04 marzo 2014

Redes WiFi WEP y WPS, tan inseguras que mejor no tenerlas


Durante la semana pasada me puse a testear una vulnerabilidad en los routers WiFi con WPS, pero al escanear redes me di cuenta que al menos la mitad de mis vecinos seguían usando redes WiFi con claves WEP.

WEP es algo así como "Wow Estoy Penetrable" porque es tan pero tan fácil reventar una red con WEP que me sorprende, es más, cambié mi trabajo de investigación, ya que lo de WPS es interesante pero a la vez lleva más tiempo, por recordar cómo era que se quebraban estas redes, así que a continuación les explico, de una forma educativa, cómo se hace y cómo evitarlo.

Pero no es la única forma, resulta que muchos pasan al modo más seguro WPA2, hasta ahí todo perfecto pero resulta que casi todos los routers, para facilitar la conexión de múltiples equipos, tienen un pequeño protocolo llamado WPS que utiliza un PIN para conectarse.

Es decir, lograron hacer un protocolo fuerte para que venga un imbécil y le agregue un PIN y lo tire por la borda. Descubrir este pin es más fácil que WEP todavía y se los explico a continuación...

Recuerden que reventar las redes de vecinos es ilegal en algunos países, el nuestro ni siquiera tiene legislación al respecto, pero más aun hacer cagadas con la red de otro, lo ideal es hacer esto con el router propio, el nuestro, así aprendemos más y más rápido porque lo tenemos cerca y funciona todo lo que intentamos.

Primero que nada ¿qué es WEP?
WEP significa Wired Equivalent Privacy, es un protocolo de "seguridad" para las redes WiFi del estándar 802.11 creado en 1999, nótese la época, con la idea de brindarle cierta privacidad a las comunicaciones inalámbricas con claves hexadecimales de 10 a 26 dígitos.

Al notar la enorme cantidad de fallas en 2003 nació el WPA y en 2004 WPA2, mucho más seguros (aunque también con sus fallas) y la IEEE declaró WEP-40 y WEP-104 como obsoletos por lo inseguros que son.

El tema es que la mayoría de los routers más o menos viejitos siguen ofreciendo WEP como la primer opción de seguridad y WPA2 como una opción más extravagante y para paranoides. Nada más alejado de la realidad, WEP es un colador.

Crackeando WEP
La idea detrás del crackeo es sencilla, hay que capturar paquetes de datos que no estaban dedicados a vos, sino a otra PC en el entorno a atacar, no importa, vamos a robarnos esos paquetitos que vuelan por el aire y usarlos para comparar y reventar la clave.

Al ser un método de comparación de claves y paquetes lo importante no es probar por fuerza bruta una clave, algo que se puede hacer para todo tipo de encripción, no, aquí ni necesitamos un diccionario, tan sólo capturamos paquetes que envía el router y los coleccionamos en un archivo, luego el crackeo se hace con esos datos capturados y, si tenemos suerte, recuperamos una clave.

Como notarán es bastante boludo el método porque no require grandes instalaciones, de hecho, desempolvé mi vieja Asus EEE 701, la netbook más viejita que hay, todavía funciona y la tengo con un Debian Wheezy y LXDE funcionando perfectamente, total la idea era ponerla en el balcón de casa a capturar paquetes y eso hice.

A diferencia de otro tipo de crackeos más serios, donde hay que realizar muchos mayores cálculos o comparar con listas gigantes, aquí hay cierto procesamiento pero puedo tranquilamente tomar el archivo dump y procesarlo en mi notebook más grande o, en tal caso, en mi desktop que es mucho más poderosa todavía, así que como "capturador" es genial, una netbook que ni se usa ahora con un nuevo fin.
Lo necesario
Les recuerdo que este no es un tutorial sobre cómo crackear redes, tan sólo doy ejemplos que "posiblemente" no funcionen perfectamente bien y tengan que investigar un poco más si lo suyo es andar colgándose de la red del vecino.

Lo principal para hacer este tipo de cosas es saber si nuestra placa de red soporta el modo de monitoreo, cuando era más joven les gustaba decir "modo promiscuo", esto significa cambiar el comportamiento de la placa de red para que reciba y escuche todo lo que vuela por el aire y así poder analizarlo.

No voy a escribir aquí listados ni responder preguntas sobre si tu placa sirve, no es el objetivo de este post ponerse a hackear vecinos. Es más, lo armo sólo para Linux porque es lo más lógico.

El programa principal necesario es aircrack-ng, fácilmente instalable si tienen los repositorios adecuados, en ubuntu ya viene disponible, en debian hay que agregar un repo de backports en el sources.list, otra opción es compilarlo, vamos con lo ya testeado:

apt-get install aircrack-ng


o si usan un Fedora/RedHat

yum -y install aircrack-ng


Terminales y monitoreo
Este es un juego que se sirve mejor con múltiples terminales, por lo general podemos abrir cuatro tabs al mismo tiempo, en una monitorearemos redes para elegir el objetivo, en otra directamente la dejaremos de monitor, otra tiraremos paquetes para acelerar el proceso y en la cuarta procesaremos el material recibido. Obviamente se puede hacer con menos pero me gusta ser ordenado.

Pero lo primero es lo principal: pasar al modo monitoreo. Una vez instalado AirCrack podemos empezar:

airmon-ng start wlan0


supongo que ya saben cuales son sus interfaces de red, sino un iwconfig y listo, wlan0 es habitualmente la que se utiliza, notarán que "aparece" mon0, seguramente nos avisa de alguna que otra complicación con otras aplicaciones que se esten ejecutando en ese mismo momento y que podrían cortar el monitoreo.



Luego pasamos a buscar un red que queremos como objetivo, simple, espiamos todo el espectro, como es obvio podemos llegar a encontrar más redes de las que queremos, así que nos toca filtrar un poco, el parámetro --encrypt WEP es justamente para dejar solamente lo que nos interesa en este caso, podemos usar WPA2 si estamos atacando esas redes o simplemente no usar el parámetro y ver todas. El programa te ordena de mejor a peor señal.

airodump-ng mon0 --encrypt WEP




Como se ve en la captura de pantalla al menos dos de las redes de mis vecinos fueron instaladas así por dos ISP, no les importó demasiado o la instalaron hace mucho tiempo, lo cierto es que nadie les cambió el método de seguridad nunca.

De aquí obtenemos fácilmente la MAC de cada red, podemos elegir como objetivo una que tenga buena señal (PWR medido en dB)

Ahora llega el momento de juntar la información que está dando vueltas por el aire, esto es independiente a lo demás que hagamos, abrimos una terminal para ello y ejecutamos:

airodump-ng -c 6 -w data-capture mon0 --encrypt WEP


Aquí tres detalles, el -c 6 es el canal, cada WiFi va por un canal, en la pantalla anterior tenían los canales en los que se transmite (CH), el más común es el 6, pero pueden ser 11 distintos, el data-capture es el archivo donde guardaremos el "dump" de datos a analizar y el --encrypt WEP es para sólo capturar lo de redes WEP y dejar afuera las WPA.



Como notarán no hay mucha diferencia con la pantalla anterior pero en este caso estamos capturando los datos en data-capture-01.cap y seguirá así por un rato, cada vez que vean que #DATA crece es que estan recibiendo "algo" de allí, lo que es bueno porque estamos capturando información que luego será útil.

Podemos asociar nuestra MAC con el objetivo, por ejemplo:

aireplay-ng -1 0 -a {objetivo} -h 00:11:22:33:EE:FF




Para acelerar el proceso se le puede simular al router que nos queremos conectar y esto genera "conversación", el truco es sencillo, a generar tráfico, hay otras dos formas:

aireplay-ng -3 -b {objetivo} -h 00:11:22:33:EE:FF mon0


aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b {objetivo} mon0




Las MAC que pusen son ficticias pero básicamente la primera es la del router y la segunda es la nuestra, esto empezará a "conversar" entre router y placa de red. Tengan en cuenta que muchos routers estan preparados para "atajar" ciertos ataques y no responden demasiado, otro tema es la calidad de señal, si ésta es baja no podrán capturar muchos paquetes de datos y se pierde la idea.

¿Cuando estamos listos? Bueno, es difícil saberlo, depende de la cantidad de IVs que estemos recibiendo, más o menos con unos 20.000 registros podemos crackear la clave en apenas unos diez segundos o menos, depende el procesador, claro. Pero con pocos IVs podemos tardar bastante más. No se desesperen, este es un trabajo de paciencia así que tranquilamente pueden dejar la PC monitoreando todo un día y luego ver cuanto capturaron.

Para empezar el proceso de crackeo simplemente ejecutamos:

aircrack-ng -z data-capture-01.cap


El AirCrack nos permitirá elegir entre varias redes, elegimos nuestro objetivo y listo, empieza el trabajo duro del procesador.

¿Cómo alcanzamos a descubrir una clave? bueno, es difícil saberlo, cuantas más interacciones hay entre nuestro equipo y el router e interceptemos más señalización mejor, podemos tener unas 5.000 IV y lograr descubrir la clave, pero podemos haber estado trabajando un par de días y tener 20.000 o hasta 40.000 y seguir sin poder calcular.

La aplicación nos irá diciendo si pudo o no, paciencia, mucha paciencia.

WPS el otro gran problema
Ahora bien, supongamos que optamos por WPA2, un protocolo mucho más seguro y el recomendado para mantener las redes relativamente seguras.

A alguien se le ocurrió que sería buena idea agregarle una opción para conectar fácilmente equipos en casa, un botoncito en el router que dice WPS, acrónimo de "Weno Perforemos la Seguridad" :D porque básicamente es un pin de 8 caracteres. Si, claves enormes de muchos bits y estos tipos le pusieron 8 malditos bytes.

¿Sólo 8 bytes? bueno, son como cien millones de combinaciones, pero no, lo hicieron peor todavía, está dividida en dos segmentos, uno de cuatro, otro de tres y un byte de paridad, por ende sólo hay que descular las primeras 10.000 y luego las otras mil, tenemos hasta un byte de paridad ¡que conveniente!

Así es, te esmeraste en configurar tu red y un flaco con una buena placa de red WiFi te puede invadir la red tan sólo con un par de horitas de trabajo automatizado. Esta vulnerabilidad se descubrió por 2011 y todavía se venden muchos routers con este problemita.

En este caso se usan las mismas aplicaciones más "reaver" que es una pequeña app que complementa a AirCrack. También se consigue en repositorios aunque la app en sí no es muy eficiente, no es que haga falta pero es de fallar bastante.

Obviamente tenemos que saber qué router utiliza WPS, no todos te lo anuncian con bombos y platillos y no todos los WPS estan con el PIN activo, hay otra aplicación para rastrearlos:

wash -i mon0 -C


Pero no siempre funciona, por ende decidí atacar mi propio router para acelerar el proceso, aquí encontramos varias soluciones interesantes en reaver para hacer más eficiente el trabajo. Podemos elegir la MAC de la máquina objetivo igual que en el caso anterior o usando wash, en tal caso es un número de MAC y un canal de radio lo que tenemos que tener en cuenta

reaver -b 00:11:22:33:44:55 -d 30 -x 3 -S -w -vv -c 8 -i mon0


Aquí varias aclaraciones. Muchos routers actualizados tienen protección contra los numerosos intentos de PIN, por ende si se ingresa uno erróneo simplemente se bloquea por varios minutos haciendo imposible el hackeo salvo que dispongan de varios meses de tiempo y una PC al pedo encendida todo el día.



El parámetro -d es justamente el delay entre cada intento, podemos tardar un máximo de 10.000 x 30 segundos y eso nos da unos 3-4 días sin parar, claro, puede ser muy aburrido, pero de esta forma evitamos que nos bloquee el router.

Si tenemos suerte éste no nos bloqueará y podemos reducir el valor de -d hasta 10 segundos o 6 segundos si estamos jugados. Mi router está desactualizado así que no bloquea nada, te deja atacarlo a razón de un PIN cada 7-8 segundos.

Una vez detectado un PIN te lo mostrará en pantalla y listo, toda la clave WPA2 al pedo, con este método te entraron a la red sin esfuerzo ¿3-4 días? si tu vecino tiene paciencia, entra como quiere.

¿Solución? desactivar WPS ya que no conozco a nadie que lo haya utilizado jamás, es una de esas opciones que nunca tuvieron éxito pero que quedó, nadie jamás le da al botoncito de configuración rápida, es mucho más fácil y seguro tener un cartel de neón con la clave que el WPS.


Distros dedicadas
Desde ya que este método que les presenté es el "manual" pero hay otros automatizados mucho más eficientes, hasta se venden "cajitas" de hackeo de redes, muy copadas por cierto.

Hay un par de distros preparadas especialmente para esta faena, como no tenía ganas de instalar de nuevo algo en mi netbook preferí dejarlas pasar aunque realmente son muy cómodas y perfectamente preparadas para "Script Kiddies" que quieren hacerse de una conexión a internet gratuita.

Recordemos que la idea original de estas distros son los tests de penetración, no robarle internet a otra persona, algo que es realmente boludo, trabajá y pagate tu propia conexión, vago.

Kali es una excelente distro muy actualizada, es la evolución de BackTrack, la otra distro, en español, es WifiWay/WifiSlax que para los recontra vagos ya tiene videos tutoriales en español, más script kiddie que esa distro no hay.


Conclusión
Obviamente me interesaba explicarlo paso a paso para que se entienda qué se hace, no sólo tirar un script cómodo, y así entender lo vulnerable que es la red que creías segura.

Yo he sido más cabeza que nunca a veces, por ejemplo tuve mi red sin clave durante mucho tiempo, así, liberada para todos, así cuando venía alguien a casa se podía colgar sin problemas.

Luego opté por filtrar por dirección MAC, algo que es también relativamente sencillo de romper justamente capturando paquetes, identificando el MAC del cliente y luego cambiando el MAC de tu propia placa de red (con MacChanger por ejemplo), listo, te hacés pasar por la notebook del otro.

La mejor opción es WPA2 pero he aquí el tema que mencioné al principio: WPS, el famoso botoncito de logueo rápido es una trampa, es más inseguro que el WEP, así que sí o sí cuando instalen un router WiFi desactívenle el WPS y utilicen WPA2 como encripción. WEP es un colador.

Ahora ya estan avisados, no habrá hacker hogareño que pueda entrar en sus redes si evitan estos dos protocolos desactualizados, ni WEP ni WPS deberían estar activos en sus routers y si el mismo no les deja desactivar WPS seguramente hay un Firmware más moderno que deberá ser instalado: se los recomiendo.

Para no desesperar vale saber que mientras el atacante no tenga buena señal estan bastante seguros, pero armar una antena direccional es extremadamente sencillo. Con un poco de maña y sabiendo donde vive nuestro objetivo podemos amplificar la señal y obtener una cantidad considerable de ancho de banda para los ataques.

Entonces aun si hoy se sienten seguros nunca está de más revisar la configuración para evitar el riesgo innecesario.

Por Fabio Baccaglioni

Tomado de: http://www.fabio.com.ar/5833

No hay comentarios: