Tak się łamie routery UPC: domyślne hasło WPA2 wygenerujesz z adresu MAC

Korzystanie z protokołu WPA2 to gwarancja bezpiecznej siecibezprzewodowej – jak do tej pory nie istnieje żaden atak, którypozwoliłby uzyskać nieupoważniony dostęp do zabezpieczonego nimWi-Fi, o ile hasło jest silne, a furtka w postaci Wireless ProtectedSetup (WPS) wyłączona. Oraz jeśli WPA2 nie działa na routerachUBEE EVW3226, bardzo dobrze znanych użytkownikom sieci UPC. Czescyhakerzy z grupy yolosec zdołali w pełni odtworzyć algorytmgenerujący na tych routerach domyślną nazwę sieci i hasło, copozwala łatwo włamać się do sieci, w której nie zostały onezmienione.

Słabość routerów UPC była znana już wcześniej. Hakerkorzystający z nicka Blasty odkrył algorytm generowania kluczy WPA2w routerach Technicolor, a następnie zaoferował prostą usługęwebową, dzięki której każdy mógł sobie klucze „odzyskać”.Te podatne routery generowały bowiem SSID i domyślne hasło zidentyfikatora urządzenia, więc algorytm przebiegał wszystkiemożliwe identyfikatory, wyszukiwał pasujący SSI i przedstawiałmożliwe hasła. Działało to tak skutecznie, że jak piszą Czesi,w ich mieście (Brnie) 60% routerów UPC było na ten atak podatnych.

Tamte routery Technicolora odchodzą jednak do lamusa, na nowychatak nie działał. Niedawno UPC zaczęło oferować jednak klientomurządzenie UBEE EVW3226. I to właśnie ono padło ofiarąciekawskich Czechów. Badania bardzo uprościł fakt, że na routerzetym łatwo uzyskać roota – wystarczy podłączyć do niegopendrive o odpowiedniej nazwie (EVW3226). System uruchomi dowolnyznajdujący się na nośniku skrypt o nazwie .auto z uprawnieniamiroota.

To oczywiście łatwa metoda ataku na router sama w sobie –mając fizyczny dostęp, każdy może w ten sposób wydobyć z niegohasło dostępowe. Przejdźmy jednak do kwestii atakubezprzewodowego. Z samą metodą badawczą możecie zapoznać się nablogu autorów, deadcode.me– najpierw trochę grzebania w linuksowym systemie, potem zrzutfirmware i analiza kodu w assemblerze.

Hakerzy znaleźli w ten sposób funkcję generującą domyślnehasła WPA2. I faktycznie, znalazło się tam coś takiego jakGenUPCDefaultPassPhrase. Co jest jej argumentem? No cóż… adresMAC urządzenia (czyli BSSID sieci). Co prawda adres niecoprzetworzony, ale co to za przetworzenie – dodawano bajtokreślający rodzaj sieci (2,4 GHz czy 5 GHz).

Potem adres MAC był kilkakrotnie (nie wiadomo po co, więcej niezawsze znaczy lepiej) przetwarzany za pomocą funkcji skrótu MD5, bywyprowadzić kilka różnych ciągów na wyjściu, w tym SSID ihasło. Finalnie transformowano to na 26-znakowy alfabet, igenerowano z niego ciąg składający się z liter A-Z i cyfr,dokładnie w takim formacie, jaki wykorzystywany jest w hasłachroutera UPC.

A później znaleziono coś naprawdę zaskakującego: funkcjęfiltrującą, której zadaniem jest przepuszczanie wygenerowanegohasła przez czarną listę z wulgaryzmami – tak by przypadkiemklient nie dostał hasła obraźliwej natury. To już samo w sobiejest jakimś osłabieniem siły hasła, ale w sumie to taki śmiesznydrobiazg.

Jaka jest jednak konkluzja? Otóż udało się zrekonstruowaćdość prosty algorytm generowania domyślnego hasła na podstawieadresu MAC i pasma sieci bezprzewodowej, który w deterministycznysposób generuje na wszystkich routerach hasło domyślne, to samo,które umieszcza się dla klientów na naklejce pod urządzeniem. Jużna Githubie dostępny jest kodgeneratora, działa też usługawebowa, w której po podaniu adresu MAC dostaniemy hasło. Skądwziąć adres MAC? Jeśli nie wiecie, lepiej przeczytajcie nasz cyklo ofensywnym bezpieczeństwie sieci Wi-Fi.

Skala zagrożenia jest niemała. Hakerzy wybrali się nakilkugodzinny wardriving ulicami 400-tysięcznego Brna, tak przecieżpodobnego do wielu polskich miast z osiedlami z wielkiej płyty.Podczas tej podróży wychwycili 17516 sieci bezprzewodowych, zktórych aż 2384 pochodziło z routerów UPC, a 443 na pewno byłopodatnych na odkryty atak. Jedynie 97 potencjalnie podatnych routerówmiało zmienione SSID i hasło.

Użytkownikom wszystkich routerów przypominamy: nie możnapozostać z domyślnymi hasłami i nazwami sieci – ich zmiana jestpierwszą rzeczą, jaką powinniście zrobić po uruchomieniuurządzenia. Jak oświadczył rzecznik polskiego UPC, niebawemużytkownicy dostaną automatycznie nowe firmware do swoich routerów,które będzie zachęcało do zmiany domyślnego hasła podczaspierwszego uruchomienia urządzenia.

Cóż, dobrze by było, gdyby nowe firmware zapewniło teżbardziej skuteczny sposób generowania tych domyślnych haseł. Bo w to, że ludziom będzie chciało się je zmieniać, raczej nie wierzymy.