Descifrar una captura con airdecap-ng
Dentro de la suite aircrack-ng podemos encontrar un programa para poder descifrar el trafico WiFi cifrado con WEP o WPA para poder analizar su contenido, una vez conocemos la clave. Vamos a ver como funciona.
Suponer que el trafico WiFi es seguro por el hecho que va cifrado es un error, ya que una vez conocemos la clave podemos capturar el trafico como si se tratase de una red conectada a un hub (el espacio es un medio compartido)
El programa que permite descifrar el trafico WiFi una vez conocida la clave de la suite aircrack-ng se llama airdecap-ng:
root@bt ~# airdecap-ng
Airdecap-ng 1.0 r1645 - (C) 2006, 2007, 2008, 2009 Thomas d'Otreppe
Original work: Christophe Devine
http://www.aircrack-ng.org usage: airdecap-ng [options] <pcap file>
Common options:
-l : don't remove the 802.11 header
-b <bssid> : access point MAC address filter
-e <essid> : target network SSID
WEP specific option:
-w <key> : target network WEP key in hex
WPA specific options:
-p <pass> : target network WPA passphrase
-k <pmk> : WPA Pairwise Master Key in hex
--help : Displays this usage screen
No file to decrypt specified.
Para el caso de WEP, deberemos pasar la clave a hexadecimal, por ejemplo suponiendo la clave:
01234567890ABC
La clave en hexadecimal sería:
30:31:32:33:34:35:36:37:38:39:41:42:43
Esta clave en hexadecimal la pasaremos al airdecap-ng con la opción -w, con la opción -e indicaremos el nombre de la red que queremos descifrar y finalmente la captura con los datos cifrados:
# airdecap-ng -w 30:31:32:33:34:35:36:37:38:39:41:42:43 -e WIFI captura.cap
Total number of packets read 3259
Total number of WEP data packets 293
Total number of WPA data packets 1
Number of plaintext data packets 13
Number of decrypted WEP packets 62
Number of corrupted WEP packets 0
Number of decrypted WPA packets 0
Con esta ejecución obtendremos un fichero llamado igual que la captura que le pasamos pero con -dec. Por ejemplo, si le pasamos el fichero captura.cap, el fichero con los datos descifrados se llamará captura-dec.cap. A continuación ya podremos ver el contenido de los paquetes con tcpdump o cualquier otro programa para tratar la captura descifrada.
# tcpdump -X -nn -r captura-dec.cap
reading from file captura.ch.9-01-dec.cap, link-type EN10MB (Ethernet)
20:08:31.463878 IP 192.168.1.1.520 > 192.168.1.255.520: RIPv2, Response, length: 64
0x0000: 4500 005c 6372 0000 0111 d1ce c0a8 0101 E..\cr..........
0x0010: c0a8 01ff 0208 0208 0048 61a0 0202 0000 .........Ha.....
0x0020: 0002 0000 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0002 0002 0000 c0a8 f900 ffff fffc ................
0x0040: 0000 0000 0000 0001 0002 0000 c0a8 9901 ................
0x0050: ffff ffff 0000 0000 0000 0001 ............
En el caso de WPA es similar pero con las opciones -p y -k:
WPA specific options:
-p <pass> : target network WPA passphrase
-k <pmk> : WPA Pairwise Master Key in hex
Por lo tanto, aunque el trafico de una red cifrada con WEP (Wired Equivalent Privacy) o WPA (Wi-Fi Protected Access), los datos siguen viajando en claro para todos los que tengan la clave de red o puedan Auditarla. Si los datos son sensibles, se debe añadir una capa de cifrado extra y mucho mas robusta que la que ofrece WEP o WPA.