Hirte アタックは、クライアントにパケットインジェクションを行う。
クライアントをターゲットにして WEP キークラックを行うので、無線 LAN アクセスポイントの存在は不要だ。

Hirte アタックは、以前記事にした Caffe-Latte Attack の拡張版。

実際やってみたら、以下のパターンでしか成功しなかった。
攻撃 PC, ターゲット PC の無線 LAN カードの種類、ドライバで成否が分かれるみたいだ。

唯一成功したパターン

ターゲット PC

  • OS: Windows Vista
  • 無線 LAN カード: Broadcom BCM94311MCG wlan mini-PCI rev 02

攻撃 PC

  • OS: BackTrack 4 final 日本語版
  • 無線 LAN アダプタ: バッファロー WLI-U2-SG54HP(rt73)
  • ドライバ: RaLink RT73 USB Enhanced Driver (rt73.ko)
    BT4 標準の rt73usb ドライバは無効にする。
    vi /etc/modprobe.d/blacklist  -> blacklist rt73usb, #blacklist rt73

仕組みは、攻撃 PC が偽アクセスポイントになり、ターゲット PC が接続してきたらインジェクションを行い、ターゲット PC からの ARP 応答をキャプチャして WEP キーをクラックする。
偽 AP からインジェクションまで airbase-ng が行ってくれる。 
 airbase-ng [Aircrack-ng]

ターゲット PC (Windows Vista)で、ワイヤレスネットワークの管理を開き、セキュリティの種類 WEP で、ネットワークを追加する。
ネットワーク名、セキュリティキーは任意(実際に無線 LAN につなぐ必要はない)。
「ネットワークがブロードキャストを行っていない場合でも接続する」にチェックする(チェック無しだとプローブしないので調査ツール↓が使えない)。

攻撃 PC は↑の設定を知らない想定なので、ターゲット PC が攻撃可能か? - 登録済 SSIDは? WEP か? - を調べる必要がある。
その調査ツールとして、WiFish finder v0.2 を攻撃 PC にインストールした。
WiFish Finder: WiFi Client vulnerability assessment made simple

インストール及び使用は、↑からソースの WiFishFinder-v0.2.zip をダウンロードして、

unzip WiFishFinder-v0.2.zip
cd WiFishFinder-v0.2
common.mak の 52行目 CFLAGS … の –Werror を消す(makeを通すため)。
make
make install

airmon-ng start rausb0
wifishfinder rausb0

wifishfinder を実行してしばらく待つと、ターゲット PC が WEP で SSID が WEPCONN であることが分かる。

airbase-ng で立ち上げる「偽 AP」の SSID を WEPCONN にすれば、ターゲット PC が接続してくるはずだ。

ターミナルで、airbase-ng を実行する。-N はHirte Attack –c 9 はチャンネル

airbase-ng -c 9 -e WEPCONN -N -W 1 rausb0

airbase-ng は、SSID: WEPCONN で偽APをスタート、42秒後にターゲット PC が参加、ターゲット PC にインジェクションを実行。

同時に別のターミナルで、airodump-ng を実行する。

airodump-ng -c 9 -w capture rausb0

インジェクションが成功し、airodump-ng の #Data が増加。capture-01.cap に記録される。

#Data が増加してきたら別のターミナルで、aircrack-ng を実行する。

aircrack-ng -f 4 capture-01.cap

capture-01.cap を aircrack-ng で解析した結果、WEP キーが判明している。

------
ターゲット PC の無線 LAN デバイスを Rtl8187/RT73、攻撃 PC の無線 LAN デバイスを Atheros/RTL8187 等いくつかパターンを試したが、全く反応がなかったり、#Data が増えないなど問題があった。
airbase-ng の説明でもドライバやチップによる制限があるとのことだ。
http://www.aircrack-ng.org/doku.php?id=airbase-ng#driver_limitations

成功例は、攻撃 PC が RT73(ドライバ: rt73)、ターゲット PC が Broadcom だった。
ターゲット PC の無線 LAN チップも関係がある様な気がする。
そういえば、iPhone, iPad も Wifi は Broadcom だった。
【iPad の Wifi に問題?(2)】:Royal Windows:So-net blog

とにかく成功例ではかなり短時間(3分)でクラックが成功している。
Caffe Latte attack は、カフェラテを飲んでる間にクラックされるという意味だ。

今回の実験は、なかなか成功せず大変だった。
成功したら、是非、攻撃/ターゲット(iphone?)の組み合わせを教えてください。

------
ハッカージャパン(9月号)は、また無線LANをやっている。