Adivinando claves WEP de los routers WLAN_ de Telefónica

Desde hace algún tiempo los routers de Telefónica llegan al cliente ya configurados con ip dinámica y con una clave WEP por defecto para las conexiones wireless.

El nombre de la red wireless, lo que llamamos ESSID es: WLAN_xx

Dónde xx son dos dígitos que cambian en cada AP. También podemos saber el BSSID que es la dirección MAC del interface wireless del router. Con cualquier programa de escaneo de redes wifi como kismet o netstumbler.
El proceso usado para generar la clave WEP no es completamente aleatorio, de manera que se puede deducir una gran parte de la clave, dejando así solo 4 dígitos aleatorios. O sea que con fuerza bruta más la deducción se puede obtener la clave.

A continuación explico como obtener la clave en formato ASCII:

Habitualmente Telefónica usa tres marcas de routers wireless, Zyxel, Comtrend, Xavy technologies.

Eso nos permite obtener el primer dígito que simplemente és la primera letra de la marca en mayúsculas.

Zyxel -> Z

Comtrend -> C

Xavy -> X

A continuación hay 6 dígitos que se obtienen de los 6 primeros dígitos de la dirección MAC del interface wan ( la conexión a internet del router). Como ya sabemos gracias a un programa de escaneo la MAC del interface wifi del router y los 6 primeros dígitos de las direcciones MAC identifican al fabricante del mismo y el router está hecho por un mismo fabricante. Entonces existe una relación.

En esta web se puede meter los 6 dígitos de la MAC en formato XY-WZ-TS y se obtiene el nombre del fabricante.

En resumen, como tampoco se usan demasiadas marcas aquí está el listado:

Z-com y Zyxel: 001349

Xavy Technologies: 000138

Comtrend: 0030DA

En este momento vienen 4 dígitos que no sabemos (son aleatoriamente escogidos por Telefónica) y por último los dos ultimos dígitos que estan en el ESSID de la red wireless. O sea lo que va a continuacion de: WLAN_

Ejemplo práctico: detectamos una red wireless llamada WLAN_66 (esto es lo que llamamos ESSID)
Con el programa netstumbler vemos que su BSSID (dirección MAC del wireless) es: 00:60:B3:D0:00:05

Entonces la clave de 128 bits WEP en ASCII sería:

Z001349xxxx66 (donde la 4 exis "xxxx" no sabemos que dígitos son.

El propósito de este documento es que los propietarios de dichos routers los cuales no han tocado para nada la configuración wireless del router, vean que el sistema que emplea Telefónica no es seguro y que con algun programa de fuerza bruta se puede obtener la clave en pocos minutos. De hecho ya existe software diseñado para ello.

Para más información sobre el tema vean la web de: rusoblanco.com

también: http://foro.elhacker.net/