Foro Wifi-libre.com

AlgoritmoComputePIN-C83A35 de ZhaoChunsheng :
          La brecha en la brecha....
                      .... De hexadecimal a decimal y desde China hasta América

  1 >   Un algoritmo descubierto sobre router Tenda en China...

  Plantamos el decoro.
En fin de año 2011 cae la noticia más gorda jamás oída desde la muerte del WEP y el descubrimiento de la Coca-Cola.
  Stefan Viehböck desvela al publico que el WPA, protocolo supuestamente 100% seguro, se puede derivar en unas pocas horas mediante brute force WPS.
  Parece que los fabricantes están descubriendo que están implementando el WPS activado de serie, y esto desde años...   
  En inicio 2012 las palabra "reaver" y PIN WPS están en todas las bocas y se constata de por el mundo que los principales fabricantes producen modelos vulnerables sin discontinuar   
  Los primeros datos caen y vienen los primeros estudios.

  El 7 de abril sale ComputePIN-C83A35. Un trabajo del maestro ZaoChunsheng
  Es conocido por ser el creador de Beini, una distribución GNU-Linux para crack wireless de apenas 60 MB bazada en Tiny core. El proyecto esta desgraciadamente abandonado pero sigue vivo de cierto modo gracias a la distribución Xiaopan.

ZaoChunsheng  es también el creador de Feeding Bottles ( GUI para aircrack-ng)  y Inflator ( GUI para reaver 1.3 ) que integraba en su Live
  Ha súbitamente desparecido de la escena del hacking wireless poco después entregar computePIN que permite calcular el PIN por defecto de los routers Tenda W309R
  Aquí podéis ver el código original

#include ＜stdio.h＞
#include ＜stdlib.h＞</code>
 
int main()
{
 
unsigned int wps_pin_checksum(unsigned int pin);
int PIN = 0;
 
printf("ComputePIN-C83A35\n");
printf("Description:\n");
printf("If your wireless router MAC address start with \"C83A35\",\n");
printf("type the other six digits, you might be able to get the \n");
printf("WPS-PIN of this equipment, please have a try, good luck!\n\n");
printf("Code by ZhaoChunsheng 04/07/2012 http://iBeini.com\n\n");
printf("Input MAC Address(HEX):c83a35");
scanf("%x",&PIN);
printf("MAC Address(HEX) is: C83A35%X\n",PIN);
printf("WPS PIN is: %07d%d\n",PIN%10000000,wps_pin_checksum(PIN%10000000));
 
return 0;
}
 
unsigned int wps_pin_checksum(unsigned int pin)
{
unsigned int accum = 0;
while (pin)
{
accum += 3 * (pin % 10);
pin /= 10;
accum += pin % 10;
pin /= 10;
}
 
return (10 - accum % 10) % 10;
}

  Para calcular el PIN por defecto nos basta conocer la dirección MAC wireless (bSSID) del objetivo

1. Tomamos los3 últimos octetos del bSSIDi (los 6 últimos dígitos)

2. Los pasamos de base 16 a base 10

3. Añadimos el checksum WPS* y tenemos nuestro PIN por defecto ( corresponde a la funcción wps_pin_checksum )

  * los detalles del calculo del checksum WPS se expondrán en un tema a parte
 
  El script conocí un par de actualizaciones y no hubo mas desarrollos.

  2 >   Empleado en España y más allá

 
  En otoño 2012 estudiaba por mi cuenta los pass WPA de los routers HG532c de Huawei con eSSID FTE-XXXX.
  Analizaba la relación entre serial y bSSID y encontré, un poco por suerte, sin buscarlo, la formula de generación del PIN WPS
  La formula es una variante del algoritmo descubierto por zaoChunsheng (explicaré la formula para HG532c en otro tema). Pero en este momento no me había fijado en el algoritmo de computePIN.
Así que pensé haber encontrado algo nuevo cuando nos dimos cuenta (gracias a Compota de lampiweb) que la formula para los HUAWEI de FTE, simplificada, valía también para los router HUAWEI de su concurrente Vodafone.
  Al final; no era un descubrimiento nuevo. Sino que había dado con algo muy curioso y inesperado : El algoritmo (débil) usado por Tenda en routers distribuidos en China era el mismo que el empleado por su concurrente HUAWEI en modelos distribuidos en Europa...
  Y era una versión simplificada del algoritmo empleado para otro modelo Huawei usado por otro ISP (FTE) que acabada de encontrar.
 
  Y esto no es todo : La cosa se complica...
  Un papel sobre la debilidad del pass WPA por defecto de los routers belkin sale a finales de noviembre. (CVE-2012-4366: Insecure default WPA2 passphrase in multiple Belkin wireless routers). Circulan varias pegatinas de routers para ilustrar este falló dónde podemos ver los datos por defecto de los routers... incluso el PIN WPS.
  Me doy cuenta de inmediato que hay algo ....

Hacemos el calculo juntos :
 

1. Pasamos el final del bSSID a decimal para formar una cadena de 7 números
   51:99:0C que convertimos a decimal >>  Nos da 5347596   
   Si el resultado después de conversión es de 8 cifras (fin bSSID entre 98:96:7F y FF:FF:FF) : simplemente quitamos el primer dígito (las decenas de millones)
   Si el resultado después de convertir a decimal es de 6 cifras o menos : hacemos un "zero-padding" (rellenamos de cero hasta tener una cadena de 7 cifras.)
   Asi siempre tenemos una cadena de 7 cifras para poder calcular el checksum

2. Calculamos el checksum WPS que añadimos a nuestra cadena para formar el PIN WPS por defecto
   Expondré los detalles en otro tema para no entorpecer demasiado este.
   En nuestro caso es1 y tenemos nuestro PIN por defecto es 53475961

  Conclusión algo surrealista : El primer constructor norte americano de Puntos de acceso, Belkin, usa exactamente la misma formula que el primer constructor de Puntos de Acceso chino : Huawei para generar el PIN por defecto de sus aparatos
  El mundo es un pañuelo
   
  Asi que nos ponemos las pilas en el grupo de trabajo de lampiweb para estudiar este tema ( con la gran ayuda de antares_145 de crack-wifi ) y preparar el lanzamiento de WPSPIN.
  Es decir tres aplicaciones gratis y de acceso libre que usan este fallo :

                   - WPSPIN - PIN GUI de maripuri (windows, compatible wine para usar en linux)
                   - wpspin <<>> JumpStart de Betis Jesus (solo windows)
                   - WPSPIN en versión bash para linux (by me)

  Como era de esperar, nos llevamos unas sorpresas mas ya que maripuri observa la brecha en un router Teldat distribuido en masa por el ISP Telefonica.
  Dirneet nos manda desde Inglaterra otro modelo afectado, del fabricante zyxel.
  Estamos en presencia de un fallo a escala mundial que afecta varios fabricantes!
  El 3 de diciembre 2012 cuelgo un pequeño vídeo de "prueba de concepto" para ilustrar este brecha alucinante. Recupero en algunos segundos la llave WPA de un Huawei HG566a de Vodafone y la llave WPA de un F5D8235-4 v 1000 de Belkin con una versión de prueba de WPSPIN. El scan se hace con walsh (el ancestro de wash), el script genera el PIN y ejecuta reaver 1.3 con el PIN por defecto, recuperando así de forma casi instantánea la llave WPA de los dos objetivos. 

  Finalmente, los WPSPIN salen simultáneamente en lampiweb, crack-wifi y auditoriaswireless en la noche del el 8 al 9 de diciembre 2012
  A la época proponíamos soporte para tres fabricantes distintos y 6 modelos de routers....  Desde entonces la lista de modelos afectados ha crecido   :

              Fabricante                        Modelo                           eSSID por defecto                        ISP[país]     
--------------------------------------------------------------------------------------------------------------------------------------------------------------
    ASUSTek COMPUTER INC.            RT-G32                                  Default                                     *
                 Belkin                    F5D8235-4 v 1000                 Belkin_N+_XXXXXX                            *
                 Belkin                  F5D8231-4  ver. 5000                     belkin.XXX                                  *
                 Belkin                    F9K1104  ver. 1                           belkin.XXX                                   *
             Conceptronic            c300brs4a v2_v1.0.0                     C300BRS4A                                  *
              devolo AG                          CPL                         devolo-XXXXXXXXXXXX                           *
       D-Link International                  DIR-620                                DIR-620                                    *
                Edimax                         3G-6210n                                Default                                      *
                Edimax                         3G-6220n                                Default                                      *
  Hitron Technologies. Inc             CDE-30364                             ONOXXX0                            ONO[es]
               HUAWEI                         HG532e                            HG532e-XXXXX                                *
               HUAWEI                         HG532s                              Orange-XXXX                       Orange[es]
               HUAWEI                         HG566a                             vodafoneXXXX                    Vodafone[es]             
                Kuzomi                           K1500                                   Default                                      *
                Kuzomi                           K1550                                   Default                                      * 
              Samsung                      SMT-G7440                        Bbox-XXXXXXXX                    Bouygues Telecom[fr]
              Samsung         SWL (Samsung Wireless Link)        SEC_ LinkShare_XXXXXX                       *
      Sitecom Europe BV                       *                                     Sitecom_XX                                  *
               TELDAT                       iRouter1104-W               WLAN_XXXX/ WLAN_XX           Telefonica[es]
                TENDA                          W309R                                          *                                         *
      TP-LINK CO., LTD.               TD-W8951ND           TP-LINK_XXXX/TP-LINK_XXXXXX                     *
      TP-LINK CO., LTD.          TD-W8961ND v2.1         TP-LINK_XXXX/TP-LINK_XXXXXX                     *
       TRENDnet, Inc.                  TEW-652BRP                        TRENDnet652                                     *
ZyXEL Communications Co.     zyxel NBG-419n                            ZyXEL                                          *
ZyXEL Communications Co.          WAP 3205                               ZyXEL                                           *
--------------------------------------------------------------------------------------------------------------------------------------------------------------

  La lista es incompleta : por ejemplo hay muchos mas modelos TRENDnet vulnerables pero no los he apuntados todos porque son muchos.   
   Tampoco he puesto aquí los inicios de bssid conocidos para cada modelo porque hay más de cincuenta solo para el Huawei HG 566a ...
El ISP vodafone fue desde lejo el más tocado: Habían usado exclusivamente HG566a para equipar sus clientes y sus redes pasaron de ser de la más seguras a las más inseguras de España. 
  Hoy en día, mientras se acerca 2015, se siguen encontrando aún muchos de estos modelos en actividad y siguen vulnerables, como en el primer día.
 
  No deberíamos volver a ver este falló en nuevos materiales... aunque nunca se sabe: el uso de este algoritmo por varios fabricantes nos demuestra que en WPS todo es posible.