You are on page 1of 8

ROMPIENDO CONTRASEÑAS WEP CON AIRCRACK EN UNA RED WIFI

En este artículo el comentarista se coloca desde el punto de vista del intruso e intenta descifrar
y acceder a una red wifi, utilizando para ello varias herramientas Windows de libre acceso. Al
igual que en este artículo abordamos cómo se realiza una intrusión, en la continuación de este
artículo, que publicaremos próximamente, explicaremos qué hacer para prevenir correctamente
este tipo de ataques.

Aircrack es muy facil de utilizar. Pero voy a intentar explicar las opciones, para que no hayan
dudas sobre su funcionamiento. Comentar que el programa tambien funciona en línea de
comandos.

aircrack 2.1 - (C) 2004 Christophe Devine


usage: aircrack <pcap filename(s)>
5 : debug - specify beginning of the
key
4 : bruteforce fudge factor (current: 2)
3 : packet MAC filter:
00:00:00:00:00:00
2 : WEP key length in bits, current:
128
1 : read IVs from a specified pcap file
0 : start cracking (with 0 WEP IVs) Opción 5: Sirve para especificar una llave y ver
cuánto tarda en crackearla.

Opción 4: Esto no lo tocaría a no ser que repetidamente os salga el mensaje de "No luck,
sorry". Sirve para aumentar la cantidad de llaves a probar. Es decir si con 5.000 llaves no
encuentra la clave acertada, pues aumentas el número (por defecto 2) y así probará más llaves
posibles.

Opción 3: No creo que haga falta mencionarla, simplemente es un filtro de paquetes que solo
acepta los de la MAC introducida.

Opción 2: Sirve para especificar la longitud de la llave. Por defecto es 128 (lo mas común).
Comentar una ventaja y es que imaginaros que no sabéis si será de 128 o de 64; pues bien,
vosotros lo dejáis como está por defecto ( 128 bits ) y si es de 64 bits la sacará de todas
formas.

Opción 1: Lo que hace es leer los paquetes válidos (IVs) del archivo.cap y enumerarlos. Sólo
hay que introducir el nombre del archivo (éste debe estar en la misma carpeta y hay que incluir
la extension, normalmente .cap)

Bien la 0: pues eso empieza a crackear.

Cuando acabe pondrá un mensaje de KEY FOUND, y ya la tenéis.

Ha sido facilísimo, eso sí capturar paquetes a veces se hace insoportable.

Después de aprender como crackear un cifrado WEP, ya podemos pasar a otros puntos de
seguridad en una red inalámbrica.

Antes de nada, explicaré un par de definiciones.

Beacons, beacons frames, balizas de autenticacion: Son tramas que emiten los puntos de
acceso, o en su defecto los routers inalámbricos, para que otros puntos de acceso o tarjetas
inalámbricas sepan que existe un punto de acceso activo por las cercanías.

ESSID (SSID): Es una cadena de texto de hasta 32 caracteres; se emite por defecto en los
beacons frames. Se utiliza para diferenciar diferentes redes inalámbricas en un mismo canal.
Por lo tanto es muy importante conocerlo. Por eso mismo es otra medida de seguridad. Ya
hablaremos de ello.

Dos cosas muy importantes no sólo en la redes 802.11, sino en todos los aspectos. Debéis
cambiar las contraseñas por defecto, tanto en el ESSID, como la contraseña de acceso a la
configuracion del router; así como acutalizar los firmwares de vuestro hardware, para tapar
ciertos agujeros que podrían tener y que podrian ocasionar por ejemplo una denegacion de
servicio (DoS).

Detectando redes inalambricas y accediendo a ellas

Bien esta parte es muy sencilla, aunque puede complicarse. Simplemente con el NetStumbler
detectaremos la gran mayoría de redes, a no ser que los beacons frames estén desactivados, o
que los beacons esten activos pero el ESSID esté oculto (muy pocas veces se dan estos casos
pero intentaré explicar cómo solucionarlo).

Nota de seguridad: Bien esta es una medida de seguridad, no todos los routers lo permiten, lo
ideal sería que se dejasen de emitir beacons, aunque si no puede ser, algunos routers lo que
permiten es ocultar el ESSID en los beacons frames.

Aunque de muy poco sirve, si tenemos nuestra tarjeta en modo promiscuo, simplemente
tenemos que poner nuestra tarjeta a escuchar, ejecutar el Airodump, sin ningun filtro, ni para los
canales ni para las MAC de los APs (BSSID), y de este modo capturaremos todos lo paquetes
que andan sueltos por ahí.

Si los beacons están desactivados (cosa muy poco habitual), como no tenemos Linux y no
podemos desauntentificar a un cliente de la red para que automaticamente se reconecte y así
poder ver la beacon que le manda el AP, pues lo único que podemos hacer es esperar que
algun cliente se conecte.

Una vez detectada la red y averiguada su WEP

Una vez tenemos esto (es importante volver a instalar los drivers anteriores de la tarjeta),
intentamos conectarnos o asociarnos a la red (por favor antes configurad vuestra tarjeta para
activar DHCP, es decir para que el router os proporcione una IP automáticamente).

Personalmente prefiero utilizar el software que viene con la tarjeta que utilizar la herramienta
wireless de Windows. Pero como cada programa es diferente, explicaré algo sobre la
herramienta de Windows.

Cuando sale una imagen de un candado y dice "Esta red tiene seguridad habilitada" o algo por
el estilo, significa que tiene el cifrado activo, y por lo tanto necesitas una clave, la que antes
conseguiste. No intentes conectarte a una de estas redes sin saber la clave.

Cuando te sabes la clave o simplemente no está activado el cifrado, pero te aparece un


mensaje de "Conectividad Nula o Limitada", no te asustes, en el caso de este tipo de redes,
seguramente sea:

1. Porque la llave WEP que metiste no es la acertada (si la sacaste con Aircrack,
reescríbela) y podéis comprobarlo porque no recibiréis ningun paquete. Esto lo podéis
mirar pinchando en el icono de la barra de tareas.
2. O tambien puede ser porque el router tiene desactivado el DHCP, es decir los clientes
deben configurar su IP, su máscara y su puerta de enlace; y por lo tanto deben saber
en qué subred se encuentra configurada la conexión, así como la puerta de enlace (las
mas usuales son del tipo 192.168.xxx.xxx, clase C). Para averiguar la puerta de enlace,
por ejemplo y otros datos de interés, debemos volver a instalar los drivers de
WildPackets y monitorizar un poco de trafico y con un analizador de paquetes (si en la
red está activado WEP, debemos desencriptar los paquetes, el Ethereal creo que no lo
hace pero el AiroPeek, sí que lo hace), y averiguarlos (esto no es un proceso
automático, es decir tenéis que intentar comprender la estructura del paquete).

Bueno y una vez sabiendo la puerta de enlace, ya podemos configurar nuestra IP y la puerta de
enlace, por supuesto.(la mascara de subred casi siempre es 255.255.255.0).

Una vez configurada la puerta de enlace y todo lo demás, si la red no tiene ningun tipo de
seguridad en capas más altas (Ipsec, SSH) ya deberíamos disponer de una conexion a
Internet. Pero por supuesto deberemos volver a instalar los drivers originales de la tarjeta.

Si la red tiene un filtro para MACs (ACL), es decir solo acepta la lista de MACs configurada en
el router, la cosa tambien se soluciona muy fácilmente, por ejemplo el NetStumbler nos dice la
BSSID, es decir la MAC del AP (el router, normalmente). Cambiando la MAC de nuestra tarjeta
inalámbrica, podremos entrar a la red sin problemas con el ACL.

Una vez dentro, si conseguimos entrar al router, podríamos añadir a la tabla de MACs una MAC
un tanto rarilla (para que el administrador no sospechase). Y así no tener que utilizar la misma
que el AP. Para cambiar la MAC, existe un programa muy basico y sencillo, que nos viene al
pelo, Etherchange.
Accediendo al router (AP) de nuestra red para configurarlo

Para acceder al router simplemente hay que poner como URL la puerta de enlace, o si
se prefiere y se puede por Telnet, pues haciendo Telnet a la puerta de enlace.

Todos los routers vienen con nombre de usuario y contraseña por defecto de fábrica.

Una lista de usuarios y contraseñas de bastantes routers puede descargarse desde aquí:
http://www.phenoelit.de/dpl/dpl.html

Sacando la contraseña de un router

Bien hay varios metodos para extraela. Uno de los mas sencillos consiste en el envenenmiento
ARP o ARP Spoofing.

Con el programa Cain es muy fácil, e incluso teneis un manual de Gospel.

http://foro.elhacker.net/index.php/topic,45618.0.html

Miraos los títulos. Advertir que el servidor ftp podría servir, ya que la configuracion de un router
se podria decir que es con un servidor web.

Bien una vez envenenado, simplemente hay que esperar, a que el admin se conecte y escriba
su contraseña.

No creo que haya algun router con https, pero también se habla de ello.
Otra forma tambien es esnifar el trafico y aplicar un filtro solo para http.

Tambien se puede hacer mediante fuerza bruta. Con alguna herramienta como Webcrack.

Conviene aclarar que la contraseña del router no es la contraseña de red ni mucho menos. La
contraseña de red, como ya hemos dicho,es la llave WEP, y la contraseña del router sirver para
entrar a su configuración, donde podremos redireccionar puertos hacia nuestro PC o desactivar
firewalls, entre otros.

Más información:

NetStumbler
http://www.stumbler.net/

Drivers WildPackets
http://www.wildpackets.com/support/downloads/drivers

AiroPeek
http://www.wildpackets.com/products/demos

Etherchange
http://ntsecurity.nu/toolbox/etherchange/

Caín
http://www.oxid.it/cain.html

Aircrack
http://www.cr0.net:8040/code/network/

Autor: nheobug@bujarra.com

Noticias actualidad
Nuevas tecnologías
Bugs y fallos
Virus y troyanos
Parche o Hotfix

Hace poco necesitaba tener acceso a internet en otra ciudad, en el area donde me encontraba
la mayoría de puntos de acceso tenia WEP habilitado. El siguiente procedimiento describe con
fines educativos como obtener la clave y por ende acceso a una red que probablemente tenga
salida a Internet.

Antes de empezar deben tener en cuenta que si el access point no tiene ningún cliente
registrado nuestros intentos van a ser nulos, esto se debe a que necesitamos hacer spoofing
de las peticiones ARP de un cliente que ya este conectado al access point.

Tengo una tarjeta con chipset prims2 funcionando con wlan-ng:

aptitude install linux-wlan-ng

Previamente debemos tener instaladas varias herramientas:

aptitude install kismet aircrack


Kismet : Nos permite obtener información necesaria como el canal en el que esta configurado
el acess point, el essid, la mac address del access point;
Airodump : captura los paquetes de una red inalambrica en un archivo, este archivo es
compatible con el formato pcap de tcpdump, ethereal, etc;
Aireplay: toma el tráfico ARP y lo reenvia al access point, haciendo APR spoofing del cliente
asociado al access point;
Aircrack: analiza los archivos capturados por airodump y extraerá la clave WEP.

Empezamos entonces, con kismet vamos a hacer un scaneo para conocer cual es el ssid y el
canal en el que esta trabajando el punto de acceso.

Mi archivo de configuración contiene entre otras cosas el source que no es mas que la
descripción de mi adaptador inalambrico [eth2], el chipset [Prism2] y modulo que utiliza
[wlanng]:

# Sources are defined as:


# source=sourcetype,interface,name[,initialchannel]
# Source types and required drivers are listed in the README under the
# CAPTURE SOURCES section.
# The initial channel is optional, if hopping is not enabled it can be used
# to set the channel the interface listens on.
# YOU MUST CHANGE THIS TO BE THE SOURCE YOU WANT TO USE
#source=none,none,addme
source=wlanng,eth2,Prism

Kismet nos dice que el SSID es ssid y el esta trabajando en el canal 6 y nos dice la mac addres
del access point. Necesitamos ademas conocer la mac address de algun cliente que se
encuentre asociado ya al AP, asi que en el menu principal del kismet presionamos Shift+C y
eso nos mostrará una lista de clientes asociados. Bastará con escoger uno

Ahora utilizamos airodump para capturar el trafico y generar un archivo en formato pcap para
finalmente con un ckackeador tratar de obtener la clave WEP, aircrack necesita la suficiente
información para hacer esto:

iwconfig eth2 mode Monitor


iwconfig eth2 channel 6
airodump eth2 ssid-crack 00:0F:3D:47:C0:31

Este comando indica a airodump que capture el trafico en la interface eth2 en el canal 6 y que
envie la captura al archivo ssid-crack que airodump grabara como ssid-crack.cap

Desde otra consola enviaremos trafico con aireplay para que el archivo de captura obtenga el
suficiente tráfico para poder obtener la clave WEP con aircrack, para obtener una clave de 64
bits se requiere capturar de 50000 a 200000 IVs y para 128 bits se necesitan de 200000 a
700000 IVs. Aquie es donde entra aireplay, generará el tráfico suficiente para que los IVs que
tanto necesitamos se incrementen rapidamente:

aireplay eth2 -h 00:02:6f:01:85:d1 -b 00:0F:3D:47:C0:31 -m 68 -n 68 -d ff:ff:ff:ff:ff:ff -3 -x 512


Saving ARP requests in replay_arp-0329-194426.cap
You must also start airodump to capture replies.
Read 0 packets (got 0 ARP requests), sent 0 packets...

Airodump nos mostrará algo como esto:

BSSID PWR Beacons # Data CH MB ENC ESSID

00:10:E7:F5:D4:72 -1 82 0 6 11 OPN 2W
00:0F:3D:47:C0:31 -1 112405 339 6 54 WEP ssid
BSSID STATION PWR Packets ESSID

Ahora es cuestion de esperar, mi archivo de captura alcanzó 50MB luego de 12 horas .


Aircrack necesita determinada cantidad de trafico IV wep data packets capturados para poder
hacer su trabajo.

ls -alh ssid-crack.cap

-rw-r--r-- 1 root root 50M 2006-03-29 08:54 ssid-crack.cap

Finalmente, vamos a obtener la clave WEP, esto también tomará su tiempo:

aircrack -m 00:0F:3D:47:C0:31 ssid-crack.cap


Opening ssid-crack.cap
Read 698097 packets.

# BSSID ESSID Encryption

1 00:0F:3D:47:C0:31 ssid WEP (554 IVs)


2 00:10:E7:F5:D4:72 2W None (0.0.0.0)

Index number of target network ? 1

aircrack 2.3

[00:00:04] Tested 131073 keys (got 554 IVs)

KB depth byte(vote)
0 0/252 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0) 06( 0) 07( 0) 08( 0)
1 0/252 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0) 06( 0) 07( 0) 08( 0)
2 0/252 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0) 06( 0) 07( 0) 08( 0)
3 0/ 1 82( 3) 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0) 06( 0) 07( 0)
4 0/252 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0) 06( 0) 07( 0) 08( 0)
5 0/ 1 C2( 15) 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0) 06( 0) 07( 0)
6 0/ 3 0A( 4) 84( 4) FD( 4) 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0)
7 0/251 00( 0) 01( 0) 02( 0) 03( 0) 04( 0) 05( 0) 06( 0) 07( 0) 08( 0)
8 2/251 02( 0) 03( 0) 04( 0) 05( 0) 06( 0) 07( 0) 08( 0) 09( 0) 0A( 0)

Ahora nos vamos por una taza de café, miramos una película, o hacemos cualquier cosa para
pasar el tiempo ya que este proceso va a tomar su tiempo. Sería genial si al menos
supiesemos de cuantos bits es la encriptación, ese parámetro lo podemos definir pasándole el
modificador -n al comando aircrack.

Luego de un rato aircrack nos dara la llave

KEY FOUND! [ CACA098765 ]

Y el ultimo paso:

iwconfig eth2 essid ssid key CACA098765


dhclient3 eth2
ping www.google.com

TUTORIAL 3
En este mini-tutorial explico como conectarte a una wireless que tenga encriptación WEP
desde Windows o Linux. En primer lugar quiero decir que este tutorial no va destinado para
robar información, ataques contra otras máquinas… Y demás actos vandálicos sino con
carácter didáctico, enseñar un poco más acerca de cómo van las redes wireless. De hecho
tiraré mucho de la Wikipedia para definiciones de términos más técnicos

En primer lugar quiero que vean este video:

En el video se muestra paso a paso lo que tienes que hacer para desencriptar la clave WEP de
una red wireless y poder conectarte a ella. No es tan sencillo como pone el video.

Esto me recordaba a un video de The Broken que mediante un sniffer y el AirSnort descifraban
claves de wireless capturando paquetes. El funcionamiento es el siguiente: el sniffer captura
tráfico, dentro del tráfico capturado está la clave encriptada, y el AirSnort mediante un
algoritmo matemático la desencriptaba. El problema es que había que capturar MUCHOS
paquetes para poder adquirir la clave. Si la red del vecino no tenía mucho tráfico podías
pasarte semanas para desencriptarla.

Las ventajas del AirCrack, el programa que utilizan en el video, son dos: la primera es que está
todo integrado (sniffer, capturador de paquetes, desencriptador…) y la segunda que tiene
versiones para Windows y para Linux.

Todo es muy bonito en el video y muy rápido pero las cosas no son así. Vamos a ir paso a paso
viendo lo que se realiza en el video y que problemas podremos encontrar.

Antes de nada debes prepararte para poder utilizar el programa. Necesitas un Sniffer como el
NetStumbler para ver las redes que tienes a tu alrededor, cuáles tienen encriptación WEP
y en que canal actúan. Y en segundo lugar debes poner tu tarjeta en modo promiscuo.

En Linux es sencillo:

iwconfig [adaptador] mode monitor

Pero en Windows es más complicado. Necesitas descargarte un driver específico. En la web de


AirCrack te explican de forma detallada cuáles son compatibles y cuáles no y demás. En esta
lista podrás mirar que driver necesitas y dependiendo cuál sea, podrás descargarlo: Atheros o
Hermes. Además necesitarás los archivos Peek.dll, Peek5.sys y Msvcr70.dll que se pueden
descargar aqui y que deberás ponerlos en el mismo directorio que el aircrack.exe.

NOTA: todo esto en Linux estaría hecho con un simple comando… Esto nos indica una vez
más que si queremos tener mayor control de nuestro sistema operativo… ¡¡HAY QUE MIGRAR
A LINUX!!

Una vez preparado todo para poder utilizar el AirCrack comenzamos ejecutándolo y dentro de
este ejecutando el airoDump para capturar paquetes. Seleccionamos la tarjeta wireless,
decimos de que tipo es la interfaz: Atheros (a) o Hermes (o), seleccionamos el canal
donde está la wireless que queremos hackear, lo indicó el NetStumbler; y por último
indicas el nombre del archivo donde quieres guardar la información y si sólo deseas
desencriptar aquellas que tienen clave WEP. ¡¡Y a capturar tráfico!!
Aqui nos puede asaltar otra duda: ¿Cuánto tráfico capturar? Hacen falta entre 500.000 a
1.000.000 paquetes IV si la WEP es de 104 bits. Los paquetes IV, vectores de inicialización,
son los necesarios para la encriptación.

Una vez que hayamos alcanzado estas cifras, paramos el airoDump y ejecutamos el AirCrack,
seleccionamos el archivo con las capturas del airoDump y listo!! A mí me tardó 30 segundos
con 500.000 paquetes en Windows y 23 segundos con 500.000 paquetes en Ubuntu.

NOTA: tuve problemas para volver al modo normal, no promiscuo. Tuve que instalar de nuevo
mi antiguo driver de la tarjeta wireless así que antes de hacer nada localícenlo!!