Jak jsme se prolamovali do Wi-Fi sítě

Díky moc za vyčerpávající odpověd

Nerozumím tomu netriviálnímu SSID. Mám SSID nastaveno jako "diavolo", je to tak špatně? A pokud ano, tak proč? Díky takhle krátkému SSID by bylo lehčí cracknout přístup? Prostě tomu nerozumím, děkuji.

Ja pouzivam kombinaci skryteho SSID, filtru MAC a slabe sifrova WEP. To slabe sifrovani proto, ze mi v siti beha nekolik zarizeni, ktere neumi WPA/WPA2 a porizovat nova zarizeni zatim nechci.
Mam asi stesti ale zatim se mi do site nikdo nenaboural.

Co já vím, tak velk význam skrývat SSID nemá, protože se vysílá nezašifrovaně, a útočník může požádat o jeho vysílání. Maximálně to pomůže, aby mne neviděli nudící se kluci od sousedů, a zkoušeli se prolomit k někomu jinému.
WPA2-AES by v dnešní době měla stačit, s náhodným heslem aspoň 20 znaků.

Problem je, ze kdyz nevysila sit, tak musi vysilat to zarizeni. Takze sit je skryta, zato jsou viditelne jednotlive zarizeni (pocitace). Takze misto jednoho musite chranit X zarizeni.

Pokud ovšem nemáš zaplé WPS

Nebojte, tím že někomu dáte odkaz na wireshark z něj hackera neuděláte :) Informace se mají šířit co nejvíce a třeba si teď ti náctlietí lépe zabezpečí své sítě. A i kdyby tu sousedovu wifinu crackli, tak se přitom něco naučí a to je přece dobré, ne?

co to tu melete, vy jste se narodil a už jste měl pc s linuxem a už jste vědel o jeho nástrojích a jeho všech příkazech do shellu? Jací nabourávači, mac adresy ochčijete snadno ale wep to už je pokročilejší a rozhodně chápu že vy už máte od narození vlohy k prolamování bankovních účtů a hesel windows a toto je pod vaší uroveň

Backtrack nastesti (bohuzel) nefunguje se vsemi wifi kartami(chipsetz)

mne tiez signal nedorazi na druhy koniec bytu, mam vykon na minimum, najmensiu moznu antenku a aj tak mam pravidelne pripojeneho suseda , ktory byva o dve poschodia vyssie... ale mne to nevadi, nemam ani heslo ani mac ochranu, nech si kazdy sosa kolko chce. v baraku aj tak maju vsetci internet, tak neviem preco sa mam sifrovat.

jojo, dobrej argument, až tě budou vyšetřovat pro pedofilii nebo spamy :). Osobně bych konektivitu nenechával nikomu, koho líp neznám.

cau, ja len ze ak si na Slovensku, tak podla platnej legislativy musi Tvoj ISP uchovavat detaily o Tvojom IP trafficu (v rozsahu netflow statistik), a hlavicky smtp komunikacie, tusim sa to ma archivovat 6 mesiacov a poskytovat organom cinnym v trestnom konani a spravodajskym organom na poziadanie (aj bez suhlasu sudu). Tieto podklady stacia na vydanie povolenia na domovu prehliadku a zabavenie dokazneho materialu.Takze ked Ti policajti vykopnu o pol siestej rano dvere a zbalia ti vsetky pocitace a sietovu infrastrukturu, lebo Tvoj sused distribuuje detske porno, tak aspon budes vediet preco. Spytaj sa Misa Trubana z web supportu, ako sa mu pacilo, ked mu zbalili celu firmu kvoli NBU.
podla mna je to dobry dovod, mat svoju wifi zasifrovanu. A ak chces poskytovat zadarmo konektivitu inym (co je podla mna jediny relevantny dovod na nesifrovanu wifi), tak si trebars kup router, ktory podporuje nejaky WRT klon (http://www.dd-wrt.com),... na vela z nich mas podporu open hotspotov, ako napriklad sputnik alebo wifidog (odporucam, http://dev.wifidog.org/... ja ho tiez pouzivam) a virtual AP, t.j. mozes mat 1 wifi len pre seba, 1 wifi pre susedov, to vsetko na 1 fyzickej wifi.Na open wifi staci dat redirect na odsuhlasenie pravidiel, ktore si stanovis, napriklad aj ze uzivatel prebera zodpovedost za akekolvek nelegalne aktivity. a tym si z obliga.

dřív, když se routery a wifi AP neprodávaly vedle rohlíků a jogurtů bylo naprosto normální, že je defaultně vše povoleno (pro usnadnění administrace) a teprve uživatel si po konfiguraci pozavíral vše co chtěl.

vedla rohlikov a joguotov nuz doba sa zmenila. ale standarne ako admin sa tam nedostanes. len ako user a v tom sa vela nastavovat neda.
edit: + ked človek prejde zopár IP z rozsahu. tak ma informaciu o hesle na internet ktore sluzi aj na prihlasovanie na stranku kde sa mozes dozvediet meno a adresu tohto cloveka. + heslo na wifi... podla mna je to nezodpovedne a dajte mi minusiek kolko chcete

Názor byl 1× upraven, naposled 20. 07. 2011 13:45

ja som pred par rokmi pouzival nezabezpecenu siet suseda ako zalohu, ked vypadol moj provider. takze na take veci sa to hodi. Niekedy je aj vhodne dohodnut sa s nejakym dobrym susedom a vzajomne si vymenit hesla, kvoli takymto pripadom. Samozrejme ak mate obaja rovnakeho providera, je to k nicomu :)

Než vám tam dorazí pražáci

to je taky dobrá kravina...sice můžeš znát všechny, ale pak ti tam pojede někdo cizí třeba na kole, bude na nškoho čekat atd a nudit se s mobilem a už máš vymalováno...je takovej problém si nastavit heslo?já teda osobně rád přejmenovávám wifiny, co mají defaulní jméno a heslo na něco stylu neumim_si_zmenit_heslo

No sice je nepravděpodobný, že někdo zastaví zrovna před našim barákem, ale máš pravdu, že to možný je. Chystám se zapnout alespoň nějaké zabezpečení a změnit heslo, ale za ty 2 měsíce, co mám nový router jsem se k tomu ještě nedokopal.

Projdi si logy AP (koukni treba jaky IP AP pridelil). Pripadne zkus prenastavit kanal, kdyby to bylo rusenim a ne sdilenim netu. Taky to muze byt, ze pouzivate oba net od jednoho poskytovatele a rychlost se proste deli u nej.

Pokud je soused šikovný a dovede Vám hacknout WPA, tak nemá smysl to dál řešit. Snad jen zapnout MAC filter, ať to má aspoň trošku složitější. A zkuste si dobře zaheslovat Váš WIFI router a čas od času jukněte na logy. Pokud se tam objeví neznámé zařízení, je to soused. Víc asi udělat nemůžete...

Spíše si nejdříve zjisti, jestli soused nepoužívá wifi na stejném (nebo +-1) kanále a neruší ti to.
Jinak není nic jednoduššího než se podívat do administrace routeru, co za klienti jsou k němu připojení, kolik přenáší dat atd.

JJ není nad to narazit na burana co má rád staré dobré způsoby.....

Pokud použiješ dostatečně složitý a dlouhý (neslovníkový) WPA/WPA2 klíč (délka 15+, paranoici tvrdí 17+ nebo dokonce 20+), můžeš být klidný: k tvému wifi-routeru určitě připojený není. Vesmír je ještě mladý v porovnání s trváním bruteforce útoku cloudu počítačů s akcelerací nejvýkonnějšími GK na neslovníkové heslo 20+ (kdo si ho ale má pamatovat )Rušení vysíláním na stejném/podobném kanále, jak už tady několikrát zaznělo, je pravděpodobnější. Test: Připoj se na zkoušku kabelem a tam by ti pak jel internet normálně.

Souhlasím, kamarád (šlo o sázku, on tvrdil, že prolomit se dá všechno) zkusil prolomit mou WIFI šifrovanou pomocí WPA2/PSK AES s heslem dlouhým 50+ znaků s malými a velkými písmeny, čísly a speciálními znaky (mezery, vykřičník, zavináč, mřížka a další) a po měsíci to vzdal, takže jsem celkem klidný. Věřím, že prolomit by to šlo, ale vzhledem k tomu, že se mi tu připojují jeden notebook, dva telefony a tablet, tak tu není velký provoz a to prolomení IMHO ještě ztěžuje. Každopádně by mne zajímal profesionální názor a jestli je nějaký lepší způsob zabezpečení. Děkuji

jo, rozbít hubu je dobrej nápad, ale možná si předtím ještě zkus změnit heslo

Dej si silný heslo s malýma velkýma písmenama číslama a nemá šanci. Ale jak se psalo, je spíše pravděpodobné, že jede na stejném kanále jako tvůj router

Kdybyste četl článek o heslech před pár měsící tady, zjistil byste, že o silném hesle to není.. Stačí si dát heslo třeba "mam rad zmrzku", nebo "silne heslo" a je to stejné z hlediska bezpečnosti jako "BRU5sti77@i" - protože utočník prostě neví, kde začít a slovníkový útok je nemožný z hlediska faktul, že tak rychle se tolikrát k routeru prostě nemáte šanci přihlásit.. Navíc každý rozumný router má login po třech-pěti pokusech a pak znova načíst..

Zajdi mu rozbít hubu - beztak si to zaslouží, tak jako každý soused a pak zkus změnit to číslo kanálu a tím (s největší pravděpodobností) bude jeden problém (s wifi) vyřešen. Později si ještě vyřešíš ten problém se sousedem

Doporucil bych v dobe, kdy se to zda pomale proscanovat rozsah ip adres a zjistit, zda neni v siti pripojeno dalsi zarizeni. Pokud se vetrelec objevi, tak bych hned nechodil za sousedem, ale vyzkousel bych nejdrive nejakou utilitku, ktera dokaze lokalizovat dane zarizeni. Pokud cesta povede opravdu k nemu, doporucil bych baseballovou palku

Vy už raději nepřispívejte, spoustu z nás ušetříte namáhání očí to po vás číst

nebo co ?prohlídnul jsem si schvalně tvoje příspěvky ty máš co řikat

Opravdu dvě stejné MAC fungovat nebudou? Já bych řekl že ano...
Hláška o kolizi se zobrazuje jen pokud jsou v síti dvě zařízení se stejnou IP adresou (což se u sítě s DHCP, pokud si nastavím cizí MAC může stát, ale tak to už se dá lehce obejít).

Dvě stejné MAC fungovat budou a kolize to nehlásí. Nicméně, pokud budou obě zařízení komunikovat ve stejnou chvíli současně, může dojít k vyšší ztrátovosti spojení (navzájem si "kradou" datové rámce od AP), což se projeví hlavně na rychlosti připojení.

Právě naopak: pokud jsou ve wifi-síti dvě zařízení se stejnou IP-adresou a stejnou MAC-adresou, tak kolize nevyskočí a fungují oba.

Pokud nechces byt v siti videt, musis mit jak stejnou IP, tak stejnou MAC - jinak si poznat, pripadne budes mit internet omezene rychlosti, protoze se zbytky (nepouzite adresy z rozsahu) rychlostne omezuji. Omezit nepouzite adresy je velice jednoduche a napr. routeros to zvlada dokonale.

Dlouho jsem se v tom nevrtal a je možné, že u DHCP to ohledně kolizí neřve (že systém spoléhá na dhcp server a "neptá" se na síti, jestli už tam tu ip někdo nemá)...nevím. Pak by to nebyl problém.
Každopádně dvě stejné MAC v jedné wifi síti nejsou problém, ke kolizím (že by obě chtěly vysílat zároveň a tím se rušily) podle mě moc často nedochází...samozřejmě je asi lepší vybrat si někoho, kdo tolik nekomunikuje

Když by sis o tom něco zjistil, tak bys věděl, že u WPA/WPA2 šifrování NELZE zachytit výměnu klíčů, protože k ní neprobíhá. To šlo jen u WEP. Musí se použít takzvaný slovník, ve kterém heslo musí být, takže se vlastně hádá.
Samozřejmě, ty bys to dokázal, když jsi se nabourával do sítí už před 8 lety, viď?

Názor byl 1× upraven, naposled 20. 07. 2011 08:58

U WPA/WPA2 se zachatává handshake (autentizační proces) a TEN se pak atakuje (offline) pomocí slovníkového nebo brute force útoku.

JJ asi tak ... a u WPA2 s nějakým silnějším heslem si pořiď malou PC hernu a tak 10 let a dostaneš se tam :)

Jenom bych doplnil že na rozšifrování WEP klíče se nemusí použít slovníková metoda. Při dostatečné komunikaci router-klient bruteforce není problem.

ty trottle, na WPA/WPA2 ani v TKIP ani v CCMP nic take ako vymena klucov neexistuje. Keby si aspon rozumel niecomu o WiFi, tak by si tu nepisal taketo somariny.autentizacny proces bol vo WEP, ten je od 2004 deprecated.
A recicky o prelamovani WEP sieti 8 rokov dozadu - Christopher Devin publikoval prvu verziu aircracku v juli 2004 - presne 7 rokov dozadu. Zalozeny na niekolkohodinovom zbierani dostatocnej vzorky dat a brute-force attacku. Prva verejna demonstracia prelomenia WEP bola prezentovana FBI security teamom na ISSI v roku 2005Ale samozrejme, velky gringo AD uz v roku 2003 lamal wifi. Zaujimave ze si cakal 8 rokov a potom sa tym pochvalil na bezvyznamnom ceskom webe. Ja sa bavit v roku 2003 lamanim wep klucov, tak dnes som uz slavnejsi ako Ivo Lukacovic. Ked uz drzo klames, tak aspon uvadzaj tvrdenia, ktore nie su verejne overitelne, debilku.

A jak si asi myslis ze jsem to delal debilku (kdyz uz jsme presli na urazky) - samozrejme ze jsem musel nachytat provoz airodumpem ... a pri dostatecnem postu IV paketu - 70 - 150 tisic, ale nekde i 350 tisic, ti aircrack dal klic ...

A co se tyce pochvaly na bezvyznamnem ceskem webu - kdyz uz o tom tady vznikne nic nerikajici clanek, tak nevim, proc bych to pod dany clanek nemohl napsat ... A ze je tento web bezvyznamny - to by asi nikdo z redakce nechtel slyset ...

grindoAD: co keby si trosku postudoval a hlavne realne odskusal to co tvrdis, miesto navazania sa do ludi, ktori tematike WiFi aspon trochu rozumeju? Take bludy, ako si tu popisal som veru uz poriadne dlhu dobu necital. Nerozumiem tomu, ako sa ludia ako ty nemozu citit aspon trochu trapne a veselo sa tu idu hadat o tom, co videli iba ak z rychlika...

Takže když uvidíte otevřené dveře, tak do nich hned vlezete a popíšete lidem zdi nějakým vzkazem, že zapomněli zamknout?

Mám pocit, že jim tam nechal vytištěný papír, ne čmáranec na zdi. Máš problém pochopit rozdíl?

Spíš ty máš problém s analogií.

No, ten máš spíš ty.

Jedine v tom pripade, ze by to byly vase dvere, kdyz po tom tolik touzite. Nejsem vandal. Ale obcas je potreba upozornit na potencionalni rizika. Tezko budu obsluze v restauraci vysvetlovat, ze nemaji spravne zabezpeceny router.

to mas pravdu tazko im to budes vysvetlovat. na to treba asi vediet komunikovat s cudzim clovekom nazivo (chran boze so zenou!). omnoho jednoduchsie je pre istych ludi vyradit im siet z prevadzky zmenou ssid a nechat ich nech sa den-dva trapia. mozes si gratulovat.

Ne, ale upozorni je ze maji otevrene dvere. To je dost podobne tomu vzkazu na tiskarne.

Jsem si jist, že pan A. namíchnul pěknou řádku lidí tím co dělá. Čím naštval vás, ale opravdu netuším.

Ono to tam jistě mělo být, ale bylo by to žalovatelné

Mmch, linuxové fóra jsou takových "sr**ek" plná, tam si můžete číst dle libosti...

Chytrému napověz ... dál už to znáš, ne?

UTFG?

kompletni navod cez backtrack4 bol v CHIP 5/2010. Zobral som si nejake casopisy na dovolenku do chorvatska a bol tam tento navod aj boot DVD. prelomili sme s tym WPA do 10 minut a cely tyzden sme surfovali na cudziu wifi siet. v nasom apartmane wifi nebolo, cez mobil je to astronimicky predrazene, takze takto aspon podakujem chorvatovi co si zabezpecil siet len cez WPA. PS: tento rok si to DVD pre istotu vezmem tiez, ale uz su navody ako zlomit aj WPA2. Tiez sa oplati zobrat na dovolenku jednoduchy wifi ruter s externou antenkou a s nou sa da pretlacit na ovela vacsie vzdialenosti. uz sa nam podarilo zachytit aj verejnu wifi siet na pobrezi z 300 metrov vzdialeneho apartmanu...

S linuxem to problém není a ve windows jak si zjistit wifiny také ne -> aneb bat soubor na plochu a do něj cmd -> netsh wlan show networks mode=bssid > wifi_mac_okoli.txt a je to :)

A už jsi mu to řekl? Jako že by si měl heslo změnit třeba na Zilabyla1Malaholcicka

Neřekl. Kdoví, jestli by to vůbec změnil- žijeme v malé obci, tak na to asi kašle. Osobně mě ale nezná, radši by si měl dávat bacha. muhehehe BTW: Je legální sdělování vzkazů adminovi pomocí jeho SSID?