Antes de abordar el tema, debería comentar que existen múltiples maneras de hackear una red inalámbrica. Los agentes usaron herramientas públicas y accesibles y resaltaron que estaban haciendo una demostración de un ataque que cualquier otra persona pdría realizar. Por otro lado, romper una clave WEP no necesariamente ofrece al atacante la posibilidad de conseguir total acceso a una red. Podría enontrarse con otras medidas de seguridad, tales como VPN’s (Virtual Private Network) o servidor proxy.

Para la demostración, el agente Bickers sacó un punto de acceso NetGear y le asignó como identificativo SSID “NETGEARWEP”. Tras ello, encriptó el punto de acceso con una clave de 128 bits, generada sencillamente mediante el tecleo de números y letras aleatoriamente.

Obviamente, antes de crackear una red habrá que encontrarla. Las dos herramientas más populares para ello son Netstumbler para Windows y Kismet para Linux. Como la mayoría de programas de crackeo WEP son para Linux, mucha gente encuentra más lógico utilizar Kismet, para no tener que cambiar de sistema operativo en cada paso.

Figura 2: Buscando redes

Mientras, otro agente ejecutó Kismet e inmediatamente encontró el punto de acceso “NETGEARWEP”. Sólo por diversión, un tercer agente usó su protátil para jecutar FakeAP, un programa que confunde a las herramientas de escaneo de redes como Kismet generando señales de puntos de acceso inexistentes.

El ataque

Tras encontrar la WLAN, el siguiente paso es comenzar a capturar paquetes y convertirlos al formato pcap (packet capture). Estos archivos pcap serán entonces procesados por otros programas. Se pueden usar muchas herramientas comerciales y de código abierto, pero las dos favoritas suelen ser Kismet y Airodump (ahora parte de Aircrack). Lo ideal sería que un portátil escanee mientras otro portétil ejecute el ataque, que es lo que hizo el equipo de agentes en este caso.

Los agentes utilizaron entonces alrededor de media docena de programas, los cules serán listados, con sus respectivos enlaces, al final del presente artículo. Por suerte, existe un Live CD, que ya revisamos hace un año, llamado Auditor’s Security Collection, que tiene en su interior todas estas herramientas ya instaladas. Incluso el FBI utiliza dicho CD.

Figura 3: Capturando paquetes

Si un hacker tiene la suerte de encontrarse una red de tráfico intenso, el escaneo pasivo puede proveer de suficientes paquetes buenos para llevar a cabo el proceso. Pero en la mayoría de los casos hace falta una serie de ataques que generen más tráfico en la red. Por contra, dichos ataques, al generar tráfico anormal, pueden ser detectados y provocar la alerta en el objetivo del mismo.

Los agentes usaon la funcionalidad deauth del programa void11 para desconectar repetidamente el portátil el punto de acceso. Esto generó tráfico adicional, ya que Windows XP intenta siempre, al perder la conexión, reconectar al usuario, pudiendo así recoger los paquetes enviados. Pero este no es precisamente un ataque sigiloso, pues el usuario del portátil podrá ver una serie de mensajes de desconexión en su pantalla.

Otro ataque utilizado por los agentes es el denominado Replay Attack (Ataque de Repetición). La premisa básica de este ataque es capturar al menos un paquete viajando desde el portátil de la víctima hasta el punto de acceso, con lo que dicho paquete puede entonces ser replicado e introducido de nuevo en la red repetidamente, causando así la respuesta del punto de acceso en forma de nuevos paquetes que pueden, a su vez, ser capturados.

Aireplay (también parte de Aircrack) puede ejecutar este último ataque a base de capturar paquetes ARP (Address Resolution Protocol), que son transmitidos a intervalos regulares tanto en redes alámbricas como inalámbricas, y son fáciles de interceptar. Airplay escanea automaticamente un archivo pcap capturado, extrae el presunto fragmento ARP, introduciéndolo de nuevo en la red.

Después de aproximadamente 3 minutos decapturas y crackeos, los agentes descifraron la clave WEP, mostrándola en pantalla. El agente Bickers, el cual se encontraba aún hablando a los asistentes, dio media vuelta, miró el monitor y se quedó sorprendido, “normalmente tardamos de 5 a 10 minutos”.

Figura 4: ¡Bingo!

Herramientas utilizadas

• Kismet
• Airsnort
• Aircrack (incluye Aireplay y Airodump)
• void11