Hacking Wireless

Seguridad de los cifrados WEP, WPA y WPA2

 Punto de partida

•  Tipos de cifrado de las redes wifi.

•  Compa=bilidad de dichos cifrados con los
adaptadores wireless.

•  Seguridad de cada uno de los cifrados.
 Requisitos previos

•  Adaptador wireless cuyo chipset entre en
modo monitor (no confundir con modo promiscuo)

•  Suite Aircrack-ng, Jazzteldecrypter,
Wlandecrypter y Karmetasploit

•  La mayoria de dichas herramientas se
encuentran en BT4, Wifislax o Wifiway
 Cifrado WEP

•  Cifrado inseguro

•  Todos los adaptadores lo soportan

•  Aún muy u=lizado por los usuarios
 Restr. MAC y DHCP desact.

•  No son medidas de seguridad eficaces

•  La restricción de MAC: solo permite auten=carse a
un usuario con una MAC concreta

•  DHCP desac=vado: hay que introducir los datos de
IP, gateway, DNS… manualmente
 Bypass restr. MAC
•  Tan sencillo como u=lizar la de un usuario
auten=cado y cambiarnos la nuestra con
macchanger:

 Bypass DHCP desactivado

•  Capturamos el tráfico que pasa por el AP con
Wireshark para ver alguna IP local de un
cliente auten=cado.
•  Cambiamos nuestra IP a la auten=cada

•  NOTA: dos usuarios pueden tener la misma
MAC pero no la misma IP
 Cifrado WPA

•  Cifrado seguro

•  La mayoría de los adaptadores la soportan
aunque no algunos an=guos

•  Cada vez más u=lizado (aunque no bien u=lizado)

 Optimización del tiempo
•  Muy importante ahorrar =empo en el proceso de
verificación de la seguridad del AP a auditar


 Let´s go
•  Ponemos nuestro adaptador en modo
monitor:


 Capturando paquetes
•  U=lizamos airodump-ng para capturar paquetes

 Filtrando y guardando
•  Filtramos el AP a auditar con los comandos:
§  --bssid: Bssid del AP
§  -c :canal en el que emite el AP
•  Guardamos los paquetes:
§  -w


 Wlandecrypter & Jazzteldecrypter
•  Crea diccionarios con los passwords por defecto de los APs en
función de su ESSID Y BSSID (fuerza bruta)
•  Basta con capturar 4 datas para proceder al cracking


 Aircrack-ng
•  Crackeador de contraseñas.
•  –w para cargar diccionario

 Optimizacion del tiempo
•  Muy importante ahorrar =empo en el proceso de
verificación de la seguridad del AP a auditar


 Wep: a3+a0, ¡hay cliente!
•  Comprobamos que hay clientes auten=cados




•  Inyectamos tráfico para aumentar los ivs/seg
. . .
ya que necesitamos cerca de 100.000 y
recordad… op-mización del -empo.

 ...
•  Como tarda en inyectar y no queremos perder el =empo, (si,
siempre con el maldito =empo) lanzamos un ataque de
desauten=cación para forzar a inyectar cuando el cliente se
reconecte al AP.

•  Podemos lanzarlo contra todos los clientes o solo contra
alguno en concreto (-c)


...
Aplicamos aircrack a la captura
•  Cuando tengamos cerca de 70000 podemos
probar si tenemos la contraseña.
•  ¿Aircrack-ng VS Aircrack-ptw?


 Optimizacion del tiempo
•  Muy importante ahorrar =empo en el proceso de
verificación de la seguridad del AP a auditar


 WEP: A1 + a3 ¡no hay cliente!
•  Si no hay clientes conectados al AP lo que haremos
será una falsa auten=ficación y posterior inyección.

•  Recomendable cambiarnos la MAC a una fácil de
recordar: macchanger –m 00:11:22:33:44:55 wlan0

•  Si no conseguimos auten=ficarnos es bueno bajar el
rate para tener mayor alcance: iwconfig wlan0 rate 1M

...
 . . .
•  Esperemos a que se produzca la inyección de
paquetes y veremos como los datas empiezan
a subir.
•  Cuando tengamos los suficientes datas
simplemente u=lizamos el aircrack-ng/ptw
para obtener la contraseña
•  Este proceso puede durar desde minutos
hasta horas.
 ¿“Hasta HORAS” ?


•  ¿Horas? ¿Y qué pasa con eso de op$mizar el
=empo?
•  Ahí es donde intervienen los ataques
chopchop y fragmentación
WEP: Ataque chop-chop
 WEP: Fragmentacion
•  Aireplay-ng -5 –b MAC_AP –h NUESTRA_MAC wlan0

 After frag & chop
•  Una vez que ya tenemos el archivo XOR
resultante creamos con packe9orge un
archivo ARP que inyectaremos

•  packeoorge-ng -0 -a MAC_VICTIMA -h
00:11:22:33:44:55 -k 255.255.255.255 -l
255.255.255.255.255 -y XOR.xor -w arp
 Inyectando arp “artesano”
•  Ahora que ya tenemos el arp “artesano” lo
inyectaremos con la opción -2 de aireplay-ng
Aplicamos aircrack a la captura
•  Cuando tengamos cerca de 70000 podemos
probar si tenemos la contraseña.
•  ¿Aircrack-ng VS Aircrack-ptw?


 Optimización del tiempo
•  Muy importante ahorrar =empo en el proceso de
verificación de la seguridad del AP a auditar


 WPA: Tkiptun-ng
•  Tkiptun-ng es una u=lidad experimental que
intenta romper el cifrado WPA con
encriptación TKIP (más usual)
•  Se captura handshake pero no es necesario,
solo se u=liza por razones de depuración
•  Requisitos:
–  Tanto AP como adaptador deben tener ac=vado el QoS
–  Bastante =empo de reinyección (sobre 1 hora)

 WPA & WPA2
•  Se debe romper por fuerza bruta. (diccionario)
•  Su seguridad depende del usuario (contraseña
robusta)
•  No se deben capturar muchos datas sino solo
uno: el handshake (ó apretón de manos)
•  Se necesita que haya un cliente auten=ficado
•  Hay avances en la forma de ejecutar el ataque
por fuerza bruta
 How to: wpa&wpa2
•  El handshake solo se produce cuando el
cliente legí=mo se conecta al AP. Por tano lo
podemos obtener de dos formas:
–  Esperando a que se auten=que (esté o no ya
auten=cado)
–  Forzándolo mediante un ataque de desauten=ficación
•  Una vez conseguido procederemos al ataque
por diccionario
 Aircrack-ng
•  Crackeador de contraseñas.
•  –w para cargar diccionario

 Hacking WPA using GPU
•  Para conseguir un mayor ra=o de pass/segundo
podemos u=lizar la GPU de nustras targetas gráficas.
•  Ejemplos: Pyrit, Elcomsos…

 Phising wireless
•  Otra de las formas para poder conseguir la contraseña tanto
WEP como WPA/2 es mediante el phising al AP.
•  Crearíamos un AP falso del mismo nombre y caracterís=cas
que el auditado con airbase-ng
•  Realizar un ataque DoS contra el AP infinitas veces
(aireplay-ng -0 0 –a MAC_AP wlan0)
•  La víc=ma se conectaría a nuestro AP fake al no poder
conectarse al suyo debido a los múl=ples envíos de
desauten=ficación a su AP
•  Nos enviaría la contraseña en texto plano
Dudas y preguntas