Le reti senza fili, da qualche tempo a questa parte, stanno avendo
anche in Italia il loro momento di gloria. Inizialmente l'utilizzo del
wireless networking era circoscritto ad alcune situazioni
particolari dove le alternative erano limitate o troppo costose, ma
ora è diverso: la flessibilità e la semplicità
di implementazione del wireless lo fanno preferire sempre di più
alle tradizionali reti cablate.
Sono in costante aumento le società, come aeroporti e stazioni,
che offrono il servizio di navigazione wireless ai loro clienti e le
università che si attrezzano per consentire ai propri studenti
l'accesso mobile ai servizi della rete interna. Molti abbonamenti ADSL
prevedono la possibilità di condividere la connessione all'interno
dell'abitazione o dell'ufficio tramite un Access Point
senza fili.
Se da una parte questa tecnologia di recente diffusione porta innegabili
vantaggi, pensiamo alla possibilità di girovagare tranquillamente
per casa con il nostro nuovo tablet Pc mentre scarichiamo la posta o
navighiamo su Internet, dall'altra dobbiamo considerare attentamente
gli aspetti negativi, prima fra tutti la questione privacy.
Dopo una panoramica degli aspetti fondamentali delle reti senza fili,
questo tutorial vi guiderà alla scoperta degli strumenti software,
hardware e delle tecniche utilizzate per l'hacking del wireless: dall'utilizzo
del GPS nel wardriving per trovare reti incustodite
alla costruzione di un'antenna direzionale con un tubo di patatine (la
famigerata "cantenna").
Fondamenti delle reti wireless
Con il termine "wireless network" intendiamo uno o più
computer che comunicano utilizzando un protocollo standard, ma senza essere
collegati tramite filo. Il protocollo comunemente utilizzato è
lo standard 802.11b, conosciuto ai più come Wi-Fi
(Wireless Fidelity), che opera a una frequenza di 2,4 Ghz e ha una velocità
massima di 11 mbps. Il Wi-Fi supporta due differenti tipologie di rete:
- Ad-hoc, detta anche rete peer-to-peer, in cui ogni
computer può comunicare con gli altri pc tramite la scheda
wireless, condividendo files e stampanti. Per accedere alle risorse
della rete ethernet (e di conseguenza alla connessione a Internet,
se presente) è necessario che una delle postazioni sia cablata
e faccia da bridge (ponte).
- Access point, che prevede uno o più punti
di accesso: in questo caso i computer della rete non comunicano direttamente,
ma tramite l'access point che può essere hardware oppure software
(installato su una delle postazioni). Sono ormai comuni gli access
point hardware che fungono da modem ADSL e dispongono di porte ethernet,
per condividere sia la connessione a Internet che le risorse della
rete interna.
Come abbiamo visto, approntare una wireless LAN è piuttosto
semplice: un unico dispositivo, l'Access Point, può condividere
la connessione a Internet e le risorse della rete interna. Ma non lasciamoci
distrarre troppo: dopo aver condiviso le risorse, è indispensabile
trovare un modo per proteggerle.
Se possediamo un portatile con scheda wireless integrata, sappiamo con
quale efficienza è in grado di rilevare e utilizzare la rete
senza fili non appena entriamo nel raggio d'azione dell'Access Point.
Ma se il portatile fosse quello di un intruso? Quale
resistenza offre la nostra rete appena impiantata a un tentativo di
accesso non autorizzato? Se non abbiamo configurato a dovere il punto
di accesso, probabilmente nessuna.
Un aggressore, magari dal palazzo di fronte al nostro, potrebbe puntare
un'antenna direzionale e utilizzare gratuitamente la nostra connessione
a banda larga. Ancora peggio, un cracker sarebbe libero
di penetrare in altri sistemi informatici lasciando come "biglietto
da visita" il nostro indirizzo IP: una seccatura che può
avere risvolti molto seri. Come sempre, per imparare a proteggerci dobbiamo
analizzare le tecniche di attacco: in questo caso il nemico si chiama
wardriving.
Wardriving, per iniziare
La ricerca di reti wireless da sfruttare è indicata con il nome
di wardriving e può avvenire semplicemente spostandosi
in macchina oppure a piedi per le vie di una città: sono sufficienti
un portatile e una scheda wireless. Chi dispone di antenne direzionali
abbastanza potenti, potrà tenersi a una distanza di sicurezza
tale da evitare di essere scoperto: la rete può
essere captata anche a distanza di qualche chilometro e le coordinate
salvate tramite un GPS.
Sulla legalità del wardriving rimandiamo alle
considerazioni fatte per il portscan nell'articolo su Hacking e libertà digitali. Un'attività del genere potrebbe
causarci dei guai, anche opponendo il motivo di studio, sebbene non
esista una norma specifica: è consigliabile concordare le modalità
di rilevazione con le forze dell'ordine. Resta inteso che non è
lecito intercettare il contenuto delle comunicazioni di una rete wireless
(art. 617-quater) oppure accedervi senza autorizzazione (art. 615-ter).
Prima di parlare dell'hardware specifico per il wardriving e dei software
da utilizzare, introduciamo alcuni termini che saranno utilizzati di
frequente nell'articolo:
SSID (Service Set Identifier):
è un identificatore che ci permette di distinguere un access
point da un altro;
WEP (Wired Equivalent Privacy): algoritmo
ideato per la crittografia dei dati nelle reti wireless, si basa su
una chiave segreta condivisa;
IV (Initialization Vector): fa parte del pacchetto
WEP e viene utilizzato in combinazione con la chiave segreta per criptare
i dati;
MAC (Media Access Control): è un indirizzo
hardware che identifica in modo univoco ciascun nodo della rete wireless;
AP (Access Point): il punto di accesso solitamente
è composto da un hardware dedicato, ma può anche essere
un software installato su un pc della rete;
GPS (Global Positioning System): il sistema
di posizionamento satellitare è un must se vogliamo localizzare
le coordinate dell'AP e verificarne la portata in trasmissione.
La tipologia di attacco più comune è denominata Eavesdropping
e consiste nell'intercettazione del traffico trasmesso sulla rete wireless.
Le schede wireless, infatti, oltre che inviare e ricevere i dati possono
essere configurate per rilevare passivamente le trasmissioni che intercorrono
tra gli altri sistemi. Scopriremo più avanti che l'unica cosa
che ci separa dall'accesso alla rete senza fili è l'acquisizione
di certe informazioni sensibili su di essa, quindi si può comprendere
la pericolosità di questa tecnica; fra l'altro la rilevazione
può essere totalmente passiva, cioè senza
inviare alcun pacchetto di dati: un metodo silenzioso e non rilevabile.
Un attacco più elaborato può essere portato a termine con
la tecnica del Jamming: le reti wireless sono soggette
a interferenze, che possono essere provocate dai dispositivi più
disparati; questi disturbi vengono riprodotti intenzionalmente dagli aggressori
con l'ausilio di apparecchiature dette jammer. La medesima tecnica può
servire per provocare un DoS da parte dell'AP accreditato, così
da dirottare le comunicazioni su un AP diverso (ad esempio il pc dell'aggressore).
Vediamo ora quali sono i programmi indispensabili per effettuare rilevazioni
e cracking tramite il wardriving.
NetStumbler
Il principale alleato del wardriver su Windows si chiama NetStumbler. Questo tool viene utilizzato per rilevare le reti wireless inviando un pacchetto Probe Request 802.11, che causa una risposta Probe Response 802.11 da parte degli Access Point presenti. Fra i dati rilevati troviamo il nome della rete SSID, il canale su cui opera e la presenza della crittografia WEP. NetStumbler può lavorare insieme a un sistema GPS e registrare le coordinate delle reti wireless scoperte. Per utilizzare questo programma bisogna controllare che il nostro SSID sia impostato su ANY (da Pannello di controllo > Sistema > Hardware > Gestione periferiche, selezionare la scheda wireless e visualizzare le proprietà avanzate).
Se preferiamo utilizzare Linux possiamo provare il tool Kismet, che dispone delle medesime funzionalità.
AiroPeek NX
Per il monitoraggio dei dati che passano per una rete wi-fi, dovremo
dotarci di uno sniffer wireless. Questi tools non sono
diversi da quelli che utilizziamo per le reti cablate, ma hanno funzioni
apposite per leggere i pacchetti 802.11. AiroPeek NX
(http://www.wildpackets.com)
è una soluzione commerciale per piattaforme Windows che dispone
di diverse funzioni utili. Una di esse è la chiave WEP integrata
per decriptare sul momento il traffico da analizzare. Inoltre, fra le
varie visualizzazioni possibili, sono molto utili le viste Nodes e Peer
Map, dove i sistemi della rete sono raggruppati in base all'indirizzo
MAC e vengono mostrare le reciproche connessioni. Sulla base dei collegamenti
visualizzati possiamo distinguere velocemente quale sia l'indirizzo
MAC dell'Access Point.
Anche in questo caso per i sistemi UNIX esistono dei tools dedicati, ad
esempio le versioni più recenti di tcpdump (http://www.tcpdump.org)
e Ethereal (http://www.ethereal.com).
Per lo sniffing su Linux è necessario configurare la scheda wireless
per la modalità promiscua.
Airsnort
Uno dei programmi più popolari fra i cultori della sicurezza in
ambiente wireless è sicuramente il tool Airsnort
(http://airsnort.shmoo.com).
Il suo compito principale è sfruttare i punti deboli della cifratura
WEP per eseguire il cracking della chiave che protegge
la rete, ed è disponibile sia su Linux che su Windows (ma quest'ultima
versione non è ancora stabile).
A questo punto abbiamo una panoramica dei programmi che non possono mancare
nel bagaglio del perfetto wardriver. Il prossimo passo sarà dotarci
dei componenti hardware più indicati, a seconda del tipo di analisi
che dobbiamo effettuare, e infine vedremo come oltrepassare le protezioni
delle reti wireless.
Alla pari dei tools utilizzati per l'analisi e il cracking, anche
le apparecchiature hardware dovranno essere scelte
secondo le nostre esigenze. I componenti più importanti sono
la scheda wireless, l'antenna e il sistema di posizionamento GPS.
Schede wireless
Molte schede wireless in commercio non offrono attacchi per antenne esterne,
una funzionalità indispensabile per il wardriving. Indirizziamoci
verso schede PCMCIA con uno o più attacchi per l'antenna, ad esempio
il modello Cisco Aironet LCM352 oppure una scheda Orinoco.
Antenne
La scelta del tipo di antenna è forse il passaggio più
importante: in base alla loro direzionalità, le possiamo distinguere
in direzionali e omnidirezionali. Le
prime sono indicate per comunicare con un punto preciso, quindi sono poco
adatte al wardriving dove il nostro scopo è di rilevare i segnali
wireless che provengono da qualsiasi punto intorno a noi, ma risultano
molto utili per comunicare con un AP già rilevato anche da notevole
distanza. Le antenne omnidirezionali assicurano una copertura in tutte
le direzioni, ma proprio per questo hanno una portata inferiore: sono
le più adatte al wardriving quando ci spostiamo nelle città
in macchina o a piedi. Consultiamo questo sito per visionare vari tipi
di antenne omnidirezionali mobili: http://www.hyperlinktech.com.
Un discorso a parte va fatto per le antenne costruite in casa: se abbiamo
una discreta manualità possiamo cimentarci nella costruzione della
famosa "cantenna", utilizzando un qualsiasi
barattolo metallico (oltre che un connettore a N e del filo di rame da
circa 2/3 mm) e risparmiando non poco rispetto all'acquisto sui siti specializzati.
Per avere istruzioni dettagliate sulla costruzione consultiamo i seguenti tutorial:
Global Positioning System
Il dispositivo GPS può interagire con i programmi di wardriving
registrando in tempo reale le coordinate degli Access
Point. In realtà le coordinate registrate saranno quelle relative
alla nostra posizione, da cui potremo risalire alla posizione precisa
dell'AP in base all'intensità del segnale irradiato. Per interpretare
questi dati possiamo usufruire di diversi programmi, ad esempio StumbVerter
che estrae le informazioni dal formato utilizzato in NetStumbler. Fra
i produttori di dispositivi GPS più conosciuti citiamo Garmin,
Magellan
e Holux.
Ora che abbiamo preparato il nostro kit per wardriving, possiamo
iniziare la ricerca: di seguito scopriremo come avere accesso alle reti
wireless individuate tramite NetStumbler, anche se protette dalla crittografia
WEP, e come proteggere la nostra rete dai medesimi tentativi di penetrazione.
SSID
Prima di tutto, per connetterci a una rete wireless abbiamo bisogno del suo SSID
(alcune schede lo chiamano network name, nome della rete).
Tramite NetStumbler otterremo facilmente questa informazione, dato che
la maggior parte degli Access Point è configurata per inviarla
automaticamente su richiesta specifica. Dopo averlo trovato, è
sufficiente configurare la nostra scheda inserendolo nello spazio apposito
(cfr. NetStumbler) oppure utilizzando il comando iwconfig
su Linux.
WEP
L'algoritmo WEP, che può essere attivato a protezione della rete
wireless (ma purtroppo questa non è la regola), si basa su una
chiave segreta utilizzata per criptare i dati fra l'Access Point e i client.
Gli altri componenti del pacchetto (Header 802.11, IV,
ID) non vengono criptati e questo è all'origine di uno dei problemi
di sicurezza del WEP: 24 bit della chiave segreta condivisa
(che può essere a 64 oppure 128bit) derivano direttamente dal campo
IV. Questo ha portato alla messa a punto di diversi tipi di attacco. Il
cracking dei pacchetti consiste nell'acquisizione di
un gran numero di pacchetti per facilitare l'analisi e il confronto in
base all'IV. Esistono anche attacchi a forza bruta per
determinare la chiave tramite dizionario. Il programma AirSnort,
di cui abbiamo già parlato, sfrutta proprio la vulnerabilità
dell'IV per eseguire il cracking dei pacchetti.
MAC
Alcuni fornitori implementano un controllo degli accessi basato sull'indirizzo
MAC dei client. Questo significa che, pur avendo SSID e chiave WEP corretti,
potremmo non riuscire ad accedere alla rete wireless perché il
nostro MAC non è presente nella lista di quelli autorizzati. Anche
in questo caso è possibile rimediare: con AiroPeek NX
possiamo facilmente ottenere una lista di indirizzi MAC validi sulla rete.
Successivamente dovremo impersonare uno dei MAC trovati, modificando l'indirizzo
della nostra scheda con un tool adatto. Su Windows possiamo utilizzare
il programma Bwmachak per le schede Orinoco, oppure modificare la chiave
"NetworkAddress" nel registro di sistema. Per
Linux è sufficiente il comando ifconfig. In entrambi
i casi dovremo disabilitare la scheda prima di cambiare l'indirizzo MAC.
Abbiamo visto come siano sufficienti pochi programmi per automatizzare
la ricerca e il cracking delle reti wireless. Il pericolo è ancora
maggiore quando la rete non è protetta efficacemente: ecco qualche
consiglio per rendere più duro il compito degli aggressori, implementando
contromisure adeguate.
- Rilevazione della rete: se il nostro AP lo consente,
disabilitiamo la risposta alla Broadcast Probe Request. Alcuni programmi
(come NetStumbler) si basano unicamente su questo metodo di rilevamento. - Rilevazione SSID: anche in questo caso è
valido il consiglio di prima; inoltre eliminiamo il SSID dai beacon
frame che vengono inviati costantemente dall'AP, e evitiamo di utilizzare
SSID di default. - Crittografia WEP: utilizziamo sempre chiavi a 128
bit di almeno 8 caratteri, possibilmente escludendo termini presenti
sul dizionario. Implementiamo, se presente, l'algoritmo WEP-Plus.
Cambiamo di frequente le chiavi condivise: questo limita di molto
gli effetti di un possibile cracking, perché l'aggressore sarebbe
in possesso di una chiave ormai inutile.
Per evitare che la nostra rete wireless venga rilevata troppo facilmente,
controlliamo e regoliamo la propagazione delle onde radio dell'Access
Point: la dispersione delle onde all'esterno dell'edificio non è
salutare per la nostra sicurezza. Un Intrusion Detection System, inoltre,
sarebbe in grado di informarci del tentativo di intrusione prima che questo
vada a buon fine.
Bibliografia
- Mike Schiffman, Scacco agli hacker, Milano, Apogeo 2002
- S. McClure, J.Scambray e G.Kurtz, Hacker! 4.0, Milano, Apogeo 2003
