PIN gorszy niż hasło, czyli ataki na WPS, tylną furtkę sieci Wi-Fi

Ktoś kiedyś powiedział, że ze zbioru {bezpieczeństwo, wygoda,niska cena} można wybrać tylko dwa elementy. Niestety spostrzeżenieto musiało być nieznane dla twórców protokołu Wireless ProtectedSetup (WPS), przekonanych, że zabezpieczenia sieci bezprzewodowychWPA2-PSK są zbyt skomplikowane dla przeciętnego użytkownika – iże trzeba zrobić to prościej. Zrobili więc to prościej,wprowadzając na w 2008 roku na rynek rozwiązanie, które dosłowniepozwalało uwierzytelnić urządzenia klienckie za pomocą PIN-u. Jaksię kilka lat później okazało, wprowadzili tym samym rozwiązanie,które przypominało wbudowanie w mur obok okutej stalą bramy lichych drzwi ze sklejki.

Założenia były… nie, nie powiemy, że dobre. Założenia byłyciekawe. Użytkownikom przeróżnych niekomputerowych urządzeńpodłączanych do domowego Wi-Fi niełatwo jest wpisać częstolosową nazwę punktu dostępowego (SSID) i silne (tzn. długie iskomplikowane) hasło WPA/WPA2. Nikt oczywiście nie myślał ozupełnie nowym mechanizmie zabezpieczeń, były to zresztą czasy,gdy ataki siłowe stanowiły co najwyżej ciekawostkę. Chodziłoraczej o wymyślenie metody, która pozwoliłaby automatycznieprzekazać dane dostępowe do łączącego się z punktem dostępowymurządzenia.

Nowy protokół, który otrzymał nazwę Wireless Protected Setup,umożliwiał to w praktyce na dwa sposoby – w paśmie i pozapasmem. Ten pierwszy polega na wykorzystaniu sieci radiowej 802.11 zwykorzystaniem protokołu EAP, ten drugi wykorzystywał nośniki USBlub połączenia radiowe NFC, i w praktyce nie znalazł zastosowania.Na czym polega więc przekazanie po WPS konfiguracji w paśmie?Łączące się urządzenia wymieniają między sobą klucze,wykorzystując algorytm Diffiego-Hellmana. Uwierzytelnienie polega naprzekazaniu ośmiocyfrowego PIN-u znanego urządzeniuuwierzytelniającemu (routerowi), które wprowadzić należy naurządzeniu uwierzytelnianym. Jako że jednak i wpisanie PIN-umogłoby być za trudne dla przeciętnego użytkownika, zdecydowanosię na na jeszcze prostszą metodę, czyli możliwośćuwierzytelnienia klienta poprzez naciśnięcie guzika na routerze(tzw. PBC, Push-Button-Connect). Jest ona specyficznym wykorzystaniemuwierzytelnienia za pomocą PIN-u.

Przyjrzyjmy się bliżej temu, co dzieje się w wypadku próbyuwierzytelnienia za pomocą PIN-u. Na punkcie dostępowym znajdziemyzwykle gdzieś pod spodem nalepkę z ciągiem ośmiu cyfr. Użytkownikmusi odczytać ten ciąg i przepisać go w interfejsie swojegoobsługującego WPS urządzenia. Wychodzi się tu z (kontrowersyjnegonieco) założenia, że skoro możesz odczytać coś z naklejki podrouterem, to masz zapewne prawo do korzystania z utworzonej na nimsieci bezprzewodowej.

Wkrótce uznano, że nawet przepisanie ośmiu cyfr PIN-u może byćzbyt skomplikowane, i zdecydowano się jeszcze bardziej uprościćcałą procedurę. Na routerach pojawił się nowy przycisk,najczęściej oznaczony literkami „WPS”, którego naciśnięciesprawia, że w punkcie dostępowym aktywowany jest na chwilęprotokół WPS. W momencie aktywacji oba urządzenia – punktdostępowy i klient – poszukują urządzeń działających w trybiekonfiguracji. Gdy się wykryją, przeprowadzają taką samą jak wwypadku PIN procedurę uwierzytelnienia, z tym jednak że nie trzebaniczego wpisywać – stosowany jest domyślny PIN, składający sięz ciągu „00000000”.

To co dla użytkownika jest zwykłym przepisaniem PIN-u, dla obuurządzeń jest nieco bardziej skomplikowane. Po zainicjalizowaniusesji EAP wymieniane jest między nimi osiem wiadomości, oznaczanychjako M1-M8. Kolejno są to:

• M1 – przesłanie przez klienta swojego klucza publicznego walgorytmie Diffiego-Hellmana,
• M2-M3 – przesłanie w odpowiedziprzez punkt dostępowy swojego klucza publicznego w algorytmieDiffiego-Hellmana,
• M4-M5 – udowodnienie przez klientaposiadania poprawnych pierwszych czterech cyfr PIN-u i uzyskaniepotwierdzenia od routera,
• M6-M7 – udowodnienie przez klientaposiadania poprawnych ostatnich czterech cyfr PIN-u i uzyskaniepotwierdzenia od routera z wysłaniem konfiguracji sieci,
• M8 – przyznanie klientowi dostępu do sieci

Oczywiście bydojść do M8, poprzednie etapy muszą być wykonane poprawne. Wprzeciwnym wypadku punkt dostępowy wysyła wiadomość EAP-NACK(Negative-Acknowledgement). Powinien też po określonej liczbieniepoprawnych prób wyłączyć na pewien czas protokół WPS.Powinien, choć zwykle tego nie robi – niestety w większościtanich urządzeń sieciowych z jakiegoś powodu WPS zaimplementowano„po łebkach” – i albo w ogóle takiego mechanizmu licznika tamnie ma, albo on nie działa, pozwalając na nieograniczoną liczbęprób ataku siłowego online.

Ile zaś takich prób trzeba przeprowadzić, by siłowo złamaćPIN? Skoro składa się on z ośmiu cyfr dziesiętnych, to liczbakombinacji wynosi 108 – sto milionów. To wciąż bardzo dużo,nawet gdyby testować jeden PIN na sekundę, sprawdzenie całejprzestrzeni możliwych ciągów zajęłoby ponad trzy lata. Wrzeczywistości jednak wystarczy kilka godzin. Co poszło nie tak?

W 2011 roku bezpieczeństwem sieci bezprzewodowych zatrzęsłapracaStefana Viehböcka pt. Brute forcing Wi-Fi Protected Setup: Whenpoor design meets poor implementation. Aż dziw, że zajęło totyle czasu – wystarczyło się w sumie wczytać w specyfikacjęprotokołu, by zauważyć, że jest on po prostu tragicznienieprzemyślany.

Po pierwsze, w wykorzystywanym PIN-ie ósma cyfra jestzdeterminowana – stanowi sumę kontrolną poprzednich siedmiu cyfr.Wprowadzono ją po to, by do routera nie był wysyłany niepoprawniewprowadzony w urządzeniu PIN (ponieważ zwykły użytkownik mógłbynie umieć wpisać kolejnych ośmiu cyfr). To jednak oznacza, żeliczba kombinacji spada z 108 do 107, ostatnią cyfrę możemysobie wyliczyć z wzoru.

Algorytm na wyliczenie ósmej cyfry PIN-u WPS jest bardzo prosty.Zakładając, że PIN jest zapisany jako A1A2A3A4A5A6A7A8,

10 milionów kombinacji to wciąż jednak za dużo, jak na siłowyatak online. Jak jednak zobaczyliśmy, weryfikacja PIN-u przebiegadwuetapowo. Wpierw sprawdzana jest znajomość czterech jegopierwszych cyfr, jeśli wynik okaże się poprawny, sprawdzana jestznajomość trzech ostatnich. Oznacza to, że wcale nie sprawdzamy107 kombinacji, ale w najgorszym razie w pierwszym etapie 104 , a wdrugim 103 – tj. raptem 11 tysięcy kombinacji. Dla tej wielkościatak siłowy online jest już całkiem trywialny. Zakładając posekundzie na próbę, sprawdzimy całą przestrzeń możliwych PIN-óww ciągu nieco ponad trzech godzin.

Aż trudno sobie wyobrazić, jak to się stało, że projektanciprotokołu WPS nie byli w stanie zauważyć tej drobnej, a kolosalnejw skutkach konsekwencji zastąpienia mnożenia dodawaniem – i żepotem nie zauważyli tego wszyscy ci, którzy zajmowali się przezkilka lat jego implementacją. Wkrótce po opublikowaniu pracyViehböcka zaczęto w niektórych routerach modyfikować firmwaretak, by wyłączyć sprawdzanie ostatniej cyfry, ale w sumie niewieleto zmienia – ot zwiększa liczbę kombinacji z 11 do 20 tysięcy.

By jeszcze bardziej pogorszyć sytuację, niektórzy producencirouterów wpadli na pomysł, by generować PIN… z adresu MACurządzenia (które przecież każdy może odczytać, skanującsieć). To częsta sytuacja w tych urządzeniach, które w ten sposóbgenerują sobie unikatową, domyślną nazwę sieci (SSID).Zainteresowanych szczegółami zapraszamy do bloga /dev/ttys0, wktórym przedstawiono algorytmy wyliczania PIN-u w popularnychmodelach routerów D-Linkai Belkina.

Do ataku na WPS napastnik nie musi mieć żadnego potężnegoklastra kart graficznych, na dobrą sprawę może wykorzystać nawettanie jednopłytkowe komputerki, takie jak Raspberry Pi 2. Takiwłaśnie sprzęt wykorzystaliśmy na potrzeby tego artykułu.Atakowany był router D-Link GO-RT-N150, proste urządzenie zdomyślnie włączonym WPS-em, bardzo popularne z racji swojejniskiej ceny (nowy egzemplarz dostaniemyza ok. 50 zł) i całkiem dobrego sygnału.

Na Malince (z podłączonym modułem USB Wi-Fi obsługującym trybmonitorowania) uruchomiliśmy Kali Linuksa, zawierającego jużpreinstalowane niezbędne pakiety podstawowego narzędzia do ataków,Reavera. Znajdziemy go także w repozytoriach wielu innychdystrybucji, można też skompilowaćgo sobie samodzielnie, ale Kali dostarcza nam narzędzia od razugotowego do pracy.

Zaczynamy od przełączenia Wi-Fi w tryb monitorowania, poleceniemairmon-ng start [nazwa interfejsu]. Jeśli przeszkadzają jakieśprocesy, należy zabić je poleceniem kill [numer procesu] i ponowićpoprzednie polecenie. Zdarza się, że Reaver może mieć problemy zuzyskaniem dostępu do urządzenia sieciowego, pomaga uruchomienie nachwilę narzędzia airodump, poleceniem airodump-ng [nazwa interfejsuw trybie monitorowania – np. wlan0mon].

Teraz sprawdzimy listę sieci w otoczeniu, których punktydostępowe mają włączone WPS. W pakiecie Reavera dostajemy do tegoprogramik wash. Uruchamiamy go poleceniem wash -i [nazwa interfejsu wtrybie monitorowania] -s -C. Opcja -s uruchamia skanowanie, opcja -Cpozwala na zignorowanie komunikatów o niepoprawnych sumachkontrolnych pakietów.

Wynikiem działania programu jest lista, zawierająca adresy MACpunktów dostępowych, kanały pracy, siłę sygnału, wersjęprotokołu WPS, stan zabezpieczenia WPS (Locked) i nazwę siecibezprzewodowej. Celem będzie TakaSobieSiecWPS, utworzona nawspomnianym routerze. Po zapisaniu jej adresu MAC można przystąpićdo ataku. Reavera uruchamiamy poleceniem reaver -i [nazwa interfejsuw trybie monitorowania] -b [adres MAC routera] -c [kanał] -d 0--dh-small -vv. Parametr d oznacza długość przerw międzyposzczególnymi próbami PIN (w tym wypadku zero, brak przerw), flagadh-small użycie mniejszych kluczy Diffiego-Hellmana, by przyspieszyćatak, zaś vv to tryb verbose, czyli wyświetlanie wszystkichinformacji o ataku.

Reaver ma tę zaletę, że pamięta stan ataku na daną sieć,czyli które wartości PIN już sprawdził, zaczyna też test odpopularnych PIN-ów (takich jak 12345670, 00005678, 01230000 itp.) copozwala w wielu wypadkach uczynić atak błyskawicznym. Pozwala teżna sfałszowanie adresu MAC karty sieciowej – z wykorzystaniemparametru --mac. Ze wszystkimi opcjami Reavera możecie zapoznać siętutaj.

W trakcie swojej pracy Reaver będzie podawał informacje okolejnych PIN-ach i stanie wymiany wiadomości M1-M4, zwyklekończących się komunikatem NACK. Po odebraniu pewnej liczbyNACK-ów możemy otrzymać ostrzeżenie, że punkt dostępowywyłączył WPS. Wówczas program będzie oczekiwał 60 sekund, bykontynuować atak. Jeśli nie chce tego zrobić, możemy wymusićignorowanie blokady za pomocą flagi -L.

Po utrafieniu pierwszej części PIN-u, Reaver przechodzi dowymiany komunikatów M5-M6. Teraz już pójdzie szybko – pootrzymaniu wiadomości M7 dostajemy wszystkie informacje o sieci,wraz z kluczem WPS PSK.

Ciekawą alternatywą dla Reavera może być Bully. Narzędzie to,dostępne w Kali po zainstalowaniu (apt-get install bully) jest wzałożeniu bardzo podobne do omówionego, ale działa niecosprawniej, przy mniejszym obciążeniu procesora i wieloma ciekawymiopcjami. Jego dokumentację znajdziecie na GitHubie.

W praktyce nie ma żadnej metody na uchronienie się przedzaprezentowanym atakiem – nawet jeśli router włącza blokadę WPSpo pewnej liczbie nieudanych prób, dla cierpliwego napastnika, którymoże sobie pozwolić na przeprowadzenie trwającego kilka dni atakunie stanowi to żadnej przeszkody. Co gorsze, w wielu wypadkach wcalenie trzeba tyle czekać. W 2014 roku szwajcarski haker DominiqueBongard przedstawił atakPixie Dust („magiczny pył”), który wykorzystując słabościw generatorze liczb pseudolosowych, wykorzystywanych podczasszyfrowania wiadomości M3, pozwala zaatakować PIN offline, co wpraktyce skraca czas ataku do kilku minut. W następnym odcinku cykluOfensywne Bezpieczeństwo przedstawimy ten atak bardziej szczegółowo.

Jedyne, co możemy więc Wam polecić, to jak najszybciej wyłączyćWPS w ustawieniach routera, z którego korzystacie. Jeśli jest toniemożliwe (są tanie modele, w których nie ma takiej opcji), możnaspróbować sięgnąć po alternatywne firmware, takie jak OpenWRTlub DD-WRT. Jeśli zaś i to jest niemożliwe (urządzenie jest zbytsłabe, nie ma dla niego żadnego lepszego oprogramowania) –pozostaje router wyrzucić i kupić coś lepszego.