8 de junio de 2009

Piratear redes wifi con seguridad WEP, difícil pero divertido

A continuación vamos a ver cómo sacar las contraseñas de las redes wifi con seguridad WEP que no son WLAN_XX. Para ello vamos a necesitar nuestra siempre fiel Wifislax (o su hermana menor, Wifiway).

Vamos a presuponer en este artículo que ya estamos familiarizados con el funcionamiento de Wifislax y de la herramienta 'airodump-ng'. Para ello recomiendo leer el artículo sobre cómo piratear redes WLAN_XX de Telefónica (incluidos los comentarios) y practicar con este tipo de redes hasta que estén completamente dominadas y piratearlas resulte incluso aburrido.

He de decir antes de seguir que este método es mucho más complicado. Tiene la ventaja de que funciona con todas las wifis con seguridad WEP, pero tiene la desventaja de que a veces las cosas no funcionan como (yo creo que) deberían, y no sé por qué. Digamos que, para mí, piratear redes WLAN_XX es una ciencia, mientras que piratear redes WEP es un arte.

Preparación y selección del objetivo



Como en el artículo sobre las WLAN_XX, arrancamos el CD, entramos en el entorno gráfico pero esta vez abrimos tres terminales o shells.

En una de ellas escribimos los comandos necesarios para activar la wifi y, suponiendo que nuestra interfaz wifi sea rausb0, ejecutamos:

airodump-ng rausb0 -w dump

Aparecerá algo parecido a esto:



Recordamos que esta pantalla está dividida en dos partes: la primera muestra una tabla con los routers (también llamados "Access Points" o APs) que se encuentran emitiendo, mientras que la segunda tabla nos muestra los clientes (ordenadores, móviles o consolas wifi, etc) que se encuentran conectados o bien están intentando conectarse a uno o varios routers.

En este caso sí nos interesan las dos partes, ya que no se trata únicamente de capturar el tráfico entre el router y un ordenador, sino que tendremos que desconectar al ordenador para obligarle a reconectar y en ese momento capturar unos paquetes clave (llamados 'ARP') que sólo se encuentran en el proceso inicial de autentificación.

Como es lógico, tenemos que buscar redes en las que la seguridad (o encriptación) sea WEP. Para ello miramos la columna ENC de la parte superior. Supongamos que la red que nos interesa se llama "Pepito" (el ESSID es el nombre de la red), que su dirección física (también llamada MAC o BSSID) es 00:01:11:11:11:11 y que está operando en el canal 10 (columna CH).

Para filtrar mejor, escaneamos únicamente el canal 10 y le decimos que capture únicamente los paquetes de tráfico con información útil para el pirateo (se llaman paquetes 'IVS'):

airodump-ng rausb0 -w dump --ivs -c 10

Recordemos que la red tiene que tener tráfico. Hay tráfico cuando el valor de la columna #DATA se incrementa (cuanto más rápido mejor). Si no hay tráfico, no hay nada que rascar. Mover el portátil o la antena wifi ayuda a mejorar la recepción.

Pero con que haya tráfico no basta. Además, la red ha de tener al menos un dispositivo conectado. Esto lo sabremos porque en la parte inferior habrá una línea en la que el BSSID sea el mismo de nuestro router (00:01:11:11:11:11 en este caso) y la columna STATION será la MAC del dispositivo que encuentra conectado al router (normalmente un ordenador, pero puede ser una videoconsola o un móvil). Si hay varios, nos quedamos con uno cualquiera. Supongamos que el STATION que tenemos es 00:02:22:22:22:22.

Como aclaración, decir que las líneas de la parte inferior en las que aparece una MAC en STATION pero en BSSID pone "not associated" indican que hay dispositivos que están buscando routers para conectarse, pero no los encuentran. Por ejemplo, si tienes en el portátil metida la wifi del trabajo (que se llama "WIFI_EMPRESA") para que se conecte automáticamente, cuando lo traes a casa, el Windows estará constantemente enviando señales diciendo "si el router WIFI_EMPRESA se encuentra por aquí, que me lo diga para conectarme", y en el airodump-ng aparecerá una línea en la parte inferior con "not associated" en BSSID, la MAC de la wifi de tu ordenador en STATION y "WIFI_EMPRESA" en la columna PROBES. Estos dispositivos son atacables mediante la técnica "aireplay caffe-latte", pero ésa es otra historia. Sólo lo dejo caer.

Recopilemos. Necesitamos:
1) un router con encriptación WEP,
2) tráfico y
3) un dispositivo conectado al router.

Capturar un paquete ARP e inyectar



Lo más probable es que la velocidad a la que se capturan los paquetes sea bastante baja. Para acelerarla, hay que "atrapar" al menos un paquete de autentificación ARP y a partir de ese momento inyectar nuestros propios paquetes con el fin de engañar al router y al ordenador y obligarles a que estén continuamente intercambiando información, aumentando de esta manera el número de paquetes capturados.

Para esto, nos vamos a una de las otras dos ventanas y escribimos:

aireplay-ng rausb0 -3 -b 00:01:11:11:11:11 -h 00:02:22:22:22:22 -e Pepito

Si el nombre de la red contiene espacios, se pone entre comillas. Por ejemplo:

aireplay-ng rausb0 -3 -b 00:01:11:11:11:11 -h 00:02:22:22:22:22 -e "Mi Wifi"

El programa nos dirá que está esperando recibir paquetes y que lleva 0 paquetes ARP capturados. Cuando capture un paquete ARP, él solito sacará la información necesaria del mismo y empezará a emitir paquetes falsos para mantener al router y al ordenador "hablando" entre ellos. Lo dejamos así y nos vamos a la tercera ventana.

Desconectar y reconectar al otro ordenador



Ahora, tenemos que forzar la situación para que hayan paquetes ARP. Como este tipo de paquetes únicamente se emiten para identificarse cuando un ordenador está intentando conectarse a un router, tendremos que desconectar al ordenador y después forzar la reconexión, por si las moscas y el ordenador no intenta reconectarse sólo.

Nos vamos a la tercera ventana. Para desconectarlos escribimos:

aireplay-ng rausb0 -0 4 -a 00:01:11:11:11:11 -c 00:02:22:22:22:22 -e Pepito

Y a continuación, para reconectarlos:

aireplay-ng rausb0 -1 4 -b 00:01:11:11:11:11 -h 00:02:22:22:22:22 -e Pepito

Ésta es la parte más difícil, en la que la teoría falla. Pero creo que todo se reduce a mejorar la calidad de la señal, bien moviéndonos o bien comprando una antena mejor. Lo digo porque cuando he intentado piratear (siempre con fines educativos, eh!) redes con señal fuerte, no ha habido problema. Esto puede deberse a que en este caso no basta con leer los paquetes que el router envía, sino que tenemos que enviar nosotros paquetes tanto al router (que tiene una buena antena) como al ordenador (que suelen tener una antena mucho peor que los routers). Ésta es mi opinión; no tengo una idea certera de por qué a veces falla.

Bueno, el caso es que si vemos que la segunda ventana (la que está esperando ARPs) no ha recibido ninguno, que no está emitiendo, y que el airodump no ha empezado a capturar paquetes como loco, pulsamos Ctrl+C y volvemos a ejecutar estos dos comandos de forma seguida (ya no hay que volver a escribirlos, sino que basta pulsar la flecha de arriba un par de veces para que salgan de nuevo). Puede que esto lo tengamos que hacer unas cuantas veces.

Cuando el airodump empiece a capturar paquetes a toda velocidad, la inyección ha funcionado.

Esperar y sacar la contraseña



Ahora sólo cabe esperar. En el airodump hay una columna, #/s, en la que nos dice cúantos paquetes por segundo se están capturando. Esta velocidad depende de muchos factores, como la distancia, los materiales intermedios, las interferencias, etc. Moverse suele mejorar las cosas. Yo he tenido algunas a 400 #/s (en unos minutos estaba hecho) y otras a 10 #/s (tuve que esperar días). Paciencia.

De vez en cuando, más o menos cada 50.000 paquetes capturados, nos vamos a la última ventana y escribimos (podemos pulsar Ctrl-C para matar el 'aireplay-ng -1' si todavía está ejecutándose):

aircrack-ng *.cap *.ivs

Nos dará a elegir de una lista de redes. Elegimos la que nos interesa (Pepito) y se pondrá a hacer cálculos estadísticos. Si en unos 15-20 segundos no ha sacado la contraseña, lo paramos con Ctrl+C y esperamos a tener 50.000 paquetes más. No compensa tenerlo siempre funcionando, ya que gasta CPU que se podría estar dedicando a capturar más paquetes y no va a encontrar la contraseña antes.

Lo normal es que, dependiendo de la fortaleza de la contraseña WEP (las hay de 5 caracteres o de 13 caracteres), habrá que capturar 200.000 ú 800.000 paquetes, respectivamente. Lo que pasa es que a veces suena la flauta y sale la contraseña con menos paquetes; de ahí lo de probar cada 50.000.

La contraseña nos puede salir de dos maneras: en ASCII o en hexadecimal. Las contraseñas ASCII son en texto normal. Se apuntan y se meten luego tal cual (respetando las mayúsculas). Si sale en hexadecimal lo sabremos porque cada dos caracteres aparecerán dos puntos, como en las direcciones MAC. Por ejemplo, una contraseña hexadecimal de 5 caracteres sería: A1:B2:C3:D4:E5. Estas contraseñas se meten luego sin los dos puntos.

Bueno, espero que este manual sirva a tanta gente como me consta que ha servido el de WLAN_XX y Wifislax. Anda, que vuestros vecinos tienen que estar contentos...

Ya sabéis que estaré encantado de resolver dudas en los comentarios.




Artículos relacionados:

17 comentarios:

Anónimo dijo...

hola , he visto q no tenias ningun comentario, y t keria agradecer sta valiosisima informacion, seguro q las compañias de internet se benefician de ello d algun modo, ciao.

Anónimo dijo...

Hola, primero queria darte las gracias por toda esta informacion, y ahora te traigo preguntas:
1.cuando dejo capturando ARPs en la segunda ventana con el comando aireplay-ng rausb0 -3 -b (MAC router) -h (MAC STATION) -e pepito,
me dice: The interface MAC(MAC DWL-G122) doesn't match the specified MAC (-h)
ifconfig rausb0 hw ether (MAC STATION)
te agradeceria si sabes que puedo hacer..

Sadi dijo...

Tranquilo, es lo normal y así debe ser. Te dice eso porque tu tarjeta wifi trae una dirección MAC de fábrica, pero como tiene que fingir ser otra, el Wifislax se la cambia momentáneamente.

Si no funciona no es por eso. Intenta mover el ordenador para que tenga mejor recepción. Y bájale la frecuencia a la tarjeta, con la instrucción "iwconfig rausb0 rate 1M", con la M mayúscula.

Anónimo dijo...

Primeramente felicidades por tus posts, gracias a ti puedo consultar internet de vez en cuando sin tener que pagar 30 euros al mes....

La cuestión es que empece entrando en redes de telefónica y ningún problema, todo OK. El problema me ha venido al ejecutar el airecrack
lo ejecuto cuando llevo unos 50000 paquetes y no se cuantos ARP:

"airecrack-ng *.cap *.ivs"

...
opening *.ivs
open failed: No such file or directory
...

Que está pasando? hay que especificar un fichero .ivs especifico? Es que no se ha generado ningún fichero ivs?

No sé que hacer. Muchas gracias.

Sadi dijo...

No me preguntes por qué, pq no lo sé, pero a veces el aircrack no "entiende" los archivos .ivs. En ese caso, te recomiendo no utilizar "--ivs" con el airodump y no pasarle el parámetro "*.ivs" al aircrack. Aunque ocupen más, trabajar sólo con caps de toda la vida.

Sadi dijo...

Dentro de poco, cuando saque un rato, voy a publicar un post sobre un programa que he descubierto, spoonwep, que lo automatiza todo. Es una maravilla.

Lo he visto en una "distribución" (Wifislax, Wifiway y Ubuntu, entre otras, son diferentes distribuciones de Linux) que se llama Backtrack. Lo malo es que no está orientada exclusivamente a la "seguridad" wireless, por lo que no trae herramientas específicas como el wlandecrypter. Pero el spoonwep compensa, a la hora de sacar contraseñas de redes WEP normales.

Anónimo dijo...

hola la MAC a la que te refieres con 00:02:22:22:22:22... corresponde a nuestra MAC(a la que algunos la falsean con 00:11:22:33:44:55)o la sacamos eligiendo cualquiera de la parte STATION del airodump?

Sadi dijo...

Anónimo del 7/9/2009, la MAC 00:02:22... es una de las Station que se encuentren conectadas al router que queremos atacar. Debe aparecer en la parte inferior del airodump. En la imaen del post, uno de los que aparecen debajo de la palabra "CLIENTS" en rojo. Pero lógicamente no uno cualquiera, sino uno que esté conectado al router que queremos atacar.

Anónimo dijo...

Hola, ante todo y como dicen todos, gracias por tu esfuerzo, gente torpe en estas cosas como yo te lo agradecemos. Verás, mi problema por ahora es un poco tonto: he instalado el commowiew y cuand le doy a buscar las redes, al play, vamos, me salen unas cuantas, pero no logro encontrar la opción siguiente, la de "iniciar el explorador". No se si debe a que no lo he configurado bien, porque antes que molestarte he estado buscando dentro de los menús, submenús, y nada chico. Espero que puedas ayudarme y antes de nada te lo agradezco. Saludos.

Christangel_Sud dijo...

me gustaria saber cuales son todos los programas para windows la coneccion inalambrica es particular se hace llamar torres

Anónimo dijo...

Hola, muchas gracias por estos valiosos tutoriales. Tengo 2 dudas:
* Al ejecutar
aireplay-ng rausb0 -0 4 -a 00:01:11:11:11:11 -c 00:02:22:22:22:22 -e Pepito
con las direcciones apropiadas hace los 4 intentos de "sending deAuth to station" pero no ratifica la desconexion así q no se si está funcionando bien

* A continuacion para reconectar uso aireplay-ng rausb0 -1 4 -b 00:01:11:11:11:11 -h 00:02:22:22:22:22 -e Pepito

me muestra por pantalla "Please specify a BSSID(-a)". Si uso -a en vez de -b se ejecuta pero no se incrementan demasiado los paqutes en el airodump así q no consigo obtener la contraseña.

Un saludo

Anónimo dijo...

hola crack! conseguí una clave d una red wlan_xx y me funcionó durante un tiempo. el problema es q ahora no me funciona nada d internet a pesar de que sigue conectando con esta red (y no puedo acceder al router pq es d imagenio y no van las claves clásicas). Alguna idea?

Anónimo dijo...

les paso un buen enlace sobre el tema: http://www.blogitecno.com/2010/05/%C2%BFcomo-piratear-la-senal-wifi/

Anónimo dijo...

Me ha gustado mucho estos tutoriales se ve que te lo curas mucho.

Una pregunta, muy sencilla

Wifislax o wifiway?

Cual te gusta mas y por que?

Anónimo dijo...

Les paso un post sobre un programa para piratear WEP: http://www.blogitecno.com/2010/12/wifi-box-usb-router-para-desencriptar-claves-wifi-y-wep/

Sara dijo...

sigue funcionando este blog??

Sara dijo...

sigue funcionando este blog???