Transcript Hacking Wireless
Hacking Wireless
Seguridad de los cifrados WEP, WPA y WPA2
Producido, dirigido e interpretado por Alberto García
Punto de partida • Tipos de cifrado de las redes wifi.
• Compatibilidad de dichos cifrados con los adaptadores wireless.
• Seguridad de cada uno de los cifrados.
Requisitos previos • Adaptador wireless cuyo chipset entre en modo monitor (no confundir con modo promiscuo) • Suite Aircrack-ng, Jazzteldecrypter, Wlandecrypter y Karmetasploit • La mayoria de dichas herramientas se encuentran en BT4, Wifislax o Wifiway
Cifrado WEP • Cifrado inseguro • Todos los adaptadores lo soportan • Aún muy utilizado por los usuarios
Restr. MAC y DHCP desact.
• No son medidas de seguridad eficaces • La restricción de MAC: solo permite autenticarse a un usuario con una MAC concreta • DHCP desactivado: hay que introducir los datos de IP, gateway, DNS… manualmente
Bypass restr. MAC • Tan sencillo como utilizar la de un usuario autenticado y cambiarnos la nuestra con macchanger:
Bypass DHCP desactivado • • Capturamos el tráfico que pasa por el AP con Wireshark para ver alguna IP local de un cliente autenticado.
Cambiamos nuestra IP a la autenticada • NOTA: dos usuarios pueden tener la misma MAC pero no la misma IP
Cifrado WPA • Cifrado seguro • La mayoría de los adaptadores la soportan aunque no algunos antiguos • Cada vez más utilizado (aunque no bien utilizado)
Optimización del tiempo • Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar
Let´s go • Ponemos nuestro adaptador en modo monitor:
Capturando paquetes • Utilizamos airodump-ng para capturar paquetes
Filtrando y guardando • • Filtramos el AP a auditar con los comandos: --bssid: Bssid del AP -c :canal en el que emite el AP Guardamos los paquetes: -w
Wlandecrypter & Jazzteldecrypter • • Crea diccionarios con los passwords por defecto de los APs en función de su ESSID Y BSSID (fuerza bruta) Basta con capturar 4 datas para proceder al cracking
Aircrack-ng • • Crackeador de contraseñas.
–w para cargar diccionario
Optimizacion del tiempo • Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar
Wep: a3+a0, ¡hay cliente!
• Comprobamos que hay clientes autenticados
. . .
• Inyectamos tráfico para aumentar los ivs/seg ya que necesitamos cerca de 100.000 y recordad… optimización del tiempo.
. . . • Como tarda en inyectar y no queremos perder el tiempo, (si, siempre con el maldito tiempo) lanzamos un ataque de desautenticación para forzar a inyectar cuando el cliente se reconecte al AP.
• Podemos lanzarlo contra todos los clientes o solo contra alguno en concreto (-c)
. . .
Aplicamos aircrack a la captura • • Cuando tengamos cerca de 70000 podemos probar si tenemos la contraseña.
¿Aircrack-ng VS Aircrack-ptw?
Optimizacion del tiempo • Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar
WEP: A1 + a3 ¡no hay cliente!
• Si no hay clientes conectados al AP lo que haremos será una falsa autentificación y posterior inyección.
• Recomendable cambiarnos la MAC a una fácil de recordar: macchanger –m 00:11:22:33:44:55 wlan0 • Si no conseguimos autentificarnos es bueno bajar el rate para tener mayor alcance: iwconfig wlan0 rate 1M
. . .
. . .
• • • Esperemos a que se produzca la inyección de paquetes y veremos como los datas empiezan a subir. Cuando tengamos los suficientes datas simplemente utilizamos el aircrack-ng/ptw para obtener la contraseña Este proceso puede durar desde minutos hasta horas.
¿“Hasta HORAS” ?
• • ¿Horas? ¿Y qué pasa con eso de optimizar el tiempo?
Ahí es donde intervienen los ataques chopchop y fragmentación
WEP: Ataque chop-chop
WEP: Fragmentacion • Aireplay-ng -5 –b MAC_AP –h NUESTRA_MAC wlan0
After frag & chop • Una vez que ya tenemos el archivo XOR resultante creamos con packetforge un archivo ARP que inyectaremos • packetforge-ng -0 -a MAC_VICTIMA -h 00:11:22:33:44:55 -k 255.255.255.255 -l 255.255.255.255.255 -y XOR.xor -w arp
Inyectando arp “artesano” • Ahora que ya tenemos el arp “artesano” lo inyectaremos con la opción -2 de aireplay-ng
Aplicamos aircrack a la captura • • Cuando tengamos cerca de 70000 podemos probar si tenemos la contraseña.
¿Aircrack-ng VS Aircrack-ptw?
Optimizacion del tiempo • Muy importante ahorrar tiempo en el proceso de verificación de la seguridad del AP a auditar
WPA: Tkiptun-ng • • • Tkiptun-ng es una utilidad experimental que intenta romper el cifrado WPA con encriptación TKIP (más usual) Se captura handshake pero no es necesario, solo se utiliza por razones de depuración Requisitos: – Tanto AP como adaptador deben tener activado el QoS – Bastante tiempo de reinyección (sobre 1 hora)
WPA & WPA2 • • • • • Se debe romper por fuerza bruta. (diccionario) Su seguridad depende del usuario (contraseña robusta) No se deben capturar muchos datas sino solo uno: el handshake (ó apretón de manos) Se necesita que haya un cliente autentificado Hay avances en la forma de ejecutar el ataque por fuerza bruta
How to: wpa&wpa2 • • El handshake solo se produce cuando el cliente legítimo se conecta al AP. Por tano lo podemos obtener de dos formas: – Esperando a que se autentique (esté o no ya autenticado) – Forzándolo mediante un ataque de desautentificación Una vez conseguido procederemos al ataque por diccionario
Aircrack-ng • • Crackeador de contraseñas.
–w para cargar diccionario
Hacking WPA using GPU • • Para conseguir un mayor ratio de pass/segundo podemos utilizar la GPU de nustras targetas gráficas.
Ejemplos: Pyrit, Elcomsoft…
Phising wireless • • • • • Otra de las formas para poder conseguir la contraseña tanto WEP como WPA/2 es mediante el phising al AP. Crearíamos un AP falso del mismo nombre y características que el auditado con airbase-ng Realizar un ataque DoS contra el AP infinitas veces (aireplay-ng -0 0 –a MAC_AP wlan0) La víctima se conectaría a nuestro AP fake al no poder conectarse al suyo debido a los múltiples envíos de desautentificación a su AP Nos enviaría la contraseña en texto plano
Dudas y preguntas