Wyciek hasła WPA2

Witam.
Hostapd z WPA2-PSK oraz hasło 30 znaków (cyfry, małe i duże litery, znaki specjalne) i to hasło tylko wprowadzone tylko do jednego telefonu z Android 4.2.2 na którym oprócz fabrycznie zainstalowanych śmieci od Samsunga zainstalowałem: Total Commander, OSM And, Free Map Navigator, Firefox, GPS Status, Wifi Analyzer..
Okazuje się że hasło wyciekło i dość długo miałem podpiętego intruza oczywiście miał przypadkowy MAC a na DHCP meldował się z nazwą GXBOX.
Po sile sygnału intruza w różnych miejscach mieszkania obstawiam trzy mieszkania obok.
Wygląda to na wyciek z Androida bo dla niego mam zrobiony VLAN a podstawowa sieć miała podobne hasło, mac i nazwę więc też obstawiam że intruz by sobie nie odpuścił.
Próby wejścia na terminale SSH bramek przez intruza nie było.
Co ciekawe intruz odpowiadał na pingi ze wszystkich urządzeń oprócz z tego do którego się podpinał, miał otwarty port 9595 i jak go przez kilka godzin obserwowałem nie robił ruchu na zewnątrz.
W logach z iptables nie znalazłem go też w ostatnich dwóch miesiącach.
I tu jest zagwozdka bo takiego hasła nie łamie się w kilka miesięcy na PC za ścianą i po co to robić żeby być tylko wpiętym.

Nie wiem co masz za router, ale niektóre maja takie gówniane funkcje jak nie wiem jak to się nazywa, ale jakimś pinem się można zalogować i ten pin to zwykle 8 cyfr, może masz tą opcję włączoną.

Nie mogę sobie przypomnieć jak to się nazywa, ale to jest taka opcja prostszego sparowania z routerem.

Masz hasło na 30 znaków, ale router udostępnia inne opcje sparowania, które wymagają 8 cyfr, nie znaków to jest jeszcze łatwiej.
To zwykle można w ustawieniach routera zablokować, wszystkie takie gówniane opcje po za główną, wiem bo blokowałem to kiedyś i to jest w tp linkach prawie każdych, ta firma z takich gównianych rozwiązań słynie, które ułatwiają tobie i przestępcą łatwy dostęp do sieci.

Malinka z Slackware 14.2 ARM więc raczej odpadają takie kwiatki.

A jak zmieniłeś hasło to od razu też się podpiął?

.GodOfCode. napisał(a):

A jak zmieniłeś hasło to od razu też się podpiął?

Dołożyłem tylko jeden znak do hasła i już się nie podpiął ale syf w logach robi. Oczywiście teraz hasła zmienione.

Jak dołożyłeś? całe musisz zmienić najlepiej losowo wygenerować, dodać określone adresy mac, które mogą korzystać, to da się podrobić łatwo, ale wiesz wtedy, że to twoje urządzenie.

.GodOfCode. napisał(a):

Jak dołożyłeś? całe musisz zmienić najlepiej losowo wygenerować, dodać określone adresy mac, które mogą korzystać, to da się podrobić łatwo, ale wiesz wtedy, że to twoje urządzenie.

Tak zrobiłem że akceptuję tylko moje MAC a wiesz że jak ma AirCracka to wszystko jest jak na talerzu gdzie kto podpięty.

.GodOfCode. napisał(a):

Nie wiem co masz za router, ale niektóre maja takie gówniane funkcje jak nie wiem jak to się nazywa, ale jakimś pinem się można zalogować i ten pin to zwykle 8 cyfr, może masz tą opcję włączoną.

Nie mogę sobie przypomnieć jak to się nazywa, ale to jest taka opcja prostszego sparowania z routerem.

Masz hasło na 30 znaków, ale router udostępnia inne opcje sparowania, które wymagają 8 cyfr, nie znaków to jest jeszcze łatwiej.
To zwykle można w ustawieniach routera zablokować, wszystkie takie gówniane opcje po za główną, wiem bo blokowałem to kiedyś i to jest w tp linkach prawie każdych, ta firma z takich gównianych rozwiązań słynie, które ułatwiają tobie i przestępcą łatwy dostęp do sieci.

To sie nazywa Wireless Protected Setup(WPS)

hzmzp napisał(a):

.GodOfCode. napisał(a):

Nie wiem co masz za router, ale niektóre maja takie gówniane funkcje jak nie wiem jak to się nazywa, ale jakimś pinem się można zalogować i ten pin to zwykle 8 cyfr, może masz tą opcję włączoną.

Nie mogę sobie przypomnieć jak to się nazywa, ale to jest taka opcja prostszego sparowania z routerem.

Masz hasło na 30 znaków, ale router udostępnia inne opcje sparowania, które wymagają 8 cyfr, nie znaków to jest jeszcze łatwiej.
To zwykle można w ustawieniach routera zablokować, wszystkie takie gówniane opcje po za główną, wiem bo blokowałem to kiedyś i to jest w tp linkach prawie każdych, ta firma z takich gównianych rozwiązań słynie, które ułatwiają tobie i przestępcą łatwy dostęp do sieci.

To sie nazywa Wireless Protected Setup(WPS)

WPS nie miałem nigdy bo wiem do czego służy reaver.
Kilka miesięcy wcześniej przyszedł mi taki MMS, przypomina mi się że wtedy pisało tam inaczej coś w stylu plik czy file i jego rozmiar w kb.
To było info od Androida a nie że ktoś coś przysłał na czym tak pisało a ja kliknąłem w linka.
Otworzyć się go nie dało.

golesz napisał(a):

I tu jest zagwozdka bo takiego hasła nie łamie się w kilka miesięcy na PC za ścianą i po co to robić żeby być tylko wpiętym.

Co do ostatniej częśći to chyba Aero2 zniosło ostatnio darmowy net. A bez neta dziś to ubóstwo cyfrowe więc co się dziwić że ludzie kombinują. Co do pierwszej części to nie mam odpowiedzi ale na pocieszenie powiem ci że lepiej mieć sieć otwartą bo wtedy zawsze masz linię obrony w razie postępowania a w przeciwnym wypadku nie masz żadnego alibi

Jest taka metoda że stawiasz fake access point z tym samym ssid i większą mocą, tak by zagłuszyć ap ofiary. W ten sposób urządzenia ofiary próbują łączyć się z twoim ap, i tu już masz przesłane jakieś dane, nie znam szczegółów ale podobno bardzo skuteczne.

hzmzp napisał(a):

Jest taka metoda że stawiasz fake access point z tym samym ssid i większą mocą, tak by zagłuszyć ap ofiary. W ten sposób urządzenia ofiary próbują łączyć się z twoim ap, i tu już masz przesłane jakieś dane, nie znam szczegółów ale podobno bardzo skuteczne.

A no tak airbase-ng do tego służy. Wystawiłem mu takiego, zapiął się, wysyłałem intruzowi flooda żeby się rozłączał, później kilka bluzgów w essid do niego i się odczepił ale za następną dobę znowu się próbuje zapinać więc wygląda mi to na jakiś automat a nie kolesia obserwującego co się dzieje w powietrzu.
Hasło tym sposobem ciężko wykraść przy asymetrycznym szyfrowaniu.
Tu pobiera się próbkę przy robieniu "handszejka" i jedzie na solidnych sprzętach licząc że hasło jest cieniutkie.
Można przechwycić ruch klienta i ewentualnie podesłać mu formularz żeby wpisał hasło do routera ale to dla frajerów że mu w HTML podeślą formularz a on to łyknie.
Przed chwilą znalazłem nawet gotowce pod różne plastikowe mydelniczki AP.
Przypisałem urządzeniom w DHCP statycznie IP do MAC wiec łatwiej bedzie coś wypatrzyć,
Wypada zmniejszyć dokładność logów od hostapd żeby nie syfiło, obserwować ARP, komunikaty z dhcpd i logi iptables jakby co na zewnątrz wychodziło pewnie w jakim skrypcie na mejla bo kto ma czas codziennie to przeglądać.
Problem że Slackware od któregoś tam jajca trzyma śmiecie w ARP oczywiście jako incomplete a jak bramka stoi miesiącami to człowiek nie zwraca uwagi, dlatego ustawiłem jeszcze statyczną tablicę.
.

Najczęściej w takich sytuacjach po prostu się o czymś zapomniało, np że sprzedałeś sąsiadowi xboxa z wpisanym hasłem (host gxbox?). Czy masz kontakt z jakimś sąsiadem, dałeś któremuś swój telefon do ręki? Wystarczy parę sekund żeby z androida wyciągnąć hasło do wifi. Czy któryś sąsiad ma twój nr telefonu żeby wysłać ci takiego mmsa?

Jakoś szczerze wątpie że ktoś stargetował soft na ciebie żeby wykraść hasło, albo że łamał je latami czy choćby przez sekundę.
Nie ciekawiło cie żeby wziąć urządzenie na baterii pod drzwi sąsiadów i sprawdzić sygnał i skofrontować się zwyczajnie?

obscurity napisał(a):

Najczęściej w takich sytuacjach po prostu się o czymś zapomniało, np że sprzedałeś sąsiadowi xboxa z wpisanym hasłem (host gxbox?). Czy masz kontakt z jakimś sąsiadem, dałeś któremuś swój telefon do ręki? Wystarczy parę sekund żeby z androida wyciągnąć hasło do wifi. Czy któryś sąsiad ma twój nr telefonu żeby wysłać ci takiego mmsa?

Jakoś szczerze wątpie że ktoś stargetował soft na ciebie żeby wykraść hasło, albo że łamał je latami czy choćby przez sekundę.
Nie ciekawiło cie żeby wziąć urządzenie na baterii pod drzwi sąsiadów i sprawdzić sygnał i skofrontować się zwyczajnie?

Nigdy nie miałem xboxa, telefonu nigdy nikomu nie dawałem, żaden z sąsiadów nie ma mojego numeru, do wyboru mam trzy mieszkania za ścianą w klatce obok. Myślisz że ktoś się przyzna? Wypadałoby połozyc netbooka na podłodze przy scianie robić pomiary i średnią później w połowie ściany a później na czymś pod sufitem.
Siła sygnału się na tyle waha że mniej więcej wychodzi to samo czy stoję na krześle z urządzeniem przystawionym do sufitu czy przy podłodze.
Gdzieś mam wzór na obliczanie odległości ale to dla AP gdzie zna się moc nadajnika i później robisz multilaterację znając swoje połozenie, tu niewiadoma z jaką mocą nadaje intruz tylko z grubsza wiem skąd obchodząc mieszkanie, do tego żelbetowe płyty.