Angreb på Trådløse Netværk (Wi-Fi Hacking)

Når vi taler om kablet netværkssikkerhed, er angriberen oftest nødt til fysisk at stikke et RJ45-kabel i din switch i bygningens datacenter – eller smitte en PC, der er sat til indefra. Trådløse netværk fjerner den fysiske barriere. Dets natur bygger på at sprede radiobølger ufiltreret i alle retninger udendørs, så alle inden for rækkevidde teknisk set råber i munden på hinanden.

Dette åbner for en af de meste fascinerende og veldokumenterede hacking discipliner: Wireless Hacking / Packet Sniffing i luften.

I denne artikel vil vi se på, hvilket udstyr der kræves for at lytte med, hvad man kigger efter, og hvordan sniffet trafik kan bruges som våben.

1. Antenner, Hardware og “Monitor Mode”

En helt normal Wi-Fi antenne (Netværkskort / NIC) inde i en almindelig Mac eller Windows bærbar er designet til at filtrere. Din antenne “ser” millioner af trådløse pakker fra naboernes routere hele dagen, men kortet smider dem automatisk væk, hvis MAC-adressen på netværkspakken ikke matcher præcis din bærbars adresse. Man kalder dette Managed Mode.

Men hackere har brug for at fange al trafik i lufthavnen, på caféen eller udefra parkeringspladsen – uanset hvem den er til. Denne specielle tilstand kaldes Monitor Mode.

Gode antenner til Wi-Fi auditing (Hacking)

Man kan sjældent bruge de indbyggede kort. Red Teams opererer i stedet med dedikerede USB Wi-Fi-dongles forsynet med specifikke chipset, der tillader to kritiske funktioner på Linux (KALI):

  1. Monitor Mode: Evnen til at fange ukrypterede rå radiopakker tiltænkt andre (promiscuous tilstand i luften).
  2. Packet Injection: Evnen til at forfalske og indsprøjte hjemmelavede pakker med falsk afsender direkte ud i det trådløse miljø.

Klassiske, anderkendte chipset / Antenner:

  • Alfa Network AWUS036NHA / AWUS036ACH: (Klassikeren over dem alle! Kraftig og understøtter Kali out-of-the-box).
  • Atheros AR9271 chipset: Rigtig stærk stabilitet.
  • Ralink RT3070 chipset: Bruges i mange entry-level antenner f.eks. fra TP-Link.

2. Praktikken: At fange pakkerne

At fange pakkene kræver primært et OS bygget til formålet, som f.eks Kali Linux hvor Aircrack-ng værktøjssvitten er installeret.

  1. Skift fra Managed til Monitor Mode:
    Ved hjælp af en terminal dræber man oftest interfererende netværksprocesser (airmon-ng check kill) og skifter kortet over med kommandoen airmon-ng start wlan0. Kortet hedder nu oftest wlan0mon.
  2. Start Sniffing (Airodump): Hackeren kører airodump-ng wlan0mon. Skærmen fyldes nu lynhurtigt med liste over alle APs (Access Points / Routere) i miles omkreds, hvilken kanal (hvilken Mhz frekvens) de opererer på, deres BSSID (MAC) samt hvilke af deres klienters telefoner, der lige nu sender data frem og tilbage til dem.

3. Hvad bruger man informationen til? (Use Cases & Angrebsvektorer)

Når man kan se pakkene (både datapakker og kontrolpakker), åbnes en skræmmende stor legeplads.

A) WPA/WPA2 4-Way Handshake Cracking

Dette er det klassiske angreb for at bryde en kode til et krypteret hjemme/virksomhedsnetværk. Målet er at fange radiotrafikken lige præcis i det gyldne sekund, hvor en brugers telefon forbindes til routeren. Forbindelsen benytter et “4-Way Handshake”, der kryptografisk beviser at brugeren kender koden.

  1. Hackeren lytter på kanalen.
  2. Ventetiden er dog kedelig, så vi udsender et Deauthentication Attack (Deauth) via Packet Injection (aireplay-ng). Vi sender simpelthen en pakke, der slår det sande offer offline.
  3. Offerets telefon prøver instinktivt at genoprette forbindelsen mikrosekunder efter og afsender automatisk det nye autentificerings-handshake.
  4. Hackeren fanger Handshaket ud af luften, tager det med hjem som en .pcap fil, og kører Hashcat med grafikkort for offline bruteforce indtil PIN/Adgangskoden (og dermed hashet) knækkes.

B) Målrettet Deauth-angreb (Denial of Service)

Packet injection kan også misbruges direkte som et kontinuerligt Denial of Service våben. Da 802.11 protokollen (frem til 802.11w standarden) sendte ‘Afbryd Fobindelse’ beskeder (Deauth Frames) fuldstændig ukrypteret, kan en hacker med en ALFA-antenne, udsende tusindevis af falske Deauth pakker mod naboen, som tvinger alle enheder over alt i huset konstant offline – for evigt.

C) Rogue Access Point & Evil Twin

Denne use case indfanger ofre. Hvis du går på café og logger på “CafeNEM_Guest”, fanger man pakker via et skræddersyet Rouge Access Point opsat af hackeren, der hedder præcis det samme (Evil Twin). Ofte kombineres Evil Twin med Deauth angrebet (fra ovennævnte). Du “deauther” (kicker) cafeens rigtige kunder, som panisk forsøger at tilkoble sig trådløst igen. Eftersom din angrebsantenne er udrustet og fysisk tættere på kunden via din bærbar, forbinder deres PC automatisk til dig frem for cafeens router nede i gangen. Du fanger nu al ukrypteret web-trafik og DNS logik. Fidusen ligger i at bruge “Captive Portals” (Fake login sider, der stjæler Facebook-adgangskoder, når brugeren overbevist tror man skal verificere sig pga. afbrydelsen).

D) Probing: At læse “hukommelsen” i din enhed

Telefoner med tændt Wi-Fi lukrerer konstant på batteriet. For at lede The Internet, råber din telefon (via Probe Requests) konstant ud i æteren for at se, om kende-netværk er i nærheden. Ud af luften kan hackeren opfange dine Probes: “Er ‘McDonalds FreeWifi’ her?”, “Er ‘Bibliotek-Netværk’ her?”. Dette lader en Hacker, alene ved at lytte, profilere dit liv ud fra hukommelsen på dit bundkort – netværk for netværk!

For Wi-Fi security teams i Enterprise miljøer (802.1x implementeringer), er forsvaret imod luftrums-overvågninger i dag kritisk strammet til at inkludere PMF (Protected Management Frames) for at stanse DeAuth-angreb, samt tunestyrring via WPA3. Men the dark side vil altid have hardware og processorkraft til at udnytte luftrummet.

Kilder

> Quiz: Test din viden

1. Hvad muliggør Monitor Mode på et trådløst netkort?

2. Hvad tillader Packet Injection?

3. Hvilken hardware-fabrikant nævnes som klassiker til Wi-Fi hacking i artiklen?

4. Hvad er en forudsætning for at sniffe Wi-Fi trafik?