ataque de fuerza bruta en Líneaeditar
en diciembre de 2011, el investigador Stefan Viehböck informó de un defecto de diseño e implementación que hace que los ataques de fuerza bruta contra WPS basados en PIN sean factibles de realizarse en redes Wi-Fi habilitadas para WPS. Un ataque exitoso a WPS permite a las partes no autorizadas obtener acceso a la red, y la única solución efectiva es deshabilitar WPS., La vulnerabilidad se centra en los mensajes de confirmación enviados entre el registrador y el inscrito al intentar validar un PIN, que es un número de ocho dígitos utilizado para agregar nuevos inscritos de WPA a la red. Dado que el último dígito es una suma de comprobación de los dígitos anteriores, hay siete dígitos desconocidos en cada PIN, dando 107 = 10,000,000 combinaciones posibles.
Cuando un inscrito intenta obtener acceso mediante un PIN, el registrador informa de la validez de la primera y segunda mitad del PIN por separado., Dado que la primera mitad del pin consta de cuatro dígitos (10,000 posibilidades) y la segunda mitad tiene solo tres dígitos Activos (1000 posibilidades), se necesitan como máximo 11,000 conjeturas antes de recuperar el PIN. Esta es una reducción de tres órdenes de magnitud del número de Pines que se requerirían para ser probados. Como resultado, un ataque puede completarse en menos de cuatro horas., La facilidad o dificultad de explotar este defecto depende de la implementación, ya que los fabricantes de enrutadores Wi-Fi podrían defenderse de tales ataques ralentizando o deshabilitando la función WPS después de varios intentos fallidos de validación de PIN.
un joven desarrollador con sede en un pequeño pueblo en el este de Nuevo México creó una herramienta que explota esta vulnerabilidad para demostrar que el ataque es factible. La herramienta fue comprada por Tactical Network Solutions en Maryland por 1,5 millones de dólares. Afirman que conocen la vulnerabilidad desde principios de 2011 y la han estado utilizando.,
en algunos dispositivos, deshabilitar WPS en la interfaz de usuario no resulta en que la función se deshabilite realmente, y el dispositivo sigue siendo vulnerable a este ataque. Se han lanzado actualizaciones de Firmware para algunos de estos dispositivos que permiten desactivar WPS por completo. Los proveedores también podrían parchear la vulnerabilidad agregando un período de bloqueo si el punto de acceso Wi-Fi detecta un ataque de fuerza bruta en curso, lo que deshabilita el método PIN durante el tiempo suficiente para que el ataque sea poco práctico.,
ataque de fuerza bruta fuera de líneaeditar
en el verano de 2014, Dominique Bongard descubrió lo que llamó el ataque Pixie Dust. Este ataque solo funciona en la implementación WPS predeterminada de varios fabricantes de chips inalámbricos, incluidos Ralink, MediaTek, Realtek y Broadcom. El ataque se centra en la falta de aleatorización al generar los nonces «secretos» e-S1 y E-S2. Conociendo estos dos nonces, el PIN se puede recuperar en un par de minutos. Se ha desarrollado una herramienta llamada pixiewps y se ha desarrollado una nueva versión de Reaver para automatizar el proceso.,
dado que tanto el punto de acceso como el cliente (inscrito y registrador, respectivamente) necesitan demostrar que conocen el PIN para asegurarse de que el cliente no se está conectando a un AP falso, el atacante ya tiene dos hashes que contienen cada mitad del PIN, y todo lo que necesitan es forzar brutalmente el PIN real. El punto de acceso envía dos hashes, e-Hash1 y E-Hash2, al cliente, demostrando que también conoce el PIN. E-Hash1 y E-Hash2 son hashes de (E-S1 | PSK1 | PKe | PKr) Y (E-S2 | PSK2 | PKe | PKr), respectivamente., La función hash es HMAC-SHA-256 y utiliza la «authkey» que es la clave utilizada para hash los datos.
problemas de seguridad Físicaeditar
todos los métodos WPS son vulnerables al uso por parte de un usuario no autorizado si el punto de acceso inalámbrico no se mantiene en un área segura. Muchos puntos de acceso inalámbricos tienen información de seguridad (si está protegida de fábrica) y el PIN WPS impreso en ellos; este PIN también se encuentra a menudo en los menús de configuración del punto de acceso inalámbrico., Si este PIN no se puede cambiar o desactivar, el único remedio es obtener una actualización de firmware para permitir que el PIN se cambie, o para reemplazar el punto de acceso inalámbrico.
es posible extraer una frase de contraseña inalámbrica con los siguientes métodos sin herramientas especiales:
- Una frase de contraseña inalámbrica se puede extraer usando WPS bajo Windows Vista y versiones más recientes de Windows, bajo privilegios administrativos conectándose con este método, luego mostrando las propiedades para esta red inalámbrica y haciendo clic en «Mostrar caracteres».,
- Un simple exploit en la Utilidad Intel PROset wireless client puede revelar la contraseña inalámbrica cuando se utiliza WPS, después de un simple movimiento del cuadro de diálogo que le pregunta si desea reconfigurar este punto de acceso.
-
un boletín de servicio genérico sobre seguridad física para puntos de acceso inalámbricos.
-
un router inalámbrico que muestra información de seguridad preestablecida impresa, incluido el PIN de configuración protegido por Wi-Fi.