REAVER WPS

Para empezar diremos que este tipo de ataque va dirigido a Routers con clave WPA, que dispongan de sistema WPS y que este habilitado, en el mercado hay varios modelos que por defecto el sistema WPS esta habilitado.

Que es WPS

La idea de WPS no es la de añadir más seguridad a las redes WPA o WPA2, sino facilitar a los usuarios la configuración de la red, sin necesidad de utilizar complicadas claves o tediosos procesos.

WPS contempla cuatro tipos de configuraciones diferentes para el intercambio de credenciales:

El sistema de PIN de esta tecnología WPS puede ser reventado en poco tiempo, debido a un error en el diseño del sistema WPS, por el que el router “avisa” de que estamos fallando, tras solo comprobar los cuatro primeros dígitos de ese número de identificación personal de ocho bits.

Mediante un ataque por fuerza bruta, nos llevaría entre dos y diez horas descifrar los 8 números del PIN del WPS del router, pues con ese error la seguridad pasa de 100.000.000 de posibilidades a solo 11.000, debido a que solo hay que “acertar” con dos grupos de números por separado: uno de cuatro y otro de tres, pues el último es solo un checksum.

Cómo funciona el ataque

Lo primero decir que la finalidad es conseguir la clave WPA mediante la obtención del PIN del Router. Ese número de 8 dígitos (7 + el checksum) que  se encuentra habitualmente en una etiqueta pegada al dispositivo, aunque tambien puede ser cambiado por el usuario del Router.

Al lanzar el ataque, se realizan los siguientes pasos:

Al finalizar estas peticiones y sus respectivas respuestas, el algoritmo comienza a realizar intentos por descifrar el PIN. Despues de varios ciclos, obtiene los primeros cuatro dígitos y posteriormente el número entero.

Existen dos herramientas para realizar este ataque Wpscrack y  Reaver, el sistema utilizado es similar. La diferencia es que Reaver funciona con más adaptadores pero es un poco más lento.

Vamos a ver un ataque en la práctica, para ello nos valdremos de dos utilidades Walsh y Reaver

Walsh

Consiste en una utilidad para detectar los Routers que tienen activado el sistema WPS, diremos que no es fiable del todo ya que da algunos Routers no validos, pero nos ofrece una orientación muy buena para conocer los Routers que disponen de WPS. Al ejecutarlo en un Terminal nos sale la siguiente pantalla en la que podemos ver sus opciones y en la última línea nos sugiere un ejemplo.

Siendo mon0 nuestro adaptador Wifi puesto en modo monitor, si no lo es cambiamos por el nuestro, ejecutamos la orden y vemos como nos van saliendo varias redes de nuestro entorno que tienen activado el sistema WPS

Y cuando lo queramos parar debemos usar las teclas  ctrl. c, como podréis apreciar en mi entorno hay 9 redes con WPS activado, de esta pantalla solo nos interesan las MAC de los  Routers

Reaver

Al ejecutarlo en un terminal vemos que nos salen todas las opciones disponibles y al final nos sugiere un ejemplo al igual que nos hizo Walsh.

Debemos cambiar la MAC que pone por la de nuestro Router, ejecutamos ese comando y vemos como empieza a escanear los canales hasta que llega al de nuestra red, la identifica  se asocia a ella y empieza a lanzarla pines como se muestra en la imagen de abajo.

Si os fijáis los cuatro primeros dígitos van cambiando, que son los que ahora nos interesa y vemos que poco a poco va subiendo el porcentaje, muy poco a poco hasta que llega un momento en el que da un buen salto como en la imagen inferior. Y los cuatro primeros dígitos  ya son fijos, quiere decir que ya ha encontrado los primeros dígitos. .

El ataque sigue para buscar los demás dígitos que faltan pero para estos tarda menos ya que solo tiene que encontrar solo tres, porque el último es el checksum de los otros siete dígitos. En la imagen inferior también podemos apreciar unos mensajes de peligro, no son muy significativos, suelen ser por mala comunicación con el Router, pero si realiza 25 intentos fallidos de un mismo pin se queda bloqueado el Reaver y deberíamos pararlo con ctrl. c, pero nos guardaría la sesión, volveríamos a poner otra vez la sentencia que pusimos al principio y se reanudaría la sesión en el punto que la dejamos.

En la parte inferior de la imagen podemos ver como ya ha terminado de realizar el ataque a nuestra red y en primer lugar nos ofrece el tiempo transcurrido en segundos, en la siguiente línea nos sale el pin que ha encontrado, y en la siguiente nos ofrece el dato que a nosotros nos interesa que es la clave de acceso a nuestra red y por ultimo sale el nombre de la red.

Tambien quiro decir que ese pin en concreto lo trean por defecto varios Router, por lo que la nueva version de Reaver es el primer PIN que lanza y con la nueva version tardariamos unos 10 segundos en conocer la WPA.

Este tipo de ataques presentan una alternativa mucho más eficiente al paradigma actual de ruptura de WPA ya que no se realiza un ataque de diccionario por tanto el tamaño y complejidad de la clave es irrelevante. Por otro lado, solo funciona en aquellos Routers que tengan WPS y se encuentre habilitado.