Foro Wifi-libre.com

StKey de Kevin devine: Algoritmo de los routers Thomson (speedtouch) 

Hoy vamos a hacer un viaje en el pasado.
Un viaje hacía las origines del crack WPA (no hay que tomar la maquina a viajar en el tiempo porque hablamos de.. 2008) con el algoritmo stkey de Kevin DEVINE

Los protagonistas

Thomson
  Creada al inicio del siglo 20; la empresa Thomson se dedicaba a la fabricación de material eléctrico. Era una empresa franco-americano, una filial europea de la General Electric fundada por Edisson.
  La empresa toma un giro decisivo en los años 50 : Se convierte en una empresa francesa y cambia de política.
  Se dedica a partir de  esta época a la producción de electrodoméstico  y se convierte en un especialista en la producción de televisores. 
  La empresa esta nacionalizada en 82 y es por los años 80 que conoce su "edad de oro"
  Es en los ochenta a la vez productor de material militar (los tristemente famosos misiles Crotales), por supuesto de electrodoméstico y ... de material informático
  Podéis ver mas abajo su famoso T07 en acción.
  Notar que funcionaba con cintas y no tenía ratón sino una especie de boli para hacer clic en pantalla.

  A pesar de enormes inversiones, Thomson nunca lego a imponerse del todo como fabricante de computadora frente a los americanos o los japoneses.
  La empresa llegará a ser al borde de la quiebra.
   Su división informática será desmantelada y su actividad en el sector esta hoy en día reducida a la fabricación de puntos de acceso bajo otro nombre : Technicolor
   Routers "Technicolor" que podemos encontrar hoy en día en España ya que el ISP jazztell usa un modelo technicolor para sus redes fibra óptica con essid por defecto "jazztell_XXXXXX"

Kevin DEVINE

  Kevin Devine es sin duda un hacker que ha hecho historia .
Es nada mas ni menos que el creador de la suite aircrack
Además de ser un pionero y un maestro en lo que es "hacking wifi"; es también un hacha en ingeniera reversa.
Su trabajo sobre routers thomson/speedtouch fue una verdadera bomba....

Algoritmo Thomson : una historia de ingeniera reversa

Nota bene : Este capituló esta enteramente basado en la presentación original de Kevin Devine (mayo 2008) que podéis encontrar aquí :

• [ Default WEP/WPA key algorithm for Thomson routers ]

  Para lograr encontrar el algoritmo WEP y WPA de los routers Thomson/speedtouch; Kevin devine ha destripado el CD de instalación distribuido por Orange con sus routers speedtouch... en España.
  Desgraciadamente kevin DEVINE ha modificado el fichero de configuración del CD para que sus capturas de pantallas en su demostración  sean en inglés en lugar de castellano.
  El algoritmo fue encontrado en el fichero ejecutable desensamblado  "stInstall.exe" que se encuentra en el CD.
 
  Kevin encontró el primero indicio usando el parámetro -h (help) de la "GUI-test": una interfaz "escondida" en el CD que da bastante información "inspiradora"

  En efecto, podemos ver que el numero de serie se emplea  para crear una "llave de configuración"...

  Segundo indicio : kevin ha ejecutado el "exe" mediante PEiD y lanzado una análisis con Krypto Analyzer en búsqueda de una función de hash.
Y podemos ver que krypto analyser desvela la presencia de la función base-64 (fácilmente reversible) y ... sha-1 (más propia de una algoritmo de generación de llave WPA por defecto)   

  Tenemos a dos elementos que intervienen en este algoritmo  : el numero de serie y SHA-1 

   Luego kevin ha desensamblado la función sospechosa con IDA pro :
Podemos apreciar la presencia de estos elementos en el fichero stinstall.config :
Y en la GUI se pide entrar el "serial" :
Su "debugger" muestra que se usa el serial como "input" :
Y en salida se obtiene un SHA-1 en base de este serial :
Miremos ahora la llave WPA por defecto...

... ¡Ya esta! La llave WPA por defecto se genera con los 40 primeros bytes de nuestro SHA-1

742da831d2 b657fa53d347301ec610e1eb f8a3d0

   Y el essid por defecto se genera con los 24 ultimos bytes de nuestro resultado con  SHA-1

Aplicación concreta con  Stkey para generar la llave por defecto con el essid

En resumen, tenemos un numero de serie así

CP YY WW PP XXX (CC)

Para el router que recibió kevin DEVINE era : CP 06 15 JT 109 (53)   
    dónde

• YY : el año de producción (06 para 2006)

• WW : la semana en al año cuando fue construido el PA (con el router de kevin era una semana de abril)

• PP : un codigó de fabricación (JT para nuestro speedtouch)

• CC: Un código de producción (53 en este caso y que parece ser una especie de suma de comprobación en formato hexadecimal)

• XXX : probablemente vinculados con el numero de la unidad

   
  Para generar la lave WPA o WEP por defecto debemos :

1. Quitar los elementos CC y PP (el "código de fabricación" y el numero de la unidad.
   ... Esto nos da CP0615109

2. Convertir XXX de hexadecimal a decimal
   .. En el ejemplo nos da CP0615313039

3. Y por fin pasar la cadena formado por SHA-1
   ...Obtenemos 742da831d2b657fa53d347301ec610e1ebf8a3d0

Obtenemos así el pass WPA (742da831d2) de nuestro router ( con su eSSID speedtouchf8a3d0 )
     
En base de lo descubierto Kevin Devine ha liberado Stkey, un generador que permite obtener la lave WPA-WEP por defecto de los dispositivos manufacturados por  Thomson.
Introducimos el essid.
El programa produce a toda velocidad los SHA-1 en base de los posibles números series.
Cuando se obtiene una coincidencia entre el eSSID que hemos entrado y los últimos dígitos de nuestras conversiones con  SHA-1 es que hemos dado con el clavo.
El generador devuelve el pass por defecto y el numero de serie  ( puede haber uno o un par - poco más - de contraseña(s) posible(s) )

Podéis descargar el stkey original en versión 1.0 desde el "full disclosure" publicado por kevin DEVINE en "packetstorm"

• STKeys Thomson WPA Key Recovery Tool 1.0

  Para terminar este tema; una pequeña historia algo grotesca.
  En sus investigaciones, Kevin Devine ha puesto el dedo en una cadena "secreta" empleada en uno de los algoritmos presente en el router (probablemente utilizada para generar una llave WEP)
  La cadena secreta es... "ViveLaFrance!" :
  La próxima vez sería mejor no fanfarronear tanto y concentrase en ocultar correctamente el algoritmo