Circumvent WPA2 (PSK) Warker

Transkript

1 Circumvent WPA2 (PSK) Warker

2 Inhalt Vorstellung WPA(2) TKIP CCMP 4 Way-Handshake / EAPOL Password Recovery Bruteforce / Wörterbuch WPS Standardpasswortgeneratoren Weitere Möglichkeiten

3 Vorstellung WPA(2) Wifi Protected Access 2004 als Quasistandard aus Teilen des IEEE i Drafts entstanden um die Unzulänglichkeiten von Wired Equivalent Privacy zu korrigieren WifiAlliance wollte nicht auf die Fertigstellung des IEEE i Standards warten, da WEP zu diesem Zeitpunkt schon als gebrochen galt Ableitung eines mit der Password-Based-Key-Derivation-Function 2 Masterschlüssels aus dem Wlan-Passwort (Pre-Shared-Key) IEEE 802.1X (Extensible Authentication Protocol Over Lan ) zur Generierung eines temporären Schlüssels Message Integrity Check zur Sicherung der Integrität von Nachrichten 2 Modi: Temporary Key Integrity Protocol (WPA) und Counter-Mode/CBC- MAC Protocol (WPA2)

4 TKIP Temporary Key Integrity Protocol Nutzt wie WEP RC4 als Verschlüsselung 48Bit Initialisierungsvektor anstatt 24Bit (WEP) Key-Mixing-Algorithmus zur Generierung eines neuen Schlüssels pro Paket Michael als Message Integrity Code anstatt von CRC32 (Schutz vor Replayattacken) Gilt als nicht mehr ausreichend sicher (Vanhoef-Piessens-Attack) Quelle:

5 CCMP Counter Mode Cipher Block Chaining Message Authentication Code Protocol Löst TKIP ab Default Modus für WPA 2 Verwendet AES 128 als Verschlüsselung anstatt RC4 Cipher Block Chaining Message Authentication Code (CBC-MAC) anstatt Michael Keine öffentlich bekannten Sicherheitslücken Quelle: fi+protected+access+and i/part+ii+the+design+of+wi- Fi+Security/Chapter+12.+AES+CCMP/How+CCMP+Is+Used+in+RSN/

6 4 Way Handshake / EAPOL Extensible Authentication Protocol Over (W)LAN STA ANonce AP IEEE 802.1X-2001 bzw 2004 Extensible Authentication Protocol STA constructs the PTK SNonce + MIC GTK + MIC AP constructs the PTK Aushandlung des Pairwise- Transient-Key Berechnet aus dem Pairwise- Master-Key, der ANonce, der Snonce sowie STA- Macadresse und AccessPoint- Macadresse Ack Quelle: Bisher die einzige Möglichkeit um durch einen Mitschnitt des Traffics an das Wlan-Passwort zu gelangen

7 Vom Passwort zum PTK PSK = PMK = PBKDF2(Pass, Ssid, SsidLen, 4096, 256) Pass = Passwort der Länge 8-63 und nur Zeichen von 0x20 0x7e (96 Zeichen) Ssid = Name des Netzwerks als Salt (aus dem Broadcast oder Proberequest) 4096 Runden 8192 Aufrufe HMAC-SHA1 256 Bit = Länge des Pairwise-Master-Keys/Pre-Shared-Key HMAC-SHA1(secret, val) = SHA1((secret 0x5c) SHA1((s 0x36) val))

8 Password Recovery Was kennen wir? PTK = Pass2PTK(Pass, Ssid, Anonce, Snonce, Amac, Smac) Ssid ist aus Broadcasts oder Probe-Requests bekannt Amac, Smac, Anonce und Snonce aus dem 4Way-Handshake Original-MIC und Inhalt des Daten-Pakets zum Vergleich Was fehlt ist nur das Passwort Rechenkern Passwörter/s (Hashcat) CPU ~ ATI Radeon r9 290x ~ Nvidia GTX970 ~ Amazon EC2 g2.8xlarge 4x ~ = ~ (2,60$/h)

9 Bruteforce Fritz!Box Default Passwort 10 Billiarden Kombinationen (10^16) 170KH/s ~1864 Jahre

10 Wörterbuchangriff Jemand hat das Standardpasswort auf den Namen seines Haustiers geändert Nur wenige Nutzer ändern das Standardpasswort Meist erkennt man das an geänderten Ssids Tools (gilt auch für Bruteforce) Aircrack-ng (CPU) Pyrit (GPU) *hashcat (CPU, GPU) John-the-Ripper (Regelbasierte Erweiterung des Wörterbuchs)

11 Rainbow-Tables Time-Memory-Tradeoff würde sich anbieten Durch Verwendung der Ssid als Salt wird eine echte jedoch Rainbow-Table unpraktisch Oft wird keine feste Ssid verwendet (z.b. WLAN-<dynamisch>) Rainbow-Table von der Church of Wifi 1 Millionen Passwörter (Wörterbuch) für 1000 Standard-Ssids 33 GB Groß genpmk zur Generierung eigener Rainbow-Tables Lohnt im allgemeinen nicht

12 WPS Wifi-Protected-Setup 2007 eingeführt um die Verbindung von Clients zum AP zu vereinfachen PIN Eingabe einer 8 stelligen Pin PBC drücken eines Kopfes am AP und am Client zum herstellen der Verbindung (begrenzt auf ~2 Minuten) NFC der Client muss eine Datenverbindung per NFC mit dem AP aufbauen um das Passwort zu erhalten (häufig bei Druckern) Standardmäßig aktiviert Umgeht jedes noch so sichere Passwort

13 WPS (PIN) Wifi-Protected-Setup Sehr schlechtes Design AP schickt Bestätigung ob die ersten 4 Ziffern korrekt sind m( Somit nicht 10^8 Kombinationen sondern nur 2 * 10^4 Die 8 Ziffer ist nur eine Checksumme der Ziffern 1-7 nur Kombinationen Manche Implementierungen machen nach ein paar Versuchen WPS dicht Manche Hersteller generieren die PIN anhand eines Algorithmus (z.b. EasyBox 802) Brute forcing Wi-Fi Protected Setup Viehböck 2011

14 Default Algorithmen Wird bei OEM-Routern verwendet um einen weiteren Schritt bei der Herstellung einzusparen Häufigster Hersteller Arcadyan (z.b. Vodafone Easybox 803A, Alice/O2 1121, 1421, 4421) März 2012 wurde der Algorithmus zur Generierung des WPA-Passworts aus der MAC-Adresse bekannt, da er in einem Patent beschrieben wurde m( August 2013 wurde dann die Firmware untersucht und der Algorithmus zur Generierung der WPS-PIN gefunden Ende 2013 gab es einen Patch, der die MAC beim Booten anhand der alten MAC und der Seriennummer verändert Allerdings blieb die SSID und der Algorithmus für die Generierung des WPA- Passworts und der WPS-Pin gleich (sonst hätte man die User ausgesperrt)

15 Easybox 802 und 803A def change_mac(old_mac, serial): old_mac = old_mac.upper() # das ist der Init-Wert aus dem ROM pre_heat = bytearray.fromhex('1f170f131d062704\ C \ 201E10180D192201\ 151B211C E\ A0B23') # nur 4 Ziffern aus der Seriennummer pre_heat[6:15] = '%s%05d' % (serial[0:4], int(old_mac[8:], 16)) # fuege alte MAC ein pre_heat[17:23] = old_mac[6:] res = hashlib.md5(pre_heat).hexdigest() # MD5 hashing return '%02X%s%s%s%s' %(int(old_mac[0:2], 16)+2, old_mac[2:6], res[8:10].upper(), res[16:18].upper(), res[28:30].upper()) def keygen( mac ): (s6, s7, s8, s9, s10) = [int(x) for x in '%05d' % (int(mac[8:], 16))] (m9, m10, m11, m12) = [int(x, 16) for x in mac[8:]] k1 = (s7 + s8 + m11 + m12) & (0x0F) k2 = (m9 + m10 + s9 + s10) & (0x0F) x1 = k1 ^ s10 x2 = k1 ^ s9 x3 = k1 ^ s8 y1 = k2 ^ m10 y2 = k2 ^ m11 y3 = k2 ^ m12 z1 = m11 ^ s10 z2 = m12 ^ s9 z3 = k1 ^ k2 return "%X%X%X%X%X%X%X%X%X" % (x1, y1, z1, x2, y2, z2, x3, y3, z3) Wir kennen die neue MAC Die neue MAC besteht zur Hälfte aus der alten Es werden nur 4 Ziffern der Seriennummer verwendet Theoretisch 10000*2^24 = Kombinationen ~30 min bei 100MH/s (CPU) Keygen verwendet allerdings nur die letzten beiden Bytes der MAC-Adresse Wörterbuch mit Einträgen EasyBox-AABBXY AABB - Teile der alten MAC; XY 2 Ziffern der Seriennummer * 2^8 Als Lösung kommt eine Menge aus 1-3 möglichen Ursprung-MACs heraus

16 Wie findet man diese? 1. UART Ausgabe analysieren 2. Firmware auftreiben Download von der Herstellerseite Via UART über den Bootloader JTAG Direkt vom Romchip 3. Analyse des Roms strings binwalk best software ever! hexdump file 4. Disassemble IDA pro radare2 objdump Tools: screen(uart), qemu (Emulation von Binaries)

17 Alicebox 1421 def generate_key(mac_str, serial_number): sp = [] mac_data = [int(x, 16) for x in mac_str] sn_data = [int(x, 16) for x in serial_number] t0 = mac_data[8] t1 = sn_data[8] t2 = sn_data[7] t3 = mac_data[10] t4 = sn_data[6] a1 = sn_data[9] a2 = mac_data[9] a3 = mac_data[11] a0 = (t4+t2+t3+a3) & 0xf v1 = (t0+a2+t1+a1) & 0xf sp.append(a0â1) sp.append(v1â2) sp.append(t3â1) sp.append(a0^t0) sp.append(v1^t4) sp.append(sn_data[5]) sp.append(a0^t1) sp.append(v1^t3) sp.append(a3^t1) sp.append(a0â2) sp.append(v1^t2) sp.append(a0^t2) sp.append(v1â3) sp.append(a0^v1) sp.append(a0^t3) sp.append(v1^t1) return.join([str(x%10) for x in sp]) Hersteller Arcadyan Möglichkeit über UART den ROM auszulesen; leider zu spät erfahren also TSOP 48 Romchip per Heißluft ausgelötet Rom über Programmer ausgelesen falsche Endianess 4 Byte Swap Binwalk erkennt 3 LZMA Blöcke die nicht korrekt entpackt werden können (Obfucated) Mit IDA den Bootloader analysiert und den Deobfuscation Algorithmus entdeckt Damit den Speicher wiederhergestellt und mit 7zip entpackt In IDA Pro nach der SSID gesucht und die Referenz auf den WPA-Generator gefunden Ähnelt stark dem Easybox-Algorithmus ;)

18 Alternative Angriffe Cross-Site-Request-Forgery Opfer besucht bösartige Webseite Browser ruft eine API-Funktion vom Router auf (z.b. über ein Image-Tag) Auslesen/ändern der Konfiguration des Routers Kombinierbar mit dem Vanhoef-Piessens-Attack Phishing Wifiphisher Fazit: WPA2-CCMP verwenden Standardpasswort des Routers und WPA2 ändern WPS abschalten! Sollte dies nicht möglich sein, anderen Router kaufen.

19 Vielen Dank für die Aufmerksamkeit