1
WLAN #HACKING
Ein Vortrag von
Phil Krämer
05. Juni 2014 / Hackspace Siegen
2
Hallo, ich bin Phil.
3
4
5
Hinweis zum Anfang
Das unaufgeforderte Eindringen in fremde, gesicherte*
Funknetze ist verboten.
* WEP-„gesicherte“ Netz...
6
Hinweis zum Anfang
Hier gibt es nichts Neues.
7
Dieser Vortrag

soll Grundkenntnisse vermitteln.

soll sensibilisieren und aufklären.

soll nicht dazu verleiten, ab ...
8
Ich rede

über ein bisschen Kryptografie.

über WEP, WPA und WPS.

darüber, was Leute in fremden Netzen so anstellen ...
9
Richtlinien und Gesetze
10
Richtlinien und Gesetze
§ 1004 BGB: Beseitigungs- und Unterlassungsanspruch
(1) Wird das Eigentum in anderer Weise als ...
11
Richtlinien und Gesetze
§ 97 UrhG: Anspruch auf Unterlassung und Schadensersatz
(1) Wer das Urheberrecht [...] verletzt...
12
Richtlinien und Gesetze
BGH: Sommer unseres Lebens
Privatpersonen können auf Unterlassung, nicht dagegen auf Schadenser...
13
Na und, warum sollte mich
das interessieren?
14
15
Warum?

Selbstschutz (technisch)

Selbstschutz (juristisch)

Erweiterung des eigenen Verständnisses

Spaß!
16
Und was brauche ich jetzt
für Werkzeuge?
17
Werkzeuge

Hardware

PC, Laptop, Raspberry Pi, Smartphone, …

WLAN Hardware vorausgesetzt

Software

Linux

aircr...
18
Attacke!!1
19
Angriffe: Inhalt

Kurze Einführung in WEP, WPA und WPS

Kurze Einführung in verschiedene Attacken

So wenig Mathe wi...
20
Was man eher nicht tun sollte...
21
Angriffe: Schlechte Variante

Brute Force (das Durchraten aller möglichen Kombinationen)

Sogar bei relativ kurzen Pa...
22
Brute Force: Rechenbeispiel
Annahmen:

9 Ziffern, 30 Groß- und Kleinbuchstaben (inkl. Umlaute und ß), also 68 Zeichen
...
23
Brute Force: Rechenbeispiel
Anzahl möglicher Kombinationen:
28 Stellen
* Alle Angaben ohne Gewähr
24
Brute Force: Rechenbeispiel
Sagen wir, unsere Hardware kann pro Sekunde 300
Kombinationen fehlerfrei prüfen. Brute Forc...
25
Brute Force Rechenbeispiel
26
Aber...
27
Ein naiver Angriff
28
Naiver Angriff

Sehr offensichtlich
„Hey, wie ist denn dein
WLAN-Passwort?“

Erfolgsquote hoch

Enorme Arbeitserleic...
29
WEP
30
2001
31
2001
32
2004
33
WEP

Wired Equivalent Privacy

Kaputt™ seit 1999. Also schon immer.

Wird immer noch ausgeliefert.

Fand bis vor ku...
34
WEP: Funktionsweise
Wie sieht so ein WEP-Paket eigentlich aus?
35
WEP: Verschlüsselung

Im Grunde genommen XOR-Operation angewandt auf
RC4*-Keystream und Nachricht sowie deren Prüfsumm...
36
WEP: Ein Paket
37
WEP: Schwachstellen

CRC32 ist als Message Authentication Code unbrauchbar
man kann Pakete modifizieren→

Durch viele...
38
Demo
39
Demo

Hardware

Router (erstellt ein WEP-„gesichertes“ Netz)

Laptop mit handelsüblichem, etwa 10 Jahre altem USB-WL...
40
Ablauf

ARP-Replay Attacke auf Router, um Datenverkehr zu
generieren

Datenverkehr abhören und aufzeichnen

Aus den ...
41
Show Time
42
WEP ist doof. Wir machen
WPA.
43
Eine Übergangslösung

WPA war nur eine Übergangslösung, bis WPA2 fertig
war.

Man braucht keine neue Hardware, nur Fi...
44
Was kann WPA?

Immer noch RC4.

Versuch, den Netzwerkschlüssel besser zu sichern
(„Hashing“ der Passphrase, 4-Way-Han...
45
Wie funktioniert WPA nun?
Passphrase
PBKDF2 (SSID)
PSK (256 bit)
4 Way Handshake
„Session Key“
46
Aus Sicht des Angreifers
Passphrase
PBKDF2 (SSID)
PSK (256 bit)
4 Way Handshake
„Session Key“
bekannt
unbekannt
47
Aus Sicht des Angreifers
Da bleibt nur ein Blick ins Wörterbuch.
48
Wifi Protected Setup. Haha.
49
WPS

WPA ist schön, aber wer will sich schon so viele doofe
Zeichen merken?

Lösung: WPS (2007).

Macht die ganze Ko...
50
Acht Stellen?

Rechnung von eben, 10 Dezimalzahlen, 8 Zeichen, 2 PINs
pro Sekunde prüfbar...

Gerettet!

Fast...
meh...
51
Okay, vielleicht doch nicht

Die letzte Stelle ist eine Prüfziffer.

Also: 10 Dezimalzahlen zur Auswahl, 7 Stellen, 2...
52
Treffen sich ein Router und ein
Client...

C: „Ist die PIN 12345678?“

R: „Nö, die beginnt nicht mit 1234.“

C: „Und...
53
54
Mal die Mathematik checken...

Ursprünglich:

Prüfziffer weg:

Und jetzt:

WPS macht WPA kaputt.
Kombinationen (ein...
55
Und dann?
56
Angreifer im Netzwerk

Verschiedene Attacken

„Man-in-the-Middle“ sehr populär

Man leitet einfach jeden Datenverkeh...
57
dSploit

Früher: ettercap.

Heute: dSploit auf Android.

Viele aktive und passive Angriffe
58
dSploit
59
dSploit
60
dSploit
61
dSploit
62
Akademisches Beispiel mit
Realitätspotenzial und ein
guter Grund, niemals offene
WLAN-Netze zu verwenden
63
Postbankkunden aufgepasst
Test vom 21.04.2014
64
Eine fiese Attacke
Annahmen:

Postbankkunde (mit RC4)

SMS-TAN
65
Ablauf einer fiesen Attacke
1. Ich breche dein WLAN-Netz auf.
2. Ich warte, bis du Onlinebanking machst.
3. RC4 brechen...
66
Ablauf einer fiesen Attacke
4.Dann spamme ich dich mit Werbung voll, die dir
suggeriert, eine App zu installieren.
5.Ap...
67
Ablauf einer fiesen Attacke
6. I win.
7. Ich logge mich ein, erstelle eine Überweisung und
schicke all dein Geld an mei...
68
Kann man sich schützen?
69
Empfehlungen

WPA/WPA2!

Passwort: irgendwas um die 30 Zeichen

Buchstaben, Zahlen, Sonderzeichen, …
70
Empfehlungen

Alle paar Monate mal das Passwort ändern (für die
gänzlich Paranoiden)

MAC-Filter einrichten
71
Empfehlungen

Passwörter einfach nicht weitersagen.

Ab und zu mal Logfiles prüfen, ob wer, den ihr nicht
kennt, Zugr...
72
Empfehlungen

Nur mit TLS im Internet surfen und RC4 ausschalten.
73
Empfehlungen

Als Nutzer: nicht in öffentliche Netzwerke einwählen.

WPS. Nein.
74
Q&A
75
Danke!
Kontakt:
@IsrokaLightwave
phil@phkr.de (0x9F1A0698)
www.phkr.de
...fürs Zuhören an euch!
...an meine wunderbare ...
76
Anhang: Software

wifiite: https://code.google.com/p/wifite/

aircrack-ng: http://www.aircrack-ng.org/

reaver: http...
77
Bildquellen und so

D-Link Router: https://commons.wikimedia.org/wiki/File:Router_D-Link_DIR-600.jpg

Panzerknacker: ...
Upcoming SlideShare
Loading in...5
×

Phil Krämer: WLAN #HACKING

691

Published on

Um sich gegen ungewollte Attacken Dritter auf das eigene Drahtlosnetzwerk zu wehren, muss man zunächst wissen, welche Angriffe und Schwachstellen es gibt. In diesem Vortrag wird erklärt, warum man ein Interesse daran haben sollte, sein eigenes WLAN-Netzwerk abzusichern. Es werden verschiedene Attacken und Schwachstellen erklärt (und vielleicht auch live gezeigt). Anschließend gibt es noch eine Übersicht der Möglichkeiten, die ein Angreifer im Netzwerk hat, sobald dieser sich Zugang verschafft hat.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
691
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Phil Krämer: WLAN #HACKING

  1. 1. 1 WLAN #HACKING Ein Vortrag von Phil Krämer 05. Juni 2014 / Hackspace Siegen
  2. 2. 2 Hallo, ich bin Phil.
  3. 3. 3
  4. 4. 4
  5. 5. 5 Hinweis zum Anfang Das unaufgeforderte Eindringen in fremde, gesicherte* Funknetze ist verboten. * WEP-„gesicherte“ Netzwerke sind faktisch nicht gesichert.
  6. 6. 6 Hinweis zum Anfang Hier gibt es nichts Neues.
  7. 7. 7 Dieser Vortrag  soll Grundkenntnisse vermitteln.  soll sensibilisieren und aufklären.  soll nicht dazu verleiten, ab jetzt euren Porn über Nachbars WLAN zu laden.
  8. 8. 8 Ich rede  über ein bisschen Kryptografie.  über WEP, WPA und WPS.  darüber, was Leute in fremden Netzen so anstellen können  nicht über WPA2.  nicht über Router-Exploits.
  9. 9. 9 Richtlinien und Gesetze
  10. 10. 10 Richtlinien und Gesetze § 1004 BGB: Beseitigungs- und Unterlassungsanspruch (1) Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. [...] Abgerufen am 16.03.2014
  11. 11. 11 Richtlinien und Gesetze § 97 UrhG: Anspruch auf Unterlassung und Schadensersatz (1) Wer das Urheberrecht [...] verletzt, kann von dem Verletzten auf Beseitigung der Beeinträchtigung, bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. [...] (2) Wer die Handlung vorsätzlich oder fahrlässig vornimmt, ist dem Verletzten zum Ersatz des daraus entstehenden Schadens verpflichtet. Abgerufen am 16.03.2014
  12. 12. 12 Richtlinien und Gesetze BGH: Sommer unseres Lebens Privatpersonen können auf Unterlassung, nicht dagegen auf Schadensersatz in Anspruch genommen werden, wenn ihr nicht ausreichend gesicherter WLAN-Anschluss von unberechtigten Dritten für Urheberrechtsverletzungen im Internet genutzt wird. [...] Urteil v. 12.05.2010, Az. I ZR 121/08
  13. 13. 13 Na und, warum sollte mich das interessieren?
  14. 14. 14
  15. 15. 15 Warum?  Selbstschutz (technisch)  Selbstschutz (juristisch)  Erweiterung des eigenen Verständnisses  Spaß!
  16. 16. 16 Und was brauche ich jetzt für Werkzeuge?
  17. 17. 17 Werkzeuge  Hardware  PC, Laptop, Raspberry Pi, Smartphone, …  WLAN Hardware vorausgesetzt  Software  Linux  aircrack-ng, reaver, wifite  Optional: pyrit, coWPAtty, tshark
  18. 18. 18 Attacke!!1
  19. 19. 19 Angriffe: Inhalt  Kurze Einführung in WEP, WPA und WPS  Kurze Einführung in verschiedene Attacken  So wenig Mathe wie möglich, ganz ohne geht es aber dann doch nicht (sorry).
  20. 20. 20 Was man eher nicht tun sollte...
  21. 21. 21 Angriffe: Schlechte Variante  Brute Force (das Durchraten aller möglichen Kombinationen)  Sogar bei relativ kurzen Passwörtern sehr aufwändig (im WLAN)  (Praktikabel, wenn man die Anzahl der Kombinationen reduziert → Wörterbuchattacke)
  22. 22. 22 Brute Force: Rechenbeispiel Annahmen:  9 Ziffern, 30 Groß- und Kleinbuchstaben (inkl. Umlaute und ß), also 68 Zeichen für unseren Zeichenvorrat  Passwortlänge: 15 Zeichen  Fehlerfreie Übertragung (man muss nichts doppelt schicken und alle Pakete kommen störfrei an)  Relativ aktuelle Hardware
  23. 23. 23 Brute Force: Rechenbeispiel Anzahl möglicher Kombinationen: 28 Stellen * Alle Angaben ohne Gewähr
  24. 24. 24 Brute Force: Rechenbeispiel Sagen wir, unsere Hardware kann pro Sekunde 300 Kombinationen fehlerfrei prüfen. Brute Force dauert also im worst case
  25. 25. 25 Brute Force Rechenbeispiel
  26. 26. 26 Aber...
  27. 27. 27 Ein naiver Angriff
  28. 28. 28 Naiver Angriff  Sehr offensichtlich „Hey, wie ist denn dein WLAN-Passwort?“  Erfolgsquote hoch  Enorme Arbeitserleichterung  Sehr auffällig
  29. 29. 29 WEP
  30. 30. 30 2001
  31. 31. 31 2001
  32. 32. 32 2004
  33. 33. 33 WEP  Wired Equivalent Privacy  Kaputt™ seit 1999. Also schon immer.  Wird immer noch ausgeliefert.  Fand bis vor kurzem noch Anwendung in Barcode-Scannern.  Schlank, schnell und einfach
  34. 34. 34 WEP: Funktionsweise Wie sieht so ein WEP-Paket eigentlich aus?
  35. 35. 35 WEP: Verschlüsselung  Im Grunde genommen XOR-Operation angewandt auf RC4*-Keystream und Nachricht sowie deren Prüfsumme.  Input für RC4:  Vom Nutzer gewählter Schlüssel  Initialisierungsvektor (mit ein bisschen Salz) * Schöner Algorithmus. Schlank, schnell. Leider kaputt.
  36. 36. 36 WEP: Ein Paket
  37. 37. 37 WEP: Schwachstellen  CRC32 ist als Message Authentication Code unbrauchbar man kann Pakete modifizieren→  Durch viele, schwache Initialisierungsvektoren kann der Schlüssel byteweise errechnet werden. Was kann da schon schiefgehen?
  38. 38. 38 Demo
  39. 39. 39 Demo  Hardware  Router (erstellt ein WEP-„gesichertes“ Netz)  Laptop mit handelsüblichem, etwa 10 Jahre altem USB-WLAN-Stick von D-Link (zum WLAN knacken)  Software  Aircrack-ng
  40. 40. 40 Ablauf  ARP-Replay Attacke auf Router, um Datenverkehr zu generieren  Datenverkehr abhören und aufzeichnen  Aus den gesammelten Daten den Schlüssel errechnen
  41. 41. 41 Show Time
  42. 42. 42 WEP ist doof. Wir machen WPA.
  43. 43. 43 Eine Übergangslösung  WPA war nur eine Übergangslösung, bis WPA2 fertig war.  Man braucht keine neue Hardware, nur Firmwareupdate.  „Personal“ vs. „Enterprise“
  44. 44. 44 Was kann WPA?  Immer noch RC4.  Versuch, den Netzwerkschlüssel besser zu sichern („Hashing“ der Passphrase, 4-Way-Handshake). Und MD5.
  45. 45. 45 Wie funktioniert WPA nun? Passphrase PBKDF2 (SSID) PSK (256 bit) 4 Way Handshake „Session Key“
  46. 46. 46 Aus Sicht des Angreifers Passphrase PBKDF2 (SSID) PSK (256 bit) 4 Way Handshake „Session Key“ bekannt unbekannt
  47. 47. 47 Aus Sicht des Angreifers Da bleibt nur ein Blick ins Wörterbuch.
  48. 48. 48 Wifi Protected Setup. Haha.
  49. 49. 49 WPS  WPA ist schön, aber wer will sich schon so viele doofe Zeichen merken?  Lösung: WPS (2007).  Macht die ganze Konfiguration automatisch.  Geht per USB, NFC, Tastendruck,achtstelliger PIN.
  50. 50. 50 Acht Stellen?  Rechnung von eben, 10 Dezimalzahlen, 8 Zeichen, 2 PINs pro Sekunde prüfbar...  Gerettet!  Fast... mehr als sechs Jahre per Brute Force!
  51. 51. 51 Okay, vielleicht doch nicht  Die letzte Stelle ist eine Prüfziffer.  Also: 10 Dezimalzahlen zur Auswahl, 7 Stellen, 2 Kombinationen pro Sekunde prüfbar... 237 Tage.  Puh!
  52. 52. 52 Treffen sich ein Router und ein Client...  C: „Ist die PIN 12345678?“  R: „Nö, die beginnt nicht mit 1234.“  C: „Und 13375678?“  R: „Fast. 1337 ist okay, aber 5678 nicht.“ ...
  53. 53. 53
  54. 54. 54 Mal die Mathematik checken...  Ursprünglich:  Prüfziffer weg:  Und jetzt:  WPS macht WPA kaputt. Kombinationen (ein paar Jahre) Kombinationen (Tage) Kombinationen (Stunden...)
  55. 55. 55 Und dann?
  56. 56. 56 Angreifer im Netzwerk  Verschiedene Attacken  „Man-in-the-Middle“ sehr populär  Man leitet einfach jeden Datenverkehr über das eigene Gerät und modifiziert diesen.
  57. 57. 57 dSploit  Früher: ettercap.  Heute: dSploit auf Android.  Viele aktive und passive Angriffe
  58. 58. 58 dSploit
  59. 59. 59 dSploit
  60. 60. 60 dSploit
  61. 61. 61 dSploit
  62. 62. 62 Akademisches Beispiel mit Realitätspotenzial und ein guter Grund, niemals offene WLAN-Netze zu verwenden
  63. 63. 63 Postbankkunden aufgepasst Test vom 21.04.2014
  64. 64. 64 Eine fiese Attacke Annahmen:  Postbankkunde (mit RC4)  SMS-TAN
  65. 65. 65 Ablauf einer fiesen Attacke 1. Ich breche dein WLAN-Netz auf. 2. Ich warte, bis du Onlinebanking machst. 3. RC4 brechen, dann Passwort ausspähen* * Dieser Schritt wird in der Praxis angepasst, um aus der akademischen eine reale Attacke zu machen. TLS suckt.
  66. 66. 66 Ablauf einer fiesen Attacke 4.Dann spamme ich dich mit Werbung voll, die dir suggeriert, eine App zu installieren. 5.App fängt einkommende TAN-SMS ab, leitet sie an mich weiter und entfernt sie vom Telefon.
  67. 67. 67 Ablauf einer fiesen Attacke 6. I win. 7. Ich logge mich ein, erstelle eine Überweisung und schicke all dein Geld an meine schweizer Bankkonten. :)
  68. 68. 68 Kann man sich schützen?
  69. 69. 69 Empfehlungen  WPA/WPA2!  Passwort: irgendwas um die 30 Zeichen  Buchstaben, Zahlen, Sonderzeichen, …
  70. 70. 70 Empfehlungen  Alle paar Monate mal das Passwort ändern (für die gänzlich Paranoiden)  MAC-Filter einrichten
  71. 71. 71 Empfehlungen  Passwörter einfach nicht weitersagen.  Ab und zu mal Logfiles prüfen, ob wer, den ihr nicht kennt, Zugriff auf das Netzwerk hatte. Geht auch automatisch.
  72. 72. 72 Empfehlungen  Nur mit TLS im Internet surfen und RC4 ausschalten.
  73. 73. 73 Empfehlungen  Als Nutzer: nicht in öffentliche Netzwerke einwählen.  WPS. Nein.
  74. 74. 74 Q&A
  75. 75. 75 Danke! Kontakt: @IsrokaLightwave phil@phkr.de (0x9F1A0698) www.phkr.de ...fürs Zuhören an euch! ...an meine wunderbare Freundin für die Grafiken ...an den Lehrstuhl Digitale Kommunikationssysteme der Uni Siegen
  76. 76. 76 Anhang: Software  wifiite: https://code.google.com/p/wifite/  aircrack-ng: http://www.aircrack-ng.org/  reaver: https://code.google.com/p/reaver-wps/  coWPAtty: http://wirelessdefence.org/Contents/coWPAttyMain.htm  pyrit: https://code.google.com/p/pyrit/  tshark: https://www.wireshark.org/docs/man-pages/tshark.html  Ettercap: http://ettercap.github.io/ettercap/  dSploit: http://dsploit.net/
  77. 77. 77 Bildquellen und so  D-Link Router: https://commons.wikimedia.org/wiki/File:Router_D-Link_DIR-600.jpg  Panzerknacker: https://en.wikipedia.org/wiki/File:Beaglefamily.png  Mr. Burns: http://www.distrito13.com.br/wp-content/uploads/2012/06/Montgomery_Burns.png  Apokalypse: http://www.wallsave.com/wallpaper/1920x1080/apocalypse-city-cities-311481.html  Picard Facepalm: http://rowango.files.wordpress.com/2013/09/captain-picard-facepalm.jpg  Picard + Riker Facepalm: http://fc01.deviantart.net/fs71/f/2012/337/3/a/star_trek_by_seekerarmada-d5mzwjp.jpg  HTTPS-Everywhere Logo: https://www.eff.org/files/https-everywhere2.jpg
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×