El rincón de Kenobi

Este es otro de los miles de tutoriales que circulan por la web para el crackeo wifi. Voy a intentar hacerlo lo más práctico posible:

Necesitaremos:

- Una distribución Linux (como Kubuntu por ejemplo)

- Una tarjeta wifi con chipset compatible con Kismet, que pueda funcionar el modo monitor (mirar lista de tarjetas compatibles, sección Capture sources) y que también sea compatible con Aircrack-ng (Airodump-ng y Aireplay-ng) (mirar lista de compatibilidades)

- Kismet, un sniffer inalámbrico para detectar redes

- Aircrack-ng, conjunto de utilidades para la captura de paquetes (Airodump-ng),ataque por desautenticación, falsa autenticación y reinyección de peticiones arp(Aireplay-ng) y crackeo de paquetes (Aircrack-ng)

Instalando y configurando Kismet:

No voy a entrar en profundidades, pero básicamente funcionaría bajándonos el paquete, descomprimiéndolo a una carpeta e instalándolo(como root). Debemos de tener instalado los compiladores necesarios (sudo apt-get install build-essential) y tener al día las cabeceras del kernel (sudo apt-get install linux-headers)

Una vez instalado,configuraramos Kismet; para ello editamos /usr/local/etc/kismet.conf

Tan sólo deberemos de editar dos parámetros dentro de este fichero: suiduser= Nombre_usuario y source=tipo_de_chipset,tarjeta_de_red,nombre.

Mi configuración por ejemplo queda así:

suiduser=kenobimanu

source=prism54g,eth1,kismet

En la segunda línea se indica el chipset (se puede consultar en la lista anteriormente mencionada), el nombre de mi tarjeta wireless y nombre servidor (siempre por kismet).

Instalando Aircrack-ng:

Antes de instalar Aircrack-ng, vamos a instalar los drivers para nuestra tarjeta: en este enlace vienen los diferentes chipsets soportados y como instalar sus drivers paso a paso.

A continuación bajamos el paquete lo descomprimimos y..

Descubriendo redes :

Ejecutamos kismet (como root)

Nos aparece la interface de Kismet; podremos observar las redes detectadas con un código de colores: verde encriptada, amarillo abierta. Con H vemos la ayuda, podemos pulsar la S para odenar las redes detectadas; al pulsarla nos da la opción de elegir el orden. Con may+p ordenamos las redes por número de paquetes capturados.

Ya tenemos ordenadas las redes por paquetes. Ahora vamos a investigarlas. Pulsando i sobre cualquier red obtenemos toda su información disponible. Pulsando C obtenemos la lista de interfaces conectadas a dicha red.

Cuando hayamos decidido nuestra presa debemos de realizar una tarea importantísima: bloquear el canal; Kismet va saltando de canal en canal intentando detectar redes. Cuando hayamos decidido que red queremos intentar abrir debemos de ponermos encima de ella y pulsar may + L, con eso bloqueamos Kismet para que sólo se
fije en ese canal.

Capturando con Aircrack-ng:

Para ello usamos Airodump-ng, para que capure los paquetes de la red que hemos elegido

Con esto le estamos diciendo que sólo capture paquetes IVs (los únicos que valen para la obtención de la contraseña) ; que escriba en un archivo que se llamará prueba.ivs; que capture sólo por el canal 1 ,en este caso, y que use la tarjeta eth1.

Atacando:

Es evidente que a menos que la red que hayamos elegido tenga mucho tráfico, no se generaran paquetes IVs necesarios para poder crackear la contraseña. Nos podemos encontrar redes con muy buena señal pero sin gente conectada, con lo que no nos bastaría. La clave de todo esto es el tráfico; el tráfico genera paquetes; los paquetes fluyen y entre esos paquetes puede haber o no paquetes IVs. Con lo que si no hay tráfico tendremos que generarlo nosotros.Existen gracias a Aireplay-ng 5 tipos de ataques, yo voy basar el ataque en tan sólo 3 de ellos:

Ataque 0 – Desautenticación

Ataque 1 – Falsa Autenticación

Ataque 3 – Reinyección de peticiones ARP

Ataque 0 Desautenticación:

Este ataque lo que hace es generar tráfico ARP al desconectar a todos los cientes de una red ( o a uno en particular), provocando que los clientes se tengan que volver a reautenticar generando tráfico. Este ataque no sirve de nada si no hay clientes conectados.

El valor 5 indica que se ejecutará el ataque 5 veces. Para que el ataque sea infinito poner 0.-a nos indica el BSSID de la red; la “mac” del dispositivo. Con la opción -a le indicamos el bbsid de la red y opcionalmente con -c podemos indicarle la mac de uno de los clientes que esten conectados. Esta última opción nos servirá en conjunto con el ataque 1 como veremos a continuación. Este ataque es muy útil para averiguar el ESSID de una red con el ESSID oculto.

Ataque 1 Falsa autenticación

Como hemos visto antes la base de todo este proceso es capturar el tráfico. Sino lo hay porque no hay nadie conectado a la red, lo tendremos que generar. En esto consiste este ataque, en generar tráfico: creamos un falso cliente con una mac falsa que se va a registrar en la red.

El 0 indica que se ejecutará el ataque una sola vez, si lo sustituimos por un valor como 30 , intentará la autenticación cada 30 segundos. Con la opción -e le indicamos el ESSID, es decir el nombre de la red; con -a le indicamos el BSSID, es decir la dirección física de la red, y con -h le indicamos la dirección mac con la que nos vamos a asociar, una falsa mac. Si todo ha ido bien aparecerá una línea como esta: Association successful

Si no se lleva a cabo la asociación puede ser por varios motivos:

- La distancia, puede que estemos lejos de la red con lo que le cuesta asociarse. Podemos intentar bajar la velocidad de la tarjeta con sudo iwconfig nombre_tarjeta rate 1M. Debido a esto puede que el ataque no se termine de ejecutar: si habiamos usado la opción 0 puede que se llegue a ejecutar, pero si hubiéramos usados un valor distinto como 30 por ejemplo, puede que el ataque se empiece a ejecutar, se realice la autenticación pero no se vuelva a reautenticar al cabo del tiempo estipulado por lo que nos quedamos sin reinyección. Una forma de solucionar esto sería crearnos un simple script que estuviese ejecutando el ataque continuamente de forma q si falla por la distancia volviese a intentarlo repetidamente:

j=0
while [ $j -ge 0 ]; do
sudo aireplay-ng -1 0 -e casa -a 00:14:F8:51:81:B7 -h 00:11:22:33:44:55 eth1
j=$[$j+1]
done

- Puede haber habilitado un filtrado mac, con lo que va a ser más dificíl abrir la red. En el que caso de que hubiese clientes conectados, tendríamos que fijarnos en esas direcciones mac (en Kismet con la opción c sobre cualquier red), echarlos de la red con el ataque 0, y asociarnos con esa mac con el ataque 1. Es muy descarado este ataque, ya que dejamos sin red a nuestra victima pero si el cliente no esta en casa o no se da cuenta es una manera que funciona.

Si por el contrario no hay clientes conectados, al no poder suplantarlos y no poder asociar una mac falsa nos quedamos sin recursos para el ataque. Podríamos investigar el modelo de router, alguna vulnerabilidad conocida…pero eso es otra historia.

Ataque 3 Reinyección de paquetes ARP

Si nos fijamos bien en el Airodump-ng que estamos ejecutando veremos que estamos capturando paquetes a una velocidad no muy rápida. Nos aparece la columna beacons y la columna data; esta última es la que nos interesa pues van a ser los paquetes que contienen IVs necesarios para nuestra labor. Si tuviesemos que depender del tráfico generado por el cliente de la red o por la desauntenticaciones generada por nosotros con el Ataque 0, nos moriríamos esperando. Para eso lo que hacemos es usar el ataque 3:

La metodología es muy sensilla lo que vamos a hacer es capturar una serie de paquetes válidos (Peticiones ARP) con el ataque 0 o ataque 1 y enseguida poner en marchar el ataque 3 que lo único que va a hacer es recoger esos paquetes capturados, multiplicándolos y reinyectándolos sobre la red

Con -b le indicamos el BSSID de la red; con -h la dirección mac, que puede ser una mac de un cliente que este asociado a la red o una mac falsa (Ataque 1) asociada por nosotros, que siempre nos puede dar mejores resultados; con -x le indicamos el número de paquetes por segundo.

Cuando empecemos este ataque, siempre inmediatamente precedido de ataque 1 sobre todo, observeramos que un minuto o menos empieza a reinyectar paquetes. Nos debemos de fijar en la cifra entre paréntesis para estar seguro de que estamos reinyectando, y observar como la columna data va aumentando su número de manera veloz.

Necesitaremos cerca de 1.000.000 -1.500.000 de paquetes para una clave de 128 bits y unos 300.000 – 400.000 para una de 64 bits. Estas cifras no son nunca exactas. Yo mismo he estado abriendo redes que necesitaron 2.100.000 paquetes.

Encontrando la clave

Ya lo único que nos falta es poner en marcha el Aircrack-ng para que nos averigua la clave.

Yo suelo usar esta configuración de opciones, y me suele resultar bastante rápido. Aquí le indicamos con -a el tipo de encriptación, en nuestro caso 1:WEP; con -n le indicamos el tipo de encriptación 128 bits, 64 bits… Nunca puedes saber que tipo de encriptación esta habilitada pero suele ponerse en la mayoría de los casos 128 bits; con -f le indicamos el nivel de fuerza bruta que queremos , en este caso 2. Y por último el nombre del archivo capturado por Airodump. Ahora tan sólo nos faltará esperar (40-50 min para 128 bits, si todo va bien) para que nos muestre la clave

Posts relacionados:

• Campus Party 2009: taller seguridad wifi
• [Truco] Desactivar módulo BCM43xx en Kubuntu 6.06
• [Hack] Cómo usar la fonera como punto de acceso wifi
• iWepLite: auditoría wifi para el Iphone
• Fonera 2.0