взлом!В США полицияарестовала жителяФлориды за то, чтоон самовольно подключалсяк чужойбеспроводной сетиWi-Fi. 41‐летнегоБенджамина Смитаобвиняют в несанкционированномпроникновениив компьютернуюсеть РичардаДайнона, которыйв минувшем апрелезаметил, что Смитподъехал к егодому на автомобилеи стал пользоватьсяноутбуком.Последующееразбирательствоподтвердило фактнесанкционированногодоступа. Еслиты собираешьповторить подобныйопыт, готовьсяк тому, что твоидействия могутпопасть под статьиУК РФ.Демонстрация работы скрипта-аудитораAPPLE:MacOS X 10.4INTEL:Intel PRO/Wireless 2200BGINTEL:Intel PRO/Wireless 2915ABGINTEL:Intel PRO/Wireless 2100INTEL:Intel PRO/Wireless 3945ABG(w22n50.sys, w22n51.sys, w29n50.sys,w29n51.sys)Заметь, вторая карта из этого списка фигурирует чуть лине в каждом магазинном ноутбуке. Компрометировать удаленныесистемы можно с использованием LORCON(http://802.11ninja.net/code/lorcon-current.tgz). Говоря о возможностяхпроведения атаки, следует отметить, что обязательнымиусловиями ее успешного осуществления являютсятолько включенная Wi-Fi карта и непосредственная близостьхакера к «радиусу действия» беспроводной сети. Сейчася продемонстрирую атаку, которую проводил не раз.skvoz@cup # ./lorcon -c 1 -d 80 -t00:0C:6E:4F:A2:00Finding channel and signal strength ... DONE!Preparing shellcode ...Исследования «нового» беспроводного сетевого окруженияSending attack ...Writing for response..... Got shell!Разъясню параметры запуска. Здесь ‘-с’ — номер канала(по умолчанию 1); ‘-d’ — «слушаемый порт», его мы будембомбить специальными пакетами; ‘-t’ — атакуемаямашина. Кроме того, присутствует флаг ‘-r’ — порт дляbackconnect-подключения при удачном захвате машины.Дальше ты можешь выполнять любые интерпретируемыеконсольные команды.Следует подробнее остановиться на методе выполненияподобной атаки — fuzzing. Термином «fuzzing» объединяютдействия, сопровождающие выявление большинствадефектов безопасности. Один из приемов фаззингаоснован на внесении ошибок путем передачи приложению«кривых» данных. Конкретно в описанном примере это выглядиттак: на атакующего обрушивается шквал UDP-пакетовпо 1400 байт с определенным интервалом.В посылаемые пакеты внедряется шеллкод, которыйисполняется в режиме ядра.Подробности этого чуда были приведены Крисом Касперскиhttp://На диске к журналуты найдешьуникальную презентациюхакеровДэвида Мейнораи Элча, создателейLORCON./ 070xàêåð 02 /98/ 07
взломУзнаем адресацию в беспроводной сети Вывод Netbios-статистики с локального компав октябрьском номере, а главное, что стоитизвлечь из этого, — ошибки синхронизациифреймов, которыми можно не только вызватьотказ в обслуживании, но и передать управлениена шеллкод.Похожий метод компрометации, но с использованиемабсолютно другого пособа захвата, присутствуетв драйверах Broadcom, которыеобычно поставляются в стандартной сборкеПК компаний HP, Dell, Gateway и eMachines.Эта уязвимость, обнаруженная в рамкахпрограммы MoKB (Month of Kernel Bugs), провоцируетпереполнение буфера драйвером длябеспроводных устройств Broadcom BCMWL5.SYS путем некорректной обработки ответовкарточки 802.11, содержащих длинное SSIDполе,и приводит к исполнению произвольногокода в привилегированном режиме. Исходныйкод эксплойта можно найти в MetasploitFramework, :Windows::Driver::Broadcom_WiFi_SSID < Msf::Exploit::Remote на Ruby. В папке/framework3/trunk/modules/exploits/windows/driver расположена еще парочка хороших темпод баги в дровах Wi-Fi, о которых написанониже. Обрати внимание на строки во всех сплоитахпод них:OptString.new('ADDR_DST', [true, "The MAC address of thetarget system",'FF:FF:FF:FF:FF:FF']),OptInt.new('RUNTIME', [true, "The number of seconds torun the attack", 60])Их ты изменяешь сразу или запускаешь сплоитс соответствующими флагами. После завершенияпроцесса ты сможешь выполнять неавторизированныйкод.Атака на конечные клиентыЗаметь, что проделать такой легкий трюк мнепозволила абсолютная незащищенность сетии возможность подключения с любым MACадресом.Но представь, что перед нами грамотнонастроенная сетка. Тратить время на снифинициализационных векторов для подбора WEPне очень хочется, особенно когда дело происходитна улице. Безусловно, при определенномопыте ты сориентируешься, что делать. Об одномиз возможных решений сейчас пойдет речь.Наверняка, тебе запомнилась статья хЫр'а(ustsecurity.info) «С любовью из России». Примечательностьатаки EvilTwin, которую описывалавтор, состоит в том, что она абсолютно«прозрачна» и незаметна жертве. Эмулируя«точку-близнец», вся сетевая инфраструктураконнектится к твоему хозяйству, предоставляятебе возможность для компрометации. Для проведенияEvilTwin нам потребуется знатьMAC-адрес найденной точки доступа, канали SSID. Эту информацию ты можешь с легкостьюузнать из Netstambler или Kiswin. Воспользовавшисьштатными средствами своегоадаптера, легко перевести его в режим «actas base station», но учти, что чипсет адаптерадолжен быть на базе agere/hermes, иначе затеясорвется. В результате пару минут ты будешьчувствовать себя админом, настраиваядиапазон выдаваемых IP'шников, идентификаторсети и еще многое ругое. Естественно, мощностьсигнала «твоей» точки должна бытьвыше подменяемой. После коннекта клиентовк твоей точке доступа, ты спокойно выполнишьаудит в испеченной сети, как у себя в любимойлокалке. Если ты все просек, то, используяфейковые точки, ты можешь без палева изучатьстороннюю беспроводную инфраструктуру.«Gnivirdraw» — «wardriving» наоброт, термин, впервые упомянутый в докладе Rogue Squadronизвестной Shmoo. Заюзав беспроводнойHoneypot из своего ноутбука, ты извлечешьвсю ту же информацию, которую ты узнавал изсканеров беспроводных сетей. Создать такойсофтварно можно на базе Soft AP, либо KarmaTools, которая, кроме возможности эмуляцииAP, на своем борту имеет встроенный http-, FTP-,DNS-, DHCP- и POP3‐сервер (modules/servers).Воровство WEP по-другомуСуществует ряд моделей оборудования, которыехранят WEP-ключ для авторизации сетив реестре. Как правило, эти модели используютподключаемую через USB Wi-Fi карточку, вродеIntel(R) PRO/Wireless 2011B LAN USB Device. Заполучивдоступ непосредственно к подобнойтачке, ты без труда сможешь выхватить егообращением к соответствующей ветке реестра.[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972‐E325-11CE-BFC1-08002BE10318}\0008]Подозрительный хлопец в списках сетевой активности,занимающийся разработкой приложений для web, сразу обратил на себя мое вниманиеxàêåð 02 /98/ 07/ 071