Technologií WPS (Wi-Fi Protected Setup) je dnes vybavena většina bezdrátových routerů. Umožňuje jednoduše připojit do sítě nové účastníky, kterým stačí jen znát správný PIN. US-CERT varuje před objevenou zranitelností, která potenciálnímu útočníkovi výrazně zjednodušuje hádání přístupového kódu.
Potíž je v tom, že router sděluje o PIN až příliš informací, čímž pomáhá v jeho odhadování. Pokud je například zadán špatný PIN, router odešle klientovi zprávu EAP-NACK, ze které lze odhadnout, zda je správně uvedená první polovina kódu. Poslední číslice je také známá, protože je to kontrolní součet zbytku hesla.
Tyto bezpečnostní chyby redukují počet nutných pokusů při útoku hrubou silou. Zatímco bez nich by bylo třeba vyzkoušet až 108 kombinaci, nyní jich stačí jen 104 plus 103, což je jen 11 000 pokusů. Navíc routery neimplementují žádná pravidla pro omezení počtu pokusů v čase, takže je možné hádat velmi rychle za sebou. Některé routery navíc nesnesou takovou zátěž a havarují. Výsledkem je tak vlastně DoS útok. Výše zmíněnými problémy trpí miliony zařízení různých výrobců včetně například D-Link, Netgear, Linksys a dalších. Další informace naleznete v devítistránkové zprávě Stefana Viehböcka (PDF).
aura:97
Máte někdo tušení, co vedlo autory WPS k tak, ehm, nešťastnému nápadu ověřovat PIN ve dvou fázích, pokaždé jen polovinu číslic? To aby klientské implementace mohly říkat uživateli "Udělal jste chybu v prvních čtyřech číslicích!"?
V tuhle chvíli to vypadá, že to vznikalo oblíbenou metodou "Poslyš, Pepo, tys měl jedničku z matiky, vymysli nám nějaký šifrování!" (též známá pod názvy "metoda MS-CHAP" či "stavové MPPE").
Spolecne MS-CHAP byl zaveden i termin "Kindergarten cryptography".
MS-CHAP nebyl dvakrát šťastný počin, ale je třeba si uvědomit že přišel v době, kdy se na UNIXech zcela běžně používaly nebezpečné příšernosti jako telnet, ftp a NFS (které je dodnes občas k vidění).
SSH je z roku 1995 (ještě před koncem toho roku se stal poměrně běžný), MS-CHAP přišel roku 1998 jako zmršená implementace CHAP, která pochází z roku 1996 (které „kupodivu“ bezpečnostní problémy MS-CHAP nemá). NFSv3 z roku 1995 podporovalo autentizaci všech operací přes Kerberos.
OK, ověřeno, fakta jsou na vaší straně. Mea culpa.
Na co jsem chtěl upozornit? Na to, že MS používal challenge-response authentication už v NT 3.1 (a ještě dříve v LanManu), když UNIXy ještě zcela běžně používaly telnet, ftp a NFS. S bezpečností UNIXů to v té době bylo celkem tragické. A NFS s AUTH_UNIX bohužel můžete vidět "in the wild" dodnes.
Ale telnet a FTP jde taky autentifikovat pres kerneros ... pravda, kazdy pak vidi, co tam delame, ale nezna pristupy ;-)
Mam pocit, ze aj hashe hesiel vo WinXP maju podobnu featuru. Prych 7 znakov hesla a aj druhych 7 znakov je zvlast zahashovanych...
Cimz se opet dostatame k puvodni otazce - proc vlastne?
A ani to nemyslim kriticky, taky by me zajimala motivace/uzitecnost takoveho postupu...
protoze muzeme
Abychom věděli, jestli má heslo do sedmi, osm až čtrnáct, nebo patnáct a více znaků, a měli jednodušší duhové tabulky :-)
Ne, fakt mě nic rozumného nenapadá.
u MSI vim, je to FBI CIA a jine, dale mozna kvuli exportu sifer mimo USA ... to heslo po blocich je sranda, kazdy kdo lamal NTML hash LM* tak se nestacil divit, ze zna treba posledni 3 znaky behem par sekund ;-))
aura:55
> To aby klientské implementace mohly říkat uživateli "Udělal jste chybu v prvních čtyřech číslicích!"?
A možná, že to tak bude. Uživatelé bývají zmatenější, než si my, zkušenější, dokážeme představit, takže WPS je pro ně spíše taková berlička, jak snadno a rychle nastavit WiFi síť. I když je to třeba nebezpečné. (Uvědomme si, že počítač je některými lidmi chápán jako pracovní nástroj a ne jako něco, v čem je nutné se pořád hrabat.)
Moc nerozumim tomu argumentu s "pracovnim nastrojem". V takovem pripade by snad melo jit o bezpecnost o to vice, nebo snad ne ?
Docela mne krklo, kdyz jsem si prinesl domu tiskarnu s wifi a zjistil jsem ze ji lze do site pripojit poze pomoci WPS a zatim jsem nenasel zpusob jak ji pripojit jinak (nemam WPS na AP)
Root.cz (www.root.cz), informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2012 Internet Info, s.r.o. Všechna práva vyhrazena. Powered by Linux.
