20 de septiembre de 2008

Piratear redes WLAN_XX de Telefónica con Wifislax, fácil y divertido

Veamos paso a paso cómo piratear las redes wifi de Telefónica de nuestros vecinos. Sí, piratear. Las cosas por su nombre.

1 - Descargar y arrancar WifiSlax

Nos descarmos la distribución completa de WifiSlax. Es una imagen ISO que deberemos grabar en un CD. Una vez hecho esto, reiniciamos el ordenador con el CD de WifiSlax metido en la unidad lectora. Si vuelve a aparecer Windows, hay que modificar las opciones de arranque de la BIOS, cosa que no voy a explicar aquí.

2 - Iniciar el entorno gráfico

Una vez iniciado WifiSlax, nos deja en una pantalla en modo texto. Para quien no sepa leer, hay que poner como nombre de usuario "root" y como contraseña "toor". A continuación iniciaremos el entorno gráfico con estos dos comandos:
xconf
startx

Dependiendo del ordenador, el entorno gráfico se verá muy pero que muy feo, a muy baja resolución, por lo que yo suelo ejecutar estos tres comandos en vez de los dos anteriores:
loadkeys es
cp /etc/X11/xorg.conf-vesa /etc/X11/xorg.conf
startx

Esto hace que se utilice el driver estándar para la tarjeta gráfica, lo cual no nos proporciona las mejores prestaciones, pero sí unas bastante aceptables.

Dentro del entorno gráfico necesitaremos dos ventanas de línea de comandos, por lo que pinchamos dos veces en el icono "Shell" del escritorio, recolocando las ventanas como mejor nos convenga para que no se estorben.

3 - Activar y preparar el dispositivo Wifi

Este punto es el que más problemas da con diferencia, porque NO TODAS LAS TARJETAS DE RED WIFI ESTÁN SOPORTADAS. Al final del post he añadido las pocas que la gente me ha dicho que funcionan.

Seguimos. En una de las dos ventanas, ejecutamos:
iwconfig

Aparecerá un listado con todos dispositivos de red que tiene el ordenador. Nos fijamos en los que NO ponga "no wireless extensions". Normalmente se llamarán "wlan0", "rausb0", "ath0", o tal vez otros nombres. Nos quedamos con el nombre, porque lo utilizaremos bastante de aquí en adelante. Supongamos para nuestros ejemplos que la interfaz de red wireless es "rausb0". Ejecutamos:
ifconfig rausb0 up

Esto activa el dispositivo de red, si no estaba ya activado. Al ejecutar "ifconfig" solo, se nos muestra la lista de interfaces de red activas.

A continuación activamos el modo monitor (también llamado modo promiscuo), para que podamos ver todo el tráfico de red existente, y bajamos la velocidad a 1 mb/s para que la señal wifi llegue más lejos:
iwconfig rausb0 mode monitor
iwconfig rausb0 rate 1m


4 - Escanear redes

Ya lo tenemos todo listo. Ahora veamos qué redes wifi existen en nuestro entorno:
airodump-ng rausb0 -w dump

Nos aparecerá una pantalla similar a esto:



Esta pantalla está dividida en dos partes: la primera muestra una tabla con los routers (también llamados "Access Points" o APs) que se encuentran emitiendo, mientras que la segunda tabla nos muestra los clientes (ordenadores, móviles o consolas wifi, etc) que se encuentran conectados o bien están intentando conectarse a una o varias redes.

En el caso especial que nos ocupa (las redes WLAN_XX de Telefónica), sólo nos fijaremos en la primera tabla. Las columnas que nos interesan son:
  • BSSID: el identificador del router.
  • # Data: el número de paquetes de tráfico de red capturados.
  • CH: el canal en el que está funcionando el router.
  • ESSID: el nombre de la red.


5 - Atacar una red concreta

Cuando encontremos una red WLAN_XX (podemos agrandar la ventana a lo ancho para que aparezcan todos los nombres de las redes completos), debemos esperar a tener 4 paquetes de tráfico capturados. Con menos de 4 paquetes no se puede hacer nada.

Pero sí podemos acelerar el proceso de captura de datos, restringiendo el escaneo al canal de la red que nos interese. Para ello, suponiendo que la red que queremos piratear sea la WLAN_01, que su BSSID sea 01:02:03:04:05:06 y que esté funcionando en el canal 2; pulsaremos Ctrl+C para salir de la pantalla y ejecutaremos:
airodump-ng rausb0 -w dump -c 2

Nos volverá a salir la misma pantalla que antes, pero sólo con las redes que trabajen en el canal 2. A veces salen redes de otros canales, normalmente porque su señal es muy fuerte. Si sólo salen redes de otros canales, probablemente no se haya cambiado bien el canal, para ello, antes del comando anterior, cada vez que queramos cambiar de canal, ejecutaremos:
iwconfig rausb0 channel 2


La clave de todo este proceso es capturar paquetes de tráfico de la red que queremos atacar. Por ello es importante moverse con el ordenador. Normalmente los router emiten muy fuerte y se puede capturar su señal bien (en tal caso, los "beacons", que son las señales que emiten diciendo "eh, estoy aquí", aumentarán a gran velocidad); pero los ordenadores emiten con menor fuerza, por lo que es importante situarse en un lugar con las menores interferencias y obstáculos posibles. Hay quien ha conectado un wifi USB a una alargadera USB, lo ha atado al extremo de una escoba y ha sacado la escoba por la ventana. Esto sólo es necesario para piratear; una vez obtenida la clave, no hará falta hacer más el indio.

6 - Generar una lista de posibles claves

Cuando tengamos 4 ó más paquetes de datos de una red, ya podemos frotarnos la manos. Nos vamos a la otra ventana y ejecutamos:
wlandecrypter 01:02:03:04:05:06 WLAN_01 dicc_01.txt

Este comando creará un archivo dicc_01.txt con una lista de posibles contraseñas. Si da error, significa que el router es demasiado moderno y no lo tiene en su base de datos.

El punto débil de las WLAN_XX es el siguiente: no se sabe qué mente lúcida pensó que lo mejor sería poner la contraseña por defecto así:
  • El carácter #1, la primera letra de la marca del router: si es un Comtrend, la C, si es un Xavi, la X, si es un Zyxel, la Z. Por esto el programa wlandecrypter tiene una base de datos, para saber a partir del BSSID qué marca de router es.
  • Los caracteres #2 al #7, las primeras seis letras del BSSID. En este caso, 010203.
  • Los caracteres #12 y #13, las letras XX del nombre de red. En nuestro caso, 01.


Con lo que, en una contraseña WEP de 13 letras, ya sabemos 9 de ellas. Nos queda averiguar las 4 restantes (las que están en las posiciones del #8 al #11), que siendo el valor posible de cada una de ellas del 0 al 9 y de la A a la F, nos da un total de aprox. 65500 combinaciones posibles. Lógicamente, nos podemos aburrir si las probamos a mano, pero si obtenemos 4 paquetes de datos es casi instantáneo.

Todavía no se sabe por qué Telefónica no ha cambiado esto, cuando hace muuucho tiempo que se conoce esta vulnerabilidad.

7 - Obtener la contraseña

Ejecutamos en la segunda ventana:
aircrack-ng dump*.cap -w dicc_01.txt

Elegimos la red que queremos atacar de la lista, y voilá. Nos dará la clave entre corchetes, en una línea en color rojo.

--------------------------------

Hala, a disfrutar. Dejad un comentario si véis que hay algún error o algún punto no queda claro.




BONUS: Casi seguro que el usuario y la clave de administración del router (el panel de control estará con toda probabilidad en http://192.168.1.1) es "1234" y "1234". Si no es así, buscad en google cuál es el usuario y contraseña por defecto de los routers más comunes, y casi seguro que la sacáis.

Una vez obtenido acceso al router, se le pueden abrir los puertos para el torrent, el emule, etc. Pero ésa es otra historia.




--- Actualización 19/5/2009:

Lo de la lista de tarjetas que funcionan es un tema chungo: si la tarjeta no funciona, vienen como locos a poner un comentario para ver si alguien se lo puede solucionar; pero cuando sí funciona, no vienen a decir que sí les has funcionado (excepto honrosas excepciones). Así que tenemos las siguientes listas:

Tarjetas wifi soportadas por Wifislax:
  • D-Link DWL-G122 [USB] versión C1 3.00
  • OvisLink Evo-W54 Base Wireless
  • SMC EZ Connect G [USB]
  • D-Link DWL-510 [PCI]


Tarjetas wifi que al parecer no funcionan con Wifislax:
  • Integradas de los portátiles cuando hay pulsar una tecla o combinación de teclas para activarlas (ej. Fn+F1)
  • D-Link G132 [USB]
  • D-Link DWL-G122 [USB] versión anterior a la C1 3.00


Otra cosa. Los wifis USB son productos de gama baja de escasa calidad y suelen fallar bastante. Tengo un par que han dejado de funcionar de buenas a primeras. Uno de ellos mi querido D-Link DWL-G122 (pero me queda otro que funciona a las maravillas) y el otro un Conceptronic. Hay que comprobar que el problema es de Wifislax y no de la tarjeta (probándola en Windows anteriormente, claro).

--- Fin de la actualización




Artículos relacionados: