Prolomení WPA/WPA2-PSK přes WPS snadno a rychle (teorie)

Na začátku si pojďme ujasnit pojmy a ukažme na hodného a na toho zlého. Z nadpisu by se mohlo zdát, že se objevil způsob prolomení WPA bez nutnosti použít hrubou sílu (brute-force attack). To ale není úplně pravda, samotné WPA se totiž stále drží dobře a opravdu jediný doposud známý způsob prolomení WPA je použití hrubé síly. Takže vhodně zvolené heslo, tedy dostatečně dlouhé a silné, zaručuje praktickou neprolomitelnost wifi sítě WPA spolehlivě. To, co podlamuje WPA nohy, je WPS (Wifi Protected Setup). Standard vyvinutý po boku WPA, který usnadňuje spárování dvou zařízení (např. router — PC) uživatelům, kteří nechtějí vstupovat do tajů šifrování a od svých chytrých krabiček očekávají, že prostě budou fungovat. Přesněji: ukolem WPS je zajistit bezpečné spárování dvou zařízení bez nutnosti zadávat dlouhá a případně i komplikovaná hesla. Samotný standard byl představen v roce 2007 a většina dnešních moderních routerů jej podporuje. Podporují jej i koncová zařízení, jakou jsou chytré mobilní telefony (např. Android od verze 4.1 nativně) nebo operační systémy, takže služba je v praxi velmi rozšířená a snadno použitelná.

WPS jako dobrý sluha

Idea WPS určitě není špatná. Jako úplný laik si koupíte router s přednastaveným šifrováním WPA(2)-PSK a s přednastaveným dostatečně silným heslem (náhodná čísla, písmena, znaky, ...). Nebo, pokud je router z výroby otevřen bez šifrování, necháte si jednorázově router dobře zabezpečit někým zdatnějším, ale podrobnosti o nastavení šifrování a hesla nemusíte nijak řešit. Router pak pouze zapojíte podle náčrtu (ADSL, WAN port) a všechna potřebná zařízení si spárujete pomocí WPS. Standard WPS byl navržen s ohledem na využití v domácích sítích a nabízí několik metod párování — zadáním PIN (osmimístné číslo), stisknutím tlačítka (fyzického na routeru či virtuálního v operačním systému), pomocí NFC (přiložením dvou zařízení k sobě) a pomocí USB zařízení. Celkem tedy čtyři metody, z nichž se v praxi nejčastěji používají první dvě a poslední (pomocí USB) dnes standard nedoporučuje používat. Jednotlivé způsoby zde nebudeme rozebírat detailně, velice podstatné je ale to, že metoda párování s pomocí PIN je povinnou součástí implementace standardu a v praxi jej tak musí podporovat všechna zařízení, která WPS implementují. Což je celkem problém, protože slabina WPS je právě v metodě párování pomocí PIN, takže všechna zařízení podporující WPS jsou teoreticky (a v podstatě i prakticky) zranitelná.

WPS jako špatný pán

V prosinci roku 2011 upozornil Stefan Viehböck na slabinu v návrhu WPS, která, podpořena v praxi nedokonalou implementací výrobci routerů, dělá WPS prolomitelné hrubou silou — a teď pozor — se stoprocentní úspěšností v řádu několika hodin. A to bez ohledu na složitost hesla k WPA, protože WPS jako takový s WPA nesouvisí, slouží pouze pro výměnu informací a klíčů před navázáním šifrovaného spojení WPA. Výsledkem prolomení WPS je nejen odhalení PINu WPS, ale také hesla k síti chráněné WPA(2)-PSK.

V praxi...

Dle informací dostupných na internetu trvá v praxi prolomení WPS typicky něco mezi dvěmi až čtyřmi hodinami. To můžu z vlastní zkušenosti potvrdit, protože moje vlastní heslo se mi podařilo prolomit během hodiny a půl. Takhle rychle jsem nebyl úspěšný ani u prolomení WEP! Navíc se mi hacking WPS zdá v porovnání s hackingem jiných wifi technologií z uživatelského hlediska jednodušší — není potřeba zachytávat žádný provoz (WEP), vynucovat si a chytat výměnu wpa handshake (WPA)... Prostě se jen neustále dokola zkouší jeden PIN za druhým (to samozřejmě dělá software), dokud se ten správný netrefí. Pouze je třeba zajistit alespoň trošku kvalitní signál, tzn. nebýt od routeru příliš daleko.

Slabina WPS

Pojďme se teď podrobněji podívat na slabinu v návrhu WPS. Jak už jsem psal dříve, slabina je v návrhu párování s využitím PIN kódu. PIN kód je nastaven v routeru buď natvrdo, nebo jej lze měnit například přes webové rozhraní routeru, což není ale až tak podstatné. Návrh WPS trpí v podstatě dvěma slabinami — méně závažné je, že jej obecně lze prolomit brute-force útokem. Více závažné ale je, že vzhledem k okolnostem výměny informací mezi routerem a klientem lze optimalizovat algoritmus útoku tak, že lze dramaticky snížit maximální nutný počet pokusů úspěšného útoku. Pojďme si to rozebrat konkrétněji. WPS PIN je 8 místné číslo. Teoreticky tedy existuje 10⁸ variant PIN kódu, tedy až 100.000.000 pokusů nutných k prolomení WPS útokem hrubou silou. To není málo, vezmeme-li v potaz to, že proces ověření jednoho PIN kódu trvá zhruba 3 sekundy a neexistuje možnost, jak jej v praxi nějak výrazněji urychlit. PIN se ale během procesu ověřování rozpadá na dvě části. Každou část tvoří čtyři číslice, druhá část se navíc rozpadá na tři číslice plus poslední číslice tvoří kontrolní součet. A největší slabina: díky specifické odpovědi routeru je klient schopen odvodit, zda byla první a poté i druhá část použitého PINu správná. Se znalostí této vlastnosti je možné optimalizovat algoritmus útoku hrubou silou tak, že se redukuje maximální počet potřebných pokusů na 10⁴ + 10³, tedy 10.000 + 1.000 = 11.000 pokusů. Jedenáct tisíc pokusů, dramaticky mnohem méně než původních sto milionů, to je při frekvenci 3 sec/PIN nanejvýš něco kolem 9 hodin, které k prolomení WPS se 100% úspěšností potřebujeme.
Hacknuté WPS za 93 minut.

Špatný návrh a k tomu nic moc implementace

Vražedná kombinace špatného návrhu a špatné implementace dělá zranitelná všechna zařízení s podporou WPS. Co je myšleno špatnou implementací? Problém je v tom, že výrobci neimplementují do WPS žádné detekční mechanismy, které by útoku hrubou silou zabránily, resp. dostatečně by jej stížily. Nutno ale podotknout, že standard WPS nic takového nevyžaduje, těžko lze tedy vinit pouze výrobce z daného průšvihu. A samozřejmě v době, kdy se o slabině (asi) nevědělo, by byla implementace dodatečných mechanismů nad rámec cílové skupiny, kam WPS patří — domácnosti a malé podniky. Problém slabiny WPS je řešitelný detekcí útoku hrubou silou a blokováním WPS na dostatečně dlouhý interval po daném počtu neúspěšných pokusů. Například: po patnácti neúspěšných pokusech blokuj WPS na 60 minut — maximální doba útoku by se prodloužila v tomto případě až na více jak 30 dní. To útok už dostatečně prodlužuje a tím komplikuje úspěšnost jeho provedení. V kombinaci s reportovací službou (přes e-mail) by bylo možné útok na WPS včas odhalit a adekvátním způsobem zakročit. Nicméně představa, že si domácí uživatel konfiguruje zasílání e-mailů z routeru je trošku naivní, navíc ve spojení s WPS, které cílí opravdu na uživatele laiky.

Ochrana proti útoku

Účinná ochrana v praxi neexistuje. Tedy existuje — vypnout WPS, nebo ještě lépe mít router BEZ podpory WPS. Problém některých routerů je totiž ten, že i přes jeho deaktivaci (pomocí webového rozhraní) zůstalo WPS aktivní. Pokud je pro daný router k dispozici aktualizace firmware, která slabinu WPS řeší (nejspíš detekcí brute-force útoku), je možné problém částečně vyřešit aktualizací firmware zařízení. Dokud se ale do praxe nedostane následník WPS (WSC 2.0), tedy standard vyžadující implementaci detekce útoku hrubou silou, bude používání této technologie párování značně rizikové. Já osobně doporučuji WPS, pokud jej opravdu nepotřebujete a s láskou nevyužíváte, vypnout.

Nástroje pro útok na WPS

Pokud máte router s podporou WPS (nebo QSS, tak jak tuto službu nazývá TP-Link), není na škodu si otestovat průstřelnost implementace WPS právě ve vašem routeru. Konkrétnímu návodu se budu věnovat v některém z dalších příspěvků, každopádně na začátek poskytnu dvě důležité indicie: BackTrack Linux – Penetration Testing Distribution a Reaver. Happy hacking! UPDATE: Praktická ukázka útoku viz související příspěvek.