Segurança e Forense em Redes de Computadores

whoami

Euler Neto

Entusiasta NTI GDG AracajuSegurança (UFS São Cristóvão)

Segurança em Redesde Computadores sem fio

WLAN Frames

WLAN Frames

● Tipos○ Management: manutenção da comunicação entre o access point

e o cliente

○ Control: troca de dados entre o access point e o cliente

○ Data

WLAN Frames

● Management○ Authentication○ De-authentication○ Association (Request e Response)○ Reassociation (Request e Response)○ Disassociation○ Beacon○ Probe (Request e Response)

WLAN Frames

● Control Frames○ Request to Send (RTS)○ Clear to Send (CTS)○ Acknowledgement (ACK)

Aircrack-ng

● Conjunto de ferramentas para captura e análise em redes sem fio

● Principais ferramentas:○ airmon-ng: ativar modo monitor da interface○ airodump-ng: captura de dados na rede sem fio○ aircrack-ng: quebra de chaves○ aireplay-ng: injetar pacotes na rede sem fio

Interface de rede (NIC)

● Modo Normal: captura tráfego da rede que está associado

● Modo Monitor: captura qualquer dado que circula no ar

Interface de rede (NIC)

● Ativando modo Monitor com o aircrack-ng

#: airmon-ng

Interface Chipset Driver

wlan0 Ralink 2573 USB rt73usb - [phy0]

#: airmon-ng start wlan0

Interface Chipset Driver

wlan0 Ralink 2573 USB rt73usb - [phy0](monitor mode enabled on mon0)

Interface de rede (NIC)

● Ativando modo Monitor com o aircrack-ng

#: airmon-ng

Interface Chipset Driver

wlan0 Ralink 2573 USB rt73usb - [phy0]mon0 Ralink 2573 USB rt73usb - [phy0]

Criptografia WLAN

● WEP

● WPA / WPA2

Criptografia WLAN

● WEP○ Foi descoberto como quebrar em 2000○ Fragilidade pelo IV (vetor de inicialização)○ Depende de tráfego na rede○ Quanto mais pacotes capturados, melhor

#: airodump-ng --bssid <endereço MAC do AP> --channel <canal> --write <arquivo> mon0

Criptografia WLAN

● WEP○ Processo do airodump-ng

CH 9 ][ Elapsed: 8 mins ][ 2007-03-21 19:25 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:14:6C:7E:40:80 42 100 5240 178307 338 9 54 WEP WEP MyNetwork BSSID STATION PWR Lost Packets Probes 00:14:6C:7E:40:80 00:0F:B5:88:AC:82 42 0 183782

Criptografia WLAN

● WEP○ E se não houver tráfego?○ É possível injetar pacotes para “simular” tráfego

#: aireplay-ng -3 -b <endereço MAC do AP> -h <endereço MAC do cliente> mon0

Criptografia WLAN

● WEP○ Processo do aireplay-ng (ARP Request)

Saving ARP requests in replay_arp-0321-191525.cap You should also start airodump-ng to capture replies. Read 629399 packets (got 316283 ARP requests), sent 210955 packets...

Criptografia WLAN

● WEP○ Utilizar aircrack-ng com o arquivo gerado pelo

airodump-ng○ Se funcionar, a senha da rede será revelada○ Se não funcionar, repetir todo o processo

capturando mais pacotes

#: aireplay-ng -3 -b [endereço MAC do modem] -h [endereço MAC do cliente] mon0#: aircrack-ng <arquivo>

Criptografia WLAN

● WEP○ Processo do aircrack-ng

Aircrack-ng 0.9 [00:03:06] Tested 674449 keys (got 96610 IVs) KB depth byte(vote) 0 0/ 9 12( 15) F9( 15) 47( 12) F7( 12) FE( 12) 1B( 5) 77( 5) A5( 3) F6( 3) 03( 0) 1 0/ 8 34( 61) E8( 27) E0( 24) 06( 18) 3B( 16) 4E( 15) E1( 15) 2D( 13) 89( 12) E4( 12) 2 0/ 2 56( 87) A6( 63) 15( 17) 02( 15) 6B( 15) E0( 15) AB( 13) 0E( 10) 17( 10) 27( 10) 3 1/ 5 78( 43) 1A( 20) 9B( 20) 4B( 17) 4A( 16) 2B( 15) 4D( 15) 58( 15) 6A( 15) 7C( 15) KEY FOUND! [ 12:34:56:78:90 ] Probability: 100%

Criptografia WLAN

● WPA / WPA2○ WPA utiliza um algoritmo de segurança mais

robusto (TKIP)○ WPA2 utiliza um ainda mais robusto (AES-CCMP)○ Mas ambos são vulneráveis a ataque de dicionário

(WPA-Personal)

Criptografia WLAN

● WPA / WPA2○ Por que são vulneráveis?

Criptografia WLAN

● WPA / WPA2○ Também utilizando o airodump-ng○ Após executar o airodump-ng, esperar por um

handshake

Criptografia WLAN

● WPA / WPA2○ E se não tiver handshake?○ Se já tiver algum usuário na rede, o força a

reconectar

○ Se não tiver, infelizmente nada pode ser feito

#: aircrack-ng [arquivo]#: aireplay-ng --deauth 1 -a <endereço MAC do usuário conectado> mon0

Criptografia WLAN

● WPA / WPA2○ Necessita de um bom dicionário

#: aircrack-ng <arquivo> -w <dicionario>

Man-in-the-Middle

● Se colocar entre um cliente e o access point● Interceptar o tráfego● Algumas maneiras de fazer:

○ arp spoofing○ Fake AP

Man-in-the-Middle

● Arp spoofing○ Funcionamento do protocolo ARP○ Vulnerabilidade do ARP○ Explorando a vulnerabilidade

Man-in-the-Middle

● Protocolo ARP○ ARP Request

Quem é 192.168.1.5?Quem é 192.168.1.5?

Quem é 192.168.1.5? 192.168.1.5

192.168.1.3

192.168.1.6

Man-in-the-Middle

● Protocolo ARP○ ARP Reply

Quem é 192.168.1.5?EU! End. MAC: AA:AA:AA:AA

Quem é 192.168.1.5?

192.168.1.3

192.168.1.6

192.168.1.5

Man-in-the-Middle

● ARP Spoof○ ARP Request

Quem é 192.168.1.5?Quem é 192.168.1.5?

Quem é 192.168.1.5? 192.168.1.5

192.168.1.3

192.168.1.6

Quem é 192.168.1.5?

Man-in-the-Middle

● ARP Spoof○ ARP Reply (O atacante envia o sinal primeiro)

Quem é 192.168.1.5?

Quem é 192.168.1.5? 192.168.1.5

192.168.1.3

192.168.1.6

EU! End. MAC: AA:AA:AA:AA

EU! End. MAC: BB:BB:BB:BB

Man-in-the-Middle

● Por que funciona?○ Arp spoofing○ “Engana” o cliente e o access point○ Ativar encaminhamento de pacotes

#: echo 1 > /proc/sys/net/ipv4/ip_forward

Man-in-the-Middle

● MITM Passivo○ HTTP○ Não há alteração de dados

A A

BB

Man-in-the-Middle

● MITM Passivo○ Arpspoof

#: arpspoof -i wlan0 -t <IP da vítima> <IP do gateway>

#: arpspoof -i wlan0 -t <IP do gateway> <IP da vítima>

Man-in-the-Middle

● MITM Ativo○ HTTPS○ Alteração de dados

A C

BD

Man-in-the-Middle

● MITM Ativo○ Arpspoof + SSL Strip

#: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port <porta não reservada>

#: ssltrip -w <arquivo> -l <porta não reservada>

Man-in-the-Middle

● MITM Ativo○ Resultado: certificado falso

Man-in-the-Middle

● MITM Ativo○ Por que funciona?

■ Falta de informação do cliente

Man-in-the-Middle

● Fake AP○ Criar um AP falso pra enganar a vítima○ Honeypot○ Cuidado com as redes preferenciais

Man-in-the-Middle

● Fake AP (Honeypot)○ Atrair a vítima para o AP falso

○ Criar uma rede falsa com: 1. Mesmo ESSID que a vítima está

associada2. ESSID com um nome falso (ex:

aeroporto, café, …)

Man-in-the-Middle

● Fake AP (Honeypot)○ Rastrear clientes com airodump-ng○ Criar o AP falso com airbase-ng

#: airbase-ng --essid <nome do AP> -c <canal> mon0

Man-in-the-Middle

● Fake AP (Honeypot)○ “Chamar” o cliente○ Ou aumenta o seu sinal…○ ...ou diminui o dele (?)

Man-in-the-Middle

● Fake AP○ aircrack-ng

Análise Forense em Redesde Computadores sem fio

Conceitos

● Perícia forense: ”suporte técnico ao judiciário, realizado por pessoas capacitadas, para responder a quesitos aos quais o judiciário não dispõe de embasamento suficiente para julgar com precisão”

Conceitos

● Computação forense: ”área da computação responsável por dar resposta ao judiciário em questões envolvendo sistemas computacionais”

Conceitos

● Forense em redes: ”captura, armazenamento, manipulação e análise de dados que trafegam (ou trafegaram) em redes de computadores como parte de um processo investigativo”

Grampo digital

● Investigação através de um grampo digital

● Fases:○ Instalação do grampo○ Captura de dados○ Análise de dados

Instalação do grampo

● Procedimento físico: identificar ponto de captura, técnica utilizada

● Técnicas○ Monitorar portas○ Interceptar dados

● Através de portas de monitoramento

Instalação do grampo

A B C D

mensagem de A para B

B recebe

Sniffer instalado

D recebe todo

tráfego de/para A

● Através de interceptação intermediária

Instalação do grampo

A B C

mensagem de A para B

B recebe

Sniffer instalado

D recebe todo tráfego de/para A

D

Instalação do grampo

● Grampo: host associado à rede

● Se não estiver associado○ Captura em modo monitor○ Quebra a chave

Captura de dados

● Procedimento lógico: escolha de software, parâmetros de captura, filtros

● Filtrar dados○ Wireshark?○ tcpdump

Captura de dados

● Filtros no tcpdump○ Por host

○ De um host para outro

#: tcpdump -X -vvv -n -i wlan0 -s0 host <IP> [ and host <IP>]

#: tcpdump -X -vvv -n -i wlan0 -s0 src host <IP> and dst host <IP>

Captura de dados

● Filtros no tcpdump○ Por porta

○ Gravando em arquivo

#: tcpdump -X -vvv -n -i wlan0 -s0 port <porta> [ and port <porta>]

#: tcpdump -X -vvv -n -i wlan0 -w <arquivo>

Análise de dados

● Identificar conteúdo capturado● Responder ao judiciário● Técnicas

○ Casamento de padrões○ Campos do protocolo○ Filtragem

Análise de dados

● Wireshark○ Boa interface○ Vários recursos○ Exportação de pacotes (Follow TCP Stream)

● Chaosreader○ Reconstrói sessão no formato HTML

Análise de dados

● Wireshark

Análise de dados

● Wireshark○ Follow TCP Stream:

■ Baseado em protocolos TCP■ Mostra sequência do tráfego■ Exportação de dados

Análise de dados

● Chaosreader○ Alguns screenshots: http://www.brendangregg.

com/chaosreader.html

Conclusões

● Vulnerabilidades existem● Conhecer como se ataca para se defender● Área forense

Referências● Ramashadran, Vivek. BackTrack 5 Wireless Penetration

Test: Beginner’s Guide. Packt Publishing, 2011.

● Kléber, Ricardo. Introdução à Análise Forense em Redes de Computadores: conceitos, técnicase ferramentas para “grampos digitais”. Novatec, 2013.