it-swarm.dev

Come funziona il cracking della password WiFi?

Supponiamo che io abbia una rete wireless protetta da password.

Quali procedure può adottare un intruso per ottenere l'accesso alla mia rete wireless o almeno essere in grado di decifrare i pacchetti che sto inviando in qualcosa di comprensibile? Quanto tempo richiederebbe un metodo del genere?

Ad esempio, in che modo esattamente aircrack ottiene l'accesso?

Questa domanda correlata riguarda cosa succede quando un utente malintenzionato conosce la password: sono interessato a come ottieni la password.

25
Quillion

Innanzitutto ciò dipende interamente dalla crittografia utilizzata dal punto di accesso. Esistono diversi tipi di crittografia possibile. Principalmente sui punti di accesso wireless di consumo si tratta di:

  • WEP
  • WPA
  • WPA2
  • WPS

WEP

Immergiamoci prima in WEP. WEP è stato il primo algoritmo utilizzato per proteggere i punti di accesso wireless. Sfortunatamente è stato scoperto che WEP presentava alcuni gravi difetti. Nel 2001, 3 ricercatori che lavoravano a Berkeley hanno prodotto un documento chiamato " (In) Security of the WEP algoritmo ". Hanno riscontrato i seguenti difetti in WEP:

  • Attacchi passivi per decrittografare il traffico sulla base di analisi statistiche.
  • Attacco attivo per iniettare nuovo traffico da stazioni mobili non autorizzate, basato su testo in chiaro noto.
  • Attacchi attivi per decrittografare il traffico, basati sull'inganno del punto di accesso.

  • Attacco da dizionario che, dopo aver analizzato il traffico di circa un giorno, consente la decrittazione automatizzata in tempo reale di tutto il traffico.

Un estratto dal loro articolo sui problemi tecnici con WEP:

WEP utilizza l'algoritmo di crittografia RC4, noto come crittografia di flusso. Un codice di flusso funziona espandendo una chiave breve in un flusso di chiavi pseudo-casuale infinito. Il mittente XOR esegue il flusso chiave con il testo in chiaro per produrre testo cifrato. Il destinatario ha una copia della stessa chiave e la utilizza per generare un flusso di chiavi identico. XORing il flusso di chiavi con il testo cifrato produce il testo in chiaro originale.

Questa modalità operativa rende le cifrature di flusso vulnerabili a numerosi attacchi. Se un utente malintenzionato lancia un bit nel testo cifrato, quindi al momento della decrittazione, il bit corrispondente nel testo in chiaro verrà capovolto. Inoltre, se un intercettatore intercetta due crittografati crittografati con lo stesso flusso di chiavi, è possibile ottenere il XOR dei due testi semplici. Conoscenza di questo XOR può abilitare gli attacchi statistici per recuperare i testi in chiaro. Gli attacchi statistici diventano sempre più pratici man mano che vengono conosciuti più testi cifrati che usano lo stesso flusso chiave. Una volta che uno dei testi in chiaro viene conosciuto, è banale recuperare tutti gli altri.

WEP ha difese contro entrambi questi attacchi. Per assicurarsi che un pacchetto non sia stato modificato durante il trasporto, utilizza un campo Integrity Check (IC) nel pacchetto. Per evitare la crittografia di due cifratix con lo stesso flusso di chiavi, viene utilizzato un vettore di inizializzazione (IV) per aumentare la chiave segreta condivisa e produrre una chiave RC4 diversa per ciascun pacchetto. Il IV è anche incluso nel pacchetto. Tuttavia, entrambe queste misure sono implementate in modo errato, con conseguente scarsa sicurezza.

Il campo di controllo dell'integrità è implementato come checksum CRC-32, che fa parte del payload crittografato del pacchetto. Tuttavia, CRC-32 è lineare, il che significa che è possibile calcolare la differenza di bit di due CRC in base alla differenza di bit dei messaggi su cui vengono rilevati. In altre parole, capovolgendo il bit n nel messaggio si ottiene un insieme deterministico di bit nel CRC che deve essere capovolto per produrre un checksum corretto sul messaggio modificato. Poiché il lancio di bit viene eseguito dopo una decrittografia RC4, ciò consente all'attaccante di invertire i bit arbitrari in un messaggio crittografato e regolare correttamente il checksum in modo che il messaggio risultante appaia valido.

Il vettore di inizializzazione in WEP è un campo a 24 bit, che viene inviato nella parte in chiaro di un messaggio. Un così piccolo spazio di vettori di inizializzazione garantisce il riutilizzo dello stesso flusso di chiavi. Un punto di accesso occupato, che invia costantemente pacchetti di 1500 byte a 11 Mbps, esaurirà lo spazio di IV dopo 1500 * 8/(11 * 10 ^ 6) * 2 ^ 24 = ~ 18000 secondi, o 5 ore. (La quantità di tempo può essere anche inferiore, poiché molti pacchetti sono inferiori a 1500 byte.) Ciò consente a un utente malintenzionato di raccogliere due cifrati crittografati con lo stesso flusso di chiavi ed eseguire attacchi statistici per recuperare il testo in chiaro. Peggio ancora, quando la stessa chiave viene utilizzata da tutte le stazioni mobili, ci sono ancora più possibilità di collisione IV. Ad esempio, una comune scheda wireless di Lucent reimposta il valore IV su 0 ogni volta che una scheda viene inizializzata e incrementa il valore IV di 1 con ciascun pacchetto. Ciò significa che due carte inserite all'incirca nello stesso momento forniranno un'abbondanza di collisioni IV per un attaccante. (Peggio ancora, lo standard 802.11 specifica che cambiare il IV con ogni pacchetto è opzionale!)

Qualche altro materiale di lettura interessante può essere trovato su aircrack-ng.org .

WPA

Il secondo è WPA. WPA originariamente era inteso come un wrapper per WEP che affronta le insicurezze causate da WEP. In realtà non è mai stato inteso come standard di sicurezza ma solo come soluzione rapida fino a quando WPA2 non è diventato disponibile.

Esistono due modalità in cui può operare:

WPA utilizza generalmente il protocollo TKIP (Temporal Key Integrity Protocol). TKIP è stato progettato dal gruppo di attività IEEE 802.11i e Wi-Fi Alliance come soluzione per sostituire WEP senza richiedere la sostituzione di hardware legacy. Ciò era necessario perché la rottura di WEP aveva lasciato le reti WiFi senza una valida sicurezza a livello di collegamento ed era necessaria una soluzione per l'hardware già distribuito. TKIP non è non un algoritmo di crittografia, ma viene utilizzato per assicurarsi che ogni pacchetto di dati venga inviato con una chiave di crittografia univoca.

Da il documento aircrack-ng.org

TKIP implementa una funzione di miscelazione delle chiavi più sofisticata per mescolare una chiave di sessione con un vettore di inizializzazione per ciascun pacchetto. Ciò impedisce tutti gli attacchi di chiave correlati attualmente noti poiché ogni byte della chiave per pacchetto dipende da ogni byte della chiave di sessione e dal vettore di inizializzazione. Inoltre, in ogni pacchetto è incluso un Message Integrity Check (MIC) a 64 bit chiamato MICHAEL per prevenire attacchi al meccanismo di protezione dell'integrità CRC32 debole noto da WEP. Per prevenire semplici attacchi di replay, viene utilizzato un contatore di sequenza (TSC) che consente ai pacchetti di arrivare solo al destinatario.

Esistono due attacchi noti contro TKIP:

  • Attacco di Beck-Tews
  • Attacco di Ohigashi-Morii (che è un miglioramento dell'attacco di Beck-Tews)

Tuttavia, entrambi questi attacchi possono solo decrittografare piccole porzioni di dati, compromettendo la riservatezza. Ciò che non possono darti è l'accesso alla rete. Per darti un'idea di quanti dati possono essere recuperati, un singolo frame ARP impiegherebbe circa 14-17 minuti per ottenere il testo in chiaro.

L'unico attacco noto, oltre a difetti nel firmware di alcuni router, è la forzatura del WPA. Generalmente la chiave viene generata come segue:

Key = PBKDF2(HMAC−SHA1,passphrase, ssid, 4096, 256)

Considerando che questo algoritmo ha lo scopo di prevenire la violazione delle password con hash, può richiedere molto tempo. L'unico attacco ragionevole sarebbe usare un attacco con dizionario (quindi è importante usare password lunghe contenenti caratteri, numeri e lettere).

Si noti inoltre che è necessario modificare il proprio SSID in qualcosa di molto casuale. Le tabelle Rainbow sono state generate per i primi 1000 SSID utilizzati .

WPA supporta anche AES (che può essere utilizzato al posto di RC4). Ciò implicherebbe comunque l'utilizzo di TKIP-MIC.

WPA2

WPA2 supporta le stesse modalità di WPA, tranne per il fatto che non utilizza TKIP ma CCMP per l'incapsulamento crittografico.

CCMP è un meccanismo avanzato di incapsulamento crittografico dei dati progettato per la riservatezza dei dati e basato sulla modalità Counter con CBC-MAC (CCM) dello standard AES. Questo è usato per sostituire TKIP per la riservatezza dei messaggi.

Tuttavia, alcuni punti di accesso possono ancora essere configurati per utilizzare sia TKIP che CCMP. Ciò è stato fatto perché altrimenti le persone dovevano aggiornare il proprio hardware.

Estensioni

WPS

Wi-Fi Protected Setup (WPS; originariamente Wi-Fi Simple Config) è uno standard di elaborazione che tenta di consentire una facile creazione di una rete domestica wireless sicura. Consentiva una facile sicurezza per gli utenti domestici ma utilizzava ancora il più sicuro WPA anziché WEP. WPS non dovrebbe mai mai essere usato in quanto presenta un grande difetto di progettazione. WPS genera "tramite il pulsante Push di un pulsante" a PIN che può essere inserito dall'utente. L'idea alla base di ciò era di aumentare l'usabilità. pone un problema: la quantità di possibilità è ridotta a 10.000.000 che qualsiasi computer può sgridare abbastanza rapidamente, anche quando si utilizza PBKDF2.

EAP

EAP è utilizzato per WPA (2) -Enterprise ed è un framework di autenticazione, non un meccanismo di autenticazione specifico. Fornisce alcune funzioni comuni e la negoziazione di metodi di autenticazione chiamati metodi EAP. Attualmente ci sono circa 40 diversi metodi definiti. Alcuni hanno i loro difetti, tuttavia, considerando la grande quantità di possibilità che suggerisco di cercarli da soli.

42
Lucas Kauffman

Dipende dall'esatta crittografia utilizzata sulla rete, ma per WEP (che è la più semplice da interrompere) ci vogliono solo pochi minuti. L'attacco più comune è attacco Fluhrer, Mantin e Shamir che comporta la ricerca di IV riutilizzati (vettori di inizializzazione) che possono potenzialmente essere utilizzati per decodificare parti della chiave. Dovrebbero essere unici, ma per il corto IV che utilizza WEP, si ripetono frequentemente.

Poiché parte del WEP SNAP è nota all'inizio di ciascun blocco, per alcuni IV, se l'attaccante conosce il primo byte del flusso di chiavi, può determinare il byte successivo della chiave da quello che hanno conosciuto per ultimo. Quindi l'attacco inizia solo sapendo quale sarà l'inizio del pacchetto WEP SNAP, ma ogni volta che viene visto per un particolare tipo di IV, la chiave successiva byte può essere appreso, il che può produrre molto rapidamente un'intera chiave da 16 byte su una rete occupata poiché l'unica cosa necessaria è che gli IV necessari siano utilizzati dalla rete.

Se la rete non è abbastanza occupata, ci sono alcuni modi per indurre la rete a comunicare di più e ciò può aiutare a recuperare una chiave, sebbene questi approcci più aggressivi potrebbero essere potenzialmente rilevati.

La sezione difetti sulla pagina WEP di Wikipedia contiene anche informazioni più approfondite sull'attacco in quanto si applica a WEP e quali velocità sono state raggiunte quando.

Per WPA, è un po 'più complicato. È meno intrinsecamente debole, ma in genere numerosi attacchi si dimostrano efficaci. Il primo è un attacco da tavolo Rainbow contro la password per la rete. Qualsiasi chiave WEP basata su password debole può essere facilmente interrotta da una tabella Rainbow poiché la salatura non è univoca per un dato SSID come parte della derivazione della chiave.

Ci sono anche punti deboli nell'installazione protetta Wifi che può consentire il ripristino del pin WPS. Con WPS, usano solo 7 cifre del pin e ogni metà viene convalidata separatamente, quindi devi solo indovinare un numero di 3 cifre e un numero di 4 cifre per ottenere l'accesso.

Ci sono alcuni altri attacchi specializzati su WPA che sono descritti in maggior dettaglio nella pagina Wikipedia per WPA .

3
AJ Henderson