Archivo

Posts Tagged ‘WEP’

kismet + gpsd + gpsdrive = wardriving!

septiembre 28, 2012 Deja un comentario

Y para los que no saben lo que es el Wardriving:

Se llama wardriving a la búsqueda de redes inalámbricas Wi-Fi desde un vehículo en movimiento. Implica usar un coche o camioneta y un ordenador equipado con Wi-Fi, como un portátil o una PDA, para detectar las redes. Esta actividad es parecida al uso de un escáner para radio.
(Citado textualmente desde Wikipedia.)

La idea de este post, es hacer un mini tutorial de cómo hice funcionar (gracias a la ayuda de Nozelf) el GPS en GNU/Linux junto a las herramientas de sniffing kismet y a gpsdrive. Debo dejar claro que no enseñaré a configurar el bluetooth ni nada por el estilo, asumo que todo eso ya está configurado.

 

Lo primero que haremos será buscar el dispositivo y asociarlo a nuestra máquina, para esto usaremos hcitool y rfcomm.

[root@balcebu ~]# hcitool scan
Scanning ...
00:02:C7:15:B3:A3 BTGPS 15B3A3
[root@balcebu ~]# rfcomm bind /dev/rfcomm0 00:02:C7:15:B3:A3
[root@balcebu ~]#

Para ver si el GPS está entregando algún tipo de información, podemos hacer un cat directamente al dispositivo.

[root@balcebu ~]# cat /dev/rfcomm0
PGSA,A,1,,,,,,,,,,,,,50.0,50.0,50.0*05
$GPRMC,000211.991,V,0000.0000,N,00000.0000,E,0.000000,,101102,,*0A
$GPVTG,,T,,M,0.000000,N,0.000000,K*4E
$GPGGA,000212.991,0000.0000,N,00000.0000,E,0,00,50.0,0.0,M,0.0,M,0.0,0000*76
$GPGSA,A,1,,,,,,,,,,,,,50.0,50.0,50.0*05
$GPRMC,000212.991,V,0000.0000,N,00000.0000,E,0.000000,,101102,,*09
$GPVTG,,T,,M,0.000000,N,0.000000,K*4E
$GPGGA,000213.991,0000.0000,N,00000.0000,E,0,00,50.0,0.0,M,0.0,M,0.0,0000*77
$GPGSA,A,1,,,,,,,,,,,,,50.0,50.0,50.0*05
$GPRMC,000213.991,V,0000.0000,N,00000.0000,E,0.000000,,101102,,*08
$GPVTG,,T,,M,0.000000,N,0.000000,K*4E
$GPGGA,000214.991,0000.0000,N,00000.0000,E,0,00,50.0,0.0,M,0.0,M,0.0,0000*70
$GPGSA,A,1,,,,,,,,,,,,,50.0,50.0,50.0*05
$GPRMC,000214.991,V,0000.0000,N,00000.0000,E,0.000000,,101102,,*0F
$GPVTG,,T,,M,0.000000,N,0.000000,K*4E
$GPGGA,000215.991,0000.0000,N,00000.0000,E,0,00,50.0,0.0,M,0.0,M,0.0,0000*71

Hasta ahora todo en orden. Ahora debemos configurar el kismet, el fichero de configuración que tengo yo es:

version=2007.09.R1
servername=Kismet
suiduser=zerial
networkmanagersleep=true
source=iwlagn,wlan0,iwl
vapdestroy=true
channelhop=true
channelvelocity=5
channelsplit=true
defaultchannels=IEEE80211b:1,6,11,2,7,3,8,4,9,5,10
defaultchannels=IEEE80211g:1,6,11,2,7,3,8,4,9,5,10
defaultchannels=IEEE80211a:36,40,44,48,52,56,60,64
defaultchannels=IEEE80211ab:1,6,11,2,7,3,8,4,9,5,10,36,40,44,48,52,56,60,64
tcpport=2501
allowedhosts=127.0.0.1
bindaddress=127.0.0.1
maxclients=5
gps=true
gpshost=localhost:2947
gpsmodelock=false
alert=NETSTUMBLER,10/min,1/sec
alert=WELLENREITER,10/min,1/sec
alert=LUCENTTEST,10/min,1/sec
alert=DEAUTHFLOOD,10/min,2/sec
alert=BCASTDISCON,10/min,2/sec
alert=CHANCHANGE,5/min,1/sec
alert=AIRJACKSSID,5/min,1/sec
alert=PROBENOJOIN,10/min,1/sec
alert=DISASSOCTRAFFIC,10/min,1/sec
alert=NULLPROBERESP,10/min,1/sec
alert=BSSTIMESTAMP,10/min,1/sec
alert=MSFBCOMSSID,10/min,1/sec
alert=LONGSSID,10/min,1/sec
alert=MSFDLINKRATE,10/min,1/sec
alert=MSFNETGEARBEACON,10/min,1/sec
alert=DISCONCODEINVALID,10/min,1/sec
alert=DEAUTHCODEINVALID,10/min,1/sec
allowkeytransmit=true
writeinterval=300
trackivs=false
sound=false
soundplay=/usr/bin/play
sound_new=${prefix}/share/kismet/wav/new_network.wav
sound_traffic=${prefix}/share/kismet/wav/traffic.wav
sound_junktraffic=${prefix}/share/kismet/wav/junk_traffic.wav
sound_alert=${prefix}/share/kismet/wav/alert.wav
speech=false
festival=/usr/bin/festival
flite=false
darwinsay=false
speech_voice=default
speech_type=nato
speech_encrypted=New network detected, s.s.i.d. %s, channel %c, network encrypted.
speech_unencrypted=New network detected, s.s.i.d. %s, channel %c, network open.
ap_manuf=ap_manuf
client_manuf=client_manuf
metric=false
waypoints=true
waypointdata=/home/zerial/.gpsdrive/way.txt
waypoint_essid=true
alertbacklog=50
logtypes=dump,network,csv,xml,weak,cisco,gps
trackprobenets=true
noiselog=false
corruptlog=true
beaconlog=true
phylog=true
mangledatalog=true
fuzzycrypt=wtapfile,wlanng,wlanng_legacy,wlanng_avs,hostap,wlanng_wext,ipw2200,ipw2915
fuzzydecode=wtapfile,radiotap_bsd_a,radiotap_bsd_g,radiotap_bsd_bg,radiotap_bsd_b,pcapfile
netfuzzycrypt=true
dumptype=wiretap
dumplimit=0
logdefault=Kismet
logtemplate=%n-%d-%i.%l
piddir=/var/run/
configdir=%h/.kismet/
ssidmap=ssid_map
groupmap=group_map
ipmap=ip_map

Nota: Tuve que instalar una version antigua de Kismet ya que tuve conflictos con la más nueva.
Cuando tengamos configurado kismet y, antes de ejecutarlo, debemos setear nuestra interfáz en modo monitor y correr gpsd. Lo primero va a depender del driver que estemos usando.
En los casos más comunes son:

Intel, broadcom, ralink, realtek, entre otas:
# iwconfig wlan0 mode monitor
En la mayoría:
# airmon-ng wlan0 start
En las con madwifi (atheros, zydass)
# wlanconfig ath create wlandev wifi0 wlanmode monitor
Y el gpsd lo corremos:
# gpsd -F /tmp/gps.socket /dev/rfcomm0
Ya podemos arrancar el kismet. La pantalla que veremos será algo similar a:

kismet

Son todas las redes que captura nuestra interfáz wireless. Pero a lo que nosotros nos interesa, es el fichero Way Points que se está guardando, según nuestro kismet.conf, en el directorio ~/.gpsdrive/way.txt.

[zerial@balcebu ~]$ cat ~/.gpsdrive/way-ssid.txt
GASPAR -33.442875 -70.598656
RED_ANDRES -33.442886 -70.598724
EDSOIT -33.442875 -70.598656
jaguar house 0.000000 0.000000
Visitas Jaguar 0.000000 0.000000
Rodrigo_2008 -33.442875 -70.598656
<no ssid> -33.442886 -70.598724
costa2 -33.442881 -70.598656
SUPERTALDO -33.442886 -70.598724
Fidelizador.com -33.442881 -70.598656
CDAguilucho -33.442875 -70.598656
CDAguilucho -33.442875 -70.598656
CDAguilucho -33.442881 -70.598656
CDAguilucho -33.442881 -70.598656
WebSTAR -33.442875 -70.598656
Prueba -33.442881 -70.598656</no>

Lo que vemos son los nombres de las señales, longitud y latitud. Ya con toda ésta información, podemos “graficarla” en algun mapa, por ejemplo, el de gpsdrive.

gpsdrive

Aún no configuro bien ni cargo los mapas que corresponden, por lo que el GPSDrive me muestra la información un tanto ilegible, pero podemos ver que si está posicionando la información capturada por kismet. Lamentablemente no puedo hacer más zoom.
Otra opción sería traspasar los datos de WayPoints a KML para que pueda ser interpretado por Google Earth, tambien podemos introducir las coordinadas manualmente para ir graficando.

La idea es la siguiente, montar una antena en un auto y salir con los portátiles a recorrer la ciudad capturando éste tipo de información y graficandolo en un mapa para luego compartirla y tener un mapa con las redes de la ciudad. El próximo post relacionado a este tema, será cuando haga wardriving, subiré fotos y todo eso.

Fuente: http://blog.zerial.org/

Categorías:Wardriving Etiquetas: , , ,

Nuevo Ataque Wireless

septiembre 28, 2012 Deja un comentario

wifi-hackingHace algunos días se descubrió una nueva técnica para atacar Redes Inalámbricas, que permite a un agente malicioso accesarlas, aunque se encuentren protegidas por mecanismos de seguridad como encriptación WEP y WPA.

Se considera de muy Alto Riesgo, porque facilita labores de Espionaje hacia Comunicaciones Empresariales en Redes marca Cisco, Belkin, Buffalo, D-Link, Linksys, Netgear, Technicolor, TP-Link y ZyXEL.

La técnica permite obtener el PIN secreto de la Red y la llave de encriptación WEP o WPA, atacando la funcionalidad WPS (Wi-Fi Protected Setup). Además, como efecto secundario, puede generar condiciones Denial of Service.

IDENTIFICANDO EMPRESAS VULNERABLES
Podemos detectar Redes vulnerables con las herramientas de Wardriving que describimos en el Curso Master Hacking. Usando Inssider, por ejemplo, la columna “Vendor” nos permite conocer rápidamente el fabricante del Access Point. Si aparece alguna de las marcas identificadas como vulnerables (en este ejemplo, “Cisco-Linksys”), es muy probable que el ataque tenga éxito:

image

 

ATAQUE
Por el momento, las únicas herramientas de ataque disponibles son Reaver y Wpscrack (ambas gratuitas, pero requieren instalarse en un sistema Linux). Al realizar pruebas, me pareció que Reaver es la más fácil de usar. El único parámetro que requiere es la dirección MAC del Access Point (que se puede obtener con Inssider, en la columna “MAC Address”).

El procedimiento de ataque es el siguiente:

1. Desactivar la tarjeta inalámbrica local en el equipo donde se va a lanzar el ataque:
ifconfig wlan0 down

2. Configurar la tarjeta en modo monitor:
iwconfig wlan0 mode monitor

3. Activar la tarjeta inalámbrica local:
ifconfig wlan0 up

4. Ejecutar el ataque:
reaver -i wlan0 -b 11:22:33:44:55:66

En la instrucción anterior, se sustituye 11:22:33:44:55:66 por la dirección MAC real del Access Point que desea atacar. La siguiente figura ilustra la prueba que realicé esta semana sobre una Red Linksys:

reaver2

Como puede observar, el ataque fue exitoso. En este caso, me tomó apenas una hora y veinte minutos obtener tanto el PIN como la contraseña encriptada WPA.

Debido a que se trata de un ataque por “Fuerza Bruta”, en ocasiones puede tomar más tiempo (se tienen reportes que puede tomar hasta diez horas, dependiendo de la Red).

Es muy importante que Audite su Red Empresarial para determinar si está en Riesgo. Pero recuerde que esta técnica puede ocasionar condiciones Denial of Service, por lo que es recomendable efectuarla en horario no laboral, para evitar afectar la Productividad de sus Empleados.

Increíblemente, desactivar WPS en el Access Point NO SOLUCIONA el problema. Varios Investigadores han reportado que los equipos de algunos fabricantes siguen vulnerables aún con WPS apagado.

Por supuesto, en Villacorp & Asociados ya incluimos Demos reales de este ataque en nuestro Curso exclusivo Master Hacking: Security Expert. También, nuestros Servicios Profesionales de Consultoría en Seguridad 2012 ya incluyen revisiones completas de infraestructuras Wireless Empresariales, así como técnicas efectivas para blindar a su Empresa contra este ataque.

 

COMENTARIOS
Las marcas de Modems inalámbricos que instala Telmex a sus clientes Empresariales y Residenciales no fueron probadas por los Investigadores que descubrieron este nuevo ataque. Sin embargo, por ser los más usados en México, Villacorp & Asociados ha realizado una Investigación Especial sobre una gran cantidad de redes Infinitum para determinar si son vulnerables.

Por la naturaleza confidencial de la Investigación, en nuestro Curso Master Hacking divulgaremos los resultados obtenidos, así como técnicas adecuadas para protegerse.

Fuente: villacorp.com

Lanzan herramienta para romper PPTP y WPA2 #Blackhat

agosto 7, 2012 Deja un comentario

En Defcon, el investigador de seguridad Moxie Marlinspike ha lanzado una herramienta para romper el cifrado de cualquier PPTP (Point-to-Point Tunneling Protocol) y WPA2-Enterprise (Wireless Protected Access) siempre y cuando se que utilicen autenticación MS-CHAPv2.

MS-CHAPv2 (Wikipedia) es un protocolo de autenticación creado por Microsoft y se introdujo en Windows NT 4.0 SP4 y comúnmente es utilizado por pequeñas y medianas empresas. A pesar de su edad, todavía se utiliza como mecanismo de autenticación primaria por la mayoría de las VPN sobre PPTP.

MS-CHAPv2 ha sido conocido por ser vulnerable a ataques de fuerza bruta basadas en diccionario ​​desde 1999, cuando un criptoanálisis del protocolo fue publicado por el criptógrafo Bruce Schneier y otros investigadores.

Ahora Moxie Marlinspike desarrolló ChapCrack, que puede capturar el tráfico de red al momento del handshake de PPTP y WPA2 y reducir la seguridad de este “saludo” a una clave DES (Data Encryption Standard).

Esta clave DES puede ser sometida a CloudCracker.com, un servicio comercial para romper contraseñas en línea, desarrollado por David Hulton de Informática de Pico Computing, y desde donde se puede descifrar en menos de un día.

Los consejos apuntan a dejar de usar PPTP y cambiar a otras tecnologías como IPSec o OpenVPN. Las empresas con redes inalámbricas que utilizan seguridad WPA2 Enterprise con autenticación de MS-CHAPv2 también deben comenzar a utilizar otro protocolo.

Fuente: Networkworld  Segu-Info

Categorías:Pentesting Etiquetas: , , , , ,