже о воровстве чужих данных или другой пакости. Поэтому, данную статью не стоит рассматривать как руководство по взлому Wi-Fi. Скорее, это просто способ показать возможные уязвимости. Иначе можете нарваться на правоохранительные органы или кулак злого сисадмина.  Хороший администратор должен позаботится о безопасности своей сети. Я читал историю о том, как одни ребята организовали офис возле банка, перехватывали банковский WiFi трафик, обрабатывали его, внедряли опять,  и таким образом  воровали денюжку. Банк был в недоумении - ревизии показывали недостачу! Банковские сотрудники чистые. Так длилось, пока группировку не разоблачили. До игрались...

Теория

WiFi - способ организации сети "по воздуху". Большинство новичков считают, что WiFi - это интернет. Это не правильно. WiFi - это обычная сеть, но данные между компьютерами передаются не по привычным кабелям, а с помощью специальных адаптеров по радиоканалах. Это наверное главный недостаток WiFi, ведь то что передается по воздуху, можно с успехом перехватить. Этим принципом и пользуются хакеры. Главный адаптер называется точкой доступа (Access Point или AP), и является роутером - в типичной ситуации - точкой доступа в интернет и связующим звеном для подключенных клиентов. Точка доступа распознает клиентов по mac-адресам. МАС-адрес - уникальный номер (идентификатор) сетевого адаптера, чем-то напоминающий imei телефона. Поэтому получить чужие данные вам не удастся, так как они не будут адресованы вам. Также стоит помянуть, что точки доступа бывают открытыми и защищенными паролем.
Wardraving - процесс поиска и взлома уязвимых точек доступа беспроводных сетей Wi-Fi человеком либо группой лиц, оснащенных переносным компьютером с Wi-Fi-адаптером. При этом для пространственного поиска и локализации точки используется транспортное средство (отсюда и название — боевое вождение).

Что нужно для взлома Wi-Fi? Оптимальным вариантом будет нетбук с встроенным wifi адаптером. Он компактный, легкий и отлично подходит для работы в беспроводной сети. Хотя подойдет любое устройство с модулем wifi, на котором можно развернуть операционную систему. Операционная система  играет большую роль. Все дело в драйверах. Для того чтобы перехватывать чужие пакеты нужно модифицировать драйвера, то есть поправить код драйвера так, чтобы ваша WiFi карта получала не только пакеты предназначенные для вас, но и чужие пакеты. Этот режим беспроводного адаптера называется режимом монитора (мониторинга). Так вот, драйвера для Windows поставляются закрытыми, то есть не в виде исходных кодов, а в виде скомпилированных программ, и покопаться в их коде вам не удастся.  А соответственно перевести вашу карточку в режим монитора из под Windows у вас не получится. Справедливости ради, стоит отметить, что есть производители которые позволяют мониторить из по Windows, но это скорее исключение, нежели правило. Другое дело Linux. С ним проще, так как он развивается сообществом, а не закрытыми корпорациями. Именно из под Linux проще всего "превратить" вашу карточку. Для этого скорее всего не понадобится дополнительных операций, и все заработает "с коробки". Или нужно будет установить мод-драйвер. Из этого следует, что сломать WiFi из-под Windows одной кнопкой не получится. Да, под Windows есть программы с красивым и удобным интерфейсом, типа CommView, но для их функционирования нужно использовать совместимый WiFi адаптер. И, скорее всего, вашего адаптера в списке поддерживаемого вы не увидите. Проверить можете тут А покупать совместимый USB-адаптер слишком круто. Поэтому, придется юзать Linux, а это требует некоторых знаний. Чтобы упростить себе жизнь, можете скачать спец. дистрибутив Linux BackTrack, в котором уже есть все необходимое для мониторинга и взлома сети. Использовать его можно в режиме live, без установки, прямо с диска или флешки. Хотя никто не мешает использовать ваш любой дистрибутив. Если вы не знакомы с Linux хотя бы поверхностно - шансов на успех почти нет...

Практика



  • Если точка доступа открыта, но подключится не удается. Скорее всего на ней установлена фильтрация по mac адресам. Есть два правила фильтрации: 1. никому не позволять подключаться, кроме... 2. позволить подключаться всем, кроме... В любом случае, вам нужно сменить mac-адрес. В первом случае, на один из доверенных, во втором случае, на любой другой, если вы удостоились попасть в "черный список". Как это сделать я опишу чуть дальше.
  • Если вы обнаружили зашифрованную wifi сеть, не нужно сразу применять силу. Иногда стоит поискать другие пути. Ведь ломать вы всегда успеете, а как на счет того, чтобы подобрать ключ? Первое, что я всегда делаю, это перебираю самые простые пароли, типа 12345678, admin или тому подобные. Все дело в том, что большинство точек доступа шифруются стандартным паролем по умолчанию, а не опытные хозяева даже не знают как его сменить или отменить. Можно сказать, что такая сеть "открыта". Лично я, таким способом подключался к чужим сетям очень часто.
  • Стандартные пароли не подошли. Да, чаще всего так и бывает. Но опять таки, стоит поискать пути полегче. Попробуйте найти доступ к компьютеру который уже подключен к сети. Ведь если он подключается к сети, значит на нем есть пароль. А если он есть, значит его можно заполучить. Программа WirelessKeyView - ищет пароль в реестре Windows и выдает его в нам в виде hex или если повезет в ASCII. Как доставить программу на нужную машину, уже другая проблема. Но такой подход выручает, испробовано на личном опыте.

  •                                

    Какое программное обеспечение выбрать? Все зависит от ситуации. Я для взлома использую пакет программ aircrack-ng. В нем находятся средства для мониторинга, совершения атак и взлома Wi-Fi. Сайт www.aircrack-ng.org.
    Что входит в пакет:
    airmon-ng - перевод адаптера в режим "мониторинга"
    airodump-ng - прослушка эфира, захват пакетов
    aireplay-ng - совершение атак
    aircrack-ng - подбор пароля из собранных пакетов.
    и многое другое - читаем man aircrack-ng
    Установить набор aircrack-ng в Linux можно либо с репозитория или пакетом deb (rpm). Я больше склонен к Debian-подобным дистрибутивам. В них выполняем команду:
    sudo apt-get install aircrack-ng
    Возможно нужно будет подключить дополнительные репозитории. Или ищем бинарник в гугле.

    Мониторим эфир. Linux запущен, aircrack-ng установлен. Работаем в консоли.
    Переводим наш адаптер в режим мониторинга командой sudo airmon-ng start wlan0

    Программа должна сообщить, что создался интерфейс mon0 (или что-то подобное). Если появляется ошибка, нужно проверить команду.  На месте wlan0 должен находится интерфейс вашего адаптера. Узнать список нужных интерфейсов можно командой ifconfig или iwconfig.

    Также программа может ругаться, что указанный интерфейс занят. Это не страшно, хотя возможно придется закрыть виновников командой kill.
    Начинаем мониторить эфир командой sudo airodump-ng mon0. Сразу увидим много интересного:

    Поясню скриншот. Сверху перебираются каналы (СH6 - шестой канал), время что прошло от запуска, дата, текущее время.
    BSSID - MAC-адрес точки доступа.
    PWR - мощность сигнала от точки доступа. Чем выше, тем лучше. Стоит учесть, что число отрицательное, то есть -100 лучше чем -50. Если сигнал слабый (ниже 50), то стоит поискать место, где сигнал усилится (как пример, -60)
    Beacons - маячки точки доступа. Неважно.
    #Data - поток данных. Очень важный показатель. Чем больше, тем лучше.
    #/s - пакетов за период времени.
    CH - канал, на котором работает точка доступа.
    МB - пропускная способность канала (к примеру, 54 Мбита)
    ENC - тип шифрования. OPN - точка доступа открыта. WEP - в связи с математическими просчетами легко ломается. WPA - ломается только брутфорсом, то есть путем перебора пароля по словарю. Успешность взлома зависит от сложности пароля.
    AUTS - протокол аутифекации
    ESSID - название сети.
    STATION - mac-адрес подключенного клиента.
    LOST - потерянные пакеты. Неважно.
    Packets - пакеты передаваемые между клиентом и точкой доступа за сессию. Если они есть, это сигнализирует о том, что происходит обмен данными.
    Probes - сети к которым пытался подключится клиент.

    Если точка доступа открыта, но подключится не удается, скорее всего происходит фильтрация по mac адресу. Вам нужно сменить mac-адрес на доверенный. Получить доверенный мак-адрес можно с помощью airodump-ng. Просто смотрите параметр Station напротив mac-адреса открытой точки доступа. Возможно придется подождать пока кто-то подключится. Сменить MAC в Windows можно в настройках драйвера (покопайтесь), а если такой возможности нет, то с помощью сторонних утилит, которых в сети полным-полно. Смена MAC адреса в Linux возможна штатным средствами (гуглим), но я использую утилиту macchanger. Устанавливаем:
    sudo apt-get install macchanger
    Меняем так:
    sudo macchanger --mac xx:xx:xx:xx:xx:xx wlan0
    Стоит учесть, что хотя программа сообщит о смене мака, но в network manager изменения могут не произойти. Так что перед сменой мака убиваем network manager командой:
    sudo /etc/init.d/network-manager stop
    После меняем мак, снова стартуем network manager sudo /etc/init.d/network-manager start, проверяем, конектимся :)

    Шифрование WEP. Честно говоря, те времена, когда повсеместно использовали WEP-шифрование, прошли, и мне не повезло их застать. Я не встречал точек, зашифрованных этим протоколом. Уж больно легко он ломается. Для этого нужно просто собрать необходимое количество пакетов (где-то от 20 тис. и выше) Далее все в теории.
    Итак, адаптер в режиме монитора. Ловим пакеты:

    sudo airodump-ng mon0 -w wep -c(х) --bssid xx:xx:xx:xx:xx:xx

    wep - имя файла
    с(х) - канал на котором работает точка доступа, к примеру с6
    --bssid - мак-адрес точки доступа

    Чтобы пакеты ловились быстрее, генерируем паразитный трафик. В новом окне консоли выполнить команду:
    aireplay-ng -3 -b xx:xx:xx:xx:xx:xx -h xx:xx:xx:xx:xx:xx mon0, где -b -bssid, -h yy:yy:yy:yy:yy:yy
    -b - мак адрес точки доступа, h- мак клиента.
    Ломаем:
    aircrack-ng -P1 wep*.cap
    wep*.cap – имя файлов, что указано было выше.
    Программа перебирает пакеты и через время (в течении часа) выдаст вам пароль.
    Если ключ не найдется, нужно подловить еще пакетов.

    Шифрование WPA. Найти ключ в случае шифрования wpa дело случая, а точнее удачи. Пароль передается от точки доступа в зашифрованном виде только при авторизации клиента, в пакете под названием "handshake" (рукопожатие, приветствие). Поймать такой пакет не трудно, а вот расшифровать его можно только брутфорсом - поиском совпадения фразы по словарю. Если пароль состоит из букв в разном регистре, цифр и спец. символов (к примеру, MuSt_45$_be) , то какой шанс, что пароль будет в словаре? И сколько времени уйдет на расшифровку такого пароля? Хорошие словари занимают десятки гигабайт, но если пароля нет в словаре, то вы зря потратите месяцы (а может и годы) на пустой перебор. Если вы все же решились, то покажу вам на примере своего эфира.

    Адаптер в режиме монитора.
    sudo airodump-ng mon0

    Если вы нацелились на все точки доступа, и вам все-равно какой хендшейк поймать, то
    sudo airodump-ng mon0 -w cap
    Запись будет проводится в файл cap, со всех точек доступа, а когда будете ломать с помощью aircrack, то вам предоставится возможность выбора точки доступа. Это самый простой способ. Но если нацелились на конкретную точку доступа (мой пример, точка Glitel), то выбираем канал на котором работает нужная точка доступа:
    sudo airodump-ng -с6 -w cap1 
    Я пишу с шестого канала (-с6) в файл cap1, вы выбираете свой канал и название файла:

    Если handshake долго не происходит или вы просто не хотите ждать, можете послать пакет деаутентификации, тем самым отключив клиента, чтобы он снова авторизировался. При повторной деаутентификации нужно давать клиенту "отдых" 1-2 минутки, чтобы он мог подключится.

    Если программа ругается на bssid, используем essid (название точки доступа), опция -e
    --deauth число пакетов деаутентификации. Если один не помог, увеличим их число
                                
    Наблюдаем, как отключается клиент
    Когда поймали hangshake (надпись в правом верхнем углу), выходим комбинацией Ctrl+C, и пробуем ломать. Взлом можно проводить дома, главное записанный handshake и хороший словарь.
    Взлом. Шаблон: aircrack-ng -w /путь_к_словарю путь_к_файлу
    Пример: aircrack-ng -w /media/Work/wifi/8.1-9.dic cap1.cap Программа начитает перебирать фразы из словаря:
    А далее ждем: день, неделю, месяц... Кому насколько терпения хватит. И если повезет, то получим пароль. Мой словарь это все восьмизначные цифры, хотя я не уверен что пароль состоит из цифр и уже тем более, что их 8... Просто минимальная длина ключа WPA как раз 8, а поскольку вводить цифры просто, то пароли очень часто именно цифровые (дата рождения, к примеру), поэтому есть смысл пробовать.

    Возможные проблемы. Часто можно повстречать ошибку airodump-ng - mon0 is on channel -1, but the AP uses channel (№). То есть, ваш адаптер работает на минус 1 канале, и не хочет переключатся. Связано это с кривизной модулей ядра. Чтобы  побороть проблему, нужно применить патч:
    Официальная инструкция на английском
    либо же юзать airodump-ng с опцией --ignore-negative-one.
    Правда, мне не подошли ни первый, ни второй способы. Решение нашел в BackTrack Linux, там  этой проблемы нет.

    Страховка. Если вы все же получили пароль, можно пойти дальше: получить контроль над точкой доступа. Многие взломщики, получив доступ радуются. Правда не долго :) Админ либо меняет пароль, либо вносит ваш mac в фильтр...
    В моем примере как-раз так и случилось. Админ, что обслуживал точку доступа, в логах засек мой нетбук, и сменил пароль. А все могло бы быть иначе... Дело в том, что точкой доступа можно управлять дистанционно, через веб-интерфейс :) Для этого нужно в адресной строке браузера ввести стандартный для точек доступа IP адрес 192.168.1.1 (не факт, что его не сменили, да и для разных моделей роутеров IP может отличатся, поэтому гуглим). Если IP адрес правильный, то перед вами откроется окно с приглашением ввести логин и пароль. Попробуйте ввести стандартные логин и пароль. Для разных моделей роутеров они могут отличатся, поэтому снова гуглим. Чаще всего в оба поля нужно ввести слово admin, хотя хороший администратор сразу же сменит умолчания. Если вы все-таки попали в админку, то переходим в вкладку Security (Безопасность) и меняете стандартный пароль админа на свой. Все, теперь вы полноценный владелец точки доступа. Вы можете менять все по своему усмотрению! Только я крайне не рекомендую этого делать - можете спалится! Тут все дело в квалификации администратора. Если он просечет тему, то гудбай Америка. На роутере есть кнопочка reset, которая восстановит заводские настройки. Если это случится, то я сомневаюсь, что вы снова сможете так легко получить доступ. Рекомендую сделать бекап (копию) прошивки в соответствующем пункте меню (Backup), чтобы в будущем можно было восстановится :) Что менять или не менять - судить вам. Я ничего не поменял и пожалел, все-равно пароль сменили. Так бы хоть гимора добавил. Ну, что поделаешь, парниша попался - параноик, не захотел поделится: жлоб, 4 Мбита безлемитного интернета. А пароль я получил не aircrack-ом, а выше упомянутой программой WirelessKeyView с компа, что уже был в сетке. Правда в виде hex. Ввел, сконектился. Когда зашел на точку доступа, то оказалось, что пароль - номер телефона (11 цифр). Какой пароль сейчас - Бог знает. Снова ломать?
    Также хочу рекомендовать сменить имя вашего компьютера на что-то менее заметное. Как можете видеть в примерах, имя моего нетбука Samsung Galaxy S3. Это модель телефона. Не так палевно, если сидишь за ноутом ;) А если вы все же получили доступ к точке доступа, то подчищайте за собой логи.

    Заключение

    Это крайне поверхностный обзор типичной ситуации. Я не претендую на лавры. В сети полно хороших инструкций и статей по взлому WIFI. Хотелось поделится собственным опытом. Взлом WiFi - целая наука. Чтобы ее изучить, нужно потратить кучу времени и нервов. Нельзя просто скопировать команды статьи и ждать чуда. В каждой конкретной ситуации нужно действовать конструктивно. Побольше читайте, ищите, спрашивайте. Ко всему нужно подходить с умом. Надеюсь вам было интересно. Желаю удачи. Пробуйте, и оставляйте комментарии...

    27 комментариев:

    1. красава! я вот никак не могу поломать ни одной сетки из 10, с помощью beini 1.2.2

      ОтветитьУдалить
    2. для новичков статья просто супер!)
      а для опытных, это всё слишком просто)
      если подумать логично, брутом подобрать пас к wpa/wpa2 практически не возможно - шанс 10-20%

      ОтветитьУдалить
      Ответы
      1. Конечно. Но все зависит от мастерства. В этой статье я хотел просто показать текущие реалии. Если есть желание, взломать можно все :)

        Удалить
      2. Эта бесполезная инфа гуляет с сайта на сайт подымая ЧСВ "кулхацкерных одминофф", сумевших создать свой сайт. Практической пользы на сегодня не имеет.

        Удалить
    3. я чё то ни хера не понял

      ОтветитьУдалить
    4. Evgenii1 - ты дебил.
      Шанс 10-20 процентов - это как взять ключи у друга и сходить к нему домой с подружкой!

      ОтветитьУдалить
    5. ну хорошо я взломал пароль определился,(я............)а что вводить,за место точек,пишет введите ПИН устройства и буквы не вводит

      ОтветитьУдалить
      Ответы
      1. Пин, это пин. При чем тут пароль? Есть определённые модели роутеров, которые генерируют случайный ПИНы, который нужно повторить на подключаемом устройстве. Ищите в Google.

        Удалить
    6. отличная статья

      ОтветитьУдалить
    7. Вломал) Пароль оказался больше 8симв, но цифровым. Мощность сигнала крайне слабая-от одного до трех делений. Телефон вообще не видит такой точки доступа. Как теперь раздать?

      ОтветитьУдалить
    8. класс,терь за инет платить не надо,взломал за 15 сек

      ОтветитьУдалить
    9. А мне и ломать не пришлось- нашел не запароленную точку хД сигнал лучше чем у других найденных под паролем.
      Так что кто ищет тот обрящит - сейчас сижу с халявного инета

      ОтветитьУдалить
    10. Все это хрень лучше подключить себе быстрый инет и не парется


      ОтветитьУдалить
    11. Статья мне понравилась) попробую обязательно

      ОтветитьУдалить
    12. дахера делов много головной боли, но попробовать стоит может чё получится

      ОтветитьУдалить
    13. а вот подскажите как карту trendnet tew 624ub в режим монитора перевести? sudo airmon-ng start wlan0-неподходит
      wifislax ~ # sudo airmon-ng start wlan0


      Found 1 processes that could cause trouble.
      If airodump-ng, aireplay-ng or airtun-ng stops working after
      a short period of time, you may want to kill (some of) them!

      PID Name
      7827 dhcpcd
      Process with PID 1982 (wlan0) is running on interface wlan0


      Interface Chipset Driver

      wlan0 Unknown r8712u (monitor mode enabled)


      ОтветитьУдалить
      Ответы
      1. Сложно так сказать. Нужно учитывать какой дистрибутив, какая версия программы. В логах пишется про проблемы с программой, а как понимаете - проблемы могут быть разными. К тому же, r8712 таки работает в режиме монитора. Пробуйте ловить пакеты на wlan0. Мало данных, к тому же с карточками непонятка...

        Удалить
    14. я не верю как может программа найти пароль это ложь

      ОтветитьУдалить
    15. Статья хорошая грамотная,без всяких излишеств.Хотелось бы еще что вы добавили про взлом с помощью "reaver",то же с подменой мак адреса.

      ОтветитьУдалить
      Ответы
      1. Да, появились новые методы и программные средства для взлома, постараюсь добавить. Сейчас очень мало времени.

        Удалить
    16. Хотелось бы добавить что перед включением мониторинга airodump-ng ,сначала включить wash -i mon0 -C

      ОтветитьУдалить
    17. Здравствуйте. Пытаюсь сделать все это из под винды. EAPOL-пакеты собрала, запускаю Aircrack-ng, пишет «No valid WPA handshakes found...». В чем может быть причина? Шифрование сети: WPA-CCMP, WPA-TKIP.

      ОтветитьУдалить
      Ответы
      1. Вам нужно поймать handshake (специальный пакет, который содержит пароль в зашифрованом виде) и брутфорсить. А так вы наловили пакетов, а handshake не поймали.

        Удалить
    18. Поставил линукс минт 17, запустил команду использовать wlan0, запустил сканер эфира, на консоли отобразились вай фай сети, но для начала попробовал поймать хендшейк своего роутера. Роутер был в полметре он ноута который сканировал эфир. Дал команду ловить пакеты с моего роутера и формировать их в файл с расширением cap. Пакетов набралось около 20000 хендшейка нет. Попытался подключить отключить смартфон к моему роутеру, хендшейка нет. Раз двадцать пытался подключаться и отключаться к вай фай, хендшейк так и не появился. Но как только я подключился к сети ноутом, которым сканировал эфир, в консоле появилась надпись хендшейк пойман. В чем проблема понять не могу. Пакеты идут хендшейка нет.

      ОтветитьУдалить
    19. Поставил линукс минт 17 на ноут, запустил wlan0, запустил сканирование эфира, появились точки доступа (список). Для начала попробовал на своем роутере. Дал команду в консоле записывать пакеты в cap. Пакеты пошли. Хендшейка со своего роутера нет. Решил помочь. Подключил отключил интернет на смартфоне несколько раз. Хендшейка нет. Попробовал другие сети, 5 часов хендшейка нет ни одного. Окно сканирования было открыто на ноуте, сканировался мой роутер. Как только на ноуте с которого происходило сканирование я решил напрямую подключиться к своей сети, в консоле появилась надпись хендшей пойман. В чем проблема не понятно. Кароч поймал только свой хендшейк и то при прямом подключении, а так ни при подключении и отключении смартфона хендшейк пойман не был. Кто знает отпишите. Мб встроенный вай фай адаптер непригоден или не работает с air-ng

      ОтветитьУдалить
    20. А все это можно через телефон сделать ??? Модель alcotel one tach idel x+

      ОтветитьУдалить