Re: [linux_var] HotSpot / Sniffing

To: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Subject: Re: [linux_var] HotSpot / Sniffing

Date: Tue, 26 Nov 2013 22:58:32 +0100

Authentication-results: linuxvar.it; dkim=pass (2048-bit key; insecure key) header.i=@gmail.com; dkim-adsp=pass

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1385503136; bh=u0ovAajfTJ4Bjn35g1zIFt7Msu8bXR8cIdRpgVoeqFw=; h=MIME-Version:In-Reply-To:References:Date:From:To:Subject:Reply-To: List-Id:List-Unsubscribe:List-Archive:List-Post:List-Help: List-Subscribe:Content-Type:Sender; z=Received:=20from=20mail-pb0-f49.google.com=20(mail-pb0-f49.google .com=0D=0A=09[209.85.160.49])=20by=20linuxvar.it=20(Postfix)=20wit h=20ESMTPS=20id=2025FAA3C0605=0D=0A=09for=20<talking@ml.linuxvar.i t>=3B=20Tue,=2026=20Nov=202013=2022:58:34=20+0100=20(CET)|Authenti cation-Results:=20linuxvar.it=3B=20dkim=3Dpass=20(2048-bit=20key=3 B=20insecure=20key)=0D=0A=09header.i=3D@gmail.com=3B=20dkim-adsp=3 Dpass|Received:=20by=20mail-pb0-f49.google.com=20with=20SMTP=20id= 20jt11so8932183pbb.22=0D=0A=09for=20<talking@ml.linuxvar.it>=3B=20 Tue,=2026=20Nov=202013=2013:58:33=20-0800=20(PST)|DKIM-Signature:= 20v=3D1=3B=20a=3Drsa-sha256=3B=20c=3Drelaxed/relaxed=3B=20d=3Dgmai l.com=3B=20s=3D20120113=3B=0D=0A=09h=3Dmime-version:in-reply-to:re ferences:date:message-id:subject:from:to=0D=0A=09:content-type=3B= 20bh=3DFRNWGlCYohY6y4EmcnGLyYmKxLomOrZOJulX1uWE2kU=3D=3B=0D=0A=09b =3DX0nQe3JdFly0BeJuZp53TsVtTdk2dm+n7umvERHZaaHx/oAKnjfMP6w3giJRgcW TEG=0D=0A=096r2/Pbid1nqNQ4MRJl+cY0RQBqSGpSSIfaaVmijVB6ct7zo/3ismmb 0Iy36mo0Wi9rJS=0D=0A=090fWeF31KHbKEn2fUtmJfRXX2D1qwMv059LGJmTUMIvT EYYnDhADouUV/ymSTyYJqM4uq=0D=0A=09Maiak+3yM1+N7gKBitYerXoste+8H//y vteckTb4UTTRPi2jfZ8mX/aPtwwxI+GpcK89=0D=0A=09xveQS/zVZTGboO0rifZ81 45eSW4L3BsK+TbPqp5uRg8/rXspeGD3UIZrrFiIwCpMFmsv=0D=0A=09xM3g=3D=3D |MIME-Version:=201.0|X-Received:=20by=2010.68.212.131=20with=20SMT P=20id=20nk3mr1540463pbc.192.1385503112779=3B=0D=0A=09Tue,=2026=20 Nov=202013=2013:58:32=20-0800=20(PST)|Received:=20by=2010.70.38.6= 20with=20HTTP=3B=20Tue,=2026=20Nov=202013=2013:58:32=20-0800=20(PS T)|In-Reply-To:=20<CAGod1SBRq8gGhyAmCHFfYdU7o6sJNAMUGBMv0TpbvHkPZP JoLA@mail.gmail.com>|References:=20<CAGod1SBRq8gGhyAmCHFfYdU7o6sJN AMUGBMv0TpbvHkPZPJoLA@mail.gmail.com>|Date:=20Tue,=2026=20Nov=2020 13=2022:58:32=20+0100|From:=20Fox=20<root2fox@gmail.com>|To:=20lin ux_var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=20 <talking@ml.linuxvar.it>|Subject:=20Re:=20[linux_var]=20HotSpot=20 /=20Sniffing|X-BeenThere:=20talking@ml.linuxvar.it|X-Mailman-Versi on:=202.1.13|Precedence:=20list|Reply-To:=20linux_var=20-=20LUG=20 di=20Varese=20e=20Provincia=20Mailing=20List=0D=0A=09<talking@ml.l inuxvar.it>|List-Id:=20linux_var=20-=20LUG=20di=20Varese=20e=20Pro vincia=20Mailing=20List=0D=0A=09<talking.ml.linuxvar.it>|List-Unsu bscribe:=20<http://ml.linuxvar.it/cgi-bin/mailman/options/talking> ,=0D=0A=09<mailto:talking-request@ml.linuxvar.it?subject=3Dunsubsc ribe>|List-Archive:=20<http://ml.linuxvar.it/pipermail/talking>|Li st-Post:=20<mailto:talking@ml.linuxvar.it>|List-Help:=20<mailto:ta lking-request@ml.linuxvar.it?subject=3Dhelp>|List-Subscribe:=20<ht tp://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>,=0D=0A=09<ma ilto:talking-request@ml.linuxvar.it?subject=3Dsubscribe>|Content-T ype:=20multipart/mixed=3B=20boundary=3D"=3D=3D=3D=3D=3D=3D=3D=3D=3 D=3D=3D=3D=3D=3D=3D0848972575713827312=3D=3D"|Sender:=20talking-bo unces@ml.linuxvar.it|Errors-To:=20talking-bounces@ml.linuxvar.it; b=Jple/IZHdZlN82pgT91qgMWH9rdIOtq8063GNxLPkQY8UYgaWGVasucOCJsVnjcFN 8NIBtEfeYrSqU/tMiBIXsjr4rUDV4ougrc8qIYlSeiM+4ahjGSE1QhLjSur12iACj8 Jh2KGoYBihaQgm9n4Yuj5nofodPcy2OcIvPUHVs8=

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; bh=FRNWGlCYohY6y4EmcnGLyYmKxLomOrZOJulX1uWE2kU=; b=X0nQe3JdFly0BeJuZp53TsVtTdk2dm+n7umvERHZaaHx/oAKnjfMP6w3giJRgcWTEG 6r2/Pbid1nqNQ4MRJl+cY0RQBqSGpSSIfaaVmijVB6ct7zo/3ismmb0Iy36mo0Wi9rJS 0fWeF31KHbKEn2fUtmJfRXX2D1qwMv059LGJmTUMIvTEYYnDhADouUV/ymSTyYJqM4uq Maiak+3yM1+N7gKBitYerXoste+8H//yvteckTb4UTTRPi2jfZ8mX/aPtwwxI+GpcK89 xveQS/zVZTGboO0rifZ8145eSW4L3BsK+TbPqp5uRg8/rXspeGD3UIZrrFiIwCpMFmsv xM3g==

In-reply-to: <CAGod1SBRq8gGhyAmCHFfYdU7o6sJNAMUGBMv0TpbvHkPZPJoLA@mail.gmail.com>

List-archive: <http://ml.linuxvar.it/pipermail/talking>

List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>

List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>

List-post: <mailto:talking@ml.linuxvar.it>

List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>

List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>

References: <CAGod1SBRq8gGhyAmCHFfYdU7o6sJNAMUGBMv0TpbvHkPZPJoLA@mail.gmail.com>

Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Sender: talking-bounces@ml.linuxvar.it

Questi sistemi mi hanno sempre affascinato ma non ho mai approfondito...

Stando a wikipedia:
"WPA è progettato per utilizzare lo standard IEEE 802.1x per gestire l'autenticazione dei client e dei server e la distribuzione di differenti chiavi per ogni utente, sebbene per questioni di compatibilità supporti la precedente gestione a chiave condivisa (PSK). I dati sono cifrati con l'algoritmo di cifratura a flusso RC4 con chiave a 128 bit e vettore di inizializzazione a 48 bit."

Quindi alla fine, secondo me, anche se l'ap, non puo' fisicamente fare come uno switch, ma far da hub i dati son comunque non in chiaro.

Attenzione invece a problemi che potresti avere per questioni stupide,

io avevo letto da qualche parte qualcosa inerente alle solite nostre leggi antimafia che vanno ovviamente a dar fastidio piu alla gente normale... lasciamo perdere...

http://it.wikipedia.org/wiki/Hotspot_(WLAN)

In teoria leggendo wikipedia non dovresti aver bisogno di permessi, ma sai che siamo in Italia...

2013/11/26 Giovanni Orlandi <orlangio@gmail.com>

8<--
A) se utilizzo una Wlan "libera/non criptata" i dati viaggiano TUTTI in chiaro e quindi un utente malintenzionato potrebbe FACILMENTE "sniffare" il traffico di TUTTI i terminali.

B) se utilizzo una Wlan WPA/WPA2 i dati tra client e AP sono criptati quindi non si dovrebbe poter sniffare il traffico ?

Non sono sicuro del punto (B), cioè se la chiave WPA è nota, il traffico tra client e AP è facilmente sniffabile oppure i 2 apparati si scambiano una specie di chiave di sessione che lo impedisce ?

(escludendo il caso bastardo di emulare l'AP vero con un falso AP tipo man in the middle)

In rete ho trovato qualcosa del tipo "When a 4 way handshake is captured" che già direbbe che per sniffare il traffico in caso di WPA devo "beccare" la primissima fase di handshacking e decodificare ogni singola sessione separatamente, sarebbe già qualcosa di meglio rispetto ad avere TUTTI i pacchetti che viaggiano in chiaro...

(almeno pensando ad una situazione con 100 client)

_______________________________________________ Talking mailing list Talking@ml.linuxvar.it http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

References:

[linux_var] HotSpot / Sniffing
- From: Giovanni Orlandi <orlangio@gmail.com>