De ce ar trebui să opriți WPS-ul routerului

Acest articol a fost publicat inițial pe 28.04.2014
Este posibil să nu mai fie relevant.

Am ezitat să numesc acest articol „Cum să profitați de conexiunea la internet a vecinului dvs.”, dar probabil aș fi fost lovit cu degetele. De asemenea, m-am gândit la „De ce WPS-ul e de rahat (l)”, dar acesta este un gust destul de prost în gluma informaticii. 😀

Pe scurt. Practic, voi explica ce este WPS (pentru Wi-Fi Protected Setup), cum funcționează și cum putem „suprascrie” accesul fizic la router pentru a ne conecta la acesta ... și mai ales pentru a prelua cheia de securitate a routerului în cauză. Ceea ce ne aduce înapoi la titlul articolului: dacă este atât de simplu, s-ar putea să-l opriți.

Ca de obicei, voi încerca să fac acest lucru accesibil tuturor, dar nu ezitați să solicitați clarificări prin comentarii. Am plecat, stai pe draga, e vânt.

Ce este WPS ?

Configurarea protejată Wi-Fi este o funcție a unor modemuri/routere/cutii care vă permite să vă conectați pur și simplu dispozitivele la Wi-Fi. Adică, într-un mod puțin mai „pragmatic”: fără să tastați o tastă. 26 de caractere fără o coadă sau un cap pentru a intra în dispozitiv, sau fără a schimba această cheie dificil de reținut cu un simplu truc, care primul atac dicționar se va sparge în mai puțin timp decât este necesar pentru a goli o sală de curs universitară.

Dar inca ? Este o certificare a Alianței Wi-Fi, lansată în ianuarie 2007 (da, începe până în prezent), care oferă mai multe moduri de schimb al cheii de securitate pentru a facilita viața utilizatorilor hackerilor. Există 2 moduri principale, in-band (prin IEEE 802.11/EAP, direct prin en-gros Wi-Fi) și out-band (prin Ethernet/uPnP sau NFC, de exemplu). Suntem interesați aici de bandă, deoarece nu necesită acces fizic la router.

Prin urmare, lucrăm la un router. În principiu, există 3 entități: „candidatul” (care nu are configurația rețelei Wi-Fi la care dorește să se conecteze), „registratorul” (care furnizează configurația candidatului) și „punctul de acces” „(Lucrul care emite Wi-Fi, comun oricărui router, indiferent dacă acesta suportă sau nu WPS, cu excepția faptului că în cazul în care routerul oferă WPS, el va relua între celelalte 2 părți).

Cum este schimbul de chei ?

Au fost dezvoltate mai multe metode și apar în standard. Unele sunt necesare pentru certificare, altele nu. Deci, de fapt, veți ajunge cu dispozitive care sunt certificate WPS și altele care oferă WPS fără a fi obținut certificarea, deoarece una dintre metodele obligatorii nu este implementată. Este un pic un zoc, dar este așa. Specificații dubioase, deci implementări dubioase ... 😉

Atac cu cod PIN

Asta ne interesează, deoarece depinde doar de punctul de acces și nu este nevoie de contact fizic. Și mai presus de toate ... pentru că spre deosebire de cartela SIM a telefoanelor dvs. (care se blochează după 3 încercări nevalide), este posibil să testați toate combinațiile una câte una, fără ca routerul să țipe. Da, da. Cel puțin, standardul nu impune o blocare, chiar dacă unii producători au ales să implementeze unul (o întârziere de la câteva minute la uneori câteva ore, așa cum a făcut Sagem pentru anumite modele de Livebox-uri comercializate de Orange).

Prin urmare, avem un cod PIN, format din 8 cifre. Cu 10 posibilități pentru fiecare dintre aceste numere (de la 0 la 9), ajungem la 10 8 posibilități, adică ... 100.000.000. Nu este rău. Chiar dacă am încerca la fiecare 2 secunde, ar dura puțin peste 6 ani pentru a încerca totul. Da, desigur, probabilitatea ca PIN-ul corect să fie ultimul testat este extrem de redusă, dar nu se știe niciodată. Router-ul cu care „mă joc” îmi permite să îl testez la fiecare 4 secunde, cam așa că trebuie să așteptați 12 ani înainte ca acest articol să se încheie.

Fapt interesant: ultimul număr nu este. Permiteți-mi să explic: aceasta este o sumă de control, care permite verificarea celorlalte 7. Așadar, alegând 7 numere la întâmplare și aplicându-le calculele date în standard, obținem ultimul. Ceea ce se ridică la 10.000.000 de posibilități. Ne apropiem. Încet.

Un alt fapt interesant: verificarea codului PIN se face în 2 ori. Din punct de vedere tehnic, trimitem primele 4 cifre, routerul verifică, dă răspunsul și, dacă este pozitiv, candidatul trimite ultimele 4 cifre. Apoi devine posibil să testați doar primele 4 (10.000 de posibilități), apoi odată ce acestea au fost stabilite, să reîncepeți cu ultimele 4. Adică ... 20.000 de posibilități în total, cel mult o duzină de ore.

Ce se întâmplă dacă combinăm cele două defecte? Avem apoi 10.000 de posibilități pentru primul grup, apoi 1.000 pentru al doilea (deoarece putem calcula ultima cifră). Adică 11.000 de posibilități, în loc de 100.000.000 de la început! Imens, nu? Și, așa cum am spus mai devreme, statistic, codul PIN corect nu ar trebui să fie ultimul testat ... În câteva ore, a dispărut! 😉

Reaver, cuțitul armatei elvețiene care merge bine

Vom folosi reaver-wps, un mic program software gratuit pe linia de comandă, capabil să testeze diferitele combinații pe măsură ce mergem, folosind cele 2 defecte menționate anterior.

Se descarcă acolo, este ușor de compilat (cu excepția cazului în care aveți o eroare de mucegai ca mine, până la urmă pentru că s-a certat pe un apostrof în calea mea de acces, pe scurt, a fost vina mea, mongolizez puțin zilele acestea, îl obosesc toate) cu, sub Linux, foarte puține dependențe (libpcap și libsqlite3) și doar un ./configure urmat de o instalare make && make .

În acest exemplu, vom ataca un router Belkin care se află într-un sertar de la mine acasă. Conceput pentru hoteluri atunci când călătoresc, acesta oferă o priză Ethernet pentru a se conecta la perete și acționează ca un punct de acces Wi-Fi. Fără interfață de configurare, nicio posibilitate de schimbare a cheii, pe scurt, nu grozav. Dar oferă WPS prin cod PIN, și asta ne interesează aici !

Scoatem trusa de scule

La fel de des în acest caz, trebuie să (puteți) să comutați cardul Wi-Fi în „modul monitor”. Prin urmare, trebuie să aveți un card compatibil (ceea ce nu este întotdeauna cazul) și un driver compatibil. Este posibil să-și corecte driverul sub Linux, dacă este necesar.

În cazul meu (driver Debian 7 + Atheros) totul funcționează imediat, cu condiția să am instrumentele necesare pentru a pune cardul în modul monitor: airmon-ng, care face parte din suita aircrack-ng. Lipsit din depozitele mele de distribuție, a trebuit să-l compilez, dar nimic prea violent. O glisare de sudo airmon-ng check kill și airmon-ng verifică procesele care utilizează cardul Wi-Fi și le omoară. Apoi comutăm interfața dorită în modul monitor, în cazul meu wlan0: sudo airmon-ng start wlan0. Dacă totul merge bine, poți folosi wlan0 pentru restul sau uneori (ca mine) mon0, care reprezintă interfața ta în modul monitor.

Apoi folosim un alt instrument, Wash, care poate scana rețelele din raza de acțiune pentru a vă spune care sunt vulnerabile: sudo wash -i mon0 -C -s .

Prin urmare, opțiunile:

-eu
-C pentru a ignora erorile
-s pentru a utiliza modul de scanare

Rețele la îndemână, inclusiv a mea (prima pe listă)

Ei bine ... când totul arată bine așa, tot ce trebuie să faci este să arunci secerător! 😀 Sudo reaver -i mon0 -b 08: xx: xx: xx: xx: 8E -v, și off you go.

Din punct de vedere tehnic, argumentele sunt:

-eu
-b
-v a avea o întoarcere (detaliată). -vv permite ca Reaver să fie și mai vorbăreț 😉

Lansarea Reaver

Bine acolo, în afară de a bea o cafea ... și de a vă ocupa de afacerea dvs. ... nu este nimic de făcut. Va dura mult, în cazul meu a durat puțin mai puțin de 7 ore ...

Nu putea fi mai rapid, dar producătorul a implementat o limitare: după un anumit număr de defecțiuni, routerul ar fi atârnat timp de 5 minute, prelungind timpul necesar. Reaver detectează acest blocaj și așteaptă, deja este. 😉

Rețineți în trecerea următoarei capturi că reaver-ul continuă bine începând cu prima jumătate a codului PIN: „vedem” schimbarea !

Vedem modificarea codului PIN și a procentului asociat

De asemenea, puteți vedea timpul mediu pe PIN, care a crescut brusc semnificativ ... din cauza blocajelor de 5 minute care revin pe măsură ce mergeți.

Deci, după 7 ore de răbdare ... FURĂ !

Efectuat !

A fost cam lung (și totuși ...), dar nu prea rău !

Încheiem cu ...

o recomandare. Ei bine, da: un defect care afectează anumite puncte de acces Wi-Fi, un instrument „public general” pentru a-l exploata. Nu trebuie să fii un mare mag pentru a ghici că copiii deștepți vor dori să profite de ocazie pentru a ghemui conexiunea ADSL a vecinului. Așadar, vă reamintesc (chiar dacă nu este necesar, sunteți adulți) că este ilegal să exploatați acest tip de defect asupra materialului care nu vă aparține, la fel cum este ilegal să utilizați o conexiune la Internet care nu este a dvs. fără acordul deținătorului abonamentului (vecinul dvs., în acest caz 😀). Nu veniți și spuneți că sunt responsabil dacă pătrundeți într-o rețea care nu este a voastră și vi se întâmplă orice (de la mingea vecinului până la războiul termonuclear).

Acestea fiind spuse, acest articol a fost în principal acolo pentru a vă prezenta vulnerabilitatea ca atare și pentru a vă recomanda să dezactivați (când este posibil ...) funcția WPS a dispozitivelor dvs.

Știu, instrumentul prezentat, precum și vulnerabilitatea sunt relativ vechi (decembrie 2011 pentru descoperirea vulnerabilității și prima versiune de reaver, ianuarie 2012 pentru cea mai recentă versiune, 1.4 la momentul scrierii acestui articol). Numai că poate face bine să reamintească tuturor că există și că este adesea posibil să te protejezi de ea. Obiectivul nu a fost să explic cum să vă conectați cu aproapele dvs. (pentru că unii au o viziune amuzantă asupra lucrului, îl știu, am fost și tânăr 😉), ci să expuneți simplitatea desconcertantă cu care, atâta timp cât avem minimul abilitățile necesare (acesta este scopul real al articolului: să vi le oferim), reușim să vizăm un defect și un instrument asociat pentru a-l exploata.

Pe scurt: îl cunoașteți de mult timp, este mai bine să utilizați WPA2 decât WPA sau chiar WEP, care sunt ușor de rupt. Dar a folosi WPA2 pe un router cu WPS activat înseamnă a risca ca un atacator să găsească cheia rapid. Câteva ore nu este deloc nimic. Wi-Fi este ca restul: protejați-vă! 😉