¿Es posible acelerar el craqueo WPA / WPA2-PSK utilizando un AP no autorizado?

12

Sabemos que WPA / WPA2-PSK utiliza una PTK (clave transitoria en pares) para cada cliente para cifrar la comunicación. Este PTK se genera a través del proceso conocido como protocolo de enlace de 4 vías. Como se indica en la página relacionada en Wikipedia :

  

La PTK se genera mediante la concatenación de los siguientes atributos: PMK, AP nonce (ANonce), STA nonce (SNonce), AP MAC address y STA MAC address. El producto se somete luego a una función hash criptográfica.

Por lo tanto, si un atacante tiene la capacidad de configurar un AP (punto de acceso) no autorizado y hacer que algunos clientes desactiven automáticamente & conecte (especialmente los clientes móviles) a ese AP no autorizado, ¿puede obtener alguna ventaja para acelerar los cálculos para descifrar el PSK introduciendo algunas entradas especialmente generadas, por ejemplo, ANonce, AP MAC -las variables que puede controlar -?

Podemos suponer que tiene la oportunidad de hacer esto durante algunos tiempos razonables, como 10. Por lo tanto, obtendrá la cantidad de apretones de manos de 4 vías en los que usó algunas entradas especialmente seleccionadas (similar a un ataque de texto llano elegido). Me pregunto si hay algún componente en el diseño que evite que gane algo de ventaja de velocidad al usar un AP no autorizado en lugar de simplemente capturar los apretones de manos de 4 vías.

    
pregunta sanilunlu 28.10.2011 - 09:44
fuente

3 respuestas

8

La derivación clave de la PTK se define en la sección 8.5.1.2 de IEEE 802.11 - 2007, Figura 8-20 (página 198, que es la página 247 en el archivo PDF ):

PRF-X(PMK, "Pairwise key expansion",
      Min(AA,SPA) || Max(AA,SPA) ||
      Min(ANonce,SNonce) || Max(ANonce,SNonce))

AA y SPA son las direcciones de ambos socios comunicantes, ANonce y SNonce son las direcciones que no envían.

X es el número de bits necesarios y, dependiendo del uso, X aquí es 384 o 512.

En la sección anterior 8.5.1.1, se define la PRF (función pseudoaleatoria), y es efectiva

PRF-X(K, A, B) = HMAC-SHA-1(K, A || 0 || B || 1) ||
                 HMAC-SHA-1(K, A || 0 || B || 2) ||
                 ...

(con tantas repeticiones como sea necesario para completar el número necesario de bits, descartando los restantes).

Entonces, la pregunta es: ¿Se puede atacar al HMAC-SHA-1 de una manera que, conociendo parte de la entrada y eligiendo otras partes de la entrada, pero sin conocer la clave, se puede (a) derivar partes de la entrada? salida, o (b) deriva la clave?

Por lo que se sabe, ni la construcción HMAC ni la La función hash de SHA-1 tiene una debilidad al respecto.

Por lo tanto, la única forma actualmente conocida de romper esto sería forzar con fuerza bruta el PSK (o la contraseña de la que se deriva), que no necesitaría mucho más que un apretón de manos escuchado, pero muchos cálculos para encontrar la clave. .

No hay una posibilidad realista de romper la clave de 256 bits, pero uno podría encontrar una contraseña de la que se derive bastante más fácil. Así que usa una buena contraseña.

    
respondido por el Paŭlo Ebermann 31.10.2011 - 18:00
fuente
4

Si un usuario se ha conectado antes, su cliente debe quejarse si la dirección MAC del AP ha cambiado y avisar al usuario sobre la conexión. Bajo Windows, se agregará a la fuerza "2" al nombre de la aplicación. Esto debería reducir la probabilidad de éxito. Sin embargo, si la dirección MAC es la misma, el cliente no tendrá forma de saber si el AP es rojo. Esto significa que podría tener un valor ANonce codificado que reduciría el espacio clave que debe buscarse. Si fueras bruta forzando el desfase, un apretón de manos reduciría el número de permutaciones al tamaño de la SNonce.

    
respondido por el rook 28.10.2011 - 16:15
fuente
1

Aunque es difícil, teóricamente es posible obtener una contraseña WPA2 a través de un AP no autorizado.

Uno creará un AP con un MAC diferente para que no se parezca a sí mismo, sino al mismo ESSID .

Un servidor web que se ejecuta en este AP combinado con algunas iptables reglas redireccionará todo el tráfico http a una página web local que permita el usuarios para introducir su contraseña.

Debido a que el proveedor y el modelo del enrutador a menudo se pueden encontrar usando un rastreador de red como por ejemplo Wirehark, uno podría hacer una página "Actualización de firmware" bastante convincente .

La página web podría POSTAR la contraseña a una base de datos mysql .

Lo único que queda es el incentivo para conectarse a un AP abierto extraño con el mismo nombre que su propio AP. Usando otra interfaz inalámbrica, se puede usar un deauth attack contra todos los clientes conectados al AP original.

Los clientes se sentirán frustrados y querrán recuperar su Internet, lo que podría llevarlos a verificar las redes disponibles y ver las redes ilegales.

Hay muchas variables:

  • intensidad de la señal de Rogue AP
  • Deauth es capaz de llegar a los clientes en todas las ubicaciones.
  • La víctima está lo suficientemente desesperada como para verificar las redes disponibles y conectarse
  • La víctima navega a la página http
  • La víctima está lo suficientemente desesperada como para ingresar la contraseña en una página web.

Pero no es imposible.

    
respondido por el NULL 10.03.2017 - 15:39
fuente

Lea otras preguntas en las etiquetas