Wireless – Como quebrar senhas de redes WEP e WPA

Posted May 2, 2008

Hoje acordei com vontade de pesquisar sobre segurança em redes wireless e me

surpreendi com os resultados!

POST ATUALIZADO:
Alguns usuários relataram que alguns roteadores novos não estão possibilitando
quebrar a senha WEP nem WPA. É importante lembrar que o sinal da sua
placa wireless tem que estar forte. Aqui no blog, coloquei um post de como fazer uma
antena wireless usando lata de batata pringles ou lata de óleo, também chamada de
Cantenna. No site da aircrack também há alguns updates do software e de drivers.

Há pelo menos uns quatro ou cinco softwares bons para quebrar segurança em redes que
utilizam WEP ou WPA e o ataque, apesar de usar força bruta e um pouco de
matemática, realmente funciona.

O intuito aqui não é estimular o ataque às redes disponíveis e sim mostrar um pouco da
fragilidade de segurança.

Vamos aos fatos, ou melhor, aos artefatos

Objetivos:
=========
– Pesquisar o modo que os pacotes são transmitidos pela rede sem fio;
– Localizar uma forma de captar os pacotes através de um sniffer;
– Quebrar a senha WEP / WPA;

Minha pesquisa baseou-se inicialmente no modo em que os pacotes são enviados pela
rede sem fio e de uma possível forma de captar os pacotes. A partir desse princípio,
localizar uma forma de quebrar a criptografia do WEP e do WPA.

A brincadeira consiste em deixar seu adaptador de rede sem fio no modo de

monitoramento, para que seja capaz de ler os pacotes que estão “voando” e injetar de
volta no AccessPoint gerando tráfego suficiente para a quebra da chave.

O princípio é o mesmo usado no modo de capturamento de pacotes das redes que

utilizam hub ou os antigos cabos coaxiais: Quem estiver “conectado” pode checar se
aquela informação realmente lhe pertence. Se temos um adaptador wireless que esteja
ao alcance do AccessPoint(AP), podemos verificar os pacotes.

Nota 1:
Você pode ler meu outro post que fala sobre a criação de uma Cantena ou Cantenna,
usando uma lata de batata pringles, amplificando seu sinal. Para quem não acredita,
realmente funciona.

Nota 2:
Para poder executar os passos aqui citados, sua placa de rede PRECISA TER
SUPORTE AO MODO DE MONITORAMENTO E INJEÇÃO DE PACOTES!
http://www.aircrack-ng.org/doku.php?id=compatibility_drivers

Nota 3:
Se você tiver que comprar uma placa de rede Wireless, aproveite para achar uma que
tenha conector para acoplar antena externa.

Utilitários:
============
– Notebook rodando Mandriva Linux 2008 (ou qualquer outra distribuição linux) dentro
de uma Virtual Machine [abaixo explico os motivos]
– Aircrack-ng, aireplay, airodump-ng [ http://www.aircrack-ng.org/ ]
– Adaptador Wireless USB GWL-G122 Revisão C [ Ver compatibilidade no site do
Aircrack ]

Por que usar linux ?

Simples: O número de placas que possuem suporte ao modo de monitoramento e ao
modo de injeção de pacotes é muito maior que no Windows. A maioria dos fabricantes
desenvolve drivers que possuem este modo desabilitado para justamente evitar este tipo
de “ataque”.

Por que usar uma Virtual Machine ?

Gosto de simplicidade: Meu notebook está com Windows e o trabalho para
reparticionar o HD e instalar o linux no modo DualBoot não compensa. É mais simples
aproveitar os benefícios da emulação de outro sistema operacional.

Não está no escopo desse post os detalhes da instalação do Linux, mas se você tiver o
VMWare (software responsável por emular SO’s), no próprio site do Aircrack já tem
uma prontinha pra usar

http://www.aircrack-ng.org/doku.php#virtual_machine1

Quebrando as senhas:
===================

WEP
Mais fácil de quebrar, pois o ataque apesar de usar força bruta, utiliza estatística e
pedaços da chave enviado nos pacotes para acelerar a quebra.

Quanto mais IV’s capturados pelo Aircrack, maior a chance de quebra. IV é um pacote
capturado que pode ser usado para recuperar um pedaço de chave.

Uma dica importante é não ficar esperando a rede enviar IV’s para você e sim você
tentar aumentar o número de capturas com ataques ARP, chopchop e fragmentação.

Todos os comandos deverão ser rodados em um terminal, logado como root:

1 – Rode o comando abaixo para validar os AccessPoints ativos:

aircrack-ng interface_rede
Localize AccessPoint desejado e pare o comando com ctrl+c. Vamos filtrar a execução
para garantir maior número de pacotes coletados, já que o scan é feito por canais de 1 a
12.

2 – Filtre a rede desejada por canal / bssid e deixe ele parado rodando.
aircrack-ng -c canal –bssid 00:00:00:00 -w arquivo_saida interface_rede

Onde:
canal = Canal mostrado pelo comando 1
00:00:00:00 = Mac Address do AccessPoint escolhido para o ataque mostrado no
comando 1
arquivo_saida = Nome do arquivo que o aplicativo irá salvar e que será usado para
capturar a senha
interface_rede = Interface wireless usada (wifi0, rausb0, etc)

Note que há colunas mostrando Beacons e IVs.

Podemos considerar Beacons como lixo para o nosso ataque e IVs para os pacotes que
realmente interessam.

Consegui quebrar WEP com 5.000 IVs mas um número bom, gira em torno dos 80.000.

3 – Abra um novo terminal para tentarmos uma autenticação FAKE

aireplay-ng -1 0 -e nome -a bssid -h mac_sua_placa_rede interface_rede

Onde:
nome = ESSID da rede, ou melhor, o nome do AccessPoint que mostra pra você no
comando 1
bssid = BSSID da rede (mac address do AP)
mac_sua_placa_rede = Mac Address da sua placa de rede
interface de rede = interface da rede wifi

Comando exemplo:
aireplay-ng -1 0 -e RedeWireless -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 rausb0

Se o comando funcionar, você verá um resultado assim:

18:22:32 Sending Authentication Request
18:22:32 Authentication successful
18:22:32 Sending Association Request
18:22:32 Association successful
18:22:42 Sending keep-alive packet
18:22:52 Sending keep-alive packet

Mantenha esse terminal aberto para manter a associação falsa.

Nota: Alguns AccessPoints possuem filtro por MAC Address. Caso a associação não
funcione, utilize o tcpdump para achar um MAC que esteja liberado e troque o MAC da
sua placa com o MacChanger.

Um exemplo de execução de tcpdump seria:

tcpdump -n -e -s0 -vvv -i interface_rede
4 – Execução dos ataques

4.1 – Abra um novo terminal e execute o aireplay para tentar gerar replicação de
pacote ARP
aireplay-ng -3 -b bssid -h mac_sua_placa interface_rede

Onde:
-3 = é o tipo de ataque ARP
bssid = Mac do AccessPoint
mac_sua_placa = Mac Address da sua placa de rede
interface_rede = Interface da rede wifi

Deixe o terminal parado por alguns minutos. Esse comando precisa de alguns pacotes
ARP na rede para gerar o tráfego. Um usuário conectado com cabo no AP é suficiente
para o ataque funcionar.

Exemplo de um comando que está executando com sucesso:

Saving ARP requests in replay_arp-0321-191525.cap
You should also start airodump-ng to capture replies.
Read 629399 packets (got 316283 ARP requests), sent 210955 packets…

Se funcionar, você verá o número de IVs crescer absurdamente. Pare os comandos

quando estiver com +- 80.000 IVs e pule para o passo 5.

5 – Descubra a chave
aircrack-ng -b bssid arquivo*.cap

Onde:
bssid = Mac do AccessPoint que está ativo capturando pacotes
arquivo*.cap = Prefixo do arquivo colocado no comando 1

Se tudo der certo, aparecerá no meio da tela:

KEY FOUND! [ 12:34:56:78:90 ]
Decrypted correctly: 100%

Você nunca achará a chave original e sempre a chave em hexa. Remova os dois pontos
“:” e tente conectar na rede. Bingo!!

6 – Se algo saiu errado..

Essa é a maneira mais fácil de conseguir a quebra. Há uma infinidade de jeitos de tentar
gerar tráfego e IVs. Aqui vão alguns links que ajudarão a entender mais sobre os
ataques:

[Forma simples de crackear]

http://www.aircrack-ng.org/doku.php?id=simple_wep_crack&s=simple%20wep
%20crack

[Formas de aumentar os IVs]

http://www.aircrack-ng.org/doku.php?id=i_am_injecting_but_the_ivs_don_t_increase
[Post no Warchalking]
http://capivara.warchalking.com.br/forum/viewtopic.php?
p=8826&sid=598caa58d4ae9c0fdfe079be733bca4a

É isso aí