اختراق الشبكة اللاسلكيّة

هذه التدوينة تعليمية، وهدفها التوعية الأمنية بوجود هذه الاختراقات للتصدي لها، ومؤلفها يُخلي مسؤوليته إن تم تطبيق هذه الأساليب في بيئة غير مصرّحة؛ إذ إنّ الاختراق -لأجهزة لا تملكها أو تملك تصريحًا لها-  يُعدّ جريمة يعاقب عليها القانون.

هذه تدوينة كتبتها لمركز التميز لأمن المعلومات في جامعة الملك سعود، وأحب إعادة نشرها في هذه المدونة.

مقدمة

سهّل الإنترنت علينا عملية التواصل، فأدنى البعيد، وقرّب القريب. لم يكن الأفراد الوحيدون المستفيدين من الإنترنت، بل حتى المؤسسات العامّة والخاصّة، فالتحول الرقمي أحدث ثورة في عالم الأعمال والحياة الشخصية على حدٍّ سواء. صار في كلّ بيتٍ شبكة لاسلكيّة يستخدمها الساكنون للاتصال بالإنترنت. لكن لا يخلو أيّ نظام في العالم مهما كانت قوّته من أماكن ضعف. يمكن استغلال نقاط الضعف في تعزيز وتقوية الشبكة اللاسلكية لئلّا يتم اختراقها مستقبلًا بنفس الأسلوب. ستعرض هذه المقالة تطبيقًا عمليًّا لعملية اختراق شبكة لاسلكيّة باستخدام عتاد وبرمجيّات مخصصة.

نبذة عن الشبكة اللاسلكية: WPA2

إنّ الشبكة اللاسلكية هي شبكة مستحدثة تستبدل السلك بالهواء كوسيط لنقل البيانات. يجب أن يكون هناك نقطة اتصال[1] وأجهزة موصولة[2] بها؛ لتكوين شبكة لاسلكيّة.


[1] Access Point.

[2] Clients

تقوم الشبكة اللاسلكية على خوارزميات مُصادَقة؛ إذ من لديه ما يثبّت أحقيّته لدخول الشبكة، يستطيع ذلك. على سبيل المثال، تعتبر كلمة المرور واحدة من الآليات المشهورة في هذا المجال. [WEP][1] أقدم خوارزمية مصادقة في الشبكة اللاسلكية، ولكنها اُستبدلت بخورازمية [WPA][2] نظرًا لضعفها. أثبتت الأخيرة قوتها حتى اكتشف الباحثون ضعفها في شفرة [TKIP][3] التي تطبقها على مفاتيحها. جاءت النسخة الثانية من هذه الخوارزمية، وهي الآن تُستخدم في غالبية نقاط الاتصال في المنازل والشركات على حدٍّ سواء، بغض النظر عن اختلاف تطبيقها وقوته. صارت شفرة [AES][4] بديلة لشفرة TKIP؛ إذ إنّ الأولى حصينة، وتمرّ بعملية تشفير طويلة ومعقدة يصعب كسرها.


[1] Wired Equivalent Privacy.

[2] Wi-Fi Protected Access.

[3] Temporal Key Integrity Protocol.

[4] Advanced Encryption Standard.

آلية عمل خوارزمية WPA2

تعتمد هذه الخوارزمية على وجود نقطة اتصال (مثلًا موجّه منزلي) تبثّ شبكة، وجهاز يريد الاتصال (مثلًا هاتف جوّال، حاسوب، إلخ). تتم عملية المصادقة بمصافحة رُباعيّة[1]، كما هو موضّح في الصورة أدناه.


[1] Four-way handshake.

تتكوّن المصافحة من أربع خطوات:

  1. ترسل نقطة الاتصال قيمة مؤقتة (أ)[1] إلى الحاسوب (أو أي جهاز يريد الاتصال).

  2. يمتلك الحاسوب جميع المتطلبات لتكوين مفتاح. يردّ الحاسوب بقيمة مؤقتة (ب)[2] بالإضافة إلى قيمة تأكيدية يقوم بحسابتها للمفتاح نفسه.

  3. تكوّن نقطة الاتصال مفتاحًا بسبب امتلاكها للقيمة المؤقتة (ب)، ثم ترسل مفتاحًا موثقًا وقيمة تأكيدية (قيمة مؤقتة (أ) موثقة).

  4. يرسل الحاسوب تأكيدًا إلى نقطة الاتصال، مؤكدًا إلى أن عملية المصادقة تمت بنجاح.

تتقي كل هذه العملية إرسال مفتاح المصادقة في الهواء لئلّا يسرقه مخترق، ويقوم بالاتصال بالشبكة اللاسلكية بدون بذل جهد. لكن لكلّ نظامٍ ثغرة. هذه العملية ليست آمنة من انتحال هوية أحد الأطراف (الحاسوب أو نقطة الاتصال).


[1] Nonce (a).

[2] Nonce (b).

ضعف WPA2 أمام هجمات الوسيط [MitM]

تكمن قوة هجوم الوسيط في انتحال هوية إحدى أطراف الاتصال. على سبيل المثال، لو تمكّن أحدهم من سلب هوية حاسوب أو هاتف متصل بشبكة لاسلكية، فمن المؤكد أنه سيستطيع استلام البيانات المرسلة إلى الجهاز الضحية. لكن قد يطرح القارئ سؤالًا: كيف تُسلب (أو تُنحل) هوية رقميّة؟ لكلّ جهاز في أي شبكة عنوان MAC يتكون من 48- بت. يُستخدم هذا العنوان لتمييز الأجهزة عن غيرها.

توضّح الصورة أعلاه ما يقصد بهجمة الوسيط. يتوسّط المخترق الاتصال، فيصبح بين الضحية ونقطة الاتصال. إن أرادت نقطة الاتصال معرفة MAC للضحية، فالمخترق سيرسل عنوانه على أنه الضحية؛ وإن أراد الضحية معرفة MAC لنقطة الاتصال، سيرسل المخترق عنوانه على أنه نقطة الاتصال. سيمر ما يرسله الضحية لنقطة الاتصال والعكس صحيح من خلال المخترق، وللمخترق الحرية بإمرار البيانات، أو إيقافها والتلاعب فيها ثم إرسالها، أو حتى إيقافها تمامًا. تسمى هذه الهجمة انتحال بروتوكول [1]ARP.


[1] https://www.veracode.com/security/arp-spoofing

يقوم هذا البروتوكول بربط عنوان IP بعنوان MAC. لكن هذه الهجمة تتيح المخترق بربط عنوان MAC الخاص به إلى عنوان IP الخاص بالضحيّة. وكأن الطلب أتى من جهاز الضحية أو نقطة الاتصال. نظريًّا، إن تم استغلال هذه الهجمة وربطها بعملية المصافحة الرباعية لشيفرة WPA2، فسنتمكن من الحصول على هذه المصافحة وتحليلها؛ لاختراق الشبكة اللاسلكية والحصول على مفتاحها السرّي.

عمليّة اختراق الشبكة اللاسلكيّة

يجب أن نذكر في البداية أنّ عملية الاختراق هذه تتطلّب عتاد وبرمجيّات مخصّصة:


— توزيعة كالي لينكس المستخدمة لاختبارات الاختراق بسبب الأدوات المثبّتة داخلها مسبقًا.

— محوّل شبكة لاسلكية (يدعم حقن حزم البيانات ووضع المراقبة)

        o حقن البيانات[1]: عملية كفيلة بتكوين حزم بيانات والتلاعب بها.

        o وضع المراقبة[2]: يقوم المحوّل وهو في هذا الوضع باستعراض البيانات المتناقلة في الهواء بين الأجهزة                 ونقاط الاتصال.

— تم استخدام TP-LINK TL-WN722Nv2/3 وتعديلها لتدعم المذكور أعلاه.

— إذن صاحب الجهاز ونقطة الاتصال من إجراء اختراق.


[1] Packet Injection.

[2] Monitor Mode.

نصل المحول إلى توزيعة كالي، ونضعها في وضع المراقبة.

نستخدم أداة airodump-ng المثبّتة، والأداة بدورها ستستفيد من المحول اللاسلكي بعرض الشبكات اللاسلكية القريبة.

منعًا لعرض الشبكات التي لا نملكها بسبب عدم توافر تصريح، تم إعداد الأمر لاستهداف شبكتنا الخاصة فقط.

نجد أن:

  • اسم الشبكة: Wifi_Test

  • تستخدم خوارزمية: WPA2

  • عنوان MAC: 40:7D:0F:3A:11:CD

  • جهاز متصل بها عنوانه: 9E:23:47:CF:61:A0

الجهاز المتّصل بها شخصي، ولإثبات بأن عنوانه المذكور أعلاه:

سنستهدف هذا الجهاز للحصول على المصافحة باستخدام أداة aireplay-ng، فهذه الأداة تمكننا من تنفيذ هجوم الوسيط بانتحال بروتوكول ARP باستخدام حقن البيانات.

عند تنفيذ هذه الهجمة سيتم فصل الخدمة لدى الضحية (تسمى هذه الهجمة حجب الخدمة)، فنرى في أعلى الصورة أننا تمكنّا من الحصول على المصافحة.

لنرى جهاز الضحية عند فصل الخدمة عنه.

لا نستطيع الاتصال بالشبكة من الجوال الذي كان متصلًا بها مسبقًا ما زال الهجوم قائمًا.

استطعنا أن نحصل على ملف المصافحة، ونعلم أن القيمة التأكيدية موجودة فيه. ولكن كيف نستطيع أن نحصل على الرقم السري من قيمة تأكيدية؟

يتم حساب هذه القيمة التأكيدية عن طريق خوارزميات الهاش (Hash) حيث أن يتم تشفير النص بطريقة لا يمكن فك تشفيره مجددًا، ومن خصائصه:

  • يخرج عدد حروف ثابت بغض النظر عن حجم البيانات المدخلة.

  • أي تغيير بسيط في البيانات المدخلة يسبب تغييرًا كبيرًا في البيانات المخرجة.

في الصورة أدناه مثال بسيط على هذه العملية.

نرى أنّ الفرق بين المدخلَتَين حرف واحد، ونرى أنّ المخرجَتَين مختلفتان كليًّا مع أن التغيير بسيط. لكن كيف نستطيع حيازة المفتاح السري إن كان لدينا نص مشفر لا يمكن كسره؟

ببساطة يمكننا إنشاء قائمة تحمل هذه النصوص المشفّرة لكلمات مختلفة ومقارنتها بالنصوص المشفرة داخل ملف المصافحة بحيث إن كان التشفير متطابقًا، استنتجنا أنّ الكلمة التي أخرجنا منها التشفير هي نفسها الكلمة السرية.

استعملنا أداة crunch في إنشاء قائمة كلمات سريّة بأرقام جوال تبدأ بـ 050؛ لأن الملحوظ في كلمات السر للشبكات اللاسلكية في محيطنا هي أرقام هواتف. أمرنا الأداة بإنشاء كلمات سر ذات عشرة أرقام وتبدأ بـ050 باستخدام هذه الأرقام [01234567].

تم إنشاء عشرة ملايين كلمة سرية في غضون ثوان.

نستخدم الآن أداة aircrack-ng لفك تشفير الكلمة السرية مثلما قلنا مسبقًا.

هذه الأداة تقارن قيمة الهاش لكلمات السر التي أنشأناها باستخدام أداة crunch، وتحسب الوقت التقديري للمرور بجميع كلمات السر في القائمة (يعتمد على سرعة المعالجة في جهاز المخترق)، وترينا قيمة الهاش لكل كلمة سر.

تم فك التشفير! اتّضح أن الرقم السري: 0501234567. الوقت المستغرق عشر دقائق وعشرون ثانية.

نفتح أي جهاز لتجريب صحّة الرقم السري.

تم الاتصال بشبكة Wifi_Test بنجاح.

يجب التنويه:

  • لم نكن متصلين مسبقًا بالشبكة، فلو كنا متصلين، ما الفائدة من اختراقها؟

  • هذه هي الخطوة الأولى لأي مخترق: الدخول للشبكة الداخلية، ثم تنفيذ بحرٍ من الهجمات.

حماية الشبكة اللاسلكية

لتقليل خطر هذا النوع من الاختراق:


— استخدام كلمة سريّة معقّدة. لأننا لاحظنا أن المخترق عليه أن يخمّن ملامح الكلمة السريّة. في تجربتنا، استخدمنا أرقام الجوال في المملكة العربية السعودية التي تبدأ بـ050، فالكثير من الأشخاص ما زالوا يستخدمون أرقام هواتفهم ككلمات سرية.

— تفعيل خيار الحماية من هجمات انتحال بروتوكول ARP من إعدادات نقطة الاتصال، إن كان هذا الخيار متاحًا.

— تتبع سجلّات الشبكة اللاسلكية، وتحديد هوية الأشخاص المتصلين بالشبكة.

— عدم إفشاء كلمة السر للشبكة اللاسلكية ككتابته على ورقة، أو تخزينه في ملاحظات الهاتف.

— فلترة عناوين MAC الموثوق بهم من إعدادات نقطة الاتصال.

خاتمة

في هذه المقالة، تم إعطاء نبذة عن اختراق شبكة لاسلكية تستخدم خوارزمية WPA2 نظريًّا وعمليًّا باستخدام عتاد وبرامج مخصصة. ثم إعطاء عدة نصائح في الحماية ضد اختراق الشبكة اللاسلكية.

محمد السعيد