Foro Wifi-libre.com

Crack WEP contra el Xavi 7968-Solos 4610R de telefónica (essid del tipo WLAN_XX)

  No hace tanto de esto España era como un mini paraíso del WEP.
Las empresas telefónica y jazztell dominaban el mercado y todos sus puntos de acceso venían con cifrado WEP 128bits por defecto.
Como lo sabemos la gran mayoría de los usuarios no modifican la configuración por defecto (si funciona para que tocarla... )
Las primeras herramientas para crack WEP datan del inicio de los años 2000 pero esto no ha impedido los ISP ibéricos de hundir el territorio español con puntos de acceso en WEP. 
  Y Hoy en día si hacemos un scan airodump-ng con filtro WEP seguro que veremos unos de estos cacharros aún en acción....
  Sobre cuatro puntos de accesos WEP visibles desde mi locación actual veo dos de estas WLAN_XX de telefónica.
 

  Lo sabemos : el protocolo WEP no es seguro de por si y podemos romper cualquier llave WEP si tenemos los paquetes suficientes. Y aunque no conseguimos llevar una falsa asociación o inyectar trafico es solo cuestión de minutos tener los paquetes necesarios en cuanto un cliente legitimo se conecto y genera trafico.

    Además, en el caso de telefónica y de sus redes WLAN_XX, se ha podido observar muy rápido el uso de un patrón muy simple (¿estúpido?).

  ¿Cual es este sistema (¿Podemos llamar esto un algoritmo?) que permite obtener tan fácilmente las llaves WEP por defecto de los routeurs de telefonica?
 
    Mirando en mis cajones he encontrado un viejo router reciclado, un clásico de los hogares españoles, el Xavi 7968-Solos 4610R.
Ni intento hacer una fotos de los datos por defecto ya que solo tengo la webcam para hacer la foto.
    los datos sobre la pegatina son estos :

• identificador (SID)         :    WLAN_95

• Seguridad                     :    WEP 129 bits alfanumérica)

• Clave 1                         :    XOE91534C4995

• MAC add.                      :    E0-91-53-4C-49-95

  No hace falta ni capturar trafico ni usar nada más que sus ojos para encontrar la llave WEP tan la formula es patética:

X + bSSID

  "X" es para "Xavi", el fabricante. en mi viejo router tenemos el final essid que es igual al final bssid.

  La cosa cambia si tenemos un final essid diferente del final bSSID. Observemos estos datos :

E0:91:53:0C:97:1F con essid WLAN_A6
  =   XE091530C73A6

   Ahora nos quedamos con dos "desconocidas" (a primera vista.)
Volvemos a encontrar el X en inicio seguido por los dígitos 1 a 8 de la dirección mac. Luego vienen los dos dígitos que no podemos relacionar directamente con el bssid o el essid y para acabar tenemos los dos dígitos hexadecimales del essid. 
  Notamos que encontramos el 7 en el bssid y que es uno de los dígitos en el pass...
   En todos casos podríamos generar un diccionario WEP de 256 contraseñas que nos da un crack emn menos de un segundo con cuatro paquetes 

   Si el essid hubiera sido cambiado tendríamos 4 desconocidas y por lo tanto un diccionario de 65536 contraseñas.
  Tenemos así una formula básica para elaborar el diccionario para un crack seguro de la llave WEP por defecto :
     X + 8 primeros caracteres del bssid + cadena "brute force"de 4 símbolos hexadecimales
 
  Para poder efectuar un crack WEP con diccionario aircrack-ng requiere cuatro paquetes validos (datas) algo muy fácil de obtener solicitando un poco el router (inmediato si un cliente legitimo esta conectado)

  Si alguien tiene datos de este routers con el final essid diferente del final bssid sería interesante que los ponga aquí para que veamos si no podemos deducir la llave por defecto.