Názory k článku BackTrack, Kali Linux a prolomení zabezpečení Wi-Fi sítě
-
marian.pekarZlatý podporovatelAno. Doporučuji to v předposledním odstavci, společně s dalšími možnostmi, jak se proti takovým útokům bránit.
-
kurfa (neregistrovaný)
Vás by měli zažalovat za šíření poplašné zprávy. WPS má pochopitelně každý člověk jen s trochu zdravým rozumem vypnuté. S bezpečností WPA(2) to naprosto nemá nic společného.
Zajímalo by mě, kolik lidí si otevřelo článek, protože se chtělo dozvědět o té údajné metódě na prolomení WPA(2)...
-
-
Veterán (neregistrovaný)
Tak jsem si projel okolní domácí vysílače.
Dvakrát WEP, ostatní WPA a vždy zapnuté WPS. U tří novějších je ochrana při větším počtu nesprávných hesel, ostatní by šlo bez problémů prolomit. Zdravý rozum mají všichni majitelé, ale prostě nejsou odborníci na IT. Koupili zařízení, zapnuli a podle návodu nastavili heslo. Vše funguje, tak proč by se v tom měli vrtat, když je to chyba výrobců? -
marian.pekarZlatý podporovatel
Dobrá otázka. Vyzkoušel jsem vytvořit přenosný hot-spot se zabezpečením WPA2 PSK na svém Androidu a zkusil prolomit heslo pomocí reaveru. Utilita se chová stejně jako u jakéhokoliv jiného hot-spotu, takže odpověď zní: pravděpodobně ano.
-
V android funkci přenosného AP WPS implementováno není. Jak je to na ostatních platformách netuším. Ale moc se mi nezdá, že by to výrobci implementovali. WPS primárně cílí na uživatele, kteří mají problém se přihlásit k routeru a nastavit jej. Kolik takových uživatelů bude používat mobil jako přístupový bod...Ale pokud bude mít někdo na WPA slabé heslo (slovníkové), tak vám stačí odchytit WPA handshake a připojíte se i přes ten mobil :-)
-
marian.pekarZlatý podporovatel
Oba uvedené postupy jsem testoval na starším netbooku od Asusu, myslím, že dnešní hardware by s tím měl mít problém jen výjímečně. Samozřejmě souhlasím, že na nevhodné Wi-Fi kartě, resp. chipsetu, to nemusí fungovat.
-
Bubo (neregistrovaný)
Typicka "slovenska", postkomunisticka a katolicka reakcia. O com sa nehovori, nepise to neexistuje. A co nechceme aby existovalo o tom zakazeme hovorit a pisat (ochranujeme deti pred hroznym nebezpecenstvom)
Verim, ze autor je jednym z hrdinnych signatarov akcie za "zachranu tradicnej rodiny." -
Rootless Rooter (neregistrovaný)
no chlapce,pustil si z ust riadnu kravinu :]
jedine,co som chcel svojim prispevkom povedat je, ze na toto tema bolo popisaneho tak strasne vela [a castokrat kvalitnejsie] ze tento 'elaborat' povazujem za zbytocny.navyse znacne outdated, v clanku sa nespomina ani CUDA,ani Pyrit ani ine,sofistikovanejsie metody ochrany proti tomuto typu utoku [mysim,ze len v diskusii dakto spomenul 802.1x] .
ak ma niekto _seriozny_ zaujem o tuto problematiku v kombinacii s Kali/BT, tak tento clanocek mu vela neda. akurat pritiahne zbytocnu pozornost deticiek,co si BT/kali stiahnu v domneni, ze 'to nabootujem a budem l33t h4x0r ' :]mimochodom - co si pod pojmom 'akcia za zachranu tradicnej rodiny' predstavujete,Kefalin ?
na SK nezijem uz hodne dlho - predstavenia z toho cirkusu mi tak nejak nechybaju... -
-
Pavel (neregistrovaný)
Pekny clanek, diky za nej. Zajimalo by me, jak bezpecna je metoda, kdy je wifi pripojeni bez zabezpeceni (sit je open), ale pak pri pokusu o pristup na Internet dojde k presmerovani na web stranku, kde se zada jmeno a heslo. Tento system pouziva dnes jiz hodne hotspotu. Planujete napsat i o tomto systemu?
-
Tomu se říká captive portál a je to hrůza největší. Důvodů je několik: internet není jen web, takže si toho často nemusí uživatel všimnout, pokud spustí rovnou po připojení konkrétní newebovou aplikaci. Dále některá zařízení (herní konzole, IP telefony...) třeba vůbec prohlížeč nemají, takže nemají jak zobrazit výzvu na heslo.
Problém taky je, že ta stránka je nestandardní, takže se nedá vyplňovat automaticky, musíte pokaždé znovu a znovu vkládat jméno a heslo. Psal jsem o tom celém před časem na blogu: Proč nemám rád captive portály aneb internet není jen web.
A bezpečné to není vůbec, heslo putuje vzduchem a dá se odposlechnout. Mnohem lepší je použít protokol 802.1X (označovaný jako WPA2-Enterprise), který používá třeba Eduroam. Tam vše probíhá standardizovaně, bezpečně a automaticky. Do klienta jednou vložíte potřebné informace a on se autentizuje sám na síťové vrstvě (funguje to i po kabelu).
-
(w) (neregistrovaný)
Nedávno jsem se na jedné „free“ WiFi setkal s opravdu „skvělým“ captive portálem. Nejen že chtěl horu údajů (jméno, e-mail, datum narození, bydliště, ...), ale ještě bylo nutné zhlédnout nějaké reklamní video, celé. Jinak net nechodil. To už bývá problém i na některých starších přístrojích, kde je prohlížeč celkem v pohodě schopný obsloužit tu část s vyplňováním, ale přes to video (typicky vlastní flashový přehrávač) často nejede vlak. Takový systém si zalouží nejen hackout, ale rovnou shodit.
-
OMG (neregistrovaný)
Petre, v CR tomu mozna tak neni, ale v zahranici je odpovednost za data tekouci internetovou pripojkou na majiteli pripojky. Je logicke, ze hotel prostrednictvim captive portalu zobrazi podminky uzivani dane sluzby... Jak tohle chcete resit 802.1X? Hotelu je u zadele ze tahle captive stranka je over http...
-
Samozřejmě tohle 802.1X řeší naprosto elegantně, protože tam právě každý uživatel má svoje jméno a heslo. Rozdíl je v tom, že je to na síťové vrstvě a standardně uložené ve vašem správci připojení k Wi-Fi. Takže jakmile tu síť uvidíte, hned se do ní automaticky přihlásíte jménem a heslem. Funguje to krásně (viz zmíněný Eduroam).
-
BobTheBuilderStříbrný podporovatelAle když 802.1x nefunguje, tak je často netriviální problém vyřešit - viz zmíněný Eduroam. Nehledě na zařízení, která 802.1x nepodporují (třeba Kindle 3). Proto taky snad všude, kde je Eduroam, je ještě druhá, otevřená WiFi s autentizací přes prohlížeč. Sice primitivní, leč účinné.
-
OMG (neregistrovaný)
Petre, jeste jednou si prectete prosim to co jsem napsal: " hotel prostrednictvim captive portalu zobrazi podminky uzivani dane sluzby". Tohle 802.1X neresi. Jak chcete resit elegantne zobrazeni a akceptovani podminek pouziti dane sluzby? Tisteny formular na recepci a jeho podepsani hostem?
Pak jeste jedna nevyhoda 802.1X reseni: pokud zadate heslo spatne, pak by default Windows ignoruji 20 minut 802.1X autentizacni zadosti. Ano, existuje patch, ale budete si neco nekde patchovat kvuli hotelove siti? Ne. Captive portal je jednoduch reseni daneho problemu a pokud hodne cestujete po svete, pak se s timhle setkavate bezne.
-
haxor007 (neregistrovaný)
Podpisany formular na recepcii je imho jediny spravny sposob a to bez ohladu na to, ci je pouzity captive portal alebo 802.1x. Treba si dobre uvedomit, co tym prevadzkovatel chce dosiahnut. Pokial sa tu bavime o akejkolvek pravnej zodpovednosti, tak ziaden "zobrazeny text" na stranke captive portalu toto vobec neriesi. Ziadne tlacidlo typu "suhlasim s podmienkami" nie je a ani nemoze byt pravne zavazne, z viacerych dovodov.
Ako by ste ako prevadzkovatel WiFi siete v pripade legalnych opletaciek dokazali, ze v case ked sa tam vas zakaznik prihlasoval, tam bol "zobrazeny" text, ktory tvrdite ze tam bol (nejake tie vase podmienky pouzivania sluzby)? Toto nemate ako dokazt.
Dalsia vec je, ze ten clovek to nemusel vobec vidiet, precitat, odsuhlasit vedome, atd... Napr. z roznych technickych dovodov, jemu sa ten text nemusel zobrazit (pouzival iny prehliadac). Tu je tolko priestoru, staci sa len zamysliet. V pripade, ze sa clovek neprizna, nie je mozne nic dokazat.
Preto, formular podpisany na recepcii je jedine riesenie tak ci tak.
-
To co pises je naprosty nesmysl. Ruzne varianty click-wrap, click-through, browse-wrap smluv jsou samozrejme bezne uznavane a nejsou o nic mene zavazne nez smlouvy klasicke a pro tyto ucely naprosto dostacujici. V pripade sporu se bude uvazovat klasicke chovani portalu pri pripojeni a dukazni bremeno, ze se podminky smlouvy nezobrazily napriklad z duvodu technicke chyby, bude plne na uzivateli a nikoliv provozovateli.
-
xurfa (neregistrovaný)
Ano, 802.11x funguje to krásně, dokud zařízení kontroluje certifikáty. Např. Well ST-100 sice má "podporu" pro "WPA(2) Enterprise", ale nikde nemá možnost ten certifikát do zařízení vložit. :-) A předpokládám, že takových zařízení bude víc.
A bez toho je to úplně k ničemu, stačí hloupý MITM útok a celé zabezpečení jest v prde*i.
-
Ano, to je pravda, řada captive portálů přesměrovává na doménové jméno s platným SSL certifikátem. Neřeší to ale třeba problém, kdy dnes většina prohlížečů automaticky otevírá stránku s HTTPS (třeba Google), což nefunguje. Buď musíte podvrhnout nevalidní certifikát (v čemž vám zase zabrání HSTS) nebo prostě neděláte nic a uživatel se nedostane nikam, dokud nenačte stránku bez SSL. Nepomůže vám ani DNS spoofing, protože stejně nemáte certifikát od Google.
Prostě broken by design. Captive portály jsou špatné a bohužel rozšířené.
-
xxmarv (neregistrovaný)
No OK. Souhlasím s vámi. Nicméně pokud potřebujete mít otevřený systém a po té authorizovat uživatele je bohužel nejlepší Captive portál. Nezadáváte heslo ale přilogujete se k systému pod svým jménem bez toho abyste něco musel znát. Vyplníte údaje a zadáte si heslo. Druhá strana je eap-sim, ale to již musí podporovat operátor...
-
Jenda (neregistrovaný)
Protože bys musel povolit ještě DNSSEC, OCSP, perspectives… a podobnou validaci, což už v podstatě znamená povolit celý Internet.
Mimochodem je super, že se uživatel přihlásil přes HTTPS, ale pak už identifikace visí jenom na MAC adrese, takže pro útočníka samozřejmě není problém.
-
Petr (neregistrovaný)
Mně se docela i stávalo, že se mi po otevření webového prohlížeče neotevřela ta stránka, takže jsem se nedostal nikam. Ale hlavně mi dlouho trvalo, než jsem vůbec zjistil, že mám nějaký prohlížeč vůbec pouštět, protože ho na mobilu skoro vůbec nepoužívám. Nemám tohle řešení rád.
-
marian.pekarZlatý podporovatel
Přesně tak, WPS Lock to zablokuje a trvá nějakou dobu, než dojde k odblokování. Někde jsem četl, že to lze vyřešit DoS útokem, který zařízení resetuje a tím i WPS Lock, ale v praxi to vyzkoušené nemám.
-
Eskymák (neregistrovaný)
On si to každý výrobce nakonec zfušuje po svém, takže se podobná ochrana zpravidla mine účinkem, nebo negativně ovlivní i samotného uživatele.
Buď pak restartuje router sám, zabezpečení změní nebo ho dá pryč úplně :-)
Hlavně laciný krabičky za tři kila, který se hroutí při bežném provozu natož při nějakém útoku.
-
marian.pekarZlatý podporovatel
Souhlasim, na routeru se nevyplaci setrit, pro domaci pouziti clovek sice nepotrebuje zrovna hi-tech model, ale krabickam za par stovek by se mel rozhodne vyhnout.
-
marian.pekarZlatý podporovatel
Ano, jedná se o AP rate limiting, zmiňuji se o něm v předposledním odstavci a skutečně ho dnes již značné množství zařízení používá.
-
Melisko (neregistrovaný)
Pekny clanok ale... je pisany tak ze clovek vobec nemusi rozumiet tomu ako WEP resp. WPA funguje (mozno to bol zamer, ak ano potom je to OK), staci ked vie pouzivat ctrl+c ctrl+v. Osobne si myslim ze je to skoda, pretoze by sa dalo hlbsie vysvetlit co jednotlive commandy a ich optiony robia a tym padom by bolo jasnejsie aj fungovanie samotneho WEP resp. WPA a celeho procesu. Ano viem, ten koho to zaujima moze moze pouzit man pages pre jednotlive commandy a ich optiony a taktiez RFC pre protokoly ale je to pomerne vela citania a clovek je tvor lenivy.
-
marian.pekarZlatý podporovatel
Jak už jsem tu jednou někomu odpovídal, pokusím se příště trochu více zaměřit i na teorii.
-
ac (neregistrovaný)
Nechapu jakou ma ve clanku funkci zminka o BackTracku a Kali Linuxu. Funkcne je to "vata" nebot zbytek clanku na ni nijak nenavazuje a balik aircrack-ng maji rodicovske distribuce v repozitarich.
Btw - docela bych se pobavil kdyby nekdo nasel APT sirici se diky defaultnimu rootovskemu heslu systemu l33t p3n3trat0r t3st3ru.
