Ataques de fuerza bruta

configuración Wi-Fi protegida

Cuando se reúne un mal diseño deficiente aplicación.

26.12.2011 Stefan Viehböck

Versión 3 https://twitter.com/sviehb
http://sviehb.wordpress.com/
Introducción
“Wi-Fi Protected Setup ™ es un programa opcional de certificación de la Alianza Wi-Fi que está diseñado para facilitar la tarea de instalación y
configuración de la seguridad en las redes de área local inalámbricas. Introducido por la Alianza Wi-Fi a principios de 2007, el programa ofrece un
conjunto de soluciones de configuración de red para hogares y entornos de pequeñas oficinas (SOHO) de toda la industria.

Wi-Fi Protected Setup permite a los usuarios típicos que poseen poca comprensión de los entornos tradicionales de configuración y seguridad
Wi-Fi para configurar automáticamente nuevas redes inalámbricas, agregar nuevos dispositivos y habilitar la seguridad. Más de 200 productos
han sido Wi-Fi CERTIFIED ™ para Wi-Fi Protected Setup ya que el programa se launced (sic) en enero de 2007.” 1

El Wi-Fi simple configuración Especificación (CSM) es la tecnología subyacente para la certificación de la configuración protegida Wi-Fi.

Casi todos los principales proveedores (incluyendo Cisco / Linksys, Netgear, D-Link, Belkin, Buffalo, ZyXEL y Technicolor) tienen WPS-certificados
dispositivos, otros proveedores (por ejemplo. TP-Link) aparatos de barcos con WPS-soporte que no son WPS certificado.

WPS está activado por defecto en todos los dispositivos que tenía acceso.

Aunque WPS se comercializa como una forma segura de la configuración de un dispositivo inalámbrico, hay diseño e implementación defectos
que permiten a un atacante para obtener acceso a una red inalámbrica de otra manera suficientemente asegurado.

Opciones de configuración general

WPS soporta la configuración fuera de banda a través de Ethernet / UPnP (también NFC se menciona en la memoria descriptiva) o
configuración en banda a través de IEEE 802.11 / EAP. Sólo en banda configuración será cubierto en este documento.

Terminología 2
• los inscrita es un nuevo dispositivo que no tiene la configuración de la red inalámbrica.
• los registrador proporciona la configuración inalámbrica a la persona inscrita.

• los punto de acceso proporciona normales red inalámbrica de alojamiento y también mensajes de servidores proxy entre el afiliado
y el registrador.

1 http://www.wi-fi.org/wifi-protected-setup/
2 http://download.microsoft.com/download/a/f/7/af7777e5-7dcd-4800-8a0a-b18336565f5b/WCNNetspec.doc

Página 2 de 9
Push-Button-Connect ( “PBC”)
El usuario tiene que pulsar un botón, ya sea una real o virtual, tanto en el punto de acceso y el nuevo dispositivo cliente inalámbrico. PBC en el
punto de acceso sólo estará activa hasta que la autenticación ha tenido éxito o el tiempo de espera después de dos minutos.

Esta opción se llama wps_pbc en wpa_cli 3 ( programa de interfaz basada en texto para interactuar con wpa_supplicant).

Firgure 1: activado “Push Button virtual” (Windows actúa como afiliado) Figura 2: Descripción de la opción PBC (Linksys WRT320N User Manual)
(Windows 7)

ALFILER

el registro interno
El usuario tiene que introducir el PIN del adaptador Wi-Fi en la interfaz web del punto de acceso. El PIN o bien puede ser impreso en la
etiqueta del adaptador o generados por el software.

Esta opción se llama WPS_PIN en wpa_cli.

Figura 4: campo PIN - Router es Registrador (Linksys

WRT320N interfaz web)

Figura 3: Descripción opción PIN interna Secretario del (Linksys

WRT320N User Manual)

3 http://hostap.epitest.fi/wpa_supplicant/

Página 3 de 9
Registrador externo
El usuario tiene que introducir el PIN del punto de acceso en una forma en el dispositivo cliente (por ejemplo. Ordenador).

Esta opción se llama wps_reg en wpa_cli.

Figura 5: Descripción opción PIN externo Registrador de (Linksys

WRT320N User Manual)

Figura 6: Ahora Asistente Conexión de Windows que actúa como un Registrador

(Windows 7)

Figura 7: Etiqueta con WPS PIN en la parte posterior de un router D-Link

Un error de diseño # 1

Opción / Autenticación Interfaz Web de acceso físico ALFILER

Pulsador de conexión X
PIN - el registro interno X
PIN - Registrador externo X
Opciones de las CM y qué tipo de autenticación que realmente utilizan.

A medida que la opción de registro externo no requiere ningún tipo de autenticación aparte de proporcionar el PIN, es potencialmente
vulnerable a los ataques de fuerza bruta.

Página 4 de 9
Autenticación (NIP - Registrador externo) 4
IEEE 802.11

Suplicante → AP solicitud de autenticación

802.11 autenticación
Suplicante ← AP Respuesta de autenticación

Suplicante → AP Solicitud de Asociación

802.11 Asociación
Suplicante ← AP Asociación de respuesta

IEEE 802.11 / EAP

Suplicante → AP EAPOL-Start

Suplicante ← AP Solicitud EAP-Identidad

EAP Iniciación

Suplicante → AP Respuesta EAP Identidad

(Identidad: “WFA-SimpleConfig Registradores-1-0”)

IEEE 802.11 / EAP Tipo Ampliado, Vendor ID: WFA (0x372A), proveedor Tipo: SimpleConfig (0x01) M1 inscrita → Registrador

N1 || Descripción || PK mi

Diffie-Hellman de intercambio de claves

M2 inscrita ← Registrador N1 || N2 || Descripción || PK R || autenticador

M3 inscrita → Registrador N2 || E-Hash1 || E-Hash2 || autenticador

M4 inscrita ← Registrador N1 || R-Hash1 || R-Hash2 || mi KeyWrapKey ( R-S1) || posession proove de 1 S t medio de PIN
autenticador
M5 inscrita → Registrador N2 || mi KeyWrapKey ( E-S1) || autenticador posession proove de 1 S t medio de PIN

M6 inscrita ← Registrador N1 || mi KeyWrapKey ( R-S2) || autenticador posession proove de 2 Dakota del Norte medio de PIN

M7 inscrita → Registrador N2 || mi KeyWrapKey ( E-S2 || configdata) || autenticador posession proove de 2 Dakota del Norte medio de PIN, enviar
configuración AP

M8 inscrita ← Registrador N1 || mi KeyWrapKey ( Configdata) || autenticador configuración del conjunto de AP

Afiliado = AP PSK1 = primeros 128 bits de HMAC Clave de autenticación( 1 S t medio de PIN) PSK2 = primero
Registrador = Suplicante = Cliente / atacante 128 bits de HMAC Clave de autenticación( 2 Dakota del Norte medio de PIN)

PK E = Diffie-Hellman clave pública PK afiliado R = DiffieHellman E-S1 = 128 bits aleatorios E-S2 = 128 bits aleatorios E-hash1 = HMAC Clave
Registrador de clave pública y authkey KeyWrapKey se derivan de la de autenticación( E-S1 || pSK1 || PK E || PK R)
clave compartida DiffieHellman.
E-Hash2 = HMAC Clave de autenticación( E-S2 || PSK2 || PK E || PK R)

Autenticador = HMAC Clave de autenticación( último mensaje || mensaje actual) R-S1 = 128 bits aleatorios R-S2 = 128 bits aleatorios r-hash1 = HMAC Clave
de autenticación( R-S1 || pSK1 || PK E || PK R)

mi KeyWrapKey = Materia de cifrado con KeyWrapKey (AESCBC)

R-Hash2 = HMAC Clave de autenticación( R-S2 || PSK2 || PK E || PK R)

1234567 0
suma de
1 S t medio de
ALFILER control 2 Dakota del Norte medio de PIN

Si el CM-autenticación falla en algún punto, el punto de acceso enviará un mensaje EAP-NACK.

4 Residencia en http://download.microsoft.com/download/a/f/7/af7777e5-7dcd-4800-8a0ab18336565f5b/WCN-Netspec.doc

Página 5 de 9
Defecto de diseño # 2

Un atacante puede obtener información acerca de la exactitud de las piezas del PIN de las respuestas AP's.

• Si el atacante recibe un mensaje EAP-NACK después de enviar M4, él sabe que el 1 S t medio de la PIN era incorrecta.

• Si el atacante recibe un mensaje EAP-NACK después de enviar M6, él sabe que el 2 Dakota del Norte medio de la PIN era incorrecta.

Esta forma de autenticación disminuye drásticamente los máximos posibles intentos de autenticación necesarios de 10 8 (= 100.000.000) a 10 4 + 10
4 (= 20,000).

A medida que el 8 º dígito del PIN es siempre una suma de comprobación de dígitos uno a siete dígitos, hay como máximo 10 4 +

10 3 (= 11.000) intentos necesarios para encontrar el PIN correcto.

Metodología de la fuerza bruta

Figura 8: Diagrama de flujo que muestra cómo funciona un ataque de fuerza bruta

optimizado

Página 6 de 9
La aplicación de fuerza bruta
Una herramienta de fuerza bruta prueba de concepto fue implementado en Python. Utiliza el Scapy 5 Biblioteca para la decodificación, generar,
enviar y recibir paquetes. Esta herramienta se utiliza en varios routers fabricados por diferentes proveedores.

Ejemplo de salida
sniffer comenzó

tratar 00000000
intento tomó 0,95 segundos tratando
00010009
intento tomó 1,28 segundos tratando
00020008
intento tomó 1.03 segundos

<Snip>

tratar 18660005
intento tomó 1,08 segundos tratando
18670004 # encontrado primera mitad del PIN

intento tomó 1,09 segundos tratando

18670011
intento tomó 1,08 segundos tratando
18670028
intento tomó 1.17 segundos tratando
18670035
intento tomó 1.12 segundos

<Snip>

tratar 18674071
intento tomó 1.15 segundos tratando
18674088
intento tomó 1.11 segundos

tratar 18674095 # encontrado segunda mitad del PIN

E-S2:
0000 16 82 F6 CA A8 24 98 85 4C 7E BD A6 BE D9 14 50 ..... $ ~ ..L ..... P SSID:

0000 74 70 2D 74 65 73 74 TP-test
MAC:
0000 F4 CE 38 CF AC 2C . . 8 ..,
Auth Tipo: 0000 00 20
.
Tipo de cifrado: 0000 00
08 . .
Clave de red:
0000 72 65 61 6C 6C 79 5F 72 65 61 6C 6C 79 5F 6C 6F really_really_lo 0010 6E 67 5F 77 70 61 5F 70 61 73 73
70 68 72 61 73 ng_wpa_passphras 0020 65 5F 67 6F 6F 64 5F 6C 75 63 6B 5F 63 72 61 63
e_good_luck_crac
0030 6B 69 6E 67 5F 74 68 69 73 5F 6F 6E 65 king_this_one
Wrap clave Algoritmo:
0,000 76 3C 7A 87 0A 7D F7 E5 v <z ..} ..

5 http://www.secdev.org/projects/scapy/

Página 7 de 9
resultados

duración intento de autenticación

Un intento de autenticación por lo general tomó entre 0,5 y 3 segundos para completar. Se observó que el cálculo de la clave compartida
Diffie-Hellman (que hay que hacer antes de generar M3) en la AP tomó una gran parte del tiempo de la autenticación. Esto se puede
acelerarse mediante la elección de un muy pequeño número secreto DH, generando así una parte muy pequeña de clave pública DH y
haciendo el cálculo de clave compartida en el lado del AP fácil.

Los defectos de ejecución

Algunos proveedores no implementan ningún tipo de mecanismo de bloqueo para evitar ataques de fuerza bruta. Esto permite que un atacante
para tratar todas las posibles combinaciones de PIN en menos de cuatro horas (en 1,3 segundos / intento).

En promedio un ataque tenga éxito en la mitad del tiempo.

El dispositivo de Netgear tiene bloqueo hacia abajo funcionalidad implementada, pero el bloqueo hacia abajo fases no son lo suficiente como para hacer
un poco prácticas ataque. En este caso, un ataque en promedio éxito en menos de un día (datos de tiempo se pueden encontrar en la página siguiente).

Vendedor Nombre del dispositivo HW-Version FW-Version Bloquear WPS

certificado

D-Link DIR-655 A4 (interfaz web) A5 1.35 No Sí

(Label)
Linksys WRT320 1.0 1.0.04 ?6 Sí

Netgear WGR614v10 ? 1.0.2.26 Sí Sí

TP-Link TL-WR1043ND 1.8 V1_110429 No No

versiones de firmware son hasta a la fecha a partir de 18.10.2011.

En casos raros dispositivos comenzaron a enviar mensajes con formato incorrecto o de su interfaz web y el enrutamiento no funcionaban
correctamente más. Era necesario un reinicio para resolver el problema. Esto podría ser evidencia de algún tipo de corrupción, pero no se
investigó más.

6 WPS-funcionalidad siempre se detenía a un lugar de trabajo entre 2 y 150 intentos de autenticación fallidos. La funcionalidad ni siquiera
volvió después de varias horas. Me parece que es un error en el firmware que provoca una denegación de servicio en lugar de la
funcionalidad de bloqueo hacia abajo.

Página 8 de 9
mitigaciones

Usuarios finales

WPS Desactivar. Esto no siempre es posible.

Vendedores

Introducir períodos de bloqueo lo suficiente largas con el fin de hacer un poco prácticas ataque. Por supuesto, esto requiere una nueva versión de
firmware.

Los intentos Bloquear Los intentos El tiempo máximo El tiempo máximo Comentario
anteriores de el por minuto de ataque de ataque

bloqueo hacia tiempo

abajo
11000 0 minutos 46.15 3.97 horas 0,17 días sin bloquear

?7 4.20 43,65 horas 1,82 días Netgear WGR614v10

3 1 minuto 2.82 65.08 horas 2,71 días Requisito para la certificación de la

CSM 2.0? 8
horas
15 60 minutos 0,25 737.31 30.72 horas días
Bloquear las configuraciones de toma de fuerza
10 60 minutos 0,17 1103.97 46.00 días
bruta menos práctico
horas
5 60 minutos 0,08 2203.97 91,83 días
tiempo asumido por intento: 1,3 segundos horas

Teniendo en cuenta que un AP normalmente tiene una duración de varios meses, un atacante determinado todavía podría ser capaz de atacar con éxito a

WPS habilitado AP. Este ataque es de bajo costo y tiene una garantía de éxito elevado en comparación con el agrietamiento WPA / WPA2-PSK.

Conclusión
Como casi todos los principales router / AP vendedores tienen dispositivos WPS-certificados y WPS - PIN (registro externo) es obligatorio para la
certificación, se espera que una gran cantidad de dispositivos son vulnerables a este tipo de ataque.

Tener un período de bloqueo hacia abajo suficientemente largo es más probable no es un requisito para la certificación. Sin embargo, podría ser
un requisito en el (nuevo) WSC Specification Version 2 8. Entré en contacto con la Alianza Wi-Fi en esto - que todavía tienen que responder.

La colaboración con los proveedores será necesario para la identificación de todos los dispositivos vulnerables. Corresponde a los proveedores para implementar

medidas de mitigación y liberar un nuevo firmware.

los usuarios finales afectados tendrán que ser informados acerca de esta vulnerabilidad y aconsejó a desactivar WPS o actualizar su firmware a
una versión más segura (si está disponible).

7 No se encontró bloqueo constante hacia abajo patrón. Sin embargo, en promedio, alrededor de 4,20 intentos de autenticación por minuto

eran posibles.
8 http://www.wi-fi.org/files/20110421_China_Symposia_full_merge.pdf

Página 9 de 9