Vulnerabilidad WPS PBC (Push button) (Pagina 1) / Preguntas generales y busqueda de nuevas brechas / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 27-10-2016 00:48:49

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,617

Vulnerabilidad WPS PBC (Push button)

Vulnerabilidad WPS PBC (Push button) by Koala

3orifaXQhb1Ajto0fK.gif

Las siglas WPS significan WiFi Protected Setup pero sería más exacto decir Worst Protected Setup. big_smile
   La broma no es mía: Es del amigo Koala.
Lo digo por si te parece mala. tongue
Más en serio:
   Hablo de Koala porque es quien ha dado en el clavo y ha publicado sobre este "falló de concepto" del modo Push button.
  Hace algo de tiempo ya...  Primero en Korben y crack-wifi.com.
   Pero los dos sitios están en francés y no he visto nada al respecto en Español.
     Vamos a ver entonces hoy en este tema esta vulnerabilidad WPS PBC.
     Ya veréis: Es muy simple y no se requiere ninguno conocimiento técnico avanzado para entenderla. 

Worst Protected Setup

  Otra vez. big_smile Uno no se cansa de las bromas de koala. wink
El WPS fue introducido en 2007  y promovido por la Wi-Fi Alliance para simplificar la conexión a un punto de acceso protegido con una llave WPA robusta. (lo qué se debe hacer)
  El infierno está empedrado de buenas intenciones:  Haciendo esto han activado una bomba de tiempo.
  Bomba que les ha explotado en plena carra en 2011 con la brecha de seguridad "Brute force  WPS PIN"
  Con una segunda detonación en 2014 con la brecha pixe dust
   
  Les ha costado mucho a los fabricantes admitir que han puesto  en servicio desde 2008 routers con una brecha critica.
Muchos aparatos no han tenido apaño, no son pocoos los fabricantes que han tartado años en parrar la producción con WPS en modo PIN habilitado.
  Aún hoy en día salen modelos con el modo PIN y acaban en el paisaje wifi, 5 años después la salida del famoso reaver.
  No obstante es hecho establecido que el modo WPS PIN es inseguro
Por ejemplo a nivel Europeo en las recomendaciones de la ENISA (ver La U.E. debería enterarse de las brechas WPS)
 
  Si el modo PIN se considera seguro, el modo PBC se sigue publicitando como "seguro".
Es más: si consultas el manual de un punto de acceso de hoy en día a menudo se aconseja en primero usar el metódo WPS PBC para conectarse, antes del método tradicional que consiste en entrar su llave a mano.

WPS_PBC_vulnerability_1.jpg

 
Manual de usuario Router Fibra Óptica Mitrastar HGW-2501GN-R2
  El propio gestor de redes windows 7, 8 y 10 propone el WPS a la primera conexión.
Ni hace falta tener un adaptador USB con un botón: el gestor de redes se encarga de de hacer de botón, no tenmeos que prensar nada, las peticiones se mandan directamente de forma automatizada.

Vulnerabilidad del método WPS PBC

  El WPS PBC es un proceso muy sencillo visto que la meta es simplificar algo "tan complejo" como entrar una llave WPA en un gestor de redes. (se requiere cinco años de estudios en el MIT para esto roll )
Por un lado el usuario pulsa el botón del Registrar (matriculador; el Punto de acceso) para que admite durante un intervalo de tiempo (por defecto 120 segundos) un Enrolle (cliente)
Por otro lado pulsa el botón PBC de su Enrolee,
Si lo hace en las 120 segundas impartidas el router acepta el cliente:  le manda la llave y lo deja conectarse.
  El cliente sabe el BSSID de la red a la cual se quiere conectar.
  Pero el router no tiene idea de la mac del cliente que se quiere conectar.
  Con lo cuál el router admite cualquier cliente que se conecte, sino el protocolo no funcionaría.
  La Wifi alliance es consciente de esto:

WPS_PBC_vulnerability_2.jpg

  Pero no se lo han pensado lo bastante.

  Imaginamos ahora que tenemos en el rayo de nuestra red wifi un intruso que quiere conectarse
Si empujamos el botón WPS de nuestro AP, aceptará la primera petición de conexión PBC que le llegará.
Se cierra inmediatamente el intervalo PBC "abierto" y no aceptará el siguiente 
   Lo importante es llegar primero, si la petición de conexión del intruso se recibe antes que la del cliente legitimo, el intruso se conecta a nuestra a red y obtiene la llave WPA.

Prueba de Concepto con el "bucle del troll"

Escenario:
     La victima  tiene un adaptador USB con PBC
     El router de la victima tiene WPS (si el routeur tiene WPS por norma tiene un butón PBC)
     El hacker tiene un portátil que corre una distribución GNU-Linux cualquiera (no hace falta aircrack-ng ni nada por el estilo) y que tiene una interfaz wifi (el modo managed basta)
 
    El ataque:
   El concepto es simple: Aprovechar el intervalo PBC para conectarse antes del cliente legitimo.     
   Para lograrlo solo necesitamos mandar en bucle una petición de conexión WPS hacía cualquier PA que sea... El WPS es maravilloso y permite hacer muchas cosas con una cli potente.
   En una linea:

while : ; do sudo wpa_cli wps_pbc any ; sleep 120 ; done &

  La sintaxis es digna de un troll y pone probablemente los pelos de punta a los bashistas puros y duros... Esto dicho  hace exactamente lo que se necesita: Mandar en bucle peticiones de conexión PBC hacía todos los PA que se pueden alcanzar.

WPS_PBC_vulnerability_3.jpg

  • wpa_cli es una cli interactiva para wpa_supplicant

  • wps_pbc se emplea para mandar peticiones de conexión PBC

  • any, normalmente aquí se supone que se pone un bSSID pero se puede poner "any" para conectarse a cualquier PA que sea.

  Cuando una victima prensa el botón WPS de su router estamos conectado.
  Koala ha dejado su portatíl con el bucle troll y ha simulado con otro ordenador lo que haría una victima para conectarse con PBC.
Se levanta para llegar al router y activar el WPS PBC
Luego  vuelve a su silla para prensar en el botón del dongle que hace de victma.
Cuando se sienta otra vez es tarde:  el ordenador "atacante" ya esta conectado y prensar el botón desde la victima no sirve de nada.

WPS_PBC_vulnerability_4.jpg

  Activa el dhcp desde la maquina atacante

dhclient wlan0

  Y puede comprobar que el ordenador atacante esta conectado del todo

WPS_PBC_vulnerability_5.jpg

En conclusión:

    La vulnerabilidad se basa en el intervalo de tiempo necesario a un humano para prensar un botón.
Es a la vez muy simple y implacable: Una maquina que manda peticiones en bucle será siempre más rápida que un humano. 
  Podemos ya plantear un escenario de ataque en modo "troll du wifi".
Un ataque feo y pasivo con un bucle al estilo más que dudoso big_smile 
  El troll deja coger las 24 horas del día una AWUSO36H a máxima potencia
  Para generar mucho ruido y llegar lo más lejos posible
Rolló:  "¡Estoy aquí! ¡Da me conexión!"
  Ejecuta el bucle feo esperando que alguien en un piso prensa un día el botón WPS de su router para conectarse.
     Es una suerte que a nadie se le ocurra este tipo de troladas. wink big_smile
  Y es problemático que la wifi alliance no haya pensado en este tipo de troladas

   Veremos estos días como llevar paso a paso un ataque "activo"  más elaborado, con dos interfaces wifi, utilizando hostapd, airebase-ng y mdk3.
Si se hace correctamente el exitó está garantizado para recuperar la llave WPA ( si la victima comete el irreparable: Prensar el botón WPS de su router.) y además tenemos a nuestra victima conectada a nuestro PA falso (Man in the middle

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 27-10-2016 17:00:33

cardi1977
Usuario

Desde: sevilla
Registrado: 17-10-2015
Mensajes: 77

Re: Vulnerabilidad WPS PBC (Push button)

un articulo muy bueno y muy interesante, gracias kcdtv por estos articulos.

ahora como tu dices ha probar con mdk3 ,airplay, etc... a dar un poco de jaleo para que la victima se levanta ha presionar el (preciado boton) jajajajajajaj,
un saludo.

Desconectado

#3 27-10-2016 18:52:35

Patcher
Very Important Usuario

Registrado: 14-01-2016
Mensajes: 430

Re: Vulnerabilidad WPS PBC (Push button)

Esta es una posibilidad que yo ya había contemplado hace tiempo, el problema es llevarla acabo de forma práctica. Puede hacerse de forma indiscriminada esperando por una de esas tramas de algún router, pero dirigirla a uno determinado para forzar a que el usuario pulse el botón es a lo poco muy optimista.

Desconectado

#4 29-10-2016 00:29:34

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,617

Re: Vulnerabilidad WPS PBC (Push button)

¡Buenas! big_smile

Esta es una posibilidad que yo ya había contemplado hace tiempo,

  Lo que parece increíble es que los de la wifi alliance no lo hayan tomado en cuenta
Lo dicen, lo saben, pero han pasado del tema...
Es evidente que este intervalo abierto a todos, sin llave ni nada para atestar de la autenticidad del cliente, conlleve riesgos.

Puede hacerse de forma indiscriminada esperando por una de esas tramas de algún router, pero dirigirla a uno determinado para forzar a que el usuario pulse el botón es a lo poco muy optimista.

   
  Es optimista pero no mucho más que esperar pillar una llave en un portál cautivo.
  Si el reflejo "Push button" vendría a populariza en el usuario medio este enfoque podría dar lugar a ataques bastante efectivos.
  Sobre todo que con el gestor de redes de windows se propone el modo PBC sin que haga falta tener un butón. 
   Este fin de semana (o sea mañana o pasado)  presentaré un ataque completo, veréis que con un par de trucos se le puede dar un forma muy interesante engañando el gestor de redes windows para que proponga el PBC (aúnque se supone que lo porpone solo la primera vez que nos conectamos)
  ¡Saludos!

Desconectado

#5 29-10-2016 08:43:59

Patcher
Very Important Usuario

Registrado: 14-01-2016
Mensajes: 430

Re: Vulnerabilidad WPS PBC (Push button)

kcdtv escribió:

Si el reflejo "Push button" vendría a populariza en el usuario medio este enfoque podría dar lugar a ataques bastante efectivos.

En esto tienes toda la razón, el ser humano es un animal de costumbres.

kcdtv escribió:

Este fin de semana (o sea mañana o pasado)  presentaré un ataque completo, veréis que con un par de trucos se le puede dar un forma muy interesante engañando el gestor de redes windows para que proponga el PBC (aúnque se supone que lo porpone solo la primera vez que nos conectamos)
  ¡Saludos!

Estoy ansioso por ver tu magia big_smile

Desconectado

#6 01-11-2016 23:02:45

cardi1977
Usuario

Desde: sevilla
Registrado: 17-10-2015
Mensajes: 77

Re: Vulnerabilidad WPS PBC (Push button)

kcdtv escribió:

   Este fin de semana (o sea mañana o pasado)  presentaré un ataque completo, veréis que con un par de trucos se le puede dar un forma muy interesante engañando el gestor de redes windows para que proponga el PBC (aúnque se supone que lo porpone solo la primera vez que nos conectamos)
  ¡Saludos!

A la espera de ese ataqueee!! jjajajajaj

Desconectado

#7 02-11-2016 18:18:35

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,617

Re: Vulnerabilidad WPS PBC (Push button)

Lo siento: han surgido unos imprevistos y no he tenido el tiempo de hacer el tema.
Pero no me olvido de [email protected]
No es que sea muy complicado pero necesito algo de tiempo para poner de pie el escenario de pruebas y hacer el tema que va a ser un poco largo...  very soon, very soon wink

Desconectado

#8 27-12-2017 23:27:38

troh
Usuario

Registrado: 12-11-2017
Mensajes: 19

Re: Vulnerabilidad WPS PBC (Push button)

Sorry por bumpear ésto, pero lo vi en otro foro y ya lo estoy probando.
No tengo idea si aún funciona, pero no pierdo nada con intentarlo.

Desconectado

#9 28-12-2017 02:09:14

ketamuny
Usuario

Registrado: 29-03-2015
Mensajes: 18

Re: Vulnerabilidad WPS PBC (Push button)

Esto ya lo comente hace años a Maripuri por privado y no recibí  apoyo  para seguir con este proyecto y nadie me creyó en su día, y eso que mande vídeos de un pequeño escenario que me monte yo mismo con un router de ono.

lo hice de 2 maneras con el móvil a 120 seg  y con los drivers ralink. intente editar los drivers ralink con reshack para poder subir el tiempo ya sea horas días o semanas pero no lo conseguí.

Estaba convencido que funcionaria pero al no recibir ningún apoyo deje estancado el proyecto, hace poco quería hablar con kcdt por privado sobre este proyecto por si tenia mas suerte pero entre unas cosas y otras nunca me decidí.

En mi cuenta de mega conservo los vídeos de mis pruebas si te interesan kcdt te las envió un saludo y felices fiestas a todos.

Desconectado

#10 28-12-2017 10:58:01

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 508

Re: Vulnerabilidad WPS PBC (Push button)

Buenas

y no recibí  apoyo  para seguir con este proyecto y nadie me creyó en su día

La verdad es que no me surprende eso, todo lo que sale un poco differente esta puesto al lado.En Francia han salido un articulo de periodico sobre eso en Korben.fr con las probadas que habia hecho y no ha sido muy comprendido...


o hice de 2 maneras con el móvil a 120 seg  y con los drivers ralink. intente editar los drivers ralink con reshack para poder subir el tiempo ya sea horas días o semanas pero no lo conseguí.

El problemo es que si puedes modificar el tiempo en segundas de eso de tu lado no sera possible de modificar este tiempo en el AP de la victima porque no se tiene al accesso.O quisas he mal entendido algo ?

Estaba convencido que funcionaria pero al no recibir ningún apoyo deje estancado el proyecto, hace poco quería hablar con kcdt por privado sobre este proyecto por si tenia mas suerte pero entre unas cosas y otras nunca me decidí.

El script hostbase que hecho es un buen ejemplo de como anda esa methoda.

Ultima edición por Koala (28-12-2017 10:59:01)

Desconectado

#11 28-12-2017 14:59:33

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,617

Re: Vulnerabilidad WPS PBC (Push button)

troh escribió:

No tengo idea si aún funciona, pero no pierdo nada con intentarlo.

No creo que has bien entendido del todo de que va porque siempre funcionara: No hay forma para el punto de acceso de verificar la autenticidad de un cliente que no se ha conectado aun. Es el concepto mismo del PBC: empujas el botón del PA para que un cliente nuevo se conecta y obtenga los credenciales WPA.
Si en el intervalo de 120 segundos "llega primero" otro cliente que el cliente "legitimo" pues... se conecta el cliente ilegitimo al PA.

ketamuny escribió:

En mi cuenta de mega conservo los vídeos de mis pruebas si te interesan kcdt te las envió un saludo y felices fiestas a todos.

He recibido los vídeos, gracias. Tampoco era necesario que me demuestres nada: Como puedes ver a koala también se le ha ocurrido la misma idea (brillante). 

ketamuny escribió:

intente editar los drivers ralink con reshack para poder subir el tiempo ya sea horas días o semanas pero no lo conseguí.

Es siempre muy complicado tener que hackear unos drivers o una aplicación para lograr un comportamiento "no convencional". Quizá sea mas fácil inspirarse de lo que ha hecho koala bajo linux: mandar la petición de 120 segundos en bucle.

En Francia han salido un articulo de periodico sobre eso en Korben.fr con las probadas que habia hecho y no ha sido muy comprendido...

Algunos comentarios en el sitio de korben eran grotescos... Gente que no tienen ni puta idea sobre WPS y que afirmaban cosas sin haber leído una sola linea de la especificación. Había preparada un buen post para intervenir ahí y poner los puntos sobre los "i" pero desgraciadamente korben ha cerrado los comentarios muy rápido. Esto es el problema con estas web muy famosas "cultura geeck": mucha gente viene para lucirse y darse en espectáculo.   
Esto dicho fue divertido verte hacer "el show" en la escena francesa.

Desconectado

#12 28-12-2017 15:45:02

ketamuny
Usuario

Registrado: 29-03-2015
Mensajes: 18

Re: Vulnerabilidad WPS PBC (Push button)

Koala El problemo es que si puedes modificar el tiempo en segundas de eso de tu lado no sera posible de modificar este tiempo en el AP de la victima porque no se tiene al accesso.O quisas he mal entendido algo ?

Desde mi punto de vista no tienes que modificar nada del AP, nuestro equipo cliente lo ponemos a la escucha esperando que alguien pulse el botón pbc y si tenemos un adaptador potente y la señal del AP es fuerte no tendremos problemas en interceptar las credenciales del AP victima, ya que no pide ningún requisito solo que seas el primero en llegar nada mas.

El AP te dejara conectarte si o si, el no sabe quien eres y ni el tiempo que llevas esperando conectarte, ya que eso al AP  no le importa, el te da paso y listo.tu tienes todas las papeletas para conectarte primero porque antes de que la victima pulse el push button tu ya estas esperando recibir las credenciales.

Desconectado

#13 28-12-2017 21:00:48

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 508

Re: Vulnerabilidad WPS PBC (Push button)

Algunos comentarios en el sitio de korben eran grotescos... Gente que no tienen ni puta idea sobre WPS y que afirmaban cosas sin haber leído una sola linea de la especificación. Había preparada un buen post para intervenir ahí y poner los puntos sobre los "i" pero desgraciadamente korben ha cerrado los comentarios muy rápido. Esto es el problema con estas web muy famosas "cultura geeck": mucha gente viene para lucirse y darse en espectáculo


No he hecho repuesta para esta misma razon.Es como hablar con la pared.Y cuando veo todos los blog, web de informatica etc.. en Francia parece mas "pute a clic" que otra cosa.


Desde mi punto de vista no tienes que modificar nada del AP, nuestro equipo cliente lo ponemos a la escucha esperando que alguien pulse el botón pbc y si tenemos un adaptador potente y la señal del AP es fuerte no tendremos problemas en interceptar las credenciales del AP victima, ya que no pide ningún requisito solo que seas el primero en llegar nada mas.

El AP te dejara conectarte si o si, el no sabe quien eres y ni el tiempo que llevas esperando conectarte, ya que eso al AP  no le importa, el te da paso y listo.tu tienes todas las papeletas para conectarte primero porque antes de que la victima pulse el push button tu ya estas esperando recibir las credenciale

Jejeje ya sé como anda eso big_smile ya veo tenemos el mismo punto de vista porque es exactamente lo que explica este hilo y asi que habia hecho mi primeras probadas en 2014 antes de crear hostbase 2 anos mas tarde smile

Desconectado

#14 29-12-2017 14:21:17

Patcher
Very Important Usuario

Registrado: 14-01-2016
Mensajes: 430

Re: Vulnerabilidad WPS PBC (Push button)

Realmente no es necesario estar lanzando peticiones de asociación de forma repetitiva contra el AP para aprovechar la brecha. Es, a mi modo de ver, más sencillo que todo eso y como decía unos post más arriba, esta era una idea que me rondaba desde hacia tiempo.

Todo esto lo he podido comprobar por mi mismo y he de decir que funciona; De hecho, trabajo en una beta de waircut que lo implementa, tanto de forma dirigida hacia un AP concreto, como de forma indiscriminada esperando que cualquier AP al alcance active el modo PushButton. En ambos casos ha funcionado con éxito.

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Proyecto Misisipi 3.0 por josep345  [ 1 2 3 9 ]
217 2751 Hoy 00:32:24 por brunete
Pegado:
Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r  [ 1 2 3 9 ]
219 9267 Hoy 00:31:18 por v1s1t0r
Pegado:
Pegado:: Hostbase 1.0 released por Koala  [ 1 2 3 9 ]
202 8070 Ayer 20:28:59 por Sanko15
12 337 Ayer 15:56:25 por crash
24 185 Ayer 10:05:06 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: gines
Usuarios registrados conectados: 0
Invitados conectados: 11

Estadisticas de los foros

Número total de usuarios registrados: 850
Número total de temas: 967
Número total de mensajes: 8,929

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21