Foro Wifi-libre.com

Vulnerabilidad WPS PBC (Push button) by Koala

Las siglas WPS significan WiFi Protected Setup pero sería más exacto decir Worst Protected Setup.
   La broma no es mía: Es del amigo Koala.
Lo digo por si te parece mala.
Más en serio:
   Hablo de Koala porque es quien ha dado en el clavo y ha publicado sobre este "falló de concepto" del modo Push button.
  Hace algo de tiempo ya...  Primero en Korben y crack-wifi.com.
   Pero los dos sitios están en francés y no he visto nada al respecto en Español.
     Vamos a ver entonces hoy en este tema esta vulnerabilidad WPS PBC.
     Ya veréis: Es muy simple y no se requiere ninguno conocimiento técnico avanzado para entenderla. 

Worst Protected Setup

  Otra vez. Uno no se cansa de las bromas de koala.
El WPS fue introducido en 2007  y promovido por la Wi-Fi Alliance para simplificar la conexión a un punto de acceso protegido con una llave WPA robusta. (lo qué se debe hacer)
  El infierno está empedrado de buenas intenciones:  Haciendo esto han activado una bomba de tiempo.
  Bomba que les ha explotado en plena carra en 2011 con la brecha de seguridad "Brute force  WPS PIN"
  Con una segunda detonación en 2014 con la brecha pixe dust
   
  Les ha costado mucho a los fabricantes admitir que han puesto  en servicio desde 2008 routers con una brecha critica.
Muchos aparatos no han tenido apaño, no son pocoos los fabricantes que han tartado años en parrar la producción con WPS en modo PIN habilitado.
  Aún hoy en día salen modelos con el modo PIN y acaban en el paisaje wifi, 5 años después la salida del famoso reaver.
  No obstante es hecho establecido que el modo WPS PIN es inseguro
Por ejemplo a nivel Europeo en las recomendaciones de la ENISA (ver La U.E. debería enterarse de las brechas WPS)
 
  Si el modo PIN se considera seguro, el modo PBC se sigue publicitando como "seguro".
Es más: si consultas el manual de un punto de acceso de hoy en día a menudo se aconseja en primero usar el metódo WPS PBC para conectarse, antes del método tradicional que consiste en entrar su llave a mano.

 
Manual de usuario Router Fibra Óptica Mitrastar HGW-2501GN-R2
  El propio gestor de redes windows 7, 8 y 10 propone el WPS a la primera conexión.
Ni hace falta tener un adaptador USB con un botón: el gestor de redes se encarga de de hacer de botón, no tenmeos que prensar nada, las peticiones se mandan directamente de forma automatizada.

Vulnerabilidad del método WPS PBC

  El WPS PBC es un proceso muy sencillo visto que la meta es simplificar algo "tan complejo" como entrar una llave WPA en un gestor de redes. (se requiere cinco años de estudios en el MIT para esto )
Por un lado el usuario pulsa el botón del Registrar (matriculador; el Punto de acceso) para que admite durante un intervalo de tiempo (por defecto 120 segundos) un Enrolle (cliente)
Por otro lado pulsa el botón PBC de su Enrolee,
Si lo hace en las 120 segundas impartidas el router acepta el cliente:  le manda la llave y lo deja conectarse.
  El cliente sabe el BSSID de la red a la cual se quiere conectar.
  Pero el router no tiene idea de la mac del cliente que se quiere conectar.
  Con lo cuál el router admite cualquier cliente que se conecte, sino el protocolo no funcionaría.
  La Wifi alliance es consciente de esto:

  Pero no se lo han pensado lo bastante.

  Imaginamos ahora que tenemos en el rayo de nuestra red wifi un intruso que quiere conectarse
Si empujamos el botón WPS de nuestro AP, aceptará la primera petición de conexión PBC que le llegará.
Se cierra inmediatamente el intervalo PBC "abierto" y no aceptará el siguiente 
   Lo importante es llegar primero, si la petición de conexión del intruso se recibe antes que la del cliente legitimo, el intruso se conecta a nuestra a red y obtiene la llave WPA.

Prueba de Concepto con el "bucle del troll"

Escenario:
     La victima  tiene un adaptador USB con PBC
     El router de la victima tiene WPS (si el routeur tiene WPS por norma tiene un butón PBC)
     El hacker tiene un portátil que corre una distribución GNU-Linux cualquiera (no hace falta aircrack-ng ni nada por el estilo) y que tiene una interfaz wifi (el modo managed basta)
 
    El ataque:
   El concepto es simple: Aprovechar el intervalo PBC para conectarse antes del cliente legitimo.     
   Para lograrlo solo necesitamos mandar en bucle una petición de conexión WPS hacía cualquier PA que sea... El WPS es maravilloso y permite hacer muchas cosas con una cli potente.
   En una linea:

while : ; do sudo wpa_cli wps_pbc any ; sleep 120 ; done &

  La sintaxis es digna de un troll y pone probablemente los pelos de punta a los bashistas puros y duros... Esto dicho  hace exactamente lo que se necesita: Mandar en bucle peticiones de conexión PBC hacía todos los PA que se pueden alcanzar.

• wpa_cli es una cli interactiva para wpa_supplicant

• wps_pbc se emplea para mandar peticiones de conexión PBC

• any, normalmente aquí se supone que se pone un bSSID pero se puede poner "any" para conectarse a cualquier PA que sea.

  Cuando una victima prensa el botón WPS de su router estamos conectado.
  Koala ha dejado su portatíl con el bucle troll y ha simulado con otro ordenador lo que haría una victima para conectarse con PBC.
Se levanta para llegar al router y activar el WPS PBC
Luego  vuelve a su silla para prensar en el botón del dongle que hace de victma.
Cuando se sienta otra vez es tarde:  el ordenador "atacante" ya esta conectado y prensar el botón desde la victima no sirve de nada.

  Activa el dhcp desde la maquina atacante

dhclient wlan0

  Y puede comprobar que el ordenador atacante esta conectado del todo

En conclusión:

    La vulnerabilidad se basa en el intervalo de tiempo necesario a un humano para prensar un botón.
Es a la vez muy simple y implacable: Una maquina que manda peticiones en bucle será siempre más rápida que un humano. 
  Podemos ya plantear un escenario de ataque en modo "troll du wifi".
Un ataque feo y pasivo con un bucle al estilo más que dudoso  
  El troll deja coger las 24 horas del día una AWUSO36H a máxima potencia
  Para generar mucho ruido y llegar lo más lejos posible
Rolló:  "¡Estoy aquí! ¡Da me conexión!"
  Ejecuta el bucle feo esperando que alguien en un piso prensa un día el botón WPS de su router para conectarse.
     Es una suerte que a nadie se le ocurra este tipo de troladas.
  Y es problemático que la wifi alliance no haya pensado en este tipo de troladas

   Veremos estos días como llevar paso a paso un ataque "activo"  más elaborado, con dos interfaces wifi, utilizando hostapd, airebase-ng y mdk3.
Si se hace correctamente el exitó está garantizado para recuperar la llave WPA ( si la victima comete el irreparable: Prensar el botón WPS de su router.) y además tenemos a nuestra victima conectada a nuestro PA falso (Man in the middle) 

• Le wps et wpa_supplicant de Koala @ Crack-wifi

• Intrusion dans un réseau WiFi grâce au WPS @ Korben