systemadmin.es > Seguridad > Descifrar una captura con airdecap-ng

Descifrar una captura con airdecap-ng

Dentro de la suite aircrack-ng podemos encontrar un programa para poder descifrar el trafico WiFi cifrado con WEP o WPA para poder analizar su contenido, una vez conocemos la clave. Vamos a ver como funciona.

Suponer que el trafico WiFi es seguro por el hecho que va cifrado es un error, ya que una vez conocemos la clave podemos capturar el trafico como si se tratase de una red conectada a un hub (el espacio es un medio compartido)

El programa que permite descifrar el trafico WiFi una vez conocida la clave de la suite aircrack-ng se llama airdecap-ng:

root@bt ~# airdecap-ng 


  Airdecap-ng 1.0 r1645 - (C) 2006, 2007, 2008, 2009 Thomas d'Otreppe
  Original work: Christophe Devine
  http://www.aircrack-ng.org

  usage: airdecap-ng [options] <pcap file>

  Common options:
      -l         : don't remove the 802.11 header
      -b <bssid> : access point MAC address filter
      -e <essid> : target network SSID

  WEP specific option:
      -w <key>   : target network WEP key in hex

  WPA specific options:
      -p <pass>  : target network WPA passphrase
      -k <pmk>   : WPA Pairwise Master Key in hex

      --help     : Displays this usage screen

No file to decrypt specified.

Para el caso de WEP, deberemos pasar la clave a hexadecimal, por ejemplo suponiendo la clave:

01234567890ABC

La clave en hexadecimal sería:

30:31:32:33:34:35:36:37:38:39:41:42:43

Esta clave en hexadecimal la pasaremos al airdecap-ng con la opción -w, con la opción -e indicaremos el nombre de la red que queremos descifrar y finalmente la captura con los datos cifrados:

# airdecap-ng -w 30:31:32:33:34:35:36:37:38:39:41:42:43 -e WIFI captura.cap 
Total number of packets read          3259
Total number of WEP data packets       293
Total number of WPA data packets         1
Number of plaintext data packets        13
Number of decrypted WEP  packets        62
Number of corrupted WEP  packets         0
Number of decrypted WPA  packets         0

Con esta ejecución obtendremos un fichero llamado igual que la captura que le pasamos pero con -dec. Por ejemplo, si le pasamos el fichero captura.cap, el fichero con los datos descifrados se llamará captura-dec.cap. A continuación ya podremos ver el contenido de los paquetes con tcpdump o cualquier otro programa para tratar la captura descifrada.

# tcpdump -X -nn -r captura-dec.cap 
reading from file captura.ch.9-01-dec.cap, link-type EN10MB (Ethernet)
20:08:31.463878 IP 192.168.1.1.520 > 192.168.1.255.520: RIPv2, Response, length: 64
	0x0000:  4500 005c 6372 0000 0111 d1ce c0a8 0101  E..\cr..........
	0x0010:  c0a8 01ff 0208 0208 0048 61a0 0202 0000  .........Ha.....
	0x0020:  0002 0000 0000 0000 0000 0000 0000 0000  ................
	0x0030:  0000 0002 0002 0000 c0a8 f900 ffff fffc  ................
	0x0040:  0000 0000 0000 0001 0002 0000 c0a8 9901  ................
	0x0050:  ffff ffff 0000 0000 0000 0001            ............

En el caso de WPA es similar pero con las opciones -p y -k:

  WPA specific options:
      -p <pass>  : target network WPA passphrase
      -k <pmk>   : WPA Pairwise Master Key in hex

Por lo tanto, aunque el trafico de una red cifrada con WEP (Wired Equivalent Privacy) o WPA (Wi-Fi Protected Access), los datos siguen viajando en claro para todos los que tengan la clave de red o puedan crackearla. Si los datos son sensibles, se debe añadir una capa de cifrado extra y mucho mas robusta que la que ofrece WEP o WPA.

2 comments to “Descifrar una captura con airdecap-ng”

  1. ¿ Pero la información viaja encriptada , no ?
    Otra cosa es que con la clave adecuada puedas desencriptarlo.
    Es como decir que una caja fuerte no segura porque puedes hacerte con la contraseña y abrirla

  2. A lo que me refiero es desde el punto de vista de otro usuario de la misma red.

    Aun suponiendo que WEP fuera un cifrado fuerte, el resto de usuarios de la red pueden descifrar los datos que circulan por ella: por esto digo que el medio de la WiFi (espacio) actúa como un hub: todos pueden ver todos los datos y WEP o WPA no es una protección.

    Es como decir que vives en un piso sin puerta porque con la puerta del bloque es suficiente, aunque todos los vecinos tengan esa llave.

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>