{"id":5097,"date":"2012-09-10T15:12:44","date_gmt":"2012-09-10T18:12:44","guid":{"rendered":"http:\/\/www.ethicalhacker.com.br\/site\/?p=5097"},"modified":"2019-07-18T12:50:59","modified_gmt":"2019-07-18T15:50:59","slug":"artificios-utilizados-na-quebra-do-protocolo-wpa-e-wpa2","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2012\/09\/basico\/artificios-utilizados-na-quebra-do-protocolo-wpa-e-wpa2\/","title":{"rendered":"Artif\u00edcios Utilizados na Quebra dos Protocolos WPA e WPA2"},"content":{"rendered":"

O artigo em quest\u00e3o visa demonstrar um artif\u00edcio utilizado para descoberta de chaves WPA e WPA2, h\u00e1 algum tempo j\u00e1 havia sido publicado algo no idioma ingl\u00eas \u00a0que fazia refer\u00eancia ao protocolo WPS causador da vulnerabilidade\u00a0http:\/\/www.kb.cert.org\/vuls\/id\/723755<\/a>,\u00a0por\u00e9m, no idioma portugu\u00eas, \u00a0ainda n\u00e3o conhecia nada !!! um amigo me enviou o artigo muito bem escrito por Carlos Morimoto e tomei a liberdade de public\u00e1-lo na \u00edntegra. Vale ressaltar que n\u00e3o \u00e9 uma vulnerabilidade dos protocolos WPA e WPA2 , mas sim, do protocolo WPS que permite o ataque:<\/p>\n

Abaixo artigo escrito por\u00a0Carlos Morimoto<\/strong><\/em><\/p>\n

Fonte : http:\/\/www.hardware.com.br\/artigos\/reaven\/<\/strong><\/em><\/p>\n

Tradicionalmente, ganhar acesso n\u00e3o autorizado a uma rede com o WPA, especialmente no caso do WPA2 \u00e9 dif\u00edcil e demorado, j\u00e1 que \u00e9 necess\u00e1rio descobrir a chave usando um ataque de for\u00e7a bruta. Chaves curtas podem ser descobertas em alguns dias usando um processador r\u00e1pido, ou uma boa GPU, mas chaves longas e complexas, especialmente as com 12 d\u00edgitos ou mais s\u00e3o quase imposs\u00edveis de serem descobertas. Tudo mudou com o descobrimento de uma falha grosseira de seguran\u00e7a no protocolo WPS, que \u00e9 suportado pela maioria dos roteadores atuais.<\/p>\n

O WPS oferece uma forma simples de configura\u00e7\u00e3o para redes Wireless. O roteador inclui um PIN de 8 d\u00edgitos, geralmente informado em uma etiqueta na parte inferior, permitindo a conex\u00e3o de qualquer cliente onde este PIN seja informado. Outros v\u00e3o al\u00e9m oferecendo tamb\u00e9m um bot\u00e3o de conex\u00e3o, que deve ser pressionado no roteador para autorizar a conex\u00e3o de um novo cliente. A ideia do WPS \u00e9 que este \u00e9 um padr\u00e3o de seguran\u00e7a aceit\u00e1vel para uma rede dom\u00e9stica, j\u00e1 que se algu\u00e9m tem acesso f\u00edsico ao roteador, para ver o PIN ou pressionar o bot\u00e3o, ele provavelmente est\u00e1 autorizado a acessar a rede de qualquer forma.
\nDesde o in\u00edcio, WPS parecia ser uma brecha esperando para ser explorada, mas a facilidade de configura\u00e7\u00e3o foi suficiente para reduzir bastante as chamadas de suporte e devolu\u00e7\u00f5es de produtos, o que foi suficiente para convencer quase todos os principais fabricantes a inclu\u00edrem a tecnologia em seus roteadores dom\u00e9sticos. Eventualmente, a bomba explodiu, dando origem \u00e0 maior brecha de seguran\u00e7a em redes Wi-Fi desde o WEP.<\/p>\n

O WPS foi sempre vulner\u00e1vel a ataques de for\u00e7a bruta, j\u00e1 que um PIN de apenas 8 caracteres, contendo apenas n\u00fameros n\u00e3o oferece uma complexidade muito grande. Em teoria, o protocolo deveria oferecer um sistema se seguran\u00e7a para bloquear clientes depois de algumas tentativas incorretas, mas na pr\u00e1tica poucos fabricantes implementaram bloqueios efetivos, deixando a grande maioria dos roteadores do mercado vulner\u00e1veis. O \u00fanico obst\u00e1culo \u00e9 o fato de que para cada tentativa o cliente precisa esperar a resposta do roteador, o que limita o n\u00famero de tentativas por minuto a cerca de 20 a 40, fazendo com que a quebra de uma chave de 8 d\u00edgitos demorasse anos.<\/p>\n

Isso mudou com uma brecha tornada p\u00fablica em 27\/12\/2011. A forma como o roteador responde \u00e0s tentativas mal-sucedidas de conex\u00e3o, enviando um pacote EAP-NACK permite que o atacante descubra se os 4 primeiros d\u00edgitos do PIN est\u00e3o corretos. Para piorar, o \u00faltimo d\u00edgito do PIN \u00e9 um checksum, que pode ser facilmente calculado uma vez que os 7 primeiros d\u00edgitos s\u00e3o conhecidos. Com isso, o atacante precisa de um n\u00famero de tentativas suficiente para descobrir os 4 primeiros d\u00edgitos, gerar uma tabela com as possibilidades poss\u00edveis para os 3 \u00faltimos d\u00edgitos e mais o checksum (uma vez que o checksum \u00e9 a soma dos 7 primeiros d\u00edgitos) e realizar uma \u00faltima rodada de tentativas at\u00e9 encontrar o PIN correto. Com isso, o n\u00famero de possibilidades cai de 1 bilh\u00e3o para apenas 11.000 tentativas, que podem ser esgotadas em poucas horas.<\/p>\n

Diferente do SSID e da chave WPA, o PIN normalmente n\u00e3o pode ser alterado pelo usu\u00e1rio. Uma vez o atacante obt\u00e9m acesso \u00e0 rede, ele continuar\u00e1 conseguindo se conectar, por mais que o dono tente alterar a chave de acesso ou mesmo o SSID da rede. Na maioria dos aparelhos, o PIN pode ser descoberto em apenas 4 a 10 horas, colocando um potencial atacante a apenas uma madrugada de dist\u00e2ncia da sua rede.<\/p>\n

Diferente do WEP, o WPA n\u00e3o permite que uma vez dentro da rede voc\u00ea possa escutar as conex\u00f5es dos outros clientes, j\u00e1 que cada um utiliza um canal encriptado particular. Entretanto, isso n\u00e3o impede que o atacante possa invadir servidores, roteadores ou as pr\u00f3prias esta\u00e7\u00f5es para obter assim acesso a dados e outras informa\u00e7\u00f5es.<\/p>\n

A primeira ferramenta para explorar a brecha \u00e9 o Reaver, publicado pela Tactical Network Solutions. Ele possui uma vers\u00e3o open-source gratuita e tamb\u00e9m uma vers\u00e3o premium, com direito a suporte e uma interface web de controle. N\u00e3o apenas ele \u00e9 capaz de descobrir o PIN de acesso, como tamb\u00e9m a chave WPA\/WPA2 (independentemente da complexidade) e o SSID da rede a partir do endere\u00e7o MAC do roteador. No caso de roteadores que permitem definir v\u00e1rias chaves WPA, o ataque permite descobrir todas as chaves de uma s\u00f3 vez.<\/p>\n

A vers\u00e3o open-source est\u00e1 dispon\u00edvel no http:\/\/code.google.com\/p\/reaver-wps\/. Para instalar a partir do c\u00f3digo, voc\u00ea precisa apenas dos compiladores b\u00e1sicos e dos pacotes libpcap-dev (libpcap0.8-dev no Squeeze) e libsqlite3-dev. A instala\u00e7\u00e3o \u00e9 feita usando o tradicional .\/configure, make e make install.<\/p>\n

Para us\u00e1-lo, \u00e9 necess\u00e1rio colocar a interface em modo monitor, usando o ifconfig e iwconfig, como em:<\/p>\n

$ su <senha>
\n# ifconfig wlan1 down
\n# iwconfig wlan1 mode monitor
\n# ifconfig wlan1 up<\/p>\n

Apesar de ser uma ferramenta de linha de comando, o reaver \u00e9 bastante simples de usar, precisando apenas do device da placa wireless e do endere\u00e7o MAC do roteador alvo (que pode ser facilmente descoberto usando o kismet, airodump-ng ou outra ferramenta de diagn\u00f3stico), como em:<\/p>\n

# reaver -i wlan1 -b 54:E6:FC:E4:92:82<\/p>\n

Caso necess\u00e1rio, voc\u00ea pode especificar tamb\u00e9m o canal e o SSID da rede no comando, como em:<\/p>\n

# reaver -i wlan1 -b 54:E6:FC:E4:92:82 -c 4 -e gdh<\/p>\n

A partir da\u00ed o resto do ataque \u00e9 feito automaticamente, com o Reaver tentando todas as possibilidades poss\u00edveis para o PIN, aguardando caso o roteador deixar de responder e assim por diante, at\u00e9 encontrar a chave. Em alguns casos, o roteador pode travar durante o teste, ou deixar de responder temporariamente aos clientes da rede local, o que tamb\u00e9m abre as portas para ataques de nega\u00e7\u00e3o de servi\u00e7o.<\/p>\n

A lista dos fabricantes vulner\u00e1veis inclui a D-Link, Linksys, Netgear, TP-Link e ZyXEL, bem como a Belkin, Buffalo e Technicolor. Naturalmente, a brecha n\u00e3o atinge todos os produtos, mas a percentavel vulner\u00e1vel representa dezenas de milh\u00f5es de aparelhos.<\/p>\n

Caso exista uma op\u00e7\u00e3o para desativar o WPS na configura\u00e7\u00e3o do roteador, ela pode ser uma forma simples de resolver o problema. A principal quest\u00e3o \u00e9 que em muitos produtos a op\u00e7\u00e3o est\u00e1 dispon\u00edvel, mas ela n\u00e3o desativa realmente o WPS, fazendo com que a vulnerabilidade persista. Nesses casos, a solu\u00e7\u00e3o seria atualizar o firmware ou, (caso n\u00e3o exista um patch dispon\u00edvel) substituir o aparelho por um n\u00e3o vulner\u00e1vel. Outra solu\u00e7\u00e3o \u00e9 substituir o firmware padr\u00e3o pelo DD-WRT, j\u00e1 que al\u00e9m de oferecer mais op\u00e7\u00f5es e recursos, ele n\u00e3o oferece suporte ao WPS, resolvendo o problema pela raiz.<\/p>\n

Naturalmente, \u00e9 poss\u00edvel tamb\u00e9m bloquear o acesso de clientes n\u00e3o autorizados usando o bloqueio com base no endere\u00e7os MAC, mas esta \u00e9 uma prote\u00e7\u00e3o que pode ser facilmente burlada, j\u00e1 que basta monitorar a rede por algum tempo, coletar uma lista dos endere\u00e7os dos clientes que est\u00e3o transmitindo dados e modificar o ender\u00e7eo da placa local para utilizar o mesmo MAC que um deles.<\/p>\n

Esta \u00e9 uma brecha que vai continuar a repercutir por muitos meses ou anos, j\u00e1 que roteadores wireless n\u00e3o s\u00e3o dispositivos que os usu\u00e1rios substituem com muita frequ\u00eancia e, mesmo que a maioria dos fabricantes venha a eventualmente atualizarem todos os modelos vulner\u00e1veis, a grande maioria dos usu\u00e1rios nunca chegar\u00e1 a atualizar seus roteadores, continuando a utilizar aparelhos vulner\u00e1veis por anos. Como resultado, viajantes e espertinhos em busca de acesso gr\u00e1tis v\u00e3o voltar a ter facilidade para encontrar redes vulner\u00e1veis, assim como na \u00e9poca do WEP.<\/p>\n

por\u00a0Carlos Morimoto<\/strong><\/em><\/p>\n

Fonte : http:\/\/www.hardware.com.br\/artigos\/reaven\/<\/strong><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

O artigo em quest\u00e3o visa demonstrar um artif\u00edcio utilizado para descoberta de chaves WPA e WPA2, h\u00e1 algum tempo j\u00e1 havia sido publicado algo no idioma ingl\u00eas \u00a0que fazia refer\u00eancia ao protocolo WPS causador da vulnerabilidade\u00a0http:\/\/www.kb.cert.org\/vuls\/id\/723755,\u00a0por\u00e9m, no idioma portugu\u00eas, \u00a0ainda n\u00e3o conhecia nada !!! um amigo me enviou o artigo muito bem escrito por Carlos […]<\/p>\n","protected":false},"author":1,"featured_media":5099,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89],"tags":[],"class_list":["post-5097","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/5097","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=5097"}],"version-history":[{"count":12,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/5097\/revisions"}],"predecessor-version":[{"id":10603,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/5097\/revisions\/10603"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/5099"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=5097"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=5097"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=5097"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}