Domanda:
Come funziona il cracking delle password WiFi?
Quillion
2013-08-26 18:20:12 UTC
view on stackexchange narkive permalink

Supponiamo che io disponga di una rete wireless protetta da password.

Quali procedure può adottare un intruso per ottenere l'accesso alla mia rete wireless, o almeno essere in grado di decifrare i pacchetti che sto inviando in qualcosa comprensibile? Quanto tempo impiegherebbe un metodo del genere?

Ad esempio, in che modo esattamente aircrack ottiene l'accesso?

Questa domanda correlata è su cosa succede una volta che un utente malintenzionato conosce la password: mi interessa come ottiene la password.

Puoi scaricare la fonte di aircrack dal loro sito e verificarlo.
Due risposte:
#1
+42
Lucas Kauffman
2013-08-26 19:25:11 UTC
view on stackexchange narkive permalink

Prima di tutto ciò dipenderebbe interamente dalla crittografia utilizzata dal punto di accesso. Esistono diversi tipi di crittografia possibile. Per lo più sui punti di accesso wireless consumer questi sono:

  • WEP
  • WPA
  • WPA2
  • WPS

WEP

Immergiamoci prima nel WEP. WEP è stato il primo algoritmo utilizzato per proteggere i punti di accesso wireless. Sfortunatamente si è scoperto che WEP aveva alcuni gravi difetti. Nel 2001, 3 ricercatori che lavorano a Berkeley hanno prodotto un documento intitolato " (In) sicurezza dell'algoritmo WEP". Hanno trovato i seguenti difetti in WEP:

  • Attacchi passivi per decrittografare il traffico sulla base di analisi statistiche.
  • Attacco attivo per iniettare nuovo traffico da stazioni mobili non autorizzate, basato su testo in chiaro noto .
  • Attacchi attivi per decrittografare il traffico, basati sull'inganno del punto di accesso.

  • Attacco di creazione di dizionari che, dopo l'analisi del traffico di circa una giornata, consente la decrittografia automatizzata in tempo reale di tutto il traffico.

Un estratto dal loro articolo sui problemi tecnici con WEP:

WEP utilizza il Algoritmo di crittografia RC4, noto come cifrario a flusso. Un cifrario a flusso opera espandendo una chiave breve in un flusso di chiavi pseudo-casuale infinito. Il mittente XORs il flusso di chiavi con il testo in chiaro per produrre testo cifrato. Il destinatario ha una copia della stessa chiave e la utilizza per generare un flusso di chiavi identico. XORing il flusso di chiavi con il testo cifrato produce il testo in chiaro originale.

Questa modalità di funzionamento rende i cifrari a flusso vulnerabili a diversi attacchi. Se un utente malintenzionato gira un po 'nel testo cifrato, al momento della decrittografia, il bit corrispondente nel testo in chiaro verrà capovolto. Inoltre, se un intercettatore intercetta due testi cifrati crittografati con lo stesso flusso di chiavi, è possibile ottenere lo XOR dei due testi in chiaro. La conoscenza di questo XOR può consentire agli attacchi statistici di recuperare i testi in chiaro. Gli attacchi statistici diventano sempre più pratico in quanto sono noti più testi cifrati che utilizzano lo stesso flusso di chiavi. Una volta che uno dei testi in chiaro diventa noto, è banale recuperare tutti gli altri.

WEP ha difese contro entrambi questi attacchi. Per garantire che un pacchetto non sia stato modificato durante il transito, utilizza un campo di controllo di integrità (IC) nel pacchetto. Per evitare di crittografare due testi cifrati con lo stesso flusso di chiavi, viene utilizzato un vettore di inizializzazione (IV) per aumentare la chiave segreta condivisa e produrre una chiave RC4 diversa per ogni pacchetto. Anche la flebo è inclusa nel pacchetto. Tuttavia, entrambe queste misure sono implementate in modo errato, con conseguente scarsa sicurezza.

Il campo di controllo dell'integrità è implementato come un checksum CRC-32, che fa parte del payload crittografato del pacchetto. Tuttavia, CRC-32 è lineare, il che significa che è possibile calcolare la differenza di bit di due CRC in base alla differenza di bit dei messaggi su cui vengono presi. In altre parole, capovolgere il bit n nel messaggio risulta in un insieme deterministico di bit nel CRC che devono essere capovolti per produrre un checksum corretto sul messaggio modificato. Poiché il capovolgimento dei bit viene eseguito dopo una decrittografia RC4, questo consente all'autore dell'attacco di capovolgere bit arbitrari in un messaggio crittografato e regolare correttamente il checksum in modo che il messaggio risultante appaia valido.

Il vettore di inizializzazione in WEP è 24 -campo bit, che viene inviato nella parte in chiaro di un messaggio. Uno spazio così ridotto di vettori di inizializzazione garantisce il riutilizzo dello stesso flusso di chiavi. Un punto di accesso occupato, che invia costantemente pacchetti da 1500 byte a 11 Mbps, esaurirà lo spazio degli IV dopo 1500 * 8 / (11 * 10 ^ 6) * 2 ^ 24 = ~ 18000 secondi o 5 ore. (La quantità di tempo può essere anche inferiore, poiché molti pacchetti sono più piccoli di 1500 byte.) Ciò consente a un utente malintenzionato di raccogliere due testi cifrati crittografati con lo stesso flusso di chiavi ed eseguire attacchi statistici per recuperare il testo in chiaro. Peggio ancora, quando la stessa chiave è utilizzata da tutte le stazioni mobili, ci sono ancora più possibilità di collisione IV. Ad esempio, una comune scheda wireless di Lucent reimposta l'IV su 0 ogni volta che una scheda viene inizializzata e incrementa l'IV di 1 con ogni pacchetto. Ciò significa che due carte inserite all'incirca nello stesso momento forniranno un'abbondanza di collisioni IV per un attaccante. (Peggio ancora, lo standard 802.11 specifica che la modifica dell'IV con ogni pacchetto è opzionale!)

Qualche altro materiale di lettura interessante può essere trovato su aircrack-ng.org.

WPA

Il secondo è WPA. WPA era originariamente inteso come un involucro di WEP che affronta le insicurezze causate da WEP. In realtà non è mai stato inteso come uno standard di sicurezza, ma solo come una soluzione rapida fino a quando WPA2 non è diventato disponibile.

Esistono due modalità in cui può funzionare:

WPA utilizza generalmente il protocollo TKIP (Temporal Key Integrity Protocol). TKIP è stato progettato dal task group IEEE 802.11i e da Wi-Fi Alliance come soluzione per sostituire WEP senza richiedere la sostituzione dell'hardware legacy. Ciò era necessario perché l'interruzione del WEP aveva lasciato le reti WiFi senza una protezione valida a livello di collegamento ed era necessaria una soluzione per l'hardware già distribuito. TKIP non è un algoritmo di crittografia, ma viene utilizzato per assicurarsi che ogni pacchetto di dati venga inviato con una chiave di crittografia univoca.

Dal documento di aircrack-ng.org

TKIP implementa una funzione di combinazione di chiavi più sofisticata per combinare una chiave di sessione con un vettore di inizializzazione per ogni pacchetto. Ciò impedisce tutti gli attacchi chiave correlati attualmente noti perché ogni byte della chiave per pacchetto dipende da ogni byte della chiave di sessione e dal vettore di inizializzazione. Inoltre, un controllo dell'integrità dei messaggi a 64 bit (MIC) denominato MICHAEL è incluso in ogni pacchetto per prevenire attacchi al debole meccanismo di protezione dell'integrità CRC32 noto da WEP. Per prevenire semplici attacchi di replay, viene utilizzato un contatore di sequenza (TSC) che consente ai pacchetti di arrivare solo in ordine al ricevitore.

Ci sono due attacchi noti contro TKIP:

  • Attacco Beck-Tews
  • Attacco Ohigashi-Morii (che è un miglioramento dell'attacco Beck-Tews)

Tuttavia entrambi questi attacchi potevano decifrare piccole porzioni di dati, compromettendone la riservatezza. Quello che non possono darti è l'accesso alla rete. Per darti un'idea di quanti dati possono essere recuperati, un singolo frame ARP impiegherebbe circa 14-17 minuti per ottenere il testo normale.

L'unico attacco conosciuto, oltre ai difetti nel firmware di alcuni router, è il bruteforcing della chiave WPA. Generalmente la chiave viene generata come segue:

  Key = PBKDF2 (HMAC − SHA1, passphrase, ssid, 4096, 256)  

Considerando questo algoritmo si intende per evitare che le password con hash vengano violate, può essere necessario molto tempo. L'unico attacco ragionevole sarebbe usare un attacco a dizionario (quindi è importante usare password lunghe contenenti caratteri, numeri e lettere).

Nota anche che devi cambiare il tuo SSID in qualcosa di molto casuale. Le tabelle arcobaleno sono state generate per i primi 1000 SSID utilizzati.

WPA supporta anche AES (che può essere utilizzato al posto di RC4). Ciò implicherebbe comunque che sia utilizzato TKIP-MIC.

WPA2

WPA2 supporta le stesse modalità di WPA, tranne per il fatto che non utilizza TKIP ma CCMP per l'incapsulamento crittografico.

CCMP è un meccanismo avanzato di incapsulamento crittografico dei dati progettato per la riservatezza dei dati e basato sulla modalità contatore con CBC-MAC (CCM) dello standard AES. Viene utilizzato per sostituire TKIP per la riservatezza del messaggio.

Tuttavia, alcuni punti di accesso possono ancora essere configurati per utilizzare sia TKIP che CCMP. Ciò è stato fatto perché altrimenti le persone dovevano aggiornare il proprio hardware.

Extensions

WPS

Wi-Fi Protected Setup (WPS; originariamente Wi-Fi Simple Config) è uno standard di elaborazione che tenta di consentire una facile creazione di un rete domestica wireless sicura. Ha consentito una facile protezione per gli utenti domestici, ma utilizzando ancora il WPA più sicuro anziché WEP. WPS non dovrebbe mai essere utilizzato poiché contiene un grande difetto di progettazione. WPS genera "premendo un pulsante" un codice PIN che può essere inserito dall'utente. L'idea alla base di questo era aumentare l'usabilità. Ciò pone un problema: la quantità di possibilità è ridotta a 10.000.000 che qualsiasi computer può analizzare abbastanza rapidamente, anche quando si utilizza PBKDF2.

EAP

EAP viene utilizzato per WPA (2) -Enterprise ed è un framework di autenticazione, non un meccanismo di autenticazione specifico. Fornisce alcune funzioni comuni e negoziazione di metodi di autenticazione chiamati metodi EAP. Attualmente sono definiti circa 40 metodi diversi. Alcuni hanno i loro difetti, tuttavia, considerando la grande quantità di possibilità, suggerisco di cercarli personalmente.

WPA (versione 1) può utilizzare anche AES invece di TKIP, sebbene non tutte le combinazioni hardware e software lo supportino. Non sono sicuro di quale sia la differenza tra WPA-AES e WPA2-AES, ma penso che abbia a che fare con la gestione delle chiavi. So per esperienza personale che la mia PSP di prima generazione può eseguire WPA-AES, ma non può eseguire WPA2 (di entrambi i tipi)
WOW grazie :) la quantità di informazioni è enorme e questo è esattamente quello che volevo sapere
Non usa aes invece di tkip, usa aes invece di rc4. Tkip è ancora usato quando wpa aes è in uso.
#2
+3
AJ Henderson
2013-08-26 19:15:06 UTC
view on stackexchange narkive permalink

Dipende dall'esatta crittografia utilizzata sulla rete, ma per WEP (che è il più facile da violare) ci vogliono solo pochi minuti. L'attacco più comune è l ' attacco Fluhrer, Mantin e Shamir che implica la ricerca di IV (vettori di inizializzazione) riutilizzati che possono essere potenzialmente utilizzati per decodificare parti della chiave. Dovrebbero essere univoci, ma per l'IV breve utilizzato da WEP vengono ripetuti frequentemente.

Poiché parte dell'intestazione SNAP WEP è nota all'inizio di ogni blocco, per alcuni IV, se il L'autore dell'attacco conosce il primo byte del flusso di chiavi, può determinare il byte successivo della chiave da quello che conosceva per ultimo. Quindi l'attacco inizia solo sapendo quale sarà l'inizio del pacchetto WEP SNAP, ma ogni volta che viene visto per un particolare tipo di IV, è possibile apprendere il byte chiave successivo. Questo può produrre un'intera chiave a 16 byte molto rapidamente su una rete occupata poiché l'unica cosa necessaria è che gli IV necessari siano usati dalla rete.

Se la rete non è abbastanza occupata ci sono alcuni modi per indurre la rete a comunicare di più, il che può aiutare a recuperare una chiave, sebbene questi approcci più aggressivi potrebbero essere potenzialmente rilevati.

La sezione difetti sulla pagina WEP di Wikipedia ha anche informazioni più approfondite sull'attacco in quanto si applica a WEP e su quali velocità sono state raggiunte e quando.

Per WPA, è un po 'più complicato. È meno intrinsecamente debole, ma molti attacchi generalmente si dimostrano efficaci. Il primo è un attacco da tavolo arcobaleno contro la password per la rete. Qualsiasi chiave WEP basata su password debole può essere facilmente rotta da una tabella arcobaleno poiché il salting non è univoco per un dato SSID come parte della derivazione della chiave.

Ci sono anche punti deboli in Wifi Protected Setup che può consentire il Pin WPS da recuperare. Con WPS, usano solo 7 cifre del pin e ogni metà è convalidata separatamente, quindi devi solo indovinare un numero di 3 cifre e un numero di 4 cifre per ottenere l'accesso.

Ci sono anche alcuni altri attacchi specializzati su WPA che sono descritti in modo molto più dettagliato nella pagina di Wikipedia per WPA.

Pensavo che la salatura fosse usata per WPA? Quanto a quanto mi risulta, il sale utilizzato da WPA è l'SSID dell'AP?
Quindi ho cercato, in realtà ci sono tabelle arcobaleno per i primi 1000 SSID utilizzati. Quindi tecnicamente usa ancora un sale.
@LucasKauffman - buon punto, me ne ero dimenticato perché non lo consideravo salato in quanto non è unico, ma vale la pena menzionarlo lo rende leggermente più difficile, anche se non troppo. Ho aggiornato di conseguenza la mia risposta.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...