A szomszéd a wifi jelszavamat próbálja ellopni

Ma vettem észre, hogy az én hálózatnevemmel megjelent egy új BSSID, ugyanúgy WPA2-PSK hitelesítéssel. Méréseim alapján a szomszéd az.
Mi akadályozhatja meg abban, hogy az eszközeim, amikor be próbálnak jelentkezni a hálózatba, ne neki adják meg a helyes jelszót? Vagy csak az első jelentkezésnél van jelszavazás, utána már valami kulcscsere van?

Hozzászólások

Szerkesztve: 2020. 08. 07., p - 15:56

Nincs jelszavazás, első round-ban csak egy preshared key fog menni neki, amiben nincs benne a jelszavad(passphrase egyébként), de itt meg is fog akadni a dolog. A megszerzett preshared key egy jó kiindulópont egy további brute force attack irányába amit már lokálisan is el tud végezni, viszont itt is csak találgatás megy.

Használj erős jelszót (hosszú és bonyolult jelszót, úgy is csak egyszer kell beírni), ezt követően nem kell aggódni a próbálkozás ellenére sem.

Esetleg jelezheted neki, hogy már a próbálkozása is beleesik az "Információs rendszer védelmét biztosító technikai intézkedés kijátszása" (Btk. 386. §) című részletbe (amit három évig terjedő szabadságvesztéssel díjjaznak)

// Happy debugging, suckers
#define true (rand() > 10)

És az hogyan megy, amikor két routert tesznek be ugyanazzal az SSID-vel, hogy nagyobb legyen a hálózat lefedettsége? Ott automatikusan felcsatlakoznak az eszközök. Itt miért nem?
Vagy az van, hogy valamilyen algoritmussal a router és az eszköz "összebarátkozik" mielőtt jelszót adna át az eszköz, és ebben használnak valamit, amit a jelszóból képeznek? Tehát a kapcsolódó eszköz "rá tud jönni", hogy a router nem ismeri a jó jelszót? Erről van szó? Konyhanyelven, hogy közgazdászként én is értsem...

"Microsoft vagy azzal egyenértékű"

Amikor azonos SSID van azonos Jelszóval (passphrase), akkor azonos lesz a PSK (Pre Shared Key). Az azonos PSK miatt az eszközök szabadon tudnak mozogni a különböző AP-k között (de ehhez tényleg kell hogy azonos legyen minden). Az első handshake -ben csak a PSK felhasználásával próbálkoznak egymás között (handshake), hogy azonos nyelvet beszélnek-e, azonosak-e a beállítások. Ha sikerült a handshake, még csinálnak egy pár ilyen fordulót egymás között, de a vége az hogy "azonos nyelvet beszélünk, csatlakozhatsz".

Ha ebből bármi nem stimmel, vagy az SSID vagy a passphrase, a generált PSK nem lesz azonos, így már az első handshake -en elbuknak az egyeztetés közben (de továbbra sem küld senkinek sem jelszót).

Az, hogy ő beállította a te SSID-det, az első lépés, de a legkönnyebb is egyben, mert az SSID publikus. Ha az egyik ilyen eszközöd megpróbál hozzá csatlakozni, elbukik a handshake-nél, viszont lesz egy "szelet" adata a titkosított folyamatból. Ugyan a titkosítást feltörni nem tudja, de brute force-al elindulhat, hogy az "EZAZÉNSSID"-m és a "123456789" jelszó ugyan ezt a handshake-et adja ki? Ha nem, megyünk tovább és próbálkozik új jelszavakkal brute force támadást indítani.

A PSK generálása szándékosan egy bonyolult és erőforrást igénylő feladat, ami lényegében évekre lassítja le azt, hogy végigpróbálgasson mindent. Ráadásként ha az első handshake eredményel át is jut és megfelelő, a kulcs még mindig nem fog stimmelni és a további handshake-eken el fog vérezni, ehhez viszont már aktív támadás kell és nem tudja offline végezni, az AP-k pedig szándékosan tovább lassítják ezt a folyamatot. Ezért írtam, hogy ha egy kellően erős jelszót választottál akkor nincs okod aggódni.

Példaképpen, a "teszt" ssid a "teszt" passphrase-el ezt a PSK-t adja: "1a99c7f79c12246a85fa58483a27a6da3a6284ff37dc2b1ca16e6c9395c19847"

Szóval ezzel csak annyit ért el, hogy a több ezer évnyi brute force támadást leszorította pár száz évre ;)

// Happy debugging, suckers
#define true (rand() > 10)

Pedig de, sőt, ott még könnyítés is van, erről szól az FSR (Fast Secure Roaming), ilyenkor az eredeti csatlakozáshoz használt 4 handshake 2-re rövidül a PMKID használatával (így nem kell a teljes azonosítást letudni ami egy terheletlen hálózatnál kb 300ms, ami pl egy VOIP hívásnál sok lenne)

// Happy debugging, suckers
#define true (rand() > 10)

Szerkesztve: 2020. 08. 07., p - 16:31

Különbség van a látható SSID és a nemlátható BSSID (Basic Service Set IDentifier) között. Előbbi az a szabadon definiálható sztring, ez jelenik meg mint friendly name, pl. Józsi-Wifi, TPLINK, Lynksys amikor wifi-hálózatokat keresel a hatósugaradban. Utóbbi meg a Wifi AP MAC address-e. Azaz SSID-k között lehet (név)ütközés, ha sok TPLINK nevű wifi van hatósugárban. Viszont a WIFI kliens a BSSID-t is nézi, és ez alapján meg tudja különböztetni a 20 TPLINK SSID közül azt, amelyiket ő ismeri a korábbi felkonfigolás után. Ezek alapján a szomszéd SSID-ja hiába ugyanaz, mint a tiéd, amíg nem kezdi el a BSSID-det is klónozni, a te WIFI klienseid csak a te saját már korábban beállított BSSID-jú AP-dhez fognak próbálni csatlakozni. Ha manuálisan akarsz rányomni egy SSID-hez való csatlakozásra, ott már elronthatod a dolgot, hacsak nem nézed meg mi az adott SSID-hez tartozó BSSID, és ha a sajátodat/sajátjaidat megjegyzed, akkor fel fog tűnni a különbség.

Viszont ha tovább mérgesedik a helyzet, muszáj leszel valami WPA2-enterprise PKI-s auth megoldást konfigolni az AP-ken, a sima WPA2-Personal preshared key nem fog védelmet jelenteni.

Egy advanced megoldás, ha az AP-k tanúsítvánnyal hitelesítik magukat a kliensek felé, pl. mint a netbank HTTPS szervere a webböngésződ felé. A tanúsítvány-t az AP-nek te generálod le (lehet sima self-signed cert is), és ezt a cert-et viszont sajnos akkor rá kell másolnod minden wifi kliensre (PC, laptop, mobil, és bármi egyéb ami a wifidet akarná használni). Utána be kell állítani, hogy csak akkor csatlakozzon erre az AP-re bármelyik wifi kliensed, ha az AP által prezentált tanúsítvány pontosan megegyezik azzal amit te beállítottál. Ezt a szomszéd nem fogja tudni megcsinálni, mert ő a tanúsítványod privát részéhez nem fog hozzáférni, így a kliensek tanúsítvány hibát dobnak azon nyomban, amikor egy "rossz" AP-re próbálnának csatlakozni.

Közben rájöttem, hogy lehet azt várja mikor lépek be hozzá egy új eszközzel?

"Microsoft vagy azzal egyenértékű"

KEDVESSZOMSZEDBTK423PARAGRAFUS

nevű SSID létrehozását tanácsolnám, esetleg bekopogni, hogy hagyja abba. Igaz játszani fogja a hülyét.

Ha jelszoprobalkozaskent kuldod el neki, ugy nem kapja meg? Az izgalmasabb lenne, ahogy visszafejti :)

“May have been the losing side. Still not convinced it was the wrong one.”
"The clitoris has 8,000 nerve endings and still isn't as sensitive as a conservative man on the Internet"

Tájékoztatás karbantartásról

A rendőrségi elektronikus ügyintézést támogató informatikai rendszer – inNOVA Portál (https://ugyintezes.police.hu) – karbantartása miatt az elektronikus ügyintézésre korlátozottan van lehetőség. Az ügyfelek részére a Rendőrség hivatalos internetes honlapja (www.police.hu) változatlanul elérhető, az ott található ÁNYK nyomtatványok benyújthatók, azonban inNOVA űrlapok benyújtására és a VPOS bankártyás fizetésre jelenleg nincs lehetőség. Halaszthatatlan ügyekben az inNOVA űrlapok helyett rendelkezésre áll az e-Papír szolgáltatás Egyéb ügytípusa. Az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Korm. rendelet 54. § (1) bekezdése alapján ha jogszabály eltérően nem rendelkezik, a törvény, illetve az elektronikus ügyintézést biztosító szerv által meghatározott határidőbe nem számít bele az a nap, amely során legalább négy órán át fennálló, üzemszünetet vagy az elektronikus ügyintézés korlátozott működőképességét okozó technikai tevékenység vagy üzemzavar akadályozta az elektronikus ügyintézést biztosító szerv elektronikus ügyintézést biztosító információs rendszerének működését.

Az elmélet az, amikor mindent ismerünk, de semmi nem működik. A gyakorlat az, amikor minden működik, de senki nem tudja, miért.

Saját SSID-t átírni valami beszédesre, amiről tudja, h rájöttél ki az, és mit akar. Esetleg bekopogni hozzá, h az anyja temetésén viccelődjön.

Megeri feljelenteni. Ha massal nem is, ilyenekkel szoktak foglalkozni.

Amikor egy ügyfelemtől "hekkerek" próbálták ellopni több ezer kiskorú adatát, akkor a rendőrség illetékes szerve (Nemzeti Nyomozóiroda) azt mondta, hogy menj a helyi rendőrségre Mucsaröcsögén. A helyi rendőr nem is értette, hogy miről van szó.

Kétlem, hogy a wifimmel bárki is foglalkozna.

"Microsoft vagy azzal egyenértékű"

Ha a szomszéd igy csinálja, akkor ő egy mezei balfasz.

Ennél vannak azért sokkal szofisztikáltabb "mókázások", amit nem vennél észre.

Hivatásos pitiáner
neut @

Wifi jelszó megszerzése után beraknék egy dhcp/dns/routert a te hálózatodba, MITM módon azon folyna át minden kommunikációd amit utána logolnék.

Amúgy én spec ha valaki igy "visszaszólna" (NELOPDANETETSZOMSZÉDBTK404), akkor legalább annyival szopatnám hogy 2 percenként droppolom a kapcsolatát, hogy mindig újra kelljen csatlakozni, aztán sok sikert, hogy megtalálja mi a gond.

Hivatásos pitiáner
neut @

Én spec ráengedném a jó nagy szótárat, aztán bruteforceolhatja a pw-t (a többség rém egyszerű jelszavakat használ). Ahhoz nem kell kirakni semmilyen egyező SSID-t, 1 darab kapcsolódást kell elcsípni és elfogni az auth csomagot. Utána mehet a bf. És még csak észre se vetted.

Hivatásos pitiáner
neut @

Leállította. Megpróbáltam kb. tízszer belépni a "wifijére" a fentebb javasolt Kedves-Szomszéd-BTK jelszóval. Pár óra, és le is lőtte.

"Microsoft vagy azzal egyenértékű"

(Közben meg lehet, hogy csak annyi volt, hogy a derék szomszédnak fogalma sem volt, hogy mit kell beírni abba a mezőbe, de rájött, hogy ami másnak már bevált, az neki is jó lesz.)

Szerkesztve: 2020. 08. 10., h - 18:23

Nem lehet, hogy nem a wifid, hanem a facebook vagy egyeb jelszavad erdekelte? (esetleg valami vendegede) Fog egy, a tieddel azonos SSID-s wifit, beallitja jelszo nelkulire, es atiranyitja a forgalmat egy gepen (ld. "upside down ternet"). Aztan ha jon egy vendeg, aki netezni akar, meglatja a wifidet, es "kosz, beengedett" felkialtassal mar at is adja neki mindenet. Mar ami nem https-en megy, vagy egyeb modon titkositva (ami ma mar eleg keves dolog).

When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

KRACK azaz Key Reinstallation Attack-re tippelnél elsőre. Ha a routered 4-way handshake -kel kapcsolatos hibája nem lett javítva probléma lehet.

Mikrotik, friss. A csávó meg egy lakatos (nem is igazi lakatos, hanem saválló korlátos, de ebbe ne menjünk bele).
Szerintem csak letöltötte a Samsung telefonjára (MAC alapján úgy tűnik az) a "Free wifi hacker" appot a google storeból és kiválasztotta az enyémet. Még azt sem vette észre, hogy 3-4 hete más az SSID-m.

Amúgy azóta újra elindította.

"Microsoft vagy azzal egyenértékű"