ataque de Força bruta on-line
Em dezembro de 2011, o pesquisador Stefan Viehböck relatou uma falha de projeto e implementação que faz com que ataques de Força bruta contra WPS baseados em pinos exequíveis para serem realizados em redes Wi-Fi com capacidade para WPS. Um ataque bem sucedido ao WPS permite que as partes não autorizadas obtenham acesso à rede, e a única solução eficaz é desativar o WPS., A vulnerabilidade gira em torno das mensagens de reconhecimento enviadas entre o registrador e a matricula ao tentar validar um PIN, que é um número de oito dígitos usado para adicionar novos enrollees WPA à rede. Uma vez que o último dígito é um checksum dos dígitos anteriores, há sete dígitos desconhecidos em cada pino, dando 107 = 10.000.000 combinações possíveis.
Quando uma matrícula tenta obter acesso usando um PIN, o registrador relata a validade da primeira e segunda metades do PIN separadamente., Uma vez que a primeira metade do pino consiste em quatro dígitos (10.000 possibilidades) e a segunda metade tem apenas três dígitos ativos (1000 possibilidades), no máximo 11.000 suposições são necessárias antes que o pino seja recuperado. Esta é uma redução de três ordens de magnitude do número de pinos que seriam necessários para serem testados. Como resultado, um ataque pode ser concluído em menos de quatro horas., A facilidade ou dificuldade de explorar esta falha é dependente da implementação, como fabricantes de roteadores Wi-Fi poderiam se defender contra tais ataques, retardando ou desativando o recurso WPS após várias tentativas falhadas de validação PIN.um jovem desenvolvedor baseado em uma pequena cidade no leste do Novo México criou uma ferramenta que explora essa vulnerabilidade para provar que o ataque é viável. A ferramenta foi então comprada pela Tactical Network Solutions em Maryland por 1,5 milhões de dólares. Eles afirmam que têm conhecimento da vulnerabilidade desde o início de 2011 e que a têm usado.,
em alguns dispositivos, Desativar WPS na interface do Usuário não resulta na característica realmente sendo desativada, e o dispositivo permanece vulnerável a este ataque. Atualizações de Firmware foram liberados para alguns desses dispositivos, permitindo que WPS sejam desativados completamente. Os vendedores também podem corrigir a vulnerabilidade adicionando um período de bloqueio se o ponto de acesso Wi-Fi detectar um ataque de Força bruta em progresso, o que desactiva o método PIN por tempo suficiente para tornar o ataque impraticável.,
offline brute-force attackEdit
in the summer of 2014, Dominique Bongard discovered what he called the Pixie Dust attack. Este ataque funciona apenas na implementação padrão WPS de vários fabricantes de chips sem fio, incluindo Ralink, MediaTek, Realtek E Broadcom. O ataque foca na falta de aleatorização ao gerar os e-S1 e e-S2 “secretos” nonces. Conhecendo estas duas pontas, o pino pode ser recuperado em alguns minutos. Uma ferramenta chamada pixiewps foi desenvolvida e uma nova versão de Reaver foi desenvolvida para automatizar o processo.,
uma vez que tanto o ponto de acesso e o cliente (inscrito e do secretário, respectivamente) necessidade de se provar a eles saber o PIN para certificar-se de que o cliente não está a ligar para um rogue AP, o atacante já tem dois hashes que contêm cada metade do PIN, e tudo o que eles precisam é de força bruta o PIN real. O ponto de acesso envia dois hashs, e-Hash1 e e-Hash2, para o cliente, provando que ele também conhece o PIN. E-Hash1 e e-Hash2 são hashs de (e-S1 | PSK1 | PKE | PKr) e (e-S2 | PSK2 | PKE | PKr), respectivamente., A função hashing é HMAC-SHA-256 e usa a “authkey” que é a chave usada para hash os dados.
questões de segurança física edit
todos os métodos WPS são vulneráveis à utilização por um utilizador não autorizado se o ponto de acesso sem fios não for mantido numa área segura. Muitos pontos de acesso sem fio têm informações de segurança (se for garantido por fábrica) e o PIN WPS impresso neles; este PIN também é frequentemente encontrado nos menus de configuração do ponto de acesso sem fio., Se este PIN não puder ser alterado ou desativado, o único remédio é obter uma atualização de firmware para permitir que o PIN seja alterado, ou para substituir o ponto de acesso sem fio.
é possível extrair uma frase-senha sem fio com os seguintes métodos, sem ferramentas especiais:
- uma frase-senha sem fio pode ser extraída usando WPS Sob O Windows Vista e versões mais recentes do Windows, sob privilégios administrativos, conectando-se com este método, então trazendo as propriedades para esta rede sem fio e clicando em “Mostrar caracteres”.,
- Uma simples exploração no utilitário Intel PROset wireless client pode revelar a senha sem fios quando o WPS é usado, após uma simples mudança da janela que pergunta se deseja reconfigurar este ponto de acesso.
-
um boletim de serviço genérico relativo à segurança física dos pontos de acesso sem fios.
-
Um roteador sem fio, mostrando impresso preset de segurança da informação, incluindo o Wi-Fi Protected Setup PIN.