Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Autor: Aironjack
Bienvenidos a este texto que he realizado con la intención de explicar una serie de
conceptos básicos sobre las redes wireless (inalámbricas, 802.11), que considero
fundamentales para poder entender un poco lo que nos traemos entre manos en el
foro de hacking wireless.
Si usted no sabe lo que son los estándares 802.11 le vuelvo a recomendar que
visite el anterior taller, ya que contiene los conocimientos más básicos que no se
explican en este manual. Es necesario conocer también la arquitectura de una red
wifi 802.11
Al final del manual se ha introducido un glosario con las definiciones de los términos
técnicos de redes 802.11 para su consulta en caso de duda.
INTRODUCCIÓN
El hacking como muchos ya sabrán no consiste en seguir los pasos de una receta
de cocina. Consiste en conocer teóricamente las técnicas de ataque, fundamentos
básicos del entorno... esto posibilita desarrollar nuevas herramientas de seguridad,
combinar diferentes técnicas de ataque para aumentar la efectividad, desarrollar
estrategias de ataque...
---------------------------------------------------------------------------------------------
-----------------------------
Antes de nada me parece vital distinguir entre:
- Hacking wireless:
Consiste en acceder a la red WLAN de otro usuario y utilizar su ancho de banda
para conectarse a internet (es decir nos conectamos por el morro). Acceder a los
recursos compartidos de los demás ordenadores de la red y sustraer datos
confidenciales de todo tipo.
Esto lo digo porque son muchos los que no distinguen entre lo uno y lo otro y nada
tienen que ver entre ellos.
---------------------------------------------------------------------------------------------
-----------------------------
http://www.linux-wlan.org/docs/wlan_adapters.html.gz
Esta pregunta no es nada fácil de responder sin conocer las circustancias del
usuario: presupuesto, interés, ataques que piensa desplegar... Quizás no sepan que
algunas herramientas están pensandas para actuar con chipsets determinados y
que conseguir que funcionen con otros conllevaría adaptar el código, lo cual no está
al alcance de muchos usuarios, ya sean avanzados, sino de expertos y
profesionales.
---------------------------------------------------------------------------------------------
------------------------------> ¿De qué presupuesto dispone? Las tarjetas
inalámbricas aún hoy en día no son tan baratas como sus compañeras de red
802.33 Ethernet, pero empiezan a tener precios muy asequibles. Las hay desde 20
euros hasta 300 o más (estas tienen de todo, por ejemplo pigtails que son
realmente caros y a la hora de la verdad hay que ponerles cinta aislante para que
no se hagan pupa al moverlos)
> ADVERTENCIA! ¿Demasiado fácil, no? Pues hasta ahora sí. Entramos con el
conocido y engorroso problema de las revisiones ¿qué son? Actualizaciones de un
mismo modelo ¿qué actualizan? Hace un cambio del chipset.
Los nuevos chipsets no suelen tener, cuando salen, mucha cobertura. Dan
problemas y en ocasiones no hay drivers para que puedan entrar en modo monitor,
porque se están desarrollando. Por eso son muchos los piratas del aire que
recomiendan usar Intersil Prisms antiguas, porque lo retro está de moda.
¿pero cómo sé que revisión tiene la tarjeta? Aquí es donde viene lo peor. La
revisión es algo que viene escrito en la parte de atrás de las tarjetas y casi ninguna
web tiene tal exceso de información que comente la revisión, es por esto que es
recomendable comprar la tarjeta en una tienda especializada con un dependiente
que comprenda lo que está tratanto de vender y pueda abrir la caja. Sino podemos
buscar por internet sobre nuestro modelo y descubrir si tiene revisiones
conflictivas.
Cuidense mucho pues sino pueden llevarse una desagradable sorpresa, como por
ejemplo encontrarse con un chipset que hayan inventado dos muertos de hambre y
no tenga controladores de ningún tipo.
> Pues ahora pueden consultar el listado de tarjetas, donde vienen los chipsets,
informarse de si tienen conectores externos para antenas y de qué tipo, buscar en
una tienda virtual o google el modelo, precios aproximados y decidirse.
---------------------------------------------------------------------------------------------
-----------------------------
En estos momentos si tienes una red inalámbrica cuyas ondas de radio lleguen
hasta el captador, detectarás el AP correspondiente a esa WLAN (Red LAN
wireless).
Es aquí donde surge el conocido término wardriving: que no es otra cosa que ir en
busca de redes con un coche, así también está el warcycling (en bici para
mantenernos en forma), warwalking (dando un paseito, estilo golf)...
El precio de una antena oscila según sus características y su ganancia: las hay de
25 euros, de 120...
Aquí os dejo el enlace donde mi compañero lovalost explica un poco el tema (Si
estáis interesados os recomiendo lo leáis detenidamente)
http://foro.elhacker.net/index.php/topic,60677.0.html
Podremos instalar nuestra antena tanto en el AI como en el AP, cada forma tienen
sus ventajas e inconvenientes que se deben valorar desde la perspectiva de la
situación en la que nos encontremos. Interesa recordar, que habitualmente las
tarjetas PCI traen conectores externos.
- Un Amplificador RF: Consiguen ganancia activa inyectando pontencia continua
(DC). Tipos:
Se suelen instalar para compensar las pérdidas debidas a una excesiva longitud del
cable coaxial que une la antena y el dispositivo inalámbrico.
---------------------------------------------------------------------------------------------
-----------------------------
Aquí podemos hablar también del warchalking (Es un lenguaje de símbolos
normalmente escritos con tiza en las paredes que informa a los posibles interesados
de la existencia de una red inalámbrica en ese punto.)
Detectada una red se puede hacer una marca en el suelo, o bien un mapa virtual
con su localización (para esto conviene tener un GPS) que además anota las
características de la red: SSID, WEP, direcciones MAC, red abierta o cerrada, DHCP,
ancho de banda...
No menciono los símbolos del warchalking pero los podéis encontrar en google o el
manual de Vicent Alapont (*Bibliografía).
---------------------------------------------------------------------------------------------
-----------------------------
1.3.- Tipo de interfaz:
Como en ningún manual he visto ninguna explicación de este tipo, porque
seguramente se considera excesivamente básica, me he decidido a hablar un poco
del tema, porque estoy seguro de que no todo el mundo lo tiene claro y llega a
confundir modelo con el enganche (tipo de interfaz)
Seguro que algunos continúan algo perdidos ¿y entonces qué es eso de PCI,
PCMCIA, BUS...? Vamos a intentar explicarlo de manera sencilla.
El modelo de tarjeta inalámbrica viene definido por COMPAÑÍA + MODELO + BUS.
Vamos a explicar cada apartado:
- Compañía: Algunas de las más conocidas con: Conceptronic, Linksys, icom, D-
Link, Cisco/Aironet ... y son las empresas encargadas de la manufactura y venta de
la tarjeta. Estas empresas se encargan de montar la tarjeta, no de desarrollar el
chipset y sus drivers, eso va a parte. De ahí que diferentes modelos de una misma
compañía puedan tener distintos chipsets (son mundos a parte). De ahí que
debamos consultar el chipset en el listado que he dado para no llevarnos a engaño.
- Modelo: Una serie de números y letras que marcan un modelo. No apto para
disléxicos, ya que algunos modelos difieren de otros tan solo en una "c" o una "r".
Llegamos a un punto aclaratorio clave: CARD BUS Y PC CARD. Las tarjetas PCMCIA
DE 16bits pueden recibir el nombre de PC Card y las de 32 bits CARD BUS (este
termino os debería sonar) Ahora lo pongo a parte para tener el esquema claro.
>> CARD BUS: PCMCIA de 32 bits. se pueden usar con un adaptador USB.
> BUS o USB: (Universal Serial Bus) Provee un estándar de bus serie para
conectar dispositivos a un PC. Cuando se diceñó este sistema se pensaba en
mejorar la capacidad plug-and-play (permitiendo conectar o desconectar
dispositivos sin necesidad de reiniciar. Pero no entra en este texto explicar como
funciona plug-and-play, investiguen y aprendan jeje) Hoy en día el USB domina y
se ha convertido en el método de conexión más usado, debido a
su dinamismo, desplanzando otros estándares de conexión. Pues estos tipos de
conexión, para el que no lo sepa, están en la parte de atrás de la torre del
ordenador o del portátil. Cuando hablamos de un tarjeta wireless BUS, hablamos de
una tarjeta con un cable Bus para conectar. Son fáciles de instalar, sin embargo, a
veces no tan potentes como las anteriores (velocidad, encriptación...). Funcionan
tanto en PORTÁTILES como en PCs DE MESA.
Una vez tengamos esto claro, les pongo un ejemplo de cómo se debería decir que
tarjeta tenemos: "Tengo una Conceptronic c54c tipo PCI" (Si aún con esto, no lo
entienden, quizás deberían cambiar de hobby por las tabas o algo así)
Ahora dejo algunas fotos (porque una imagen vale más que mil palabras).
PCI
PCMCIA
Teniendo en cuenta que los usuarios de otros sistema operativos (OS) que no sean
windows suelen tener unos conocimientos medios de informática avanzados, me
referiré tan solo a los programas para windows.
Consiste en poner nuestra tarjeta wireless en escucha para poder captar los
paquetes que transmiten otras redes wireless sin estar asociados a ellas. Esto lo
explico de manera más detallada en siguiente post:
No todos las tarjetas de red pueden entrar en modo monitor, esto se debe tener en
cuenta a la hora de comprarla. Si tenéis un tarjeta centrino, es hora de sacar la
cartera.
Listado:
- Atheros
- Realtek
- Symbol
- Agere
Aquí entran en juego factores de lo bien que esté configurada la red o no. Términos
previos:
El ESSID de la red ficticia del vecino está por defecto en emisión pública, cualquier
usuario usando un stumbler podría detectar esta ESSID (nombre de red) y
sabiendo que el ESSID actúa como la relación entre la estación cliente (tu máquina)
y el AP, ya tienes el nombre de red, que será vital para asociarse a la red a la que
"atacamos".
WEP cifra y comprime los datos enviados por ondas de radio. Sin embargo, WEP no
es precisamente el sistema de encriptación más potente del mercado. Incluso
aunque esté habilitado nuestra red sigue siendo insegura.
Es "rompible" con los denominados WEP crackers . De esto hablaremos más tarde.
Código:
El cifrado WEP no es otro que el algoritmo de encriptación RC4 (Algoritmo de
cifrado de flujo, es decir que funciona expandiendo una clave secreta o "seed" la
cual es un generador de números psdeualeatoria)
Siguiendo las principales vulnerabilidades que afectan a este algoritmo
proporcionado por RSA Security es posible reducir su potencia de 128 bits de
cifrado a 24 bits. Lo que conlleva una disminución importante de la seguridad (de
2^104-1 a 2^24-1)
Además se usa un vector de inicialización (conocido como IV de 24 bits) la cual se
añade a la seed mencionada antes, y cambia para cada trama. El receptor usa el
mismo IV para chequear la integridad del mensaje.
Los IVS son públicos (no cifrados, en texto plano, o sea legibles), y aparecen en los
paquetes transmitidos por la red. Como ya he dicho varían, el problema es que la
máquina suele reutilizar IVS (no entro en detalles del porqué) y un intruso podría
hacer con duplicados, montar una tabla y conocer el texto de un mensaje.
Para ello ha de servirse el intruso de un boli, papel y mucha paciencia para
interpretar el flujo.
Pero esto nos llevaría demasiado tiempo, asi que se ha automatizado el proceso.
Esto es en esencia lo que hace un WEP cracker. Tras capturar una serie de
paquetes, en el orden de 1 millón para romper un cifrado de 128 bits, estos
programas rompen la clave WEP de forma pasiva, analizando los IVs débiles o
repetidos.
No se crean que WEP es el único sistema de cifrado que existe, hay muchos más.
Este es el más famoso y el más inestable.
El WPA es mucho más seguro, pero este sistema no es funcional en algunos host
APs (routers) que funcionan con estándares IEEE 802.11 antiguos.
Recimiente descubrí que la última versión del Aircrack la v2.1 tiene en su paquete
zip una carpeta para windows 32bits. Las pruebas realizada por lovalost (que
colabora conmigo en la realización de un taller de wireless, también moderador de
este apartado) mostraron como resultados que el aircrack funciona más deprisa
que cualquier otro WEP cracker probado en windows, aunque no alcanza la
funcionabilidad que tiene en el SO (Sistema Operativo) Linux.
Otra posibilidad para hacernos con la WEP key o clave WEP es realizar un ataque
por fuerza bruta al cifrado WEP de un solo paquete. También se puede desplegar un
ataque con diccionario. En este post explico la teoría y viabilidad del ataque,
además de las herramientas para llevarlo a cabo.
- Ataque por fuerza bruta al cifrado WEP
http://foro.elhacker.net/index.php/topic,64471.0.html
7.- Sacar la clave WEP almacenada en una estación cliente con windows:
Si tenemos acceso físico a una de las máquinas de la red (con sistema operativo
Windows) podremos extraer la clave WEP, ahorrándonos tiempo de trabajo.
Pero a la hora de hacer este ataque podemos encontrarnos algunas barreras que se
despliegan como médidas básicas e insuficientes de seguridad, con la intención de
desanimar a script kiddies. Un atacante avanzado habitualmente no suele ser
peligroso (igual que un maestro en kung-fu no va por la calle buscando pelea). Las
medidas comentadas ahora son las más comunes, no por esto las únicas, pero esto
no es un manual avanzado (tiempo al tiempo)
1.- BROADCAST DEL ESSID DESACTIVADO (En un manual lo leí como ESSID
cerrado): Al desactivar el BROADCAST del ESSID el AP deja de emitir marcos baliza
(beacon frames) y la red aparece como no en uso. Un programa que haga barrido
activo no la detectará y sin embargo si lo conseguiremos mediante un barrido
pasivo, ya que los paquetes siguen en el aire. Como ya he dicho el ESSID es el
nombre de red y es vital para poder asociarnos a ella, en este caso no podremos
visualizarlo y aunque logremos romper el WEP no tendremos nada que hacer.
- Físico:
Consiste en utilizar materiales que mitiguen las ondas de radio impidiendo que
salgan de los límites del edificio.
---------------------------------------------------------------------------------------------
-----------------------------
IMPORTANTE: Además de ocultar el ESSID, hay que cambiarlo para que no esté en
predeterminado, porque sino sacando la OUI de la MAC nos bastaría para conocer
el modelo de AP y buscar userID/password por defecto.
Os dejo a continuación una página mencionada en este foro que tiene los users
ID/passwords por defecto de las grandes compañías que comercializan APs que
está además en constante actualización y te será muy útil.
http://www.phenoelit.de/dpl/dpl.html
Voy a comentar también que en los dos routers que he tenido la ocación de leer sus
manuales (siendo de diferente distribuidoras) tenían como user ID por defecto:
Admin y como contraseña por defecto: default.
Por dividir las técnicas en dos ramas diferentes y que se entienda mejor el anterior
post:
1.- Técnicas para filtrar los paquetes de una red, entre los cuales están los que van
dirigidos al router, cuando el administrador se loguea en él.
El protocolo de cifrado WEP, a pesar de las futuras revisiones, mejoras,
alternativas... seguirá funcionando durante mucho tiempo, sin importar cómo de
buenos y seguros sean sus sustitutos. Los motivos son los siguientes y conviene
tenerlos en cuenta:
pequeñas empresas.
De este modo los ataques contra WEP están hoy más de moda que nunca, a pesar
de que WEP hace tiempo que quedo obsoleto. Sin embargo romper el WEP no es el
último paso (como muchos atacantes consideran) en el ataque a una red. Por
último cabe destacar, que los usuarios que llevan a cabo estos ataques sirviéndose
de una guía paso a paso, no merecen otra categoría dentro de las comunidades de
seguridad informática y hacking, que la de script kiddies o lammers.
Vamos a dar las características que debe reunir un usuario avanzado o entendido:
quizás debería preguntarse en que grupo se enmarca y ¿qué medidas podría tomar
para avanzar y aumentar sus conocimientos? No olvide que este texto es una
simple introducción al tema de la seguridad wireless, que puede resultar en algunos
niveles realmente complicado y requiere conocimientos sobre:
Pero antes debemos conocer unos conceptos básicos que serán nuestra base de
apoyo en el avance. En estos momentos se está trabajando en el desarrollo de un
taller o proyecto que comprenda algunos de estos puntos más avanzados
explicados de la forma más sencilla posible. Por el momento se está trabajado en
solucionar las dudas más habituales al iniciarse en el tema:
12.- Conclusiones:
Las redes Wireless son todavía muy inseguras y es por esto que la política de
seguridad de algunas empresas las prohíbe tajantemente. Debido a la dificultad de
controlar la expansión de las ondas de radio, estas traspasan los límites del edificio,
"tendiendo una mano" al intruso.
13.- BIBLIOGRAFÍA:
El taller de redes WIFI de Vic_THOR:
http://www.hackxcrack.com/phpBB2/viewtopic.php?t=21310
Mi compañero moderador lovalost y yo estamos trabajando, de forma conjunta con
el staff de elhacker en un taller avanzado sobre hacking wireless.
DEFINICIONES:
Algunas de estas definiciones están extraídas del taller de Vic_THOR, que realizo un
buen glosario de consulta.
Red inalámbrica (de área local) o WLAN o WIFI: El nombre técnico para
denominarlas es redes 802.11. El protocolo IEEE 802.11 es un estándar de
protocolo de comunicaciones de la IEEE que define el uso de los dos niveles más
bajos de la arquitectura OSI (capas física y de enlace de datos), especificando sus
normas de funcionamiento en una WLAN (Wireles LAN - red de área local)
20.- Manual de cómo hace un live-CD por BADBYTE-K (Aquí se puede enterar
de lo que es un live-CD entre otras cosas)
http://foro.elhacker.net/index.php/topic,20178.0.html
21.- URL posteada por Fandango sobre wireless, Linux y wardriving en pdf:
-Herramientas de configuración de redes wireless en linux
(iwconfig, iwpriv)
http://jornadespl.upc.es/vell-02/jplupc2003/Mataro/wireless.pdf
------------------------------------------------------------------------