Luca Annunziata

WPA, crackato ma non troppo

Sfruttare le debolezze del WEP per attaccare il più recente protocollo di cifratura dei dati scambiati via WiFi. Un problema per quanti usano vecchie versioni dello standard. Gli altri possono stare tranquilli

Roma - Non si può parlare di vera e propria violazione dell'integrità del protocollo WPA (WiFi Protected Access), e neppure del Temporal Key Integrity Protocol (TKIP) che spesso viene utilizzato per cifrare il contenuto in transito sulle reti senza fili. Quanto hanno scoperto i due ricercatori tedeschi Erik Tews e Martin Beck è piuttosto un metodo per insinuarsi in una rete wireless, muovendosi tra le pieghe dei vari standard 802.11 che vengono utilizzati per farle funzionare, e fingersi chi non si è: una minaccia per chi avesse ancora in circolazione access point datati, ma che non dovrebbe compromettere completamente (almeno per il momento) l'integrità delle reti WiFi in giro per il mondo.

Più che violare il protocollo WPA, Beck e Tews hanno invece scovato un modo per decodificare più rapidamente alcune informazioni chiave delle reti WiFi che utilizzano TKIP, per poter tentare di introdurre "pacchetti avvelenati" al loro interno. I due hanno scoperto che i pacchetti ARP - quelli che contengono indirizzo IP e MAC (Ethernet Media Access Control) di una delle macchine registrate su un network - possono essere facilmente intercettati e utilizzati per decifrarne il contenuto.

Una volta ottenute queste informazioni, teoricamente sarebbe possibile sfruttarle per due principali azioni: fingere di trovarsi all'interno della rete, in una zona definibile come "trusted" (affidabile), e dunque rifilare contenuti potenzialmente pericolosi. Oppure operare un cosiddetto DNS poisoning all'interno di una rete wireless, inquinando il flusso di pacchetti in transito con materiale indesiderato. Nessuna violazione della sicurezza complessiva, ma solo la possibilità di complicare la vita a chi utilizza il WiFi con del traffico non autorizzato con le modalità di un attacco DoS.
Il problema affligge ovviamente le reti cifrate con protocollo WEP, di cui esistono crack completi che in pochi secondi rendono possibile visualizzarne l'intero contenuto, e le reti WPA con protocollo TKIP per le chiavi di accesso. Sono immuni da questo tipo di attacco le reti WPA che utilizzano AES per la cifratura del contenuto e, ovviamente, le reti che utilizzano il più recente protocollo WPA2. Inoltre, l'attuale attacco - che è bene chiarire non consente la letture in chiaro di tutto quanto passa sulla rete, ma solo di inquinarne il contenuto - impiega diversi minuti (almeno 15) per ottenere una chiave valida: se entro questo intervallo il router fosse configurato per un rekeying, l'intero attacco risulterebbe di fatto inutile.

La cosa poi si fa pure più complicata in presenza di grosso traffico in transito sulla rete WiFi in questione: l'attacco si concentra essenzialmente sui pacchetti più piccoli in dimensione che fluiscono tra access point e client, quali appunto quelli ARP, per i quali è più semplice dedurre il contenuto della maggior parte dei byte di cui sono composti e tentare di estrapolare il resto. Il passaggio di una grossa quantità di informazioni in circolo allunga i tempi poiché riduce il numero di pacchetti analizzabili da parte di chi tenti l'intrusione.

L'attacco di Beck e Tews riguarda essenzialmente la verifica di integrità dei pacchetti e il checksum degli stessi effettuati secondo le modalità descritte nel protocollo TKIP. Quest'ultimo, per garantire retrocompatibilità con alcune specifiche WEP, risulta per alcuni aspetti meno solido del AES e dunque più facile preda di exploit. In questo caso, la decodifica del contenuto è solo parziale e non consente, tanto per fare un esempio, di avere accesso ad una rete wireless senza l'autorizzazione del suo amministratore: niente piggybacking, ma solo qualche fastidio secondario.

D'altra parte, come sottolinea Ars Technica, l'attacco di Beck e Tews segna il primo passo di una probabile sempre maggiore attenzione degli hacker per i protocolli WPA e TKIP. Consigliabile dunque effettuare rapidamente una migrazione verso il più aggiornato WPA2, o quantomeno prevedere un passaggio da TKIP ad AES sul proprio router. Beck e Tews hanno annunciato che intendono spiegare nel dettaglio la propria scoperta durante la prossima PacSec Conference, in programma a Tokyo il 12 e il 13 novembre.

Luca Annunziata
49 Commenti alla Notizia WPA, crackato ma non troppo
Ordina
  • Il problema non è la copertura che ovviamente è contenuta quanto chi può essere interessato a "scroccare" la tua linea e soprattutto perchè.
    E per la copertura e potenza del segnale, colpo di grazie per i paranoici, esistono degli amplificatori ad hoc.

    Non allarmismi ma accorgimenti utili non fanno un soldo di danno. Dire a priori che si è esenti da rischi è un atteggiamento invece pericoloso.

    Just my 2 cents,

    A.
  • Avevo letto che anche WPA / AES e WPA2 potevano essere craccati con un attacco brute force che utilizzasse le librerie CUDA, qualcuno ne ha sentito parlare? Per ora, per sicurezza, ho disattivato completamente le funzionalità radio del router, in attesa che su questo punto si faccia un po' di chiarezza.
    non+autenticato
  • Quello che posso dirti è che ci sono degli studi che dimostrano come, utilizzando le potenze di calcolo delle GPU delle schede con processore nvidia sia possibile, tramite alcune librerie e suite di sviluppo ad hoc come CUDA, abbattere considerevolmente i tempi necessari per attacchi di tipo brute force.
    In pratica, attraverso delle librerie apposite è possibile sfruttare le potenze di calcolo per cui le GPU sono state progettate: calcoli matematici in virgola mobile molto più performanti delle CPU stesse. L'idea geniale è stata quella di sfruttarla a fine di criptanalisi o meglio di brute force. Inoltre, è anche possibile utilizzare tale tecnica in cluster quindi parallelizzando i processi abbattendo ulteriormente il tempo.

    Ovviamente questi aspetti valgono per tutti i processi crittografici e non solo per gli elementi legati al wi-fi.

    Ciao,
    A.
  • Ma il tuo access point ha una copertura nazionale ? Miiiii che visione pessimistica che hai della vita, vedi il grande fratello dappertutto... o forse il tuo vicino di casa si chiama Boris ?
    non+autenticato
  • Azz addririttura?? Fossi in te non avrei nemmeno mai comprato un router wi-fi!
    In Italia le persone che sarebbero in grado di effettuare nella pratica un attacco al WPA con CUDA sono inferiori alle dita di due mani, forse una sola. E dovrebbe passarne uno proprio sotto casa tua?
    non+autenticato
  • mah... un attacco brute force non mi sembra niente di particolarmente complesso, mi sembra più improbabile (ma non difficile) metter su un cluster di GPU per organizzare l'attacco, credo che nella maggior parte dei casi il gioco non valga la candela
    non+autenticato
  • > mah... un attacco brute force non mi sembra
    > niente di particolarmente complesso, mi sembra

    ragazzi, non scherziamo. il brute force, con chiavi lunghe 63 caratteri che utilizzano 94 caratteri ASCII, non credo che si possa fare in tempi "umani", anche utilizzando cluster composti da un milione di CUDA... 94^63=2,027938484e+124 chiavi non mi sembrano poche, il brute force è IMHO TOTALMENTE irrealizzabile
    non+autenticato
  • hmm
    fai qualche ricerca su internet o aspetta ict security del mese prossimo: se fanno in tempo dovrebbe esserci un mio contributo che parla anche di questi aspetti.

    Ciao,
    A.
  • - Scritto da: Luke
    > Avevo letto che anche WPA / AES e WPA2 potevano
    > essere craccati con un attacco brute force che
    > utilizzasse le librerie CUDA, qualcuno ne ha
    > sentito parlare? Per ora, per sicurezza, ho
    > disattivato completamente le funzionalità radio
    > del router, in attesa che su questo punto si
    > faccia un po' di
    > chiarezza.

    Tutto può essere craccato con la tecnica del brute force, il problema è in quante ere geologiche questo è possibile.
    La matematica non è un'opinione e una semplice chiave a 1024 bit può dare 2^1024 (ovvero 1 seguito da 300 zeri) combinazioni. Se non ci sono falle nell'algoritmo non ci sono possibilità di brutalizzare la chiave.
    Se ci sono falle nell'algoritmo (come wep o come ssl di debian fino a qualche mese fa) il discorso è molto diverso.

    Riaccendi tranquillamente la tua funzionalità radio, dubito che qualcuno voglia sprecare un cluster di qualche migliaia di gpu per craccare in 15.000 anni la tua rete wireless.
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: Luke
    > > Avevo letto che anche WPA / AES e WPA2 potevano
    > > essere craccati con un attacco brute force che
    > > utilizzasse le librerie CUDA, qualcuno ne ha
    > > sentito parlare? Per ora, per sicurezza, ho
    > > disattivato completamente le funzionalità radio
    > > del router, in attesa che su questo punto si
    > > faccia un po' di
    > > chiarezza.
    >
    > Tutto può essere craccato con la tecnica del
    > brute force, il problema è in quante ere
    > geologiche questo è
    > possibile.
    > La matematica non è un'opinione e una semplice
    > chiave a 1024 bit può dare 2^1024 (ovvero 1
    > seguito da 300 zeri) combinazioni. Se non ci sono
    > falle nell'algoritmo non ci sono possibilità di
    > brutalizzare la chiave.
    >
    > Se ci sono falle nell'algoritmo (come wep o come
    > ssl di debian fino a qualche mese fa) il discorso
    > è molto diverso.
    >
    >
    > Riaccendi tranquillamente la tua funzionalità
    > radio, dubito che qualcuno voglia sprecare un
    > cluster di qualche migliaia di gpu per craccare
    > in 15.000 anni la tua rete
    > wireless.

    Dov'è che abiti?A bocca apertaA bocca apertaA bocca aperta
    non+autenticato
  • eh sempre così sicuri Sorride
  • questa e' una notizia che ha almeno un anno e mezzo buono...
    non+autenticato
  • Mai sentita prima. Link?
    non+autenticato
  • E' nota agli addetti ai lavori, come ho detto.
    Quanto prodotto dai ricercatori tedeschi e (sarà) presentato alla SecPac di Tokyo rappresenta il primo tool che sfrutta *questa* vulnerabilità del TKIP ereditata dal WEP.
    In altre parole, l'algoritmo usato deriva dal wep ma si usa per la prima volta per decriptare i pacchetti ARP e response su TKIP (è un chopchop modificato).
    -----------------------------------------------------------
    Modificato dall' autore il 10 novembre 2008 09.46
    -----------------------------------------------------------
  • Ok quindi non è OLD, questo volevo sapere visto il troll di sopra. Grazie dell'infos.
    non+autenticato
  • nono, la tecnica è old veramente, solo applicata al tkip.
    non+autenticato
  • Caro Luca,
    bel post, non allarmistico ma ricco di informazioni.
    Ad integrazione, mi permetto di inserire il link ad un mio post in merito che fornisce qualche dettaglio e spunto tecnico in più.
    Per gli addetti ai lavori, la debolezza del TKIP era nota in quanto progettato con il target della legacy per gli apparati aggiornabili che supportavano solo il (fallimentare) WEP. E di quest'ultimo ne porta i segni (cipher RC4, ICV etc).
    Buona lettura: http://armyz.wordpress.com/2008/11/10/falla-in-wpa.../
    Per il resto, aspettiamo il paper dei ricercatori tedeschi al SecPac di Tokyo e leggeremo i dettagli dei loro studi.

    Al momento, rekeying time max a 120 secondi o, se potete, disabilitare il TKIP e usare AES-CCMP (o WPA2, meglio ancora).

    A.
    -----------------------------------------------------------
    Modificato dall' autore il 10 novembre 2008 08.53
    -----------------------------------------------------------
  • - Scritto da: ArMyZ
    > Caro Luca,
    > bel post, non allarmistico ma ricco di
    > informazioni.
    > Ad integrazione, mi permetto di inserire il link
    > ad un mio post in merito che fornisce qualche
    > dettaglio e spunto tecnico in
    > più.
    > Per gli addetti ai lavori, la debolezza del TKIP
    > era nota in quanto progettato con il target della
    > legacy per gli apparati aggiornabili che
    > supportavano solo il (fallimentare) WEP. E di
    > quest'ultimo ne porta i segni (cipher RC4, ICV
    > etc).
    > Buona lettura:
    > http://armyz.wordpress.com/2008/11/10/falla-in-wpa
    > Per il resto, aspettiamo il paper dei ricercatori
    > tedeschi al SecPac di Tokyo e leggeremo i
    > dettagli dei loro
    > studi.
    >
    > Al momento, rekeying time max a 120 secondi o, se
    > potete, disabilitare il TKIP e usare AES-CCMP (o
    > WPA2, meglio
    > ancora).
    >
    > A.
    > --------------------------------------------------
    > Modificato dall' autore il 10 novembre 2008 08.53
    > --------------------------------------------------


    NON CI CREDO! Il primo post tecnico ed utile che leggo da qualche anno a sta parte!!
    Comunque, a parti gli scherzi, a me l'articolo mi sembra lacunoso, è meglio approfondire effettivamente. Ad esempio, se posso iniettare pacchetti arp ci sono attacchi ancora più efficienti del DNS poisoning ed anche più immediati... non so, vediamo.
    non+autenticato
  • La cosa assurda è che a parte Pi in Italia ne stanno parlando tutti come WPA cracKato.. che pena...
    non+autenticato
  • Si chiamano "titolisti", non giornalisti.
    Creano allarmismo spiccio per attrarre alla lettura.
  • La probabilità che qualcuno cerchi di penetrare nella vostra rete privata rimane comunque bassa e dotando tutti i PC di opportuno firewall software e limitando la condivisione al massimo (solo le cartelle indispensabili) è chiaro che anche i danni sono contenuti, al limite ti possono scroccare la banda x internet....

    Già un ottimo alibi da presentare in caso di accuse di pirateria, qualcuno mi ha craccato la WiFi, sta all'accusa a quel punto dimostrare oltre ogni ragionevole dubbio che sia stato proprio tu a commettere l'illecito e non qualcun'altro!
    E nessuno potrà rinfacciarti di aver usato (o dire di aver usato) un protocollo Wep invece di un WPA comunque perforabile....
  • come no !
    il giudice ti credera' a occhi chiusi !
    non+autenticato
  • - Scritto da: Enjoy with Us
    > al limite ti possono
    > scroccare la banda x
    > internet....
    >

    non è esatto, dalla tua connessione potrebbero commettere degli illeciti (lascio alla tua fantasia quali) anche gravi e starebbe al tuo avvocato=molti_soldini dimostrare che sei innocente. Non prenderei alla leggera la sicurezza della propria rete, c'è poco da scherzare secondo me...
    non+autenticato
  • Veramente la legge italiana prevede l' "innocenza fino a prova contraria", perciò o l'accusa dimostra in maniera inconfutabile che sei stato proprio tu a commettere l'illecito oppure ti devono scagionare... E se l'accusa può solo dire che a comettere l'illecito è stato il tuo IP ma tu sei in gradi di affermare che è POSSIBILE che qull'IP sia stato usato da qualcun altro tale IP non può essere usato come prova a tuo carico.
  • Evidentemente non conosci l'istituto dell'Inversione dell'onere della prova, che, guarda caso, si applica proprio a casi come questoSorride
    non+autenticato
  • - Scritto da: clic
    > - Scritto da: Enjoy with Us
    > > al limite ti possono
    > > scroccare la banda x
    > > internet....
    > >
    >
    > non è esatto, dalla tua connessione potrebbero
    > commettere degli illeciti (lascio alla tua
    > fantasia quali) anche gravi e starebbe al tuo
    > avvocato=molti_soldini dimostrare che sei
    > innocente. Non prenderei alla leggera la
    > sicurezza della propria rete, c'è poco da
    > scherzare secondo
    > me...

    Se hai letto bene, Io non dico di lasciare sprotetta la propria rete, dico solo, che in caso di contestazioni sul tuo IP ti puoi appellare al fatto concreto che il Wep è craccabile da chiunque e che anche il WPA non è sicuro al 100%, quindi offre agio alla tua difesa di confutare qualsiasi accusa basata solo sul riscontro del tuo IP in rete e ti offre anche discrete possibilità di giustificare il ritrovamento di alcune immagini pedopornografiche o simili perfino sul tuo HD!
  • - Scritto da: Enjoy with Us
    > La probabilità che qualcuno cerchi di penetrare
    > nella vostra rete privata rimane comunque bassa e
    > dotando tutti i PC di opportuno firewall software
    > e limitando la condivisione al massimo (solo le
    > cartelle indispensabili) è chiaro che anche i
    > danni sono contenuti, al limite ti possono
    > scroccare la banda x
    > internet....

    Chissà se l'hanno preso quello che ha fatto il grosso attacco ieri a roma asd asd
  • - Scritto da: PGStargazer

    > Chissà se l'hanno preso quello che ha fatto il
    > grosso attacco ieri a roma asd
    > asd

    sarebbe?
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)