Hacking Wireless

Seguridad de los cifrados WEP, WPA y WPA2

Producido, dirigido e interpretado por Alberto García

Punto de partida

• Tipos de cifrado de las redes wifi.

• Compatibilidad de dichos cifrados con los adaptadores wireless.

• Seguridad de cada uno de los cifrados.

Requisitos previos

• Adaptador wireless cuyo chipset entre en modo monitor (no confundir con modo promiscuo)

• Suite Aircrack-ng, Jazzteldecrypter, Wlandecrypter y Karmetasploit

• La mayoria de dichas herramientas se encuentran en BT4, Wifislax o Wifiway

Cifrado WEP

• Cifrado inseguro

• Todos los adaptadores lo soportan

• Aún muy utilizado por los usuarios

Restr. MAC y DHCP desact.

• No son medidas de seguridad eficaces

• La restricción de MAC: solo permite autenticarse a un usuario con una MAC concreta

• DHCP desactivado: hay que introducir los datos de IP, gateway, DNS… manualmente

Bypass restr. MAC

• Tan sencillo como utilizar la de un usuario autenticado y cambiarnos la nuestra con macchanger:

Bypass DHCP desactivado

• Capturamos el tráfico que pasa por el AP con Wireshark para ver alguna IP local de un cliente autenticado.

• Cambiamos nuestra IP a la autenticada

• NOTA: dos usuarios pueden tener la misma MAC pero no la misma IP

Cifrado WPA

• Cifrado seguro

• La mayoría de los adaptadores la soportan aunque no algunos antiguos

• Cada vez más utilizado (aunque no bien utilizado)

Optimización del tiempo

• Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar

Let´s go

• Ponemos nuestro adaptador en modo monitor:

Capturando paquetes

• Utilizamos airodump-ng para capturar paquetes

Filtrando y guardando

• Filtramos el AP a auditar con los comandos: --bssid: Bssid del AP

-c :canal en el que emite el AP

• Guardamos los paquetes: -w

Wlandecrypter & Jazzteldecrypter

• Crea diccionarios con los passwords por defecto de los APs en función de su ESSID Y BSSID (fuerza bruta)

• Basta con capturar 4 datas para proceder al cracking

Aircrack-ng

• Crackeador de contraseñas.

• –w para cargar diccionario

Optimizacion del tiempo

• Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar

Wep: a3+a0, ¡hay cliente!

• Comprobamos que hay clientes autenticados

. . .

• Inyectamos tráfico para aumentar los ivs/seg ya que necesitamos cerca de 100.000 y recordad… optimización del tiempo.

. . .

• Como tarda en inyectar y no queremos perder el tiempo, (si, siempre con el maldito tiempo) lanzamos un ataque de desautenticación para forzar a inyectar cuando el cliente se reconecte al AP.

• Podemos lanzarlo contra todos los clientes o solo contra alguno en concreto (-c)

. . .

Aplicamos aircrack a la captura

• Cuando tengamos cerca de 70000 podemos probar si tenemos la contraseña.

• ¿Aircrack-ng VS Aircrack-ptw?

Optimizacion del tiempo

• Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar

WEP: A1 + a3 ¡no hay cliente!

• Si no hay clientes conectados al AP lo que haremos será una falsa autentificación y posterior inyección.

• Recomendable cambiarnos la MAC a una fácil de recordar: macchanger –m 00:11:22:33:44:55 wlan0

• Si no conseguimos autentificarnos es bueno bajar el rate para tener mayor alcance: iwconfig wlan0 rate 1M

. . .

. . .

• Esperemos a que se produzca la inyección de paquetes y veremos como los datas empiezan a subir.

• Cuando tengamos los suficientes datas simplemente utilizamos el aircrack-ng/ptw para obtener la contraseña

• Este proceso puede durar desde minutos hasta horas.

¿“Hasta HORAS” ?

• ¿Horas? ¿Y qué pasa con eso de optimizar el tiempo?

• Ahí es donde intervienen los ataques chopchop y fragmentación

WEP: Ataque chop-chop

WEP: Fragmentacion

• Aireplay-ng -5 –b MAC_AP –h NUESTRA_MAC wlan0

After frag & chop

• Una vez que ya tenemos el archivo XOR resultante creamos con packetforge un archivo ARP que inyectaremos

• packetforge-ng -0 -a MAC_VICTIMA -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255.255 -y XOR.xor -w arp

Inyectando arp “artesano”

• Ahora que ya tenemos el arp “artesano” lo inyectaremos con la opción -2 de aireplay-ng

Aplicamos aircrack a la captura

• Cuando tengamos cerca de 70000 podemos probar si tenemos la contraseña.

• ¿Aircrack-ng VS Aircrack-ptw?

Optimizacion del tiempo

• Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar

WPA: Tkiptun-ng

• Tkiptun-ng es una utilidad experimental que intenta romper el cifrado WPA con encriptación TKIP (más usual)

• Se captura handshake pero no es necesario, solo se utiliza por razones de depuración

• Requisitos:– Tanto AP como adaptador deben tener activado el QoS

– Bastante tiempo de reinyección (sobre 1 hora)

WPA & WPA2

• Se debe romper por fuerza bruta. (diccionario)

• Su seguridad depende del usuario (contraseña robusta)

• No se deben capturar muchos datas sino solo uno: el handshake (ó apretón de manos)

• Se necesita que haya un cliente autentificado

• Hay avances en la forma de ejecutar el ataque por fuerza bruta

How to: wpa&wpa2

• El handshake solo se produce cuando el cliente legítimo se conecta al AP. Por tano lo podemos obtener de dos formas:– Esperando a que se autentique (esté o no ya

autenticado)– Forzándolo mediante un ataque de desautentificación

• Una vez conseguido procederemos al ataque por diccionario

Aircrack-ng

• Crackeador de contraseñas.

• –w para cargar diccionario

Hacking WPA using GPU

• Para conseguir un mayor ratio de pass/segundo podemos utilizar la GPU de nustras targetas gráficas.

• Ejemplos: Pyrit, Elcomsoft…

Phising wireless

• Otra de las formas para poder conseguir la contraseña tanto WEP como WPA/2 es mediante el phising al AP.

• Crearíamos un AP falso del mismo nombre y características que el auditado con airbase-ng

• Realizar un ataque DoS contra el AP infinitas veces (aireplay-ng -0 0 –a MAC_AP wlan0)

• La víctima se conectaría a nuestro AP fake al no poder conectarse al suyo debido a los múltiples envíos de desautentificación a su AP

• Nos enviaría la contraseña en texto plano

Dudas y preguntas