Уязвимость в протоколе Wi-Fi Protected Setup

Организация US Computer Emergency Readiness Team опубликовала бюллетень безопасности, описывающий уязвимость в протоколе WPS (Wi-Fi Protected Setup), предназначенном для облегчения настройки безопасности беспроводных роутеров и сетей. Сам протокол — его оригинальное название Wi-Fi Simple Config — был разработан в 2009 году специалистами ассоциации Wi-Fi Alliance целью дать возможность с некоторой долей безопасности пользоваться Wi-Fi лицам, мало сведущим в протоколах и стойких методах шифрования.

Традиционно при создании новых WLAN необходимо было выбрать сетевое имя и кодовую фразу для точки доступа, а позднее то же самое — для каждого нового устройства, добавляемого к сети. WPS для упрощения процедуры для конечного пользователя возлагает функцию генерации сетевого имени на саму точку доступа. Для добавления нового клиентского устройства к защищенной сети достаточно будет ввести PIN-код из 4 или 8 цифр или нажать на специальные клавиши, имеющиеся на роутере и добавляемом устройстве.

Суть уязвимости заключается в специфике общения между собой точки доступа и новым беспроводным устройством. Злоумышленник, желая получить доступ к сети жертвы, посылает некий PIN-код для аутентификации на роутере. В ответ на неправильный PIN посылается EAP-NACK сообщение таким образом, что хакер способен определить первую половину цифр PIN-кода, а вторую половину оказывается возможным определить, анализируя контрольную сумму при передаче PIN. Все это приводит к тому, что атака методом «грубой силы», вероятней всего, завершится успехом, поскольку число необходимых попыток уменьшается с 10^8 до 10^4+10^3 = 11.000, а время полного перебора PIN-кодов составит от нескольких часов до нескольких суток, в зависимости от реализации WPS на роутере.

Пока решения проблемы не существует и тем, у кого роутер настроен на упрощенную схему безопасности, рекомендуется использовать традиционную схему аутентификации. Netgear, D-Link, Belkin и другие производители пока не прокомментировали сообщение об уязвимости.

Копипаст с хабра

Документ с описанием уязвимости (англ.)

Добрые люди уже написали WPS брутфорсер

никто не компилил?

скрипт на питоне от самого автора

http://dl.dropbox.com/u/22108808/wpscrack.zip

попробовал юзнуть wps-bruteeforcer, при команде reaver -i mon0 -b mac -c [канал\ -e [essid] пишет Failed to associate with [mac]

Стоит, наверное, обновить Reaver с помощью svn up, проблема ассоциации была решена. У меня, к сожалению, на роутере Netgear WNR3500L не работает WPS по причине установленной прошивки Tomato-USB. На чужих сетях ничего не получается, хотя Wireshark и показывает наличие настроенного WPS. У кого-нибудь уже получалось подобрать PIN и получить WPA-PSK?

У меня не получилось и не получится.... А жаль.

ТД организована не на базе роутера, а по-взрослому - Ubiquiti. А там такая дырявая вещь, как WPS не применяется....

Простите новичка, а как определить в Wireshark, что включен WPS ? Может фильтр какой есть ?

ассоциация есть, но дальше ничего, пробовал 2 раза по 5 минут ждать

root@bt:~# reaver -i mon0 -b ------------

Reaver v1.2 WiFi Protected Setup Attack Tool

Copyright (c) 2011, Tactical Network Solutions, Craig Heffner

[+] Waiting for beacon from ------------

[+] Associated with ------------ (ESSID: ------------)

[+] 0.00% complete @ 0 seconds/attempt

[+] 0.00% complete @ 0 seconds/attempt

буду на других точках пробовать

Я ставил фильтр: wps.wifi_protected_setup_state == 0x02

Мог и ошибиться, конечно, но в любом случае копать в тег-параметры (vendor specific) beacon-пакетов.

P.S. сейчас в Reaver есть программа walsh, которая показывает точки со включённой WPS.

поподробнее про walsh плз

Например -

walsh -i mon0 -o WPS.list

grep -v "bad FCS" WPS.list

и полусаем, что-то вроде -

Scanning for supported APs...

54:E6:FC1:18:F6 (null)

D8:5D:4C:F3:44:6A ApptNet

00:22:75:52:BD:4E Belkin_N_Wireless_52bd4e

00:1D:7E:B4:1F:B6 lafferty

00:19:150:5C:29 WLAN_5C29

00:24:17:BB:44:BD ThomsonE4849E

00:50:7F:7C:E5:F8 Ellie

-----------------------------------------

Можно коммандный файл сгенерить -

awk '/[0-9][A-F]/{print "reaver -i mon0 -b "$1" -e "$2}' WPS.list

---------------------------------------------------------------

У меня пока безуспешно ... Пару раз проскакивало -

[+] Trying pin 84490445

Но дальше не продвигается.

Кстати , walsh ловит ВСЕ точки c WPS и OPEN (без шифрования тоже)

Напустил его на OPEN точку, работает ...

[+] Waiting for beacon from 00:22:75:52:BD:4E

[+] Associated with 00:22:75:52:BD:4E (ESSID: Belkin_N_Wireless_52bd4e)

[+] 0.01% complete @ 37 seconds/attempt

[+] 0.03% complete @ 20 seconds/attempt

[+] 0.05% complete @ 19 seconds/attempt

[+] 0.07% complete @ 16 seconds/attempt

[+] 0.08% complete @ 31 seconds/attempt

Зацепился за одну из точек, но процесс идёт очень медленно.

За 4 часа прогресс такой -

[+] 9.35% complete @ 15 seconds/attempt

[+] 9.39% complete @ 15 seconds/attempt

Похоже, режультат будет видно через пару суток

Надеюсь будет положительный

странно я когда walsh прописываю пишет не существует типо такого...

Скомпилируй последний билд из SVN

Проект активно развивается, перед запуском на долгие сутки, лучше пересобрать свежачок ...

Для ускорения перебора, можно уменьшать тайминги здесь -

Согласно доке, если AP не блокирует, то время перебора будет

не более 4 часов.

Если придерживаться спецификаций WSC 2.0, перебор может продолжатться до 65 часов.

С дефолтными настройками, оно так и будет.

zuriuslev

главное дождаться результата!

Дождусь ! У меня вся эта байда на UPS А UPS всю эту байду, часов 5 продержит

Кстати, 6 часов назад, автор внёс новые опции для ускорения процесса -

Scapy http://www.secdev.org/projects/scapy/

пишут ещё PyCrypto нужен, но мне на батраке не понадобилcя, наверное есть уже

какие добавлял опции к команде: reaver -i mon0 -b ------------

или так по умолчанию и использовал ?

а вообще здорово за 4 часа, а у меня разрывает ассоциацию ((

Поздравляю . Мньше чем за 4 часа. А ключик проверили ?

У мня уже почти 18 часов крутится, но должно скоро закончиться

Сейчас опять очередной лок от АП ... значит 5 минут ждёмс ...

У меня в начале было 16 seconds/attempt, а на финише 10 seconds/attempt.

НО ! Похоже участились локи

Просканил через Walsh, нашел 5 сетей.Везде FAILED to associate.Что можно придумать?

ха........... нет не так , кароче сам список создаеться но внем ничего не находит пишет что нету нифига но точек куча неужели среди 100 точек нету ниодной тут разные провайдеры шифрование роутеры моделей 8 наверное разных а так же пользователи и полный ноль ........... странно .......

нашло пин 8 цыфр за 2 минуты .......... папиросу выкурить не успел .......

едим дальше

драйвер ath5к , карт от атерос, AR5007 вродь.

проблема: постоянный failed to asociate причем на всех точках, которые показывал walsh

вобщем розрулил ......... из списка уже 5 пинов еще не проверял .........

..

проверил пин не работает .....

Друзья на испанских форумах пишут, что перво наперво пробовать пины

тоесть

На многих роутерах это дефолтный пин. Тогда всё крякается с секунды

на той или инной пин нада потратить минимум сутки .. минимум

вариант поставить мощный адаптер + усилок

напиши названия роутеров или провайдеров ;-)

Инфа отсюда - www.crack-wifi.com

роутеры -

Livebox

Bbox

У меня ничего не вышло.

Лучший вариант - всё зациклилось на 99%

Остальные 3 AP ещё хуже ...

У меня получилось.

Что странно - два дня пытался, ничего не получалось, потом как поперло хреностановишь по 3 сек. на пин. Было уже поздно, оставил на ночь, утром пароль готов.

Что еще странно - пароль нашелся 8-циферный. До этого ломал эту же точку "традиционным" способом, не подобрался, может хендшейк кривой поймался.

P.S. карта Broadcom 4311, драйвер b43. сигнал от точки 72-75, запускал с разными ключами. Ключи не помогали ни когда не перло, ни когда дело пошло.

2 точки по 99.99% и ноль на массу , тестирую еще одну ......... видать не дефолтный пароль стоял

Модели крякнутых роутеров известны ?

У мня, видны разные TP-LINK-и, LINKSYS-WAG160N,Thomson.

Везде без толку ...

Собственный TP-LINK TL-MR3220 попытался крякнуть - бесполезняк ... Т.Е от качества сигнала не зависит, зависит скорее всего от модели и прошивки AP.

роутер томсон название точки совпадает с названием мака это 4 последних цифры -- и работайте , дело в том что если название не изменили то хазяин точки лол и не понимает что там и как и настройки дефолтные ... рулим дальше

у меня такой постоянные локи были постоянные целую ноч оно стояло в итоге я понял точки с названиями которые уже изменили там логично стоит пароль свой а те точки у каторых название родное и заканчивается на 4 мак буквы цифры будет брать \ нужно еще протестить пару адаптеров под ето дело кстати у меня работало только в том случае если мой адаптер был подключен к роутеру (тоже поломаному) - пробовал менять точки был прирост обясняется тем я так понимаю что жертва ближе к точке на которой я вишу

Нууу ... это уравнение я знаю - ThomsonXXXXXX + SWifi_Keygen = WEPpassword за пару секунд

Ещё другие Thomson-ы имеются.

Да и с тем, который ThomsonE4849E, хотелось при помощи reaver-а разобраться ...

В Google Docs есть таблица, где выкладывают результаты тестирования подбора PIN для WPS:

https://docs.google.com/spreadsheet/ccc?key=0Ags-JmeLMFP2dFp2dkhJZGIxTTFkdFpEUDNSSHZEN3c&hl=ru#gid= 0

2 дня брутить пин, который еще и может не подойти, или повиснуть на 99%? Это похлеще тупого брута wpa. Серьезный бизнес, ребята.

ну не надо обижать нас на щет брута ибо такие пароли могут поставить очень редко 2. глянь в топ паролей что спросом пользуется , я не спору впс - ништяк но не везде , логично я уже писал если название сети изменили то пароль там тоже другой

Я возьмусь!

1*10^6 условных единиц, пару месяцев на подготовку, результат через 15-20 лет.

Кого устроит - в личку!

В любом случае получается только минусы:

1. брут для себя, т.е для кого то уже не подобрать.

2. Прога сырая

3. Слишком много времени занимает.

Лично я подожду, в Росси эта хня еще долго не будет популярна, а там гляди и ускорят процесс.

со вчерашнего вечера процесс на одной точке пошёл, но периодически локи, сессию сохраняю, через какое -то время запускаю всё продолжается...

вопрос:

на bt5 установленным на винт сохранится ли сессия при полном завершении работы bt ?

выключении компа ?

ато жаль результаты терять, надеюсь продвинуться далее 99,99 %

c ловленными хендшейками пароль не найти для этой точки

опция --dh-small заметно у меня ускорила процесс

при уровне сигнала -69 -61 нормально

при плохой погоде и -80 -75 ассоциация пропадает

Не волнуйтесь, сохранится , все файлы лежат в /etc/reaver, можете делать из бекап ...

мне тоже со второй попытки удалось протестить сей метод

http://s1.bild.me/bilder/060112/thumb_2601928______.PNGпароль подходит

первый раз оборвалось на около 50 % загадочным образом, при очередном продолжении сессии с клавы не вводилась буквы y, при нажатии появлялась загагулина типа ё, с третьего раза нажал на Enter и все эти почти 50% накрылись...

зато во второй попытки был прыжок с 56% до 90%

http://s1.bild.me/bilder/060112/thumb_7300985______.png

карта почти как и писали выше Broadcom 4312, драйвер b43, роутер DIR-300, сигнал колбасило от -80 до -61

этот пароль у меня по словарям не находился

вообщем как альтернатива можно пользовать, если включён wps.