Proponha uma correção, faça uma sugestão
Vulnerabilidade WPS – Caso de estudo
Escrito por Miguel Regala
Prefácio
Em Dezembro de 2011, dois investigadores de segurança, Stefan Viehböck [1] e Craig Heffner [2], investigando independentemente a implementação e segurança do protocolo WPS, descobriram que este é susceptível a um ataque brute-force que resulta na obtenção da chave da rede wireless e de todas as outras configurações.
A vulnerabilidade é descrita pela CERT/CC como VU#723755 [3].
WPS – Wi-Fi Protected Setup
Com a proliferação de dispositivos wireless e cada vez mais utilizadores a possuírem um setup que inclui uma rede doméstica sem fios, a Wi-Fi Alliance [4] sentiu necessidade de criar um serviço que ajudasse os utilizadores com menos conhecimentos, a facilmente ligar os seus novos dispositivos à rede.
Posto de uma forma simples, o WPS configura automaticamente a rede, fornecendo ao novo dispositivo da rede todas as características e configuração necessárias.
Os modos de operação mais comuns são os seguintes:
- Push-button: o utilizador pressiona um botão no router, ligando-o em modo monitor, em que este procura activamente por dispositivos wireless que estejam a procura de rede e os regista (adiciona-os na lista de dispositivos conhecidos e trusted; de seguida fornece as configurações da rede over-the-air para o dispositivo a ser configurado).
- Router PIN: os routers que suportam o standard WPS tem um PIN por default, que pode ser inserido no dispositivo que ser quer ligar para efectuar o pedido WPS.
- Device PIN: semelhante ao anterior, neste caso o PIN corresponde ao dispositivo que quer se ligar a rede; este PIN é inserido na lista de dispositivos confiáveis usando a interface do router.
A vulnerabilidade
O PIN do router é um conjunto de 8 dígitos, em que o último é um checksum dos primeiros sete. Existe assim um total de 10^7 combinações possíveis ou 10.000.000. O protocolo valida separadamente a primeira metade da segunda metade do número: isto é, em vez de 10^7 combinações possíveis ficamos com 10^4 + 10^3 + 0, um total 11.000.
O problema surge quando o router responde com uma mensagem EAP-NACK quando o PIN é incorrecto: combinado com o facto de a maior parte dos routers não bloquear as sucessivas tentativas com PINs errados, pode realizar-se um ataque brute-force para testar todas os PINs possíveis.
Nos testes que fiz, consegui obter uma média de 5 segundos por tentativa, em que no máximo o ataque duraria 15 horas. Isto é um grande melhoramento em relação a outros tipos de ataque com base em dicionários e rainbow tables, em que nem sequer é garantido que se recupere a chave.
Foi estimado que 95% dos routers tem o WPS activo por default, o que torna virtualmente todas as redes susceptíveis a este ataque.
Melhorando o ataque
Embora a maior parte dos AP’s não bloqueiem as tentativas sucessivas de validação com PINs errados, aqueles que o fazem podem ser facilmente contornados mudando continuamente o MAC Address do dispositivo atacante.
Já se chegou também a conclusão que um ataque distribuído não traz vantagens, dado que o factor limitador é o CPU do AP.
Protegendo da vulnerabilidade
A solução óbvia para o problema é desligar o WPS no router. A maior parte dos routers fornecem uma opção na sua interface web para o fazer.
Utilizadores MEO
Se for utilizador MEO e o modelo do seu router for da série Thomson TG 784 ou TG 787 então é vulnerável ao ataque.
Solução 1: Ligar por telnet ao router.
telnet 192.168.1.254 username: microuser password: <password> wireless wps config ssid_id = 0 radio_id = 0 state = disabled wireless wps config quit |
Devem colocar a password de acesso correcta para conseguirem aceder ao router e proceder às alterações necessárias. Na configuração deve mostrar “state [down]“.
Solução 2:
Fazer log in na interface web ( http://192.168.1.254 ) e ir a Rede Doméstica -> Interfaces -> WLAN -> Configurar e em “permitir novos dispositivos” escolher a opção “novas estações não são permitidas”.
A título de curiosidade, se o ataque estiver a ser efectuado o WLAN LED, na frente do router irá piscar a vermelho.
Créditos
[1] [2] Páginas do autores [3] CERT Vulnerability [4] Wi-Fi Alliance [5] Original find [6] Whitepaper [7] [8] Further reading
Este artigo tem mais de um ano
Loading ...
interessante.
já tinha tido conhecimento disto, e já tinha andado a ver as definições do router – só que não tinha percebido qual a configuração, pois no interface web não identifica como WPS.
então e já agora.. desabilitando o protocolo, como se pode depois associar novos dispositivos? eu tenho 1 ideia.. isso seria interessante também, para desenvolver o artigo.
Helder,
eu aconselho utilizares a solução 1. Ao fazer isso apenas desactivas o WPS e continuas a poder registar novos dispositivos wireless. Também podes ir alternando, ligando e desligando a opção de novas estações permitidas, à medida que queres registar novos clientes.
esclarecido, vou dar uso ao putty 🙂
excelente artigo, uma vez mais
Fácil, associas novos dispositivos da forma normal, introduzes a senha WPA2(PSK) que escolheste, em vez do pin WPS.
Se os novos dispositivos não tiverem como aceitar a senha e só aceitarem o pin WPS estás tramado.
e outros routers que os do Meo ?
À partida, se for de depois de 2007 deve ser vulnerável. É um questão de testar
E para testarem a “vulnerabilidade” da vossa password original Thomson e D-Link podem utilizar o site:
http://www.meopassword.com
Cumps
Tendo eu um Zon Hub, se desactivar o WPS resolvo também este problema?
João,
a ideia é que toda a gente desactive manualmente o WPS enquanto os ISP’s e fabricantes dos routers não fizeram nada.
Bom dia ,
Artigo muito vem elaborado , eu tenho o meu WPS no modo disabled , já uma vez fui vitima de um ataque desse género e pensei que tinha apanhado uma virose no Linux .
Muito Obrigado Pedro pelo teu detalhe , esta informação que nos passaste a todos é de extrema importância nos dias de hoje .
Cumprimentos
Serva
E para um modem-router pirelli do sapo? Acho que não tem WPS, mas nunca se sabe! 🙂
Muito mais simple…
Por defeito vem as contas de Admin no router identificadas em baixo, onde normalmente as pessoas só alteram a que lhes é fornecida (Administrador).
Se alterarmos a Palavra-Passe do utilizador sumeo e microuser, a Meo deixa de conseguir fazer actualizações ao equipamento. Logo já tem uma grande quebra de segurança.
* Utilizador: sumeo
* Palavra-Passe: m30acc355
* Utilizador: microuser
* Palavra-Passe: !C0nf16,M30
* Utilizador: Administrator
* Palavra-Passe: 3!play
Para além disto as passwords do wifi também são geradas por um algoritmo através do SSID, muito simples. Mesmo que seja alterada essa password, existe o brute-force.
Tenho Meo, mas não vejo segurança nenhuma…
Aviso que nos routers Thomson com outras versões de firmware além da 8.4.2.Q, o microuser não tem a password !C0nf16,M30, mas sim outra que ainda está por descobrir.
name=sumeo
password=bfd,10ng
Funciona na versão 8.4.H.F
Gerar pelo SSID esquece nos routers mais recentes. Brute-force demora-te muito tempo mesmo. Falas como se brute-force fosse um optimo metodo.
Sabes qtas tentativas no maximo tens de fazer? um numero muito grande. Mesmo com sistema CUDA para aumentar 50x a velocidade do ataque demoras uma eternidade.
Boas tentativas.
Depende do computador que se tenha, ja testei com vários, e com o portatil que tenho em menos de uma semana tenho o Brute-force feito, com um programa só.
Agora é mais simples…
User: meo
Pass: meo
😀
Em quatro horas quebrei a senha do vizinho (WPS+WPA2) com o Reaver WPS (Linux).
http://code.google.com/p/reaver-wps/w/list
Faz ai um tutorial em pt-pt.
http://blog.corujadeti.com.br/reader-sera-o-fim-da-seguranca-das-redes-wifi-domesticas/
desconhecia este método… vou explorar, para variar um bocado do aircrack 🙂
Este problema também ocorre nos routers ZON?
Uma coisa que eu reparo todos os posts criados acerca de segurança e redes domesticas vocês só falam sobre o MEO.
Mesmo assim gostei muito do artigo
A partida sim, mas é uma questão de tempo até alguem testar.
Mas ao desativar novas estações, implica termos de dar autorização a todos os novos dispositivos via rooter. Isto dá algum trabalho a utilizadores que recebam amigos ou visitantes com os inúmeros dispositivos wireless existentes (smartphones, pc, etc.). Porque não basta a password do wireless, é necessário criar o registo.
Não é mais fácil alterar as passwords do router, não é suficiente? Algo com caracteres, letras e símbolos?
Daí que eu aconselho a solução 1. Solução 2 é direcionada para quem não costuma ter de adicionar novos dispositivos.
Alterar as passwords do router, tanto dos utilizadores ou da chave de rede não tem nenhum efeito.
Atenção que pelo que já li em varios sites mesmo desligando o wps no router isso não funciona com muitos dos routers, e continua a ser possivel o ataque.
Ex.”Having demonstrated the insecurity of WPS, I went into the Linksys’ administrative interface and turned WPS off. Then, I relaunched Reaver, figuring that surely setting the router to manual configuration would block the attacks at the door. But apparently Reaver didn’t get the memo, and the Linksys’ WPS interface still responded to its queries—once again coughing up the password and SSID.”
fonte – http://arstechnica.com/business/news/2012/01/hands-on-hacking-wifi-protected-setup-with-reaver.ars
Gostava de testar isto, como é obvio por questões de segurança, tanto a nível pessoal como de trabalho, por isso um tutorial vinha mesmo a calhar.
André,
já existem bastantes guias e o reaver está muito bem documentado. Se ainda assim for preciso, terei todo o gosto em fazer um com configurações especificas para alguns modelos.
Está a ser criado um registo de modelos vulneráveis em http://t.co/EziqsT09 . Se fizerem testes, podem adicionar lá o modelo com informação se é ou não vulnerável.
Não há cá pão para malucos. O meu router tem o interface wi-fi desligado por defeito. Não há nada como o belo do cabo rj45 para melhorar a segurança. Não dou a chave de minha casa a desconhecidos,e para entrarem em casa tem que penar muito. Nada como ter um firewall por hadware com NAT a completar a segurança. A DMZ não está activa.
meu roteador, é exatamente o desta imagem!
como devo proceder?
Para avisar que nos routers Thomson com outras versões de firmware além da 8.4.2.Q, o microuser não tem a password !C0nf16,M30, mas sim outra que ainda está por descobrir.
Boas, uma solução muito eficaz, embora trabalhosa para quem andar constantemente a associar novos dispositivos, é criar um filtro por endereços MAC. Desta forma, pode ser criada uma lista que só permite a associação ao AP a certos endereços fisicos.
yanus,
essa é muito fácil de ultrapassar, lamento mas isso é desinformação, tal como você está mal informado.
Passo a explicar é muito simples:
A qualquer momento voce pode trocar o MAC Address da sua placa de rede, ou seja, eu por scan em modo monitor sei facilmente que cliente (neste caso voce) está ligado ao router, pego nesse endereço MAC e coloco como sendo o meu.
Ok está feito 🙂 basicamente é 1 linha de comando muito simples qualquer novato faz isso.
Espero que aconselhe melhor seus amigso e colegas e torne mais seguro a população de routers, começando pelo seu que esta mais vulnerável que um rabinho de bebe!
Cumpts
“O protocolo valida separadamente a primeira metade da segunda metade do número: isto é, em vez de 10^7 combinações possíveis ficamos com 10^4 + 10^3 + 0, um total 11.000”
Podem explicar melhor esta afirmação?
Para que tal seja verdade, e caso não esteja com nenhum ataque de burrice :D, é necessário que o router além de validar separadamente indique qual a parte do pin que está errado.
Além disso, sendo o último número o checksum dos primeiros como é possível que as duas partes sejam validadas separadamente? Há uma validação extra (checksum) que envolve todo o número?
Cumprimentos
Fiz através da Solução 1.
Fui a Rede Doméstica -> Interfaces -> WLAN -> Configurar e continua a aparecer
“Permitir novos dispositivos: Novas estações são permitidas (automaticamente)”.
É suposto ser assim mesmo, certo?
Com a solução 1 apenas é desligado o serviço WPS e não a capacidade de ligação de novos dispositivos.
Estou certo?
Muito bom artigo de investigação,
de salientar que no meu NetGear WDNR 3700 com a ultima firmware beta o WPS vem desligado por defeito.
A opção nem se chama WPS e vem chekada por defeito:
“Desabilitar PIN do roteador”
Veja também: Configurando ACCESS POINT como CLIENT (BRIDGE) / AMPLIFICADOR DE SINAL WIRELESS . 7 Programas gratuitos que você não pode deixar de ter.
Por acaso já tinha passado pela cabeça que ter essa funcionalidade “WPS” (ou o que quer que o fabricante lhe chame) ligada me parecia má ideia, e basicamente todos os routers sem fios a que meti a mão nos últimos anos viam essa tecla desativada no software… nunca vi um que desse para remover o protocolo, o que tem lógica, mas dava jeito se fosse tipo extensão opcional, era só eliminar e agora tenta lá.
Assim mesmo tendo sempre desligado, desde sempre, não sei se o Linksys moderno de duas bandas 2.4 e 5 GHz é ou não vulnerável… se aceitar as ligações ao nível do protocolo, mesmo com a funcionalidade desligada (má programação… ou vulnerabilidade deixada de propósito…)
Sendo o WPS dos Routers MEO do método Push Button e estando estes fisicamente desligado continua-se vulnerável ?
mas agora os firmwares dos thomson já vem todos protegidos contra isso, não?