Vers l'infini et au-delà...! (*): mai 2013

samedi 11 mai 2013

Le vrai faux point d'accès

Dans un article récent (http://www.troyhunt.com/2013/04/the-beginners-guide-to-breaking-website.html) @troyhunt décrivait comment utiliser "Pineapple" pour simuler de faux points d'accès et sniffer le trafic des utilisateurs.
Devant le prix élevé de ce magnifique boitier qu'est "Pineapple" j'ai voulu vérifier si je pouvais réutiliser ma carte Wifi Alfa et m'approcher du même résultat.
Après l'installation de l'utilitaire de gestion de ma carte Alfa j'ai configuré ma carte Wifi en mode "Access Point".

Dans le menu "Mode" on choisit l'option "Access Point"
Puis on sélectionne le menu "Config" et on donne alors les informations concernant le SSID que l'on souhaite activer:

Dans notre cas le SSID est "FreeWifi" sur le canal "1" en mode "Ouvert"

Puis on sélectionne la carte réseau vers laquelle le trafic entrant doit être redirigé. Dans notre cas on choisit la carte réseau connecté sur internet.

On lance ensuite Wireshark et on active une capture sur la carte réseau Alfa

On connecte ensuite notre téléphone sur le réseau "FreeWifi":

Puis on accède à notre site préféré:

Et on saisit nos identifiants d’authentification:

On récupère alors le flux des échanges avec Wireshark. Il ne nous reste alors plus qu’à étudier le détail des échanges

Lors de cette étude des flux HTTP (et non pas HTTPS) on récupère le nom de l'utilisateur et le mot de passe.
C’est gagné!
Malheureusement de nombreux sites web sont encore en HTTP et intégrent ce genre de défaut de conception permettant ce type d'attaques.

En conclusion, notre solution fonctionne bien mais présente encore quelques limitations par rapport à la solution basée sur "Pineapple".
La différence la plus remarquable est que "Pineapple" peut fonctionner en mode "YES AP" et dire “oui” à toutes les demandes d'accès quelque soit le nom du SSID.
"Pineapple" est également plus puissant que ma carte Alfa et peut donc être vu par plus de cibles potentielles.

vendredi 10 mai 2013

L'Alfa et le WPA

A la recherche d'une carte Wifi compatible avec les outils de Backtrack, j'ai fini par trouver la carte idéale: l'Alfa Networks AWUS036H.
Et il y a quelques mois maintenant, j'ai reçu ma nouvelle carte. Il ne me restait plus qu'à trouver le temps de la tester.
Pour commencer mes tests j'ai choisi de réaliser un grand classique “archi” connu: craquer un réseau Wifi WPA.

Pour plus d'informations sur WPA et ses attaques je vous propose de jeter un oeil sur l'article suivant "Du rififi dans le Wifi! Le WPA malmené!"

Je vais décrire ici les différentes étapes à suivre.

Est-il nécessaire de rappeler que cette attaque de WPA consiste à attaquer la clé partagée supposée faible?
Notre cible dans ce cas est, soit un particulier, soit une petite entreprise, utilisant PSK au lieu d'un des mécanismes d'authentification d'EAP.

L'expérience montre qu'une attaque de type "dictionnaire" à de forte probabilités d'échouer si la clé partagée est suffisamment forte et qu'une attaque de type "bruteforce" peut durer longtemps, très longtemps, trop longtemps!
L'attaque la plus raisonnable consiste à obtenir un maximum d'informations sur la cible (en utilisant des techniques de Social Engineering) puis d'utiliser un outil comme "Cupp" que l'on trouve dans Backtrack (confer l'article "Générer des mots de passe intelligents avec Cupp!" ) pour générer les clés les plus probables.

Dans notre exemple nous connaissons déjà la clé partagée et nous allons utiliser une attaque de type "dictionnaire".

Dans Backtrack on commence par ouvrir une console pour vérifier que la carte Wifi utilisée est bien compatible avec Backtrack (notre carte réseau s'appelle "wlan0")

> airmon-ng start wlan0

La commande ci-dessus permet d'activer le mode "monitor" sur notre carte Wifi, en créant une 2ème carte réseau appelée "mon0"

Pour rappel le mode "monitor" permet d'intercepter le trafic réseau "Wifi". La différence avec le mode "promiscuous" est que le mode "monitor" permet également de ne pas avoir à associer la carte avec un point d'accès.
Le mode "monitor" ne s'adresse qu'aux réseaux "Wifi" à la différence du mode "promiscuous".

Avant de sniffer le réseau on peux changer l’adresse MAC pour plus de discrétion de la manière suivante:

> ifconfig mon0 down
> macchanger -m 00:11:22:33:44:55 mon0
> ifconfig mon0 up

Puis on lance la commande

> airodump-ng mon0

Cette commande permet de récupérer les SSIDs et les stations présentes.

On choisit un SSID configuré en mode PSK / TKIP (par exemple), on note la valeur du canal et on lance la commande

> airodump-ng -c <canal> -w <fichier_logs> --bssid 00:19:70:3A:77:BB --ivs mon0

"--ivs" correspond au format de sortie du fichier "log"

Dans une autre console on lance la commande ci-dessous (et on attend quelques secondes pour que toutes les trames soient traitées). Cette commande permet de générer du trafic pour permettre la création d’un fichier “log” que l’on va ensuite utiliser en entrée de “aircrack_ng” pour “bruteforcer” la clé partagée.

> aireplay-ng -0 1 -c <station> -a <bssid> mon0

"-a" correspond au BSSID de notre point d'accès ciblé
"-c" correspond à la station
"1" correspond au nombre de fois où la séquence est envoyée

Puis dans la même console on peut lancer le "bruteforce" sur la clé partagée:

> aircrack-ng -w <fichier_bruteforce> <fichier_logs>

Une fois n'est pas coutume vous trouverez ci-dessous une vidéo qui décrit assez bien les différentes étapes à réaliser.

jeudi 9 mai 2013

6 mois d’absence…

Après 6 mois d’absence, me voilà enfin de retour!

Ces 6 mois ont été bien occupés par 2 activités principales.

Tout d’abord la création de Secutic,

Avec 2 camarades et amis, Ely de Travieso (Phonesec) et Cédric Messeguer (Telindus) nous avons créé Secutic (sur une idée originale d’Ely; à tout seigneur tout honneur). Secutic est un événement marseillais autour de la cyber-criminalité et de l’intelligence économique. Cette événement a eu lieu le 6 décembre 2012.

De droite à gauche, Cédric, Ely et votre serviteur

Inutile de vous résumer ce qui s’y est dit ou fait. Tout est ici et la dans la blog de @poulpita. Bon c’est en anglais!

Nous vous attendons lors du prochain événement planifié en décembre 2013! Moi de mon côté, je quitte l’organisation de Secutic! Trop d’activités autour de la sécurité et pas assez de temps pour tout faire! Mais je reste un ardent sponsor de Secutic!

Pour vous donner une idée de l’importance de l’évènement, jetez un oeil sur cette courte vidéo:

Puis la création d’un nouveau cours sur la sécurité.

Ce nouveau cours porte plus particulièrement sur la PKI (Infrastructure à clef publique) et vient en plus de mon cours sur la sécurité des applications “web” que je donne maintenant depuis 5 ans ! Le temps passe vite!

Je donne le cours sur la PKI à des ingénieurs 3ème année d’Aix-en-Provence et le cours sur la sécurité des applications web à ces mêmes ingénieurs et dans un master parisien.

Contactez-moi pour plus d’informations!

L'objectif principal de ce blog est de sensibiliser les étudiants, les développeurs et les décideurs à la sécurité: des applications web aux clefs USB. Cette sensibilisation passe par la présentation d'outils et des scénarii d'attaques les plus communément utilisés. Ce blog traite également de la sécurité "appliquée" à notre vie de tous les jours et autres sujets connexes.

Bien entendu l'usage des informations présentes dans ce blog doit uniquement se faire dans un cadre "éthique".

Note: les opinions, les prises de position et le contenu de ce blog n'engagent que son auteur, et ce, à titre personnel seulement. En d'autres termes, le contenu du blog ne représente aucunement la position officielle de mon employeur.

Vers l'infini et au-delà...! (*)