Online brute-force attackEdit
Nel dicembre 2011, il ricercatore Stefan Viehböck ha segnalato un difetto di progettazione e implementazione che rende possibili attacchi brute-force contro WPS basati su PIN da eseguire su reti Wi-Fi abilitate per WPS. Un attacco riuscito a WPS consente alle parti non autorizzate di accedere alla rete e l’unica soluzione efficace è disabilitare WPS., La vulnerabilità si concentra sui messaggi di conferma inviati tra il registrar e l’iscritto quando si tenta di convalidare un PIN, che è un numero di otto cifre utilizzato per aggiungere nuovi iscritti WPA alla rete. Poiché l’ultima cifra è un checksum delle cifre precedenti, ci sono sette cifre sconosciute in ogni PIN, ottenendo 107 = 10.000.000 di combinazioni possibili.
Quando un iscritto tenta di accedere utilizzando un PIN, il registrar segnala separatamente la validità della prima e della seconda metà del PIN., Poiché la prima metà del pin è composta da quattro cifre (10.000 possibilità) e la seconda metà ha solo tre cifre attive (1000 possibilità), sono necessarie al massimo 11.000 ipotesi prima che il PIN venga recuperato. Si tratta di una riduzione di tre ordini di grandezza rispetto al numero di PIN che sarebbero necessari per essere testati. Di conseguenza, un attacco può essere completato in meno di quattro ore., La facilità o la difficoltà di sfruttare questo difetto dipende dall’implementazione, poiché i produttori di router Wi-Fi potrebbero difendersi da tali attacchi rallentando o disabilitando la funzione WPS dopo diversi tentativi di convalida dei PIN falliti.
Un giovane sviluppatore con sede in una piccola città nel New Mexico orientale ha creato uno strumento che sfrutta questa vulnerabilità per dimostrare che l’attacco è fattibile. Lo strumento è stato poi acquistato da Tactical Network Solutions nel Maryland per 1,5 milioni di dollari. Essi affermano di aver conosciuto la vulnerabilità dall’inizio del 2011 e lo avevano utilizzato.,
In alcuni dispositivi, la disattivazione di WPS nell’interfaccia utente non comporta la disattivazione effettiva della funzione e il dispositivo rimane vulnerabile a questo attacco. Gli aggiornamenti del firmware sono stati rilasciati per alcuni di questi dispositivi che consentono di disabilitare completamente WPS. I fornitori potrebbero anche patchare la vulnerabilità con l’aggiunta di un periodo di lock-down se il punto di accesso Wi-Fi rileva un attacco di forza bruta in corso, che disabilita il metodo PIN abbastanza a lungo per rendere l’attacco impraticabile.,
Attacco a forza bruta offline
Nell’estate del 2014, Dominique Bongard scoprì quello che chiamò l’attacco Pixie Dust. Questo attacco funziona solo sull’implementazione WPS predefinita di diversi produttori di chip wireless, tra cui Ralink, MediaTek, Realtek e Broadcom. L’attacco si concentra su una mancanza di randomizzazione quando si generano i nonces “segreti” E-S1 ed E-S2. Conoscendo questi due nonces, il PIN può essere recuperato entro un paio di minuti. Uno strumento chiamato pixiewps è stato sviluppato e una nuova versione di Reaver è stato sviluppato per automatizzare il processo.,
Poiché sia il punto di accesso che il client (rispettivamente iscritti e registrar) devono dimostrare di conoscere il PIN per assicurarsi che il client non si connetta a un AP canaglia, l’attaccante ha già due hash che contengono ciascuna metà del PIN e tutto ciò di cui ha bisogno è forzare il PIN effettivo. Il punto di accesso invia due hash, E-Hash1 ed E-Hash2, al client, dimostrando che conosce anche il PIN. E-Hash1 e E-Hash2 sono hash di (E-S1 | PSK1 | PKe | PKr) e (E-S2 | PSK2 | PKe / PKr), rispettivamente., La funzione di hashing è HMAC-SHA-256 e utilizza la “authkey” che è la chiave utilizzata per hash i dati.
Problemi di sicurezza fisicamodifica
Tutti i metodi WPS sono vulnerabili all’utilizzo da parte di un utente non autorizzato se il punto di accesso wireless non è tenuto in un’area protetta. Molti punti di accesso wireless hanno informazioni di sicurezza (se sono protetti in fabbrica) e il PIN WPS stampato su di essi; questo PIN si trova spesso anche nei menu di configurazione del punto di accesso wireless., Se questo PIN non può essere modificato o disabilitato, l’unico rimedio è ottenere un aggiornamento del firmware per abilitare il PIN da modificare o sostituire il punto di accesso wireless.
È possibile estrarre una passphrase wireless con i seguenti metodi senza usare strumenti speciali:
- Una passphrase wireless può essere estratta usando WPS sotto Windows Vista e versioni più recenti di Windows, sotto privilegi amministrativi collegandosi con questo metodo, quindi facendo apparire le proprietà per questa rete wireless e facendo clic su “mostra caratteri”.,
- Un semplice exploit nell’utility client wireless Intel PROset può rivelare la passphrase wireless quando viene utilizzato WPS, dopo una semplice mossa della finestra di dialogo che chiede se si desidera riconfigurare questo punto di accesso.
-
Un bollettino di servizio generico riguardante la sicurezza fisica dei punti di accesso wireless.
-
Un router wireless che mostra le informazioni di sicurezza preimpostate stampate incluso il PIN di configurazione protetto Wi-Fi.