Passo 3 – rilevare la WLAN obiettivo

Ora che la scheda è in modalità monitor, possiamo eseguire una scansione alla ricerca di reti wireless. Nella vita reale, chiunque cerchi di entrare in una rete wireless dovrebbe prima ottenere tutte le informazioni di cui avrà bisogno. I professionisti che testano i livelli di penetrazione delle reti definiscono, per ovvie ragioni, questi attacchi come "Zero Knowledge".

Stiamo cercando un AP che utilizzi crittografia WEP e che abbia almeno un client collegato. Il client collegato è molto importante poiché è essenziale ottenere il suo indirizzo MAC, così da effettuare l'attacco ARP Replay, che successivamente sarà necessario per stimolare la generazione di traffico. Se l'AP non ha nessun dispositivo connesso, allora passate al prossimo rilevato.

Per permettere ad aircrack di funzionare al meglio, e per permettergli di catturare abbastanza traffico, sono necessari tre blocchi di informazioni:

• Indirizzo MAC / BSSID dell'AP obiettivo
• Indirizzo MAC / BSSID di un STA associato all'AP obiettivo
• Il canale in uso dall'AP obiettivo e l'STA connesso.

Ci sono molti modi per effettuare una scansione delle LAN wireless, incluso il famoso Kismet, che troverete in BT2. Dato che si tratta di un programma separato dal pacchetto aircrack, Kismet ha una propria lista di adattatori WLAN compatibili. Per facilitarvi le cose però, useremo airodump-ng, che va benissimo per quello che dobbiamo fare.

Lanciate airodump-ng digitando nella riga di comando:

airodump-ng –ivs –write capturefile ath0

L'opzione –ivs scrive solo gli IV catturati (la parte del traffico di cui abbiamo bisogno per rompere la chiave WEP) nei file col prefisso specificato dal parametro –write "capturefile". Notate come quei due segni meno (–) non siano errori di digitazione, ma una forma estesa e ben più leggibile delle opzioni di comando per airdump

Cos'è un IV? WEP utilizza un Vettore di Inizializzazione (IV) insieme alla chiave "Shared Secret" introdotta dall'utente, per produrre una chiave RC4 differente per ogni pacchetto criptato. I motivi per cui una chiave WEP può essere rotta, si riassumono in tre casi: L'IV viene trasmesso in chiaro, è quindi facilmente leggibile. La sequenza della chiave generata da RC4 è leggermente sbilanciata in favore di certe sequenze di byte. Le statistiche per i primi byte della chiave in output sono fortemente non casuali, quindi espongono informazioni relative alla chiave stessa.

Questo comando ordina ad airodump di iniziare la scansione di tutti i canali a 2.4 GHz utilizzando la scheda wireless Atheros (ath0). La Figura 4 mostra un tipico risultato ottenuto dalla scansione.

Figura 4: Scansione di un canale effettuata da airodump-ng

La Figura 4 mostra due AP (nel gruppo superiore) e due STA (nella parte inferiore dell'immagine). Un STA (BSSID 00:1A:70:7F:79:F2) è associato all'AP con ESSID linksys (BSSID 00:06:25:B2:D4:19) e lo si può determinare confrontando gli BSSID (indirizzi MAC) delle Stazioni con quelli degli AP. La Figura 4 mostra anche che l'AP linksys usa il Canale 5.

Quindi, ecco tutti i tre blocchi di informazioni di cui abbiamo bisogno.

• Indirizzo MAC / BSSID dell'AP obiettivo = 00:06:25:B2:D4:19
• Indirizzo MAC / BSSID di un STA associato all'AP obiettivo = 00:1A:70:7F:79:F2
• Il canale in uso dall'AP obiettivo e dall'STA connesso = 5.

Queste informazioni ci serviranno più tardi, quindi annotatele da qualche parte o copiatele in un qualsiasi editor di testo. É possibile interrompere in qualsiasi momento le scansioni di airodump-ng premendo semplicemente la combinazione di tasti CTRL + C.

Consiglio: Fate attenzione alla colonna PWR del gruppo AP, che rappresenta il livello del segnale. Se potete scegliere tra più AP, prendete come obiettivo quello con un numero PWR più alto, cioè quello col segnale più forte. Un segnale forte si traduce in una cattura di pacchetti più veloce.

Se il client fosse stato attivo, avreste anche visto una colonna RXQ, una misura della percentuale dei pacchetti (frame di gestione e dati) ricevuti con successo durante gli ultimi 10 secondi. Anche in questo caso più è alto il numero meglio è. Per ulteriori informazioni fate riferimento ai Consigli d'Uso per airodump.

NOTA: I file con estensione capture generati da airodump-ng, vengono salvati nella directory /root (ammesso che non abbiate cambiato directory dopo l'accesso al sistema). Abbiamo scelto l'opzione –ivs per evitare di esaurire tutto lo spazio del ramdrive di BT2, e perché non abbiamo bisogno di nient'altro se non gli IV.

Non ci dovrebbe essere nessun rischio di terminare lo spazio del ramdisk, ma nel caso dovesse succedere, potete sempre utilizzare il comando rm per cancellare i file catturati. Ricordatevi che quando si usa il parametro –ivs, i file generati saranno di tipo .ivs.