Vulnerabilidad WPS PBC (Push button) (Pagina 1) / Preguntas generales y busqueda de nuevas brechas / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 27-10-2016 00:48:49

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Vulnerabilidad WPS PBC (Push button)

Vulnerabilidad WPS PBC (Push button) by Koala

3orifaXQhb1Ajto0fK.gif

Las siglas WPS significan WiFi Protected Setup pero sería más exacto decir Worst Protected Setup. big_smile
   La broma no es mía: Es del amigo Koala.
Lo digo por si te parece mala. tongue
Más en serio:
   Hablo de Koala porque es quien ha dado en el clavo y ha publicado sobre este "falló de concepto" del modo Push button.
  Hace algo de tiempo ya...  Primero en Korben y crack-wifi.com.
   Pero los dos sitios están en francés y no he visto nada al respecto en Español.
     Vamos a ver entonces hoy en este tema esta vulnerabilidad WPS PBC.
     Ya veréis: Es muy simple y no se requiere ninguno conocimiento técnico avanzado para entenderla. 

Worst Protected Setup

  Otra vez. big_smile Uno no se cansa de las bromas de koala. wink
El WPS fue introducido en 2007  y promovido por la Wi-Fi Alliance para simplificar la conexión a un punto de acceso protegido con una llave WPA robusta. (lo qué se debe hacer)
  El infierno está empedrado de buenas intenciones:  Haciendo esto han activado una bomba de tiempo.
  Bomba que les ha explotado en plena carra en 2011 con la brecha de seguridad "Brute force  WPS PIN"
  Con una segunda detonación en 2014 con la brecha pixe dust
   
  Les ha costado mucho a los fabricantes admitir que han puesto  en servicio desde 2008 routers con una brecha critica.
Muchos aparatos no han tenido apaño, no son pocoos los fabricantes que han tartado años en parrar la producción con WPS en modo PIN habilitado.
  Aún hoy en día salen modelos con el modo PIN y acaban en el paisaje wifi, 5 años después la salida del famoso reaver.
  No obstante es hecho establecido que el modo WPS PIN es inseguro
Por ejemplo a nivel Europeo en las recomendaciones de la ENISA (ver La U.E. debería enterarse de las brechas WPS)
 
  Si el modo PIN se considera seguro, el modo PBC se sigue publicitando como "seguro".
Es más: si consultas el manual de un punto de acceso de hoy en día a menudo se aconseja en primero usar el metódo WPS PBC para conectarse, antes del método tradicional que consiste en entrar su llave a mano.

WPS_PBC_vulnerability_1.jpg

 
Manual de usuario Router Fibra Óptica Mitrastar HGW-2501GN-R2
  El propio gestor de redes windows 7, 8 y 10 propone el WPS a la primera conexión.
Ni hace falta tener un adaptador USB con un botón: el gestor de redes se encarga de de hacer de botón, no tenmeos que prensar nada, las peticiones se mandan directamente de forma automatizada.

Vulnerabilidad del método WPS PBC

  El WPS PBC es un proceso muy sencillo visto que la meta es simplificar algo "tan complejo" como entrar una llave WPA en un gestor de redes. (se requiere cinco años de estudios en el MIT para esto roll )
Por un lado el usuario pulsa el botón del Registrar (matriculador; el Punto de acceso) para que admite durante un intervalo de tiempo (por defecto 120 segundos) un Enrolle (cliente)
Por otro lado pulsa el botón PBC de su Enrolee,
Si lo hace en las 120 segundas impartidas el router acepta el cliente:  le manda la llave y lo deja conectarse.
  El cliente sabe el BSSID de la red a la cual se quiere conectar.
  Pero el router no tiene idea de la mac del cliente que se quiere conectar.
  Con lo cuál el router admite cualquier cliente que se conecte, sino el protocolo no funcionaría.
  La Wifi alliance es consciente de esto:

WPS_PBC_vulnerability_2.jpg

  Pero no se lo han pensado lo bastante.

  Imaginamos ahora que tenemos en el rayo de nuestra red wifi un intruso que quiere conectarse
Si empujamos el botón WPS de nuestro AP, aceptará la primera petición de conexión PBC que le llegará.
Se cierra inmediatamente el intervalo PBC "abierto" y no aceptará el siguiente 
   Lo importante es llegar primero, si la petición de conexión del intruso se recibe antes que la del cliente legitimo, el intruso se conecta a nuestra a red y obtiene la llave WPA.

Prueba de Concepto con el "bucle del troll"

Escenario:
     La victima  tiene un adaptador USB con PBC
     El router de la victima tiene WPS (si el routeur tiene WPS por norma tiene un butón PBC)
     El hacker tiene un portátil que corre una distribución GNU-Linux cualquiera (no hace falta aircrack-ng ni nada por el estilo) y que tiene una interfaz wifi (el modo managed basta)
 
    El ataque:
   El concepto es simple: Aprovechar el intervalo PBC para conectarse antes del cliente legitimo.     
   Para lograrlo solo necesitamos mandar en bucle una petición de conexión WPS hacía cualquier PA que sea... El WPS es maravilloso y permite hacer muchas cosas con una cli potente.
   En una linea:

while : ; do sudo wpa_cli wps_pbc any ; sleep 120 ; done &

  La sintaxis es digna de un troll y pone probablemente los pelos de punta a los bashistas puros y duros... Esto dicho  hace exactamente lo que se necesita: Mandar en bucle peticiones de conexión PBC hacía todos los PA que se pueden alcanzar.

WPS_PBC_vulnerability_3.jpg

  • wpa_cli es una cli interactiva para wpa_supplicant

  • wps_pbc se emplea para mandar peticiones de conexión PBC

  • any, normalmente aquí se supone que se pone un bSSID pero se puede poner "any" para conectarse a cualquier PA que sea.

  Cuando una victima prensa el botón WPS de su router estamos conectado.
  Koala ha dejado su portatíl con el bucle troll y ha simulado con otro ordenador lo que haría una victima para conectarse con PBC.
Se levanta para llegar al router y activar el WPS PBC
Luego  vuelve a su silla para prensar en el botón del dongle que hace de victma.
Cuando se sienta otra vez es tarde:  el ordenador "atacante" ya esta conectado y prensar el botón desde la victima no sirve de nada.

WPS_PBC_vulnerability_4.jpg

  Activa el dhcp desde la maquina atacante

dhclient wlan0

  Y puede comprobar que el ordenador atacante esta conectado del todo

WPS_PBC_vulnerability_5.jpg

En conclusión:

    La vulnerabilidad se basa en el intervalo de tiempo necesario a un humano para prensar un botón.
Es a la vez muy simple y implacable: Una maquina que manda peticiones en bucle será siempre más rápida que un humano. 
  Podemos ya plantear un escenario de ataque en modo "troll du wifi".
Un ataque feo y pasivo con un bucle al estilo más que dudoso big_smile 
  El troll deja coger las 24 horas del día una AWUSO36H a máxima potencia
  Para generar mucho ruido y llegar lo más lejos posible
Rolló:  "¡Estoy aquí! ¡Da me conexión!"
  Ejecuta el bucle feo esperando que alguien en un piso prensa un día el botón WPS de su router para conectarse.
     Es una suerte que a nadie se le ocurra este tipo de troladas. wink big_smile
  Y es problemático que la wifi alliance no haya pensado en este tipo de troladas

   Veremos estos días como llevar paso a paso un ataque "activo"  más elaborado, con dos interfaces wifi, utilizando hostapd, airebase-ng y mdk3.
Si se hace correctamente el exitó está garantizado para recuperar la llave WPA ( si la victima comete el irreparable: Prensar el botón WPS de su router.) y además tenemos a nuestra victima conectada a nuestro PA falso (Man in the middle

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 27-10-2016 17:00:33

cardi1977
Usuario

Desde: sevilla
Registrado: 17-10-2015
Mensajes: 71

Re: Vulnerabilidad WPS PBC (Push button)

un articulo muy bueno y muy interesante, gracias kcdtv por estos articulos.

ahora como tu dices ha probar con mdk3 ,airplay, etc... a dar un poco de jaleo para que la victima se levanta ha presionar el (preciado boton) jajajajajajaj,
un saludo.

Desconectado

#3 27-10-2016 18:52:35

Patcher
Very Important Usuario

Registrado: 14-01-2016
Mensajes: 325

Re: Vulnerabilidad WPS PBC (Push button)

Esta es una posibilidad que yo ya había contemplado hace tiempo, el problema es llevarla acabo de forma práctica. Puede hacerse de forma indiscriminada esperando por una de esas tramas de algún router, pero dirigirla a uno determinado para forzar a que el usuario pulse el botón es a lo poco muy optimista.

Desconectado

#4 29-10-2016 00:29:34

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Vulnerabilidad WPS PBC (Push button)

¡Buenas! big_smile

Esta es una posibilidad que yo ya había contemplado hace tiempo,

  Lo que parece increíble es que los de la wifi alliance no lo hayan tomado en cuenta
Lo dicen, lo saben, pero han pasado del tema...
Es evidente que este intervalo abierto a todos, sin llave ni nada para atestar de la autenticidad del cliente, conlleve riesgos.

Puede hacerse de forma indiscriminada esperando por una de esas tramas de algún router, pero dirigirla a uno determinado para forzar a que el usuario pulse el botón es a lo poco muy optimista.

   
  Es optimista pero no mucho más que esperar pillar una llave en un portál cautivo.
  Si el reflejo "Push button" vendría a populariza en el usuario medio este enfoque podría dar lugar a ataques bastante efectivos.
  Sobre todo que con el gestor de redes de windows se propone el modo PBC sin que haga falta tener un butón. 
   Este fin de semana (o sea mañana o pasado)  presentaré un ataque completo, veréis que con un par de trucos se le puede dar un forma muy interesante engañando el gestor de redes windows para que proponga el PBC (aúnque se supone que lo porpone solo la primera vez que nos conectamos)
  ¡Saludos!

Desconectado

#5 29-10-2016 08:43:59

Patcher
Very Important Usuario

Registrado: 14-01-2016
Mensajes: 325

Re: Vulnerabilidad WPS PBC (Push button)

kcdtv escribió:

Si el reflejo "Push button" vendría a populariza en el usuario medio este enfoque podría dar lugar a ataques bastante efectivos.

En esto tienes toda la razón, el ser humano es un animal de costumbres.

kcdtv escribió:

Este fin de semana (o sea mañana o pasado)  presentaré un ataque completo, veréis que con un par de trucos se le puede dar un forma muy interesante engañando el gestor de redes windows para que proponga el PBC (aúnque se supone que lo porpone solo la primera vez que nos conectamos)
  ¡Saludos!

Estoy ansioso por ver tu magia big_smile

Desconectado

#6 01-11-2016 23:02:45

cardi1977
Usuario

Desde: sevilla
Registrado: 17-10-2015
Mensajes: 71

Re: Vulnerabilidad WPS PBC (Push button)

kcdtv escribió:

   Este fin de semana (o sea mañana o pasado)  presentaré un ataque completo, veréis que con un par de trucos se le puede dar un forma muy interesante engañando el gestor de redes windows para que proponga el PBC (aúnque se supone que lo porpone solo la primera vez que nos conectamos)
  ¡Saludos!

A la espera de ese ataqueee!! jjajajajaj

Desconectado

#7 02-11-2016 18:18:35

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Vulnerabilidad WPS PBC (Push button)

Lo siento: han surgido unos imprevistos y no he tenido el tiempo de hacer el tema.
Pero no me olvido de [email protected]
No es que sea muy complicado pero necesito algo de tiempo para poner de pie el escenario de pruebas y hacer el tema que va a ser un poco largo...  very soon, very soon wink

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Pie de página

Información del usuario

Ultimo usuario registrado: AndresFree
Usuarios registrados conectados: 1
Invitados conectados: 14

Conectados: claudioruiz

Estadisticas de los foros

Número total de usuarios registrados: 670
Número total de temas: 863
Número total de mensajes: 7,187

Máx. usuarios conectados: 61 el 28-03-2017 00:04:22