online brute-force attackEdit
in December 2011 rapporteerde onderzoeker Stefan Viehböck een ontwerp-en implementatiefout die brute-force-aanvallen op PIN-gebaseerde WPS mogelijk maakt op WPS-enabled Wi-Fi-netwerken. Een succesvolle aanval op WPS stelt onbevoegde partijen in staat om toegang te krijgen tot het netwerk, en de enige effectieve oplossing is om WPS uit te schakelen., De kwetsbaarheid centreert rond de bevestiging berichten verzonden tussen de registrar en enrollee bij een poging om een PIN te valideren, dat is een acht-cijferig nummer gebruikt om nieuwe WPA inschrijvingen toe te voegen aan het netwerk. Aangezien het laatste cijfer een checksum van de vorige cijfers is, zijn er zeven Onbekende cijfers in elke PIN, wat 107 = 10.000.000 mogelijke combinaties oplevert.
wanneer een deelnemer probeert toegang te krijgen met behulp van een PIN, rapporteert de registrar de geldigheid van de eerste en tweede helft van de PIN afzonderlijk., Aangezien de eerste helft van de pin bestaat uit vier cijfers (10.000 mogelijkheden) en de tweede helft heeft slechts drie actieve cijfers (1000 mogelijkheden), zijn maximaal 11.000 gissingen nodig voordat de PIN is hersteld. Dit is een vermindering met drie ordes van grootte van het aantal pinnen dat zou moeten worden getest. Als gevolg hiervan kan een aanval worden voltooid in minder dan vier uur., Het gemak of de moeilijkheid van het benutten van deze fout is implementatie-afhankelijk, Als Wi-Fi router fabrikanten kunnen verdedigen tegen dergelijke aanvallen door het vertragen of uitschakelen van de WPS-functie na een aantal mislukte PIN validatie pogingen.
een jonge ontwikkelaar uit een klein stadje in het oosten van New Mexico creëerde een tool die deze kwetsbaarheid benut om te bewijzen dat de aanval haalbaar is. De tool werd vervolgens gekocht door Tactical Network Solutions in Maryland voor 1,5 miljoen dollar. Ze verklaren dat ze hebben geweten over de kwetsbaarheid sinds begin 2011 en was het gebruik ervan.,
in sommige apparaten resulteert het uitschakelen van WPS in de gebruikersinterface er niet in dat de functie daadwerkelijk wordt uitgeschakeld, en het apparaat blijft kwetsbaar voor deze aanval. Firmware-updates zijn vrijgegeven voor sommige van deze apparaten waardoor WPS volledig worden uitgeschakeld. Leveranciers kunnen ook patch de kwetsbaarheid door het toevoegen van een lock-down periode als de Wi-Fi access point detecteert een brute-force aanval aan de gang, die de PIN-methode voor lang genoeg om de aanval onpraktisch uitschakelt.,in de zomer van 2014 ontdekte Dominique Bongard wat hij de Pixie Dust attack noemde. Deze aanval werkt alleen op de standaard WPS implementatie van verschillende draadloze chip makers, waaronder Ralink, MediaTek, Realtek en Broadcom. De aanval richt zich op een gebrek aan randomisatie bij het genereren van de e-S1 en e-S2 “geheime” nonces. Het kennen van deze twee nonces, de PIN kan worden hersteld binnen een paar minuten. Een tool genaamd pixiewps is ontwikkeld en een nieuwe versie van Reaver is ontwikkeld om het proces te automatiseren.,
omdat zowel het access point als de client (enrollee en registrar, respectievelijk) moeten bewijzen dat ze de PIN kennen om er zeker van te zijn dat de client geen verbinding maakt met een rogue AP, heeft de aanvaller al twee hashes die elke helft van de PIN bevatten, en alles wat ze nodig hebben is brute-forceer de werkelijke PIN. Het access point stuurt twee hashes, E-Hash1 en E-Hash2, naar de client, waaruit blijkt dat het ook de PIN kent. E-Hash1 en E-Hash2 zijn hashes van respectievelijk (E-S1 | PSK1 | PKe | PKr) en (E-S2 | PSK2 | PKe / PKr)., De hash-functie is HMAC-SHA-256 en gebruikt de “authkey” die de sleutel is die wordt gebruikt om de gegevens te hasheren.
fysieke beveiligings issuesEdit
alle WPS-methoden zijn kwetsbaar voor gebruik door een onbevoegde gebruiker als het draadloze toegangspunt niet in een beveiligd gebied wordt bewaard. Veel wireless access points hebben beveiligingsinformatie (als deze in de fabriek is beveiligd) en de WPS-PIN is erop geprint; deze PIN is ook vaak te vinden in de configuratiemenu ‘ s van het wireless access point., Als deze pincode niet kan worden gewijzigd of uitgeschakeld, is de enige remedie om een firmware-update te krijgen om de pincode te wijzigen, of om het draadloze toegangspunt te vervangen.
Het is mogelijk om een draadloze wachtwoordzin te extraheren met de volgende methoden zonder speciale hulpmiddelen:
- een draadloze wachtwoordzin kan worden geëxtraheerd met WPS onder Windows Vista en nieuwere versies van Windows, Onder beheerdersrechten door verbinding te maken met deze methode en vervolgens de eigenschappen voor dit draadloze netwerk te openen en op “karakters tonen”te klikken.,
- Een eenvoudige exploit in de Intel PROSet wireless client utility kan de draadloze wachtzin onthullen wanneer WPS wordt gebruikt, na een eenvoudige beweging van het dialoogvenster waarin wordt gevraagd of u dit toegangspunt opnieuw wilt configureren.
-
een algemeen servicebulletin met betrekking tot fysieke beveiliging voor draadloze toegangspunten.
-
een draadloze router met afgedrukte vooraf ingestelde beveiligingsinformatie, inclusief de met Wi-Fi beveiligde Instellingspincode.