Hola a todos

Esta vez vengo con un articulo sobre las famosas claves WEP que las operadoras de telefonía se empeñan en configurar a los usuarios. En este articulo vamos a conseguir la clave WEP de uno de mis vecinos anónimos, por supuesto, e intentando causar el menor daño posible para evitar interferir en su trabajo.

El proceso lo voy a realizar con una distribución que ha sido creada específicamente para realizar este tipo de «tareas», concretamente con WifiWay 1.0. Esta distribución la tenéis disponible en http://www.wifiway.org/.

Y sin mas preámbulos nos ponemos con ello. Como se puede apreciar según arrancamos la distribución ya existe un dispositivo asociado a la placa de red atheros que el sistema ha nombrado como ath0. En mi caso tengo una tarjeta de red que tiene un chipset atheros es por eso que aparece el dispositivo ath0. Antiguamente tenia un portátil Sony Vaio del que exactamente no conozco la tarjeta que tenia instalada. Lo que si que se es el el dispositivo que aparecía como tarjeta de red era denominado en el sistema como rtap0. Lo que quiero decir con esto, es que el dispositivo asociado en nuestra máquina, tendrá que estar relacionado con la tarjeta de red que tengamos instalada y cada uno de nuestros PCs es un mundo.

El problema que tenemos con este dispositivo es que el sistema lo ha levantado en modo «Managed» cuando para poder hacer el escaner y posterior inyección de paquetes lo necesitamos en modo «Monitor». El estado del dispositivo actualmente lo podemos ver en la siguiente captura:

Por lo tanto lo primero que vamos a hacer es eliminar ese dispositivo para crear uno nuevo en modo «Monitor».
El primer paso es la eliminación del mismo usando Wifiway 1.0 lo podemos hacer mediante Inicio -> Wifiway -> Chipset -> Atheros -> Destroyed, saldrá un formulario en el que debemos seleccionar la interfaz a eliminar, en mi caso ath0.

Las capturas siguientes muestran los formularios resultado:

y manualmente lo podemos hacer con el comando wlanconfig ath0 destroy

Después de eliminar la interfaz ath0 el comando ifconfig -a debe mostrar un resultado como este :

Ahora vamos a lanzar la aplicación airodump-ng en modo monitor. El lanzar en la distribución Wifiway ya nos crea el dispositivo ath0 de nuevo pero esta vez en el modo que estamos buscando «Monitor»:
El lanzador esta en Kde – > Wifiway -> Suite aircrack-ng -> airmon-ng (start mode monitor). Se nos presenta un nuevo formulario, seleccionamos la interfaz wifi0 y él crea el dispositivo necesario ath0. En las siguientes capturas se aprecia el resultado que deberíamos obtener:

Bien, llegados a este punto ya tenemos la tarjeta lista para comenzar a trabajar.

Primero vamos a comenzar haciendo que la tarjeta eche un vistazo a todo el espectro, xDDD. Abrimos un terminal y usamos el siguiente comando:

airodump ath0

Puesto que no le he indicado ningún parámetro tendría que recibir las señales a las que tenga alcance, aquí tenéis un par de capturas del momento (originalmente tenia pensado enlazar un vídeo propio, pero no tengo cámara de vídeo, y la de fotos hace unos vídeos lamentables por llamarlos de alguna manera) (si alguien de Sony o de otra empresa se anima a enviarme una camarita HD, por mi encantado, es otra forma de cooperar, además me comprometo a hacer una revisión de la cámara en el site):

La ventana como veis esta dividida en 2 partes. La zona superior corresponde con los puntos de acceso detectados y la inferior con las máquinas que acceden a esos puntos. Es en esta ventana donde debemos decidir a que punto de acceso nos vamos a conectar y usando que MAC de cliente (de las que se listan en la parte inferior).

Bueno, pues yo hoy me voy a decantar por una de las redes que se encuentran en el canal 3 con bssid «TuriII». En las que están mas arriba ya tengo acceso a casi todas, así que de paso que hago este documento, pues abro acceso a otra mas….xD

Bien,ahora vamos a lanzar el mismo scanner pero centrándonos en el objetivo. En este caso al canal 3 como ya he indicado. El problema es que ahora mismo no hay nadie conectado a ese punto de acceso, así que vamos a tener que esperar…..
El asunto es que quiero lanzar autenticaciones contra el punto de acceso usando una de las MACs que use alguno de sus clientes. Para ello y puesto que no conozco ninguna de esas direcciones físicas pues tengo que esperar a ver si alguien conecta para poder guardarme su MAC…Una vez que tengamos la MAC en cuestión, cambiare la MAC de mi dispositivo WIFI a la MAC capturada, de esa forma evitaremos problemas en el caso de que el punto de acceso tenga habilitado el filtrado de MAC….

Seguimos esperando…

Ahora tengo que ir a por mi hijo a la guarde, así que luego continuamos….

(1 día después….xDD), ayer no pude continuar con el proceso. Ahora voy a ver si hay alguna máquina conectada al punto de acceso que me interesa. Como podemos ver en la siguiente captura, ahora tampoco hay suerte, así que seguiremos hoy por la noche o mañana….xDDD

Bueno, después de varios días no he conseguido pillar ningún cliente conectado a la red objetivo así que como al lector le debería dar igual, voy a cambiar el punto de acceso objetivo.

El punto de acceso JAZZTEL_E7 no me vale, mas que nada por que ya tengo acceso…xD

Así que el nuevo punto de acceso objetivo pasa a ser «LAMBAS» en el que además, tenemos un cliente conectado tal y como podemos apreciar en la siguiente captura:

En la captura mostrada anteriormente podemos ver, en la parte de estaciones, que tenemos un cliente con MAC 00:1F:A7:07:D8:8D conectado al punto de acceso con ssid «LAMBAS» y MAC E0:91:53:04:9F:21.

Así que lo primero que vamos a hacer es que nuestra wifi «cambie» su MAC a la del cliente conectado a «LAMBAS»….voy a por un cafetillo….xDDD, ….ya estoy por aquí de nuevo. Lo único que echo de menos de mi empresa son los cafelitos con los compañeros, es triste pero es así….que lástima.

Bueno, volviendo a nuestro asunto….para que mi tarjeta de red pueda tomar la nueva MAC tiene que estar fuera de linea, así que vamos a eliminar el dispositivo ath0 creado para el scanner general. Después tiraremos el dispositivo wifi0, cambiaremos la mac y por ultimo levantaremos de nuevo en modo monitor la pila de dispositivos:

1- wlanconfig ath0 destroy #eliminar ath0
2- ifconfig wifi0 down #tiramos el disp wifi
3- macchanger -m 00:1F:A7:07:D8:8D wifi0; ifconfig wifi0 up #cambio de mac y levantamos el dispositivo

La salida del comando anterior es:

Ya tenemos la MAC cambiada….así que ahora vamos a levantar de nuevo la red en modo «MONITOR» tal y como se comento al comienzo del articulo.
El lanzador esta en Kde – > Wifiway -> Suite aircrack-ng -> airmon-ng (start mode monitor). Se nos presenta un nuevo formulario, seleccionamos la interfaz wifi0 y él crea el dispositivo necesario ath0. Las capturas de esta operación las tenéis en la parte superior de este artículo pero las agrego de nuevo:

Pues bien, ya tenemos todo preparado para comenzar a darle caña al punto de acceso «LAMBAS». Solo recordar que el canal de «LAMBAS» es el 6 según la captura que hemos realizado en el inicio.
Vamos a poner a escuchar a airodump en el canal del punto de acceso objetivo y vamos a decirle que comience con la captura de datos en un fichero:

ejecutamos airodump-ng -c 6 -w lambas ath0, que significa que capture en el canal 6 y que escriba todos los paquetes capturados en un fichero llamado lambas usando para ello el dispositivo ath0.

Ejecuto y aquí tenemos la captura…

Segunda captura…

Tercera captura…

Fijaos que todavia no he comenzado con la inyección de paquetes, pero tal y como podemos ver en las capturas que he subido, el valor de la columna #Data, que es el que nos interesa para poder romper la clave, esta subiendo solo, xD. Esto es la primera vez que me pasa, y debe ser debido a que el cliente esta conectado a su punto de acceso y esta intercambiando información con él, debe estar navegando el usuario tan tranquilo, xDDDD. Bueno, prosigo con la captura por que esos paquetes son tan válidos como los que yo pueda inyectar, y espero un rato a ver si el tipo desconecta….tampoco quiero interferir con su trabajo.

En este momento pueden pasar varias cosas:
1- Si el cliente desconecta y se va a tomar un cafelito, podemos empezar con la inyección nuestra y obtener mas valores de #Data. Solo como comentario cuando nosotros inyectamos paquetes el campo #Data sube mas rápidamente que cuando un usuario está conectado al punto de acceso haciendo un uso normal de la conexión.
2- Si el cliente no desconecta, él mismo nos esta proporcionando la información para poder romper la clave WEB, así que esperaremos…como digo no quiero interferir en su trabajo. En el caso de que no desconecte y no tenga suficientes paquetes para romper la clave, esperare a que desconecte del punto para proceder a la inyección de los mios. Si tengo los suficientes paquetes, simplemente lanzare el aircrack contra la información recopilada, sin necesidad de interferir con el cliente.

(esperando…en 1h mas o menos tendremos la suficiente captura de paquetes como para intentar obtener la wepkey usada. Creo recordar que unos 100000 paquetes de Datos son suficientes para intentar el crack de la web….me parece que le he leído en algún sitio pero ahora mismo no recuerdo…)

Después de obtener los 100k paquetes, lanzo el aircak-np sobre el fichero de captura y comienza el proceso.

Solo como comentario el proceso de captura de paquetes todavia lo tengo activo. Ese proceso va agregando paquetes al fichero de captura mientras el crack busca la key. Hasta donde yo he podido observar parece que no hay problema en hacer esto así (no se interfieren quiero decir). Está claro que cuantos mas paquetes consigamos mas sencillo es obtener la clave. Lo que no tengo claro es si aircrack-ng de forma dinámica va teniendo en cuenta los nuevos paquetes capturados….En el caso de no ser así convendría o bien parar la captura o bien volver a lanzar el proceso para que tome los nuevos paquetes.

Para obtener la clave, yo uso 2 sistemas distintos, uno es el que he comentado ya, el aircrack-ng sobre el fichero de captura (.cap). Otro es usar un programa llamado aircrack-ptw igualmente sobre el fichero de captura. En este ultimo caso la clave suele aparecer casi de forma inmediata pero lamentablemente no siempre es capaz de obtener la clave de los paquetes capturados. Esto debe ser debido o bien a la cantidad de ellos o bien al tipo de paquete, la verdad es que todavia no lo tengo claro. Cuando aircrack-pwd no me retorna la clave, lanzo aircrack-ng, que tarda un ratillo.

aircrack-ng sigue trabajando…

Y de mientras la ventana de captura sigue recopilando paquetes en el fichero .cap…

aircrack-ng sigue trabajando…

Y por fin, después de un buen ratito,……tachan….

Notas postproceso:

1. ¿Por que las operadoras siguen instalando puntos de acceso WIFI con seguridad WEP?¿No saben que ese tipo de seguridad es fácilmente accesible?¿A que están esperando para cambiar la seguridad de las instalaciones que ya tienen montadas?
2. El usuario esta pagando un servicio. Personalmente pienso que las operadoras no debieran conformarse con dejar instalado y configurado el router, sino que debieran dar al usuario algún tipo de información sobre la instalación que se deja en su casa. Entre otras cosas debieran informar de la configuración que se deja instalada, de las posibilidades que existen desde el punto de vista de seguridad con el router del usuario (no olvidemos que en muchos casos son las propias operadoras las que proporcionan el router) y por supuesto de los riesgos existentes en la actualidad en cuanto a Wireless se refiere. De yo ser una operadora, proporcionaría a los usuarios una formación o información básica y les pediría un conforme al respecto tanto de la instalación propiamente dicha como de la información.
3. Y por último y no menos culpables que las operadoras, los Usuarios o clientes de dichas operadoras, que aun no son conscientes de los riesgos que entraña no tener una infraestructura en condiciones. En mi caso cuando tengo que ponerme una inyección, o bien voy con una persona que realmente se que sabe ponerla o bien acudo a un profesional….¿por que los usuarios en sus casas siguen poniéndose las inyecciones ellos mismos?¿no somos conscientes de los riesgos que entraña?

Bien, pues con estas notas ya termino el articulo actual. Para posteriores articulos dejo el tema de acceso a una red con seguridad WEP e inyección de paquetes y el último de esta serie en el que intentaremos tener acceso a una red wpa (cosa bastante improbable).

Saludos a todos y buenas noches.