The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в WPS, протоколе упрощенной авторизации WiFi

29.12.2011 21:57

В протоколе WPS (Wi-Fi Protected Setup), предназначенном для упрощения настройки WiFi-соединений, обнаружена серьезная уязвимость, позволяющая сократить требуемое число попыток подбора пин-кода точки доступа с 100 миллионов попыток до как максимум 11 тысяч попыток, что делает эту атаку практически осуществимой за разумное время. С использованием предложенного метода для подбора пин-кода требуется около 4-10 часов, после чего атакующий получает возможность запроса пароля для подключения к беспроводной сети, изменения конфигурации точки доступа или совершения блокирования работы сервиса.

Из подверженных атаке устройств, отмечены:

  • D-Link Systems
  • Linksys
  • Netgear
  • ZyXEL
  • Belkin
  • Buffalo
  • Technicolor
  • TP-Link

О каком либо практически реализуемом методе исправления уязвимости протокола WPS ничего не известно. Единственным решением является отключение авторизации по WPS в настройках оборудования и переход к другим способам авторизации, например WPA-PSK.

Команда CERT также рекомендует следующие настройки для повышения безопасности беспроводных компьютерных сетей:

  • Использовать шифрование WPA2 с несловарным паролем;
  • Отключить UPnP;
  • Включить фильтрацию по MAC адресу.

В настоящее время уже открыт код инструментария Reaver, предназначенного для реализации предложенного метода атаки на практике. Для подбора пин-кода достаточно запустить утилиту reaver, указав беспроводной интерфейс в режиме мониторинга и BSSID целевой точки доступа (например, "reaver -i mon0 -b 00:01:02:03:04:05").

Уязвимость позволяет успешно выделить PSK (Pre-Shared Key) ключ, используемый в защищённых сетях на базе протоколов WPA и WPA2. При правильном выборе PSK-ключа, WPA2 обеспечивает достаточный уровень защиты. В случае упрощённой схемы настройки параметров авторизации, применяемой при активации WPS, пользователю для соединения предлагается ввести 8-символьный PIN без дополнительной парольной фразы. Если PIN корректный, то точка доступа передаёт пользователю PSK-ключ для WPA/WPA2, которого достаточно для подключения к сети (в WPS применяется так называемый метод внешнего регистратора).

Таким образом, вычислив верный PIN не представляет сложности определить PSK-ключ. Как оказалось, в спецификации WPS есть слабое место, которое даёт возможность существенно упростить подбор PIN, так как атакующий может попытаться целиком предсказать первую половину цифр, используемых в PIN - в зависимости от того, верна или нет первая половина предложенного PIN, точка доступа возвращает в ответ разные сообщения EAP-NACK. В спецификации WPS также определено, что последняя цифра PIN представляет собой контрольную сумму, т.е. последнее значение можно считать изначально известным, поэтому после определения первых 4 цифр PIN остаётся определить методом перебора значение всего 3-х недостающих цифр, что в сумме для проведения всей атаки требует совершения около 11 тысяч операций перебора (10^4 на первые 4 цифры плюс 10^3 на оставшиеся три).

  1. Главная ссылка к новости (http://sviehb.wordpress.com/20...)
Автор новости: Аноним
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/32696-wps
Ключевые слова: wps, wpa, wifi, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (35) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:34, 29/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    както странно, зачем вовращать правильность половины цифр? зачем паролю контрольная сумма?
    ну и чего вы хотели, упрощенная же.
     
     
  • 2.3, Аноним (-), 23:37, 29/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > както странно, зачем вовращать правильность половины цифр?

    For the lulz. Халява, сэр!

     

  • 1.2, Аноним (-), 23:35, 29/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > При правильном выборе PSK-ключа, WPA и WPA2 обеспечивают достаточный уровень защиты.

    Кто дописал сию глупость к моей новости, господа корректоры?!

    Вообще-то WPA не является полностью безопасным: протокол TKIP содержит ряд известных проблем благодаря почти столь же кривому использованию RC4 как в обычном WEP. Подробнее на http://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol#Security

    Более-менее безопасным можно считать WPA2 с его протоколом CCMP, использующим AES, в силу полной переделки протокола WEPовские проблемы там не присутствуют.

     
     
  • 2.4, Аноним (-), 23:54, 29/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> При правильном выборе PSK-ключа, WPA и WPA2 обеспечивают достаточный уровень защиты.
    >Кто дописал сию глупость к моей новости, господа корректоры?!

    По сравнению с потолком в 11 тысяч операций перебора, WPA можно считать супер защищённым :-)

     
     
  • 3.5, Аноним (-), 00:27, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > супер защищённым :-)

    Да щаз. Там за вполне обозримое время можно начать инжектить пакеты даже не зная пароля. Возможны приколы типа ARP-poisoning например :)

     
     
  • 4.6, Аноним (-), 00:37, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати, к замечанию вроде прислушались, WPA убрали - "При правильном выборе PSK-ключа, WPA2 обеспечивает достаточный уровень защиты". Хотя в описании утилиты http://www.tacnetsol.com/products/ "With a well-chosen PSK, the WPA and WPA2 security protocols are assumed to be secure by a majority of the 802.11 security community."
     
     
  • 5.8, Аноним (-), 07:17, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кстати, к замечанию вроде прислушались, WPA убрали - "При правильном выборе PSK-ключа,
    > WPA2 обеспечивает достаточный уровень защиты".

    И правильно сделали - английская вика не просто не согласна с этим утверждением но и приводит пример вполне себе осуществимых атак. Которые хоть и не являются полным вскрытием протокола из-за отличий от WEP, но позволяют несколько гадить в сеть осмысленными пакетами и частично угадывать некоторые данные.

    > Хотя в описании утилиты http://www.tacnetsol.com/products/
    > "With a well-chosen PSK, the WPA and WPA2 security protocols are
    > assumed to be secure by a majority of the 802.11 security community."

    А в английской вике зато есть примеры атак на TKIP (импользуемый WPA). Поэтому хотя считать его поломанным преждевременно, рекомендовать его к использованию не стоит.

     
  • 2.17, Аноним (-), 15:47, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вообще-то WPA не является полностью безопасным
    >> ...
    >> Более-менее безопасным можно считать WPA2 с его протоколом CCMP

    WPA и WPA2- суть одно и то же. Первое- драфт, а второе- окончательный вариант одного и того же стандарта. Основное отличие состоит лишь в том, что в WPA поддержка CCMP опциональна, а в WPA2- обязательна. TKIP может использоваться в WPA2 с таким же успехом, как и в WPA. Равно как и наоборот- CCMP можно использовать в WPA. Другими словами использование WPA2 и запрет использования WPA не является ни необходимым, ни достаточным условием для обеспечения высокой защищенности сети. Куда важнее запретить использование TKIP, если такая возможность вообще предусмотрена производителем ОС и/или оборудования.

     
     
  • 3.19, Аноним (-), 21:04, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > WPA2- обязательна.

    Вот именно поэтому - WPA2 и CCMP, и только так. В случае первого WPA нет гарантий поддержки CCMP, поэтому в сад. Очень удобный критерий отсева.

     

  • 1.9, Аноним (9), 08:06, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Мда.. Такая спецификация больше похожа на пасхальное яйцо.
     
  • 1.10, sluge (ok), 08:52, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    я бы еще добарил-добавьте в конец к имени точки доступа _nomap, чтобы ее координаты не засосал гугл
     
     
  • 2.20, Аноним (-), 21:05, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > я бы еще добарил-добавьте в конец к имени точки доступа _nomap, чтобы
    > ее координаты не засосал гугл

    А лучше просто по крону менять MAC и часть ESSID для доставления гуглю массы лулзов и засорения их досье заведомо невалидными данными.

     
     
  • 3.23, Гентушник (ok), 21:34, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А лучше просто по крону менять MAC и часть ESSID для доставления гуглю массы лулзов и засорения их досье заведомо невалидными данными.

    Речь идёт про андроиды надеюсь?

     
     
  • 4.26, Аноним (-), 23:38, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Речь идёт про андроиды надеюсь?

    Речь идет прежде всего о точках доступа и роутерах под управлением более-менее полноценного линуха (например openwrt).

    Как вы там в вашем ведроиде выкрутитесь мне неинтересно: у меня его нет и никогда не будет. Хотя-бы потому что меня не устраивают гуглозонды и навязывание их сервисов + поддержка "фич" типа RRLP.

     
     
  • 5.30, Гентушник (ok), 10:06, 31/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Речь идет прежде всего о точках доступа и роутерах под управлением более-менее
    > полноценного линуха (например openwrt).

    Каким образом гугл узнает ESSID или MAC-адрес? Я чего-то не догоняю.

    > Как вы там в вашем ведроиде выкрутитесь мне неинтересно: у меня его
    > нет и никогда не будет. Хотя-бы потому что меня не устраивают
    > гуглозонды и навязывание их сервисов + поддержка "фич" типа RRLP.

    У меня ведроида нет, но я тоже упомянув его намекнул на гуглозонд.

     
     
  • 6.33, Аноним (-), 02:34, 03/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Чпок, с добрым утром. Это одна из фич современной гео-локации. Гуглить по слову Skyhook.
     
  • 6.34, Аноним (-), 04:59, 03/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Каким образом гугл узнает ESSID или MAC-адрес? Я чего-то не догоняю.

    Это же элементарно, Ватсон! Вы сами и шлете их в эфир вашей точкой доступа. Все что гуглу остается - приехать своим гугломобилем и узнать о том что вы - есть, при том вот тут :)

    > У меня ведроида нет, но я тоже упомянув его намекнул на гуглозонд.

    Есть еще гугломобили. Ездят по улицам, смотрят что ловится, а координаты свои они уж наверное знают. Ну вот как-то так и узнают примерно. Во всяком случае - узнавали.

     
     
  • 7.36, Гентушник (ok), 14:21, 03/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Каким образом гугл узнает ESSID или MAC-адрес? Я чего-то не догоняю.
    > Это же элементарно, Ватсон! Вы сами и шлете их в эфир вашей
    > точкой доступа. Все что гуглу остается - приехать своим гугломобилем и
    > узнать о том что вы - есть, при том вот тут
    > :)

    Прочитал про skyhook, теперь понял о чём речь. Как я понимаю в базу будет занесена пара (гео координаты, MAC-точки доступа). Но ассоциировать со мной (гугл-аккаунтом к примеру) эти координаты можно будет только если я _сам_ (прога,говнотулбар,троян) сообщу гуглу информацию о находящихся рядом точках доступа?
    В чём тогда подвох?

     
     
  • 8.37, Аноним (-), 00:21, 04/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот например переехали вы А мак адрес вашей точки доступа не поменяли Вполн... текст свёрнут, показать
     

  • 1.11, Аноним (-), 10:01, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А им кто-то пользуется? У всех давно WPA2-PSK
     
     
  • 2.21, Аноним (-), 21:06, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А им кто-то пользуется? У всех давно WPA2-PSK

    Попробуй выйти на улицу и запустить скан, удивишься... ;)

     

  • 1.12, DFX (ok), 10:36, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а вот почему в этом протоколе нет предписания на установку ограничения на количество запросов с mac-адреса в единицу времени и занесение адреса в список фильтрации после X попыток (с указанием каких-то разумных пределов для всех 3х переменных) ?
    ну или производители, СПО-тырящие сволочи не подсуетились сами почто ? элементарная и древнючая вещь, но:
    1) сделала бы время подбора непрактичным
    2) при применении атакующим смены mac-адреса для обхода превращает потенциальное проникновение в потенциальный DoS, что есть меньшее зло.

    или там mac-адреса до авторизации не указываются, или что-то ещё мешало ?

     
     
  • 2.13, LORanonymous (?), 10:56, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    из README:
    Some APs will temporarily lock their WPS state, typically for five minutes or less, when "suspicious" activity is detected. By default when a locked state is detected, Reaver will check the state every 315 seconds (5 minutes and 15 seconds) and not continue brute forcing pins until the WPS state is unlocked.
    This check can be increased or decreased to any non-negative integer value:

    # reaver -i mon0 -b 00:01:02:03:04:05 --lock-delay=250

     
  • 2.14, LORanonymous (?), 11:18, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    на моём дир655 ситуация такая: 4 минуты брутит, 20 минут ждёт снятия блокировки(может ждёт и дольше, но я ждать устал раньше)
     
     
  • 3.27, Аноним (-), 00:16, 31/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > на моём дир655 ситуация такая: 4 минуты брутит, 20 минут ждёт снятия
    > блокировки(может ждёт и дольше, но я ждать устал раньше)

    А что мешает мак-адреса менять раз в 4 минуты? :)

     
     
  • 4.31, LORanonymous (?), 10:35, 31/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    вырубается весь WPS, а не блокируется определённый мак
     
     
  • 5.35, Аноним (-), 05:01, 03/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > вырубается весь WPS, а не блокируется определённый мак

    О, нормально, +1 способ мстить соседу. Сосед сломает мозг почему у него вафля не хочет работать с новыми девайсами :)

     
  • 2.18, PereresusNeVlezaetBuggy (ok), 16:36, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А что мешает подменять MAC-адрес?
     
  • 2.25, Аноним (-), 22:46, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > а вот почему в этом протоколе нет предписания на установку ограничения на
    > количество запросов с mac-адреса в единицу времени

    Не вижу что помешает менять мак адаптера :)

    > и занесение адреса в  список фильтрации после X попыток

    Не вижу что помешает менять мак адаптера, вплоть до подстановки под бан легитимного хомяка и его девайсов ака "возможна удаленная DoS атака" :)

    > 1) сделала бы время подбора непрактичным

    Мак поменять не проблема.

    > в потенциальный DoS, что есть меньшее зло.

    Ага, возможность выбить любого хомяка с публичной точки доступа по желанию левой пятки - совсем не зло :)

    > или там mac-адреса до авторизации не указываются, или что-то ещё мешало ?

    Декоративность и бесполезность этой меры.


     
     
  • 3.28, DFX (ok), 08:37, 31/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ничто не мешает менять адреса и без этой меры, а с ней вместо проникновения получаем только DoS, точно так же как при segfault'е получаем потерю данных вместо исполнения левого кода.

    > Не вижу что помешает менять мак адаптера, вплоть до подстановки под бан легитимного хомяка и его девайсов ака "возможна удаленная DoS атака" :)

    ничто не мешает давать имунитет уже авторизованным mac'ам и игнорировать фальшивые попытки авторизации с них, даже nack не посылать.

    > Ага, возможность выбить любого хомяка с публичной точки доступа по желанию левой пятки - совсем не зло :)

    сам придумал ? в твоей же цитате написано "меньшее зло".
    то есть, лучше чтобы можно было поиметь точку сразу двумя способами, а не одним ?

     

  • 1.15, Deam (ok), 11:30, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у меня что-то не хочет брутить :(
    [+] Associated with ##:##:##:##:##:AF (ESSID: #########)
    [+] Trying pin 01736120
    Ошибка сегментирования
     
     
  • 2.24, Аноним (-), 22:43, 30/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ошибка сегментирования

    Use gdb, Luke!

     

  • 1.16, YetAnotherOnanym (?), 13:01, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Конец немного предсказуем - когда индустрия начинает прогибаться под немощных разумом ягодичноруких хомячков, нуждающихся в разного рода упрощениях, начинаются проблемы.
     
  • 1.32, Аноним (-), 02:24, 02/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все нормальные люди WPS отключают, ибо смысла от него нету.
     
  • 1.38, Аноним (38), 13:57, 12/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да уж не плохо ) Как так допёрли до этого ?
    Какой то хакер анализировал отправленые пакеты от роутера по wps ? )
    Вобще если поставить фильтрацию на mac после Х кол-во попыток,то тогда можно будет выбивать чувака который уже подключен ))
    А если бан на всегда,то лечение сброс маршрутизатора,что не очень корректно на мой взгляд.
    А если отключить WPS это не поможет,т.к wps в веб интерфейсе  (включается и выключается) и пасивно он всё равно работает,но не для пользователя )
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру