🔑Dissecando e atacando o WPA com o Aircrack

Olá, viajante! Nesse artigo, trago um estudo prático de todos os estágios da autenticação e invasão a uma rede Wi-Fi através de um ataque de força bruta, utilizando a suite do Aircrack. Enjoy!

Requisitos

Para realizar este ataque, precisaremos de um adaptador de rede sem fio adicional, para que possamos utilizar o modo Monitor.

Protocolo

Antes de falarmos sobre o ataque em si, vamos falar um pouco sobre o protocolo. O WPA (Wi-Fi Protected Access) surgiu com o objetivo de substituir o antigo WEP (Wired Equivalent Privacy), ao qual possui diversas vulnerabilidades. O processo de autenticação em redes WPA funciona através do WPA 4-Way Handshake, que consiste numa "conversação" inicial entre uma estação e um roteador, para que a conexão seja estabelecida com segurança.

WPA 4-Way Handshake

Durante o processo de conexão de um ativo a uma rede sem fio com criptografia WPA, existe uma troca de mensagens que precisa ser estabelecida para que a conexão seja bem-sucedida. Esse processo é chamado de WPA 4-Way Handshake:

Figura 1: WPA 4-Way Handshake

O processo do WPA 4-Way Handshake funciona da seguinte forma:

Estágio 1: Solicitação

No primeiro estágio do aperto de mão, a estação envia uma solicitação de conexão ao roteador.

Estágio 2: Resposta do Ponto de Acesso

Nesse estágio, o roteador envia um desafio (nonce) aleatório para a estação. O nonce nesse caso é um valor único, que será utilizado nas duas próximas etapas para a criação das chaves de criptografia. O cliente também envia um nonce gerado a partir do para o ponto de acesso.

Estágio 3: Autenticação

Aqui, a estação recebe o nonce enviado pelo roteador e utiliza a senha fornecida pelo usuário. A partir da senha fornecida, também é calculada a chave de pré-compartilhamento (PSK), que é utilizado como um segredo compartilhado entre a estação e o ponto de acesso. Também é enviado pela estação um valor chamado PMK (Pairwise Master Key), gerado a partir do cálculo da PSK.

Estágio 4: Confirmação

No estágio final, o ponto de acesso também calcula o PMK utilizando a senha e o nonce enviados pela estação, realiza a comparação entre os dois PMK e, se eles coincidirem, a autenticação é bem-sucedida.

Ataque

Agora que temos o contexto de como funcionam as conexões em redes Wi-Fi WPA, prosseguimos para o ataque. Aqui, podemos capturar o WPA 4-Way Handshake, provocado por um processo de desautenticação (deauth) de uma ou mais estações e, em seguida, utilizarmos os pacotes que interceptamos e capturamos para tentar quebrar a senha através de um ataque de força bruta.

Estágio 1: Captura do WPA 4-Way Handshake

Nesse estágio, primeiramente, configuraremos a interface de rede em modo Monitor:

Figura 2: Ativação da interface de rede em modo Monitor

Após isso, utilizaremos a ferramenta Airodump-NG para monitorar os pontos de acesso próximos no modo 5GHz:

sudo airodump-ng wlan0 -b a

Figura 3: Redes Wi-Fi próximas e a estações identificadas

Para nosso estudo, utilizaremos a rede Sgoluc Lab. Agora que já identificamos nosso ponto de acesso alvo, devemos realizar um novo Airodump-NG, filtrando pelo BSSID e canal atuais da rede selecionada:

sudo airodump-ng -c{CANAL} -w packet -d {BSSID} wlan0

Figura 4: Rede alvo filtrada no Airodump-NG

Agora, podemos forçar um ataque de deauth, para que a estação identificada na última linha do print acima seja desconectada e conectada novamente ao roteador e consigamos capturar o WPA 4-Way Handshake (EAPOL):

sudo aireplay-ng --deauth 0 -a {BSSID} -c {STATION} wlan0

Figura 5: Processo de desautenticação em andamento

A partir do momento em que desautenticamos propositalmente o ativo e ele se reconecta ao ponto de acesso, podemos capturar o WPA 4-Way Handshake (indicado no campo Notes como EAPOL):

Figura 6: Captura do WPA 4-Way Handshake através da desautenticação

Estágio 2: Força Bruta

Após a captura do WPA 4-Way Handshake, podemos parar o Airodump-NG e analisar os pacotes capturados via Wireshark.

sudo wireshark packet-01.cap 

Figura 7: Wireshark com os pacotes capturados

Agora, filtramos por pacotes do protocolo EAPOL:

Figura 8: Pacotes pertencentes ao WPA 4-Way Handshake

Agora, utilizamos o Aircrack-NG para tentar quebrar a senha contida na conversação acima utilizando um dicionário de senhas:

Figura 9: Senha quebrada através de um ataque de força bruta

Peace! ❤️