22 de mar. de 2011

Hackear claves WEP de redes WIFI con BACKTRACK 4

NO SOY UN EXPERTO EN ESTO Y ES LA PRIMERA VEZ QUE LO HAGO, es solo para saber de que se trata, al intentarlo descubrí que desde Windows resultaba imposible utilizando Aircrack-ng, por lo que tuve que hacerlo desde los LIVE CD  Linux, que es un terreno bastante desconocido para mi, pero resulto muy sencillo hacerlo con solo unos cuantos comandos y logre descifrar varias claves WEP.

Para llegar a esto primero debemos tener el hardware que funcione con estos programas y  esto depende del chip que utilicen, aunque resulto ser mas simple de lo que pensaba comprando la placa WIFI PCI mas barata y común que existe marca TP-Link   TL-wn350GD  que funciono con todos los programas LIVE CD Linux, aunque no pude inyectar paquetes por la distancia a los AP, resulto ser un paso totalmente innecesario y que todos se empecinan en hacer,  por lo que todo fue aun mas fácil.

Así que se justifica comprar un WIFI USB ultra potente ( 1 o 2 Watts) y alguna antena, SOLO  para acceder al uso de la conexión a internet del  AP, aunque  lo mejor seria tener un CLIENTE WIFI decente como el Ubiquiti NanoStation,  Kozumi, etc.  por los precios tan próximos a la de esos USB .

No necesito entrar a ningún Ap cifrado porque tengo acceso a muchos  AP libres,  el problema es que todos limitan el ancho de banda, dividiendo el ancho de banda en canales de 300 o 500 kbps durante el día, por lo que no puedes hacer grandes cosas como ver videos o descargas de muchos gigabytes, aunque en la noche suele liberarse para dejar usar el total del ancho de banda, yo no suelo utilizarlo,  pero prefiero esto a estar pagándole a TIMOFONICA por tarifas de 5 megas y recibir 1 mega. Esta es la mejor forma de hacerle el vacío a estos verdaderos delincuentes de TIMOFONICA, además compro los mejores equipos AP, con lo que les hubiese pagado a estos estafadores y sobre todo aprendo.


Claves WEP
Tras este protocolo, realmente quien se encuentra es otro mucho más conocido llamado RC4. Que resulta ser un algoritmo de cifrado de flujo.
Podríamos decir que RC4 convierte una contraseña cualquiera en una tirada de bits  aleatorios mucho más larga que la original. Esta cadena puede ser utilizada posteriormente para aplicarse al texto plano en el proceso de cifrado real.
Pero WEP pretendía implantar una medida adicional de seguridad y para ello utilizo lo que muchos conocemos como IV's (Vectores de Inicialización). En realidad no es más que una cadena de 24 bits que se añade a la clave antes de pasar por RC4.

El problema radica en estos dos puntos:
•   La ridícula longitud del IV (Vectores de Inicialización) (24 bits)
•   La pésima implementación de los fabricantes a la hora de aplicar aleatoriedad a estos Vectores de Inicialización.
La cuestión es que aun desconociendo la clave, los IV's se repiten en multitud de ocasiones, provocando que distintos textos planos se cifren multitud de veces con el mismo seed (casi igual que decir que se cifra con la misma clave).
Si se consigue una cantidad de textos cifrados considerable en los que se repita el Vector de Inicialización, entonces podrían iniciarse ataques estadísticos para deducir el texto.


Programas de hackeo de claves wep
Existen unos cuantos programas,  los únicos que funcionan a la primera son en entorno Linux, pero algunos no son compatibles o carecen de los drivers de algunas placas y usb WIFI , por lo que se vuelven inútiles, hasta que encontremos el programa que tiene los drivers para nuestro hardware. Especialmente las usb wifi son difíciles  aunque últimamente están entrando fuertemente porque ofrecen potencias de salida hasta  2 WATTS lo que les aumenta el alcance enormemente y son los UNICOS que ofrecen potencias similares (los equipos profesionales como Ubiquiti apenas llegan a los 400 mW), esto es muy curioso.

Es imposible hackear claves WIFI, para otros que se conectan por el puerto LAN, como el KOZUMI AIR FORCE ONE 2, UBIQUITI NanoStation, etc.

Entre estos programas están:

  1. Backtrack 4        entorno Linux en live cd
  2. Wifiway 2.0.1    entorno Linux en live cd   
  3. WifiSlax 3.1        entorno Linux en live cd
  4. Beini 1.2.1           entorno Linux en live cd
  5. Aircrack-ng 1.1   entorno Windows     !!! inutilizable !!   (además este es detectado como virus por Avira, Comodo etc.)

quizás el uso de uno u otro quede determinado por los drivers que posean y entre los cuales estén los de tu hardware.

De todos, prefiero el Backtrack 4 porque parece que es el que mas drivers tiene de placas y usb WIFI y además no tiene limitaciones de ningún tipo al acceso de discos duros del equipo.

El que no me funciono nunca, fue el Aircrack-ng de Windows,  por lo que recomiendo cualquier live cd Linux, 

El Wifiway  no te deja escribir ningún fichero en disco duro aun teniendo derechos de administrador, quizás sea el mas vistoso, y es casi idéntico al WifiSlax, en realidad la diferencia quizás sea los drivers que utilizan.

Aunque excitan muchos programas, casi TODOS tienen una forma de trabajar casi idéntica!!! esto facilita mucho las cosas cuando ya lo has hecho una vez, se basa en el Aircrack-ng y sus derivados

En el caso que nuestro hardware sea incompatible, la mejor opción es comprar una placa wifi, la mas común y corriente (muy baratas por cierto, de 5 a 10 dólares) como la TP-link etc. que usaremos solo para encontrar las claves, que es precisamente lo que he tenido que hacer.
Pero esto es muy importante, estas placas normalmente no poseen mucha potencia de salida por lo que el alcance es mínimo (algo de 40 metros), así que cuando encontremos la clave si el punto de acceso esta a mas distancia, no pueda comunicarse con el, por lo tanto no establecer la comunicación ni tampoco hacer uso de la conexión a internet del AP. Por lo que si todavía no has comprado tu hardware WIFI, te voy a dar una dirección de un sitio donde están todas la USB WIFI  mas potentes y probadas en estos programas, esta es la dirección  http://factoriawireless.net/index.php/topic,25.0.html si entras al foro deberás registrarte, el tema  “Adaptadores wireless usb validos para auditorias”

Podemos recibir el AP porque disponen de una potencia muy superior del orden de los 400 mW con antenas externas de alto rendimiento, por lo que pueden llegar a una distancia de 5 a 10 kilómetros según la topografía y altura.

Básicamente los materiales son de 2 clases, Punto de acceso (el servidor) y cliente (el servido)
el punto de acceso (AP), puede comportarse como servidor o como cliente (y otras funciones como repetidor, puente(bridge), firewall, router etc.) pero el cliente es básicamente quien le pide y recibe, para poder pedir debe llegar a la distancia donde se encuentra el servidor!! y para esto necesita potencia de salida suficiente y quizás una antena wifi.

 


Los tres pasos a seguir para hacker una clave WEP

1) Debemos saber que "interface" tenemos
Esto depende exclusivamente del chipset del hardware que utilicemos, debemos saber que ciertos programas no reconocen ciertos chips, por lo que el programa será inutilizable con nuestro hardware.

Entre las interfaces mas comunes están:

  1. wlan0      (placa wifi pci común TP-Link)
  2. ath0         (atheros chipset (en algún usb por ej. Kozumi k-200mwu)
  3. eth0         (placa Ethernet)
  4. wifi0

Este es el primer comando a ejecutar (en minúsculas en entornos linux como por ej. el Backtrack)

airmon-ng

también podemos poner   iwconfig   que hace lo mismo. Esto te dirá que interface posees de acuerdo al hardware y es el que siempre pondrás en en todos los comandos siguientes.

El método para hacer el crack wep de un punto de acceso WIFI, casi siempre se resume a lo siguiente
2)   Utilizar airodump-ng para capturar paquetes.
3)   Utilizar aircrack-ng para romper la clave.

Pero Cuando una red apenas produce paquetes, o cuando no tiene clientes conectados o un sin fin de inconvenientes que limitan la captura de paquetes, Aquí surge la necesidad de INYECTAR PAQUETES, con la utilización de  aireplay-ng  este proceso se ubica entre al paso 2 y 3,
Pero no funcionara si la distancia es superior a la que puede transmitir nuestro hardware, este paso no será utilizado en este tutorial.

AVISO
tenemos que saber que para descifrar una clave wep, se necesita una captura promedio de 500.000  paquetes (no es lo mismo que IVs) y esto puede llevar unas 10 horas así es que no es para ponerse a esperar a que encuentre la clave, lo mejor es lanzar la captura de paquetes antes de irnos a dormir y a la mañana casi seguro que ya estará la clave, pero cuidado algunos AP en horarios nocturnos no tienen trafico porque no hay nadie conectado, por lo que puede llegar a ser infructuoso hacer esto de noche. Muchas veces encontramos publicaciones que no dicen lo tedioso que es este proceso por el tiempo que lleva hacerlo y además dicen que con 30.000 paquetes ya debemos encontrar la clave (es casi imposible) quizás por esto, muchos corten la captura antes de tiempo.
Normalmente son necesarios
300.000     paquetes para una clave wep de  64 bits
500.000     paquetes para una clave wep de 128 bits
 
estos los veras luego en el campo #DATA, en la consola de captura.

 

 

Utilizando Backtrack 4
Lo mejor es grabarlo en un CD (o también en DVD), se iniciara booteando desde la grabadora de DVD en un entorno LINUX. La primera  pantalla que aparece debemos elegir el tipo de escritorio según la resolución de pantalla, normalmente elegimos la primera, que es de 1024x768, luego se carga todo el sistema linux en modo texto, en algunas versiones puede llegar a pedirte loguearte para ello  usas en login root y en  password toor,  después   debemos arrancar el modo grafico de ventanas, por lo que  escribimos

startx


1)PRIMER PASO: Primera consola
Ahora creamos la primera consola, pulsando en el icono (quinto Icono, monitor negro,ubicado en la barra inferior izquierda)
Es una ventana de texto muy parecida a la de Windows, desde allí Escribimos el siguiente comando para saber cual es nuestra la interface  (wlan0, ath0, eth0, wifi0, etc.)

airmon-ng                (o si no  iwconfig)

01-airmon-ng

 

la interface que encontramos, la usaremos para saber los Acces Points(AP) o puntos de acceso que recibimos, pudiendo elegir cual es el que vamos a hackear, para lo que tendremos que escribir en papel el canal, el bssid del acces point (dirección MAC) y el essid  del acces point (nombre del AP).
Estos datos no cambiaran por lo que vale la pena copiar de una vez todos los que nos interesen cuando terminamos cerramos la consola pulsando CTRL + C o pulsando la x e la ventana, este es el comando:

airodump-ng       interface              por ej.  airodump-ng   wlan0

02-airodump-ng
cuando ya copiamos los datos es mejor cerrar esta consola para que no consuma ancho de banda, además podemos volver a ejecutarla la veces que uno quiera, así que aquí la cerramos!

 


2)SEGUNDO PASO: Segunda consola
Ahora creamos la segunda consola, pulsando en el icono (quinto Icono, monitor negro,ubicado en la barra inferior izquierda)
En esta consola haremos la captura de paquetes del punto de acceso que vamos a hackear, la cual quedara activa hasta que encontremos la clave!! !NO SE DEBE CERRAR!
El comando es el mismo al anterior pero cambian las opciones, todo se escribe en minúsculas y 1 o mas espacios entre cada parámetro,  todos los parámetros se refieren al acces point a hackear que hayamos elegido por  ej. palmera

a) -w ficherodecaptura  
aquí se escribirán todos los paquetes, 500.000 o mas, desde donde se descifrara la clave, recomiendo poner el nombre del punto de acceso que vamos a hackear, es mas fácil acordarse. Importante es saber que el sistema cambiara el nombre del fichero p ej.
ficherodecaptura                     dejándolo como
ficherodecaptura-01.cap       y lo veras (con otros 3 ficheros) aparecer en el escritorio al ejecutar el comando

b) -c canal           
el canal este es un dato que habíamos anotado y es el del AP a hackear

c) --bssid   dirMAC   
OJO aquí lleva doble guion, este es el otro dato que habíamos anotado, es  la dirección MAC  de este AP.

d) la interface    
este es otro dato que habíamos anotado en el primer paso, no tiene nada que ver con los del AP, no cambiara nunca y va SOLO (no lleva parámetro)

podemos abrir varias consolas de captura para distintos AP, pero esto ralentiza enormemente la captura, aunque es valido para hacerlo durante la noche o cuando hay poco trafico en un AP

airodump-ng -w ficherodecaptura -c canal --bssid dirMAC                     interface

airodump-ng -w palmera                   -c 3         --bssid 00:0c:42:12:bb:2b  wlan0

2airodup-ng_captura png
El sistema cambiará el nombre por ej.   palmera  por  palmera-01.cap
la cantidad de paquetes capturados los veras en el campo #DATA !!.

3) TERCER PASO: Tercera consola
creamos la 3 consola, en esta consola se hace el HACKEO de la clave WEP.  Quedan las 2 consolas ejecutándose al mismo tiempo
Lo bueno es que mientras se ejecuta la captura en la 2 consola, podemos ingresar este comando en la 3 consola que empezara a buscar la clave con los paquetes que disponga capturados la 2 consola en ese momento, de no encontrarla, va incrementando la espera en cantidad de paquetes por ej. si comenzó cuando la captura iba por los 1000 paquetes, luego esperará hasta los 5000 paquetes y cuando la captura llegue a los 5000 automáticamente buscara la clave en esos paquetes y si no la encuentra ampliara el limite a 10.000 paquetes y así sucesivamente hasta que la encuentre, que seguramente será por los 500.000 paquetes o mas,

Una vez encontrada la clave, la 2 consola de captura, seguirá capturando paquetes, por lo que ahora ya podremos cerrarla

El comando es el mas famoso de todos y lo único que debemos indicarle, es el nombre del fichero de captura ingresado en la 2 consola, pero COMPLETO como lo había modificado el sistema (nombre-01.cap) lo veras en el mismo escritorio con otros 3, que creó al momento de ejecutar el comando de captura en la segunda consola

aircarck-ng    ficherodecaptura-01.cap

snapshot1backtrack4


KEY FOUND! [ 1B:56:EE:4B:CF:75:1A:70:D1:A0:C1:ED:12 ]

La clave esta formada por pares de 2 cifras hexadecimales separados por ":", para obtener la clave final debemos sacarle el doble punto y esa es la clave final a introducir cuando pulsemos para conectarnos a un punto de acceso. quedara así:

1B56EE4BCF751A70D1A0C1ED12       tiene 13 pares o sea es una clave de 128 bits

varia la longitud de pares según la clave sea de 64, 128, 152  bits!!

  64  BITS ==> 10 CARACTERES  O   5 PARES HEXADECIMALES     
128 BITS ==> 26 CARACTERES   O 13 PARES HEXADECIMALES    
152 BITS ==> 32 CARACTERES   O 16 PARES HEXADECIMALES

si la copias a mano escribiéndola en un papel, cuando la introduzcas esta DEBE SER EN MAYUSCULAS !!!
solo pueden haber cifras y letras  "1234567890ABCDEF" NADA MAS (no se puede confundir O CON CERO, etc.)


Si quieres descifrar claves WEP desde Windows, ve a este link del blog

http://2012-robi.blogspot.com/2011/04/hackear-claves-wep-de-redes-wifi-desde.html

 

y si quieres leer un manual de como inyectar paquetes en redes WIFI desde Windows, ve a este link del blog 

http://2012-robi.blogspot.com/2011/04/proceso-de-inyeccion-de-paquetes-en.html


Remarcar:

  • Cuando salgamos de Backtrack 4 todo va a desaparecer!! porque todo está solo en memoria, ni siquiera el fichero de captura es escrito en el disco duro.
  • Se puede usar copy y paste para copiar la clave a un fichero de texto que ya exista en el disco duro. Podemos acceder a los discos duros de la PC, para ello puedes seleccionarlo directamente con el Explorer de Linux  en Storage Media, que esta en el icono de Backtrack (abajo a la izquierda), subes a la 4 posición "System Menu" y allí "Storage Media", en la ventana que aparece, en el lateral izquierdo "Services" y la ultima opción "Storage Media" aparecen los discos duros.
  • Deberías cambiar el idioma para que se ajuste el teclado y puedas escribir mas cómodamente en tu teclado. Esto se hace desde la barra inferior del lado derecho donde aparece una bandera americana, o sea que siempre inicia con teclado americano.
  • No encontré ninguna forma de probar el acceso a internet desde el programa, posiblemente porque la placa de red no se logro comunicar con el AP por la distancia. La placa wifi funciono solo como un receptor de radio, y capturando paquetes de los cuales se descifro la clave sin haber inyectado ni un solo paquete.

 

4 comentarios:

Anónimo dijo...

Veo que para llegar a romper la clave se necesitan muchos paquetes, hubiera sido muy bueno que pongas el paso "inyeccion de paquetes", otro punto q no lo tengo claro es, si para llegar a esa cantidad se tiene que tener la computadora prendida de forma continua o hay alguna manera de guardar los paquetes, y por ultimo, yo probe wifislax 4.0, y cuando iba por los 50000 paquetes en todas las redes que pude encontrar, arrojaba una clave, el unico inconveniente era que dichas claves eran todas iguales, esto ¿porque se necesitan mas paquetes? o por que el programa es ineficiente. gracias.

Anónimo dijo...

Gardas en disco cada dia los paquetes que vas capturando luego usas aircrack -k *.cap (sos si todos en un mismo directorio) y ya

Harako dijo...

Es mas rapido con slax de 3 a 10 minutis promedio de 15 mil a 20 mil pak.

RaceR dijo...

Wifi HAcker PRO V3 is ready Mac/Win/iOS/And Click Here