Time

|

June 20, 2022

How to hack a Wi-Fi network!

 বর্তমানে বাঙালিরা হ্যাকিং বলতে পাশের বাসার ওয়াইফাই আর গার্লফ্রেন্ডের ফেইসবুক একাউন্ট access করা বোঝে।

যাক একটা ইচ্ছা অন্তত পূরণ করার চেষ্টা করবো।

A quick sidenote: I am in no way encouraging the use of illegal offensive tools. These are purely educational and to help you defend your networks better.

তো শুরু কথা যাক,
সেদিন বলছিলাম Evil Twin Attack এর মাধ্যমে WiFi username and password সহ আরো কিছু information বের করা শেখাবো।
এ ছারাও Cowpathy, Passive Sniffing, AirCrack-NG, Starbucks এর মত বিভিন্ন অ্যাটাক আছে।

কিন্তু Evil Twin Attack সম্পর্কে বলার কারণ হচ্ছে আমি নিজে এটা চেক করে দেখেছি। এমনটা না যে আমি গুগোল থেকে কারো টিউটোরিয়াল কপি পেস্ট করতেছি।

আমি নিজে যা জানি বা Research+practically করেছি তাই আপনাদেরকে বলতেছি।

However, ওয়াইফাই ইথারনেটের তুলনায় দুর্বল নেটওয়ার্ক, এটা সঠিক ভাবে সুরক্ষিত না হলে এখানে খুব সহজেই wireshark এর মাধ্যমে man-in-the-middle attack perform করা যাবে।

বুঝলেন?
না বুঝলে একটা উদাহরণ দেই।

উদাহরণস্বরূপ, আপনি যদি একটি Starbucks নেটওয়ার্কের সাথে connected থাকেন তখন সেই নেটওয়ার্কের সাথে connected যে কোনও ব্যক্তি অন্য ব্যক্তির নেটওয়ার্ক ট্র্যাফিক দেখতে পারবে।
আপনি যদি ভিপিএন use না করেন বা ওয়েবসাইট https ব্যবহার না করে, আপনার ডেটা (পাসওয়ার্ড আর ক্রেডিট কার্ডের information সহ) পুরো নেটওয়ার্ক এর সব information ই দেখা যাবে।

বা ধরেন আপনার একটা company আছে। এবং আপনার এমপ্লয়ীদের ব্যবহার করার জন্য একটা ওয়াইফাই রাখছেন সেখানে। এখন কেউ যদি বাহিরের লোক এসে সেই ওয়াইফাই টা কানেক্ট করে তাহলে আপনার কোম্পানীর অনেক confidential information সে চাইলেই চুরি করতে পারে।

WiFi hacking এ কিছু tools/attack আছে যা অনেক কাজের সেগুলো সম্পর্কে অন্য কোনদিন বলব।

বাকি জিনিসগুলো বুঝার আগে কয়েকটা জিনিস খেয়াল করতে হবে :

Access Point — The WiFi network that you want to connect to.

SSID — The name of the access point. eg. “Starbucks”

Pcap file — Packet capture file. Contains captured packets on a network. The common format for tools including Wireshark and Nessus.

Wired Equivalent Privacy (WEP) — Security algorithm for wireless networks.

Wi-Fi Protected Access (WPA & WPA2) — Stronger security algorithm compared to WEP.

IEEE 802.11 — Wireless Local Area Network (LAN) protocol.

Monitor mode — Capturing the network packets in the air without connecting to a router or access point.

আর এই কাজ করার জন্য Aircrack-NG এর প্রয়োজন হবে।
Aircrack একটি software suite যা আপনাকে wireless network attack করতে এবং এই ধরনের attack থেকে রক্ষা করতে সাহায্য করে।
এইটার মধ্যে একাধিক tools আছে যেমন detector, packet sniffer, WEP/WPA cracker আরো অনেক কিছু।

Aircrack এর আসল কাজ হ'ল packets capture করা এবং passwords crack করার জন্য সেগুলোর hashes read করা।
Aircrack এর latest version এ wireless interface support করে। আর এইটা আমাদের Linux, FreeBSD, macOS, OpenBSD, and Windows platform গুলোতে চালানো যাবে।
আর Linux এ এইটা pre-install পাবেন।

আমরা এয়ারক্র্যাকের কাজ শুরু করার আগে আমাদের একটা Wi-Fi adaptor এর প্রয়োজন।
Aircrack শুধু একটি wireless network interface controller এ কাজ করে যার সাথে raw monitoring mode support করে আর 802.11a, 802.11b, and 802.11g traffic sniff করতে পারে। আর normal WiFi adaptor গুলো ওয়াইফাই (সাধারণত আমাদের কম্পিউটারের সাথে থাকে যেগুলো) অন্য network এর traffic control করার ক্ষমতা রাখে না। আপনি এগুলি শুধু কোনো WiFi access point connect করতে use করতে পারেন।

Aircrack WiFi adaptor এর মাধ্যমে আমরা “monitor mode” enable করতে পারবো। যেটার মাধ্যমে আমাদের কম্পিউটারে connected না থাকা wifi networks গুলোর ও traffic sniff করতে পারবো। এটাকে আমরা Wi-Fi password crack করার জন্য data capture ও করতে পারি।

এবং aircrack এর সাথে Airmon-ng দিয়েও কাজ করতে হবে আমাদের। এটি একটি script যেটার মাধ্যমে আমাদের network interface card কে monitor mode এ রাখা যায়। এইটা enable হবার পর আমরা network packet গুলো Capture করতে পারবো। এবং এর জন্য আমাদের কোন access point connected বা authenticated থাকার প্রয়োজন নেই।

এখানে network interface list করার জন্য ‘airmon-ng’ command run করতে হবে এবং monitor mode এর interface চালু করার জন্য ‘airmon-ng start <interface name>’ run করতে হবে। তখন network interface টি “wlan0” থেকে “wlan0mon” এ পরিবর্তন হয়ে যাবে।

তার পর আমাদের airodump use করতে হবে। এয়ারডাম্প একটা প্যাকেট ক্যাপচার ইউটিলিটি যা আরও analysis করার জন্য raw data packets Capture and save করতে পারে।আর আমাদের কম্পিউটারে কোনও GPS receiver connect থাকলে তো airodump access point ও fetch করতে পারবো।

Airmon দিয়ে Monitor mode enable করার পর আমরা airodump ব্যাবহার করে packets capture শুরু করতে পারবো।
airodump-ng কমান্ড রান করে available access point গুলো list করতে পারবো।

একবার আমরা airodump-ng use করে পর্যাপ্ত packets Capture করার পর aircrack-ng ব্যবহার করে key crack করতে পারবো। তার সর Aircrack statistical, brute force, and dictionary attacks এর মাধ্যমে the WEP / WPA key brack করবে।

তার পর Aireplay এর কাজ শুরু,
Aireplay-ng আমাদের wireless network এ artificial traffic তৈরি করতে সাহায্য করে। এয়ারপ্লে live network থেকে traffic capture করতে পারে বা কোনও নেটওয়ার্কে Inject এর জন্য থাকা pcap ফাইল থেকে প্যাকেটগুলি ব্যবহার করতে পারে।

এ ছারা aireplay এর মাধ্যমে আমরা fake authentication, packet injection, caffe-latte attack, ইত্যাদি perform করতে পারবো।

Caffe-latte attack কিভাবে কাজ করে?
Caff-latte আপনাকে client device থেকে WEP key পেতে সাহায্য করে।
এটি ক্লায়েন্টের কাছ থেকে একটি ARP packet capture করে, এটি পরিচালনা করে এবং পরে ক্লায়েন্টকে ফেরত পাঠিয়ে এটি করা হয়।
ক্লায়েন্ট তখন একটি প্যাকেট তৈরি করবে যা airodump দিয়ে ধরা যাবে। পরে, এয়ারক্র্যাক WPR key form টি পরিবর্তিত প্যাকেট crack করতে use করা যেতে পারে।

পরের কাজ Airbase এ। এটি attacker এর কম্পিউটারকে rouge access point পরিবর্তন করে দেয়। এয়ারবেস ব্যবহার করে, আপনি third party হওয়া সত্ত্বেও client access point এর মত করে সিস্টেমে connected device গুলিতে man-in-the-middle attack করতে পারেন। Client যখন network এর সাথে connect হওয়ার চেষ্টা করবে তখন এটাকার একই নামে আরও একটি এক্সেস পয়েন্ট তৈরি করতে পারবে (হয়তো ক্লায়েন্টেরটার থেকেও স্ট্রং) যা Starbucks এর।

Regular user দের জন্য legitimate access point আর a rogue access point এর মধ্যে পার্থক্য ধরাটা খুব tough একটি ব্যাপার।

সেই জন্য এখনকার সময় the evil twin attack কে one of the dangerous wireless attack হিসেবে ধরা হয়, যা আজকে আপনারাও শিখলেন (অবশ্যই এটিকে কোন খারাপ কাজে ব্যবহার করবেন না)।

আশা করি এই পোস্ট আপনাকে ওয়াইফাই এর নিরাপত্তা এবং ত্রুটিগুলো বিস্তারিতভাবে বুঝতে সাহায্য করেছে।

আপনাকে ছাড়া আপনার ফোনের কোন অ্যাপসে কেউ প্রবেশ করতে পারবে না। যদি কেউ লুকিয়ে প্রবেশ করতে যায় তার ছবি তুলে রাখবে।

 

আসসালামু আলাইকুম । আশা করি সকলে ভালো আছেন । আমিও আলহামদুলিল্লাহ আপনাদের দোয়ায় অনেক ভালো আছি।

আজ আমি আপনাদের সামনে নিয়ে আসলাম কিভাবে একটি মাত্র অ্যাপস দিয়ে মোবাইলে অনেক গুলো সিকিউরিটি দিবেন। এখানে সিকিউরিটি বলতে আপনার পার্সোনাল অ্যাপসে কেউ প্রবেশ করতে পারবে না।  সাথে আপনার ফোনটি লক করা আছে যদি কোন ব্যক্তি আপনার পারমিশন ছাড়া লক খুলার চেষ্টা করে তার ছবি তোলে রেখে দিবে। আরো অনেক ধরনের ফিচার রয়েছে এই অ্যাপসটিতে ।কয়েকটি উদাহরণ দেওয়া যাক।

উদাহরণ ১ :

ধরেন আপনার পার্সোনাল সব কিছু আপনি Google Drive এ রাখলেন। কিন্তু আপনি drive কে লক করার জন্য আলাদা app ব্যবহার করতে চাচ্ছেন না। এখন আপনি ভাবছেন যদি এমন হতো যে drive অ্যাপসে ক্লিক করলে অন্য কোথাও নিয়ে যাবে drive যাতে ওপেন না হয়। এই কাজটা কিভাবে করা যায় সেটা আমি আজ দেখাবো।

উদাহরণ ২ :

ধরেন আপনার ফোনের সকল অ্যাপস আনলক করা আপনি চাচ্ছেন যে আপনাকে ছাড়া যদি আপনার অজান্তেই কেউ যেকোন অ্যাপসে প্রবেশ করলে সাথে সাথে যাতে বলে দেয় open in Messenger মানে যেই অ্যাপসটি ওপেন করবে সেই অ্যাপসটির নাম বলে দিবে।

তো চলুন শুরু করা যাক।

App Download 

প্রথমে আমরা অ্যাপসটির ওপেন করবো।

তারপর নেস্ট করে দিবো।

দেখতে পাচ্ছেন কত গুলো অপশন আছে একেক টার একেক কাজ সব গুলো তো আর দেখানো সম্ভব না। আমি কয়েক টার কাজ দেখাবো।

প্রথমে add macro তে চলে যাবো।

এখন তিনটি অপশন দেখতে পাচ্ছেন আমরা প্রথমে trigger এ চলে যাবো।

 

এখান থেকে application সিলেক্ট করে নিবো।

এখন application launched ক্লিক করবো।

তারপর মার্ক করা মতো কাজ করে যাবো।

এখন আমি একটি অ্যাপস সিলেক্ট করলাম।

এখন ওকে দিবো এবং কিছু পারমিশন চাইবে ওকে করে দিবেন ।

মার্ক করা অন করে দিবেন।

আমাদের trigger কাজ শেষ এখন আমরা কাজ করবো action নিয়ে।

তাই এখন action plus বাটনে ক্লিক করবো।

 

এখন আমরা device action ক্লিক করবো।

এখন আমি চাচ্ছি যে আমার es file অ্যাপসটির ওপেন করতে গেলে সাথে সাথে হোম স্কিনে যাতে চলে আশে তাই আমি launch home screen সিলেক্ট করে দিলাম।

উপরে একটা নাম দিবো তারপর টিক দিয়ে দিবো এখন আমাদের কাজ শেষ। এখন কেউ চাইলেও অ্যাপসটি ওপেন করতে পারবে না।

আমরা আবার নতুন একটা দেখাবো আগে মতো প্রথমে trigger ও চলে যাবো।

এখন আমরা যাবো device event এ ।

তারপর failed login attempt ক্লিক করবো।

সব গুলো জায়গায় টিক দিয়ে ওকে দিবো।

এখন আমাদের থেকে device administrator পারমিশন চাইবে আপদি enable করে দিবেন।

এখন আমাদের trigger এর কাজ শেষ।

এখন আমরা কাজ করবো action নিয়ে তাই প্লাস বাটনে ক্লিক করবো।

তারপর camera/photo তে ক্লিক করবো।

তারপর take photo তে ক্লিক করবো।

এই রকম কিছু পারমিশন চাইবে পারমিশন দিয়ে নিবেন।

এখন আমরা কোন ক্যামেরা ব্যবহার করবো ছবি তোলার জন্য। এখানে ছবি তোলা হচ্ছে যে আপনি অন্য কোন ব্যক্তি আপনার ফোনের লক খুলার চেষ্টা করলে সেই ব্যক্তির ছবি আপনি কোন ক্যামেরা দিয়ে তুলতে চান সেটা সিলেক্ট করে দিবেন।

এখন আপনি চাইলে ক্যামেরা হাইড করে রাখতে পারেন।

এখন আপনাকে একটি ফোল্ডার সিলেক্ট করে দিতে হবে যেখানে ছবি জমা থাকবে।

এখন action কাজ শেষ। ।

উপরে একটি নাম দিয়ে প্লাস ক্লিক করে সেভ করে নিবো ।

Blogger_এ একাধিক Admin বা সহকারি যোগ করা।

 গুগল মামার ওয়েবসাইট তৈরি করার সার্ভিস Blogger নিয়ে আমাদের আজকের এই টপিক। আমরা যারা বিভিন্ন বিষয়ের উপর ওয়েবসাইট তৈরি করে থাকি এবং বিভিন্ন কাজ থাকার কারণে হয়তো ওয়েবসাইটে যেভাবে সময় দেওয়ার দরকার সেইভাবে সময় দিতে পারি না। অর্থাৎ একাকি ওয়েবসাইট কার্যক্রম পরিচালনা করা সম্ভব হয় না। অথবা অন্য যেকোন কারণে আমরা একটি ওয়েবসাইটের কার্যক্রম কয়েকজন মিলে করতে হয়। সেজন্য আমাদেরকে ওয়েবসাইটের কার্যক্রম পরিচালনার জন্য নিজের পাশাপাশি আরো কয়েকজনকে সহকারি হিসেবে নিতে হয়। আর এই সুযোগটি বা সুবিধাটি যেকোন প্লাটফর্মের ওয়েবসাইট দিয়ে করা সম্ভব। অর্থাৎ গুগলের ব্লগার বা ব্লগস্পট, ওয়ার্ডপ্রেস, জুমলা সহ যেকোন ধরনের প্লাটফর্মে।

আজকে আমরা মূলত গুগলের ফ্রি ওয়েবসাইট তৈরি করার প্লাটফর্ম ব্লগারে কিভাবে নিজের পাশাপাশি ড্যাশবোর্ড পরিচালনার জন্য সহকারি সেট করতে পারবেন তা নিয়ে এই পোস্টে আলোচনা করব। আপনি ইচ্ছে করলে আপনার সহকারিকে পুরোপুরি আপনার মত ফুল অ্যাক্সেস দিতে পারবেন ব্লগার ড্যাশবোর্ডের অথবা কিছু নির্দিষ্ট ফাংশনের অ্যাক্সেস দিতে পারবেন।

ব্লগার ড্যাশবোর্ডে আপনার সহকারি সেট করার জন্য প্রথমে আপনি যে জিমেইল আইডি দিয়ে আপনার ওয়েবসাইটটি তৈরি করেছেন সে জিমেইল আইডি দিয়ে www.blogger.com সাইটে প্রবেশ করে সাইন ইন করতে হবে। তারপর বামপাশের উপরে থাকা মেনুবারে ক্লিক করে সেটিংসে ক্লিক করতে হবে। সেটিংস আসার পর স্ক্রল করে নিচে যেতে হবে। নিচে যাওয়ার পর উপরের স্ক্রিনশটের মত Permissions সেকশনের Invite more authors_এ ক্লিক করুন।

তারপর উপরের স্ক্রিনশটের মত একটি ডায়ালগ বক্স আসবে। এখানে আপনি যাকে আপনার সহকারি বানাতে চান তার জিমেইল আইডিটি লিখুন এবং Send বাটনে ক্লিক করুন।

এইবার সহকারিকে আমন্ত্রণ করার পর আপনার ব্লগার ড্যাশবোর্ডে উপরের স্ক্রিনশটের মত Pending author invites তার জিমেইল আইডিটি দেখা যাবে। যতক্ষণ না তিনি আপনার আমন্ত্রণটি অ্যাক্সেপ্ট বা গ্রহণ করবেন। আপনার কাজ শেষ। এইবার যাকে আমন্ত্রণ করেছেন তার কাজ শুরু।

ধরুন আপনাকে আমন্ত্রণ করা হয়েছে অথবা আপনি আপনাকে আমন্ত্রণ করেছেন যদি আপনার একাধিক জিমেইল আইডি থেকে থাকে। আপনাকে যেহেতু আমন্ত্রণ করা হয়েছে অথবা যাকে আমন্ত্রণ করেছেন তার জিমেইল আইডিটি জিমেইলে সাইন করতে হবে এবং ইনবক্সে উপরের স্ক্রিনশটের মত একটি আমন্ত্রণমূলক ম্যাসেজ বা বার্তা দেখতে পারবেন। এটিতে ক্লিক করে ওপেন করুন।

ওপেন করার পর উপরের স্ক্রিনশটের মত Accept Invitation বাটনে ক্লিক করুন।

উপরোল্লিখিত বাটনটিতে ক্লিক করার পর আপনাকে জিমেইল থেকে ব্লগার সাইটে নিয়ে যাওয়া হবে ঠিক উপরের স্ক্রিনশটের মত। এখানেও আপনাকে Accept Invitation বাটনে ক্লিক করতে হবে।

অ্যাক্সেপ্ট ইনভাইটেশন বাটনে ক্লিক করার পর ঠিক উপরের স্ক্রিনশটের মত আপনাকে ব্লগারের ড্যাশবোর্ডে নিয়ে আসবে যেটিতে মূলত আপনাকে আমন্ত্রণ করা হয়েছে। বলে রাখা ভালো যেহেতু এখানে আপনার আগে থেকেই জিমেইল আইডি সাইন ইন করা সেহেতু আপনাকে সরাসরি ব্লগারের ড্যাশবোর্ডে নিয়ে যাবে। আর যদি সাইন ইন না করা থাকে তাহলে আপনাকে জিমেইল আইডি সাইন করার জন্য নিয়ে যাবে। তারপর সাইন ইন করলে উপরের স্ক্রিনশটের মত ব্লগার ড্যাশবোর্ডটি দেখতে পারবেন। আর আরেকটি কথা আপনি যদি নিজেই নিজের অন্য জিমেইল আইডিকে ইনভাইট করে থাকেন। সেক্ষেত্রে দুটো জিমেইল আইডির অ্যাক্সেস যদি আপনি একটি বা একই ব্রাউজারের মাধ্যমে করে থাকেন। তাহলে আপনাকে অবশ্যই একটি ব্রাউজারের নরমাল মুডে করতে হবে আর আরেকটি ব্রাউজারের Incognito মুডে করতে হবে।

উপরোল্লিখিত পদ্ধতিতে এইভাবে আপনি ব্লগারে যেকোন কাউকে বা আপনার আরেকটি জিমেইল আইডিকে সহকারি হিসেবে সেট করে নিতে পারবেন। উপরের স্ক্রিনশটে দেখুন আমার আমন্ত্রণকৃত জিমেইল আইডিটিতে যে ব্লগার ওয়েবসাইটের ড্যাশবোর্ড থেকে আমন্ত্রণ করা হয়েছে সেটির নাম এবং ড্যাশবোর্ড দেখা যাচ্ছে। যেখানে আমার আগের কয়েকটি ব্লগার ড্যাশবোর্ডের নাম দেখা যাচ্ছে।

এইবার যিনি আমন্ত্রণ করেছেন সেখানে আসি। অর্থাৎ মূল যে জিমেইল আইডির ব্লগার ড্যাশবোর্ড থেকে আমন্ত্রণ করা হয়েছে সেখানে। এখানে আপনি যদি অ্যাডমিন এর রোল বা ক্ষমতা বা অ্যাক্সেস এর পরিবর্তন করতে চান অর্থাৎ ড্যাশবোর্ডের পুরোপুরি ক্ষমতা বা আংশিক ক্ষমতা সেট করতে চান সেটি করতে পারবেন। এর জন্য আপনাকে আগের মত ব্লগার ড্যাশবোর্ডের উপরের বামপাশের মেনুবারে ক্লিক করে সেটিংসে গিয়ে Permission সেকশনে গিয়ে Blog admins and authors_এ ক্লিক করে ঠিক উপরের স্ক্রিনশটের মত রোল বা ক্ষমতা বা অ্যাক্সেস পরিবর্তন করে দিতে পারবেন। এখানে Admin হলো পুরো ক্ষমতা এবং Author হলো আংশিক ক্ষমতা।

আশা করি আজকের টপিক নিয়ে আপনাদের বোঝাতে সক্ষম হয়েছি। উপরোল্লিখিত পদ্ধতি ফলো করে এখন থেকে আপনি চাইলে যে কাউকে অথবা আপনার অন্যকোন জিমেইল আইডিকে ব্লগার ড্যাশবোর্ডে সহকারি হিসেবে সেট করে নিতে পারবেন।