Hiện tại, phần mềm thâm nhập mạng Backtrack có trên 12 bộ công cụ với khoảng 300 công cụ chuyên biệt phục vụ cho nghiên cứu bảo mật, phòng thủ cũng như tấn công hệ thống. Backtrack là sự kết hợp giữa hai bộ công cụ kiểm thử bảo mật nổi tiếng là Whax và Auditor. Bài báo sẽ giới thiệu trường hợp tấn công mạng wifi điển hình sử dụng backtrack.

1.  Backtrack là gì?
Backtrack là một bản phân phối dạng Live DVD của Linux, được phát triển để thử nghiệm thâm nhập. Trong các định dạng Live DVD, có thể sử dụng Backtrack trực tiếp từ DVD hoặc cài đặt trên máy và sử dụng như một hệ điều hành. Backtrack hỗ trợ một cách nhanh chóng cho việc tìm kiếm và cập nhật cơ sở dữ liệu các công cụ bảo mật. Backtrack có lịch sử phát triển qua nhiều bản Linux khác nhau (phiên bản hiện nay sử dụng bản phân phối Slackware Linux) và liên tục cập nhập các công cụ, drivers qua các phiên bản… Công cụ kiểm thử bảo mật trong Backtrack có thể được phân loại thành các nhóm như sau:
Information gathering: Sử dụng để có được thông tin liên quan đến một mục tiêu DNS, địa chỉ email, trang web, máy chủ mail….
Network mapping: Quét thăm dò, bao gồm việc kiểm tra các host đang tồn tại, thông tin về hệ điều hành, ứng dụng được sử dụng bởi mục tiêu….
Vulnerability identification: Quét các lỗ hổng, phân tích Server Message Block (SMB) và Simple Network Management Protocol (SNMP).
Web application analysis: Theo dõi, giám sát các ứng dụng web.
Radio network analysis: Kiểm tra mạng không dây, bluetooth và nhận dạng tần số vô tuyến (RFID).
Penetration: Khai thác các lỗ hổng tìm thấy trong các máy tính mục tiêu.
Privilege escalation: Sau khi khai thác các lỗ hổng và được truy cập vào các máy tính mục tiêu, các công cụ trong loại này có thể sử dụng để leo thang đặc quyền.
Maintaining access: Duy trì quyền truy cập vào các máy tính mục tiêu. Những đặc quyền cao nhất là điều kiện cần thiết trước khi có thể cài đặt công cụ để duy trì quyền truy cập.
Voice Over IP (VOIP): Các công cụ để phân tích VOIP.
Digital forensics: Phân tích hình ảnh đĩa cứng, cấu trúc các tập tincó thể chọn Start Backtrack Forensics trong trình đơn khởi động.
Reverse engineering: Gỡ rối chương trình hoặc tháo rời tập tin thực thi.

2. Sơ lược về WEP
WEP (Wired Equivalent Privacy) được xây dựng bởi Hiệp hội IEEE nhằm giúp WLAN có khả năng bảo mật tương đồng với LAN. WEP sử dụng kỹ thuật mã hoá) với trình mã hoá sử dụng thuật toán mã hóa khoá đối xứng là RC4 với độ dài khóa 64 bit, 128 bit và 256 bit, trong đó khóa 128 bit được sử dụng phổ biến. RC4 kết hợp với véc tơ khởi tạo (Initialization Vector-IV) để mã hoá. Trong đó, IV là một chuỗi nhị phân giả ngẫu nhiên (pseudo random binary) được sử dụng để khởi tạo cho quy trình mã hoá. WEP có tối đa 4 khoá đối xứng với độ dài không đổi dựa trên RC4. Tất cả các khóa là tĩnh và dùng chung cho các thiết bị trong WLAN. Điều này có nghĩa là các khoá được cấu hình bằng tay trên các thiết bị WLAN chỉ thay đổi khi người quản trị muốn cấu hình lại.
Mỗi điểm truy cập (Access Point-AP) sẽ sử dụng WEP để ngăn ngừa truy cập không hợp lệ bằng cách gửi một thông điệp đến máy người dùng (client). Client sẽ hỗ trợ mã hoá với khóa WEP của nó và trả về cho AP. Nếu kết quả là giống hệt nhau, người dùng sẽ được phép truy cập. WEP cũng ngăn ngừa tấn công trở lại. Điều này được thực hiện khi kẻ tấn công cố tìm cách thử để giải mã các gói dữ liệu. Kẻ xâm nhập không thể giải mã gói dữ liệu nếu không có khóa WEP thích hợp.
Tuy nhiên, WEP vẫn chứa đựng những lỗ hổng nghiêm trọng khiến kẻ tấn công có thể dễ dàng bẻ khóa. Tuy nhiên, chưa thể từ bỏ sử dụng WEP ngay, vì nó được sử dụng phổ biến và không phải nhà sản xuất thiết bị nào cũng kịp chuyển sang hỗ trợ các giải pháp mã hóa khác. Mặt khác, việc nhận thức được nguy cơ đối với bảo mật wifi, hiểu điểm yếu và cách thức tấn công các chuẩn mã hóa sẽ giúp tự bảo vệ tốt hơn trước các nguy cơ đe dọa quyền riêng tư và phá hoại mạng wifi.
WEP sử dụng phương thức mã hóa dòng, do đó nó cần một cơ chế đảm bảo hai gói tin giống nhau sau khi được mã hóa sẽ cho kết quả không giống nhau, nhằm tránh sự suy đoán của kẻ tấn công. Để đạt mục tiêu trên, một giá trị của IV (Initialization Vector) được sử dụng để cộng thêm với khóa mật được đưa vào, tạo ra khóa khác nhau sau mỗi lần mã hóa dữ liệu. IV là giá trị có độ dài 24 bit được thay đổi ngẫu nhiên theo từng gói dữ liệu, vì vậy thực tế WEP Key được chỉ định chỉ còn 40 bit với kiểu mã hóa 64 bit và 104 bit với kiểu 128 bit trong các AP, vì 24 bit được dành cho việc tạo IV này. Do thiết bị gửi thông tin tạo ra IV một cách ngẫu nhiên nên nó bắt buộc phải được gửi đến thiết bị nhận ở dạng không mã hóa trong header của gói tin, thiết bị nhận sẽ sử dụng IV và khóa để giải mã phần còn lại của gói dữ liệu. IV chính là điểm yếu trong mô hình mã hóa WEP; vì độ dài của IV là 24 bit nên giá trị của IV là khoảng hơn 16 triệu trường hợp. Nếu kẻ tấn công bắt giữ đủ một số lượng gói tin nào đó thì có thể phân tích các IV để đoán ra khóa đang sử dụng.

3. Sử dụng Backtrack thực hiện tấn công mạng Wifi với bảo mật WEP
Mạng wifi ngày càng được sử dụng phổ biến nhưng bên cạnh đó vấn đề bảo mật wifi cũng tiềm ẩn nhiều nguy cơ. Wifi không an toàn tạo điều kiện cho kẻ tấn công đánh cắp dễ dàng dữ liệu, các thông tin cá nhân (số tài khoản ngân hàng, các tài khoản trực tuyến...), lợi dụng để cài cắm virus, sử dụng máy tính thực hiện các cuộc tấn công DDoS.... Mặc dù có các chuẩn bảo mật được thiết lập cho wifi nhưng các chuẩn này đều có những kẽ hở để kẻ tấn công khai thác. Khả năng tấn công phổ biến nhất và cũng đơn giản nhất đối với mạng wifi là dò khóa mã WEP của wifi thông qua việc sử dụng công cụ thâm nhập Backtrack. Backtrack cũng có thể được sử dụng để dò mã khóa WPA, WPA2 nhưng ở mức độ khó hơn dò mã khóa WEP.
Tấn công wifi với bảo mật WEP bằng Backtrack
Để thực hiện cuộc tấn công wifi với bảo mật WEP bằng Backtrack cần có một số điều kiện như: Có AP đang mở và hỗ trợ giao thức bảo mật WEP; Có một Client đang kết nối với AP; Máy của kẻ tấn công phải có card wireless và hỗ trợ chế độ monitor cũng như chế độ injection (chèn gói tin).
Dưới đây là các bước cơ bản khi tấn công:
- Chuyển card wireless về chế độ monitor (tức là chế độ nghe, kiểm tra tín hiệu).
- Quét mạng wireless và bắt dữ liệu từ AP.
- Dùng Aircrack-ng kết hợp database để dò crack.

HÌnh 2: Card WLAN đang ở chế độ monitor mode

Trong phần thực hiện tấn công, công cụ Aircrack-ng có trong Backtrack sẽ được sử dụng. Sau khi boot lại máy tính vào Backtrack, ta cần kiểm tra rằng WLAN adapter đã được nhận ra và khởi động. Gõ vào dòng lệnh ipconfig để kiểm tra WLAN card.
Như đã nói ở trên, card WLAN phải có khả năng hoạt động ở chế độ “monitor mode”. Điều này nghĩa là card WLAN có thể bắt được tất cả những gói dữ liệu mà nó phát hiện ra mà không chỉ giới hạn ở những gói dữ liệu được gửi đến địa chỉ MAC của nó. Đưa card WLAN vào chế độ monitor bằng các lệnh: airmon-ng (để kiểm tra trạng thái của adapter), airmon-ng stop ath0 (để dừng chế độ interface thông thường của card), airmon-ng start wlan0 (để khởi động lại adapter ở chế độ monitor).
Khi adapter đã ở chế độ “monitor mode”, có thể bắt đầu quét để tìm ra mạng wireless và tìm kiếm các AP sử dụng chế độ mã hóa WEP và đang có ít nhất 01 máy khách (client) đang kết nối tới nó. Máy khách đi kèm này quan trọng vì cần có được địa chỉ MAC của client này để tấn công với ARP Replay, tạo ra dòng dữ liệu. Nếu AP không có client nào đang kết nối, cần chuyển đến một AP khác. Cần có 3 thông tin để bắt đủ dòng dữ liệu, tạo điều kiện cho Aircrack hoạt động:
- Địa chỉ MAC/BSSID của AP mục tiêu.
- Địa chỉ MAC/BSSID của máy client kết nối với AP.
- Kênh (channel) đang được sử dụng bởi AP mục tiêu và máy client.
Có nhiều cách để quét mạng WLAN, sử dụng airodump-ng, một bộ phận của bộ Aircrack là một lựa chọn hiệu quả. Airodump quét tất cả các kênh có tần số 2,4 GHz với card Atheros (ath0). Hình 3 là kết quả quét với airodump.

HÌnh 3: Kết quả quét kênh với airodump

Khi đã xác định được AP mục tiêu sử dụng chế độ bảo mật WEP, cần bắt đủ các IV bằng airodump để cho aircrack-ng sử dụng. Cột #Data trong airodump-ng cho biết có bao nhiêu IV đã bắt được và cột #/s cho biết tốc độ bắt dữ liệu trên mỗi giây. Tuy nhiên, như chúng ta đã đề cập ở trên, để aircrack-ng dò ra mật khẩu WEP, cần có một khối lượng dữ liệu lưu thông đủ lớn, #Data đạt đến ít nhất 300.000 IV đối với khóa WEP 64 bit hoặc khoảng 1.500.000 IV đối với khóa WEP 128 bit. Muốn vậy, có thể sử dụng công cụ aireplay-ng để tạo ra dòng dữ liệu lưu thông (traffic) để bắt thông qua việc sử dụng nhiều kỹ thuật chèn khung (frame injection) khác nhau. Có thể sử dụng kiểu tấn công lặp ARP Request Replay để tạo gói dữ liệu chèn (packet injection). Nếu không có packet injection thì sẽ mất nhiều thời gian để thu thập đủ số lượng IV cần thiết. Kiểu tấn công lặp chỉ đơn giản là việc bắt các gói dữ liệu tạo ra bởi STA mục tiêu, sau đó phát ra lại để đánh lừa máy trạm rằng nó bắt được gói dữ liệu. Quá trình này lặp đi lặp lại liên tục làm cho lượng dữ liệu lưu thông tăng lên nhiều lần. Vì dòng dữ liệu tạo ra từ máy tấn công được ngụy trang như dòng dữ liệu của một máy client thực sự nên nó không ảnh hưởng đến hoạt động bình thường của mạng và nhờ đó công việc tạo IV của nó được vận hành dễ dàng.
Cuối cùng, để dò khóa WEP với aircrack-ng. Aircrack sẽ bắt đầu tìm kiếm trong số những gói dữ liệu đã bắt được để tìm ra khóa WEP. Khóa WEP sẽ được tìm thấy dưới dạng hệ thập lục phân (hexadecimal).

Kết luận
Tấn công mạng wifi sử dụng bảo mật WEP là minh họa điển hình cho Backtrack chứa nhiều công cụ tấn công phòng thủ hệ thống. Bên cạnh đó, Backtrack có chứa một bộ sưu tập lớn các công cụ phục vụ việc nghiên cứu bảo mật cũng như phòng thủ tấn công hệ thống. Việc tìm hiểu sử dụng các công cụ này trên cơ sở hiểu rõ nguyên lý của chúng sẽ giúp chúng ta có cái nhìn rõ hơn trước các nguy cơ thực tế đe dọa an toàn thông tin, từ đó nâng cao ý thức thực hiện các biện pháp tăng cường tính bảo mật cho hệ thống thông tin truyền thông.