VoIP and Hacking

Le reti lan wireless sono molto più vulnerabili ad attacchi di tipo denial-of-service (DoS) di quanto lo siano le reti cablate.
Il MAC layer 802.11 incorpora funzionalità indirizzate ad affrontare problematiche specifiche delle reti wireless. In particolare, ciò comprende la capacità di rilevare networks, aggregarvisi e abbandonarle, e di coordinare l’accesso al mezzo radio.
Alcune vulnerabilità derivano direttamente da tali funzionalità e possono essere in linea generale catalogate in due categorie: “identity” e “media-access control”.

Vulnerabilità relative all’identità
Come gli hosts appartenenti ad una rete Ethernet cablata, i nodi 802.11 sono identificati a livello MAC con indirizzi di 12 byte globalmente unici. Un campo nel frame contiene gli indirizzi sia del mittente che del ricevente.
Per questi frames, e per la maggior parte dei messaggi di management e controllo, le reti 802.11 standard non prevedono alcun meccanismo per la verifica dell’identità così autocertificata. Di conseguenza, un attaccante può “interpretare” altri nodi e richiedere vari servizi del MAC-layer in loro vece. Questo riconduce a distinte vulnerabilità.

Deautenticazione
Un esempio è rappresentato dal “deauthentication attack”. Quando un client 802.11 ha individuato un access point da usare, perché ciò sia possibile, deve prima autenticarsi con il medesimo. In aggiunta, parte del framework relativo alla autenticazione è un messaggio che permette ai clients e agli access points di richiedere esplicitamente e reciprocamente la deautenticazione. Sfortunatamente, tale messaggio non è a sua volta in alcun modo autenticato. Di conseguenza l’attaccante può inviare questo messaggio, pretendendo di essere l’ access point (oppure il client), alla controparte. In risposta, l’ access point (oppure il client) uscirà dallo stato di autenticato e rifiuterà ulteriori pacchetti fino a che l’ autenticazione non sia stata ristabilita. Quanto velocemente essa venga ristabilita dipende da quanto aggressivamente il client tenti di riautenticarsi.
Ripetendo continuamente l’ attacco, un client può essere reso non più in grado di trasmittere o ricevere dati.
Uno dei punti di forza di questo attacco è rappresentato dalla sua grande flessibilità: un attaccante può decidere di negare l’ accesso a clients individuali, o semplicemente limitarlo in velocità, oltre a bloccare semplicemente l’ intero channel.

Disassociazione
Una vulnerabilità molto simile è riscontrabile anche a carico del protocollo di associazione, fase successiva a quella di autenticazione. Dal momento che un client può trovarsi autenticato con più access points contemporaneamente, lo standard 802.11 prevede uno speciale messaggio di associazione  per consentire a client ed access point di concordare quale access point debba avere la responsibilità di inoltrare pacchetti da e verso la rete cablata per conto del client. Analogamente a quelli di autenticazione, i frames di associazione non sono autenticati, e lo standard 802.11 prevede inoltre un messaggio di disassociazione simile al messaggio di deautenticazione descritto in precedenza. L’exploit di questa vulnerabilità è funzionalmente identico all’attacco di deautenticazione. E facile concludere che l’attacco di disassociazione è leggermente meno efficiente dell’attacco di deautenticazione.
Ciò a causa del fatto che la deautenticazione obbliga il nodo vittima a compiere più attività per ritornare allo stato di associato di quanto non comporti la disassociazione, mentre richiede invece scarso impegno all’ attaccante.

Esempi di noti tools in grado di sfruttare tali vulnerabilità sono airjack e void11 (limitati ad utilizzare chipsets Prism), e mdk3.

mdk3

Mdk3 è un tool di attacco (o di assessment, intendendolo al contrario) che può venire utilizzato per attuare una serie piuttosto ampia ed assolutamente devastante di attacchi rivolti a rendere inagibile una rete Wi-Fi.

Particolarmente potente è la sua caratteristica di de-autenticazione di massa, che mira a disconnettere tutti i client nel circondario dai loro rispettivi access point e che funziona praticamente sempre, e per tutto il tempo per il quale si intende portare avanti l’attacco.

Invocato senza argomenti, il programma visualizza una schermata di help che elenca le sue funzionalità:

# mdk3
MDK is a proof-of-concept tool to exploit common IEEE 802.11 protocol weaknesses.
IMPORTANT: It is your responsibility to make sure you have permission from the
network owner before running MDK against it.

This code is licenced under the GPLv2

MDK USAGE:
mdk3 <interface> <test_mode> [test_options]

Try mdk3 --fullhelp for all test options
Try mdk3 --help <test_mode> for info about one test only


TEST MODES:
b   - Beacon Flood Mode
      Sends beacon frames to show fake APs at clients.
      This can sometimes crash network scanners and even drivers!
a   - Authentication DoS mode
      Sends authentication frames to all APs found in range.
      Too much clients freeze or reset some APs.
p   - Basic probing and ESSID Bruteforce mode
      Probes AP and check for answer, useful for checking if SSID has
      been correctly decloaked or if AP is in your adaptors sending range
      SSID Bruteforcing is also possible with this test mode.
d   - Deauthentication / Disassociation Amok Mode
      Kicks everybody found from AP
m   - Michael shutdown exploitation (TKIP)
      Cancels all traffic continuously
x   - 802.1X tests
w   - WIDS/WIPS Confusion
      Confuse/Abuse Intrusion Detection and Prevention Systems
f   - MAC filter bruteforce mode
      This test uses a list of known client MAC Adresses and tries to
      authenticate them to the given AP while dynamically changing
      its response timeout for best performance. It currently works only
      on APs who deny an open authentication request properly
g   - WPA Downgrade test
      deauthenticates Stations and APs sending WPA encrypted packets.
      With this test you can check if the sysadmin will try setting his
      network to WEP or disable encryption.

Solamente citato nel documento accompagnatorio al tool (non a caso si chiama Documentation_incomplete.html) il cosidetto Multi Destruction Mode, in grado di mettere in ginocchio una rete wireless costringendola ad un reset hardware.

Consiste in una combinazione di attacchi differenti.

• Un attacco di tipo beacon flood per generare falsi APs con lo stesso nome della vittima
• Un attacco di tipo auth-DoS verso l’originale AP in intelligent mode
• Un attacco di tipo amok per escludere i clients

In simili circostanze, nessuno potrebbe accedere alla rete wireless, dato che:

1. Verrebbe escluso quando tenta di connettersi (Amok mode)
2. Vedrebbe migliaia di APs, incapace di distinguere quello cui connettrsi (beacon flood)
3. L’ originale AP potrebbe essere troppo occupato per essere in grado di gestire i clients reali (auth-DoS)

Vulnerabilità relative al media-access control

Ogni rete wireless è soggetta alfenomeno della radio-interferenza, accidentale od intenzionale. Dato che una rete 802.11b/g (e talvolta 802.11n) utilizza la inflazionata banda 2.4 GHz, sono piuttosto comuni le interferenze causate da altri devices radio, Bluetooth, telefoni cordless, forni a microonde nonché  WLANs adiacenti.
La maggior parte delle interferenze è accidentale. Anche se un attaccante potrebbe usare un potente generatore RF signal per disturbare le trasmissioni, vi sono modi più comodi per ottenere lo stesso risultat. Per esempio un attacco di tipo “Queensland”:

Queensland DoS
Probabilmente il più devastante attacco di tipo denial of service per le reti wireless è il Queensland. Così battezzato perché scoperto nell’ambito della Queensland University of Technology, tale attacco dimostra che se un adattatore viene posto nel cosidetto “continuous transmit mode” su uno specifico canale, tutta l’attività wireless nelle immediate vicinanze di quel canale viene interrotta. Per certi adattatori, questo attacco interrompe completamente qualsiasi connectività, costringendo il client ad un reboot.

Per poter operare in “continuous transmit mode” è tuttavia necessario utilizzare drivers particolari. In tal caso tuttavia attuare un attacco diventa di una facilità disarmante.
Per inibire l’accesso al channel 6 basterebbe

Attivare l’interfaccia
# ifconfig ath0 up

Impostarla per lo specifico channel
# iwconfig ath0 channel 6

Porla in continuous transmit mode
# iwpriv ath0 txcont 1 (0 per interrompere)

Send post as PDF to