As redes sem fio que utilizam padrão IEEE 802.11 estão cada vez mais presentes nos ambientes profissional e doméstico. Elas trazem várias facilidades com a mobilidade aos usuários. Olhando por outro lado, elas também trazem novas preocupações relacionadas a segurança, já que o usuário não precisa estar conectado fisicamente.
l) Injete pacotes ARP Request para aumentar a taxa de captura:
# aireplay-ng -3 -b 00:0F:CB:B4:A4:81 rausb0
Onde:
-3 = tipo do pacote: ARP Request replay
-b = BSSID do AP
rausb0 = interface wireless
m) Aguarde alguns minutos e verifique no terminal (passo h) que o indicador "#Data" deve começar aumentar rapidamente;
n) Continue injetando até o número de pacotes (IV's) ultrapassar 50000. Esse número garante boa chance de descoberta da chave;
o) Pare a captura (passo h) e a injeção de pacotes (passo l);
p) Execute o aircrack para decodificação da chave:
# aircrack-ng -b 00:0F:CB:B4:A4:81 logoap-01.cap
Onde:
-b = BSSID do AP
logoap-01.cap = arquivo de log de entrada para decodificação (definido no passo h)
q) O valor encontrado A4:55:C1:96:5F é a chave WEP de 64 bits. Uma chave de 128 bits seria mostrada assim: 12:34:56:78:90:AB:CD:EF:12:34:56:78:90. Caso não obtenha sucesso na decodificação, capture mais pacotes IV's.
Conclusão
Vimos através desse procedimento que a descoberta de chave WEP não é complicada, e que as ferramentas existentes permitem a execução rápida e eficiente do processo. Portanto, se os dispositivos de sua rede wireless suportarem os protocolos WPA ou WPA2, altere sua configuração para utilização dos mesmos.
[3] Comentário enviado por removido em 12/01/2009 - 15:03h
Dá sim!
O que você vai precisar é capturar (passo h) e injetar (passo l) mais pacotes. Normalmente com 50000 você já consegue descobrir chaves de 64 bits. Para chaves de 128 bits é recomendado de 250000 à 500000.
[7] Comentário enviado por removido em 12/01/2009 - 18:04h
É possível executar esses passos em outras distribuições. A vantagem do BT3 é que ele já têm todas as aplicações necessárias, e o mais importante, os drivers das interfaces wireless com patches para monitoração e injeção de pacotes.
Provavelmente é por isso que você não está conseguindo rodar o passo c, pois a interface não entra em modo de monitoração.
Exemplo, se sua interface é uma Intel 4965 você pode usar esse procedimento: http://airdump.net/packet-injection-wifi-intel-4965/
[9] Comentário enviado por afirbooic em 13/01/2009 - 10:17h
Bom dia!
Alexsander Loula,
Tenho o back track no pen driver e acesso a internet de minha casa através de uma conectividade sem fio, contudo quando vou rodar o back track, ele detecta a placa rausb0, porém não tenho conseguido configurar no ndiswrapper uma vez que utilizo um cartão wifi para o acesso à web, gostaria de saber se você poderia me ajudar a configurar o ndiswrapper para poder rodar o bt3.
[10] Comentário enviado por removido em 13/01/2009 - 10:38h
Oi Fabricio,
Não entendi direito sua pergunta. Para eu tentar te ajudar, favor responda as seguintes questões:
1 - Qual a marca/modelo da sua interface WiFi?
2 - Qual versão do BackTrack você têm?
3 - Você consegue com o BT usar sua interface WiFi? Caso negativo, em qual distro funciona?
Se preferir, pode enviar sua resposta direto no meu email.
[11] Comentário enviado por elgio em 13/01/2009 - 11:08h
O padrão WEP de criptografia é fraco tanto em 64 bits como em 128 bits. Usando WPA não é possível esta quebra.
O WEP (assim como o WPA) é baseado no algoritmo RC4 (simétrico de fluxo) que em sua essência é um XOR. Nada de errado nisto, pois o padrão SSL tem como um de seus algoritmos este mesmo RC4.
O problema do XOR é que não pode haver repetição de chave (não entrarei em detalhes, talvez em um artigo?), logo o ideal seria uma chave "infinita". RC4 resolve este problema implementando um gerador infinto de bits para chave, sendo que este gerador deve ser inicializado... Enfim.
O fato é que para não haver repetição, se desmembrou a chave WEP em duas partes, a chave compartilhada que todas as estações e o AP tem, e um VI, vetor de inicialização, que deve ser (SIC) escolhido aleatóriamente pela estação.
Ai está a fragilidade do WEP:
a) Foram apenas 24 bits de VI, mesmo para a versão de 64 ou para 128 bits. Isto resume um força bruta a 2^24 SEMPRE, ao invés de 2^64 ou 128.
b) Muitos fabricantes, preguiçosos, programaram as placas para simplesmente começar o VI em 0 e ir decrementando ele, ao invés de CUMPRIR o padrão que era de escolher ALEATÓRIO.
c) Mesmo que seja aleatório, como um novo Vi deve ser escolhido a cada quadro ethernet, em poucas horas de tráfego intenso, uma única máquina esgotará todas as possíveis 2^24 combinações de VI e terá que reutilizar um VI já usado (COLISÃO) o que implica em repetição de chave.
Logo, WEP é uma PORCARIA.
WPA, além de implementar outros métodos de autenticação, elevou o VI para 48 bits.
[12] Comentário enviado por albertguedes em 13/01/2009 - 11:25h
elgio, não dá idéia de artigo que vai ter que fazer, falou tem que cumprir hehehe
Mas eu tentei implantar o bendito wap pra usar com meu note, só que o wpa_suplicant não aceita o driver da minha placa wireless broadcom. Quem usa essa placa tá lascado, tem usar a net wifi com o wep mesmo. Agora sei que colocar em 128bits só dá uma sensação psicológica de segurança, não segurança real. hehehe
Só espero que ninguém que tenha lido esse artigo more perto de mim.
[13] Comentário enviado por cristofe em 13/01/2009 - 16:26h
Prezado Loula,
Será que só funciona com a esta verssao do Backtrack ou eu estou longe do ponto de acess.
De qualquer forma parabéns pelo tutorial.
Crstofe Rocha
[16] Comentário enviado por removido em 14/01/2009 - 00:43h
Oi Tiago,
O procedimento para WPA é baseado em ataque de força bruta (dicionário). A maioria dos tutoriais que eu vi também utilizavam o BT, mas eu nunca cheguei a testar.
[18] Comentário enviado por jcsjns em 02/02/2009 - 13:27h
Muito bom artigo, explica de forma clara.
Eu não consegui obter sucesso ...
Estou com o backtrack 3 ...consigo rodar a placa em modo monitor
Porém, mesmo com um segundo pc conectado ao roteador, o airodump não o detecta.
Se abro um segundo terminal e envio pacotes com o aireplay aí sim o airodump detecta cliente conectado.
Alguma ideia do que esteja faltando ? Sei que seria importante informar mais detalhes de modelo de placa etc ..mas não estou em casa no momento.
[19] Comentário enviado por jcsjns em 02/02/2009 - 16:21h
Com relação ao power ...existe algum tipo de calibração ? Minha rede fica entre 180 e 200 (bem, está com 100% e a uns 20cm de distância!), porém outras redes inclusive de uma universidade que está a aproximadamente 150metros (sem barreiras físicas), fica em 120.
Tá certo isso ? É possível conectar a uma rede se o pwr > 40 ?
[20] Comentário enviado por removido em 03/02/2009 - 07:51h
Oi jcsjns,
Não entendi sua dúvida. Você não precisa ter um cliente conectado ao AP para efetuar esse procedimento. Na verdade você vai simular um cliente após a associação com o AP. Se não tiver dando certo, tente verificar se sua placa permite injeção de pacotes:
# aireplay-ng -9 -a 12:34:56:78:90:AB rausb0
Substitua o 12:34... pelo MAC Address do AP e rausb0 pela sua interface.
[21] Comentário enviado por removido em 03/02/2009 - 07:53h
Se você está próximo do AP não se preocupe com a indicação PWR. No meu caso (LinkSys WUSB54g v4) eu consegui melhores resultados com PWR > 40. Entretanto isso pode variar com o modelo de placa/driver.
[22] Comentário enviado por jcsjns em 03/02/2009 - 09:46h
Obrigado pela resposta! Você estava certo, era a placa (ou o driver)!
Utilizei outra placa e agora o Kismet além de capturar pacotes também mostra os clientes conectados.
O airodump também passou a mostrar os clientes associados e a indicação do power está mais coerente.
Entretanto, minha rede não chega a 40 (tudo a 100% de power e as duas antenas a menos de 20cm sem parede ou metal no meio), mas como vc falou, vou ignorar a pwr.
Consegui um roteador emprestado para teste e posso brincar mais tranquilo.
Bom, vamos a captura de pacotes ... próximo passo sera usar o aircrack ..vamos ver o que dá.
[23] Comentário enviado por Denion em 23/02/2009 - 02:18h
Entao too aqui pra enforma uma coisa q tah acontecendo comigo, e nao too entendo!!
tipo assim
mostro a senha wep, + naum consigo acessar a net do cara!
exemplo como tah mostrando!!
tah mostrando assim!!
e tipo!!
Uma, naum sei qual eh a senha real do cara!!sii eh essa 4F:29:2A:73:40:2A:66:29:25:6D:21:25:2A ou O)*s@*f)%m!%*
eu imagino q a net dele eh 128 bits
e quando eu coloco nada dah :(
[24] Comentário enviado por removido em 04/03/2009 - 00:11h
Oi Denion,
A chave encontrada é de 128 bits. O 4F:29... é a chave em hexadecimal, você pode utilizá-la tirando os ":", ficando 4F29...
O "O)*s@*f)%m!%*" é a chave em ASCII. Você também pode utilizá-la, mas eu prefiro em hexa. Em alguns caso o formato ASCII pode ocultar caracteres especiais que não podem ser visualizados.
[28] Comentário enviado por tiagofontoura em 23/06/2009 - 17:04h
cara, ta tudo certo, porem quando comeco a injetar pacotes fica sempre em 0, sabe oque pode ser???
sera que minha placa nao aceita injecao de pacotes? mas porque sera? se ela entra em modo monitor???
[31] Comentário enviado por grooverox em 21/10/2010 - 14:45h
O que pode estar ocorrendo quando após fazer a associação com a rede, injeto os pacotes mas o ARP e o ACK ficam zerados? Não gera tráfego..
Minha placa permite a injeção, já quebrei umas chaves :D