Anmelden mit
Registrieren | Anmelden

WPA-Cracking: Am Anfang wird geschnüffelt

Praxis WLAN-Sicherheit: WPA mit CPUs, GPUs und Cloud geknackt
Von

Der Angriff auf ein WPA-geschütztes Netzwerk erfolgt in drei Schritten:

  1. Sniffing: Das Abfangen von Paketen, um die für einen Angriff notwendigen Daten zu ermitteln.
  2. Parsing: Das Untersuchen der abgefangenen Pakete, um festzustellen, ob es sich dabei um einen gültigen Handshake handelt: ein entscheidender Schritt im Prozedere. Die gesuchten Informationen sind kleiner als 1 MB und müssen die Pakete mit PTK-Authentifizierungsinformationen beinhalten. Das bedeutet, dass sich jemand während des Sniffings ins Netzwerk einloggen muss.
  3. Attacking: Das Cracken des Passworts mittels Brute-Force-Attacke.

Der Sniffing-, Parsing- und Attacking-Vorgang wirkt auf den ersten Blick modular, die Vorgehensweise in der Praxis sieht jedoch etwas anders aus und hängt auch vom verwendeten Betriebssystem ab. Wer viel mit Netzwerken arbeitet, bevorzugt Linux. Allerdings gibt es auch für Windows diverse Tools, mit denen sich diese Abläufe straffen und optimieren lassen.

Unabhängig von der verwendeten Software ist die Umsetzung dieses Vorhabens nicht so einfach wie ein bloßes Eingeben der korrekten Befehle. Die Durchführung des Sniffing-Vorgangs ist am schwierigsten, da hierfür noch eine bestimmte Wireless-Karte erforderlich ist. Man benötigt insbesondere eine Karte, deren Treiber in der Lage ist, Zugriff auf Low-Level 802.11-Protokollinformationen zu gewähren. Die meisten Wireless-Karten kommen in dieser Hinsicht nicht in Frage, da diese Karten einen Treiber nutzen, der die RAW 802.11-Pakete filtert und diese vor den höheren Schichten des Betriebssystems versteckt.

Minute 1: SniffingMinute 1: Sniffing

Allerdings kostet einen die richtige Ausstattung auch nicht das letzte Hemd. Viele Wireless-Karten die kompatibel sind, sind bereits für unter 50 Euro erhältlich. Die abgebildeten Screenshots bieten zwar keine Schritt-für-Schritt-Anleitung, vermitteln allerdings, wie einfach dieses Vorhaben sein kann. Wir haben insgesamt 10 Minuten gebraucht, um alle notwendigen Informationen für die Brute-Force-Attacke, den dritten Schritt, zusammenzutragen.Minute 3: Wir suchen uns ein ZielMinute 3: Wir suchen uns ein Ziel

Einen Haken hat die Sache allerdings. Für das Erfassen der Authentifizierungsdaten (Four-Way-Handshake) ist es erforderlich, die Übermittlung der Pakete genau dann zu überwachen, wenn ein Client versucht, sich mit einem Access-Point (AP) zu verbinden. Dieser Verbindungsvorgang erstellt die Pakete, die für Hacker von besonderem Interesse sind.

Sollte eine Verbindung zwischen Access-Point und Client bereits bestehen, dann ist es ebenfalls möglich die notwendigen Informationen abzurufen. Hierfür muss ein erneuter Verbindungsaufbau erzwungen werden. Wie das gehen soll? Man sucht sich einen bestimmten Nutzer im WLAN-Netzwerk aus und trennt ihn einfach durch Eingabe eines Kommandozeilenbefehls vom Access-Point.

Minute 5: Wir zeichnen den Four-Way-Handshake aufMinute 5: Wir zeichnen den Four-Way-Handshake auf

Nachdem der Sniffing-Vorgang beendet ist, müssen wir mit einem entsprechenden Crack-Programm eine Brute-Force-Attacke durchführen. Unter Linux und Windows gibt es weniger als zehn Programme, die tatsächlich Brute-Force-Angriffe ausführen. Die Mehrzahl dieser Programme, so zum Beispiel Aircrack-ng und coWPAtty, stützen sich dabei auf einen Dictionary-Angriff. Mit anderen Worten: Für eine solche Attacke muss man eine separate Wörterdatenbank nutzen, gegen die abgeglichen werden kann. Letztlich gibt es lediglich zwei Programme, die eine Brute-Force-Attacke  mit Random-Daten ausführen können: Pyrit (in Verbindung mit John the Ripper in Linux) und Elcomsoft's Wireless Security Auditor (Windows).

Es dürfte kaum überraschen, dass die Vorbereitung eines Angriffs mit Linux etwas komplizierter ablaufen als mit Windows. Aircrack-ng wird fürs Sniffing und Parsing verwendet. Dann wird für den Brute-Force-Angriff Pyrit verwendet, das wiederum coWPAtty im Pass-Through-Modus (PMK-PTL-Umwandlung) benötigt. Im Vergleich dazu ist der Arbeitsablauf mit der Software Elcomsoft Wireless Security Auditor (WSA) deutlich flüssiger. Die Anwendung ist derart einfach zu verwenden, dass selbst Anfänger mit sehr wenig Hintergrundwissen kaum Probleme haben dürfte. Mit dieser App lässt sich das Sniffing (vorausgesetzt man verfügt über einen AirPcap-Adapter), Parsing und der Angriff auf ein WPA-geschütztes Netzwerk mit weniger als 10 Mausklicks durchführen.

Der Cracking-Vorgang ist mit Linux zwar etwas komplizierter, dafür aber auch deutlich preiswerter. Die vollautomatisierte WSA-Version kostet $1199, erlaubt dafür aber auch die Verwendung von bis zu 32 CPU-Kernen und acht GPUs. Hinzu kommt Sniffer-Support und die Unterstützung von dedizierter Cracking-Hardware wie TACC1441 von Tableau (auf FPGA-Basis). Die Standardversion ist auf zwei CPU-Kerne und eine GPU beschränkt, ist dafür mit $399 allerdings auch deutlich billiger. Für den Sniffing-Schritt ist bei dieser Version eine Drittanbieter-App erforderlich.

OS
Linux
Windows
Windows (vollautomatisch)
Sniffing
Aircrack-ng
Aircrack-ngWireless Security Auditor Pro Edition
Parsing
Aircrack-ngWireless Security Auditor Std. EditionWireless Security Auditor Pro Edition
Cracking
Pyrit via CoWAPtty
Wireless Security Auditor Std. Edition
Wireless Security Auditor Pro Edition
Software-Kosten
kostenlos
$399
$1199

Brute-Force-Cracking

Für weitere Informationen zu Brute-Force-Angriffen empfehlen wir Seite vier unseres Artikels Passwörter knacken mit GPU-Unterstützung?. Kurz zusammengefasst geht es bei Brute-Force-Angriffen um “Raten und Überprüfen”, um so das gewünschte Passwort zu knacken.

Anders als z.B. bei der Eingabe von Passwörtern fürs Online-Banking gibt es bei WPA keine Einschränkung hinsichtlich der Anzahl der Authentifizierungsversuche. Wer genügend Ausdauer besitzt, der kann solange versuchen Passwörter zu erraten, bis die Hölle zufriert.

Verfügbare Zeichen der Englischen SpracheMögliche Passwörter
Zwei Zeichen
Mögliche Passwörter
Vier Zeichen
Mögliche Passwörter
Sechs Zeichen
Kleinbuchstaben
676
456.976
308.915.776
Klein- und Großbuchstaben2704
7.311.616
19.770.609.664
Klein- und Großbuchstaben plus Zahlen
3844
14.776.336
56.800.235.584
Alle (druckbaren) ASCII-Zeichen8836
78.074.896
689.869.781.056

Brute-Force-Angriffe sind nur dann effektiv, wenn man Passwörter mit hoher Geschwindigkeit ausprobieren kann, da die Anzahl der möglichen Passwörter exponentiell zunimmt (mögliche Passwörter = n[Passwortlänge], n steht für die Anzahl der möglichen Buchstaben).

Meistens wissen Hacker allerdings nicht, wie lange ein Passwort ist. Aus diesem Grund ist eine umfangreiche Suche nach allen möglichen Kombinationen erforderlich, was auch Passwörtern mit lediglich einem Buchstaben bei der Suche einschließt.

Ihre Reaktion auf diesen Artikel