Professional Documents
Culture Documents
Hemos visto proliferar desde principios de la dcada del 2000 nuevos soportes inalmbricos para
nuestras redes: el estndar Wi-Fi se ha impuesto. Las ondas no se detienen en las puertas ni en las
ventanas, la seguridad en este tipo de redes se limita entonces al cifrado.
Imaginemos un fallo en este tipo de sistema! Sera necesario actualizar todo el parque de equipos para
aceptar un nuevo sistema de cifrado, pero qu pasa con el hardware? En algunos casos basta con
actualizar el firmware, pero no siempre es posible.
Muchas redes no tienen seguridad alguna, otras que tienen WEP (Wired Equivalent Privacy) pueden ser
crackeadas rpidamente. La combinacin WPA2 + Servidor de autentificacin Radius parece ser una
buena solucin en el momento de escribir de este libro, pero aun as infrmese sobre este tema, ya que
las tecnologas evolucionan rpidamente!
Capturar paquetes
Para obtener la clave WEP, tenemos que capturar paquetes. Partiremos de las siguientes suposiciones
para el ejemplo:
Nuestra interfaz de red se llama wlan0.
El nombre de la red (ESSID) es ENI.
La direccin MAC del punto de acceso Wi-Fi es: 00:11:22:33:44:55.
La direccin MAC del ordenador cliente es: 00:00:00:00:00:01.
Para saber el nombre de su interfaz, utilice el comando iwconfig.
airodump-ng --write captura1 wlan0
Airodump es un programa que le permite capturar paquetes Wi-Fi.
Para este ejemplo, los paquetes se capturan desde la interfaz wlan0 y se guardan en el archivo
captura1.cap. Tendremos un archivo (captura1.txt) con informacin til como por ejemplo los clientes
conectados, las direcciones MAC...
176
0
0
1
0
0
STATION
4A:9A:6D:77:82:62 00:23:DF:26:82:23
(not associated) 00:09:2D:81:98:62
(not associated) 00:1E:58:95:AB:AB
0
0
0
1 54e OPN
FreeWifi
6 54e. WPA TKIP PSK Livebox-31B6
1 54e WPA TKIP MGT freephone
PWR
Rate
0
0
0
54e- 1
0-1
0-2
7
22 ENI
3
(not associated)
00:23:4D:29:7F:2E
0-1
4 link
Para optimizar al mximo la captura, podemos especificar un canal, mediante la opcin --channel y la
direccin MAC del punto de acceso Wi-Fi: --bssid.
Generar trfico
Para obtener la clave, son necesarios muchos paquetes, por lo menos 400.000 para una clave WEP de
64 bits y 1.200.000 para una clave WEP de 128 bits. Si no hay nadie conectado a la red, esta operacin
puede durar semanas.
Vamos a tener que inyectar trfico para alcanzar nuestro objetivo. Esta tarea es opcional, pero nos
permitir acelerar considerablemente la operacin de cracking si no hay trfico o si el que hay es muy
poco.
Por lo tanto su interfaz deber aceptar el modo de inyeccin. Puede consultar la lista de
compatibilidad en el sitio web de aircrack: http://www.aircrack-ng.org
Una vez que aireplay inyecte paquetes, vamos a ver un incremento neto en Airodump.
Encontrar la clave
Ejecutamos aircrack mediante el comando:
aircrack-ng captura1.cap
2. Crackear WPA
El crack WPA est menos avanzado que el WEP. Sin embargo, se puede cazar la contrasea por
diccionario. La eleccin del diccionario y de su mtodo de generacin es por lo tanto primordial para
tener xito en este ataque.
Vamos a utilizar pyrit, un programa en Python que tiene la ventaja de poderse usar en clster
permitiendo de este modo utilizar la potencia de las GPU.
Descarguemos los fuentes de pyrit usando svn:
svn checkout http://pyrit.googlecode.com/svn/trunk/ pyrit
Despus, las herramientas para la compilacin:
sudo apt-get install libssl-dev python python-dev
Compilamos e instalamos pyrit:
python setup.py build
sudo python setup.py install
Vamos a empezar importando la lista de claves candidatas en una base de datos pyrit:
pyrit -i dict.gz import_passwords
Ahora vamos a importar los distintos ESSID, por ejemplo el ESSID linksys:
pyrit -e linksys create_essid
El siguiente comando combina las contraseas con los distintos ESSID para generar PMK
candidatos:
pyrit batch
Este procedimiento es el ms largo. Lo que hace realmente, claro est, es generar los distintos PMK
mediante un producto cartesiano (clave, essid).
Para generar cada PMK, pyrit utiliza la funcin PBKDF2 (passphrase, salt, saltLength, 4096, 256) de
PKCS #5 v2.0 pasando como argumentos la clave y el ESSID. Este ltimo representa "su baza" o salt
en ingls.
La funcin PBKDF2 es lenta por definicin, un procesador core2duo puede llegar a realizar 600 PMK por
segundo.
Se pueden usar los ltimos procesadores o incluso FPGA. Sin embargo, las GPU parecen ser la solucin
por un presupuesto ms que razonable.
Gracias a las ltimas tarjetas Nvidia con la tecnologa CUDA, es posible alcanzar 89000 PMK/s con 4
GeForce en paralelo.
Procedemos a capturar con airodump para obtener un archivo .cap:
airodump-ng --write wpapskcaptura.cap wlan0.
Slo nos falta realizar el crack:
pyrit -r wpapskcaptura.cap attack_db
En el momento de escribir este libro es posible romper una clave de 8 caracteres, pero la tcnica
evoluciona rpidamente, as como el hardware, especialmente las tarjetas grficas. Tambin es factible
capturar el protocolo WPA como sucede con el WEP.
Este campo est muy activo, por lo que hay que ir siguindolo de cerca.
3. Rogue AP
a. Introduccin
Si es complejo crackear una clave WPA, es ms asequible aprovecharse de la nueva oleada de puntos
de acceso para crear uno.
Los hotspots son routers Wi-Fi que permiten a usuarios nmadas tener una conexin a Internet.
Estn por todas partes, en la mayora de los restaurantes de comida rpida, universidades, incluso
los hay en urbanizaciones.
Un hotspot no tiene clave WEP o WPA y la mayora de los usuarios intentan conectarse para acceder
a Internet de forma gratuita.
Los Rogues AP son por lo tanto falsos "routers Wi-Fi", en general hotspots, que recuperan todas las
contraseas que pueden y, si pueden, intentarn instalar una backdoor en los ordenadores cliente.
Como es posible ver los clientes conectados mediante la herramienta aircrack as como autentificar un
cliente, se los puede redirigir al Rogue AP.
./msfconsole -r karma.rc
Utilice uno de nuestros PCs para conectarse a su Rogue AP.
Una vez se haya conectado, navegue por Internet.
Todo lo que circule quedar registrado en un archivo .cap, el cual puede analizarse con Wireshark o
tambin con la base de datos SQLite karma.db.
Por Internet abundan los llamados "fake AP". Se trata de copias validadas de hotspots de ISPs. La
nica regla para defenderse es la de nunca confiar en ningn hotspot. No dude en utilizar tneles VPN
o SSH.