Foro Wifi-libre.com

VB264-T de OBSERVA telecom con essid WLAN5GH_XXXX (solo en banda 5Ghz)

Los que hacen auditorias en banda "a" habrán probablemente notado a estas redes debido a su eSSID por defecto muy llamativo: WLAN5GH_XXXX

  Creo que es el único modelo empleado por una tele-operadora que trabaja solo en frecuencias 5Ghz
     No puede trabajar en banda 2.4 Ghz, no es "doble banda".
Un eSSID peculiar para un router curioso:
    He nombrado al VB264-T de la empresa española OBSERVA telecom.
  Quien dice "WLAN" dice Telefónica y es efectivamente un router distribuido por Telefónica.
  Digo que es un modelo curioso porque, además de ser "solo 5Ghz", tiene una cosa que nunca había visto:

  Un botón para elegir entre modo cliente y modo PA.

  Sabemos así que no se puede utilizar cómo "repetidor wifi" ya que para ello debe poder ser cliente y Punto de Acceso a la vez.
   De hecho telefónica no lo describe como un Punto de Acceso: Lo llama "Adaptador Inalámbrico Altas Prestaciones"
  A parte del manual para usuarios de telefónica no existe ninguna documentación sobre este dispositivo.
   La pagina de Observa telecom es un chiste...
   Hablemos de lo nuestro: el nivel de seguridad wifi del dispositivo
 

WPS

El "Adaptador Inalámbrico Altas Prestaciones" (¡Qué chulo queda! ) tiene obviamente WPS y se recomienda en el manual el uso del WPS PBC para conectarse.
Viene entonces con el WPS en modo PBC habilitado:

Y si tienen el modo PBC habilitado no pueden tener el modo PIN habilitado.
Entonces la configuración WPS es por defecto segura.
Aparece el manual el PIN 33201405
¿Será genérico?
Si alguien sabe algo que hable
El router es muy fácil de identificar porque emite el modelo en sus PROBEs y parece que emite también el numero de serie.
No será vulnerable a un ataque pixe dust (su chipset no es un ralink o un realtek)

WPA

  Según el manual, si lo que ponen no es una trollada, tendríamos a una llave débíl, mucho más que con las redes MOVISTAR.
   ¿Será en homenaje a las viejas redes WLAN, muy inseguras?
    ¡Quien sabe!
En el manual se ve una etiqueta sin datos personales y en el lugar de la clave se ven a diez "X"

Justo abajo en el manual vemos lo que parecen ser los datos por defectos de la red empelada para hacer este manual

  Tenemos a diez dígitos hexadecimales
La contraseña tiene toda la pinta de ser el resultado de una cadena pasada por función de hashe tipo md5 o sha-1; no creo que se hayan complicado mucho la vida.
     10 caracteres hexadecimales son 16¹⁰ posibilidades.
   Hoy en día se superan las 400000 llaves por segundos con "una sola" Nvidia GTX1080
   Une brute force completo se hace con esta tarjeta en unas 760 horas, más o menos un mes.
     La llave no es bastante fuerte 
  Y es también más fácil estudiar y encontrar un algoritmo que produce llaves de diez dígitos hexadecimales que de derivar un algoritmo que genera llaves en acii con 20 caracteres...
       

Roge WEP downgrade (ataque de koala)

     
  A falta de tener este router entre manos solo se puede especular sobre lo que se ve en el manual
Si de verdad la llave tiene diez caracteres hexadecimales podremos emplear la técnica original del amigo Koala: El Rogue AP con "WEP downgrade."
   Se trata de crear un rogue AP en WEP en lugar de hacer el típico PA abierto con su portal cautivo.
Impedimos la conexión entre el cliente y su PA en WPA y esperamos a que el usuario intente conectarse al PA clonado en WEP
  Si el usuario se conecta a la red "evil twin" deberá entrar la contraseña en el gestor de red.
  Recuerdo que las contraseñas WEP pueden tener 10 o 26 digitos hexadecimales para ser validas, sino el gestor de redes no la manda.
   10 caracteres hexadecimales: La contraseña por defecto del WLAN_5GH cumple con este requisito y el usuario podrá mandar su llave WPA en formato WEP.
No llegará a conectarse correctamente; tendrá una "conexión nula o limitada" (el triangulo amarillo en windows)
No importa, con este ataque Rogue AP no queremos llevar el usuario a un portal trampa: Solo queremos obtener los datas necesarios para descifrar la llave WEP
Podemos ejecutar un ataque cafe-latte para hacer una inyección ARP "inversa" y acelerar el proceso.
   Si todo se pasa bien tendremos en menos de un minuto los paquetes necesarios para descifrar la llave en formato WEP 40 que es la llave WPA por defecto de diez caracteres hexadecimales
Con aircrack-ng PTW son generalmente 5000 paquetes para estas llaves WEP "cortas"
  Una opción muy interesante si la llave tiene de verdad este tamaño y usa solo el juego de caracteres hexadecimal
 
Conclusión: Llamada al pueblo wifi-libertaria
   Si alguien tiene datos completos de este modelo sería muy interesante.
El único link que puedo poner es el link hacía al manual:

• Adap tador  Inalámbrico Altas Prestaciones @ Movistar

Si alguien ha encontrado otro documento sobre este router, también sería muy interesante.
  ¡Hasta luego!