MAC5743 Computacao Movel Primeiro semestre de 2013

Seguran
ca e ataques em redes Wifi
Eduardo Menezes de Morais
Instituto de Matematica e Estatstica
Universidade de Sao Paulo
eduardo.morais@usp.br
Resumo
Neste trabalho, vamos analisar a seguranca de redes sem fio baseadas nos padr
oes IEEE 802.11,
mas conhecidas como redes Wifi. Veremos brevemente detalhes relevantes dos protocolos usados e
mostraremos alguns ataques que podem comprometer a privacidades e confiabilidade de redes Wifi,
alem de possveis metodos para se proteger desses ataques.

Introdu
c
ao

Nos u
ltimos anos, com a proliferac
ao de notebooks, smartphones e outros dispositivos portateis, redes
sem fio, principalmente as baseadas nos padroes IEEE 802.11, conhecidas popularmente como Wifi, tem
se tornado muito populares tanto em residencias quando em empresas.
Com tantas pessoas e neg
ocios utilizando diariamente esta tecnologia, a seguranca destas redes se
torna cada vez mais uma preocupac
ao. Gostaramos de garantir a privacidade das informacoes transmitidas pela rede e tambem garantir que os dados recebidos de outros nos da rede sao legtimos.
Para garantir a seguranca de uma rede Wifi precisamos resolver uma serie de complicacoes que n
ao
aparecem com redes cabeadas. Por exemplo, uma rede sem fio se estende alem das paredes e um possvel
atacante pode operar de longe. Uma vez que um ataque tenha sido identificado, localizar o atacante e
bastante difcil. Alem disso, os protocolos de autenticacao e criptografia definidos na famlia de padroes
IEEE 802.11 possuem uma serie de fraquezas que facilitam o trabalho de um atacante.
Neste trabalho vamos descrever alguns dos ataques que podem ser realizados contra redes Wifi. O
objetivo deste trabalho e educacional e esperamos que atraves do conhecimento sobre estes ataques administradores de rede possam proteger as suas redes com maior eficiencia. Os autores nao se responsabilizam
pelo uso dessas informac
oes com intuitos maliciosos.
O conte
udo do trabalho esta divido da seguinte forma: na Secao 2 veremos uma breve introduc
ao
aos padr
oes 802.11. Na Sec
ao 3 veremos diversos ataques contra redes Wi-fi. Alguns desses ataques
podem ser mitigados com o uso de esquemas de seguranca WEP ou WPA/WPA2. Por isso na Sec
ao
4 veremos ataques especficos contra redes que utilizem o protocolo de seguranca WEP e, na Secao 5,
assumido que os
alguns ataques contra redes que utilizam os protocolos de seguranca WPA/WPA2. E
leitores tem alguma familiaridade redes TCP/IP.

Os padr
oes IEEE 802.11

O grupo de trabalho 11 da categoria 802 de tecnologias LAN/MAN do IEEE (Institute of Electrical

and Electronics Engineers), publicou em 1997 um padrao de redes sem fio locais, conhecido como IEEE
802.11 [1]. Popularmente, este padr
ao ficou conhecido como Wi-fi pelo p
ublico geral.
Desde a publicac
ao do padr
ao original, diversas emendas foram publicadas para melhorar a velocidade
qualidade e seguranca das comunicac
oes. Emendas notaveis incluem as emendas A, B, G e N [2, 3, 4, 5]
que definem detalhes de frequencia e modulacao e a emenda I [6] que define os protocolos de seguranca
WPA e WPA2.

2.1

Definico
es

MAC5743 Computacao Movel Primeiro semestre de 2013

Uma n
o de uma rede sem fio pode ser classificado entre um ponto de acesso (ou AP ) e clientes. Um
ponto de acesso e uma estac
ao base, normalmente roteadores, ligados a uma rede cabeada. Um cliente
s
ao dispositivos m
oveis, como notebooks, smartphones e outros.
Se todos os dispositivos utilizam um ponto de acesso para se comunicar, chamamos a rede de infraestruturada. Se clientes se comunicam diretamente, a rede e chamada Ad-hoc.
O conjunto de dispositivos que pode se comunicar uns com os outros e chamado Basic Service Set,
ou BSS. Um BSS e identificado por um ID, o BSSID. Em redes infraestruturadas, o BSSID e o endereco
MAC do AP que os clientes se conectam. Em uma rede Ad-hoc, o primeiro cliente da rede escolhe o
BSSID.
Uma serie de BSS conectados forma um ESS. Um ESS e identificado por um nome de ate 32-bytes, o
chamado ESSID, ou simplesmente SSID. Comumente o SSID e chamado de nome da rede. Em redes
residencias e de pequenas empresas, e comum que so haja um u
nico BSS, com um u
nico roteador sem
fio. Nesse caso, o BSS e o ESS coincidem.
Para permitir diversas redes numa vizinhanca ao mesmo tempo, cada BSS usa uma frequencia. Essa
frequencia e separada em grupos padronizados e cada grupo e chamado um canal. Uma antena sem fio
pode escutar e transmitir em apenas um canal por vez.
Para se comunicar os pacotes podem ser enviados em texto puro pelo ar ou serem criptografados.
Existem v
arios esquemas criptogr
aficos, como o WEP, WPA e WPA2. Cada um sera discutido com
detalhes a frente.
Por uma quest
ao de facilidade, durante a descricao dos ataques falaremos em AP, como se estivessemos
falando apenas redes infraestruturadas. Porem quase todas as tecnicas valem tambem para redes Ad-Hoc
com um cliente j
a pertencente `
a BSS fazendo o papel de um AP.

2.2

Descoberta

Por padr
ao um ponto de acesso envia, varias vezes por segundo, um pacote anunciando sua existencia.
Este pacote se chama Beacon Frame. Exemplos de beacon frames podem ser vistos na figura 1.

Figura 1: Exemplo de Beacon Frame capturado utilizando o programa de analise de pacotes Wireshark1
1 Dispon
vel

em http://www.wireshark.org/

MAC5743 Computacao Movel Primeiro semestre de 2013

Beacons frames contem informac
oes sobre o SSID, canal, taxas de transferencia, protocolos de seguranca suportados pelo do ponto de acesso entre outras coisas, todas em texto puro. Eles sao usados para
exibir os pontos de acesso disponveis para clientes que desejam se conectar a uma rede.
Uma opcao presente em muitos pontos de acesso e a de esconder o seu SSID. Neste caso o ponto de
acesso ainda envia Beacon Frames no mesmo formato, porem nesses Beacon Frames nao esta presente o
SSID do ponto de acesso. No seu lugar, existe uma string de tamanho zero. Mais detalhes sobre essa
opc
ao ser
ao vistos na Sec
ao 3.3.
Quando um cliente se torna ativo e quer descobrir os pontos de acesso disponveis, ele envia um
pacote chamado Probe Request. Como pode ser visto na figura 2 o cliente pode enviar Probe Requests
para todos os n
os da rede (Broadcast) ou procurando por um AP especfico. Normalmente um cliente
envia Probe Requests especficos para APs com as quais ele ja se conectou e, portanto, cuja configurac
ao
est
a salva.

Figura 2: Exemplo de Probe Requests e Probe Responses. O Probe Response foi retransmitido (perceba
a flag R nos pacotes)
Os pontos de acesso que recebem o pacote respondem com um pacote de Probe Response, com as
mesmas informac
oes presentes em um Beacon Frame.

2.3

Associac
ao

Um cliente que deseja se associar com um ponto de acesso primeiro envia um pacote de Authentication
Request para o endereco MAC do ponto de acesso com o seu SSID. Caso o ponto de acesso utilize o
protocolo de seguranca WEP no modo Shared Key, iniciar-se-a um desafio cujo objetivo e verificar se o
cliente possui a chave compartilhada sem que a mesma seja transmitida. Mais detalhes sobre isso ser
a
visto na Secao 4.
Se a autenticac
ao for bem sucedida, ou a rede utilize outro protocolo de seguranca (ou ainda nenhuma
seguranca), o AP enviar
a um pacote de Authentication Response indicando sucesso. Apos isso o cliente
est
a autenticado, porem n
ao associado.
Para iniciar a associac
ao, o cliente envia um pacote de Association Request contendo o SSID da rede.
Se a autenticac
ao foi completada com sucesso o AP envia um pacote de Association Response. A partir
da comeca a troca de pacotes de dados.
Caso o AP use WPA, como na Figura 3 ainda e necessario completar o 4-way handshake, como ser
a
explicado na Sec
ao 5.

MAC5743 Computacao Movel Primeiro semestre de 2013

Figura 3: Exemplo de associacao com AP protegido por WPA2

Ataques

Nessa sec
ao veremos alguns ataques que podem ser feitos contra redes Wi-fi que comprometem sua
privacidade ou confiabilidade. Existem diversas ferramentas para realizar estes ataques mas demonstraremos como eles podem ser realizados, utilizando principalmente o pacote de ferramentas Aircrack-ng1
e outras ferramentas comuns em uma distribuicao GNU/Linux.
Para realizar alguns desses ataques, e necessario que o driver da placa sem fio utilizada pela atacante
tenha suporta a certas funcionalidades como modo monitor e injecao de pacotes. Nem todos os drivers
oficiais tem suporte a isso e em alguns casos sao necessarios patches ao kernel Linux ou drivers n
ao
oficiais no caso de outros Sistemas Operacionais.

3.1

Escutando o tr
afego

Todo o tr
afego de pacotes de controle, como os pacotes para associacao e Beacon Frames sao transmitidos em texto puro e podem ser capturados por qualquer um. Alem disso, em redes sem criptografia,
e possvel para um atacante capturar todo trafego de dados, incluindo qualquer informacao sensvel de
maneira completamente escondida. Porem, caso os pacotes seja criptografado em nvel de aplicacao, por
exemplo com SSL, a escuta passiva n
ao podera revelar muita coisa.
Devido a limitac
oes do meio fsico, uma antena deve estar no mesmo canal da rede a qual pretende
escutar. Alem disso a placa sem fio deve estar no modo monitor para que pacotes nao enderecados para
o atacante sejam enviados para o Sistema Operacional.
Em um sistema GNU/Linux, pode-se ajustar o canal de uma placa sem fio representada pela interface
wlan0 para o canal 1 com o seguinte comando:
# iwconfig wlan0 channel 1
Pode-se colocar uma placa no modo monitor com o programa airmon-ng. Este programa cria uma
interface virtual mon0 no modo monitor.
# airmon-ng start wlan0
Para capturar pacotes, pode-se usar o wireshark ou o programa airodump-ng do pacote aircrack-ng.
1 http://www.aircrack-ng.org

3.2

MAC5743 Computacao Movel Primeiro semestre de 2013

Desconectando clientes

Como todos os pacotes de controle s

ao enviados em texto puro e sem nenhuma forma de autenticac
ao
da origem, um atacante poderia enviar pacotes marcados como sendo originados do AP indicando o
encerramento da conex
ao. Com isso os clientes acreditaram que o AP encerou a associacao e irao tentar
se conectar a outra AP ou simplesmente indicar ao usuario que nao ha mais conexao.
Este ataque n
ao e t
ao furtivo quanto o anterior pois o AP, se este for equipado com algum software
de detecc
ao de intrus
ao como o Snort2 , pode perceber que estao circulando pacotes em seu nome que
n
ao foram enviados por ele e, portanto, que existe algum atacante malicioso na regiao. Porem, a menos
que sejam usadas extens
oes propriet
arias, nao existe como os clientes saberem que o pacote e falso.
O programa aireplay pode ser usado para injetar pacotes de desassociacao. O comando:
# aireplay-ng --deauth 10 -e testeAP -c AA:AA:AA:AA:AA:AA mon0
envia 10 pacotes de desautenticac
ao em nome do AP testeAP para o cliente com cujo endereco
MAC e AA:AA:AA:AA:AA:AA.

3.3

Descobrindo redes ocultas

Conforme descrito na Sec

ao 2.2, uma opcao comum em varios APs e a de esconder o seu SSID. Isto
normalmente e feito por administrados que querem evitar que intrusos tentem acessar sua rede.
Porem, como veremos, a seguranca dada por esta tecnica e muito baixa. Primeiro, conforme vimos
em 2.2, mesmo que o SSID de um AP esteja escondido, ele ainda deve enviar Beacon Frames e Probe
Responses normalmente, mas sem o seu SSID. Isso permite que um atacante saiba da existencia do AP.
Alem disso, como vimos em 2.3, durante o Association Request, um cliente deve enviar o SSID do
ponto de acesso. Escutando passivamente, um atacante eventualmente pode capturar um Association
Request e descobrir o SSID.
Se o atacante n
ao quiser esperar, pode ainda enviar um ataque de desautenticacao, como visto
facil
anteriormente, forcando o cliente a se reconectar e assim capturando o seu Association Request. E
descobrir quais clientes est
ao conectados a cada AP simplesmente observando o trafego.
Se o programa airodump captura um Association Request de uma rede oculta, automaticamente
exibira o seu SSID.

3.4

Burlando filtros por Enderecos MAC

Um mecanismo de seguranca utilizado tanto em redes cabeadas quanto redes sem fio sao filtros
por enderecos MAC. Filtros por enderecos MAC fazem com que o gateway de uma rede rejeite todos
os pacotes exceto os provenientes de uma certa lista de enderecos MAC pre-cadastrada. Deste modo,
apenas clientes cadastrados podem utilizar a rede.
Enquanto esse mecanismo pode ser efetivo em redes cabeadas, em redes sem fio sua efetividade
diminui muito. Isso ocorre pois em todo pacote enviado em uma rede sem fio esta presente o endereco
MAC, independente da criptografia ou mecanismo da rede.
Por isso, um atacante que pretende se associar a uma rede com filtros por enderecos MAC so precisa
escutar e tomar nota do endereco MAC de algum cliente autorizado. Entao, modificar o seu proprio
endereco MAC para este, preferencialmente quando o cliente verdadeiro nao estiver na rede. Uma outra
possibilidade e impedir a conex
ao do verdadeiro cliente pelo uso de pacotes de desassociacao.

3.5

Burlando Portais Cativos

Um Portal Cativo e um software que forca com que clientes recem conectados se autentiquem em
uma p
agina especial ou aceitem termos de servico antes de poderem acessar o resto da rede. Este tipo
de software e normalmente usado em Wi-fi Hotspots e outras redes p
ublicas onde distribuir uma senha
WEP ou WPA para um grande n
umero usuarios e inviavel.
Ao se conectar a rede, um novo cliente nao consegue utilizar a rede antes de abrir o navegador e
completar a autenticac
ao ou aceitar os termos. Isso pode ser feito de varias maneiras diferentes, mas a
tecnica utilizada por diversos Portais Cativos, como Wifidog3 e AirMarshal4 e responder qualquer pedido
2 http://www.snort.org/
3 http://dev.wifidog.org/
4 http://www.iea-software.com/products/airmarshal1.cfm

MAC5743 Computacao Movel Primeiro semestre de 2013

HTTP com um c
odigo 302, indicando que o navegador deve ser redirecionamento para outro endereco.
Uma vez que a autenticac
ao seja completada, o IP ou o endereco MAC do cliente e anotado pelo AP e
todos os pacotes enviados por esse cliente sao encaminhados normalmente.
Portais Cativos podem ser burlados de diversas formas. Uma das mais simples e semelhante ao ataque
anterior onde o atacante observa a rede e coleta enderecos MAC e IP de clientes conectados e os usa uma
vez que o cliente sair da rede.
Uma tecnica mais sofisticada e tunelar conexoes TCP por meio de outros pacotes, nao filtrados pelo
Portal Cativo. Normalmente Portais Cativos nao bloqueiam pedidos de DNS, mesmo de clientes n
ao
autenticados, pois isso causaria problemas com o redirecionamento de pedidos HTTP: uma vez aberto
o navegador, se uma pedido DNS para uma pagina qualquer nao e respondido, a conexao para envio do
pedido HTTP n
ao e feita. Responder com informacoes falsas a um pedido DNS possivelmente faria com
que esses resultados falsos fossem guardados em cache e impedissem a navegacao apos a autenticacao.
Por isso, Portais Cativos normalmente encaminham pacotes DNS normalmente.
Se o atacante possuir um servidor de DNS modificado ligado `a internet, pode enviar pacotes criptografados para este servidor, disfarcados de pedidos DNS, e o servidor encaminhara esses pacotes para a
internet, respondendo com o conte
udo tambem disfarcado de resposta DNS.
Existem diversos programas que fazer esse tipo de tunelamento, como o iodine5 e o OzymanDNS6 .
Caso o Portal Cativo permita, tambem e possvel tunelar conexoes por outros tipos de pacotes, como
ICMP.

3.6

Parodiando redes

Em uma rede com diversos APs, um atacante pode enviar Beacon Frames e Association Responses
como faria um AP legtimo da rede. Se o sinal do atacante for mais forte que o de outros APs, o cliente se
associar
a ao computador do atacante. A partir da o atacante pode escutar e enviar qualquer informac
ao
para a vtima. Quando o atacante encaminha os pacotes para rede, eventualmente modificando-os, isso e
conhecido como ataque do homem-no-meio (MitM) e a vtima pode nao perceber que ha algo de errado.
Mesmo que o sinal do atacante n
ao seja mais forte, ele pode forcar um cliente a associar-se a ele
injetando pacote de desassociac
ao em nome dos APs legtimos.
Uma variac
ao desse ataque consiste em o computador do atacante responder a qualquer Association
Request com um Association Response equivalente. Devido a configuracoes comuns em muitos sistemas,
o dispositivo pode se conectar a uma rede conhecida assim que ela e detectada. Assim o atacante pode
se conectar ao dispositivo de uma pessoa sem que ela saiba do que esta acontecendo. Talvez mesmo sem
estar usando o dispositivo.
Os programas MDK3 e airbase-ng s
ao capazes de parodiar pontos de acesso.

Redes WEP

O Wired Equivalent Protection, mais conhecido simplesmente como WEP, e um protocolo de seguranca presente no primeiro padr
ao IEEE 802.11 ([1]) e pretende proteger o trafego contra escuta de
pacotes e impedir que clientes n
ao autorizados se conectem a pontos de acesso.
Desde a sua introduc
ao em 1999, diversas falhar foram descobertas no WEP que levaram a sua
depreciac
ao em 2004, com a introduc
ao do WPA2.
Todos os n
os de uma rede que utilize WEP devem saber uma chave WEP de 64 bits ou 128 bits.
Normalmente essa chave e representada em dgitos hexadecimais.
O WEP utiliza a cifra RC4[7]. A chave WEP concatenada com um vetor de inicializac
ao (IV) de 24
bits aleat
orio forma a chave do algoritmo RC4. Com essa chave, o RC4 gera um vetor de bits, chamado
keystream que e combinado com o pacote que se deseja transmitir atraves da operacao de ou exclusivo
(XOR, ), conforme mostrado na figura 4.
Junto com o resultado da cifra, s
ao transmitidos em texto puro o vetor de inicializacao e um checksum
do pacote gerado utilizando o algortimo CRC-32 [9].
5 https://github.com/yarrick/iodine
6 http://www.doxpara.com/ozymandns_src_0.1.tgz

MAC5743 Computacao Movel Primeiro semestre de 2013

Figura 4: Esquema de criptografia de pacotes WEP (Fonte: [8])

Para descriptografar, o destinat
ario obtem o vetor de inicializacao, combina-o com a chave WEP e,
utilizando o RC4, gera o mesmo keystream. Como A B A = B, ao fazer a operacao de XOR com o
keystream gerado, o pacote original e recuperado.
Utiliza-se um novo IV para cada pacote enviado. Se este nao fosse o caso, o keystream seria sempre o
mesmo e, combinando dois pacotes enviados, um atacante obteria esse keystream com alta probabilidade.
Normalmente ele e criado aleatoriamente, mas sua escolha depende inteiramente de quem o envia.
Uma rede WEP pode estar configurada com dois metodos de autenticacao: Open System ou Shared
Key.
Quando um cliente tenta se associar a um ponto de acesso, caso a rede utilize o metodo Open
System, a autenticac
ao sempre e bem sucedida (a menos que existam filtros por enderecos MAC) e o
cliente consegue associar-se sem provar que sabe chave WEP. Porem, assim que ele tentar enviar algum
pacote, se n
ao possuir a chave correta, falhara pois o AP vai gerar um keystream diferente e o pacote
n
ao ser
a descriptografado corretamente.
Se a rede utiliza o metodo Shared Key, apos receber um Authentication Request o AP envia um
desafio consistindo de uma sequencia aleatoria de bits em texto puro. O cliente criptografa este desafio
com a chave WEP e envia de volta para o AP. Se apos descriptografar o AP conseguir obter de volta o
mesmo desafio, a autenticac
ao e aceita.
Apesar de parecer mais segura, o metodo Shared Key na verdade e mais inseguro, pois permite o
ataque que veremos a seguir.

4.1

Autenticac
ao falsa

Se um atacante captura a troca de pacotes para a autenticacao entre um cliente e um AP, ou seja,
captura tanto o desafio enviado pelo AP (A) quanto a resposta do cliente (B), ele pode calcular A B
e obter assim um keystream valido (para um certo IV) de tamanho igual ao desafio.
Normalmente este keystream e pequeno, mas pode ser usado para injetar pacotes fragmentados,
usando sempre o mesmo IV e keystream.
Um dos usos possveis desse keystream e se autenticar com um AP sem possuir a chave WEP.
Com o keystream capturado, o atacante pode criptografar corretamente o desafio do AP e completar a
autenticac
ao.

MAC5743 Computacao Movel Primeiro semestre de 2013

Ele n
ao poder
a ler os pacotes enviados pelo AP e deve sempre usar o mesmo IV, mas isso ja e o
suficiente para permitir outros ataques, como ARP Spoffing[10] e obter outros IVs, necessarios para o
pr
oximo ataque.

4.2

Obtendo a chave WEP

O protocolo WEP possui diversas fraquezas que podem ser exploradas para se obter sua chave. Alguns
dos primeiros trabalhos a explorar estes problemas foram [11, 12] em 2001, mas os ataques mostrados
nesses trabalhos levavam v
arios dias. Algum tempo depois, com as contribuicoes em [13, 14, 15] e de
outros pesquisadores se tornou possvel obter a chave WEP em questao de minutos com um ataque
estatstico.
A fraqueza do cifra est
a no uso do RC4. Existem alguns IV fracos que revelam informacao sobre
o resto da chave usada no RC4 e tornam plausvel a quebra por forca bruta em poucos minutos. Estes
IV fracos variam para cada chave WEP.
Por tanto, para quebrar uma chave WEP, um atacante precisaria apenas ficar coletando pacotes com
IVs diferentes ate ter um n
umero suficiente para que seja possvel quebrar a chave. Ele poderia obter
esses pacotes, por exemplo, como o airodump ou com o wireshark.
# airodump -w saida mon0
Em media, s
ao necess
arios 300.000 IVs para quebrar uma chave de 64bits. Pode demorar muito
tempo para coletar essa quantidade de pacotes. Por isso, para acelerar esse ataque, o atacante pode
injetar pacotes que gerariam respostas com IVs diferentes.
Uma tecnica comum e o ARP Request Replay. O atacante espera um cliente enviar um pedido
de resoluc
ao ARP para o AP. Estes pacotes podem ser identificados, mesmo criptografados, pelo seu
tamanho e comportamento. Ent
ao o atacante repete esse pacote muitas vezes, fazendo o AP criar varios
novos pacotes com IVs diferentes.
Para que possa injetar esses pacotes, o atacante deve ter realizado uma autenticacao falsa, como
mostrado na Sec
ao anterior, ou deve usar o endereco MAC de um cliente autenticado.
Um exemplo de realizac
ao deste ataque com a ferramenta aireplay-ng e:
# aireplay-ng --arpreplay -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 mon0
Onde 00:13:10:30:24:9C e o endereco MAC do AP e 00:11:22:33:44:55 e o endereco MAC de um cliente
autenticado ou de uma falsa autenticac
ao.
Ap
os coletados IVs suficientes, executa-se o programa aircrack-ng:
# aircrack-ng saida.ivs
Um exemplo de sada e mostrado abaixo:
Aircrack-ng 0.7 r130

[00:00:10] Tested 77 keys (got 684002 IVs)

KB
0
1
2
3
4
5
6
7
8
9
10
11

depth
0/ 1
0/ 3
0/ 2
0/ 1
0/ 2
0/ 1
0/ 1
0/ 1
0/ 1
0/ 1
0/ 1
0/ 1

byte(vote)
AE( 199) 29( 27) 2D(
66( 41) F1( 33) 4C(
5C( 89) 52( 60) E3(
FD( 375) 81( 40) 1D(
24( 130) 87( 110) 7B(
E3( 222) 4F( 46) 40(
92( 208) 63( 58) 54(
A9( 220) B8( 51) 4B(
14(1106) C1( 118) 04(
39( 540) 08( 95) E4(
D4( 372) 9E( 68) A0(
27( 334) BC( 58) F1(

13)
23)
22)
26)
32)
45)
51)
41)
41)
87)
64)
44)

7C(
00(
10(
99(
4F(
7F(
64(
1B(
13(
E2(
9F(
BE(

12)
19)
20)
26)
25)
28)
35)
39)
30)
79)
55)
42)

FE(
9F(
F3(
D2(
D7(
DB(
51(
3B(
43(
E5(
DB(
79(

12)
19)
18)
23)
20)
27)
26)
23)
28)
59)
51)
39)

FF(
C7(
8B(
33(
F4(
E0(
53(
9B(
99(
0A(
38(
3B(

6)
18)
15)
20)
18)
27)
25)
23)
25)
44)
40)
37)

39(
64(
8E(
2C(
17(
5B(
75(
FA(
79(
CC(
9D(
E1(

5)
9)
15)
19)
15)
25)
20)
23)
20)
35)
40)
34)

2C(
7A(
14(
05(
8A(
71(
0E(
63(
B1(
02(
52(
E2(

3)
9)
13)
17)
15)
25)
18)
22)
17)
32)
39)
34)

KEY FOUND! [ AE:66:5C:FD:24:E3:92:A9:14:39:D4:27:4B ]

00(
7B(
D2(
0B(
CE(
8A(
7D(
2D(
86(
C7(
A1(
31(

0)
9)
11)
17)
15)
25)
18)
19)
15)
31)
38)
33)

MAC5743 Computacao Movel Primeiro semestre de 2013

Redes WPA e WPA2

Ap
os a quebra definitiva do WEP, um novo protocolo de seguranca foi desenvolvido na ementa IEEE
802.11i[6]. Porem muitos dispositivos com pouco poder de processamento contavam com implementacoes
de hardware para acelerar o RC4 e o novo protocolo nao utilizava o RC4.
Por isso, o grupo de trabalho IEEE 802.11 publicou dois protocolos de seguranca: o WPA, que e
compatvel com estes dispositivos, e o WPA2, que quebra a compatibilidade.
O WPA e considerada uma soluc
ao intermediaria, usa o esquema criptografico TKIP, que utiliza a
cifra RC4 e, por tanto, n
ao requer mudancas no hardware de dispositivos preparados para WEP. Apenas
mudancas de firmware.
O WPA2, por sua vez, e considerado uma solucao a longo prazo, pode ser configurado para usar o
TKIP ou o CCMP, que utiliza a cifra AES[16]. Para poder suportar o AES por hardware, sao necessarias
mudancas.
Tanto o WPA e o WPA2 possuem duas versoes: a versao pessoal (PSK Pre-shared Key) e a vers
ao
empresarial (Enterprise).

5.1

WPA(2)-PSK

O WPA(2) Pessoal utiliza uma chave alfanumerica com comprimento entre 8 e 63 caracteres. Ap
os
a associac
ao, quatro mensagens, conhecidas conjuntamente como 4-way handshake sao trocadas. Elas
podem ser vistas nos pacotes da Figura 3.
Na primeira mensagem, o AP envia ao cliente um n
umero aleatorio, chamado ANOUNCE. Depois
disso o cliente gera um outro n
umero aleat
orio, SNOUNCE e gera uma chave que combina o ANOUNCE,
o SNOUNCE, a chave WPA(2) e endereco MAC do cliente. Essa chave e chamada PTK, e e a chave
usada como entrada do RC4 ou AES no TKIP/CCMP.
O AP, tendo as mesmas informac
oes, pode gerar a mesma PTK e confirma isso com a terceira
mensagem. A quarta mensagem e apenas um ACK do cliente.
Depois do 4-way handshake, nenhuma informacao sobre a chave e transmitida, nao existem IVs, e
por isso o TKIP n
ao pode ser quebrado da mesma forma que o WEP.
De fato a u
nica maneira de descobrir a chave WPA/WPA2 e por um ataque de forca bruta, testando
diversas senhas comuns. Isso s
o pode ser feito se o 4-way handshake foi capturado por um atacante e
ele sabe o ANOUNCE e SNOUNCE. Mesmo sabendo a chave da rede, sem esses n
umeros nao e possvel
espiar pacotes em uma rede WPA.
Apesar de muito mais seguro que o WEP e sem uma quebra definitiva, o TKIP tem uma falha, remanescente do seu uso do RC4. Em [17] foi notado que e possvel injetar pacotes ligeiramente modificados
em uma rede que usa TKIP. Porem como nao e possvel quebrar a chave com isso, o risco e limitado.

5.2

WPS/QSS

O Wireless Protected Setup, ou Quick Secure Setup, e uma forma de facilitar a configuracao da rede
para usu
arios domesticos.
A ideia e que um novo dispositivo, quanto tenta se associar, deve digitar um codigo PIN de 8 dgitos,
normalmente escrito no AP. Feito isso, o AP e o dispositivo trocam, de forma segura, a chave da rede
WPA/WPA2-PSK, potencialmente complicada, e a partir desse ponto o cliente guarda essa senha e o
usu
ario n
ao precisa mais se preocupar.
Por ter 8 dgitos e cada transic
ao de troca de chaves demorar em torno de 1 segundo, encontrar o
PIN por forca bruta parece invi
avel a primeira vista. Porem, em [18] foi notado que o u
ltimo digito e
um checksum e que durante a autenticac
ao, o AP sinaliza a corretude de cada metade do PIN.
Por isso, o quantidade de n
umeros que devem ser testados cai de 108 para 11.000. Um n
umero
perfeitamente possvel de se quebrar por forca bruta.
O programa reaver faz exatamente isso. Pode-se obter a chave de uma rede WPA/WPA2-PSK com
o comando:
# reaver -i mon0 -b 00:01:02:03:04:05
onde 00:01:02:03:04:05 e o BSSID da rede. O ataque, em geral, demora de 2h a 4h.
Por isso e recomendado que n
ao se use WPS. Um esquema de seguranca que era razoavelmente seguro
se tornou inseguro pelo seu uso.

5.3

MAC5743 Computacao Movel Primeiro semestre de 2013

WPA(2)-Enterprise

Com o WPA e WPA2-Enterprise o AP esta conectado de maneira segura, normalmente por rede
cabeada a um servidor de autenticac
ao Radius que autentica o usuario. O protocolo definido nos padroes,
o EAP, e apenas um mecanismo para enviar as respostas para o servidor Radius, e os mecanismos de
desafio e resposta utilizados para gerar a PTK variam.

Figura 5: Esquema de autenticacao do WPA/WPA2 Enterprise. Fonte: IEEE802.11x)

Muitos protocolos podem ser usados com EAP: EAP-TTLS, PEAP, EAP-MD5, PAP, entre outros.
Alguns protocolos, como o EAP-MD5, podem ser quebrados apenas escutando a autenticacao. Outros,
como o PAP podem ser quebrados se o atacante parodiar o AP e utilizar um servidor Radius modificado. Os protocolos EAP-TTLS e PEAP, por sua vez, podem ser configurados com a chave p
ublica do
AP, tornando impossvel parodi
a-lo. Porem a chave p
ublica e opcional e pode ser ignorada em certas
configurac
oes.
Cada um desses protocolos tem fraquezas e seguranca diferentes o que torna uma revisao de todos
muito extensa para este trabalho. Mais informacao sobre ataques contra WPA-Enterprise podem ser
encontrados em [19].

Conclus
ao

Redes sem fio s

ao incrivelmente pr
aticas, porem por problemas de configuracao, protocolo e implementac
ao existem muitos possveis ataques que comprometem a rede.
possvel ter um nvel de seguranca razoavel utilizando-se WPA2 com CCSM desde que se desligue
E

10

MAC5743 Computacao Movel Primeiro semestre de 2013

o WPS. Porem ainda pode-se ficar a merce de ataques de desassociacao e MitM limitados. Ataques de
MitM podem ser mitigados utilizando-se WPA-Enterprise com chaves p
ublicas.
possvel ter redes sem fio seguras. Porem muitas sao as armadilhas.
E

Refer
encias
[1] IEEE Standard for Information Technology Local and Metropolitan Area Networks Specific
Requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
Specifications. IEEE Std 802.11-1997, p. i445, 1997.
[2] IEEE Standard for Information Technology Local and Metropolitan Area Networks Specific
Requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
Specifications High-speed Physical Layer in the 5 GHz Band. IEEE Std 802.11-1999, 1999.
[3] IEEE Standard for Information Technology Local and Metropolitan Area Networks Specific
Requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
Specifications Higher speed Physical Layer Extension in the 2.4 GHz Band. IEEE Std 802.11-1999,
1999.
[4] IEEE Standard for Information Technology Local and Metropolitan Area Networks Specific
Requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
Specifications Further Higher Data Rate Extension in the 2.4 GHz Band. IEEE Std 802.11-2003,
2003.
[5] IEEE Standard for Information technology Local and metropolitan area networks Specific
requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
Specifications Amendment 5: Enhancements for Higher Throughput. IEEE Std 802.11n-2009, p. 1
565, 2009.
[6] IEEE Standard for Information technology Local and metropolitan area networks Specific
requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
Specifications Amendment 6: Medium Access Control (MAC) Security Enhancements. IEEE Std
802.11i-2004, 2004.
[7] SCHNEIER, B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. Segunda edicao.
Nova York, NY, EUA: John Wiley and Sons, 1996.
[8] WIKIPEDIA. Wired Equivalent Privacy Wikipedia, The Free Encyclopedia. 2013. [Online; accessado em 30 de Junho de 2013]. Disponvel em: <http://en.wikipedia.org/w/index.php?title=
Wired_Equivalent_Privacy&oldid=562769811>.
[9] PETERSON, W.; BROWN, D. Cyclic codes for error detection. Proceedings of the IRE, v. 49, n. 1,
p. 228235, 1961. ISSN 0096-8390.
[10] LOCKHART, A. Network security hacks. Sebastopol,
9780596527631.

CA, EUA: OReilly,

2007. ISBN

[11] BORISOV, N.; GOLDBERG, I.; WAGNER, D. Intercepting mobile communications: The insecurity
of 802.11. In: ACM. Proceedings of the 7th annual international conference on Mobile computing and
networking. [S.l.], 2001. p. 180189.
[12] FLUHRER, S.; MARTIN, I.; SHAMIR, A. Weaknesses in the key scheduling algorithm of rc4. In:
SPRINGER. Selected areas in cryptography. [S.l.], 2001. p. 124.
[13] STUBBLEFIELD, A.; IOANNIDIS, J.; RUBIN, A. D. Using the fluhrer, mantin, and shamir attack
to break wep. In: NDSS. [S.l.: s.n.], 2002.
[14] KLEIN, A. Attacks on the rc4 stream cipher. Des. Codes Cryptography, v. 48, n. 3, p. 269286,
2008.

11

MAC5743 Computacao Movel Primeiro semestre de 2013

[15] TEWS, E.; WEINMANN, R.-P.; PYSHKIN, A. Breaking 104 bit wep in less than 60 seconds. In:
SPRINGER. Lecture Notes in Computer Science. [S.l.], 2007. v. 4867, p. 188202.
[16] DAEMEN, J.; RIJMEN, V. Aes proposal: Rijndael. In: First Advanced Encryption Standard (AES)
Conference. [S.l.: s.n.], 1998.
[17] BECK, M. Enhanced TKIP michael attacks. 2010. Disponvel em: <Disponvel em http://www.
prestit.fr/Cryptographie%20et%20Steganographie/enhanced_tkip_michael.pdf>.

[18] VIEHBOCK,
S. Brute forcing wi-fi protected setup. Wi-Fi Protected Setup. Retrieved March, v. 3,
p. 2012, 2011.
[19] ANTONIEWICZ, B. 802.11 Attacks. [S.l.], 2008. Disponvel em: <http://www.mcafee.com/it/
resources/white-papers/foundstone/wp-80211-attacks.pdf>.
[20] AIRCRACK-NG. Aircrack-ng. 2013. [Online; accessado em 30 de Junho de 2013]. Disponvel em:
<http://www.aircrack-ng.org>.

12