backtrack 5 penetracao e testes wireless (1)
TRANSCRIPT
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 1/87
Voltar ao índice 1
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 2/87
Voltar ao índice 2
Licença GNU Free Documentation License
A GNU FDL permite explicitamente a qualquer usuário do eBook sob ele licenciado:
1. Copiá-lo literalmente e distribuir essas cópias, inclusive recebendo
compensação monetária por elas.
2. Permite exibi-las publicamente, disponibilizando uma cópia transparente do
eBook, acima mencionado.
3. Proíbe que se utilizem meios técnicos para impedir que pessoas que tenham
acesso a qualquer cópia do eBook, para que usufruam dos mesmos direitos do
leitor.
Versões modificadas do eBook também podem ser incluídas, desde que o autor da
modificação concorde em também licenciar a versão modificada pela GNU FDL.
Licença Copyleft
O copyleft, como um termo adicional à licença GNUFDL, visa garantir a quem
receba uma cópia da obra licenciada as seguintes liberdades:
1. A liberdade para usar o trabalho,
2. A liberdade para estudar o trabalho,
3. A liberdade para copiar e compartilhar o trabalho com os outros,
4. A liberdade para modificar o trabalho e também para distribuir os
trabalhos modificados e derivados.
GNU General Public License
Distribuição Livre de Segurança número 1 em sua categoria, mais de 300
ferramentas, de acordo com o fluxo de trabalho de profissionais de segurança.
Nenhuma plataforma de análise oferece um nível equivalente de usabilidade com
configuração automática e foco em testes de penetração.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 3/87
Voltar ao índice 3
ÍndiceLicença GNU Free Documentation License................................................................................2
Licença Copyleft............................................................................................................................2
GNU General Public License........................................................................................................2
Capítulo 1 – Configuração do Laboratório de Testes..........................................................6
Instalação do BackTrack............................................................................................................6
Configuração do router (AP)....................................................................................................9
Ligar ao AP..................................................................................................................................10
Sumário..........................................................................................................................................12
Capítulo 2 - Inseguranças em WLANs........................................................................................13
Nota importante de escuta e injecção em WLAN ................................................................16
Exercício......................................................................................................................................16
Sumário..........................................................................................................................................16
Capítulo 3 – Ultrapassar Autenticação WLAN........................................................................17
Autenticação aberta..................................................................................................................17
SSID oculta..................................................................................................................................17
Filtros MAC..................................................................................................................................20
Shared Key Autentication (SKA)............................................................................................21
Exercício......................................................................................................................................25
Sumário..........................................................................................................................................25
Capítulo 4 – Falhas na encriptação WLAN..............................................................................26
Encriptação WEP..........................................................................................................................26
Encriptação WPA/WPA2................................................................................................................31
Acelerar a descodificação WPA/WPA2....................................................................................35
Decifrar pacotes WEP/WPA........................................................................................................38
Ligar a redes WEP/WPA..............................................................................................................39
Exercício......................................................................................................................................41
Sumário..........................................................................................................................................41
Capítulo 5 - Ataques a infra-estrutura WLAN......................................................................42
Contas e credenciais pré-definidas....................................................................................42
Ataques Denial of Service (DoS)........................................................................................42
AP Gémeo e MAC falsificado....................................................................................................44
Ponto de acesso não autorizado............................................................................................47Exercício......................................................................................................................................49
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 4/87
Voltar ao índice 4
Sumário..........................................................................................................................................49
Capítulo 6 – Ataques ao cliente..............................................................................................51
Ataque chamariz..........................................................................................................................51
Ataque Caffe Latte....................................................................................................................52
Ataques de Desautenticação e Dissociação........................................................................55
Ataque Hirte................................................................................................................................56
Sem AP decifrar WPA..................................................................................................................57
Sumário..........................................................................................................................................59
Capítulo 7 – Avançados ataque WLAN........................................................................................60
Ataque Man-in-the-Middle........................................................................................................60
Violação de confidencialidade Wireless com MITM..........................................................62
Sequestro de sessão via Wireless........................................................................................64
Wi-Fishing - Descobrir configurações de segurança no cliente................................66
Sumário..........................................................................................................................................68
Capítulo 8 – Ataque a WPA-Enterprise e RADIUS..................................................................69
Configurar o servidor RADIUS................................................................................................69
Atacar PEAP..................................................................................................................................71
Atacar EAP-TTLS..........................................................................................................................73
Boas práticas de segurança em Empresas............................................................................75
Sumário..........................................................................................................................................75
Capítulo 9 – Metodologia de teste e penetração WLAN......................................................76
Teste de Penetração Wireless................................................................................................76
Planeamento..............................................................................................................................76
Descoberta................................................................................................................................77
Ataque........................................................................................................................................78
Encontrar AP não-autorizado..........................................................................................78
Encontrar clientes não-autorizados............................................................................79
Decifrar a encriptação....................................................................................................80
Comprometer os clientes..................................................................................................81
Relatório..................................................................................................................................82
Sumário..........................................................................................................................................83
Anexo A – Conclusão e caminho futuro ....................................................................................84
Encerrando....................................................................................................................................84
Construir um laboratório Wi-Fi complexo..........................................................................84
Antenas Direccionais............................................................................................................84
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 5/87
Voltar ao índice 5
AP Wi-Fi....................................................................................................................................85
Cartões Wi-Fi..........................................................................................................................85
Smartphones e outros dispositivos com Wi-Fi..............................................................85
Manter-se actualizado..............................................................................................................86
Listas de correio..................................................................................................................86
Websites....................................................................................................................................86
Conferências ............................................................................................................................86
Relacionados com BackTrack ................................................................................................86
Conclusão......................................................................................................................................87
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 6/87
Voltar ao índice 6
Capítulo 1 – Configuração do
Laboratório de Testes
De modo a garantir a eficácia dos testes presentes no eBook, num ambiente
seguro e controlado, é necessário antes de seguir em frente:
1. Router com opção sem-fios.
2. PC 1, BackTrack 5 revision 3 (BACKTRACK), Live CD ou instalado no HDD.
Pode fazer o download do site http://www.backtrack-linux.org/. Será o nosso
sistema de penetração.
3. PC 2, outro SO, é preferível Windows XP/ Vista/ 7/ 8. Será a cliente.
4. Tentar trocar o valor 0 por 0 ( zero) se o comando for fracassado.Vamos então começar!
Todos os programas funcionam a partir do CD, com a vantagem de não guardar
registos. Para usufruir as capacidades do seu hardware aconselha-se a instalação
no HDD.
Instalação do BackTrack
Para instalar o BACKTRACK crie um CD iniciável comhttp://www.magiciso.com/. Inicie o PC com o DVD ou USB introduzido. Seleccione
BackTrack Text – Default Boot Text Mode no menu:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 7/87
Voltar ao índice 7
Se iniciar com sucesso visualiza o ecrã BACKTRACK:
Iniciará o ambiente gráfico com startx . Verá o seguinte após o digitar:
Agora clique no ícone Install BackTrack no canto superior esquerdo do PC,
isto lançará o instalador BACKTRACK como mostrado em seguida:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 8/87
Voltar ao índice 8
A instalação é simples, semelhante à maioria dos sistemas Linux. Seleccione
as opções apropriadas. Após conclusão da instalação, reinicie o PC e remova o
DVD/USB.
Quando reiniciar, será preciso o nome de utilizador “root ” e a senha
“toor ”. Para alterar a senha escreva passwd .
Pode ler mais alternativas de instalação consultando o sitehttp://www.backtrack-linux.org/wiki .
Para conseguir propor-se aos objectivos do eBook, primeiro iremos activar a
placa Wi-Fi, o comando ifconfig wlan0 up iniciará a nossa placa. O BackTrack vem
com estes recursos inactivos de raiz. Depois com ifconfig wlan0 verá o estado
actual do equipamento:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 9/87
Voltar ao índice 9
Se no campo Hwaddr ler 00:c0:ca:3e:db:93, a activação teve êxito, neste
caso é este o MAC, o seu poderá ser consultado no equipamento.
Configuração do router (AP)
Iremos configurar o ponto de acesso (AP) mencionado anteriormente, para as
nossas experiências.
1- Ligue o seu AP à alimentação e conecte-o ao PC com um cabo de rede numa
das portas.
2 – Abra o seu navegador e escreva o IP do AP na barra de endereço, neste
caso é 192.168.0.1, para saber o do seu AP abra o terminal e escreva route -n o
Gateway é normalmente o endereço do AP. Após ligação verá uma janela semelhante
a esta:
3 – A senha original está no seu manual. Se não souber qual é consulte
http://www.routerpasswords.com/. Explore as várias opções depois de aceder,
antes de configurar a nova SSID ( Identificador da Rede sem-fios).
4 – Altere a SSID para Wireless Lab e a segurança para Open Autentication,
no meu caso, o Modo de Segurança é None. Dependendo do AP poderá reiniciar para
as alterações surtirem efeito.
5 – Grave as alterações no AP e reinicie, se necessário. Desligue o cabo de
rede e inicie o Wicd, encontrará Wireless Lab na lista de ambos computadores:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 10/87
Voltar ao índice 10
Ligar ao AP
O seu AP não tem autenticação, poderá ligar directamente com o Wicd.
No terminal escreva iwlist wlan0 scanning para visualizar os AP
disponíveis. Poderá encontrar a Wireless Lab na lista, o campo ESSID contém o
nome da rede:
Várias redes podem ter o mesmo SSID, verifique o MAC mencionado no campo
Address . Agora escreva iwconfig wlan0 essid “Wireless Lab” e depois iwconfig
wlan0 verifica o estado. Se a ligação foi êxito, poderá ver o MAC do AP no campo
Access Point .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 11/87
Voltar ao índice 11
Sabemos o IP do AP “192.168.0.1” do manual, que é o mesmo que em route -n
para nos identificarmos com um IP na rede escreve ifconfig wlan0 192.168.0.2
netmask 255.255.255.0 up . Verificamos o sucesso com ifconfig wlan0 , como
demonstrado:
Agora iremos verificar se temos ligação com o AP, escreva ping 192.168.0.1
e adicionalmente arp -a para verificar as respostas. Se o eco for recebido,
obtivemos êxito.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 12/87
Voltar ao índice 12
Verificando a ligação, se acedermos ao AP leremos no log o MAC da placa de
rede 00:c0:ca:3a:db:93 registado:
Sumário
Neste capítulo definimos a instalação do Wireless Lab. Também aprendemos a:
• Instalar o BackTrack no HDD
• Configurar o AP para a Internet
• Compreender vários comandos para configurar a placa wireless
• Como verificar a ligação entre os clientes e o AP
É importante que você ganhe confiança em configurações do sistema, será
realizado diversas vezes em capítulos seguintes.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 13/87
Voltar ao índice 13
Capítulo 2 - Inseguranças em WLANs
O quadro responsável em autenticar os clientes em WLANs é “Management
Frames” ou “MAC Header”, em português, quadro de gestão. Existem outros,foquemo-nos neste que será o mais importante neste capítulo por conterem as
informações de autenticação. Depois vem o quadro da mensagem “Frame body” e
quadro de controlo “FCS”.
Agora iremos escutar os quadros da Wi-Fi utilizando o Wireshark. Para
criarmos um modo monitor na placa de rede wlan0 escrevemos o comando airmon-ng
start wlan0 que cria o modo monitor mon0 , verifica-se uma nova interface com
airmon-ng .
Definimos o canal do modo monitor mon0 com iwconfig mon0 channel 11 , o
nosso laboratório está a transmitir no canal 11, visto nas propriedades da rede
no Wicd.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 14/87
Voltar ao índice 14
Ligamos o Wireless Lab e iniciamos o Wireshark. Quando estiver activo
clicamos em Capture → Interfaces e seleccionamos a interface mon0 , a escuta
iniciará automaticamente no Wireless Lab .
No Wireshark, para visualizarmos todos os pacotes não-avisos escrevemos o
filtro:
!(wlan.fc.type_subtype==0x08)
Seleccionando qualquer pacote na janela superior ele será mostrado na
janela do meio. Vários filtros podem ser utilizados em simultâneo, clique com o
botão direito do rato sobre o conteúdo e seleccione Apply as filter → Selected.
Para acelerarmos a captura de pacotes no Wireshark, injectamos pacotes na
rede com aireplay-ng -9 -e “Wireless Lab” -a MAC:AP mon0 .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 15/87
Voltar ao índice 15
O PC cliente servirá também para criar pacotes, poderá aceder ao AP, neste
caso http://192.168.0.1/. Isto gerará pacotes de dados que o Wireshark
capturará.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 16/87
Voltar ao índice 16
Nota importante de escuta e injecção em WLAN
As ligações Wi-Fi transmitem-se por frequência, note que nem sempre
conseguimos transmitir em todas, poderemos não operar em 802.11a/n. Para
verificarmos as capacidades da nossa interface escrevemos no Terminal iwconfig
wlan0 . Podemos observar na seguinte figura que a nossa interface trabalha nas
bandas b e g.
Exercício
Tente criar vários modos monitor, com apenas uma placa Wi-Fi.
Em redes sobrepovoadas, tente isolar os clientes com filtros no Wireshark.
Uma das ferramentas interessantes no Wireshark é "Follow a Stream", tente
utilizá-la numa transferência de dados.
Várias placas Wi-Fi permitem escutar vários canais em simultâneo.
Sumário
Neste capítulo verificámos vários protocolos WLAN. Sem encriptação é fácil
visualizar os dados escutados no ar. Note-se que pode existir protecção
utilizando encriptação para os manter confidenciais. Leremos sobre isto mais
adiante. O modo monitor escuta todo o espaço em redor.
Pacotes de dados sem encriptação podem também ser modificados e reenviados
de volta à rede. Se o pacote está encriptado, podemos continuar a reenviar o
pacote como está, visto as WLAN não terem protecção anti reenvio.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 17/87
Voltar ao índice 17
Capítulo 3 – Ultrapassar Autenticação
WLAN
Autenticação aberta
Em segurança informática Autenticação Aberta designa que não existe
mecanismo de segurança. Não é requerida chave para ligar e os dados
transaccionados não estão criptografados.
Com o nosso Wireless Lab utilizando Autenticação Aberta podemos encontrar a
rede com iwlist wlan0 scanning e ligar ao AP com o comando iwconfig wlan0 essid
“Wireless Lab” e verificar o êxito da ligação ao AP:
Note que não teve de fornecer qualquer nome-de-utilizador/senha/senha-frase
para aceder ao AP através de Autenticação Aberta.
Alguns AP utilizam filtragem por MAC ou têm SSID oculta, no entanto
transmitem a sua BSSID nos quadros de aviso, para que os clientes se possam
ligar.
SSID oculta
Iniciamos o Wireshark no modo monitor Mon0. Configure depois o Wireless Lab
para não transmitir a SSID, no meu caso selecciono a opção Invisible.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 18/87
Voltar ao índice 18
Se olhar para o rastro do Wireshark verá que a SSID do Wireless Lab
desapareceu dos quadros de aviso.
Para descobri-los no Wireshark teremos de esperar que um cliente se ligue,
revelando a presença da rede.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 19/87
Voltar ao índice 19
Alternativamente, poderá usar aireplay- ng para enviar pacotes de
desautenticação a todos os clientes do Wireless Lab com aireplay-ng -0 5 -a
MAC:AP mon0 . O -0 escolhe o modo de desautenticação e 5 é o número de pacotes de
desautenticação que envia, -a especifica o MAC do alvo AP, detectado pelo
Wireshark.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 20/87
Voltar ao índice 20
Filtros MAC
Configuremos o nosso AP para usar filtro MAC e depois adicionamos o
MAC:cliente do nosso PC cliente. A página do meu router aparece assim:
Se tentarmos ligar com um PC que não esteja na lista seremos recusados.
Obtemos o MAC dos clientes ligados ao AP com airodump-ng -c 11 -a –bssid
MAC:AP mon0 , 11 é o canal e MAC:AP é o MAC do Wireless Lab, ambos obtidos nas
propriedades da rede no Wicd ou através de iwlist wlan0 scanning . O resultado do
airodump-ng :
Depois de obter o MAC:clientes na coluna Station (60:FB:42:D5:E4:01) terão
de desactivar a placa de rede ifconfig wlan0 down. Alteramos seguidamente o MAC
do nosso PC para um da rede com macchanger -m MAC:Cliente wlan0, depois trará a
placa de rede ao activo ifconfig wlan0 up , que funciona até reiniciar o PC.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 21/87
Voltar ao índice 21
Shared Key Autentication (SKA)
Shared Key Authentication utiliza senha WEP para autenticar o cliente. A
troca de informações está ilustrada a seguir (fonte: http://www.netgear.com/):
Teremos de configurar ASK na nossa rede Wireless Lab. No meu caso alterei o
Security Mode para WEP e a Autenticação para Shared Key:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 22/87
Voltar ao índice 22
Para ligarmos a uma rede com autenticação WEP-SKA (Shared Key
Autentication) temos de monitorizar o AP iwconfig wlan0 essid “Wireless Lab”.
A monitorização terá de ser gravada num ficheiro airodump-ng mon0 -c 11 –bssid
MAC:AP -w Keystream , em que Keystream será o nome do ficheiro contende os dados
gravados em root transmitidos pelo PC cliente.
Podemos então forçar os clientes a religar ao AP enviando um pacote
Broadcast de desautenticação aireplay-ng -0 5 -a MAC:AP mon0 . Para recolhermosos dados necessários para decifrar a senha SKA-WEP. Se a escuta WEP-SKA for bem-
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 23/87
Voltar ao índice 23
sucedida a coluna AUTH mostrará SKA após escuta do comando anterior.
A captura keystream está guardada em root e terá por sufixo o MAC do AP.
Após verificação iludimos a autenticação utilizando aireplay-ng -1 -e
“Wireless Lab” -y Keystream-01-00-21-D2-8E-25.xor -a MAC:AP -h
aa:aa:aa:aa:aa:aa mon0 que validará a senha obtida no Keystream. Escrevendo
aireplay-ng verifica-se o estado da autenticação.
A senha obtida poderá ser também usada em Wicd.
Para seguirmos o percurso da autenticação WPA-SKA no Wireshark escrevemos o
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 24/87
Voltar ao índice 24
filtro wlan0.addr==aa:aa:aa:aa:aa:aa no Wireshark terá de estar activo durante
todo o processo se quiser visualizar os pacotes.
O AP registará no Log o MAC:BACKTRACK5 aa:aa:aa:aa:aa:aa após a
autenticação.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 25/87
Voltar ao índice 25
Exercício
Tente enviar pacotes de desautenticação a clientes específicos.
Tente criar um DoS escrevendo um simples comando no aireplay-ng para enviar
centenas de ligações a MAC aleatórios de modo automatizado.
Sumário
Neste capítulo, aprendemos o seguinte sobre autenticação WLAN:
• SSID ocultas revelam alguma dificuldade em aceder, mas são relativamente
fáceis de bater.
• Filtragem MAC não garantem segurança porque os MAC:clientes são recolhidos
no ar em pacotes sem encriptação.
• Autenticação Aberta não garante nenhuma segurança.• Shared Key Authentication tem algumas artimanhas para a bater, recolhendo
dados num ficheiro é possível ser decifrada.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 26/87
Voltar ao índice 26
Capítulo 4 – Falhas na encriptação WLAN
Encriptação WEP
Vamos primeiro configurar o nosso AP Wireless Lab para WEP:
No meu AP altero o Security Mode para WEP. Preciso também definir umasenha. Utilizarei uma senha WEP de 128 bit, valor hex e a senha
abcdefabcdefabcdefabcdef12 você pode escolher outra:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 27/87
Voltar ao índice 27
Depois de aplicar as alterações, o AP deverá oferecer encriptação WEP.Vamos configurar o PC do invasor.
Para monitorizar pacotes WLAN criamos o modo monitor Mon0 com o comando
airmon-ng start wlan0 .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 28/87
Voltar ao índice 28
A localização dos AP ao alcance poderá ser feita com o programa Wicd ou com
airodump-ng mon0 .
Neste exercício, a análise dos dados criptografados recolhidos com o
airodump-ng terão de ser guardados no ficheiro “.cap”, com o comando airodump-
ng –bssid MAC:AP –channel 11 –write WEPCrackingDemo mon0 para apenas ver os
dados da rede com este MAC.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 29/87
Voltar ao índice 29
O WEPCrackingDemo será o nome do ficheiro, exibido em root com ls .
Vamos então ligar o cliente à rede, com a chave WEP
abcdefabcdefabcdefabcdef12 após ligação, veremos um ecrã semelhante ao seguinte:
Aconselha-se a monitorizar os dados na rede com o Wireshark, caso se
verifiquem poucos pacotes na escuta injectamos mais, com um protocolo usado paraencontrar um endereço Address Resolution Protocol ou ARP, o comando aireplay-ng
-3 -b MAC:AP -h MAC:Cliente mon0 fará esta replicação. São mais importantes as
religações criadas por aireplay-ng -o 5 -a MAC:AP mon0 .
Depressa o aireplay-ng replicará os pacotes ARP na rede:
Neste momento o airodump-ng começará a registar muitos pacotes de dados.
Todos gravados no ficheiro WEPCrackingDemo-* iniciado anteriormente:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 30/87
Voltar ao índice 30
Vamos agora iniciar a parte de descodificação! Uma senha pode ser testada
com o comando aircrack-ng WEPCrackingDemo-01.cap que utilizará os dados
recolhidos para o ficheiro e detecta semelhanças. Em root pode verificar o nome
do ficheiro com ls .
Como pode ver na imagem seguinte, o aircrack-ng é activado e começa a
verificar os pacotes WEP para decifrar a senha:
Quanto maior o número de dados escutados maior a fiabilidade da
desencriptação, se não houver dados suficientes a resolução pausa e reinicia
quando haja mais valores:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 31/87
Voltar ao índice 31
Se tivermos pacotes de dados suficientes, o Aircrack-ng será capaz de
descodificar a senha. Quando acontecer, ele mostrará no terminal a seguinte
mensagem:
O processo é longo e usa muitos recursos, se o PC reiniciar é devido a
sobreaquecimento.
Encriptação WPA/WPA2
Os passos para testar redes Wi-Fi com senha WPA/WPA2 são diferentes ao
teste de um AP com Encriptação WEP. Em WPA o ataque será realizado com um
dicionário, quanto melhor for o dicionário maiores serão as possibilidades de
descobrir a senha.
Vamos configurar o AP para utilizar a senha-frase WPA-PSK abcdefgh, que é
vulnerável a um ataque com dicionário. No meu caso será parecido com o seguinte:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 32/87
Voltar ao índice 32
De modo a guardarmos os dados no ficheiro, utilizamos o comando airodump-ng
–bssid MAC:AP –channel 1 –write WPACrackingDemo mon0 , o ficheiro terá como
prefixo WPACrackingDemo, poderemos ver os dados MAC do AP e canal com o Wicd.
Os pacotes obtidos serão visualizados em nº no terminal.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 33/87
Voltar ao índice 33
Para maior qualidade dos pacotes, poderemos forçar a religar os clientes ao
AP com o comando aireplay-ng –deauth 5 -a MAC:AP mon0 .
A verificação de escuta com dados de autenticação é verificada no terminal
airodump-ng com o valor WPAHandshake no canto superior direito, ou no Wireshark,
abrindo o ficheiro “.cap” visualiza-se o protocolo “EAPOL key” utilizado na
autenticação dos clientes.
Podemos parar agora a captura do Wireshark. Veremos os pacotes de
autenticação que têm protocolo EAPOL key.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 34/87
Voltar ao índice 34
O BACKTRACK5 vem com dicionário WPA-PSK utilizado no aircrack-ng , encontra-
se com o comando ls /pentest/passwords/wordlists/darkc0de.lst com o nome
darkc0de.lst.
Começamos a descodificação com o comando aircrack-ng WPACrackingDemo-1.cap
-w /pentest/passwords/wordlists/darkc0de.lst .
O aircrack-ng irá testar várias vezes para tentar descobrir a senha WPA-
PSK. A opção -w irá adicionar ao dicionário possíveis senhas.
A descodificação depende do dicionário, se a chave estiver presente será
exibida no terminal aircrack-ng .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 35/87
Voltar ao índice 35
Acelerar a descodificação WPA/WPA2
A descodificação WPA/WPA2 é bastante demorada. O cálculo do tamanho dasenha-frase (PMK) ajuda-nos a reduzir o nº de tentativas, usa poucos recursos,
revela-se vantajoso se efectuado antes da descodificação. Neste caso
utilizaremos a senha-frase skysign.
O cálculo é iniciado com genpmk -f
/pentest/passwords/wordlists/darkc0de.lst -d PMK-Wireless-Lab -s “Wireless
Lab”, cria o ficheiro PMK-Wireless-Lab em root, poderá ter o nome que o
utilizador pretenda. O -s serve para designar o AP a escutar, no meu caso é
Wireless Lab.
Pyrit, uma outra ferramenta que foi desenvolvida para PC com
multiprocessadores, utiliza as mesmas acções que o Genpmk. Pode ser utilizado
com pyrit -r WPACrackingDemo2-01.cap -i PMK-Wireless-Lab attack_cowpatty .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 36/87
Voltar ao índice 36
Após o cálculo com Pyrit ou Genpmk, vamos utilizar o Cowpatty para decifrar
a senha WPA, por ser mais rápida que a Aircrack. O comando é cowpatty -d PMK-
Wireless-Lab -s “Wireless Lab” -r WPACrackingDemo2-01.cap . Demora ≃7.18segundos para decifrar a senha.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 37/87
Voltar ao índice 37
Outra opção é utilizar o aircrack com a ferramenta airolib-ng , desenvolvida
para a finalidade PMK, com o comando airolib-ng PMK-Aircrack –import cowpatty
PMK-Wireless-Lab , que importa o controlo cowpatty.
E agiliza o aircrack-ng quando chamado com aircrack-ng -r PMK-Aircrack WPACrackingDemo2-01.cap .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 38/87
Voltar ao índice 38
Decifrar pacotes WEP/WPA
A captura anterior efectuada WEPCrackingDemo-01.cap pode ser decifrada com
a ferramenta Airdecap-ng pode chamá-la com o comando airdecap-ng -w
abcdefabcdefabcdefabcdef12 WEPCrackingDemo-01.cap , note a senha obtida
anteriormente com aircrack-ng WEPCrackingDemo-01.cap é utilizada.
A descodificação será guardada no ficheiros WEPCrackingDemo-01-dec.cap.
Para visualizar os 10 pacotes iniciais decifrados pode utilizar o tshark -r
WEPCrackingDemo-01-dec.cap -c 10 .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 39/87
Voltar ao índice 39
Ligar a redes WEP/WPA
De modo a ligarmos a uma rede Wi-Fi WEP utilizamos a senha obtida
anteriormente com aircrack-ng e o nome da rede, iwconfig wlan0 essid “Wireless
Lab” key abcdefabcdefabcdefabcdef12 , o êxito da ligação verifica-se com
iwconfig wlan0 . A senha WEP pode também ser utilizada no programa Wicd.
A ligação a redes Wi-Fi WPA é mais complexa. Obriga-nos a criar um ficheirocom o gedit chamado wpa-supp.conf para cada rede WPA, no meu caso Wireless Lab
será:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 40/87
Voltar ao índice 40
O ficheiro será gravado com a extensão .conf e é utilizado com o comando
wpa_supplicant -Dwext -iwlan0 -c wpa-supp.conf uma mensagem com “Connection …
completed “ será mostrada:
Para ambas as ligações verificamos se o PC equipado com o BackTrack 5 teveêxito na ligação poderemos utilizar dhclient3 wlan0 que permite ler o DHCP
(Dynamic Host Configuration Protocol) Protocolo de configuração de convidado
dinâmico utilizado em transmissões com o AP. O comando route -n verifica todos
os pontos de passagem desde o BackTrack 5 e o ISP (Internet Service Provider).
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 41/87
Voltar ao índice 41
Exercício
Uma outra ferramenta semelhante a aircrack-ng é Cowpatty , tente decifrar
uma senha WPA-PSK com um ataque dicionário.
Sumário
Neste capítulo, aprendemos o seguinte sobre encriptação WLAN:
• WEP é insegura e não interessa que senha seja, com suficiente dados é
sempre possível decifrar a WEP.
• WPA/WPA2 é criptograficamente indecifrável actualmente, no entanto, sob
especiais circunstâncias, quando é escolhida uma senha fraca em WPA/WPA2-PSK, é
possível decifrar a senha em ataque com dicionário.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 42/87
Voltar ao índice 42
Capítulo 5 - Ataques a infra-estrutura
WLAN
Neste capítulo iremos atacar o coração de infra-estruturas WLAN, Pontos de
Acesso (AP)! Iremos focar-nos em como penetrar em redes autorizadas utilizando
vários novos vectores de ataque, iludir clientes autorizados a ligarem-se a nós.
Contas e credenciais pré-definidas
As credenciais de acesso ao router são gerais a todos os dispositivos
novos, pelo que devem ser alteradas para maior segurança. Estas podem ser
consultadas em http://www.defaultpasswords.in/ ou
/pentest/passwords/wordlists/routerFactoryKey.lst encontrará as senhas pré-
definidas que podem ser utilizadas para aceder ao Painel de Controlo do router.
Também pode ser utilizada a ferramenta Hydra disponível no BackTrack 5 que
serve de autenticação por força-bruta.
Ataques Denial of Service (DoS)
Vamos configurar o router para Autenticação Aberta e sem encriptação. Isto
fará o Wireshark ler os pacotes facilmente.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 43/87
Voltar ao índice 43
Para verificarmos as ligações entre o AP e os clientes utilizamos airodump-
ng –bssid MAC:AP --channel 11 mon0 , as informações como bssid e outras podem serencontradas em Wicd.
Com o Wireshark a registar os dados, enviamos desautenticação a um clienteespecífico com aireplay-ng --deauth 1 -a MAC:AP -h MAC:origem -c MAC:cliente
mon0 . Para enviar uma desautenticação a todos os clientes omitimos na expressão
-c MAC:cliente , note que o MAC:origem pode ser o MAC:AP que servirá para
identificar o destino.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 44/87
Voltar ao índice 44
Quando enviada a desautenticação ao cliente, ele tentará religar
automaticamente ao AP.
A desautenticação tem de ser ponderada para obtermos DoS, é um ataque fácil
e muito devastador no mundo real.
AP Gémeo e MAC falsificado
A escolha do AP para ligação é feita pela força de sinal, pode ser
confirmada quando temos vários transmissores com o mesmo BSSID, sendo feita
automaticamente a ligação do cliente.
Visualizamos as redes Wi-Fi ao alcance com airodump-ng mon0 , bem mais
poderoso que o Wicd.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 45/87
Voltar ao índice 45
Escolhemos uma rede que tenha clientes ligados. Pode criar um AP Gémeo
(APG) do Wireless Lab com a mesma ESSID mas diferentes BSSID e MAC com o comando
airbase-ng -a aa:aa:aa:aa:aa:aa --essid “Wireless Lab” -c 11 mon0 , a janela
airbase-ng mostrará todas as comunicações com o gémeo.
Poderá filtrar os AP alvo com o comando airodump-ng --channel 11 mon0 , em
que --channel 11 é o canal do nosso alvo e do novo AP que terá o
MAC=aa:aa:aa:aa:aa:aa.
A janela airodump-ng mostrará os clientes ligados, a janela airbase-ng
mostrará o estado dos pacotes recebidos pelo AP:Gémeo.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 46/87
Voltar ao índice 46
Para que clientes se liguem ao gémeo enviamos o pedido de desautenticação
aireplay-ng –deauth 5 -a MAC:AP mon0.
Vamos proceder a uma cópia íntegra do AP alvo, BSSID e MAC podem ser vistos
na janela airodump-ng ou com o Wicd.
Para criação do gémeo utilizamos airbase-ng -a MAC:AP –essid “Wireless
Lab” -c 11 mon0.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 47/87
Voltar ao índice 47
Se verificarmos no airodump-ng só encontraremos 1 AP, pelo que não se
poderão diferenciar visualmente, note que é a força do sinal que permite ao
cliente escolher o nosso AP e está directamente relacionado com a distância do
nosso PC ao do cliente.
Ponto de acesso não autorizado
Um ponto de acesso não autorizado é um dispositivo ligado a uma rede
segura, normalmente com autenticação aberta e sem encriptação. Podem ser
utilizados aparelhos físicos ou programas em ponte.
Neste exercício criamos o nosso AP não autorizado por programas, sem
qualquer adição de aparelhos. Para tal, 1º utiliza airbase-ng com o ESSID Rogue,
através do comando airbase-ng –essid Rogue -c 11 mon0 .
Agora teremos de criar uma ponte entre a nossa Ethernet que está ligada ao
nosso PC. Chamamos-lhe Wi-Fi-Bridge e utilizamos o comando brctl addbr Wi-Fi- bridge .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 48/87
Voltar ao índice 48
Ligamos a ponte e o AP Rogue criado com brctl addif Wi-Fi-Bridge eth0 e em
seguida brctl addif Wi-Fi-Bridge at0 . Note que se a sua ligação ao AP for
Wireless deverá alterar eth0 → wlan0 .
Para activarmos as interfaces Rogue criadas utilizamos ifconfig eth 0.0.0.0
up e depois ifconfig ath 0.0.0.0 up .
A ligação está visível agora os clientes, mas teremos de activar as regras
TCP/IP com o comando echo 1 > /proc/sys/net/ipv4/ip_forward .
Fantástico! Está feito. A 1ª ligação do cliente ao AP Gémeo será vista comoa seguinte:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 49/87
Voltar ao índice 49
Podemos ver a utilização da rede no PC:cliente que recebe o endereço IP do
DHCP através do AP Rogue não autorizado.
Agora podemos aceder a qualquer cliente na rede autorizada, utilizando o AP
virtual Rogue. Um exemplo da comunicação com a rede fidedigna é fazer um ping ao
router ping 192.168.1.1 .
Exercício
Uma outra ferramenta de Bruteforce disponível no BackTrack é a ferramenta
Hydra para autenticação HTTP.
Tente enviar ataques de dissociação contra o AP para todos os clientes.
Veja se consegue criar um AP Gémeo que utiliza WPA/WPA2 e tente que se
pareça com um AP legítimo ao alcance.
Sumário
Neste capítulo, comprometemos a segurança de infra-estruturas Wireless LAN
exploradas com as seguintes maneiras:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 50/87
Voltar ao índice 50
• Comprometendo contas pré-definidas e credenciais nos AP
• Ataques Denial of Service
• AP Gémeo e MAC falsificado
• Ponto de acesso não autorizado em redes empresariais
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 51/87
Voltar ao índice 51
Capítulo 6 – Ataques ao cliente
Na maioria dos casos, os auditores têm em maior atenção as infra-estruturas
WLAN e não verificam os clientes. É interessante notar que um invasor podeganhar acesso à rede se comprometer um cliente Wi-Fi.
Neste capítulo, vamos focar-nos nos clientes ligados ou não-associados.
Ataque chamariz
Quando um PC é iniciado pesquisa por redes a que se ligou antes. Essas
redes são guardadas em Lista de Redes Preferidas (PNL) nos SO Windows.
Um invasor pode criar um AP Gémeo que se revela muito útil em centroscomerciais, cafés, aeroportos e universidades. Servem para monitorização com o
Wireshark ou para criar ficheiros de dados com airodump-ng .
Vamos iniciar o airodump-ng mon0 e verificarmos os clientes com pesquisa
Wi-Fi (probe) do Wireless Lab no meu caso tem também a rede Vivek como mostrado
em seguida:
Com o Wireshark em acção aplicamos o filtro Probe Requests para análise da
ESSID que estamos a utilizar. No meu caso será wlan.fc.type_subtype==0x04 &&
wlan.sa==60:FB:42:D5:E4:01 . Mostrará apenas os pacotes da SSID Wireless Lab.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 52/87
Voltar ao índice 52
Vamos iniciar o AP Gémeo para a rede Wireless Lab com o comando airbase-ng
–essid “Wireless Lab” -c 3 mon0 , em pouco tempo podem ver no airbase-ng os
clientes não associados.
Se o AP fidedigno estiver ligado, podemos enviar uma mensagem dedesautenticação broadcast com aireplay-ng –deauth 1 -a MAC:AP para quebrar as
ligações entre este e os clientes.
Pela teoria da força do sinal, os clientes vão ligar-se ao AP ou AP Gémeo
que tenha melhor sinal.
Ataque Caffe Latte
O ataque Caffe Latte permite ao analista recuperar a senha WEP utilizando
um cliente isolado.
Vamos configurar o AP legítimo Wireless Lab com a chave
ABCDEFABCDEFABCDEFABCDEF12 em HEX:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 53/87
Voltar ao índice 53
Ligamos o nosso cliente e verificamos a área com airodump-ng mon0. Vamos
desactivar o AP legítimo, note-se que o cliente está dissociado e procura a rede
WEP Wireless Lab.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 54/87
Voltar ao índice 54
Utilizando o airbase-ng criamos o AP Gémeo, com ESSID Wireless Lab e outros
parâmetros. Assim que o cliente se liga ao AP Gémeo, airbase-ng começa o ataque
Caffe Latte, que dependerá dos dados obtidos:
Vamos reiniciar o airodump-ng para colectar apenas os pacotes do AP Gémeo,
como fizemos anteriormente no caso de descodificação WEP, utilizando os
parâmetros digitados no airbase-ng com o comando airodump-ng –bssid MAC:APG –
channel 3 –write WEPCrackingAPgemeo mon0 .
Após aparecer SKA na coluna Auth no airodump-ng iniciamos o aircrack-ng
para decifrar o processo. O comando será aircrack-ng WEPCrackingAPgemeo.cap .
Assim que tenhamos recolhido suficientes dados, o aircrack-ng começará a
decifragem.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 55/87
Voltar ao índice 55
Conseguimos decifrar a senha com apenas o cliente e o analista. Este é o
poder do ataque Caffe Latte.
Podemos acelerar o processo de descodificação com replicação ARP utilizando
aireplay-ng -3 -b MAC:AP -h MAC:cliente mon0 , -3 é a opção de replicação ARP. É
sempre útil utilizar o Wireshark para analisar e seguir o tráfego da rede Wi-Fi.
Ataques de Desautenticação e Dissociação
Já enviámos ataques de desautenticação no contexto dos AP. Neste capítulo,
vamos explorar o mesmo no contexto do cliente, vamos enviar pacotes dedesautenticação apenas ao cliente para quebrar a ligação estabelecida com o AP.
Vamos então ligar o AP fidedigno Wireless Lab de novo, em WEP para provar
que mesmo codificado é possível atacar a ligação entre o cliente e AP.
Verificamos se o AP está activo e o cliente ligado com airodump-ng mon0 .
Vamos agora iniciar o aireplay-ng e localizar a ligação entre o cliente e o
AP.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 56/87
Voltar ao índice 56
Com o Wireshark ligado, reiniciamos o cliente e verificamos os pacotes da
ligação ao AP.
Com encriptação WEP é possível desligar o cliente, o mesmo se passa com
encriptação WPA/WPA2. Deste modo conseguimos forçar um cliente específico a
religar, enviando as credenciais de autenticação.
Ataque Hirte
Vimos já como o ataque Caffe Latte funciona. O ataque Hirte estende o
ataque Caffe Latte utilizando técnicas de fragmentação e permite utilizar
qualquer pacote, com apenas um cliente não-associado.
Temos de criar o AP Gémeo encriptado com WEP exactamente como no ataque
Caffe Latte, utilizando a ferramenta airbase-ng . A opção adicional -N em vez de-L permite lançar o ataque Hirte.
Iniciamos o airodump-ng numa janela separada para capturar pacotes do AP
Gémeo Wireless Lab no ficheiro Hirte-01.cap .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 57/87
Voltar ao índice 57
Assim que o cliente ligar ao AP Gémeo, o ataque Hirte é automaticamente
iniciado pelo airbase-ng .
Iniciamos o aircrack-ng como no caso do Caffe Latte e como demonstrado a
senha será decifrada.
Sem AP decifrar WPA
É possível decifrar uma senha WPA apenas com um cliente e sem AP, visto que
a chave encriptada é enviada pelo cliente com o MAC:cliente e a PSK.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 58/87
Voltar ao índice 58
No entanto é necessário criar o AP Gémeo para captar as informações, com a
ESSID Wireless Lab. A opção -z 2 cria um AP Gémeo que utiliza encriptação TKIP.
Assim que o cliente liga veremos os detalhes:
Vamos também iniciar o airodump-ng para capturar os pacotes da rede
virtual, que reportará o handshake no canto superior direito da janela.
Iniciamos o aircrack-ng que utilizará o ficheiro criado pelo airodump-ng
com o mesmo dicionário anteriormente utilizado.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 59/87
Voltar ao índice 59
Sumário
Neste capítulo, aprendemos que também os clientes Wi-Fi são susceptíveis de
ataques. Incluindo os ataques Chamariz, o Caffe Latte, a Desautenticação e
Dissociação cria um DoS, o ataque Hirte como alternativa WEP com apenas o
cliente.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 60/87
Voltar ao índice 60
Capítulo 7 – Avançados ataque WLAN
Os ataques Man-In-The-Middle (MITM) são provavelmente dos mais potentes
ataques num sistema WLAN. O analista pode reencaminhar o tráfego pela Internetutilizando uma ponte entre os dispositivos eth ↔ wlan, lendo todos os pacotes.
Ligados à rede ethernet LAN e criamos um AP Gémeo (APG) na placa wlan. Este
AP fornece semelhante ESSID que um router ao alcance, podendo um utilizador
ligar-se à nossa rede, com a teoria da força de sinal discutida anteriormente.
Ataque Man-in-the-Middle
Para elaborarmos um ataque MITM, vamos criar o APG chamado mitm no
computador do analista utilizando airbase-ng . Nós escrevemos o comando airbase-
ng –essid mitm -c 11 mon0 .
Note que o airbase-ng irá criar a interface at0 , vista com ifconfig at0 .
Para criarmos a ponte entre estas duas interfaces eth0 ↔ at0, teremos de estar
ligados à rede LAN e escrevemos a seguinte sequência de comandos:
brctl addbr mitm-bridge
brctl addif mitm-bridge eth0
brctl addif mitm-bridge at0
ifconfig eth0 0.0.0.0 up ifconfig at0 0.0.0.0 up
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 61/87
Voltar ao índice 61
Podemos definir um IP à ponte com o comando ifconfig mitm-bride 192,168,0,199 up e verificamos o estado da ligação com ping IP:Gateway, em que
IP:Gateway é visto na janela com arp -a .
Para que a transmissão de dados seja feita é preciso activar o
reencaminhamento das ligações IP entre os dispositivos escrevendo echo > 1
/proc/sys/net/ipv4/ip_forward
Vamos então ligar o cliente ao AP mitm e verificamos a ligação com ping
192,168,0,1 ou ipconfig na consola do cliente.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 62/87
Voltar ao índice 62
A janela airbase-ng mostra também se o cliente está ligado à rede mitm .
O reencaminhamento da eth0 para at0 pode ser visto com o Wireshark se
escutarmos o dispositivo at0 . Mesmo os pacotes não destinados a nós podem ser
visualizados. Este é o poder do ataque Man-in-the-Middle!
Tente criar uma ponte utilizando duas placas Wi-Fi, evitando a
ligação eth0. Recorde a teoria da força do sinal.
Violação de confidencialidade Wireless com MITM
No analista, vamos replicar todas as configurações do laboratório anterior.
Ligamos depois o Wireshark, note que até o dispositivo mitm-bridge é mostrado,
iniciamos a escuta de at0 de modo a ler todo o tráfego do cliente.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 63/87
Voltar ao índice 63
No cliente abrimos qualquer página Internet para criar dados. No meu caso,
o AP está ligado via LAN e eu acedo-lhe utilizando http://192.168.0.1/. Entro
com a minha senha e acedo à consola de gestão.
No Wireshark podemos ver bastante actividade. Aplicamos o filtro HTTP para
restringirmos o tráfego Internet. Podemos facilmente localizar os pedidos de
início de sessão, que foram utilizados para enviar nomes de utilizador e senhas.#
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 64/87
Voltar ao índice 64
Expandindo o cabeçalho HTTP , podemos ver que a senha escrita foi codificada
com /md5.js que criou a hash.
Diferentes configurações do router permitem diferentes codificações. Esta é
uma violação de confidencialidade do tráfego Wi-Fi, enviado pelo cliente durante
um ataque Man-in-the-Middle.
Sequestro de sessão via WirelessDurante um ataque MITM, o reencaminhamento da informação é feito pelo
analista. Pode ler e modificar os dados se descodificados.
Neste exemplo vamos sequestrar a sessão do navegador para Google.
Vamos criar uma rede MITM igual à anterior e iniciamos o Wireshark, no
cliente abrimos o navegador em Google. Aplicamos no Wireshark o filtro DNS para
vermos os pedidos a Google.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 65/87
Voltar ao índice 65
Para sequestrar a sessão temos de enviar falsas respostas DNS, do cliente
para o analista, com a ferramenta DnsSpoof escrevendo dnsspoof -1 mitm-bridge
Actualizando o navegador do cliente podemos ver no Wireshark e no DnsSpoof
a replicação do ataque.
Com o serviço de escuta na porta 80 desligado, o cliente lerá o erro
Connection refused . Vamos iniciar o Apache com o comando apachet2ctl start .
Se actualizarmos de novo o navegador do cliente, veremos que o erro
desapareceu. Está agora activa a replicação de respostas ao cliente.
Com a ferramenta EtterCap disponível no BackTrack, tente modificaros dados. Por exemplo, uma pesquisa por Segurança → Insegurança .
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 66/87
Voltar ao índice 66
Wi-Fishing - Descobrir configurações de segurança no cliente
A criação do AP Gémeo com diferentes seguranças permite-nos saber as
configurações do cliente na PNL, que será idêntica à do AP fidedigno com os
probe requests por Wireless Lab .
Autenticação Aberta, WEP, WPA ou WPA-2, são 4 tipos de configuração.
Neste caso teríamos de criar 4 dispositivos virtuais, de mon0 a mon3
utilizando airmon-ng múltiplas vezes, com preferência no mesmo canal. Pode ver
os dispositivos criados com ifconfig -a.
Vamos então criar o APG com Autenticação Aberta em mon0
O APG WEP será activado em mon1
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 67/87
Voltar ao índice 67
Criemos o APG WPA-PSK em mon2
E o APG WPA2-PSK em mon3
Podemos verificar os 4 AP Gémeos com airodump-ng -c 3 na consola.
Vamos ligar o cliente Wi-Fi. Dependendo da configuração do Wireless Lab
presente na PNL este liga-se ao APG correspondente, no meu caso será WPA-PSK.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 68/87
Voltar ao índice 68
Sumário
Neste capítulo aprendemos vários ataques avançados. Criámos um MITM que
viola a confidencialidade Wi-Fi. A mesma configuração foi utilizada para
sequestrar a sessão do navegador com duplicação de DNS.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 69/87
Voltar ao índice 69
Capítulo 8 – Ataque a WPA-Enterprise e
RADIUS
WPA-Enterprise sempre foi definida pelos administradores de redes como
inviolável. Neste capítulo veremos que está longe de ser verdade.
Vamos explorar as vulnerabilidades das redes Wi-Fi WPE com diferentes
ferramentas disponíveis no BackTrack.
Configurar o servidor RADIUS
Precisamos de um servidor Radius para desenvolver ataques WAP-Enterprise. A
opção mais barata é o software gratuito FreeRadius-WPE (Wireless Pwnage
Edition), já instalada no BackTrack, não precisando de modificações.
Para configurar o servidor Radius no BackTrack, vamos ligar a LAN via
ethernet no PC auditor e após ligados à rede verificamos o IP via DHCP.
Acedemos à configuração do AP e mudamos o Modo de Segurança para WPA-
Enterprise. Na opção EAP(802.11x) introduzimos o IP do servidor Radius como
192.168.0.198, este é o IP da eth1 visualizado anteriormente. O Servidor Radius
Shared Secret deverá ser test como senha.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 70/87
Voltar ao índice 70
Vamos abrir o terminal e aceder à directoria /usr/local/etc/raddb onde
estão os ficheiros de configuração do FreeRadius-WPE.
Em eap.conf a predefinição de default_eap_type é peap . Abrimos clients.conf
e verificamos que os acessos permitidos para clientes são 192.168.0.0/16 com a
senha test , exactamente o que definimos no AP fidedigno.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 71/87
Voltar ao índice 71
Vamos agora iniciar o servidor Radius com radiusd -s -X algumas mensagens
de depuração serão exibidas antes do servidor ficar à escuta. A configuração
está completa!
Atacar PEAP
Protected Extensible Authentication Protocol (PEAP) é a versão mais popular
da EAP. Nativo nos SO Windows, tem duas versões, PEAPv0 com EAP-MSCHAPv2 e
PEAPv1 com EAP-GTC. Ambos utilizam certificados de autenticação.
Vamos verificar o ficheiro eap.conf para ver se PEAP está activada.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 72/87
Voltar ao índice 72
Reiniciamos o servidor Radius com Radius -s -X e monitorizamos os registos
criados pelo servidor FreeRadius-WEP no ficheiro com tail
/usr/local/var/log/radius/freeradius-server-wpe.log -n 0 -f :
O Windows
tem suportenativo para PEAP. Vamos desligar a verificação de certificado no cliente.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 73/87
Voltar ao índice 73
Agora temos de ligar o cliente ao AP Wireless Lab para iniciar o processo
de autenticação. Quando o cliente tenta ligar ao AP utilizaremos o nome
SecurityTube e a senha abcdefghi. O registo grava o acesso do cliente.
Vamos utilizar a ferramenta Asleap para decifrar a senha registada num
ataque de dicionário.
Atacar EAP-TTLS
Em EAP-Tunneled Transport Layer Security EAP-TTLS), o servidor utiliza um
certificado durante a autenticação. O mais vulgar é MSCHAP-v2. O Windows não tem
suporte nativo para EAP-TTLS, utilizaremos o SO-X nesta demonstração.
O EAP-TTLS está activo por predefinição em eap.conf. Iniciamos o servidor
Radius e monitorizamos o registo.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 74/87
Voltar ao índice 74
Ligamos o cliente e introduzimos as credenciais, nome SecurityTube e senha
demo12345. Imediatamente a resposta MSCHAP-v2 aparece no registo.
Vamos utilizar novamente a ferramenta Asleap para decifrar a senha
utilizada. É importante que a senha da rede esteja na lista utilizada, é um
ataque por dicionário.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 75/87
Voltar ao índice 75
Boas práticas de segurança em Empresas
Baseados na nossa experiência em ataques a WPA/WPA2-PSK/EAP, recomendamos o
seguinte:
• Para redes com tamanho médio, utilize WPA-PSK com forte senha. Tem mais de
63 caracteres à disposição. Use-os!
• Para redes maiores, utilize WPA2-Enterprise com EAP-TTLS. Com utilização
de certificados no cliente e servidor durante a autenticação. Hoje em dia são
inquebráveis!
• Se usar PEAP ou EAP-TTLS em WPA2-Enterprise, assegure-se que a validação
de certificados está activa, as autoridades de certificação estão definidas, os
servidores Radius estão autorizados e os clientes não podem alterar as opções
mencionadas.
Sumário
Neste capítulo vimos como comprometer a segurança de WPA-Enterprise com
PEAP ou EAP-TTLS, os métodos mais comuns utilizados em empresas.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 76/87
Voltar ao índice 76
Capítulo 9 – Metodologia de teste e
penetração WLAN
Neste capítulo, aprenderemos como realizar um teste de penetração WLAN
utilizando todos os conceitos que já aprendemos. Exploraremos a rede de clientes
decomposta em várias etapas.
Teste de Penetração Wireless
Para maior facilidade, as técnicas devem ser distribuídas em várias fases.
Entre as quais:
• Planeamento
• Descoberta
• Ataque
• Relatório
Vamos abordá-las em separado mais atentamente.
Planeamento
Nesta fase iremos calcular:
1. Objectos da apreciação, em que é útil saber a localização, área de
transmissão, número aproximado de AP e clientes.
2. Estimativa do esforço, contabilizando o número de dias disponíveis, número
de homens e precisão do teste.
3. Legalidade, é importante ter um contrato de indemnização para que o
analista não seja responsável se o teste criar erros. Alguns dados recolhidos
terão de ser mantidos confidenciais. Normas dos canais e potência de transmissão
terão de ser respeitados.
Esta é a etapa teórica, vamos ao teste!
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 77/87
Voltar ao índice 77
Descoberta
Nesta fase, vamos procurar na zona AP e clientes.
Criamos o dispositivo monitor Wi-Fi:
Com o airodump-ng procuramos na zona, nas normas b/g :
A deslocação do analista no terreno é importante para encontrar o máximo de
clientes e AP. Saber a lista de endereços MAC que acedem à rede é importante, o
gestor poderá ajudar o analista.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 78/87
Voltar ao índice 78
Assim temos uma ideia clara da zona.
Ataque
Após delimitarmos a zona (DMZ) é mais fácil dividir o problema em pontos
menores. Exploremos o seguinte:
• Encontrar AP não autorizado
• Encontrar clientes não-associados
• Encontrar clientes não-autorizados
• Decifrar a encriptação
• Aceder à infra-estrutura
• Comprometer os clientes
Encontrar AP não-autorizado
O administrador disponibilizando a lista dos MAC:AP e MAC:clientes
autorizados:
AP autorizados:
• ESSID: Wireless Lab
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 79/87
Voltar ao índice 79
• MAC: 00:21:91:D2:8E:25
• Configuração: WPA-PSK
Clientes autorizados:
• MAC: 60:FB:42:D5:E4:01
Utilizaremos esta lista para descobrir AP não-autorizados no sistema.
Quando a rede utiliza switches, o MAC:switch do MAC:AP difere em 1. Na
lista seguinte, os MAC 00:21:91:D2:8E:26 e 00:24:B2:24:7E:BF são de switches com
ligação eth ↔ Wi-Fi, o dispositivo com ESSID New NETGEAR é um AP não-autorizado.
Com pacotes trabalhados no Wireshark ou sistemas de prevenção de intrusão (IPS)
wireless podemos descobri-los.
Encontrar clientes não-autorizados
Clientes não-autorizados, podem ser empregados ou alguém que acedeu à rede.
Para os descobrirmos, vejamos o registo do airodump-ng . Podemos ler o
MAC:cliente associado à rede fidedigna, mesmo sem ser parte da rede empresarial.
A listagem do gestor claramente nos permite localizar os clientes não-
autorizados.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 80/87
Voltar ao índice 80
Decifrar a encriptação
Vamos tentar decifrar a senha WPA-PSK do AP, tentamos um simples ataque com
dicionário para verificar a força da senha.
Iniciamos o airodump-ng focado no AP Wireless Lab com o filtro BSSID.
O airodump-ng regista os pacotes e espera pelo WPA-handshake .
Com clientes ligados à rede podemos utilizar um ataque de desautenticação e
acelerar o processo.
Agora, capturámos o WPA-handshake :
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 81/87
Voltar ao índice 81
Iniciamos o aircrack-ng para começar o ataque com dicionário ao handshake :
Neste caso a senha era fácil, conseguiu ser decifrada com uso do
dicionário:
Comprometer os clientes
Vamos analisar o airodump-ng :
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 82/87
Voltar ao índice 82
Vemos que o cliente tem duas redes na lista PNL, Wireless Lab e Vivek .
Vamos criar o APG Vivek com o airbase-ng :
Desligamos o cliente à força do AP Wireless Lab com contínuos pacotes de
desautenticação:
O cliente irá procurar por redes disponíveis e ligar-se à Vivek , controlada
por nós:
Relatório
Depois de detectadas todas as vulnerabilidades, é preciso criar o relatório
para a Empresa. Deverá conter os seguintes detalhes:
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 83/87
Voltar ao índice 83
• Descrição da vulnerabilidade
• Severidade
• Dispositivos afectados
• Tipo de vulnerabilidade – software, hardware, configuração
• Soluções alternativas
• Correcção
A estrutura precedente terá suficiente informação para o administrador de
segurança encontrar e corrigir a vulnerabilidade. Neste momento o analista
apenas poderá aconselhar o administrador a perceber a vulnerabilidade, propondo
soluções.
Sumário
Neste capítulo, aprendemos a realizar um teste de penetração Wi-Fi
utilizando o BackTrack.
Dependendo do tamanho da rede, a complexidade poderá tornar a tarefa
demorada. Nós analisámos pequenas redes para ilustrar as várias fases e técnicas
que são utilizadas num teste de penetração.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 84/87
Voltar ao índice 84
Anexo A – Conclusão e caminho futuro
Chegámos ao fim do livro, que é apenas um começo na carreira de segurança
Wi-Fi. Neste capítulo, exploraremos os próximos passos na aprendizagem deanalista, um lab complexo e vários outros recursos para nos mantermos
actualizados nesta área.
Encerrando
Foi uma jornada excitante nos 10 capítulos anteriores! Começámos com o
desenvolvimento de um lab básico para Wi-Fi e terminámos realizando ataques PEAP
e WPA-Enterprise. É definitivamente um longo caminho, que poderá até nunca
acabar na área de Analista IT.
Construir um laboratório Wi-Fi complexo
O lab que criámos para os testes neste livro tem as fundações necessárias
para se começar no mundo da segurança Wi-Fi. No entanto, pode querer um lab mais
complexo para expandir as suas competências. Aqui estão alguns objectos
adicionais que podem considerar.
Antenas Direccionais
Antenas direccionais podem ser utilizadas para amplificar o sinal e
detectar mais redes Wi-Fi. Aumentando a facilidade do analista sem ter de se
mover no terreno. Há vários tipos de antenas, convém investigar antes de
realizar uma compra.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 85/87
Voltar ao índice 85
AP Wi-Fi
Pode ser interessante experimentar o AP com normas 802.11 a/b/g/n, as
técnicas serão as mesmas.
Cartões Wi-Fi
Durante este livro, utilizámos o dispositivo Wi-Fi embutido no PC. Há
dispositivos USB que também podem ser úteis, principalmente se a placa interna
falhar.
Smartphones e outros dispositivos com Wi-Fi
Hoje em dia há muitos dispositivos com Wi-Fi – Smartphones, Tablet, etc. O
uso deles no lab poderá ser proveitoso para ver o modo de funcionamento.
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 86/87
Voltar ao índice 86
Manter-se actualizado
A segurança é muito rápida, alguns problemas são resolvidos em períodos
curtos, meses ou semanas, tornando o conhecimento obsoleto.
É importante mantermo-nos actualizados, por exemplo::
Listas de correio
http://www.securityfocus.com/ tem muitos debates, nos quais recomendo a
subscrição de [email protected]
WebsitesO site Aircrack-NG é o melhor recurso de actualizações em análise WLAN
(http://www.aircrack-ng.org/).
Talvez goste também de http://www.raulsiles.com/, com várias ferramentas e
documentos de investigação Wi-Fi, este site pessoal é muito completo.
Outro blog, regularmente actualizado em ataques WPA-Enterprise é
http://www.willhackforsushi.com/
Conferências
Empresas de análise e segurança como Defcon ou Blackhat oferecem palestras
anuais com vários tópicos de segurança TI. A maioria dos vídeos e documentos
estão online::
• Defcon: http://www.defco n.org/
• Blackhat: http://www.blackha t.com/
Relacionados com BackTrack
A plataforma BackTrack está em constante evolução. É importante que a sua
7/14/2019 BackTrack 5 Penetracao e Testes Wireless (1)
http://slidepdf.com/reader/full/backtrack-5-penetracao-e-testes-wireless-1 87/87
cópia esteja actualizada! Os lançamentos são anunciados::
• BackTrack website: http://backtrack-linu x.org/
• Offensive security: www.offensive-security.com/
Conclusão
Espero que tenha gostado deste livro e dos exercícios contidos. Felicito-o,
agora conseguirá realizar análises wireless utilizando o BackTrack. O conselho
final é que se manifeste sempre como estudante e continue aprendendo! É por isso
que se mantém em forma até ao resto da competição.
Desejo-lhe o melhor para uma carreira em penetração e testes wireless!