Durante la semana pasada me puse a testear una vulnerabilidad en los
routers WiFi con WPS, pero al escanear redes me di cuenta que al menos
la mitad de mis vecinos seguían usando redes WiFi con claves WEP.
WEP es algo así como "Wow Estoy Penetrable" porque es tan pero tan fácil reventar una red con WEP que me sorprende, es más, cambié mi trabajo de investigación, ya que lo de WPS es interesante pero a la vez lleva más tiempo, por recordar cómo era que se quebraban estas redes, así que a continuación les explico, de una forma educativa, cómo se hace y cómo evitarlo.
WEP es algo así como "Wow Estoy Penetrable" porque es tan pero tan fácil reventar una red con WEP que me sorprende, es más, cambié mi trabajo de investigación, ya que lo de WPS es interesante pero a la vez lleva más tiempo, por recordar cómo era que se quebraban estas redes, así que a continuación les explico, de una forma educativa, cómo se hace y cómo evitarlo.
Pero no es la única forma, resulta que muchos pasan al modo más seguro
WPA2, hasta ahí todo perfecto pero resulta que casi todos los routers,
para facilitar la conexión de múltiples equipos, tienen un pequeño
protocolo llamado WPS que utiliza un PIN para conectarse.
Es decir, lograron hacer un protocolo fuerte para que venga un imbécil y le agregue un PIN y lo tire por la borda. Descubrir este pin es más fácil que WEP todavía y se los explico a continuación...
Recuerden que reventar las redes de vecinos es ilegal en algunos países, el nuestro ni siquiera tiene legislación al respecto, pero más aun hacer cagadas con la red de otro, lo ideal es hacer esto con el router propio, el nuestro, así aprendemos más y más rápido porque lo tenemos cerca y funciona todo lo que intentamos.
Es decir, lograron hacer un protocolo fuerte para que venga un imbécil y le agregue un PIN y lo tire por la borda. Descubrir este pin es más fácil que WEP todavía y se los explico a continuación...
Recuerden que reventar las redes de vecinos es ilegal en algunos países, el nuestro ni siquiera tiene legislación al respecto, pero más aun hacer cagadas con la red de otro, lo ideal es hacer esto con el router propio, el nuestro, así aprendemos más y más rápido porque lo tenemos cerca y funciona todo lo que intentamos.
Primero que nada ¿qué es WEP?
WEP significa Wired Equivalent Privacy, es un protocolo de "seguridad"
para las redes WiFi del estándar 802.11 creado en 1999, nótese la época,
con la idea de brindarle cierta privacidad a las comunicaciones
inalámbricas con claves hexadecimales de 10 a 26 dígitos.
Al notar la enorme cantidad de fallas en 2003 nació el WPA y en 2004 WPA2, mucho más seguros (aunque también con sus fallas) y la IEEE declaró WEP-40 y WEP-104 como obsoletos por lo inseguros que son.
El tema es que la mayoría de los routers más o menos viejitos siguen ofreciendo WEP como la primer opción de seguridad y WPA2 como una opción más extravagante y para paranoides. Nada más alejado de la realidad, WEP es un colador.
Al notar la enorme cantidad de fallas en 2003 nació el WPA y en 2004 WPA2, mucho más seguros (aunque también con sus fallas) y la IEEE declaró WEP-40 y WEP-104 como obsoletos por lo inseguros que son.
El tema es que la mayoría de los routers más o menos viejitos siguen ofreciendo WEP como la primer opción de seguridad y WPA2 como una opción más extravagante y para paranoides. Nada más alejado de la realidad, WEP es un colador.
Crackeando WEP
La idea detrás del crackeo es sencilla, hay que capturar paquetes de
datos que no estaban dedicados a vos, sino a otra PC en el entorno a
atacar, no importa, vamos a robarnos esos paquetitos que vuelan por el
aire y usarlos para comparar y reventar la clave.
Al ser un método de comparación de claves y paquetes lo importante no es probar por fuerza bruta una clave, algo que se puede hacer para todo tipo de encripción, no, aquí ni necesitamos un diccionario, tan sólo capturamos paquetes que envía el router y los coleccionamos en un archivo, luego el crackeo se hace con esos datos capturados y, si tenemos suerte, recuperamos una clave.
Como notarán es bastante boludo el método porque no require grandes instalaciones, de hecho, desempolvé mi vieja Asus EEE 701, la netbook más viejita que hay, todavía funciona y la tengo con un Debian Wheezy y LXDE funcionando perfectamente, total la idea era ponerla en el balcón de casa a capturar paquetes y eso hice.
Al ser un método de comparación de claves y paquetes lo importante no es probar por fuerza bruta una clave, algo que se puede hacer para todo tipo de encripción, no, aquí ni necesitamos un diccionario, tan sólo capturamos paquetes que envía el router y los coleccionamos en un archivo, luego el crackeo se hace con esos datos capturados y, si tenemos suerte, recuperamos una clave.
Como notarán es bastante boludo el método porque no require grandes instalaciones, de hecho, desempolvé mi vieja Asus EEE 701, la netbook más viejita que hay, todavía funciona y la tengo con un Debian Wheezy y LXDE funcionando perfectamente, total la idea era ponerla en el balcón de casa a capturar paquetes y eso hice.
A diferencia de otro tipo de crackeos más serios, donde hay que
realizar muchos mayores cálculos o comparar con listas gigantes, aquí
hay cierto procesamiento pero puedo tranquilamente tomar el archivo dump
y procesarlo en mi notebook más grande o, en tal caso, en mi desktop
que es mucho más poderosa todavía, así que como "capturador" es genial,
una netbook que ni se usa ahora con un nuevo fin.
Lo necesario
Les recuerdo que este no es un tutorial sobre cómo crackear redes, tan
sólo doy ejemplos que "posiblemente" no funcionen perfectamente bien y
tengan que investigar un poco más si lo suyo es andar colgándose de la
red del vecino.
Lo principal para hacer este tipo de cosas es saber si nuestra placa de red soporta el modo de monitoreo, cuando era más joven les gustaba decir "modo promiscuo", esto significa cambiar el comportamiento de la placa de red para que reciba y escuche todo lo que vuela por el aire y así poder analizarlo.
Lo principal para hacer este tipo de cosas es saber si nuestra placa de red soporta el modo de monitoreo, cuando era más joven les gustaba decir "modo promiscuo", esto significa cambiar el comportamiento de la placa de red para que reciba y escuche todo lo que vuela por el aire y así poder analizarlo.
No voy a escribir aquí listados ni responder preguntas sobre si tu placa
sirve, no es el objetivo de este post ponerse a hackear vecinos. Es
más, lo armo sólo para Linux porque es lo más lógico.
El programa principal necesario es aircrack-ng, fácilmente instalable si tienen los repositorios adecuados, en ubuntu ya viene disponible, en debian hay que agregar un repo de backports en el sources.list, otra opción es compilarlo, vamos con lo ya testeado:
El programa principal necesario es aircrack-ng, fácilmente instalable si tienen los repositorios adecuados, en ubuntu ya viene disponible, en debian hay que agregar un repo de backports en el sources.list, otra opción es compilarlo, vamos con lo ya testeado:
apt-get install aircrack-ng
o si usan un Fedora/RedHat
yum -y install aircrack-ng
Terminales y monitoreo
Este es un juego que se sirve mejor con múltiples terminales, por lo
general podemos abrir cuatro tabs al mismo tiempo, en una monitorearemos
redes para elegir el objetivo, en otra directamente la dejaremos de
monitor, otra tiraremos paquetes para acelerar el proceso y en la cuarta
procesaremos el material recibido. Obviamente se puede hacer con menos
pero me gusta ser ordenado.
Pero lo primero es lo principal: pasar al modo monitoreo. Una vez instalado AirCrack podemos empezar:
Pero lo primero es lo principal: pasar al modo monitoreo. Una vez instalado AirCrack podemos empezar:
airmon-ng start wlan0
supongo que ya saben cuales son sus interfaces de red, sino un iwconfig y
listo, wlan0 es habitualmente la que se utiliza, notarán que "aparece"
mon0, seguramente nos avisa de alguna que otra complicación con otras
aplicaciones que se esten ejecutando en ese mismo momento y que podrían
cortar el monitoreo.
Luego pasamos a buscar un red que queremos como objetivo, simple,
espiamos todo el espectro, como es obvio podemos llegar a encontrar más
redes de las que queremos, así que nos toca filtrar un poco, el
parámetro --encrypt WEP es justamente para dejar solamente lo que nos
interesa en este caso, podemos usar WPA2 si estamos atacando esas redes o
simplemente no usar el parámetro y ver todas. El programa te ordena de
mejor a peor señal.
airodump-ng mon0 --encrypt WEP
Como se ve en la captura de pantalla al menos dos de las redes de mis
vecinos fueron instaladas así por dos ISP, no les importó demasiado o la
instalaron hace mucho tiempo, lo cierto es que nadie les cambió el
método de seguridad nunca.
De aquí obtenemos fácilmente la MAC de cada red, podemos elegir como objetivo una que tenga buena señal (PWR medido en dB)
Ahora llega el momento de juntar la información que está dando vueltas por el aire, esto es independiente a lo demás que hagamos, abrimos una terminal para ello y ejecutamos:
De aquí obtenemos fácilmente la MAC de cada red, podemos elegir como objetivo una que tenga buena señal (PWR medido en dB)
Ahora llega el momento de juntar la información que está dando vueltas por el aire, esto es independiente a lo demás que hagamos, abrimos una terminal para ello y ejecutamos:
airodump-ng -c 6 -w data-capture mon0 --encrypt WEP
Aquí tres detalles, el -c 6 es el canal, cada WiFi va por un canal, en
la pantalla anterior tenían los canales en los que se transmite (CH), el
más común es el 6, pero pueden ser 11 distintos, el data-capture es el
archivo donde guardaremos el "dump" de datos a analizar y el --encrypt
WEP es para sólo capturar lo de redes WEP y dejar afuera las WPA.
Como notarán no hay mucha diferencia con la pantalla anterior pero en
este caso estamos capturando los datos en data-capture-01.cap y seguirá
así por un rato, cada vez que vean que #DATA crece es que estan
recibiendo "algo" de allí, lo que es bueno porque estamos capturando
información que luego será útil.
Podemos asociar nuestra MAC con el objetivo, por ejemplo:
Podemos asociar nuestra MAC con el objetivo, por ejemplo:
aireplay-ng -1 0 -a {objetivo} -h 00:11:22:33:EE:FF
Para acelerar el proceso se le puede simular al router que nos queremos
conectar y esto genera "conversación", el truco es sencillo, a generar
tráfico, hay otras dos formas:
aireplay-ng -3 -b {objetivo} -h 00:11:22:33:EE:FF mon0
aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b {objetivo} mon0
Las MAC que pusen son ficticias pero básicamente la primera es la del
router y la segunda es la nuestra, esto empezará a "conversar" entre
router y placa de red. Tengan en cuenta que muchos routers estan
preparados para "atajar" ciertos ataques y no responden demasiado, otro
tema es la calidad de señal, si ésta es baja no podrán capturar muchos
paquetes de datos y se pierde la idea.
¿Cuando estamos listos? Bueno, es difícil saberlo, depende de la cantidad de IVs que estemos recibiendo, más o menos con unos 20.000 registros podemos crackear la clave en apenas unos diez segundos o menos, depende el procesador, claro. Pero con pocos IVs podemos tardar bastante más. No se desesperen, este es un trabajo de paciencia así que tranquilamente pueden dejar la PC monitoreando todo un día y luego ver cuanto capturaron.
¿Cuando estamos listos? Bueno, es difícil saberlo, depende de la cantidad de IVs que estemos recibiendo, más o menos con unos 20.000 registros podemos crackear la clave en apenas unos diez segundos o menos, depende el procesador, claro. Pero con pocos IVs podemos tardar bastante más. No se desesperen, este es un trabajo de paciencia así que tranquilamente pueden dejar la PC monitoreando todo un día y luego ver cuanto capturaron.
Para empezar el proceso de crackeo simplemente ejecutamos:
aircrack-ng -z data-capture-01.cap
El AirCrack nos permitirá elegir entre varias redes, elegimos nuestro objetivo y listo, empieza el trabajo duro del procesador.
¿Cómo alcanzamos a descubrir una clave? bueno, es difícil saberlo, cuantas más interacciones hay entre nuestro equipo y el router e interceptemos más señalización mejor, podemos tener unas 5.000 IV y lograr descubrir la clave, pero podemos haber estado trabajando un par de días y tener 20.000 o hasta 40.000 y seguir sin poder calcular.
La aplicación nos irá diciendo si pudo o no, paciencia, mucha paciencia.
¿Cómo alcanzamos a descubrir una clave? bueno, es difícil saberlo, cuantas más interacciones hay entre nuestro equipo y el router e interceptemos más señalización mejor, podemos tener unas 5.000 IV y lograr descubrir la clave, pero podemos haber estado trabajando un par de días y tener 20.000 o hasta 40.000 y seguir sin poder calcular.
La aplicación nos irá diciendo si pudo o no, paciencia, mucha paciencia.
WPS el otro gran problema
Ahora bien, supongamos que optamos por WPA2, un protocolo mucho más
seguro y el recomendado para mantener las redes relativamente seguras.
A alguien se le ocurrió que sería buena idea agregarle una opción para conectar fácilmente equipos en casa, un botoncito en el router que dice WPS, acrónimo de "Weno Perforemos la Seguridad" porque básicamente es un pin de 8 caracteres. Si, claves enormes de muchos bits y estos tipos le pusieron 8 malditos bytes.
¿Sólo 8 bytes? bueno, son como cien millones de combinaciones, pero no, lo hicieron peor todavía, está dividida en dos segmentos, uno de cuatro, otro de tres y un byte de paridad, por ende sólo hay que descular las primeras 10.000 y luego las otras mil, tenemos hasta un byte de paridad ¡que conveniente!
Así es, te esmeraste en configurar tu red y un flaco con una buena placa de red WiFi te puede invadir la red tan sólo con un par de horitas de trabajo automatizado. Esta vulnerabilidad se descubrió por 2011 y todavía se venden muchos routers con este problemita.
A alguien se le ocurrió que sería buena idea agregarle una opción para conectar fácilmente equipos en casa, un botoncito en el router que dice WPS, acrónimo de "Weno Perforemos la Seguridad" porque básicamente es un pin de 8 caracteres. Si, claves enormes de muchos bits y estos tipos le pusieron 8 malditos bytes.
¿Sólo 8 bytes? bueno, son como cien millones de combinaciones, pero no, lo hicieron peor todavía, está dividida en dos segmentos, uno de cuatro, otro de tres y un byte de paridad, por ende sólo hay que descular las primeras 10.000 y luego las otras mil, tenemos hasta un byte de paridad ¡que conveniente!
Así es, te esmeraste en configurar tu red y un flaco con una buena placa de red WiFi te puede invadir la red tan sólo con un par de horitas de trabajo automatizado. Esta vulnerabilidad se descubrió por 2011 y todavía se venden muchos routers con este problemita.
En este caso se usan las mismas aplicaciones más "reaver" que es una
pequeña app que complementa a AirCrack. También se consigue en
repositorios aunque la app en sí no es muy eficiente, no es que haga
falta pero es de fallar bastante.
Obviamente tenemos que saber qué router utiliza WPS, no todos te lo anuncian con bombos y platillos y no todos los WPS estan con el PIN activo, hay otra aplicación para rastrearlos:
Obviamente tenemos que saber qué router utiliza WPS, no todos te lo anuncian con bombos y platillos y no todos los WPS estan con el PIN activo, hay otra aplicación para rastrearlos:
wash -i mon0 -C
Pero no siempre funciona, por ende decidí atacar mi propio router para
acelerar el proceso, aquí encontramos varias soluciones interesantes en
reaver para hacer más eficiente el trabajo. Podemos elegir la MAC de la
máquina objetivo igual que en el caso anterior o usando wash, en tal
caso es un número de MAC y un canal de radio lo que tenemos que tener en
cuenta
reaver -b 00:11:22:33:44:55 -d 30 -x 3 -S -w -vv -c 8 -i mon0
Aquí varias aclaraciones. Muchos routers actualizados tienen protección
contra los numerosos intentos de PIN, por ende si se ingresa uno erróneo
simplemente se bloquea por varios minutos haciendo imposible el hackeo
salvo que dispongan de varios meses de tiempo y una PC al pedo encendida
todo el día.
El parámetro -d es justamente el delay entre cada intento, podemos
tardar un máximo de 10.000 x 30 segundos y eso nos da unos 3-4 días sin
parar, claro, puede ser muy aburrido, pero de esta forma evitamos que
nos bloquee el router.
Si tenemos suerte éste no nos bloqueará y podemos reducir el valor de -d hasta 10 segundos o 6 segundos si estamos jugados. Mi router está desactualizado así que no bloquea nada, te deja atacarlo a razón de un PIN cada 7-8 segundos.
Una vez detectado un PIN te lo mostrará en pantalla y listo, toda la clave WPA2 al pedo, con este método te entraron a la red sin esfuerzo ¿3-4 días? si tu vecino tiene paciencia, entra como quiere.
¿Solución? desactivar WPS ya que no conozco a nadie que lo haya utilizado jamás, es una de esas opciones que nunca tuvieron éxito pero que quedó, nadie jamás le da al botoncito de configuración rápida, es mucho más fácil y seguro tener un cartel de neón con la clave que el WPS.
Si tenemos suerte éste no nos bloqueará y podemos reducir el valor de -d hasta 10 segundos o 6 segundos si estamos jugados. Mi router está desactualizado así que no bloquea nada, te deja atacarlo a razón de un PIN cada 7-8 segundos.
Una vez detectado un PIN te lo mostrará en pantalla y listo, toda la clave WPA2 al pedo, con este método te entraron a la red sin esfuerzo ¿3-4 días? si tu vecino tiene paciencia, entra como quiere.
¿Solución? desactivar WPS ya que no conozco a nadie que lo haya utilizado jamás, es una de esas opciones que nunca tuvieron éxito pero que quedó, nadie jamás le da al botoncito de configuración rápida, es mucho más fácil y seguro tener un cartel de neón con la clave que el WPS.
Distros dedicadas
Desde ya que este método que les presenté es el "manual" pero hay otros
automatizados mucho más eficientes, hasta se venden "cajitas" de hackeo
de redes, muy copadas por cierto.
Hay un par de distros preparadas especialmente para esta faena, como no tenía ganas de instalar de nuevo algo en mi netbook preferí dejarlas pasar aunque realmente son muy cómodas y perfectamente preparadas para "Script Kiddies" que quieren hacerse de una conexión a internet gratuita.
Recordemos que la idea original de estas distros son los tests de penetración, no robarle internet a otra persona, algo que es realmente boludo, trabajá y pagate tu propia conexión, vago.
Kali es una excelente distro muy actualizada, es la evolución de BackTrack, la otra distro, en español, es WifiWay/WifiSlax que para los recontra vagos ya tiene videos tutoriales en español, más script kiddie que esa distro no hay.
Hay un par de distros preparadas especialmente para esta faena, como no tenía ganas de instalar de nuevo algo en mi netbook preferí dejarlas pasar aunque realmente son muy cómodas y perfectamente preparadas para "Script Kiddies" que quieren hacerse de una conexión a internet gratuita.
Recordemos que la idea original de estas distros son los tests de penetración, no robarle internet a otra persona, algo que es realmente boludo, trabajá y pagate tu propia conexión, vago.
Kali es una excelente distro muy actualizada, es la evolución de BackTrack, la otra distro, en español, es WifiWay/WifiSlax que para los recontra vagos ya tiene videos tutoriales en español, más script kiddie que esa distro no hay.
Conclusión
Obviamente me interesaba explicarlo paso a paso para que se entienda qué
se hace, no sólo tirar un script cómodo, y así entender lo vulnerable
que es la red que creías segura.
Yo he sido más cabeza que nunca a veces, por ejemplo tuve mi red sin
clave durante mucho tiempo, así, liberada para todos, así cuando venía
alguien a casa se podía colgar sin problemas.
Luego opté por filtrar por dirección MAC, algo que es también
relativamente sencillo de romper justamente capturando paquetes,
identificando el MAC del cliente y luego cambiando el MAC de tu propia
placa de red (con MacChanger por ejemplo), listo, te hacés pasar por la
notebook del otro.
La mejor opción es WPA2 pero he aquí el tema que mencioné al principio:
WPS, el famoso botoncito de logueo rápido es una trampa, es más inseguro
que el WEP, así que sí o sí cuando instalen un router WiFi desactívenle
el WPS y utilicen WPA2 como encripción. WEP es un colador.
Ahora ya estan avisados, no habrá hacker hogareño que pueda entrar en
sus redes si evitan estos dos protocolos desactualizados, ni WEP ni WPS
deberían estar activos en sus routers y si el mismo no les deja
desactivar WPS seguramente hay un Firmware más moderno que deberá ser
instalado: se los recomiendo.
Para no desesperar vale saber que mientras el atacante no tenga buena
señal estan bastante seguros, pero armar una antena direccional es
extremadamente sencillo. Con un poco de maña y sabiendo donde vive
nuestro objetivo podemos amplificar la señal y obtener una cantidad
considerable de ancho de banda para los ataques.
Entonces aun si hoy se sienten seguros nunca está de más revisar la configuración para evitar el riesgo innecesario.
Por Fabio Baccaglioni
Tomado de: http://www.fabio.com.ar/5833
No hay comentarios:
Publicar un comentario