• Compa=bilidad de dichos cifrados con los adaptadores wireless.
• Seguridad de cada uno de los cifrados. Requisitos previos
• Adaptador wireless cuyo chipset entre en modo monitor (no confundir con modo promiscuo)
• Suite Aircrack-ng, Jazzteldecrypter, Wlandecrypter y Karmetasploit
• La mayoria de dichas herramientas se encuentran en BT4, Wifislax o Wifiway Cifrado WEP
• Cifrado inseguro
• Todos los adaptadores lo soportan
• Aún muy u=lizado por los usuarios Restr. MAC y DHCP desact.
• No son medidas de seguridad eficaces
• La restricción de MAC: solo permite auten=carse a un usuario con una MAC concreta
• DHCP desac=vado: hay que introducir los datos de IP, gateway, DNS… manualmente Bypass restr. MAC • Tan sencillo como u=lizar la de un usuario auten=cado y cambiarnos la nuestra con macchanger:
Bypass DHCP desactivado
• Capturamos el tráfico que pasa por el AP con Wireshark para ver alguna IP local de un cliente auten=cado. • Cambiamos nuestra IP a la auten=cada
• NOTA: dos usuarios pueden tener la misma MAC pero no la misma IP Cifrado WPA
• Cifrado seguro
• La mayoría de los adaptadores la soportan aunque no algunos an=guos
• Cada vez más u=lizado (aunque no bien u=lizado)
Optimización del tiempo • Muy importante ahorrar =empo en el proceso de verificación de la seguridad del AP a auditar
Let´s go • Ponemos nuestro adaptador en modo monitor:
Capturando paquetes • U=lizamos airodump-ng para capturar paquetes
Filtrando y guardando • Filtramos el AP a auditar con los comandos: § --bssid: Bssid del AP § -c :canal en el que emite el AP • Guardamos los paquetes: § -w
Wlandecrypter & Jazzteldecrypter • Crea diccionarios con los passwords por defecto de los APs en función de su ESSID Y BSSID (fuerza bruta) • Basta con capturar 4 datas para proceder al cracking
Aircrack-ng • Crackeador de contraseñas. • –w para cargar diccionario
Optimizacion del tiempo • Muy importante ahorrar =empo en el proceso de verificación de la seguridad del AP a auditar
Wep: a3+a0, ¡hay cliente! • Comprobamos que hay clientes auten=cados
• Inyectamos tráfico para aumentar los ivs/seg . . . ya que necesitamos cerca de 100.000 y recordad… op-mización del -empo.
... • Como tarda en inyectar y no queremos perder el =empo, (si, siempre con el maldito =empo) lanzamos un ataque de desauten=cación para forzar a inyectar cuando el cliente se reconecte al AP.
• Podemos lanzarlo contra todos los clientes o solo contra alguno en concreto (-c)
... Aplicamos aircrack a la captura • Cuando tengamos cerca de 70000 podemos probar si tenemos la contraseña. • ¿Aircrack-ng VS Aircrack-ptw?
Optimizacion del tiempo • Muy importante ahorrar =empo en el proceso de verificación de la seguridad del AP a auditar
WEP: A1 + a3 ¡no hay cliente! • Si no hay clientes conectados al AP lo que haremos será una falsa auten=ficación y posterior inyección.
• Recomendable cambiarnos la MAC a una fácil de recordar: macchanger –m 00:11:22:33:44:55 wlan0
• Si no conseguimos auten=ficarnos es bueno bajar el rate para tener mayor alcance: iwconfig wlan0 rate 1M
... . . . • Esperemos a que se produzca la inyección de paquetes y veremos como los datas empiezan a subir. • Cuando tengamos los suficientes datas simplemente u=lizamos el aircrack-ng/ptw para obtener la contraseña • Este proceso puede durar desde minutos hasta horas. ¿“Hasta HORAS” ?
• ¿Horas? ¿Y qué pasa con eso de op$mizar el =empo? • Ahí es donde intervienen los ataques chopchop y fragmentación WEP: Ataque chop-chop WEP: Fragmentacion • Aireplay-ng -5 –b MAC_AP –h NUESTRA_MAC wlan0
After frag & chop • Una vez que ya tenemos el archivo XOR resultante creamos con packe9orge un archivo ARP que inyectaremos
• packeoorge-ng -0 -a MAC_VICTIMA -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255.255 -y XOR.xor -w arp Inyectando arp “artesano” • Ahora que ya tenemos el arp “artesano” lo inyectaremos con la opción -2 de aireplay-ng Aplicamos aircrack a la captura • Cuando tengamos cerca de 70000 podemos probar si tenemos la contraseña. • ¿Aircrack-ng VS Aircrack-ptw?
Optimización del tiempo • Muy importante ahorrar =empo en el proceso de verificación de la seguridad del AP a auditar
WPA: Tkiptun-ng • Tkiptun-ng es una u=lidad experimental que intenta romper el cifrado WPA con encriptación TKIP (más usual) • Se captura handshake pero no es necesario, solo se u=liza por razones de depuración • Requisitos: – Tanto AP como adaptador deben tener ac=vado el QoS – Bastante =empo de reinyección (sobre 1 hora)
WPA & WPA2 • Se debe romper por fuerza bruta. (diccionario) • Su seguridad depende del usuario (contraseña robusta) • No se deben capturar muchos datas sino solo uno: el handshake (ó apretón de manos) • Se necesita que haya un cliente auten=ficado • Hay avances en la forma de ejecutar el ataque por fuerza bruta How to: wpa&wpa2 • El handshake solo se produce cuando el cliente legí=mo se conecta al AP. Por tano lo podemos obtener de dos formas: – Esperando a que se auten=que (esté o no ya auten=cado) – Forzándolo mediante un ataque de desauten=ficación • Una vez conseguido procederemos al ataque por diccionario Aircrack-ng • Crackeador de contraseñas. • –w para cargar diccionario
Hacking WPA using GPU • Para conseguir un mayor ra=o de pass/segundo podemos u=lizar la GPU de nustras targetas gráficas. • Ejemplos: Pyrit, Elcomsos…
Phising wireless • Otra de las formas para poder conseguir la contraseña tanto WEP como WPA/2 es mediante el phising al AP. • Crearíamos un AP falso del mismo nombre y caracterís=cas que el auditado con airbase-ng • Realizar un ataque DoS contra el AP infinitas veces (aireplay-ng -0 0 –a MAC_AP wlan0) • La víc=ma se conectaría a nuestro AP fake al no poder conectarse al suyo debido a los múl=ples envíos de desauten=ficación a su AP • Nos enviaría la contraseña en texto plano Dudas y preguntas