En el artículo previo hablamos sobre el protocolo WEP, el por qué de su popularidad, las vulnerabilidades que tiene y luego hicimos un breve laboratorio en donde indicamos cómo hackear una red inalámbrica con WEP paso a paso.
Hoy vamos a ver cómo se puede burlar la seguridad de una red inalámbrica que use el protocolo WPA/WPA2.
¿QUÉ ES WPA/WPA2?
Las siglas WPA vienen del inglés Wi-Fi Protected Access, en español: Acceso Protegido Wi-Fi (1). El WPA es un esquema de seguridad utilizado para proteger la transmisión de datos en redes inalámbricas.
El propósito del desarrollo de WPA fue corregir los errores de seguridad que presenta WEP. En este sentido, WPA incorpora mejoras tanto en la autenticación como en el cifrado (2). Sin embargo, a pesar del incremento en la seguridad, existen formas de comprometer una red WPA. Por ejemplo, a través de la explotación del protocolo TKIP y de una característica denominada Wifi Protected Setup que se usa para facilitar la autenticación automática de dispositivos a la red wireless.
Para corregir estos temas y mejorar la seguridad surgió posteriormente la versión 2 de WPA o también llamado WPA2. En WPA2 lel cifrado se ve reforzado a través de la incorporación del protocolo AES - Advanced Encription Standard (3).
Aún así, si el administrador de la red inalámbrica utiliza un sistema de clave pre-compartida (pre-shared key) es factible utilizar un ataque de fuerza bruta, basado en diccionario o híbrido sobre la red objetivo. Por supuesto, el éxito de la misión y el tiempo que tome ejecutar el hack dependerá de la longitud de la clave y de si ésta está o no basada en criterios de complejidad.
En mi experiencia he tenido casos en que encontrar la clave ha sido cuestión de minutos y otros en que me ha tomado varias horas o inclusive días. Por supuesto, dado que un hacker ético tiene un tiempo limitado dado por un cronograma (a diferencia de un cracker que cuenta con todo el tiempo del mundo), también ha habido ocasiones en que me he dado por vencida. Por lo general si me toma más de 10 días el ataque y no consigo la clave, doy por terminada la fase de wardriving, salvo que el cliente haya solicitado explícitamente más tiempo para esta fase.
Ataque de claves basado en diccionario a una red Wifi que implementa WPA/WPA2
Terminada la teoría (o lata como dicen mis alumnos) pasemos a la ejecución del hack paso a paso.
Para esto necesitaremos:
- 1 Estación hacker con sistema operativo Linux y la suite aircrack-ng instalada (yo prefiero Kali Linux)
- 1 Access Point o Router Inalámbrico víctima con WPA/WPA2
- 1 Diccionario que pueda ser usado por aircrack-ng (4)
Nota de descargo: este laboratorio se realiza con fines académicos y de ninguna manera se incita al lector a hackear equipos sobre los que no cuente con la debida autorización.
1. Abra una ventana de comandos en su estación de trabajo Linux y ejecute el comando ifconfig.
2. Identifique correctamente su adaptador inalámbrico. Es probable que se llame wlan# (en donde # es el identificador del adaptador, usualmente 0 CERO). Por ejemplo wlan0.
3. Baje el adaptador inalámbrico (ifconfig wlan0 down), colóquelo en modo monitor (iwconfig wlan0 mode monitor) y súbalo nuevamente (ifconfig wlan0 up).
4. Posteriormente, usaremos la herramienta airodump para identificar el SSID y el número de canal del accespoint víctima:
airodump-ng wlan0
5. Si el accesspoint víctima tiene protección contra propagación de SSID es probable que no lo detecte con airodump. En ese caso ejecute desde la línea de comandos la utilidad kismet y siga las instrucciones indicadas en pantalla para agregar el adaptador wireless.
6. Asegúrese de copiar el BSSID del router víctima y el número del canal (##). Reemplace los datos respectivos en el comando siguiente:
iwconfig wlan0 channel ## airodump-ng -w captura -c ## --bssid xx:xx:xx:xx:xx:xx wlan0
7. Verifique la dirección MAC de un cliente conectado al router víctima. Mientras airodump captura paquetes, abra una ventana de comandos adicional y ejecute la utilidad aireplay:
aireplay-ng -0 5 -a mac_del_ap -c mac_de_un_cliente wlan0
8. El comando aireplay inyecta paquetes en la red inalámbrica para provocar que un cliente se reautentique. Ahora es necesario tener paciencia y esperar hasta captar un WPA Handshake en airodump. En el momento en que obtenga el WPA Handshake, está usted listo para realizar el ataque basado en diccionario.
9. Detenga el comando airodump realizando un CTRL+C. Se debe haber generado un archivo de captura de paquetes llamado captura##.cap en el directorio actual.
10. Use la herramienta aircrack para ejecutar el ataque basado en diccionario, Kali tiene algunos diccionarios de ejemplo incluidos, pero lo ideal sería que genere usted uno propio o que compre uno. Ej:
aircrack-ng -w /pentest/wireless/aircrack-ng/test/password.lst captura01.cap
11. ¿Fue exitoso el ataque?
12. Si no tuvo éxito el ataque es debido a que el diccionario mostrado en el ejemplo es de prueba, por tanto es pequeño y por ello es poco probable que contenga la contraseña de su router. Para efectos de ejecutar exitosamente el hack edite el diccionario y agregue la clave al final (ruta: /pentest/wireless/aircrack-ng/test/password.lst)
13. Repita el ataque con aircrack. Esta vez debió tener éxito el ataque.
Desafío: Para efectos de práctica se sugiere pedirle a un amigo que le ponga una clave que usted desconozca a su router inalámbrico, descargar o generar un diccionario extenso para aircrack-ng (ver referencias al final del artículo) y ejecutar nuevamente el ataque con este nuevo diccionario. ¿Fue exitoso el ataque?
Imágenes ejemplo:
Referencias:
(1) Si el lector siente curiosidad sobre el nombre Wi-Fi le sugiero revisar este artículo: Wikipedia. (2020). Wi-Fi. Recuperado de http://es.wikipedia.org/wiki/Wi-Fi
(2) Wikipedia. (2020). Wi-Fi Protected Access. Recuperado de http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access
(3) Wikipedia. (2020). AES. Recuperado de http://es.wikipedia.org/wiki/Advanced_Encryption_Standard
(4) OpenWall es uno de muchos sitios que proveen diccionarios para ataques de claves, sin embargo la mayoría de ellos contienen palabras basadas en idioma inglés. Openwall. (2020). Openwall wordlist collection. Recuperado de http://www.openwall.com/wordlists/
Karina Astudillo B.
CEO – Consulting Systems.
Hacker, Computer Forensics Auditor, Author, IT Trainer, Entrepreneur.
CEH, Computer Forensics US, CyberOps Associate, HCSP, HCSA.
