MAC5743 Computacao Movel Primeiro semestre de 2013

Seguranca e ataques em redes Wifi

Eduardo Menezes de Morais

Instituto de Matematica e Estatstica

Universidade de Sao Paulo

eduardo.morais@usp.br

Resumo

Neste trabalho, vamos analisar a seguranca de redes sem fio baseadas nos padroes IEEE 802.11,mas conhecidas como redes Wifi. Veremos brevemente detalhes relevantes dos protocolos usados emostraremos alguns ataques que podem comprometer a privacidades e confiabilidade de redes Wifi,alem de possveis metodos para se proteger desses ataques.

1 Introducao

Nos ultimos anos, com a proliferacao de notebooks, smartphones e outros dispositivos portateis, redessem fio, principalmente as baseadas nos padroes IEEE 802.11, conhecidas popularmente como Wifi, temse tornado muito populares tanto em residencias quando em empresas.

Com tantas pessoas e negocios utilizando diariamente esta tecnologia, a seguranca destas redes setorna cada vez mais uma preocupacao. Gostaramos de garantir a privacidade das informacoes transmi-tidas pela rede e tambem garantir que os dados recebidos de outros nos da rede sao legtimos.

Para garantir a seguranca de uma rede Wifi precisamos resolver uma serie de complicacoes que naoaparecem com redes cabeadas. Por exemplo, uma rede sem fio se estende alem das paredes e um possvelatacante pode operar de longe. Uma vez que um ataque tenha sido identificado, localizar o atacante ebastante difcil. Alem disso, os protocolos de autenticacao e criptografia definidos na famlia de padroesIEEE 802.11 possuem uma serie de fraquezas que facilitam o trabalho de um atacante.

Neste trabalho vamos descrever alguns dos ataques que podem ser realizados contra redes Wifi. Oobjetivo deste trabalho e educacional e esperamos que atraves do conhecimento sobre estes ataques admi-nistradores de rede possam proteger as suas redes com maior eficiencia. Os autores nao se responsabilizampelo uso dessas informacoes com intuitos maliciosos.

O conteudo do trabalho esta divido da seguinte forma: na Secao 2 veremos uma breve introducaoaos padroes 802.11. Na Secao 3 veremos diversos ataques contra redes Wi-fi. Alguns desses ataquespodem ser mitigados com o uso de esquemas de seguranca WEP ou WPA/WPA2. Por isso na Secao4 veremos ataques especficos contra redes que utilizem o protocolo de seguranca WEP e, na Secao 5,alguns ataques contra redes que utilizam os protocolos de seguranca WPA/WPA2. E assumido que osleitores tem alguma familiaridade redes TCP/IP.

2 Os padroes IEEE 802.11

O grupo de trabalho 11 da categoria 802 de tecnologias LAN/MAN do IEEE (Institute of Electricaland Electronics Engineers), publicou em 1997 um padrao de redes sem fio locais, conhecido como IEEE802.11 [1]. Popularmente, este padrao ficou conhecido como Wi-fi pelo publico geral.

Desde a publicacao do padrao original, diversas emendas foram publicadas para melhorar a velocidadequalidade e seguranca das comunicacoes. Emendas notaveis incluem as emendas A, B, G e N [2, 3, 4, 5]que definem detalhes de frequencia e modulacao e a emenda I [6] que define os protocolos de segurancaWPA e WPA2.

1

MAC5743 Computacao Movel Primeiro semestre de 20132.1 Definicoes

Uma no de uma rede sem fio pode ser classificado entre um ponto de acesso (ou AP) e clientes. Umponto de acesso e uma estacao base, normalmente roteadores, ligados a uma rede cabeada. Um clientesao dispositivos moveis, como notebooks, smartphones e outros.

Se todos os dispositivos utilizam um ponto de acesso para se comunicar, chamamos a rede de infra-estruturada. Se clientes se comunicam diretamente, a rede e chamada Ad-hoc.

O conjunto de dispositivos que pode se comunicar uns com os outros e chamado Basic Service Set,ou BSS. Um BSS e identificado por um ID, o BSSID. Em redes infraestruturadas, o BSSID e o enderecoMAC do AP que os clientes se conectam. Em uma rede Ad-hoc, o primeiro cliente da rede escolhe oBSSID.

Uma serie de BSS conectados forma um ESS. Um ESS e identificado por um nome de ate 32-bytes, ochamado ESSID, ou simplesmente SSID. Comumente o SSID e chamado de nome da rede. Em redesresidencias e de pequenas empresas, e comum que so haja um unico BSS, com um unico roteador semfio. Nesse caso, o BSS e o ESS coincidem.

Para permitir diversas redes numa vizinhanca ao mesmo tempo, cada BSS usa uma frequencia. Essafrequencia e separada em grupos padronizados e cada grupo e chamado um canal. Uma antena sem fiopode escutar e transmitir em apenas um canal por vez.

Para se comunicar os pacotes podem ser enviados em texto puro pelo ar ou serem criptografados.Existem varios esquemas criptograficos, como o WEP, WPA e WPA2. Cada um sera discutido comdetalhes a frente.

Por uma questao de facilidade, durante a descricao dos ataques falaremos em AP, como se estivessemosfalando apenas redes infraestruturadas. Porem quase todas as tecnicas valem tambem para redes Ad-Hoccom um cliente ja pertencente a` BSS fazendo o papel de um AP.

2.2 Descoberta

Por padrao um ponto de acesso envia, varias vezes por segundo, um pacote anunciando sua existencia.Este pacote se chama Beacon Frame. Exemplos de beacon frames podem ser vistos na figura 1.

Figura 1: Exemplo de Beacon Frame capturado utilizando o programa de analise de pacotes Wireshark1

1Disponvel em http://www.wireshark.org/

2

MAC5743 Computacao Movel Primeiro semestre de 2013Beacons frames contem informacoes sobre o SSID, canal, taxas de transferencia, protocolos de segu-

ranca suportados pelo do ponto de acesso entre outras coisas, todas em texto puro. Eles sao usados paraexibir os pontos de acesso disponveis para clientes que desejam se conectar a uma rede.

Uma opcao presente em muitos pontos de acesso e a de esconder o seu SSID. Neste caso o ponto deacesso ainda envia Beacon Frames no mesmo formato, porem nesses Beacon Frames nao esta presente oSSID do ponto de acesso. No seu lugar, existe uma string de tamanho zero. Mais detalhes sobre essaopcao serao vistos na Secao 3.3.

Quando um cliente se torna ativo e quer descobrir os pontos de acesso disponveis, ele envia umpacote chamado Probe Request. Como pode ser visto na figura 2 o cliente pode enviar Probe Requestspara todos os nos da rede (Broadcast) ou procurando por um AP especfico. Normalmente um clienteenvia Probe Requests especficos para APs com as quais ele ja se conectou e, portanto, cuja configuracaoesta salva.

Figura 2: Exemplo de Probe Requests e Probe Responses. O Probe Response foi retransmitido (percebaa flag R nos pacotes)

Os pontos de acesso que recebem o pacote respondem com um pacote de Probe Response, com asmesmas informacoes presentes em um Beacon Frame.

2.3 Associacao

Um cliente que deseja se associar com um ponto de acesso primeiro envia um pacote de AuthenticationRequest para o endereco MAC do ponto de acesso com o seu SSID. Caso o ponto de acesso utilize oprotocolo de seguranca WEP no modo Shared Key, iniciar-se-a um desafio cujo objetivo e verificar se ocliente possui a chave compartilhada sem que a mesma seja transmitida. Mais detalhes sobre isso seravisto na Secao 4.

Se a autenticacao for bem sucedida, ou a rede utilize outro protocolo de seguranca (ou ainda nenhumaseguranca), o AP enviara um pacote de Authentication Response indicando sucesso. Apos isso o clienteesta autenticado, porem nao associado.

Para iniciar a associacao, o cliente envia um pacote de Association Request contendo o SSID da rede.Se a autenticacao foi completada com sucesso o AP envia um pacote de Association Response. A partirda comeca a troca de pacotes de dados.

Caso o AP use WPA, como na Figura 3 ainda e necessario completar o 4-way handshake, como seraexplicado na Secao 5.

3

MAC5743 Computacao Movel Primeiro semestre de 2013

Figura 3: Exemplo de associacao com AP protegido por WPA2

3 Ataques

Nessa secao veremos alguns ataques que podem ser feitos contra redes Wi-fi que comprometem suaprivacidade ou confiabilidade. Existem diversas ferramentas para realizar estes ataques mas demonstra-remos como eles podem ser realizados, utilizando principalmente o pacote de ferramentas Aircrack-ng1

e outras ferramentas comuns em uma distribuicao GNU/Linux.Para realizar alguns desses ataques, e necessario que o driver da placa sem fio utilizada pela atacante

tenha suporta a certas funcionalidades como modo monitor e injecao de pacotes. Nem todos os driversoficiais tem suporte a isso e em alguns casos sao necessarios patches ao kernel Linux ou drivers naooficiais no caso de outros Sistemas Operacionais.

3.1 Escutando o trafego

Todo o trafego de pacotes de controle, como os pacotes para associacao e Beacon Frames sao trans-mitidos em texto puro e podem ser capturados por qualquer um. Alem disso, em redes sem criptografia,e possvel para um atacante capturar todo trafego de dados, incluindo qualquer informacao sensvel demaneira completamente escondida. Porem, caso os pacotes seja criptografado em nvel de aplicacao, porexemplo com SSL, a escuta passiva nao podera revelar muita coisa.

Devido a limitacoes do meio fsico, uma antena deve estar no mesmo canal da rede a qual pretendeescutar. Alem disso a placa sem fio deve estar no modo monitor para que pacotes nao enderecados parao atacante sejam enviados para o Sistema Operacional.

Em um sistema GNU/Linux, pode-se ajustar o canal de uma placa sem fio representada pela interfacewlan0 para o canal 1 com o seguinte comando:

# iwconfig wlan0 channel 1Pode-se colocar uma placa no modo monitor com o programa airmon-ng. Este programa cria uma

interface virtual mon0 no modo monitor.# airmon-ng start wlan0Para capturar pacotes, pode-se usar o wireshark ou o programa airodump-ng do pacote aircrack-ng.

1http://www.aircrack-ng.org

4

MAC5743 Computacao Movel Primeiro semestre de 20133.2 Desconectando clientes

Como todos os pacotes de controle sao enviados em texto puro e sem nenhuma forma de autenticacaoda origem, um atacante poderia enviar pacotes marcados como sendo originados do AP indicando oencerramento da conexao. Com isso os clientes acreditaram que o AP encerou a associacao e irao tentarse conectar a outra AP ou simplesmente indicar ao usuario que nao ha mais conexao.

Este ataque nao e tao furtivo quanto o anterior pois o AP, se este for equipado com algum softwarede deteccao de intrusao como o Snort2, pode perceber que estao circulando pacotes em seu nome quenao foram enviados por ele e, portanto, que existe algum atacante malicioso na regiao. Porem, a menosque sejam usadas extensoes proprietarias, nao existe como os clientes saberem que o pacote e falso.

O programa aireplay pode ser usado para injetar pacotes de desassociacao. O comando:# aireplay-ng --deauth 10 -e testeAP -c AA:AA:AA:AA:AA:AA mon0envia 10 pacotes de desautenticacao em nome do AP testeAP para o cliente com cujo endereco

MAC e AA:AA:AA:AA:AA:AA.

3.3 Descobrindo redes ocultas

Conforme descrito na Secao 2.2, uma opcao comum em varios APs e a de esconder o seu SSID. Istonormalmente e feito por administrados que querem evitar que intrusos tentem acessar sua rede.

Porem, como veremos, a seguranca dada por esta tecnica e muito baixa. Primeiro, conforme vimosem 2.2, mesmo que o SSID de um AP esteja escondido, ele ainda deve enviar Beacon Frames e ProbeResponses normalmente, mas sem o seu SSID. Isso permite que um atacante saiba da existencia do AP.

Alem disso, como vimos em 2.3, durante o Association Request, um cliente deve enviar o SSID doponto de acesso. Escutando passivamente, um atacante eventualmente pode capturar um AssociationRequest e descobrir o SSID.

Se o atacante nao quiser esperar, pode ainda enviar um ataque de desautenticacao, como vistoanteriormente, forcando o cliente a se reconectar e assim capturando o seu Association Request. E facildescobrir quais clientes estao conectados a cada AP simplesmente observando o trafego.

Se o programa airodump captura um Association Request de uma rede oculta, automaticamenteexibira o seu SSID.

3.4 Burlando filtros por Enderecos MAC

Um mecanismo de seguranca utilizado tanto em redes cabeadas quanto redes sem fio sao filtrospor enderecos MAC. Filtros por enderecos MAC fazem com que o gateway de uma rede rejeite todosos pacotes exceto os provenientes de uma certa lista de enderecos MAC pre-cadastrada. Deste modo,apenas clientes cadastrados podem utilizar a rede.

Enquanto esse mecanismo pode ser efetivo em redes cabeadas, em redes sem fio sua efetividadediminui muito. Isso ocorre pois em todo pacote enviado em uma rede sem fio esta presente o enderecoMAC, independente da criptografia ou mecanismo da rede.

Por isso, um atacante que pretende se associar a uma rede com filtros por enderecos MAC so precisaescutar e tomar nota do endereco MAC de algum cliente autorizado. Entao, modificar o seu proprioendereco MAC para este, preferencialmente quando o cliente verdadeiro nao estiver na rede. Uma outrapossibilidade e impedir a conexao do verdadeiro cliente pelo uso de pacotes de desassociacao.

3.5 Burlando Portais Cativos

Um Portal Cativo e um software que forca com que clientes recem conectados se autentiquem emuma pagina especial ou aceitem termos de servico antes de poderem acessar o resto da rede. Este tipode software e normalmente usado em Wi-fi Hotspots e outras redes publicas onde distribuir uma senhaWEP ou WPA para um grande numero usuarios e inviavel.

Ao se conectar a rede, um novo cliente nao consegue utilizar a rede antes de abrir o navegador ecompletar a autenticacao ou aceitar os termos. Isso pode ser feito de varias maneiras diferentes, mas atecnica utilizada por diversos Portais Cativos, como Wifidog3 e AirMarshal4 e responder qualquer pedido

2http://www.snort.org/3http://dev.wifidog.org/4http://www.iea-software.com/products/airmarshal1.cfm

5

MAC5743 Computacao Movel Primeiro semestre de 2013HTTP com um codigo 302, indicando que o navegador deve ser redirecionamento para outro endereco.Uma vez que a autenticacao seja completada, o IP ou o endereco MAC do cliente e anotado pelo AP etodos os pacotes enviados por esse cliente sao encaminhados normalmente.

Portais Cativos podem ser burlados de diversas formas. Uma das mais simples e semelhante ao ataqueanterior onde o atacante observa a rede e coleta enderecos MAC e IP de clientes conectados e os usa umavez que o cliente sair da rede.

Uma tecnica mais sofisticada e tunelar conexoes TCP por meio de outros pacotes, nao filtrados peloPortal Cativo. Normalmente Portais Cativos nao bloqueiam pedidos de DNS, mesmo de clientes naoautenticados, pois isso causaria problemas com o redirecionamento de pedidos HTTP: uma vez abertoo navegador, se uma pedido DNS para uma pagina qualquer nao e respondido, a conexao para envio dopedido HTTP nao e feita. Responder com informacoes falsas a um pedido DNS possivelmente faria comque esses resultados falsos fossem guardados em cache e impedissem a navegacao apos a autenticacao.Por isso, Portais Cativos normalmente encaminham pacotes DNS normalmente.

Se o atacante possuir um servidor de DNS modificado ligado a` internet, pode enviar pacotes cripto-grafados para este servidor, disfarcados de pedidos DNS, e o servidor encaminhara esses pacotes para ainternet, respondendo com o conteudo tambem disfarcado de resposta DNS.

Existem diversos programas que fazer esse tipo de tunelamento, como o iodine5 e o OzymanDNS6.Caso o Portal Cativo permita, tambem e possvel tunelar conexoes por outros tipos de pacotes, comoICMP.

3.6 Parodiando redes

Em uma rede com diversos APs, um atacante pode enviar Beacon Frames e Association Responsescomo faria um AP legtimo da rede. Se o sinal do atacante for mais forte que o de outros APs, o cliente seassociara ao computador do atacante. A partir da o atacante pode escutar e enviar qualquer informacaopara a vtima. Quando o atacante encaminha os pacotes para rede, eventualmente modificando-os, isso econhecido como ataque do homem-no-meio (MitM) e a vtima pode nao perceber que ha algo de errado.

Mesmo que o sinal do atacante nao seja mais forte, ele pode forcar um cliente a associar-se a eleinjetando pacote de desassociacao em nome dos APs legtimos.

Uma variacao desse ataque consiste em o computador do atacante responder a qualquer AssociationRequest com um Association Response equivalente. Devido a configuracoes comuns em muitos sistemas,o dispositivo pode se conectar a uma rede conhecida assim que ela e detectada. Assim o atacante podese conectar ao dispositivo de uma pessoa sem que ela saiba do que esta acontecendo. Talvez mesmo semestar usando o dispositivo.

Os programas MDK3 e airbase-ng sao capazes de parodiar pontos de acesso.

4 Redes WEP

O Wired Equivalent Protection, mais conhecido simplesmente como WEP, e um protocolo de se-guranca presente no primeiro padrao IEEE 802.11 ([1]) e pretende proteger o trafego contra escuta depacotes e impedir que clientes nao autorizados se conectem a pontos de acesso.

Desde a sua introducao em 1999, diversas falhar foram descobertas no WEP que levaram a suadepreciacao em 2004, com a introducao do WPA2.

Todos os nos de uma rede que utilize WEP devem saber uma chave WEP de 64 bits ou 128 bits.Normalmente essa chave e representada em dgitos hexadecimais.

O WEP utiliza a cifra RC4[7]. A chave WEP concatenada com um vetor de inicializacao (IV) de 24bits aleatorio forma a chave do algoritmo RC4. Com essa chave, o RC4 gera um vetor de bits, chamadokeystream que e combinado com o pacote que se deseja transmitir atraves da operacao de ou exclusivo(XOR, ), conforme mostrado na figura 4.

Junto com o resultado da cifra, sao transmitidos em texto puro o vetor de inicializacao e um checksumdo pacote gerado utilizando o algortimo CRC-32 [9].

5https://github.com/yarrick/iodine6http://www.doxpara.com/ozymandns_src_0.1.tgz

6

MAC5743 Computacao Movel Primeiro semestre de 2013

Figura 4: Esquema de criptografia de pacotes WEP (Fonte: [8])

Para descriptografar, o destinatario obtem o vetor de inicializacao, combina-o com a chave WEP e,utilizando o RC4, gera o mesmo keystream. Como AB A = B, ao fazer a operacao de XOR com okeystream gerado, o pacote original e recuperado.

Utiliza-se um novo IV para cada pacote enviado. Se este nao fosse o caso, o keystream seria sempre omesmo e, combinando dois pacotes enviados, um atacante obteria esse keystream com alta probabilidade.Normalmente ele e criado aleatoriamente, mas sua escolha depende inteiramente de quem o envia.

Uma rede WEP pode estar configurada com dois metodos de autenticacao: Open System ou SharedKey.

Quando um cliente tenta se associar a um ponto de acesso, caso a rede utilize o metodo OpenSystem, a autenticacao sempre e bem sucedida (a menos que existam filtros por enderecos MAC) e ocliente consegue associar-se sem provar que sabe chave WEP. Porem, assim que ele tentar enviar algumpacote, se nao possuir a chave correta, falhara pois o AP vai gerar um keystream diferente e o pacotenao sera descriptografado corretamente.

Se a rede utiliza o metodo Shared Key, apos receber um Authentication Request o AP envia umdesafio consistindo de uma sequencia aleatoria de bits em texto puro. O cliente criptografa este desafiocom a chave WEP e envia de volta para o AP. Se apos descriptografar o AP conseguir obter de volta omesmo desafio, a autenticacao e aceita.

Apesar de parecer mais segura, o metodo Shared Key na verdade e mais inseguro, pois permite oataque que veremos a seguir.

4.1 Autenticacao falsa

Se um atacante captura a troca de pacotes para a autenticacao entre um cliente e um AP, ou seja,captura tanto o desafio enviado pelo AP (A) quanto a resposta do cliente (B), ele pode calcular A Be obter assim um keystream valido (para um certo IV) de tamanho igual ao desafio.

Normalmente este keystream e pequeno, mas pode ser usado para injetar pacotes fragmentados,usando sempre o mesmo IV e keystream.

Um dos usos possveis desse keystream e se autenticar com um AP sem possuir a chave WEP.Com o keystream capturado, o atacante pode criptografar corretamente o desafio do AP e completar aautenticacao.

7

MAC5743 Computacao Movel Primeiro semestre de 2013Ele nao podera ler os pacotes enviados pelo AP e deve sempre usar o mesmo IV, mas isso ja e o

suficiente para permitir outros ataques, como ARP Spong[10] e obter outros IVs, necessarios para oproximo ataque.

4.2 Obtendo a chave WEP

O protocolo WEP possui diversas fraquezas que podem ser exploradas para se obter sua chave. Algunsdos primeiros trabalhos a explorar estes problemas foram [11, 12] em 2001, mas os ataques mostradosnesses trabalhos levavam varios dias. Algum tempo depois, com as contribuicoes em [13, 14, 15] e deoutros pesquisadores se tornou possvel obter a chave WEP em questao de minutos com um ataqueestatstico.

A fraqueza do cifra esta no uso do RC4. Existem alguns IV fracos que revelam informacao sobreo resto da chave usada no RC4 e tornam plausvel a quebra por forca bruta em poucos minutos. EstesIV fracos variam para cada chave WEP.

Por tanto, para quebrar uma chave WEP, um atacante precisaria apenas ficar coletando pacotes comIVs diferentes ate ter um numero suficiente para que seja possvel quebrar a chave. Ele poderia obteresses pacotes, por exemplo, como o airodump ou com o wireshark.

# airodump -w saida mon0Em media, sao necessarios 300.000 IVs para quebrar uma chave de 64bits. Pode demorar muito

tempo para coletar essa quantidade de pacotes. Por isso, para acelerar esse ataque, o atacante podeinjetar pacotes que gerariam respostas com IVs diferentes.

Uma tecnica comum e o ARP Request Replay. O atacante espera um cliente enviar um pedidode resolucao ARP para o AP. Estes pacotes podem ser identificados, mesmo criptografados, pelo seutamanho e comportamento. Entao o atacante repete esse pacote muitas vezes, fazendo o AP criar variosnovos pacotes com IVs diferentes.

Para que possa injetar esses pacotes, o atacante deve ter realizado uma autenticacao falsa, comomostrado na Secao anterior, ou deve usar o endereco MAC de um cliente autenticado.

Um exemplo de realizacao deste ataque com a ferramenta aireplay-ng e:# aireplay-ng --arpreplay -b 00:13:10:30:24:9C -h 00:11:22:33:44:55 mon0Onde 00:13:10:30:24:9C e o endereco MAC do AP e 00:11:22:33:44:55 e o endereco MAC de um cliente

autenticado ou de uma falsa autenticacao.Apos coletados IVs suficientes, executa-se o programa aircrack-ng:# aircrack-ng saida.ivsUm exemplo de sada e mostrado abaixo:

Aircrack-ng 0.7 r130

[00:00:10] Tested 77 keys (got 684002 IVs)

KB depth byte(vote)0 0/ 1 AE( 199) 29( 27) 2D( 13) 7C( 12) FE( 12) FF( 6) 39( 5) 2C( 3) 00( 0)1 0/ 3 66( 41) F1( 33) 4C( 23) 00( 19) 9F( 19) C7( 18) 64( 9) 7A( 9) 7B( 9)2 0/ 2 5C( 89) 52( 60) E3( 22) 10( 20) F3( 18) 8B( 15) 8E( 15) 14( 13) D2( 11)3 0/ 1 FD( 375) 81( 40) 1D( 26) 99( 26) D2( 23) 33( 20) 2C( 19) 05( 17) 0B( 17)4 0/ 2 24( 130) 87( 110) 7B( 32) 4F( 25) D7( 20) F4( 18) 17( 15) 8A( 15) CE( 15)5 0/ 1 E3( 222) 4F( 46) 40( 45) 7F( 28) DB( 27) E0( 27) 5B( 25) 71( 25) 8A( 25)6 0/ 1 92( 208) 63( 58) 54( 51) 64( 35) 51( 26) 53( 25) 75( 20) 0E( 18) 7D( 18)7 0/ 1 A9( 220) B8( 51) 4B( 41) 1B( 39) 3B( 23) 9B( 23) FA( 23) 63( 22) 2D( 19)8 0/ 1 14(1106) C1( 118) 04( 41) 13( 30) 43( 28) 99( 25) 79( 20) B1( 17) 86( 15)9 0/ 1 39( 540) 08( 95) E4( 87) E2( 79) E5( 59) 0A( 44) CC( 35) 02( 32) C7( 31)

10 0/ 1 D4( 372) 9E( 68) A0( 64) 9F( 55) DB( 51) 38( 40) 9D( 40) 52( 39) A1( 38)11 0/ 1 27( 334) BC( 58) F1( 44) BE( 42) 79( 39) 3B( 37) E1( 34) E2( 34) 31( 33)

KEY FOUND! [ AE:66:5C:FD:24:E3:92:A9:14:39:D4:27:4B ]

8

MAC5743 Computacao Movel Primeiro semestre de 20135 Redes WPA e WPA2

Apos a quebra definitiva do WEP, um novo protocolo de seguranca foi desenvolvido na ementa IEEE802.11i[6]. Porem muitos dispositivos com pouco poder de processamento contavam com implementacoesde hardware para acelerar o RC4 e o novo protocolo nao utilizava o RC4.

Por isso, o grupo de trabalho IEEE 802.11 publicou dois protocolos de seguranca: o WPA, que ecompatvel com estes dispositivos, e o WPA2, que quebra a compatibilidade.

O WPA e considerada uma solucao intermediaria, usa o esquema criptografico TKIP, que utiliza acifra RC4 e, por tanto, nao requer mudancas no hardware de dispositivos preparados para WEP. Apenasmudancas de firmware.

O WPA2, por sua vez, e considerado uma solucao a longo prazo, pode ser configurado para usar oTKIP ou o CCMP, que utiliza a cifra AES[16]. Para poder suportar o AES por hardware, sao necessariasmudancas.

Tanto o WPA e o WPA2 possuem duas versoes: a versao pessoal (PSK Pre-shared Key) e a versaoempresarial (Enterprise).

5.1 WPA(2)-PSK

O WPA(2) Pessoal utiliza uma chave alfanumerica com comprimento entre 8 e 63 caracteres. Aposa associacao, quatro mensagens, conhecidas conjuntamente como 4-way handshake sao trocadas. Elaspodem ser vistas nos pacotes da Figura 3.

Na primeira mensagem, o AP envia ao cliente um numero aleatorio, chamado ANOUNCE. Depoisdisso o cliente gera um outro numero aleatorio, SNOUNCE e gera uma chave que combina o ANOUNCE,o SNOUNCE, a chave WPA(2) e endereco MAC do cliente. Essa chave e chamada PTK, e e a chaveusada como entrada do RC4 ou AES no TKIP/CCMP.

O AP, tendo as mesmas informacoes, pode gerar a mesma PTK e confirma isso com a terceiramensagem. A quarta mensagem e apenas um ACK do cliente.

Depois do 4-way handshake, nenhuma informacao sobre a chave e transmitida, nao existem IVs, epor isso o TKIP nao pode ser quebrado da mesma forma que o WEP.

De fato a unica maneira de descobrir a chave WPA/WPA2 e por um ataque de forca bruta, testandodiversas senhas comuns. Isso so pode ser feito se o 4-way handshake foi capturado por um atacante eele sabe o ANOUNCE e SNOUNCE. Mesmo sabendo a chave da rede, sem esses numeros nao e possvelespiar pacotes em uma rede WPA.

Apesar de muito mais seguro que o WEP e sem uma quebra definitiva, o TKIP tem uma falha, rema-nescente do seu uso do RC4. Em [17] foi notado que e possvel injetar pacotes ligeiramente modificadosem uma rede que usa TKIP. Porem como nao e possvel quebrar a chave com isso, o risco e limitado.

5.2 WPS/QSS

O Wireless Protected Setup, ou Quick Secure Setup, e uma forma de facilitar a configuracao da redepara usuarios domesticos.

A ideia e que um novo dispositivo, quanto tenta se associar, deve digitar um codigo PIN de 8 dgitos,normalmente escrito no AP. Feito isso, o AP e o dispositivo trocam, de forma segura, a chave da redeWPA/WPA2-PSK, potencialmente complicada, e a partir desse ponto o cliente guarda essa senha e ousuario nao precisa mais se preocupar.

Por ter 8 dgitos e cada transicao de troca de chaves demorar em torno de 1 segundo, encontrar oPIN por forca bruta parece inviavel a primeira vista. Porem, em [18] foi notado que o ultimo digito eum checksum e que durante a autenticacao, o AP sinaliza a corretude de cada metade do PIN.

Por isso, o quantidade de numeros que devem ser testados cai de 108 para 11.000. Um numeroperfeitamente possvel de se quebrar por forca bruta.

O programa reaver faz exatamente isso. Pode-se obter a chave de uma rede WPA/WPA2-PSK como comando:

# reaver -i mon0 -b 00:01:02:03:04:05onde 00:01:02:03:04:05 e o BSSID da rede. O ataque, em geral, demora de 2h a 4h.Por isso e recomendado que nao se use WPS. Um esquema de seguranca que era razoavelmente seguro

se tornou inseguro pelo seu uso.

9

MAC5743 Computacao Movel Primeiro semestre de 20135.3 WPA(2)-Enterprise

Com o WPA e WPA2-Enterprise o AP esta conectado de maneira segura, normalmente por redecabeada a um servidor de autenticacao Radius que autentica o usuario. O protocolo definido nos padroes,o EAP, e apenas um mecanismo para enviar as respostas para o servidor Radius, e os mecanismos dedesafio e resposta utilizados para gerar a PTK variam.

Figura 5: Esquema de autenticacao do WPA/WPA2 Enterprise. Fonte: IEEE802.11x)

Muitos protocolos podem ser usados com EAP: EAP-TTLS, PEAP, EAP-MD5, PAP, entre outros.Alguns protocolos, como o EAP-MD5, podem ser quebrados apenas escutando a autenticacao. Outros,como o PAP podem ser quebrados se o atacante parodiar o AP e utilizar um servidor Radius modifi-cado. Os protocolos EAP-TTLS e PEAP, por sua vez, podem ser configurados com a chave publica doAP, tornando impossvel parodia-lo. Porem a chave publica e opcional e pode ser ignorada em certasconfiguracoes.

Cada um desses protocolos tem fraquezas e seguranca diferentes o que torna uma revisao de todosmuito extensa para este trabalho. Mais informacao sobre ataques contra WPA-Enterprise podem serencontrados em [19].

6 Conclusao

Redes sem fio sao incrivelmente praticas, porem por problemas de configuracao, protocolo e imple-mentacao existem muitos possveis ataques que comprometem a rede.

E possvel ter um nvel de seguranca razoavel utilizando-se WPA2 com CCSM desde que se desligue

10

MAC5743 Computacao Movel Primeiro semestre de 2013o WPS. Porem ainda pode-se ficar a merce de ataques de desassociacao e MitM limitados. Ataques deMitM podem ser mitigados utilizando-se WPA-Enterprise com chaves publicas.

E possvel ter redes sem fio seguras. Porem muitas sao as armadilhas.

Referencias

[1] IEEE Standard for Information Technology Local and Metropolitan Area Networks SpecificRequirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)Specifications. IEEE Std 802.11-1997, p. i445, 1997.

[2] IEEE Standard for Information Technology Local and Metropolitan Area Networks SpecificRequirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)Specifications High-speed Physical Layer in the 5 GHz Band. IEEE Std 802.11-1999, 1999.

[3] IEEE Standard for Information Technology Local and Metropolitan Area Networks SpecificRequirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)Specifications Higher speed Physical Layer Extension in the 2.4 GHz Band. IEEE Std 802.11-1999,1999.

[4] IEEE Standard for Information Technology Local and Metropolitan Area Networks SpecificRequirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)Specifications Further Higher Data Rate Extension in the 2.4 GHz Band. IEEE Std 802.11-2003,2003.

[5] IEEE Standard for Information technology Local and metropolitan area networks Specificrequirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)Specifications Amendment 5: Enhancements for Higher Throughput. IEEE Std 802.11n-2009, p. 1565, 2009.

[6] IEEE Standard for Information technology Local and metropolitan area networks Specificrequirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)Specifications Amendment 6: Medium Access Control (MAC) Security Enhancements. IEEE Std802.11i-2004, 2004.

[7] SCHNEIER, B. Applied Cryptography: Protocols, Algorithms, and Source Code in C. Segunda edicao.Nova York, NY, EUA: John Wiley and Sons, 1996.

[8] WIKIPEDIA. Wired Equivalent Privacy Wikipedia, The Free Encyclopedia. 2013. [Online; acces-sado em 30 de Junho de 2013]. Disponvel em: .

[9] PETERSON, W.; BROWN, D. Cyclic codes for error detection. Proceedings of the IRE, v. 49, n. 1,p. 228235, 1961. ISSN 0096-8390.

[10] LOCKHART, A. Network security hacks. Sebastopol, CA, EUA: OReilly, 2007. ISBN9780596527631.

[11] BORISOV, N.; GOLDBERG, I.; WAGNER, D. Intercepting mobile communications: The insecurityof 802.11. In: ACM. Proceedings of the 7th annual international conference on Mobile computing andnetworking. [S.l.], 2001. p. 180189.

[12] FLUHRER, S.; MARTIN, I.; SHAMIR, A. Weaknesses in the key scheduling algorithm of rc4. In:SPRINGER. Selected areas in cryptography. [S.l.], 2001. p. 124.

[13] STUBBLEFIELD, A.; IOANNIDIS, J.; RUBIN, A. D. Using the fluhrer, mantin, and shamir attackto break wep. In: NDSS. [S.l.: s.n.], 2002.

[14] KLEIN, A. Attacks on the rc4 stream cipher. Des. Codes Cryptography, v. 48, n. 3, p. 269286,2008.

11

MAC5743 Computacao Movel Primeiro semestre de 2013[15] TEWS, E.; WEINMANN, R.-P.; PYSHKIN, A. Breaking 104 bit wep in less than 60 seconds. In:SPRINGER. Lecture Notes in Computer Science. [S.l.], 2007. v. 4867, p. 188202.

[16] DAEMEN, J.; RIJMEN, V. Aes proposal: Rijndael. In: First Advanced Encryption Standard (AES)Conference. [S.l.: s.n.], 1998.

[17] BECK, M. Enhanced TKIP michael attacks. 2010. Disponvel em: .

[18] VIEHBOCK, S. Brute forcing wi-fi protected setup. Wi-Fi Protected Setup. Retrieved March, v. 3,p. 2012, 2011.

[19] ANTONIEWICZ, B. 802.11 Attacks. [S.l.], 2008. Disponvel em: .

[20] AIRCRACK-NG. Aircrack-ng. 2013. [Online; accessado em 30 de Junho de 2013]. Disponvel em:.

12

IntroduoOs padres IEEE 802.11DefiniesDescobertaAssociao

AtaquesEscutando o trfegoDesconectando clientesDescobrindo redes ocultasBurlando filtros por Endereos MACBurlando Portais CativosParodiando redes

Redes WEPAutenticao falsaObtendo a chave WEP

Redes WPA e WPA2WPA(2)-PSKWPS/QSSWPA(2)-Enterprise

Concluso