Este artículo es un extracto de mi eBook de Pruebas de Penetración y Seguridad WiFi para aspirantes a hackers WiFi y entusiastas de la seguridad Wireless. Haga clic aquí para obtener más
En los capítulos anteriores cubrimos:
- Introducción a la suite de herramientas Aircrack-ng
- Introducción a Wireshark
- Cracking WEP usando Aircrack-ng
- Cracking WPA/WPA2 Personal usando Aircrack-ng
Hoy aprenderemos a crackear WPS usando reaver.
- ¿Qué es WPS?
- ¿Qué es Reaver?
- Descripción:
- Instalación de Reaver desde el código fuente:
- Paso 1: Poner la tarjeta en modo monitor
- Paso 2: Escanear el aire en busca de redes WPS
- Paso 3: Activar Reaver
- Paso 4: Descifrar el WPS
- La fea verdad sobre WPS
- Controladores Inalámbricos Soportados
- Soportados parcialmente
- No soportado
- Contramedidas
- Enlaces útiles:
¿Qué es WPS?
WPS significa Wi-Fi Protected Setup y fue diseñado para hacer que la configuración de un AP seguro sea más simple para el propietario promedio. Introducido por primera vez en 2006, en 2011 se descubrió que tenía un grave fallo de diseño. El PIN de WPS podía ser forzado de forma bastante sencilla utilizando herramientas como Reaver.
¿Qué es Reaver?
Reaver es una herramienta gratuita y de código abierto para descifrar WPS que aprovecha un agujero de seguridad en los routers inalámbricos y puede descifrar la contraseña actual del router con WPS con relativa facilidad. Viene preinstalado en Kali Linux y se puede instalar en otras distribuciones de Linux a través del código fuente. Reaver realiza un ataque de fuerza bruta contra el número de pin de la Configuración Protegida WiFi de un punto de acceso. Una vez que el pin WPS se encuentra, el PSK WPA puede ser recuperado
Comprueba mi nueva tienda para los mejores adaptadores WiFi para Hacking, los libros de Pentesting más vendidos y los mejores potenciadores WiFi: Rootsh3ll rStore
Descripción:
Reaver-wps se dirige a la funcionalidad de registrador externo exigida por la especificación WiFi Protected Setup. Los puntos de acceso proporcionarán a los registradores autentificados su configuración inalámbrica actual (incluyendo el PSK WPA), y también aceptarán una nueva configuración del registrador.
Para autentificarse como registrador, el registrador debe demostrar su conocimiento del número pin de 8 dígitos del AP. Los registradores pueden autenticarse en un AP en cualquier momento sin ninguna interacción del usuario. Debido a que el protocolo WPS se lleva a cabo a través de EAP, el registrador sólo necesita estar asociado con el AP y no necesita ningún conocimiento previo de la encriptación o configuración inalámbrica.
Reaver-wps realiza un ataque de fuerza bruta contra el AP, intentando todas las combinaciones posibles con el fin de adivinar el número pin de 8 dígitos del AP. Como los números pin son todos numéricos, hay 10^8 (100.000.000-1 = 99.999.999) valores posibles para cualquier número pin dado, considerando que 00.000.000 no es la clave. Sin embargo, debido a que el último dígito del pin es un valor de suma de comprobación que puede ser calculado en base a los 7 dígitos anteriores, ese espacio de clave se reduce a 10^7 (10.000.000-1 = 9.999.999) valores posibles, de nuevo como la suma de comprobación de los primeros 6 ceros será cero, eliminamos 0.000.000 para ser forzado brutalmente.
El espacio de clave se reduce aún más debido al hecho de que el protocolo de autenticación WPS corta el pin por la mitad y valida cada mitad individualmente. Esto significa que hay (10^4 )-1, es decir, 9.999 valores posibles para la primera mitad del pin y (10^3)-1, es decir, 999 valores posibles para la segunda mitad del pin, siendo el último dígito del pin una suma de comprobación.
Reaver-wps fuerza bruta la primera mitad del pin y luego la segunda mitad del pin, lo que significa que todo el espacio de claves para el número de pin WPS puede agotarse en 10.999 intentos. La velocidad a la que Reaver puede probar los números pin está totalmente limitada por la velocidad a la que el AP puede procesar las solicitudes WPS. Algunos APs son lo suficientemente rápidos como para poder probar un pin cada segundo; otros son más lentos y sólo permiten un pin cada diez segundos. Estadísticamente, sólo se necesitará la mitad de ese tiempo para adivinar el número de pin correcto.
Instalación de Reaver desde el código fuente:
Sistema: Ubuntu
Abre el terminal y escribe:
Si has leído el tutorial anterior, sabrás que primero tenemos que poner nuestra tarjeta inalámbrica en modo monitor y luego empezar a escanear.
Paso 1: Poner la tarjeta en modo monitor
Primero mata los programas que puedan causar problemas, luego pondremos nuestra tarjeta en modo monitor.
sudo airmon-ng check killsudo airmon-ng start wlan1
wlan1 es la interfaz inalámbrica en mi caso, puedes comprobar la tuya simplemente escribiendo en el terminal.
iwconfig
Paso 2: Escanear el aire en busca de redes WPS
Airodump-ng tiene una limitación, no puede detectar routers con WPS. Por lo tanto, para ese propósito usamos el comando wash que se instala junto con Reaver y nos ayuda a escanear en busca de routers habilitados para WPS.
Sólo tienes que escribir:
sudo wash -i wlan1mon
Mostrará una salida similar:
Nota la columna «WPS Locked»; esto está lejos de ser un indicador definitivo, pero en general, encontrarás que los APs que están listados como desbloqueados son mucho más susceptibles de ser forzados. Todavía puede intentar lanzar un ataque contra una red que esté bloqueada por WPS, pero las posibilidades de éxito no son muy buenas.
Aquí,
ESSID/Objetivo: belkin.ffd
BSSID: EC:1A:59:43:3F:FD
Canal: 11
WPS Locked: Sí
En caso de que estés obteniendo una salida como esta:
Sólo tiene que añadir «-C» o «-ignore-fcs» con el comando anterior para omitir
- wash -i wlan1mon -C
- wash -i wlan1mon -ignore-fcs
Ambos funcionarán igual, e ignorarán los paquetes FCS y obtendrá la salida mostrada anteriormente.
Paso 3: Activar Reaver
Después de obtener el BSSID de la Ap objetivo, le diremos a Reaver que intente un ataque de pin WPS sólo en ese BSSID específico
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD
En algunos casos, el BSSID puede estar camuflado, o duplicado por otro atacante. En ese caso Rever no podrá realizar con éxito el ataque al pin WPS. Tendrás que ser más preciso proporcionando el ESSID y el número de canal, que hemos señalado anteriormente a Reaver.
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e «belkin.ffd»
El ESSID puede contener espacios, así que incluye siempre el ESSID entre comillas.
Paso 4: Descifrar el WPS
Esta parte la hace el propio Reaver, ya que hemos proporcionado la información necesaria a Reaver. Si el router es vulnerable al ataque de WPS Pin, le mostrará una salida como esta:
Si Reaver logra probar un pin tras otro, el pin WPS y la clave WPA2-PSK correspondiente es más probable que se rompa en un par de horas (3-5).
Es bastante divertido que WPS se suponía que iba a proporcionar la facilidad y la seguridad a los usuarios domésticos, pero un router habilitado WPS vulnerable permite a un atacante potencial para romper la seguridad con facilidad. No sólo la clave WPS, sino también la clave precompartida WPA2 que es considerablemente mucho más difícil de romper sin WPS.
La fea verdad sobre WPS
Es importante tener en cuenta que los nuevos AP ya no tienen esta vulnerabilidad. Este ataque sólo funcionará en los APs vendidos durante ese 2006 y principios de 2012. Como muchas familias conservan sus APs durante muchos años, todavía hay muchos de estos vulnerables por ahí. Así que de vez en cuando esta técnica puede ser útil.
Controladores Inalámbricos Soportados
Los siguientes controladores inalámbricos han sido probados o reportados para trabajar exitosamente con Reaver-wps:
- ath9k
- rtl8187
- carl19170
- ipw2000
- rt2800pci
- rt73usb
Soportados parcialmente
Los siguientes controladores inalámbricos han tenido un éxito desigual, y pueden o no funcionar dependiendo de su tarjeta inalámbrica (i.e., si tiene problemas con estos controladores/tarjetas, considere la posibilidad de probar una nueva tarjeta antes de enviar un ticket de problema):
- ath5k
- iwlagn
- rtl2800usb
- b43
No soportado
Los siguientes controladores/tarjetas inalámbricas han sido probados o se ha informado que no funcionan correctamente con Reaver:
- iwl4965
- RT3070L
- Netgear WG111v3
Contramedidas
- Apague el WPS mediante el botón pulsador WPS, si es vulnerable.
- No utilice WPS, si su router es vulnerable y utilice una frase de contraseña WPA2 fuerte.
- Compruebe si su router está fabricado después de 2012, puede que no sea vulnerable.
Enlaces útiles:
Router:
TP-LINK TL-MR3420 300 MB/s Wireless Router 2x 5dBi antenas
Adaptadores de red:
Alfa AWUSO36NH de alta ganancia B/G/N USB / Alfa AWUS036NHA B/G/N USB
Antena de alta ganancia:
Alfa 9dBi WiFi Omni-Directional High-Gain Antenna
Unidad USB (32 GB):
SanDisk Ultra Fit USB 3.0 32GB Pen Drive
SanDisk Ultra USB 3.0 32 GB Pen Drive