WiFi törés WPS-en keresztül
2012 január 13 - admin
Stefan Viehböck és Craig Heffner december végén egymástól függetlenül számoltak be egy új módszerről a WiFi hálózatok titkosításának kijátszására. A módszer egy kényelmi funkció, a Wireless Protected Setup (WPS) tervezési hibáját használja ki.
A WPS lényege, hogy a hozzáférési pont el tudja küldeni a titkosítási beállításokat a hozzá kapcsolódni kívánó eszközöknek, ha azok ismerik az AP 8 jegyű PIN kódját. A szabványt kielégítő eszközök három féle lehetőséget ajánlhatnak fel a konfigurációra, ezek közül kettő egy AP-n lévő gomb nyomogatását, vagyis fizikai hozzáférést igényel, a harmadik viszont csak a PIN-t kéri, ez utóbbival van a baj.
Mivel a protokollüzenetek kiszámítása viszonylag komoly feladat egy átlag AP számára, az online brute-force túlzottan lassú, még egy ilyen kis kulcstér esetén is. A kutatók azonban rámutattak arra, hogy a protokoll külön üzenetekkel jelzi a PIN első és utolsó négy számjegyének helyességét, így 10^8 helyett csak 2*10^4 lehetőséget kell végigpróbálgatni, ami viszont már kivitelezhető. Logikus lépés lenne egy időre kizárni a túl sokat próbálkozó delikvenseket, ezt a biztonsági funkciót azonban a publikáció szerint a legtöbb gyártó nem valósítja meg.
Bár a hír még decemberi, egész eddig nem posztoltam róla, mert bár a WEP óta már nehezen lepődök meg bármilyen WiFi-biztonsági bakin, azért ekkora hátsó ajtót nyitni mégis abszurdnak tűnt. Másrészt a kiadott doksi is elég hígnak látszik: sok a lényegtelen táblázat, kevés a konkrét információ, és még az sincs egyértelműen leírva, hogy a tesztelt eszközök valójában elestek-e a támadástól, és ha igen, konkrétan mennyi idő alatt.
Így hát nekiálltam tesztelni a kéznél lévő eszközökkel: egy Netgear WNDR3700 és egy TP-Link WR841N routerrel (ez a fenti videóban szereplő eszköz kistestvére). A Netgearnél nem találtam external registrar opciót (nem beszélve arról, hogy ezek az eszközök elvileg ki is zárják a túl bőszen próbálkozókat). Ebből már leszűrhető, hogy attól, hogy egy termék WPS hitelesített, még egyáltalán nem biztos, hogy egy PIN megadása elég a konfigurációhoz, így a sebezhetőség nem használható ki minden ilyen eszközön.
A TP-Linknél elméletileg lehetséges a tisztán PIN-alapú konfiguráció, de sem a wpscrack.py sem a Reaver nem működött, pedig három WiFi kártyával, köztük a több csatában bizonyított D-Link DWL-G650-nel is próbálkoztam (thx Dnet!). Itt fontos megjegyezni azt is, hogy ez a készülék (és a videóban szereplő) nem WPS hitelesített, hanem a TP-Link QSS-nek nevezett WPS-mutációját használják, így a fenti támadás reprodukálásával sem lehetne messzemenő következtetést levonni az összes WPS hitelesített termékkel kapcsolatban.
Le kell szögezni, hogy a protokollban szarvashibát vétettek, amit valahogy kezelni kell a későbbiekben. Jelenleg azonban úgy látom, hogy a probléma gyakorlati hatásával kapcsolatban erősen túlzó kijelentések láttak napvilágot. Persze jobb félni, mint megijedni, a WPS lekapcsolásába senki nem fog belehalni. Ha tehetitek, futtassatok teszteket ti is, az eredményeket kíváncsian várom!
Szólj hozzá, vagy olvass bővebben a témáról itt: BuheraBlog
