Documente Academic
Documente Profesional
Documente Cultură
Se considera como "seguro" a pesar de que no sea del todo cierto (ver )... No vamos a hablar de
este tema aquí y centrarnos en la brecha mucho más seria que afecta al modo PIN.
modo PIN
- Otra forma de usar el WPS es con un PIN de 8 números (eventualmente 4).
La idea era la siguiente: Una llave WPA debe ser larga y compleja para ser segura.
Es difícil para un usuario memorizarla: Vamos a simplificarle la vida y permitir la conexión a
su red WPA gracias a un PIN fácil de recordar y entrar en el gestor de redes
A continuación podéis ver la interfaz de configuración (por defecto) de un TRENDnet TEW-
818RDU (ac1900) con el WPS habilitado y su PIN.
Es este modo que tiene un grave "fallo de concepto" y que se ha convertido en una brecha critica
Brute force WPS (online): El fallo de concepto
A finales de 2011 sale este PDF de Stefan Viehböck que hará historia: Brute forcing W i - Fi Protected
Setup: When poor design meets poor implementation
Unos días después Craig heffner suelta la primera versión de Reaver, una herramienta dedicada a
explotar la nueva brecha y que se va a imponer naturalmente como la herramienta referencia.
Explico sumamente la brecha y como explotarla:
Los de la wifi-alliance montaron un juego de peticiones y repuestas cifradas entre el cliente y el punto
de acceso.
Estas preguntas y respuestas se llaman mensajes "M" y hay ocho de ellas, del M1 al M8.
El cliente se conectará solo si se resuelve con éxito los 8 mensajes y necesita el PIN en uso para ello.
Podéis ver a continuación la estructura de intercambio de PIN WPS.
No os asustéis, es muy fácil de entender y entender dónde está la brecha:
1. Podéis ver en la primera columna a la izquierda los 8 mensajes "M" (del M1 al M8).
2. En la segunda columna veis el sentido de la comunicación:
- el Enrolle es el routeur
- el Regisrtar es el cliente.
Podéis ver por ejemplo que el M1 se manda desde el router hasta el cliente
3. En la tercera columna tenéis la composición de los mensajes. No tiene importancia ahora
4. En la cuarta y ultima columna tenemos explicaciones sobre los pasos y allí esta la brecha.
Miremos más atentamente los mensajes M4 y M5
• M4: Lo manda el cliente hacía el punto de acceso para demostrar que posee la primera
mitad del PIN
• M5: Lo manda el punto de acceso si la primera mitad del PIN del cliente corresponde con su
propia mitad de PIN
Esto lo cambia todo en un ataque de fuerza bruta.
El ataque de fuerza bruta consiste en probar todos los PIN posibles uno tras el otro hasta dar en el
clavo.
Podemos en condiciones optimas probar un PIN por segundo.
Un ataque de fuerza bruta sobre un PIN de 8 números son 10⁸ posibilidades.
Concretamente 100 000 000 PIN a probar. Una eternidad (¡100 000 000 segundos son siglos!)
Ahora lo que pasa con el WPS es que el router con su M5 me dice algo cómo:
"¡Vale! La primera mitad del PIN que me has mandado es buena. Ahora pasamos a la segunda del
mitad del PIN"
Si recibo un M5 es que tengo la primera mitad del PIN, si no la recibo es que no.
El brute force se divide entonces dos fases:
1. Primero se prueban todas las primeras mitades hasta obtener un M5.
2. Una vez que se sabe cuál es la primera mitad se hace el brute force sobre la segunda mitad.
En lugar de 10⁸ posibilidades tenemos a 10⁴ + 10⁴ posibilidades. Dos brute force sobre dos mitades de
PIN (4 dígitos)
Si hacéis el calculo son 10 000 + 10 000 = 20 000 posibilidades en total.
Hemos bajado de cien millones a veinte mil posibilidades
Además la ultima cifra de un PIN WPS es una suma de comprobación.
Se calcula con las 7 primeras cifras.
Cuando hacemos el crack sobre la segunda mitad calculamos el checksum (suma de comprobación) y
no nos hace falta comprobar el ultimo dígito: Lo generamos.
Tenemos entonces un primer brute force sobre 4 cifras (primera mitad del PIN - se sabe si es buena
cuando si recibe un M5) y un segundo brute force sobre 3 cifras (el ultimo dígito de la segunda mitad
del PIN se genera con los 7 primeros números)
La ecuación final es
3h:3m:20s
¡Con una herramienta capaz de distinguir los M5 al vuelo podemos encontrar el PIN WPS en unas
pocas horas y conectarnos a las redes WPA a pesar de que sean protegidas por una llave WPA
irrompible!
Nombre de código: Reaver
Crack PIN WPS con obtención de la llave WPA en reaver 1.5.2
Telefónica no se libra y sus modelos Mitrastar son muy faciles de crackear en tan solo intento con el
método pixie dust
Crack WPS con reaver (y pixiewps) bajo Linux
Debes instalar
- aircrack-ng: Instalar aircrack-ng en un linux recién instalado
- reaver 1.5.2: Reaver modificado para Pixie Dust
- pixiewps: Pixiewps de wiire : la herramienta para el novedoso ataque Pixie Dust.
Y estás listo.
Airmon-ng es la utilidad de la suite aircrack-ng que se usa para habilitar el modo monitor y la
inyección de paquetes.
Dos requeridos para el uso de reaver.
Su salida se divide en cuatro columnas:
• Columna PHY: interfaz "física", no usaremos este identificador
• Columna Interface: Las interfaces reconocidas por el sistema. Tengo dos:
- wlan0: Es la tarjeta wifi interna
- wlan1: Es un dispositivo wifi USB, una Alfa network AWUS036H, muy recomendable para el
hacking wifi.
Es este identificador que nos interesa, mirra cómo se llama la interfaz que quieres usar.
* Si usas otra distribución que Kali Linux es muy posible que los nombres de las intetrfaces no
sean de tipo wlanX. No importa. Usarás el nombre que te sale
• Columna Driver: Es importante que salga el driver. De lo contrario es probable que tu
dispositivo no pasará correctamente en modo monitor
• Columna Chipset: Pues esto... El chipset wifi de la interfaz.
Advertencia: Si no te sale ninguna interfaz es probable que tu chipset wifi no sea compatible.
Voy a habilitar el modo monitor en mi interfaz wlan1 (el adapatador USB), poner en lugar de wlan1 el
nombre de vuestra interfaz tal y cuál sale en el comando anterior.
airmon-ng start wlan1
La interfaz wlan1 en modo managaed se llama ahora wlan1mon y está en modo monitor.
A partir de ahora usaré wlan1mon
Para conocer un comando más, puedes verificar si airmon-ng ha bien hecho su trabajo con iwconfig
Puedo verificar que mi interfaz wlan1mon está en modo monitor. Puedo pasar a la fase siguiente:
Escaneo WPS con Wash
Wash está una utilidad para escaneo integrada a reaver.
Es muy rápido y su salida está simplificada para el crack WPS.
Se basa en la lectura de los paquetes PROBES emitidos por los Puntos de Accesos.
Para ejecutar wash lo único que tenemos que hacer es indicar nuestra interfaz en modo monitor (opción
-i)
Para mi será
wash -i wlan1mon
1. Columna BSSID: La dirección mac del Punto de acceso. Copiamos la dirección de nuestro
router para utilizarla con reaver, evitarás errores.
2. Columna Ch: El canal wifi empleado por el router. Nos acordamos del número, es mejor usar
reaver indicando un canal para evitar búsquedas en todos los canales si no ve el objetivo a la
primera.
3. Columna dBm: El nivel de la señal expresado en decibelios. 0 sería perfecto y con -100 dBm
ya no se pilla la señal.
A la cuestión "¿Qué nivel de señal necesita reaver para funcionar?" La respuesta es...
chachan... Depende Y de muchos factores. Haciendo la prueba en tu casa cerca de tu PA no
tendrás problemas de señal. En la captura de pantalla los PA que salen tienen niveles de señales
entre -40 y -70. Estos niveles son suficientes para pretender realizar ataques WPS efectivos.
4. Columna WPS: La versión del WPS. Existen dos versiones: WPS 1.0 y el WPS 2.0. La versión
2.0 tiene bastante años pero muy pocos fabricantes la han adoptada. Pocos WPS 2.0 te vas
encontrar. Reaver es de todo modo capaz de auditar las dos versiones.
5. Columna lck: Lock. Vamos a hablar de ello enseguida. En dos palabras, antes de meterse con
este tema:
El WPS tiene unos cuantos "parámetros obligatorios" que se anuncian. Uno de estos parámetros
es el "estado del AP". Puede tener un valor 2 (abierto) o 1(cerrado). Cuando el WPS está
cerrado sale un "Yes" en wash y no podremos atacar el router (porque el WPS está... cerrado
)
6. Columna ESSID: El nombre de la red
Lo primero que haría y que voy a hacer es consultar nuestra base de datos: Base de datos WPSPIN
(original) open source actualizada
Con <CTRL+F> abro la función "buscar" y pongo el inicio de BSSID de los objetivos:
Tengo a varios PIN genéricos posibles: 88478760, 77775078, 51340865, 21143892 y 16495265
Pruebo el primero con esta linea de ordenes:
sudo reaver -i wlan1mon -b 00:1A:2B:B0:23:90 -c 1 -p 88478760 -n -vv -g 1
Hemos visto todos los argumentos excepto -g 1. Con -g 1 Reaver se parra después haber comprobado el
PIN.
No me ha salido con el primer PIN... ....Intento con el segundo.
Si el bSSID no hubiera salida en la base de datos, hubiera podido mirar por tipo de essid o bien por
fabricante.
Truco útil para conocer el fabricante, usar una de las listas OUI que lleva Kali
cat /var/lib/ieee-data/oui.txt | grep 001A2B
Una vez que se encuentra la primera mitad empezamos a recibir mensajes M5 y queda solo 1000 PIN
por comprobar
Cuando recibimos un M7 en lugar de un NACK... ¡Bingo!
Epilogo
La brecha WPS PIN ha cogido de sorpresa a todo el mundo.
Lo más lamentable es que su impacto ha sido mayor después que se conociera.
Los AP con WPS habilitado han empezado a llegar en masa en los hogares a partir de este momento.
Hoy en 2017, más de 5 años después la salida de reaver 1.1, los ISP en España siguen distribuyendo
modelos con el WPS habilitado en modo PIN.
¿Para qué?
Jazztel siendo el único en haber deshabilitado sistemáticamente el WPS en modo PIN en todos sus
modelos.
Los ISP y fabricante se dan por satisfecho con habilitar el bloqueo del WPS.
Otro error imperdonable: Dejan desprotegidos los usuarios cuyo Punto de Acceso es vulnerable a un
ataque pixie dust ( o tiene un PIN genérico o se conoce el algoritmo de generación del PIN por
defecto)
En seguridad se debe aplicar el principio de precaución.
Se debería lógicamente deshabilitar el WPS en modo PIN desde la salida de fabrica.
Sino... Es el trabajo del ISP: Entregar un router con una configuración por defecto segura.
¿Qué decir?¡Qué sigan así!
Así tendremos de que entretenernos durante las largas noches de invierno buscando algoritmos o
nuevos ataques como pixie dust...