Seguridad Informática #BOFHers

Inicio » BOFHers » WiFi seguro: Comprometiendo claves WPA/WPA2 gracias a WPS sin mucho esfuerzo

WiFi seguro: Comprometiendo claves WPA/WPA2 gracias a WPS sin mucho esfuerzo

Archivo

Haz clic para seguir este blog y recibir notificaciones de nuevos mensajes por correo electrónico.

Twitter

Error: Twitter no responde. Por favor, espera unos minutos y actualiza esta página.

A estas alturas de la vida resulta complicado encontrar una WiFi abierta o que use el viejo sistema de cifrado WEP, vulnerable a un sencillo ataque empleando herramientas como AirCrack.

Desde hace tiempo los routers WiFi que facilitan las operadoras de cable y ADSL al darte de alta usan otros sistemas más seguros como WPA y WPA2, que en algunos casos también son vulnerables al venir de serie con una clave predecible en base a cálculos que puedes hacer de manera automática con aplicaciones de Android como Router Keygen o Wifileaks.

Router Keygen

Sabes que usas un sistema de cifrado potente como WPA2 que es lo bastante seguro como para que cualquier persona que pase cerca de la señal no sea capaz de romperla fácilmente, también sabes que tu router wifi no está en la lista de aquellos cuya clave de serie es predecible (o bien la has cambiado)… pero es posible que tu clave siga sin ser segura por culpa de WPS, WiFi Protected Setup.

WPS es un mecanismo desarrollado por la Wi-Fi Alliance para facilitar la configuración sencilla de redes inalámbricas seguras, de los 4 métodos que admite, nos vamos a centrar en el que suele venir activado por defecto en los routers WiFi de las operadoras de ADSL y Cable, el del PIN.

Hoy se cumple un año del descubrimiento de una vulnerabilidad en este método que permite a un atacante obtener la clave WPA/WPA2 de un router WiFi empleando herramientas libres y unas pocas horas de tiempo.

El PIN de WPS consiste en un número de 8 cifras en la que la última cifra es un dígito de control del PIN, por lo que es conocido en cuanto tengamos las otras 7 cifras.

El modo en el que WPS responde a los diferentes paquetes de datos con el PIN que le son enviados, permite conocer si los primeros 4 dígitos son correctos, lo mismo sucede para los 3 dígitos siguientes más el dígito de control.

Esto hace que un ataque de fuerza bruta contra el router WiFi con el WPS activado sea solo cuestión de disponer de un poco de tiempo y paciencia.

Con 8 dígitos las posibles combinaciones numéricas que tiene el PIN son de 10⁸, es decir, 100.000.000 de posibilidades, “gracias” a este fallo de diseño solo necesitaremos conocer 10⁴ + 10³ combinaciones diferentes, que son 11.000 claves, un 0,011% del total de combinaciones posibles con 8 dígitos.

En algunos casos, el router WiFi dispone de algunas medidas como bloquear la dirección MAC de la máquina que hace demasiadas peticiones erróneas a WPS, que con un poco de maña  y paciencia podremos solventar empleando la herramienta Mac Changer para cambiar la dirección MAC de nuestra tarjeta de red y proseguir con el experimento.

Como ir probando a mano las combinaciones (y que interpretar las respuesta manualmente es un rollo), podemos automatizar el proceso empleando sobre una distribución Linux las herramientas Aircrack y Reaver WPS, por el camino de instalarlas en nuestro sistema, se nos pedirá que instalemos algunas librerías como libpcap.

El primer paso es activar un interfaz de monitorización con airmon-ng:

airmon-ng start wlan0

airmon

Con el interfaz mon0 activado, ejecutaremos airodump para localizar la BSSID de la WiFi que queremos comprobar:

airodump-ng mon0

airodump

Con el BSSID apuntado, ejecutaremos Reaver WPS:

reaver -i mon0 -a -b XX:XX:XX:XX:XX:7D -vv

Podemos detener en cualquier momento la ejecución de Reaver pulsando Ctrl+C, nos guardará la información que haya obtenido y podremos continuar la sesión en cualquier otro momento justo en el punto en el que nos quedamos, sin necesidad de volver a empezar desde cero.

La opción -a hace que reaver se configure del modo más óptimo para la prueba contra el router seleccionado.

Adicionalmente podemos especificar la MAC de nuestro equipo añadiéndola con la opción -m XX:XX:XX:XX:XX:XX, que deberá ser la misma MAC que hemos cambiado a nuestra tarjeta de red con Mac Changer

Si sabemos el PIN podemos probarlo directamente con la opción -p MIS8DIGITOS.

Si el router tiene activado el servicio WPS comenzarán las pruebas para descubrir el PIN, si el router no nos bloqueo por demasiados intentos fallidos, en un espacio de tiempo bastante breve (lo mínimo que he tardado hasta la fecha es poco más de 1h en algunas pruebas de concepto y cursos).

Pasado un tiempo obtendremos esto en pantalla:

wpa2

En este caso el proceso ha sido contra un router Netgear de ONO con clave WPA2.

La comprobación de que todo ha ido correcto es tan simple como conectarse al router de la prueba y facilitarle la clave que Reaver nos ha mostrado en pantalla y ver que podemos acceder a la red, internet, etc.

La solución es desactivar la opción de WPS (llamado QSS en algunos routers) y realizar de nuevo la comprobación para asegurarnos de que el router permite desactivarlo, ya que hay casos de dispositivos más antiguos de Linksys que permiten realizar esta prueba y obtener un resultado satisfactorio incluso con WPS desactivado (realmente no lo está desactivando aunque así aparezca en el interfaz web de nuestro router WiFi).

Si no podemos hacer efectivo el desactivado de WPS, la solución más segura es cambiar el router.

Anuncios

1 comentario

  1. […] Comprometiendo claves WPA/WPA2 gracias a WPS sin mucho esfuerzo […]

Los comentarios están cerrados.

A %d blogueros les gusta esto: