Algoritmo "WLAN_XXXX" de los Comtrend CT-5365 y AR5381U (Pagina 1) / Estudio de algoritmos y búsqueda de la nueva brecha / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 07-09-2015 17:57:50

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,069

Algoritmo "WLAN_XXXX" de los Comtrend CT-5365 y AR5381U

Algoritmo "WLAN_XXXX" de los Comtrend CT-5365
  y AR5381U empleados por Jazztell y Telefónica:
 

wlan4.jpg

  Es durante el invierno 2011 que zerodays publica por primera vez la formula para generar la contraseña WPA de estos dos routers de Comtrend ( el 3 de febrero 2011 - ver . Patron redes WLAN_XXXX WPA ).
  Previamente, el 15 de diciembre 2010, los de seguridad wireless habían puesto en linea un generador sin desvelar el algoritmo.
  Quitaron la aplicación en linea el día siguiente.
Fue solo un contratiempo en la difusión del conocimiento : pasada la resaca de noche vieja; varios usuarios en varios sitios se pusieron mano a la obra.
  Un mes después se logró (en lampiweb) encontrar el algoritmo  y salen enseguida por todos lados multitudes de códigos libres para generar las contraseñas.   
   Volveremos luego sobre el pequeño "kilombo" que se montó porque pone en perspectiva uno de los principios fundadores del mundo del software libre y de las distribuciones GNU-Linux : la "transparencia" (ful dislosure).
  Pero primero hablaremos de lo más importante  : dar los detalles sobre esta brecha de seguridad :

Una transición de WEP a WPA que no ha ido bien del todo...

wlan6.jpg

   Estamos por 2010
Época cuando los de telefónicas se enteran de que sus redes "WEP" son de las mas heckeadas en Europa.
¡Reunión de crisis y asamblea general!
La noticia no es nueva pero parece haber pasado desperecida durante 7 años a dentro de esta grande empresa.

Hacia 2003, la Wi-Fi Alliance anunció que WEP había sido reemplazado por Wi-Fi Protected Access (WPA). Finalmente en 2004, con la ratificación del estándar completo 802.11i (conocido como WPA2), el IEEE declaró que tanto WEP-40 como WEP-104 fueron revocados por presentar fallos en su propósito de ofrecer seguridad.

Wired Equivalent Privacy @ wikipedia

¡El WEP es inseguro! ¿De verdad? big_smile
  Así que esta vez telefónica quiere hacer las cosas bien y pide a su fabricante favorito:  "Por favor señor, dibujame un Router WPA.... Uno de estos que no se revienta con 4iv's. Uno seguro como la livebox esta de mis coj-bip-es"
  El fabricante favorito es Comtrend.
  Lo que pasa es que los de Comtrend no son unos expertos en seguridad: Ellos solo venden routers feos, principalmente a los ISP españoles. No tienen ni idea. big_smile
  El cliente es reí y los contratos con la primera empresa del sector valen algunos esfuerzos.
El equipo de Comtrend se pone a trabajar día y noche y saca un algoritmo WPA bastante correcto.
   Produce unas llaves bien largas: A primera vista los crackers no lo van a tener fácil para nada...

wlan1_20150903-1137.jpg

La cosa es que por muy bueno que sea un algoritmo... si lo dejas a la vista en texto plano... de poco servirá.

Paseando por telnet

  Para llegar al algoritmo los de seguridad wireless han usado el viejo compañero telnet. Es cuestión de abrir una consola y escribir

telnet 192.168.1.1

  Y de entrar los credenciales user:pass
   Primer obstáculo: De esta manera solo tenéis un acceso a una consola muy limitada. Sirve solo para enseñar la ayuda y poco más.
Hay que obtener privilegios de administradores para poder aprovechar telnet.
  Los obtuvieron ejecutando

sysinfo&&sh

Pedimos al router que nos de información y que inicie un sesión de sh y acabamos siendo root...  Cosas de la vida. big_smile

  Una dificultad más : la versión de "sh" no incluye los comandos cd y ls. ls es el comando que nos permite hacer un listado de directorios y ficheros mientras que cd nos permite llegar a estos ficheros. Estamos bloqueados y a ciegas : No podemos bajar en la arborescencia del sistema de ficheros y no sabemos que ficheros hay.
  Pero "bash (y sh) is beatifica" y es con este ingenioso bucle if que se montaron un "ls" casero

for l in /*; do echo $l; done

nice! cool
Llegaron entonces al directorio VAR y ejecutaron su bucle 

for l in /var/*; do echo $l; done

Encontraron dos ficheros con nombres "llamativos"

  1. /var/md5encode

  2. y /var/md5result

El que encuentra el "numero mágico" tendrá la llave

  Abriendo el fichero /var/md5encode tienen la sorpresa de ver tal cual la formula

bcgbghgg+mac+bssid

  ¡Y en el fichero /var/md5result tienen la confirmación de que son efectivamente los 20 primeros dígitos del md5 que se guardan para generar la llave WPA!
  Para que el md5 no sea fácil de adivinar se ha añadido al bssid y a la mac lo que se suele llamar  "magic number" : una cadena aleatoria imprevisible usada como constante.
Aquí el numero mágico es  bcgbghgg. La técnica de un numero mágico fijo para todos los routers no es la mejor opción, al final el algoritmo no estaba tan mal. Dejar el numero mágico visible era un gran error....

  Podemos ver el numero mágico si desensamblamos el firmware. La función se encuentra en la librería  libpsi.so :

wlan2.jpg

Algoritmo wpa Comtrend: pubblicata la full disclosure @ PCpedia

Aquí tenéis el ful disclosure :

=======================================
FULL DISCLOSURE – Seguridadwireless.net
Fecha descubrimiento: 24/11/2010
Ultima revisión: 08/03/2011
Descubridor: Seguridadwireless.net
=======================================

FALLO DE SEGURIDAD EN ROUTERS COMTREND

El patrón para generar la clave WPA-PSK por defecto de los routers COMTREND se encuentra “a la vista” en el sistema de archivos.

1.- Introducción

De todos es conocido que el cifrado WEP como protección para redes wireless es totalmente inseguro y por ello tanto fabricantes como ISP han empezado a configurar en sus dispositivos cifrados más robustos como WPA/WPA2 en sus diferentes variantes.

No obstante la utilización de claves por defecto generadas durante el proceso de fabricación, instalación y configuración hacen a estos dispositivos especialmente vulnerables una vez que se ha averiguado el patrón o el algoritmo con el que son generadas las citadas claves y más si este patrón o algoritmo es usado de manera masiva por el fabricante en diferentes modelos de routers que a su vez son distribuidos por diferentes ISP a usuarios finales.

2.- Descripción del fallo de seguridad

El fallo de seguridad es ocasionado por la incorrecta limpieza de los archivos creados durante la generación de la clave WPA-PSK y que hacen que estos archivos, en principio archivos temporales a eliminar una vez creada la clave, permanezcan en el sistema de archivos del router.

3.- Modelos afectados

Confirmada la existencia de los archivos no eliminados que permiten averiguar el patrón en el modelo de COMTREND CT-5365

Confirmada la utilización del mismo patrón para el modelo de COMTREND AR5381U,

Posiblemente también haya otros modelos afectados.

4.- How to…

Abrir una consola de linea de comandos y hacer un telnet a la IP del router, por defecto 192.168.1.1 y con user/pass 1234/1234.

Veremos por el prompt (>) que estamos en un entorno limitado y con “help” comprobamos que solo tenemos unos pocos comandos a nuestro alcance. Es facil escapar a este entorno limitado concatenando comandos (sysinfo && sh). Una vez ejecutado el comando anterior el prompt cambia a (#) y ya tenemos una consola con privilegios de root “real”.

Comprobamos que los comandos “ls” y “cd” no funcionan ya que han sido eliminados del sistema de archivos por el fabricante, para poder listar el sistema de archivos y sus diferentes directorios vamos a utilizar un ls casero mediante la siguiente sentencia “for l in /*; do echo $l; done”.

Una vez listado el directorio /var con “for l in /var/*; do echo $l; done” veremos dos archivos que llaman poderosamente la atención, /var/md5encode y /var/md5result.

Con un cat /var/md5encode obtenemos el patrón utilizado por el fabricante (bcgbghgg+mac+bssid) para generar un hash md5.

Con cat /var/md5result vemos y confirmamos que es el hash md5 del patrón anterior y cuyos 20 primeros caracteres son utilizados como clave WPA-PSK por defecto.

5.- Solución

Cambiar la clave WPA-PSK “de fábrica” por una propia.

6.- TimeLine

* 25/11/2010 – Se comprueba el mismo fallo en los routers de Jazztel
* 26/11/2010 – Se confirma la existencia del mismo patrón de generación de la clave WPA-PSK en ambos Operadores.
* 01/12/2010 – Se contacta con el fabricante Comtrend y se le informa del fallo.
* 08/12/2010 – Sin respuesta del fabricante, se envía de nuevo el correo.
* 15/12/2010 – Sin respuesta del fabricante, se emite aviso de seguridad.
* 15/12/2010 – Contacto con el fabricante.
* 07/01/2001 – Reunión y firma de NDA con el fabricante.
* 22/01/2011 – Se publica un comunicado oficial sobre el fallo de seguridad.
* 26/01/2011 – Otras personas ajenas a SW desFallo de seguridad en routers COMTREND - FULL DISCLOSUREcubren el fallo pero no lo hacen público de momento.
* 26/01/2011 – Contacto con el representante de Comtrend donde reafirmamos nuestra postura sobre lo acordado.
* 04/02/2011 – Una fuente anónima publica el código donde se puede ver el patrón para descubrir la clave WPA.
* 04/02/2011 – Comunicado oficial de SW sobre la publicación del algoritmo de generación de claves WPA por parte de la fuente anónima.
* 09/02/2011 – Nuevo Comunicado oficial ampliando detalles sobre el proceso seguido hasta ahora.
* 08/03/2011 – Expira el NDA firmado con el fabricante, FULL DISCLOSURE.

7.- Agradecimientos

A hitz del foro de adslayuda por su “ls casero” en su ya antiguo post:
http://www.adslayuda.com/foro/routers-adsl/comtrend-511-535-536-561-562/accesso-ssh-al-ct-536-t89532.html#p360160

A Google, por supuesto, que nos permitió buscar lo anterior.

A todos los que confiaron en nosotros, gracias por estar ahí.

post de Mambostar en Fallo de seguridad en routers COMTREND - FULL DISCLOSURE @ seguridad wireless

Conclusión:

   
  Los de Comtrend casi dan pena : Por fin hacen un router con un nivel de seguridad por defecto satisfactorio... pero guardan el algoritmo en texto plano (incluso el "magicnumber"; el arco de piedra del edifico)  en unos ficheros con un nombre obvio. hmm
Tremendo error.
Al final, las redes que debían ofrecer una seguridad correcta se vuelven incluso mas inseguras que las redes WEP que tienen que reemplazar.
No hace falta capturar ninguno datos para generar inmediatamente la llave por defecto.

  Si la red emite el eSSID por defecto  sabemos que la "mac" (diferente del bSSID) es igual al "bSSID acabado en eSSID" .
   Para que sea claro
   Para una red WLAN_YYYY con BSSID XX:XX:XX:XX:XX:XX
   El pass sería el md5 (20 primeros caracteres) de bcgbghggXXXXXXXXYYYYXXXXXXXXXXXX
   Si el essid no es el por defecto es cuestión de probar unas cuentas MAC posibles.
La mac ethernet siendo siempre "muy cerca" del bssid. 
No se si se intentó o logró deducir la mac conociendo solo el bSSID.
Hay probablemente una manera de por lo menos proponer unas pocas pass si el eSSID no es el por defecto, recogiendo bssid y essid por defectos para hacer una análisis de las diferencias entre mac y bSSID. 
Pero estos routers ya se ven muy poco...

El debate : ¿Full disclosure o No disclosure :To be or not to be?
Transparencia

wlan3.jpg

Esto es la "time line" del full dislosure

* 24/11/2010 – Se detecta el fallo en los routers CT-5365 de Telefónica (Movistar)
* 25/11/2010 – Se comprueba el mismo fallo en los routers de Jazztel
* 26/11/2010 – Se confirma la existencia del mismo patrón de generación de la clave WPA-PSK en ambos Operadores.
* 01/12/2010 – Se contacta con el fabricante Comtrend y se le informa del fallo.
* 08/12/2010 – Sin respuesta del fabricante, se envía de nuevo el correo.
* 15/12/2010 – Sin respuesta del fabricante, se emite aviso de seguridad.
* 15/12/2010 – Contacto con el fabricante.

* 07/01/2001 – Reunión y firma de NDA con el fabricante.
* 22/01/2011 – Se publica un comunicado oficial sobre el fallo de seguridad.
* 26/01/2011 – Otras personas ajenas a SW desFallo de seguridad en routers COMTREND - FULL DISCLOSUREcubren el fallo pero no lo hacen público de momento.
* 26/01/2011 – Contacto con el representante de Comtrend donde reafirmamos nuestra postura sobre lo acordado.
* 04/02/2011 – Una fuente anónima publica el código donde se puede ver el patrón para descubrir la clave WPA.
* 04/02/2011 – Comunicado oficial de SW sobre la publicación del algoritmo de generación de claves WPA por parte de la fuente anónima.
* 09/02/2011 – Nuevo Comunicado oficial ampliando detalles sobre el proceso seguido hasta ahora.
* 08/03/2011 – Expira el NDA firmado con el fabricante, FULL DISCLOSURE.

  El día 15 es el momento clave y es cuando se ha colocado durante unas cuantas horas la aplicación online.
Al contrario de lo que se suele hacer y de como solían hacer, esta vez los de SW decidieron no publicar un código libre con el algoritmo.
Otra novedad, una aplicación online permitía recuperar las contraseñas por defecto.
Esto produjo mucha incomprensión.
  Y al quitar la aplicación online poco tiempo después colocarla se generó mucha más incomprensión aún.
Sobre todo porque la primera explicación dada en su momento por el administrador de la web sobre la retirada de la aplicación en linea no era para nada clara.

wlan7.jpg

http://www.uleg.net

Declaración digamos "desmentida" una semana después con un comunicado oficial muy claro esta vez

.- Nuestra postura oficial sera la siguiente -. ################################################################################################# "SeguridadWireless (de forma altruista) está trabajando de manera conjunta con COMTREND para lograr mejorar los protocolos de algunos de sus dispositivos. La finalidad es lograr un nivel de protección mayor de los routers de los ISPs afectados. Hemos evaluado anteriormente como inferior, el nivel de seguridad ofrecido en los routers de otros fabricantes de los mismos ISPs, en parte, por las especificaciones requeridas en el pasado por dichos ISPs. El equipo de Estudio de Cifrados de SeguridadWireless no hará públicos los detalles de la vulnerabilidad hasta que el fabricante no disponga de un tiempo prudencial para mejorar e implantar sus mecanismos de protección. El motivo de esta decisión es evitar que los usuarios finales queden desprotegidos."

Desvelado el patrón de claves WPA de las redes WLAN_XXXX y JAZZTEL_XXXX utilizadas por Movistar y Jazztel

Entre tanto hubo muchos rumores y ataques, fundados o no. Se llegó a acusar a seguridad wireless de chantaje hacía los farbciantes/ISP o bien los usuarios.
Ahí vemos en acción uno de los primeros efectos perversos a no adoptar la transparencia : despierta sospechas y favorece rumores de todos tipos.
Otro problema : no hay palabra libre. Los miembros de la comunidad tienen que adoptar una postura comuna sobre lo que desvelan o no y deben tener una "estrategia de comunicación".
En este caso no se preparó bien  y no hubo una reflexión suficiente sobre las consecuencias al no hacer un full dislosure.

  La puesta online de la aplicación no fue muy pensada tampoco

  * Si lo que se quería era colaborar con el fabricante bastaba con hablar con el. Colocar la aplicación online solo sirve a crear sensación en la web o a poner presión en el fabricante.  Si lo que se quería era poner presión sobre Comtrend para hablar con ellos - ¿porque no? - entonces se tendría que haber comunicado, explicar por ejemplo que el generador se quedará online unas doce horas para que Comtrend tome nota y entre en contactos con SW.
En este caso parece que no se habían imaginado que comtrend les diría algo o que la aplicación online podría ser molesta para ellos...
 
  * Si lo que se quiere es simplemente permitir a visitantes generar contraseñas online (genera visitas, es humano) sin desvelar el algoritmo es moralmente muy discutible y esta claro que la web sera muy criticada por ello. En todos casos no va muy bien con "El motivo de esta decisión es evitar que los usuarios finales queden desprotegidos.". Parece surrealista que no se haya pensado antes de colocarlo que el generador online podría ser utilizado para hackear el vecino...

Al final siempre gana el código libre

De todo modo la política adoptada que consistía en colocar un generador online permanentemente sin desvelar el algoritmo era absolutamente insostenible.
No solo por razones éticas/morales; sino por razones técnicas.
Si se pone el generador online cada uno va a poder estudiar los resultados que da para hacer ingeniera inversa y desvelar el algoritmo.

  En este caso la aplicación se mantuvo online solo unas pocas horas.
  Pero no hizo falta más (y saber que el algoritmo se hacía con el bSSID y el eSSID era ya mucha información ) para motivar a muchos que se juntaron y acabaron desvelando un mes después el algoritmo.
  Todo esto de forma abierta y colectiva - lo que permitió la publicación de muchas herramientas de código libre. 
  Era algo inevitable
  Al final seguridad wireless acabó rompiendo el acuerdo de no disclosure publicando su wpamagickey,
  El acuerdo no tenía más sentido ya que el algoritmo era publicado por todos lados.
 
  Esta polémicas generadas por la falta de posición clara y con sentido no fueron  sin consecuencias: Se desmanteló poco después el grupo de cifrado de SW y fue la ultimá contribución (indirecta) de esta web en el campo de el estudio de algoritmos.   
  En materia de seguridad el full disclosure es la única postura limpia y acertada técnicamente.
Intentar sacar provecho del conocimiento  (que sea solo por hacer un poco de "publicidad" y es muy humano) es una arma de doble hilo muy complicada de manejar y no durará mucho. 
  Haciendo las cosas así siempre se pierde, tarde o temprano,
Incluso cuando uno se llama hacking team y hace negocios multimillonarios con el "no disclosure",,, ( Algunas revelaciones jugosas tras el pirateo de hacking team ) al final las cosas siempre salen y siempre gana el código libre cool

fuentes :

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 16-09-2015 18:58:40

gorilolo
Usuario

Registrado: 15-09-2015
Mensajes: 2

Re: Algoritmo "WLAN_XXXX" de los Comtrend CT-5365 y AR5381U

estoy aprendiendo un monton con tu blogs

Desconectado

#3 16-09-2015 19:08:18

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,069

Re: Algoritmo "WLAN_XXXX" de los Comtrend CT-5365 y AR5381U

Buenas tardes  y sobre todo bienvenido en tu foro ; wifi-libre smile
Me alegro mucho si has aprendido una cosita u otra aquí.
Gracias por tu comentario, da gusto.
Saludos y hasta pronto smile

Desconectado

#4 16-09-2015 22:15:57

USUARIONUEVO
Usuario

Registrado: 07-07-2015
Mensajes: 194

Re: Algoritmo "WLAN_XXXX" de los Comtrend CT-5365 y AR5381U

diria que la aplicacion web , se puso inicialmente ,por que ni comtrend ni telefonica creian en que se hubiera desvelado el algoritmo.

se puso la pp online , y cuando vieron que hiba en serio , entonces y solo entonces comtrend ,pidio una reunion , que cabao en (si no recuerdo mal 3 meses de timeline) , para parchear los routers antes de quedar expuestos.

despues ya se saco todo el code como siempre.


Lo bueno y mejor de todo , es que el mismo algoritmo , o parcial , aparecio en otros fabricantes ... y como mas curioso todabia, es que a dia de hoy aun hay routers vulnerables en pie ...asi que , lo de los tres meses  no se en que los invirtio comtrend big_smile:D:D


Un articulo bastante detallado , y sin esconder nada. BIEN HECHO.

Desconectado

#5 18-09-2015 18:59:48

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,069

Re: Algoritmo "WLAN_XXXX" de los Comtrend CT-5365 y AR5381U

diria que la aplicacion web , se puso inicialmente ,por que ni comtrend ni telefonica creian en que se hubiera desvelado el algoritmo.

  En este caso: ¿Porque no simplemente enseñarlo a Comtrend o Telefonica? Si no lo creen era bastante fácil convencerlos.
  Creo que ha simplemente pasado lo que suele pasar: los fabricantes optan por "la política de la avestruz".
Se ponen la cabeza en el culo y , magia, hace calor y el problema desaparece...
Si te fijas en el "timeline" de  los "full disclosure" que se publican; muchísimos ponen que nunca recibieron una respuesta del vendedor-ISP-fabricante. 
Al final la seguridad del usuario final es su ultima preocupación. Lo que les importa es que su imagen no sea manchada. 
Porque al final, como bien lo dices, ni en tres meses, ni en 4 años : El parche mágico nunca ha salido
  Y diría que ha sido un farol.
Que nunca han tenido la intención de sacar un parche,
Que ni telefónica ni Comtrend hubieran venido a tu casa para cambiarte la etiqueta y configurar te el routeur o explicarte que sus redes eran al final tan inseguras que era necesario cambiarte el pass por defecto con una actualización.
Han pensado : "Nuestras redes no han sido seguros durasnte años... ¿Que más da?" big_smile
Que haya generadores para WEP en una live es una cosa, hay que conocer un mínimo todo esto.
Pero un generador online accesible a cualquiera sin conocimiento y probablemente con montón de vistas en pocas horas es algo diferente.
Mucho peor para la imagen.
Los que encontraron y "gestionaron" el fallo desde seguridad wireless en esta época han sido un poco ingenuos/mal preparados sobre varios puntos.
   Además de lo difícil que es de por si tener una posición algo ambigua (¿Porque esta vez no hay "full disclosure"?) y tener que explicar un cambio (¿Porque se ha quitado la pp online unas horas después colocarla?); pienso que han cometido otro error : Han  creído sinceramente en lo que les decía Telefónica y Comtrend. tongue

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Pie de página

Información del usuario

Ultimo usuario registrado: evam
Usuarios registrados conectados: 0
Invitados conectados: 3

Estadisticas de los foros

Número total de usuarios registrados: 357
Número total de temas: 621
Número total de mensajes: 4,272

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20