Розберемося, що таке вардрайвинг (wardriving) і з чим його необхідно вживати

Мало хто знає, що таке вардрайвинг, хоча він існує давно. На відміну від звичних способів злому, навчитися вардрайвингу набагато простіше, так як для нього не потрібні специфічні знання дизассемблирования, необхідні при зломі програм. Тим не менш, професійних вардрайверов одиниці, і ті шифруються. У цьому номері ми привідкриємо завісу і розповімо про вардрайвинге.

Що таке вардрайвинг

Вардрайвингом (англ. wardriving — дослівно «військове водіння» або «війна на колесах») називається полювання на точки доступу Wi-Fi (ніяких звірів при цьому вбивати не треба), на ті самі точки доступу, які призначені для бездротового підключення до локальної мережі або інтернету. Мета вардрайвера — знайти чужу точку і захопити контроль над нею. Реально вардрайвинг зародився в 50-х роках минулого століття (він ще називався полюванням на лисиць) і являв собою цілком легальний вид радіоспорту з чітко встановленими правилами і міжнародними змаганнями. На пересіченій місцевості в затишній норі закладався радіопередавач, періодично видає сигнали (лисиця), а спортсмени, збройні приймачами з направленою антеною, повинні були знайти її. З початком перебудови все це вмерло. Тепер нікому не цікаво сидіти над паяльником, винаходячи все нові і нові технічні рішення, і скакати, як козел :). Сучасне покоління воліє полювати на здобич простіше, використовуючи повністю готове обладнання і програмне забезпечення.

Розробники vs. Вардрайверы

Стандартний 64-бітний ключ шифрування легко зламується лобовим перебором. Враховуючи, що фактична довжина секретного ключа становить лише 40 біт, в середньому досить перебрати 549.755.813.888 комбінацій. При швидкості перебору в сотню мільйонів ключів в секунду (посильна швидкість для сучасних процесорів) атака займе годину-півтора. Зловмиснику досить перехопити один зашифрований пакет, а потім терзати його до тих пір, поки контрольна сума розшифрованого пакета не співпаде з ICV. Стукати на точку доступу, при цьому абсолютно не обов’язково. А з урахуванням існування чотирьох секретних ключів, тривалість повного циклу перебору дещо зростає, проте не настільки радикально.

Для запобігання лобової атаки виробники бездротового обладнання збільшили довжину секретної частини ключа до 104 біт, попутно породивши проблему сумісності. Додай сюди 24 біта вектора ініціалізації і отримаєш так зване 128-бітове шифрування. Підібрати 104-бітний ключ наосліп вже нереально: при колишньої швидкості перебору в середньому на це йде 2.817.001.333.840.509.768.000 годин, або 3.215.754.947.306.518 століть, що значно перевищує не тільки залишився час існування Сонця, але і Всесвіту в цілому :). Однак хакерам вдалося знайти більш короткий шлях, скоротивши час злому в мільярди разів.

У серпні 2001 року три криптоаналітика (Scott Fluhrer, Itsik Mantin і Adi Shamir) опублікували свою підривну статтю «Слабкі місця алгоритму розподілу ключів RC4» («Weaknesses in the Key Scheduling Algorithm of RC4»), яка миттєво стала знаменитою і визначила назву колекції атак цього типу, — FMS-attack (за першими літерами прізвищ першовідкривачів Fluhrer-Mantin-Shamir). Вони виявили існування великих класів слабких (weak) ключів, у яких крихітна частина бітів ключа чинить значний вплив на зашифровані дані. Оскільки у формуванні ефективного ключа бере участь вектор ініціалізації, генерований довільним чином, загальний шифропоток неминуче потрапляє деяка кількість слабких ключів. Зібравши достатній обсяг трафіку, зловмисник відбирає пакети, зашифровані слабкими ключами (такі пакети називаються слабкими або цікавими). Кожен слабкий пакет з 5% рівнем ймовірності відновлює один байт секретного ключа, тому загальна кількість пакетів, які атакуючий повинен зібрати для реалізації атаки, в першу чергу залежить від ступеня його фортуни. В середньому для злому потрібно близько шести мільйонів зашифрованих пакетів. В залежності від інтенсивності трафіку і пропускної здатності каналу, на це йде від декількох годин до декількох днів, хоча в деяких випадках атака успішно закінчується вже через кілька хвилин. І це при 104-бітовому ключі! Так працює AirSnort і багато інші хакерські утиліти, що будь-який зловмисник може вільно завантажити з Мережі.

Якщо обмін даними між легальними клієнтами і точкою доступу незначний або практично відсутній, зловмисник може змусити жертву генерувати велику кількість трафіку, навіть не знаючи секретного ключа. Досить просто перехопити правильний пакет і, не розшифровуючи, ретранслювати його знову. ARP-запит викличе неминучий ARP-відповідь. Відрізнити APR-запити від всіх інших пакетів дуже просто: frame.pkt_len == 68 і wlan.da == FF:FF:FF:FF:FF:FF. Зазвичай для передачі запитів використовується окрема WLAN-карта (при цьому відстань між антенами приймальної і передавальної карт має становити щонайменше 15 сантиметрів), хоча деякі карти примудряються перехоплювати трафік і одночасно з цим бомбардувати жертву пакетами.

Хакери лабораторії H1kari of Dasb0den Labs посилили FMS-алгоритм, скоротивши кількість необхідних пакетів з шести мільйонів до 500 тисяч. А в деяких випадках 40/104-бітний ключ зламується всього з трьома тисячами пакетів, що дозволяє атакувати навіть домашні точки доступу, не напружуючи їх надмірною трафіком. Посилений алгоритм атаки реалізований в утиліті dwepcrack, що входить до складу пакету BSD-airtools, а також в іншому хакерському інструментарії.

Розробники обладнання відреагували цілком адекватним чином, змінивши алгоритм генерації векторів ініціалізації так, щоб слабкі ключі вже не виникали. Навіть dwepcrack’у потрібно перехопити понад 10 мільйонів пакетів, але навіть в цьому випадку успішна розшифровка ключа не гарантована. Пристрої, випущені після 2002-2003 року, швидше за все, вже захищені від FMS-атаки, а більш давні моделі вирішують цю проблему оновленням прошивки (правда, не всі виробники випустили оновлення). Але навіть сьогодні, в середині 2005 року, в експлуатації знаходиться безліч вразливих пристроїв, особливо на периферії, куди йдуть всі нереалізовані складські запаси. Тим не менш, ситуація склалася так, що хакерам довелося шукати нові шляхи для атак.

У серпні 2004 року хакер по імені KoreK продемонстрував вихідний код нового криптоанализатора, взламывающего навіть сильні вектори ініціалізації. Для відновлення 40-бітного ключа йому було потрібно всього 200 000 пакетів з унікальними векторами ініціалізації, а для 104-бітного — 500 тисяч. Кількість пакетів з унікальними векторами в середньому становить близько 95% від загальної кількості усіх зашифрованих пакетів, так що для відновлення ключа атакуючому потрібно зовсім небагато часу. Даний алгоритм реалізовано в chopper’е, aircrack’е, WepLab’е та інших хакерських утиліт.

У новому обладнанні, побудованому по технології WPA (Wi-Fi Protected Access (захищений Wi-Fi-доступ), знову була посилена захищеність бездротових пристроїв. На місце WEP прийшов TKIP (Temporal Key Integrity Protocol — протокол короткостроковій цілісності ключів), що генерує динамічні ключі, що переміняють один одного з невеликим інтервалом часу. Для сумісності з існуючим обладнанням TKIP використовує той самий потоковий алгоритм шифрування, що і WEP, RC4, але кожен зашифрований пакет тепер укладається спеціальний 8-байтний код цілісності повідомлення, розрахований за алгоритмом Michael та запобігає ретрансляцію підроблених пакетів. Процедура аутентифікації здійснюється по протоколу EAP (Extensible Authentication Protocol розширений протокол аутентифікації), який використовує: а) RADIUS-сервер (Remote Authentication Dial-In User Service — служба дистанційного аутентифікації користувачів по комутованих лініях); або б) встановлений загальний ключ PSK (pre-shared key). В процесі аутентифікації сервер генерує парний майстер-ключ (PMK — Pairwise Master Key) і передає його клієнту. Незважаючи на відносну новизну цієї технології, в комплект airckrack’a вже входить спеціальний модуль WZCOOK, що відображає PMK-ключ :). Для несанкціонованого підключення до точки доступу, захищеної технологією WPA, цього виявилося цілком достатньо. Втім, атакуючий модуль недостатньо налагоджений і в деяких випадках не спрацьовує.

Стандарт IEEE 802.11 i описує більш надійну систему безпеки (відома під ім’ям WPA2), засновану на криптоалгоритме AES. Готових утиліт для злому у відкритому вигляді поки що не спостерігається, так що з цією технологією можна відчувати себе в безпеці. Принаймні, якийсь час вона протримається :). Власникам застарілого обладнання настійно рекомендуємо пробити VPN-тунелі (Virtual Private Network віртуальна приватна мережа), задіяти SSL-шифрування або підключити будь-які інші способи захисту, орієнтовані на небезпечні канали передачі даних.

Вардрайвинг — не зовсім злом

Вардрайвинг це не обов’язково «злом». Часто атакуючий обмежується тим, що знаходить відкриту точку доступу, але не підключається до неї. По-друге, вардрайвинг ні зовні, ні внутрішньо не схожий на дизасемблювання захищених програм чи написання вірусів. Це робить заняття вардрайвингом несхожим на інші способи злому в звичному для нас розумінні. У вардрайвинге набагато більше романтики, ніж, наприклад, в сексі з відладчиком :). З іншого боку, якщо ламати програми вміють одиниці, то стати класним вардрайвером зможе практично будь-який.

Хто займається вардрайвингом

Вардрайвингом займаються в основному романтики :), хоча відзначені поодинокі випадки розкрадання кредитних карток та іншої конфіденційної інформації через WLAN. У вардрайвера навряд чи може виникнути багато амбіцій, швидше, азарт і хтиве відчуття, що ти когось поимел. Переважна більшість атакуючих діють без злого умислу, сприймаючи це як витівка або інтелектуальну гру. Але зустрічаються і справжні мисливці за чужим трафіком, з якого можна отримати різну конфіденційну інформацію (паролі на поштові скриньки, номери кредитних карт і т. д.), і просто бажаючі підключитися до інтернету за чужий рахунок.

Хтось вардрайвит за гроші, але таких небагато. Навіть в Штатах точки доступу ще не поширені настільки, щоб на їх зломі було можливо добувати їжу. Тих, хто конструює унікальне залізо, — одиниці. Тих, хто пише софт, — десятки. Сотні або навіть тисячі користуються готовим залізом/софтом, а ще більше тих, хто просто цікавиться цим заняттям, але не ризикує вардрайвить на практиці. Ми ставимося до останніх :).

Використання готового спорядження не вимагає теоретичної підготовки, що виходить за рамки навичок володіння мишею, зате фізична підготовка дуже бажана, так як обчислених вардрайверов в нашій країні практично ніколи не передають до прокуратури тільки «братків» до них посилають.

Джерело інформації для вардрайверов форуми, в яких можна знайти і свіжі хакерські програми, і хитрі прийоми злому, і все інше. Ерудиції просунутого користувача буде цілком достатньо. Але для написання атакуючого софта потрібна глибока теоретична підготовка та інтуїція. Над проблемою злому трудяться не тільки програмісти, але і криптографи, причому останні зазвичай працюють на легальній основі і публікують свої наукові праці, які вже перетравлюють програмісти.

Інструменти вардрайвера

Якщо говорити про оснащення вардрайвера, то, як правило, це кишеньковий комп’ютер або ноутбук, забезпечений WLAN-картою на основі чіпсету Prism (його підтримує переважна більшість програм), зовнішньою антеною (зазвичай спрямованого типу) і відповідним. Добротна антена спрямованого типу, обладнана підсилювачем потужності, впевнено тримає зв’язок на відстані до 1,5-2 км, а в деяких випадках і більше.

Таку антену разом з підсилювачем можна купити абсолютно легально. Їх випускає Hyper Technology, Broadcast Warehouse, «Радіал» і багато інших компаній. Серед хакерів великою популярністю користується спрямована антена HG2415Y типу Radome-Enclosed (компанія HyperLink Technology), яку можна замовити по інтернету. Розрахована на стаціонарний монтаж, вона, тим не менш, непогано почувається на фотографічному штативі або навіть на звичайному ружейном прикладі, що перетворює її в мобільний інструмент для стеження за рухомими жертвами. Параболічні антени діють на відстанях, обмежені, фактично, лише горизонтом видимості, але вони катастрофічно немобильны, а для хакера найголовніше — вчасно змотатися з місця злому. Загалом, для vardrayvinga підходить практично будь-яка антена спрямованого типу на 2,4 ГГц (вона ж антена стандарту IEEE 802.11 b/802.11 g або WLAN).

З програмного забезпечення знадобляться: сканер, сніфер і зломщик паролів. Їх можна знайти практично під будь-яку платформу. На Pocket PC зазвичай використовується зв’язка MiniStumbler/Sniffer Portable/Airscanner Mobile. MiniStumbler виявляє присутність мережі в даній точці, вимірює інтенсивність сигналу, відображає SSID/MAC-адреси і визначає, задіяно WEP-шифрування чи ні. Sniffer Portable і Airscanner Mobile грабують все пролітають повз пакети і записують їх у файл, який потім переноситься на ноутбук або настільний ПК і пропускається через зломщик паролів (процесорних ресурсів кишенькового комп’ютера для злому паролів за розумний час поки недостатньо).

Поширений сніфер під Linux і BSD — Kismet, споконвічно орієнтований на дослідницькі цілі. Він підтримує безліч обладнання і бездротових протоколів, зручний у використанні і до того ж абсолютно безкоштовний. Перехоплює мережевий трафік, показує SSID – і MAC-адреси, підраховує кількість пакетів зі слабкими векторами ініціалізації і т. д. З зломщиків паролів останнім часом реально працюють тільки aircrack і WepLap, причому перший працює значно краще.

Під Windows перехоплення бездротового трафіку реалізується набагато складніше, і крім сніфера потрібні модифіковані версії драйверів для WLAN-карти. З комерційних сниферов можна порекомендувати Airopeek, з некомерційних — утиліту airdump (входить до складу aircrack, портована під Windows). Ще можна використовувати Sniffer Pro.

На повне mac ‘ ах весь хакерський інструментарій зібраний в одному флаконі — утиліта KisMAC, настільки проста, що їй зможе користуватися навіть дитина. Тут є і мережевий сканер, і сніфер, і парольний переборщик (brute force), і криптоанализатор слабких векторів ініціалізації. Передбачена навіть така дрібниця, як планувальник, що дозволяє здійснювати атаки за розкладом :).

Як полювати

Можна, наприклад, просканувати периметр свого проживання, піднявшись на балкон і озброївшись параболічної антеною на 2,4 ГГц. Уявіть: сидиш собі в засідці, п’єш пиво, скануєш периметр і чекаєш, коли жертва потрапить у тенета. Через тиждень, максимум через два, оперативна обстановка буде вивчена, і що тоді? А тоді кишеньковий комп’ютер або ноутбук — і вперед на колеса. Якщо коліс немає, цілком підійде тролейбус або трамвай. Вони і менше уваги привертають, і за дорогою стежити не треба.

На Заході і у нас

Звичайно, західні і азіатські тусовки більш численні і просунуті. У нас, незважаючи на м’який клімат ніким не додержуються законів, вардрайвинг поширюється досить стримано. Почасти це пояснюється апатією вітчизняної публіки, почасти орієнтацією не на процес, а на результат.

Кожен оцінює крутість вардрайвера по-своєму. Справжні профі шифруються і мовчать. Етап самоствердження у них залишився позаду, зате мати проблеми з законом або «братками» їм хочеться. Вони відвідують тематичні форуми, але практично не залишають повідомлень. В самих жарких дискусіях, як правило, беруть участь новачки, що змагаються, хто більше зламає».

А що з безкарністю? Та у нас взагалі високий рівень злочинності. Суди переповнені набагато важливішими справами, ніж якийсь там вардрайвинг, а співробітники міліції зайняті питаннями власного прожитку. Але навіть чесний слідчий не може почати справу, поки не буде заяви від позивача і яких-небудь доказів. У практичному плані для позивача це означає постійні повістки в суд, тривалі розгляди з приводу наявності всіх сертифікатів, комплексу охоронних заходів і т. д. На Заході такі витівки не проходять і вже є реальний приклад того, як засудили вардрайвера.

Сумнівна мобільність

Може здатися, що вардрайвинг безпечніше банального стаціонарного злому, так як сам вардрайвер стає мобільнішим і його складніше обчислити фізично. Навпаки. Стаціонарний злом через ланцюжок надійних проксі або стільниковий телефон, куплений з рук, а після зоряної години закатанный в асфальт, цілком безпечний, і хакера зазвичай в’яжуть вже на продажу краденої інформації. Вардрайвер привертає більше уваги. Навколо респектабельних будинків повно камер, що фіксують номери машин, і простих охоронців вистачає, а у них на ці речі очей досвідчене. Так що мобільність мобільністю, а плекати ілюзій на цей рахунок не варто.

Вардрайвинг — полювання на точки доступу Wi-Fi і отримання контролю над ними.

Вардрайвингом займаються швидше для спортивного інтересу, ніж для отримання цінної інформації. Іноді і просто заради халявного доступу в інтернет.

Поки ще не навчилися сушити стандарт IEEE 802.11 i. Але чи довго він протримається?

Для vardrayvinga, по суті, потрібні тільки ноутбук, спрямована антена і спеціальний софт.

Спрямовані антени продаються абсолютно легально.

Навряд чи тебе посадять за вардрайверство, але можуть серйозно «наїхати».

That’s all, Folks! ^_^ Якщо хтось буде цим займатися, то удачі вам всім!:))
І ще… Все потрібно робити з розумом, щоб вас не піймали!!!