Buenas,
Después de ver el éxito que ha habido con los diccionarios WPA de Tele2 y con el tema de los Thomson SpeedTouch, me he animado a abrir este nuevo hilo, para ver si con tiempo y paciencia llevamos el tema a buen puerto.
Empiezo con algunas aclaraciones iniciales:
1.-
WPA vs WEP: El livebox viene por defecto configurado con una opción que admite tanto clientes WEP como WPA, usando para ello la misma clave (26 dígitos HEX que, en caso de usar WEP, se convierten en una clave de 104 bits -WEP128- y, en caso de usar WPA, se usan previsiblemente como passphrase). Esto explicaría lo que algunos foreros han comentado sobre que muchas redes livebox usan WEP a pesar de que airodump-ng o kismet las identifican como WPA. La detección como WPA se debe a que en los beacon frames estos cacharros se anuncian como WPA cuando operan en el modo dual predeterminado.
2.-
Filtrado MAC: Aunque alguno ha comentado que no es posible conectarse a estos cacharros con tarjetas distintas a las proporcionadas junto al livebox o bien que no usan filtrado MAC sino una técnica distinta conocida como "asociación" o algo parecido, lo cierto es que se trata de un vulgar filtrado por MAC rebautizado en términos poco rigurosos y cuyo mantenimiento se ha pretendido facilitar con la pulsación de un botoncito.
3.-
¿Ataque por fuerza bruta?: Yo lo descartaría, pues, aunque conocemos el patrón de la clave (26 dígitos hex), son 104 bits, así que tiene la misma complejidad que atacar un WEP128 por fuerza bruta y eso está descartado hoy en día.
4.-
¿Qué opciones quedan?: Lógicamente queda la opción de seguir una estrategia similar al caso de los Thomson, es decir, deducir el algoritmo de generación de las claves y esperar que el rango de todos posibles valores de entrada sea com****cionalmente abordable.
Ideas y observaciones:
- A diferencia del caso de los Thomson, aquí no tenemos un programa instalador en windows que solicite algunos datos y genere las contraseñas, así que la ingeniería inversa es más complicada.
- Creo que estos cacharros permiten
resetear la configuración a su estado inicial. Si eso recuperase la clave de cifrado original (previamente cambiada) sin ningún tipo de conexión a la red, podríamos deducir que la clave está en alguna memoria no volátil del aparato o bien
que se calcula por parte del firmware tras un reset completo o tras un firmware upgrade. Estaría bien que alguien haga pruebas de este tipo y nos diga los resultados.
- Si la clave se genera desde el firmware con algún tipo de algoritmo más o menos rebuscado, al estilo Thomson, siempre queda la opción de aplicar ingeniería inversa sobre el firmware. Una complicación añadida sería que ese código se ejecuta sobre el hardware del livebox y no sobre el PC, así que habrá que agudizar el ingenio (¿algún desensamblador de MIPS32 que funcione sobre un PC con linux o windows?¿Cómo se averiguó la forma de calcular el código de desbloqueo?: intuyo que trasteando el firmware de alguna forma).
- El primer paso sería conseguir "sacar" un firmware del livebox. Eso ya hay quien lo ha conseguido. Siguiendo sus indicaciones yo estoy trasteando actualmente con el firmware "firmware_v5.05.2-sp.dwb". Supongo que la mayoría ya conoce que el firmware del livebox es un linux para sistemas embebidos.
- El fichero "*.dwb" que contiene el firmware es un paquete que trae un script de RedBoot + una imagen linux en formato cramfs. Todo el paquete viene ofuscado con un XOR de una secuencia ya identificada. A los que queráis trastear os sugiero descargar esta herramienta:
http://darkfader.net/livebox/files/dwbtool.zipEn el caso del firmware con el que yo estoy trasteando la clave que hay que usar para desofuscar el paquete y extraer sus dos componentes es la pubkey_release_wanadoo_fr (viene dentro del zip anterior, en la carpeta "pubkey").
La herramienta dwbtool anterior me ha dado un poco de guerra, así que os cuento para evitaros algunos intentos infructuosos:
a.- Mi primer intento fallido fue usar desde windows el exe que viene ya precompilado, pero no funcionaba porque al parecer está compilado con cygwin y requiere la dll que usan todos los ejecutables compilados desde cygwin.
b.- Como no tengo cygwin ni ganas de instalarlo, la segunda opción fue intentar compilar la herramienta (viene con el fuente) en windows con minGW. Por lo visto no se traga bien las 2 librerías que vienen dentro del zip, las cuales no traen código fuente, así que opción descartada.
c.- Tercera opción: compilar el fuente dwbtool.cpp pero desde linux (WiFiSlax 3.1). Tampoco parece tragarse bien las librerías, que supongo que estarán compiladas en cygwin.
d.- Cuarta y última opción: las librerías no son ni más ni menos que un par de paquetes de libre distribución por lo que fácilmente se puede conseguir su fuente por internet, así que manos a la obra: descargar los fuentes de las 2 librerías, compilarlos desde WiFiSlax (con alguna dificultad menor) y, ahora sí, compilar con éxito dwbtool.cpp.
De momento no me alargo más. Espero que además de largo os haya parecido interesante y pego algunos enlaces que me han parecido interesantes sobre hacking de livebox:
http://darkfader.net/livebox/http://lekernel.net/scrapbook/livebox.htmlhttp://www.agp.dsl.pipex.com/inventel.htmlhttp://groups.google.com/group/uk.telecom.broadband/browse_thread/thread/2faa46982c14a648/eef12e1bb6ade65chttp://www.adslayuda.com/inventel_DV4210_WS_livebox-firmware.htmlhttp://www.adslayuda.com/inventel_DV4210_WS_livebox-info_bloqueo.html
