Open INESEM
Investigación
Hacking Ético en Redes Wifi
1. Introducción
La tecnología de conexión inalámbrica wifi, convive con nosotros desde el año 1997, siendo en la actualidad cada vez más demandada. La facilidad en su implementación y la mejora en velocidad, han provocado que tanto a nivel usuario particular como empresarial, este protocolo sea elegido para las comunicaciones sin cables en corta y media distancia.
La llegada de las últimas versiones de los estándares 802.11ax (wifi-6E) y el próximo 802.11be (wifi 7) para 2024, aportarán una gestión mucho más efectiva del ancho de banda, mayor velocidad y menor latencia entre otras mejoras, por lo que muy probablemente provocarán que la tecnología wifi, pase a constituirse como el medio ideal de conectividad para el despliegue de dispositivos interconectados en la conocida como internet de las cosas (IOT). Este escenario nos hace dirigir nuestra atención al estudio y bastionado de uno de los puntos débiles que presenta este tipo de comunicación sin cables, la seguridad.
Este Proyecto Fin de Máster se presenta como una aproximación inicial a las distintas versiones por las que ha evolucionado la tecnología wifi, pasando por una descripción de las peculiaridades que tienen las ondas inalámbricas de telecomunicación, medio de difusión de este estándar, para continuar con una descripción práctica de algunos de los distintos tipos de ataques que pueden sufrir. Finalizando con algunas recomendaciones para la defensa contra estos ataques.
2. Desarrollo
El eje central de este proyecto vertebra su enfoque en la descripción práctica de diversos ataques tanto activos como pasivos que permitan al lector percatarse de los diversos vectores de penetración comúnmente aprovechados por los hackers. Igualmente se expondrán diversos elementos que participan en la constitución defensiva del entorno wifi.ç
2.1. Ataques contra redes wifi
Dentro del conocido como “Circulo del Hacking” constituido por cinco fases (Reconocimiento, Escaneo, Acceso, Mantenimiento, Evasión y ocultación de rastro) nuestro estudio se centrará en las tres primeras fases de reconocimiento, escaneo y obtención de acceso.
2.1.1. Fase de Reconocimiento y escaneo
En estas fases iniciales, describiremos los pasos más habituales por parte del atacante.
- Cambio de Mac de atacante
Valorando la posibilidad de ser reconocidos por los administradores de red, durante el ataque o posteriormente por posibles rastros dejados en la ejecución, habitualmente se utiliza el comando mac-changer para cambiar la mac de nuestro adaptador inalámbrico. Esto nos permitirá asignarle una mac ficticia que no podrá ser posteriormente buscada.
Este cambio de mac es igualmente útil para evitar la seguridad empleada por algunos routers que limitan el acceso a la red a solo aquellos equipos cuya mac esta recogida en las conocidas como listas de control de acceso, conocidas como listas blancas las que permiten el acceso ó negras aquellas que impiden la conexión a determinadas macs.
- Modo Manager vs Modo Monitor
Una vez garantizada la anonimidad en nuestras acciones, se procede a la búsqueda de objetivos, para lo cual debemos de utilizar tanto hardware como software especializado, que nos permita ejecutar el escaneo de las redes wifi de forma efectiva. Para este tipo de escaneo será necesaria la utilización de tarjetas de red que tengan un chipset adecuado que nos permita poner la tarjeta en modo monitor (que permiten la inyección de paquetes), así como la ejecución de distribuciones como Kali_linux o wifislax que están especializadas en hacking ético, preparadas con diversas aplicaciones enfocadas en la auditoria de redes entre otros tipos de ataques.
- Búsqueda de objetivos ocultos
Como se ha indicado anteriormente, el paso inicial en cualquier tipo de ataque pasa por comenzar con el escaneo de las redes wifi que están a nuestro alcance. Pero en ocasiones uno de los recursos defensivos utilizados por parte de los administradores de redes es tratar de ocultar su SSID mostrando tan solo el nombre como <length: 7> y de esta forma evitar ser detectados por usuarios no deseados.
Imagen 1. Ejecución de comando airodump-ng para escaneo de redes wi-fi cercanas.
Esta práctica no resulta ser efectiva cuando se utiliza el comando airodump-ng que nos permite detectar e identificar las redes ocultas.
Tras la detección de los objetivos que pretendemos vulnerar, necesitamos decidir cuál de los posibles ataques serán más efectivos, dependiendo del tipo de cifrado, protocolo usado y configuración, pudiéndonos encontrar frente a alguna de las siguientes situaciones.
2.1.2. Fase de Ataque (Activo)
- Ataque con la distribución wifislax al protocolo WPS
El conocido como WPS es un mecanismo de seguridad para puntos de acceso, introducido por Wi-Fi Alliance en 2006 para permitir que los clientes se conecten más fácilmente a una red inalámbrica. Para lograrlo se proporciona un PIN de ocho dígitos en lugar de la clave pre-compartida usada habitualmente. Las características de este ataque son profundamente descritas por parte del autor (Alamanni), donde se describe que la carga computacional de cálculo de 8 pines se puede ver reducida a 4 o incluso 3 pines que la hacen vulnerable por fuerza bruta.
Para este ataque se ha utilizado la distribución WiFiSlax, una de las mejores distribuciones para hacking y pentesting Wi-Fi. Se presenta como una suite de herramientas para poder gestionar de manera integral todas nuestras actividades de hacking y auditoría de redes Wi-Fi.
Imagen 2. Distribución Wifislax. Ataque contra protocolo wps
.
Esta distribución tiene preinstala la suite de Reaver, creada por Heffner, quien de forma independiente desarrolló y lanzó esta herramienta para aprovechar la vulnerabilidad descrita. Aunque en la actualidad la mayoría de los routers modernos poseen un sistema que bloquea los ataques al protocolo wps, cuando detecta que está recibiendo ataques de pin por fuerza bruta, sigue siendo aconsejable mantener wps (Wi-Fi Protected Setup) desactivado.
Si todo esto ya es motivo suficiente para descartar este sistema de autorización de conexión, el ataque Pixie Dust que es capaz de obtener el pin con tan solo un intento, partiendo de vulnerabilidades de algunos routers, en el proceso aleatorio de generación del pin, hacen totalmente desaconsejable su uso.
Cuando el ataque a wps no es posible el atacante podrá enfocar los ataques contra alguno de los diversos protocolos de seguridad que se han ido desarrollando y mejorando desde los inicios de wifi. Desde el protocolo de seguridad wep, wpa, wpa2 hasta el último wpa3, han ido mejorando sus algoritmos y peculiaridades para dar respuesta a las brechas de seguridad que presentaban los anteriores.
-
Ataque con Aircrack-ng en Ubuntu-linux contra cifrado Wep
Si un atacante trata de acceder a una red y tras utilizar el comando airodump-ng para realizar un escaneo de los puntos de acceso cercanos, localiza entre las distintas redes detectadas una que mantiene un cifrado wep, se preguntará si realmente se encuentra en el año 2023 o valorará la posibilidad de encontrarse ante un honey-pot que busca detectar a confiados atacantes.
Imagen 3. Detección de redes con protocolo Wep
Esta conclusión a la que llegamos, se desprende de la escasa utilidad que tiene en nuestros días el uso de wep para proteger nuestra red. Este tipo de cifrado basado en el algoritmo de cifrado de clave simétrica RC4, inicialmente apareció para alcanzar una equivalencia en seguridad a la sistema cableada (Wired Equivalent Privacy) algo que tardó poco en ser vulnerado aprovechando la vulnerabilidad detectada en la comunicación que se producía en texto plano del Vector de inicialización IV de forma cíclica que permitía obtener la clave Psk, tras ser guardado en unos 20.000 paquetes, mediante el uso del comando aircrack-ng.
Imagen 4. Ejecución de comando aircrack-ng y obtención de clave en protocolo Wep.
Existen aplicaciones como airgeddon que permiten el ataque a cifrado wep en pocos minutos, mediante la acción conjunta de varios suites de comandos.
- Ataque contra WPA2 mediante captura de handshake con distribución Ubuntu y uso de diccionario rockyou.txt
En la actualidad lo habitual es proteger nuestras redes con un cifrado de seguridad wpa o wpa2, siendo esta ultima la más recomendable debido a que utiliza el algoritmo de cifrado Advanced Encryption Standard (AES) siendo TKIP el cifrado utilizado por wpa. AES está avalado por el gobierno de los Estados Unidos, usado para encriptar la información clasificada del estado de alto nivel. Aunque el cifrado usado por wpa2 es altamente seguro, el mayor problema que presenta la seguridad de nuestras redes, está en usar contraseñas débiles. Nos encontramos que wpa y wpa2 permiten soportar contraseñas de hasta 63 caracteres pero nada más lejos de la realidad en la configuración de las claves en el ámbito doméstico.
El ataque contra cifrado wpa y wpa2 se realiza mediante la combinación de la captura del contenido del “handshake” durante el proceso de autenticación del cliente con el Access Point A.P. junto al uso de ataque de diccionario contra las claves de acceso contenidas en el archivo de handshake capturado.
Imagen 5. Captura de Handshake con comando airodump-ng en protocolo Wpa2.
En la imange superior, observamos como en el punto 1. Se ejecuta el comando airodump-ng con la opción de creación de un archivo al que llamaremos captura atacando al punto de acceso de la red identificada con bssi con mac 60:8. En el punto 2. Nos indica que el archivo ha sido creado. En el Punto 3. Obtenemos el handshake que incluye la clave. En el 4 nos informa que el cifrado es wpa2 y en el 5 y 6 identifica la mac tanto del punto de acceso como del cliente conectado.
Todos estos datos nos facilitarán la obtención de información necesaria para obtener finalmente la clave de acceso tras el uso de un diccionario de claves. En este caso se ha utilizado el diccionario rockyou.txt.
Imagen 6. Obtención de clave a partir de Handshake y uso de diccionario.
El éxito del ataque dependerá de la debilidad de la contraseña usada y de la variedad de las claves incluidas en el diccionario utilizado. Esta situación puede ser evitada con el uso de contraseñas robustas y así lograr mantener nuestra red protegida de atacantes mal intencionados. Llegados a este punto, cuando todos los ataques anteriores han fallado, atacamos al factor humano, siendo reiteradamente demostrado que en la seguridad, el factor humano es siempre el eslabón más débil.
- Ataque activo contra wpa3
Actualmente el protocolo más seguro que podemos utilizar en nuestra red wifi es Wpa3. A pesar de que aparecen nuevas vulnerabilidades y ataques tales como Dragonblood que afecta a Dragonfly de SAE y EAP-pwd, tenemos actualmente la certeza, que evita que los datos transmitidos a través de una red WiFi sean interceptados, incluso cuando la clave de conexión no es robusta, punto especialmente vulnerable en wpa2.
2.1.3.Fase de Ataque (Pasivo). Contra cifrado WPA-Personal con Evil Twin A.P
- Ataque Genérico. Evil Twin Wifislax con LInset
Estos ataques considerados como parte de la conocida como ingeniería social, buscan provocar engaño en el usuario y obtener información del usuario que de forma no intencionada facilite datos que permitan vulnerar la seguridad.
Entre las diversas técnicas que pueden ser empleadas, encontramos los conocidos como ataques Evil Twin, en el que los atacantes simulan un Punto de Acceso similar al que habitualmente se conecta el cliente para tras provocar diversas situaciones logran que el usuario les haga entrega de forma no consciente de las claves de acceso. Dentro de la distribución de Wifislax encontramos la aplicación Linset.
Imagen 7. Suite Linset para ataque (Evil Twin Attack)
Tras un escaneo de la red que queremos atacar, el programa produce una desconexión forzada de los clientes que están conectados al punto de acceso legitimo que queremos atacar y durante la reconexión linsex levanta un A.P. simulado con el mismo nombre del que se pretende hackear provocando que los clientes traten de conectarse.
En este punto de la conexión, por parte de la aplicación se lanzara una página al cliente en el que se le instará a reconectarse tras introducir de nuevo la clave de acceso.
Imagen 8. Aplicación Linset. Interface de cliente en ataque (Evil Twin Attack)
Tal y como vemos en la Imagen 8 nos indica que: “Por razones de seguridad, introduzca la contraseña para acceder a internet”. Una vez introducida y enviada el atacante la recibe y linset restaura la conexión con el punto de acceso real, sin que el usuario pueda percatarse.
-
Ataque Específico. Evil Twin Kali Linux con Wef
Estos ataques pueden ser mucho más específicos y dirigidos para provocar el engaño en el cliente. Todo ataque es configurado dependiendo del objetivo y beneficio a obtener, pudiéndose emplear aplicaciones como wef que permiten utilizar plantillas que simular el interface de páginas conocidas como Facebook, Instagran, Twitter, Netflix, para obtener datos del cliente sin que este se percate.
Imagen 9. Ataque Pasivo Especifico con Wef, mediante el uso de plantillas-templates
2.1.4. Fase de Ataque (Pasivo). Contra cifrado WPA-Enterprise con Evil Twin A.P
-
Ataque Genérico. Evil Twin en Kali Linux con Airgeddon
Para finalizar, se ha realizado un ejemplo de ataque al protocolo wpa-enterprise, utilizado normalmente en entornos empresariales, donde el cliente se autentica mediante certificado o posee un usuario y contraseña para poder obtener acceso a la red. Si en el protocolo wpa personal la conexión se obtenía por parte del punto de acceso, cuando comprobaba que la clave pre-compartida era correcta (todos los clientes tienen la misma clave) En wpa-enterprise la autenticación se realiza en un servidor de autenticación (radius) que comprobará si el usuario y la contraseña están autorizadas y a que recursos tiene permiso acceder.
El entorno adecuado para desplegar el protocolo wpa-enterprise distinguirá tres partes fundamentalmente. Un suplicante (Cliente), un Autenticador (A.P.) y un Servidor de Autenticación (Servidor radius) que realiza funciones triple AAA, usando como marco de comunicación el Protocolo de Autenticación Extensible (EAP). Durante el proceso de autenticación se produce un intercambio de información conocidos como “Challenge and Response”, mensajes encriptados en hash, que comparten información entre el Servidor de Autenticación, el Autenticador (A.P.). y el Cliente Suplicante. En esta ocasión usamos la aplicación airgeddon para escanear las redes cercanas y una vez detectados los Puntos de Acceso que utilizan el protocolo wpa-enterprise procedemos a levantar una Evil Twin de este punto para provocar engaño en el cliente.
Imagen 10. Escaneo de redes con protocolo wpa-enterprise.
Tras el ataque se logra obtener el hash correspondiente al Challenge y Response.
Imagen 11. Captura de Hashes challege and Response mediante la suite airgeddon en Kali-Linux.
Con la ayuda de John de Ripper y un buen diccionario podemos obtener en texto plano el contenido del hash.
Imagen 12. Crackeo de Hashes challege and Response mediante uso de diccionario y John the ripper.
Se confirma que la seguridad de la red se cimenta en una clave robusta.
2.2. Defensa contra ataques a redes wifi
Para una defensa de la redes junto a las recomendaciones generales de utilización de claves robustas alfanuméricas, cifrados actuales wpa2 o wpa3, ocultación de ssid y sectorización de la red, se exponen diversas herramientas que podemos utilizar contra los atacantes.
En primer lugar para evitar la conexión por parte de dispositivos no autorizados, tras el cambio de clave genérica de administrador en nuestro router, podemos crear haciendo uso de este, una lista blanca de mac permitidas en nuestra red.
Imagen 13. Configuración de router doméstico.
En un enfoque más cercano, ante la posibilidad de que el atacante pueda superar nuestra barrera perimetral y acceda a nuestra red, podemos utilizar la aplicación kismet que nos permite detectar tanto redes cercanas como los clientes conectados.
Esta herramienta libre, que avisa ante los cambios en las redes a nuestro alcance. Para su ejecución usamos la distribución de kali Linux donde kismet viene instalado por defecto, precisando nuestra antena en modo monitor.
Imagen 14. Kismet en kali linux.
Accediendo a su interface grafica a través del puerto 2501, podemos hacer uso de un navegador web para identificar a los equipos en la red, su mac, ssid a la que están conectados y tipo de cifrado entre otros datos.
Imagen 15. Detección de Intrusos con Kismet.
3. Conclusiones
En este artículo, se ha tratado de mostrar algunas de las distintas técnicas de hackeo más comunes de ataque a las redes wifi. Desde los efectuados contra los protocolos de seguridad más antiguos, ya obsoletos, hasta los más actuales.
Existen verdaderas comunidades y grupos organizados que realizan un arduo estudio sobre las debilidades que presentan este tipo de redes, recopilando y compartiendo posibles brechas de seguridad de todas las redes inalámbricas a su alcance.
Tomar conciencia de la vulnerabilidad que presenta este tipo de redes es el primer paso para poner obstáculos a aquellos que buscan vulnerarlas.
En un avance exponencial de las tecnologías de la información y las comunicaciones (TIC) junto al concreto auge que tienen las comunicaciones inalámbricas en especial, nos hace tomar mayor conciencia sobre la necesidad de adoptar buenas prácticas y medidas de protección necesarias, para evitar el acceso a nuestra red, a nuestra información e incluso a la posibilidad de suplantar nuestra identidad, sin necesidad de utilizar ni siquiera una conexión física. Por lo que cobra cada vez más relevancia el enfoque en su pormenorizado estudio.
Desde este trabajo se ha tratado de aproximar al lector a aquellos conceptos y aplicaciones que nos muestren y aclaren como se producen y vulneran nuestras medidas de seguridad inalámbricas, tratando de aportar alguna herramienta y buenas prácticas que nos permitan mejorarlas.
Referencias
Alamanni, M. (2022). Kali Linux Wireless Penetration Testing Essentials. Birmingham B3 2PB, Reino Unido.: PACKT Publishing Open Source.
Artidillo, K. (2017). HACKING WIRELESS 101. Guayaquil, Ecuador.: Academia Hacker.
CCN-Buenas Practicas 11. (julio de 2021). Cncert centro criptologico nacional. Obtenido de https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp/3137-ccn-cert-bp-11-recomendaciones-redes-wifi-corporativas/file.html.
López, A. (5 de febrero de 2015). Protocolos AAA y control de acceso a red: Radius. Incibe-CERT. Obtenido de https://www.incibe-cert.es/blog/protocolos-aaa-radius.