Názory k článku
Aircrack-ng: napadení WEP sítí

Eh??? Malo sexu?

Někdo zaspal dobu http://airdump.cz/wpa-prolomeno-aircrack-ptw/ + http://airdump.cz/

No za to nemůže ani pan Štrauch, ani vývojáři aircracku (osobně asi 4 roky už používám), kteří myslím v poslední době pracují na plně automatických nástrojích typu "press a button", které automaticky najdou nejsilnější síť a pustí zmiňované procedury.
Hele, doba wepu už tu s námi je hodně dlouho a tak se ji někteří snaží "ukončit" co nejdříve. Lidí, kteří hledají (a úspěšně nacházejí) bezpečnostní slabiny v 802.11i, zase tolik není ...

Tak, jako asi už vymizela docela role "postmastera", s takovou jistotou asi vymizí brzo i obtížnost postavit relativně bezpečnou wifi :)

PS: Pořád toho tady hodně chybí, fragmentation attack, café-latte (mimochodem velmi zajímavý), můj oblíbený airtun-ng, atp ... prostě "WEP is dead" už mnoho let ...

airbase-ng vypadá taky zajímavě, .. http://aircrack-ng.org/doku.php?id=airbase-ng

Ách jo. Proč prostě nevydaj zprávičku přečtěte si manpage od wesside-ng a nedaj s tím už pokoj? Za tohle se těm autorům platí?

Jdu zkoušet... :) Má tu dvě APčka na stole, tak si můžu hrát do omrzení aniž bych někomu škodil.

Aaa, dalsi lemplozni "ISP", ktery si mysli, ze taje prolamovani WEP jeste nikdo neobjevil... :-DDD

No ono to pouziva i spousta velkych ISP(nevim, zda jsou lemplozni). Nedavno jsem byl v UK a zjistil jsem, ze WEP je tam stale jeste castejsi nez WPA(u nas je situace mnohonasobne lepsi). Treba takovy poskytovatel BP (http://www.bt.com/) proste hodi zakaznikum do baraku APcko s WEPem, ktery ma napsany klic na zadni strane a snad ani nejde zmenit(nezkousel jsem). Me se to docela hodilo(protoze jsem mel behem dvou minut pripojeni zdarma prakticky kdekoliv - prave pomoci aircracku), ale nechtel bych byt jejich zakaznikem. Pro ne je to asi lepsi. Nevzdelani zakaznici maji pocit bezpeci kdyz pri pripojeni zadaji heslo a zaroven je neotravuji s tim, ze se na to WPA2 nemuzou pripojit.

Jednoduché to není. Taky jsme to dělali a ještě dělat budeme. Členům stačí říct, že to je z důvodu bezpečnosti jejich dat a půl hodinku bez připojení vydrží a budou rádi. My nedáváme víc jak 15 lidí na jednu anténu, takže to je 20 minut vždycky pro těch 15 (většinou méně). Postupujeme tedy obráceně, nejdříve změníme nastavení u klinetů a pak na APčku :) Také na to jsme často 2, takže to jde ještě rychleji.

Jinak omezení na určité MAC adresy tento popsaný plán dost časově natáhne a venkovní nabourávání se tak stává během na dlouhou trať a to běžného puberťáka odradí.

Vybral jsem si kontroverzní téma, takže počítám s negativními ohlasy ve směru, že by se podobné návody uveřejňovat neměly. Nicméně kdo umí aspoň náznakem anglicky, tak to zvládne i bez něj a existence či neexistence návodu ho neodradí.

mno tak to omezeni na urcite mac adresy je otazkou tak dalsich 3 -4 minut ze...

Kismet se pouští 3 - 4 minuty? :-D

ne, to se pousti kismet a zarowen swiftweasel a hleda se jak nafakeovat MACadresu dotaz ;)

Filtrovani MAC hackera nezastavi, ale je to dalsi komplikace pro blbecky, kteri se rozhodnou, ze se take stanou hackery bez toho, ze by tomu vlastne rozumneli. Tipnul bych si, ze takovych je vetsina. Kazda komplikace, i kdyz mala, se muze hodit.

Uvidis, ale je spousta lidi, kteri si umi tak akorat spustit hotovy program s velkym tlacitkem, kde je napsato "hack the Universe" a tim konci. Ze nejaka MAC adresa existuje treba ani nevedi a ze by mohla byt na AP filtrovana uz vubec ne, protoze zadne AP nikdy nekonfigurovali. Napsal jsem, ze je to dobre jako extra ochrana proti blbcum, proti nicemu jinemu ne.

pokud blbec nepusti treba kismet ;)

Mam pocit, ze Kismet je moc komplikovany na to, aby si ho poustel uplny blbec.

v defaultnim nastaveni na to aby videl ssid a macadresy pripojenych klientu a silu signalu bohate postacuje ( samozrejme pokud bezi madwifi nebo nejaky jiny nesmysl k wifine)((samozrejme v monitor modu..) i kdyz..pokud ti to nekdo nastavi a udela nejaky pekny skriptik tak se to nastavi vsechno "samo" a tohle cislo uz zadas jenom sem a sem...

mozna jsem trochu mimo, ale nebude se to chovat tak, ze kdyz pouziju MAC nekoho kdo uz tam je pripojen, tak to ve vysledku nebude ani jednomu fungovat? (ted nemluvim o tom ze prolomim WEP a uvidim data ale o to vetsine lidi nejde - vetsina lidi chce parazitovat na pripojeni ktere plati soused, ma doma zrizenou malou wifi :) a jde jim o to se do ni zadarmo pripojit a pouzivat ji. Takhle pokud to chapu kdyz je pripojen soused a ja si nastavim MAC jeho notase tak to ve vysledku nebude fungovat ani mne ani jemu nebo bude? muzou byt v teze siti bez problemu 2 zarizeni se stejnou MAC?

Pokud to bude tak že dvě stejné MAC ale rozdílné IP tak to jde bez potíží. Dvě stejné MAC a zároveň stejné IP to je pak pěkný zmatek :))

To je totalni blbost, zkus si to, bude to dost zlobit, protoze datagram se dorucuje na MAC ne na IP, jedna MAC muze mit vice IP, ale vic zarizeni nemuze mit stejnou MAC.

Proč by to nemělo jít? Datagramy jsou sice doručovány na MAC, ale pokud jsou v síti dvě zařízení se stejnou MAC, pak oba dostanou stejný paket. Jenže dál je filtr na IP a ten vyřadí pakety, které nemají cílovou IP stejnou jako počítač.

Problém je, že provideři mívají nejen MAC filtry, ale i IP filtry. na stejnou MAC se člověk dostane do sítě, ale už neprojde přes gateway, protože firewall ho nepustí ven. Leda hacknout někomu comp a nainstalovat do něj proxinu.

Dve pocitace se stejnou MAC by asi mohli fungovat na koaxialnim ethernetu. Na wifi muze byt problem v tom, ze druhy pocitac se stejnou MAC se bude snazit asociovat na AP a je otazka, jak se s takovymi ramci popere stavovy automat prveho stroje. Krom toho by mohl byt problem s acknowledgementem - jeden ramec se budou snacit ackovat oba dva klienti.

Funguje to samozrejme nejen na dratovem ale i bezdratovem ethernetu. Druhu PC se stejnou MAC se samozrejme asociovat na AP musi v tom neni problem.

Asociovat se musí, ale jen klient, APčko to zpracuje správně, protože totéž se děje, když klient usoudí, že ztratil spojení (APčko ne), tak se znovu asociuje, Pokud přesvědčíš síťovku, aby fungovala bez asociace, tak se asociovat nemusíš, protože to za tebe provedla oběť.

Dvakrát potvrzený paket je v pořádku. Potvrzení, které se nespáruje se zahazuje. Problém může být jen v zájemném rušení, protože oba klienti vysílají zároveň. Proto je v tomhle režimu obecně horší download než upload.

Jde to taky, jen oba musíte mít firewall. Což v době Windows XP je běžné. Na své straně pokud možno blokuju všechno příchozí, včetně pingu. Pakety jdoucí ze síte jako odpověď na mé, jsou na straně původního uživatele zahazovány na firewallu a on se nic nedoví. Podmínkou je, že musím mít i já firewall, abych mu já svou přítomnosti neschazoval jeho spojení. Takhle se dá surfovat o celé měsice a nikdo si nestěžuje.

Kdyby jeste slo maskovat ARPu, ale to bych se už nespojil, možná donutit systém, aby na ARP pakety odpovídal až když po nějaký čas se na dotaz neobjeví jiná odpověď (od původního počítače)

ok, beru to tak ze si mam rozchodit na nasi bytovy wifi wpa :D myslel jsem ze nastavit trusted stations na nase pocitace staci a nemyslim ze by se nekdo ze sousedu snazil o vyse popsane, ale precijen - platime to my a wifi komunismus nechci podporovat 8)

ano..jsi v praci..a kdyz bude stahovat pres nejaky peer-2-peer, nebo treba nahravat nebo uploadovat nejaka osklivosti typu detska pornografie... tak .. komu patri IP ..a na koho da adresu tvuj poskytovatel ?

Dobry den,

pokud znate jeste jeho IP adresu k jeho MAC adrese, tak si ji nastavite u sebe jako pevnou bez ohledu na to, zda je v siti pouzivano DHCP nebo ne. Potom pojede provoz Vam i sousedovi. Nenastane kolize adres, coz jste asi mel na mysli tou nefunkcnosti obou dvou karet.

Toto je overene proti Linksys rady WRT.

Milan

souhlasim..nicmene ten cas je pocitan i s hledanim o fakeovani MAC v googlu... ;)

Znáte tu o potrefené huse?

Jistě, je pravda, že spousta dětí si teď řekne "budu hacker" a začne zkoušet výše uvedené scripty ale je třeba vzít v potaz, že scripty jsou psány pro linux a většina těchto dětí ani neví že něco takového existuje. Dále musíme vzít v úvahu i fakt nalezení tohoto "návodu" (nepředpokládám, že "budoucí hacker" s kradenejma Vistama tenhle web vůbec zná).

Takže bych se zase tolik nebál... Jinak Vámi popsaný důvod s připravením o konektivitu je zcela irelevantní. Pokud není klient idiot, tak mu postačí pouhé vysvětlení, že jde o zvýšení bezpečnosti v jeho vlastním zájmu. Rozumný člověk pak absenci konektivity jako daň za budoucí větší bezpečnost akceptuje. Hlavní problém bych tedy viděl hlavně ve výměnách na hlavních spojích, ne na těch klientských.

BTW: Bohužel lameři jsou i mezi provozovateli. Platím 600,- měsíčně (dopředu - jinde jsem platil vždy zpětně) za službu, jejíž dostupnost je cca 60-70%. Jediná aktivita, kterou provozovatel vyvíjí je obesílání klientů omluvnými emaily o rušení, záložní konektivitě a dalších nesmyslech, které brání normálnímu provozu. Navíc není ani schopen se vyvarovat překlepů a především hrubek ve firemní korespondenci :)

Nevím jak jinde ve světě ale u nás dneska provozuje WiFi kdejaký jouza, takže tenhle návod takovým může způsobit lecjaké bolení hlavy, což je dobře. A ti kteří tomu rozumí budou IMHO vědět jak se bránit :)

jj pekne kejhala husa potrefena:)

jinak dobre "D-Link DWL-M60AT" je to pekna smerova antenka vhodna i na dovolenou do recka:)

Přesně takovou reakci bych očekával od líného a navíc ještě hloupého admina.

Taky by bylo reseni spustit paralelne APcko na WPA, prenastavit klienty (u kazdeho kratky vypadek) a pak to stare odvezt (a treba zas jinde pouzit jako to "nove").

Prdlačky, celá technologie wifi je ouplně naprd, vůbec to nebylo zamýšleno na externí použití. můj stejně lemplovský isp jako každý jiný má v mém městě několik ap, na každým je tak max. 15 lidí. pro ně by nebyl problém těch patnáct lidí na to připravit a překlopit, minimálně kdyby se s nimi dohodli a udělali k tomu třeba kampaň hlásající jak modernizuje zabezpečení, lidi by po tom chňapli i když nemají páru vocogou(a klidně by si to i zaplatili). Ale jsou to mamlasové, tak na to dlabou. Ale např. druhý poskytovatel vzniknul až teď a buduje wifi strukturu zase s wepem. Proč to dělají?

Napadlo někoho, že by ti ISP mohli používat WEP s dynamickou výměnou klíčů? ^^

Jak by jste to distribuoval ke klientum?
Je to jako drbat se za uchem nohou, ale myslenka zajimava..

nas wifi wan admin rika, at si to lamou - klice stejne zna hromada lidi - a kdyz nekdo bude skodit, prijde se na to a dostane "pres usta", v hospode je lamacu plno

u ISP bych ale problem nevidel, neni spise problem pristup do nezabezpecene wifi ve firme ci statnim urade :-?

Tam to tak jednoduche neni. Vetsinou je WiFi zakazano k pouziti ;-) == nekdo nahore o te veci neco vi a take prosazuje, aby k tomu nedoslo. A kdyz uz opravdu neni zbyti, nasadi se na otevrene AP VPN, nebo IPSEC a je vymalovano.

Z článku a hlavně dostavadní diskuse mám pocit: používej WPA nebo zemři. Proč? Není nic horšího než falešný pocit bezpečí. Takže vy říkáte svým zákazníkům, že je to pro jejich bezpečí. Hmm. 200m mezi jejich domkem a AP je zabezpečených... Není! Co na tom, že se tam nikdo z ulice nepřipojí, když už tam někdo připojený JE. UTP také betonujete do 3m silných zdí?

Co tím chci říct? Dívají-li se na web, je to (z pravidla) nešifrované. Posílají-li email, je nešifrovaný. Kecají-li po ICQ, je to nešifrované. Připojují-li se na FTP, je to nešifrované. Takhle bych tu seděl do večera. Už chápete? Já svým zákazníkům vždy říkal: "je to internet, každý kdo bude chtít si to přečte. VY musíte řešit SVÉ zabezpeční."

To bude asi tím, že jde hlavně o bezpečnost provozní. S bezpečností dat máte částečně pravdu.

No "chtel" bych byt vas zakaznik.....

Web je zpravidla nesifrovany,ale je mozne nastavit ruzne prohlizec pro zvyseni anonymity,pripadne vyuzivat proxy

Mail jde bez problemu pouzivat sifrovany a zakaznik se nemusi nic noveho ucit,jen to musi admin nastavit,ale vetsina to ani neumi a tak se na drtivou vetsinu serveru dostanete na port 25 a zvesele muzete minimalne v ramci domeny posilat emaily jak se vam zachce

Kdyz uz se pouziva ICQ pro firemni komunikaci,tak jde taky zasifrovat,ale opet to musi admin umet.Nic sloziteho na tom neni a jde to prakticky u vsech protokolu.

FTP se da udelat bez problemu taky sifrovane.Pro anonymni ftp to nema moc smysl,ale pro jine ucely to jde lehce.

Ja svym zakaznikum rikam,ze Internet je velmi nebezpecne misto,ale ze vetsina nebezpeci se da eliminovat,kdyz se vse spravne nastavi.A to je moje starost ne jejich,takze jim nebudu rikat takove blbosti,ze oni si musi resit sve zabezpeceni.Normalniho zakaznika nezajima jak co funguje nebo jak se to nastavuje,on to chce pouzivat.Ani se pak neni co divit,ze je tolik spamu,viru a jineho bordela,kdyz nekteri maji takovy pristup,ze je to jedno.

vse spravne nastavi.A to je moje starost ne jejich

Aha, a to způsobem, že na váš SMTP to pojede přes TLS a dál už vás to nezajímá... Já mám na mysli používání třeba GPG pro šifrování samotného obsahu emailu (nebo třeba jabber komunikace, souborů). Na co je mi připojení přes TSL na SMTP (který stejně u ISP nepoužívám), když od něj dál (třeba až na druhé straně) to jde v plain-textu?

Pokud je to email v ramci domeny,tak TLS vystacuje.A snad tady nemusim rozepisovat vsechno.Pochopitelne,ze pro jine situace by bylo treba GPG.V ramci komunikace mezi zakazniky casto dostacuje treba digitalni podpis.Dulezite veci jsou bezne ve firmach sifrovany,teda aspon u nas to tak funguje,protoze nemame tu touhu aby si kazdy cestou precetl co vsechno tam je napsane.A sifrovani komunikace a souboru jde dneska udelat tak,aby to uzivatele "neobtezovalo",ale opet to neni jeho starost.Otazka je,jaky to je ISP.Treba Seznam dlouho jel v plaintextu a ted ma jen zabezpecene prihlaseni,jinak je to dal plaintext.To stacilo tak v dobe Arpanetu a pouzivat tohle dneska je jedna z moznosti : lenost,neschopnost,ignorace zakazniku a nebo vedomne kvuli zneuzivani.Napr. Google ma moznost mit sifrovanou celou relaci.Jiste je zde zase otazka ulozeni dat,ale kdyz to zkombinuji s GPG,tak mohu byt pomerne klidny.

Nevim jak vy nebo ostatni,ale ja nechodim bezne po ulici a nervu na cele kolo co delam,s kym jsem se potkal,s kym si pisu atp.Presne takto se ale na Internetu chova vetsina lidi.

Kdyby Seznam chtel sifrovat celou session, mozna by musel posilit servery. A sifrovani cele session je spise marketingovy trik, ktery akorat dava lidem, kteri o Internetu moc nevedi, falesny pocit bezpeci, ktery je v dobe, kdy treba FBI instaluje smirovaci zarizeni primo k ISP, spise nezadouci. Sifrovani cele session vyradi akorat tak nejblizsiho smiraka, dale to pak jde v plain textu pres SMTP a cestou to muze precist kdokoliv, napr FBI u koncoveho ISP. Rozumny clovek sifruje ve svem maileru, napr. pomoci GPG a ven to posle uz sifrovane. Seznam bych neodsuzoval, pristup na webmail pres https je neuzitecna zalezitost, ktera mnoho nevyresi a akorat stoji CPU vykon. Pokud nekdo chce pouzivat webmail, musi si uvedomit, ze zabezpeceni neexistuje a ochrana hesla sifrovanym prihlasovanim je asi tak to nejlepsi, co s tim jde udelat. Nehlede na to, ze lide, kteri pouzivaji webmail, si obvykle pisi veci, ktere nikoho nezajimaji a treba maily od emo kids bych necetl, ani kdybych za to byl placen.

Drtiva vetsina utoku je prave od mistnich nebo jeste lepe internich smiraku,proto je dobre TLS.Na ostatni pripady je prave GPG.Ale divil by jste se,co vsechno jsou lidi a firmy schopni napsat na beznem seznam uctu a zdaleka se nejedna o veci,ktere nikoho nezajimaji.

To ale nema se Seznamem mnoho spolecneho. Pokud mate ve firme TLS na interni maily proti prumyslove spionazi, jiste takove zabezpeceni nikomu neuskodi. Nevim ale, k cemu by to bylo na Seznamu. FBI to nezastavi, akorat to zvysi zatizeni serveru. A pokud nejaka firma pouziva webmail od Seznamu, je to jeji problem. A za normalnich okolnosti by vase maily nemel videt ani soused, napr. na stejnem televiznim kabelu. Ledaze by hacknul svuj modem tak, aby videl veskerou komunikaci. Coz je asi teoreticky mozne, ale zatim jsem o tom neslysel. Nevim, jestli kabelove modemy nekomu stoji za hackovani.

Nedalo mi to a kouknul jsem na iprint.sk ,zvesela muzu pomoci vasi emailove adresy napsat minimalne vam a dalsim na iprint.sk

Koukam,ze admini iprint.sk budou asi taky milovnici spamu.

Ano můžete, buďte vítán. To je totiž můj soukromý email server, takže moc lidí otravovat stejně nebudete :-).

To vas asi zklamu,ja jsem na te spravne strane ;-) Vase veta je prave ten pristup,ktery umoznil a umoznuje takove mnozstvi spamu a dalsich veci.Zabezpecit tohle je pritom jednoduche a vas to neomezi.

Ja bych byl pro,aby se takove servery a pocitace proste odpojovali od Internetu dokud si to spravci nespravi.Spouste veci by to pomohlo.

a bych byl pro,aby se takove servery a pocitace proste odpojovali od Internetu dokud si to spravci nespravi.Spouste veci by to pomohlo.

Kde jsou ty časy open relay a peer to peer komunikace...

To neni problem ani dneska v pripade,ze se jde tvrde po tech,co to zneuzivaji k necemu jinemu ;-)

tak osobne se domnivam ze clanek ani diskuze nepreferuji dogmaticky WPA, ano, je to dalsi vrstva ochrany pred "temi zlymi", ale rekneme si to otevrene..
divaji li se na web, je to nesifrovane... ano.. a pakety si litaji vzduchem..a v nich litaji hesla a jmena jako plaintext...
icq je nesifrovane... neni sifrovane..je to plaintext= stejny problem jako u prohlizeni webu ...
pripojuji li se na nesifrovane ftp, je to zejmena tim, ze je a) public, za b) je umisteno u nekoho kdo ma pocit ze nainstaluje "nejaky" ftp a pak uz od nej lidi tahaj, protoze je to ten nejC00LW4R3Z...
ad UTP : na co betonovat do 3m zdi, kdyz staci jeden maly autorizacni server ... napriklad rovnou na routeru .. ze ?

nedej boze nejake flood ;)

WEP ani WPA nepouzivam,kdyz delam AP ja.Jsou to diry jak do pr... Spousta lidi navic ma treba karty,ktere jeste ani WPA neumi.

Nejosvedcenejsi je open sit s authpf autorizaci pomoci pf(1) na OpenBSD.Do site se nemuze nikdo pripojit bez meho svoleni a pro klienty se jeste nastavi IPsec.Pak si muzou jit zase scrip kitties delat dobre na zachod nad svymi schopnostmi :-)

Pro ty co se tady rozciluji,ze tady vysel takovy clanek.Dovoluji si vas upozornit,ze kultovni www.phrack.org vysel poprve 17/11/1985 a tam se najdou teda zajimavejsi veci.Dale je na trhu dostatek knih v cestine,nehlede na par casopisu a hromadu cesko/anglicko/spanelsko a jinych jazykovych verzi www stranek.Informace se odjakziva sdileli,to napomahalo pokroku.Pokud se vam to nelibi,tak se dejte treba na zednicinu ;-)

Souhlas se sdílením informací, ale doma a někdy i v malých firmách je tento systém nepoužitelný, tak alespoň WPA, protože pochybuji, že přehrávač připojený do sítě (KISS DP-600 např. neumí) bude umět IPsec. :)

Nic by se nemělo utajovat, na díry upozornit, případně opravit a zveřejnit vše včetně postupů jak se bránit.
Utajují jen takoví co se tím nechtějí zabývat, nebo nechtějí přiznat chyby, případně samostatná kapitola Microsoft.

To authpf je bezproblemu pouzitelne,od klienta to nevyzaduje nic.To dalsi pridane uz ma nejake pozadavky a prehravac to asi umet nebude,ale prehravac by taky nemel mit pristup ven na Internet ;-)


Tak o tom druhem odstavci doporucuji tohle :

http://crypto-world.info/news/index.php?prispevek=8512

stahnout do odkazovane PDF a sjet na posledni stranku,kde jsou vysledky.Nechapu,proc si porad nekteri mysli,ze komercni a velka firma je zabezpeci a ochrani :-)

to neni jenom podle tehle stranek.. je to vlastne jenom o tom, jak si kdo precte dokumentaci a umi uvazovat jako "ten zly" tudiz hledat slabiny a premyslet.. ano .. psk je sice pro domacnost pekna vec..ale v okamziku, kdy nekdo zjisti "to" heslo, tak lze zpetne rozsifrovat veskerou zachycenou komunikaci... neniliz pravda?

Jako heslo mam nahodne vygenerovane smeti o maximalni mozne delce. Jiz se tesim na nejaky ten slovnikovy utok.

V clanku je zminka napr. o IPsec,ale nebyl zminen treba Radius protokol a server pro zabezpeceni.

Ehm.... asi by to chtele lepe cist.

WPA-EAP je popsáno v 802.11x, kdy se pro ověření uživatele používá uživatelské jméno a heslo. Ověření probíhá na ověřovacím serveru. Tohle řešení je dobré například pro firmy, kde každý zaměstnanec má vlastní přístupové údaje, které nepoužívá pouze v kombinaci s přípojením do intranetu, ale také třeba pro přihlášení na firemní počítače.

Hups :-)

Myslim,ze kazdy kdo se zabyva WiFi by mel mit po ruce tohle PDF

http://wndw.net/

co se týká wpa, tak je docela zajímavé info zde:
http://securityandthe.net/2008/10/12/russian-researchers-achieve-100-fold-increase-in-wpa2-cracking-speed/

Tiez by som si rad obcas precital vonku maily,
alebo pozrel spoje. Iba na lamanie sieti
pda asi nebude najvhodnejsi nastroj.
Viac sa mi ze sebou tahat nechce.

n8x0 je vhodne

Mno, ten postup na prolomeni WEP siti znam, tudiz jsem se nedozvedel nic noveho, scriptkiddies chodi na soom nebo podobne srandaweby, takze se tady take nic noveho nedozvi.
Jinak, nechte ISPcka, at si tam nechaji wep! Co vam je do toho, vase data tim nikdo neohrozuje. A aspon, kdyz budu nekde putovat po venku, tak se muzu pripojit. Docela mi na cestach po holandsku vyhovovalo, ze mistni meli vetsinou site nezabezpecene, takze jsem mel moznost si precist maily, popripadne neco dokomunikovat. (A ano, oprete se do me, jakaze to jsem svine a kradu konektivitu)

tohle je konecne rozumnej naroz... :))) souhlasim,taky "kradu" konektivitu, kdyz to proste jde ... nejlepsi jsou domaci wifiroutery s essid "default"... :)))

ano..a 90 procent tech domacich wifirouteru vysila i co je zac a na googlu najit defaultni heslo trva asi 20 s + zmenit pres webove rozhrani nastaveni a spol..trva dalsich 60s pokud vis, co a jak chces povolit, nastavit..ulozit...

nektere dokonce vysilaji i defaultni prihlasovaci udaje. A ikdyz nahodou nevysilaji, neni problem je tipnout.

Na tohle pozor - na bezne browseni je to putna, ale pozor pri pristupu k citlivym udajum - nikdy nemuzete vedet, jestli ten zdanlive nezabezpeceny AP neni pripojen skrs bridgujici stroj, ktery odchytava veskere jim prochazejici pakety a taha z nich vsechny prihlasovaci udaje, cisla karet a podobne veci. Alternativni moznost k bridgy je hub, ale bridge je spolehlivejsi, i kdyz zase potrebujete dve sitovky ... a kdo ma dnes doma jeste hub :-) .

Jedina obrana je pouzit SSL a mit nekde bokem fingerprinty cerifikatu pro porovnani.

Osobně se do tebe neopřu protože to dělám taky. A pokud se nepletu, tak alespoň zde v České Republice pokud není síť chráněná je naprosto legální se k ní připojit. To, že to není morálně v pořádku už je věc jiná, ale na to se nikdo neptá. Avšak pokud by si musel překonat jakoukoli ochranu třeba i nejstupidnější ochranu, tak pak už je to nelegální.

Chybí tu podstatná informace, že útok na WEP je založen na výskytu kryptograficky slabých inicializačních vektorů. Mnohá dnes prodávaná zařízení tyto slabé vektory nepoužívají, čímž se problém několika desítek minut posouvá do jiných řádů.

A počuli ste už o Kleinovom útoku? Na IV už dávno nezáleží...

Neslyšel. Zajímavé. Nicméně oproti 60 vhodným paketů je jich třeba 14 000. Ale to asi z praktického hlediska není problém.

ale vzdy na novem AP (upozornuji, nejsem ISP, proto vyuzivam bezne AP jen pro lokalni site) jsem se poctive snazil nastavit co nejvyssi zabezpeceni. Odezvy AP byly ale vetsinou tak hrozne, ze jsem vzdy zatim koncil u WEP. Pokud potrebuji vyssi zabezpeceni skryji SSID nebo uziji Mac adresy. Vim neni to idealni, ale rychlost mne zatim vzdy presvedcila. Ne kazdy zakaznik je totiz ochoten na pripojeni svych 5-20 compu zakupovat drahe supervykonne zarizeni. Me zkusenosti vychazeji z nekolika typu standardnich D-link a 3com AP. Rad bych zkusil vyuzit Radius pro overovani, ale na dvou zarizenich kde jsem to zkousel (D-link a 3com) jsem nepochodil. Mizerna dokumentace k AP a stejne tak k vyuziti Radiusu z Windows server, ach jo.

Pokud potrebuji vyssi zabezpeceni skryji SSID

:=))))))))) Tos to teda zabezpecil. LOLec.

ano...skryti SSID je opravdu sikovne..bohuzel pouze do doby nez se pripoji nejaky uzivatel..nebo se nekdo znovupripoji

Nebo dokud v síti nepotečou data ... taky není problém deauth, žejo :)

clovece neni..jenom jsem predpokladal ze pasivni "odposlouchavac" bude mit aspon krapet slusnosti ;)

"Standard WPA2 je "dotažené" WPA podle specifikace IEEE 802.11i. Přináší mnohem bezpečnější algoritmus CCMP. "

CCMP není šifrovací algoritmus.
CCMP (Counter CBC-MAC Protocol) je jeden z režimů činnosti (mode of operation)ve kterém lze provozovat blokové šifry , neboli způsob, jakým je šifrovací algortimus používán. Konrétně CCMP má tu příjemnou vlasnost, že kromě utajení dokaže zajistit i integritu. Další známé režimy činnosti jsou např. ECB,CBC,OFB,CFB,...

Tím šifrovacím algoritmem, který je definován v 802.11i je samozřejmě AES.

Zdalo se mi to nebo tam byly krasne terminaly Gentoo :-)

Já si ten $PS1 přehodil i na Debiana .. :)

.... nicméně Denial of Service v podobě deauthentication či zarušení je možný pořád. A vždy u rádiových spojů asi bude. ;)

je mozne stejne jako DOS pouze v pripade, ze klonujete neci identitu... ;)

Nesnazte se neco zabezpecit, se svoji grafickou kartou Vam vse stejne prolomim !!!
http://www.cdr.cz/a/25543

psk=d4e50fd85bf331d3c54d3024dbe94ff6ea5401fb14ae5a03a7fdaf270ce4d184

Muzete zacit ;-)

Je snadne poinformovat o tom ze WEP je deravy (a vi se to uz hodne dlouho), a ze na jeho crackovani existuji sikovne nastroje. Kdyz uz tak horujete za WPA/WPA2 tak dejte dohromady clanek o tom jak nastavim svoji linuxovou wifi sitovku jako WPA2 klienta - tedy jak spravne nastavit wpasupplicant, pripadne xsupplicant pro 802.1x (radius). A jako bonus by bylo prijemne vedet jak nastavit linux jako AP s podporou WPA2-PSK nebo WPA2-EAP - nejspis s ovladacem hostap a madwifi. To by byl opravdu prinosny clanek.

Mám wifi kartu ASUS WL107g RT2500 802.11g Cardbus/mini-PCI. A s ovladačem který je v jádře tuším že od Mandrivy 2008 (jádro 2.6.24) a výše nefunguje režim ad-hoc. V předchozích verzích režim ad-hoc fungoval a dalo se najít i více sítí.
Ovladač se tváří že přepne wifi do režimu ad-hoc ale nelze aktivovat rozhraní.
# ifconfig wlan0 192.168.0.2
SIOCSIFFLAGS: Operace není podporována
Musím používat ndiswrapper pomocí kterého najdu i více sítí do kterých se připojím. Přes ndiswrapper ale zase nefunguje mód monitor :-(
Kdyby někdo věděl kde se hlásí chyby v ovladačích v češtině tak mi dejte prosím vědět.

Dobry den,
clanek o prolomeni WEP. Zajimal by mne ale clanek o tom, jak podobne utoky detekovat v male domaci siti a pripadne i pro jine alternativni OS (napr. Windows).

Je taky mozne v domacich podminkach po detekci takove prizivnika zjistit, ktery ze sousedu to dela? Triangulace jeho signalu asi nebude uplne jednducha bez smerovych antena apod.

Takovy clanek by byl super.

mno nejjednodussi by asi bylo chytat vsechny packety a odkoukat kam leze a loginy.. protoze nepredpokladam ze nekdo kdo napichne domaci sit (pokud ovsem neni zajimava signalem a prutokem)po precteni tohoto clanku (=end user ;) si udela VPN ven a pres ssh tunel uvnitr se napojuje na svuj router a odtud teprve nekam leze...
jeste by mohlo pomoci zurive sledovani pripojenych klientu... ve smyslu vim, ze tahle MAC je na booku, kterej je vypnutej tak jakto, ze se zrovna pripojuje.. ? ;) nicmene myslim si ze v domacich podminkach je to pro vetsinu lidi, kteri o tom nic nevedi vcelku nemozne.

Proím kam se mám obrátit na ukončení smlouvy nikdo mě nechce poradit je to moc důležité.