Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Meghalt a WPA, éljen a WPA2!

2008.11.07. 19:58 | buherator | 37 komment

Én a teljes nyilvánosságrahozatalig nem akartam írni a témáról, de az ITCafé-n született egy cikk a témában, így én is vesztegetek rá néhány szót:

Habár korábban lehetetlennek tartották, két kutató részlegesen feltörte a wifikapcsolatok védelmét, és egy jövő heti szakkonferencián bemutatja, hogyan lehet a módszerrel egy router és egy laptop kommunikációját lehallgatni és a routerhez csatlakozó kliensnek hamis információkat küldeni. Az Erik Tews és Martin Beck által kidolgozott eljárással 12-15 perc alatt feltörhető a Temporal Key Integrity Protocol (TKIP) kulcs – állítja a rendezvény, a ParSec szervezője, Dragos Ruiu. 

Először is, amennyire a tudom, a "részleges feltörés" ebben az esetben annyit tesz, hogy egy támadónak lehetősége van lehallgatni az AP-tól a kliens felé küldött csomagokat, valamint képes lesz beszúrni saját csomagokat, amelyeket a kliens úgy fog látni, mintha azokat az AP küldte volna.

Maga a támadás, bár matematikailag minden bizonnyal előremutató és hihetetlenül izgalmas, biztonsági szempontból nem ad okot pánikra. Mindezt legjobban az Errata Security cikke írja le, melynek lényege a következő:

Annak idején a WEP-hez az RC4 algoritmust használták, ami egy folyamtitkosító, és minden folyamhoz elvileg új kulcsot igényel. A WLAN hálózatokban azonban egyedi csomagok tömege közlekedik, így a megoldás nem passzolt a feladathoz, nem csoda, hogy manapság WEP-et törni ujjgyakorlat.

A megoldást az amúgy is szabványos blokk-titkosító, az AES jelentené, ennek hardver igénye azonban egy beágyazott rendszeren (mint amilyen pl. egy router) sokszor túl magas. A WPA2 AES-t használ.

Áthidaló megoldásként fejlesztették ki a WPA-t, amely a WEP-hez hasonlóan az RC4 algoritmust használja, de a titkosítási kulcs hosszabb, ráadásul minden csomagban más és más egy titkos érték, valamint a csomag adatainak függvényében. Ez a kulcsgenerálási protokoll a TKIP.

Világos, hogy a WPA ereje megegyezik a TKIP erejével, utóbbira viszont soha nem tekintettek úgy, mint a nagy AES-re, amelyet a világ legnagyszerűbb kriptográfusai nyúztak-cincáltak éveken át - eredménytelenül. A TKIP egy frappáns megoldás volt egy égető problémára, de lehetett sejteni, hogy nem lesz örök életű. Most úgy tűnik, lassan tényleg kiszolgálta a maga idejét, és át kell adnia a terepet a WPA2-nek - már csak hardvergyártók hiányoznak, hogy feladják az utolsó kenetet.

Címkék: kriptográfia wpa wpa2

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

morpheus133 2008.11.07. 20:44:30

"... hogy egy támadónak lehetősége van lehallgatni az AP-tól a kliens felé küldött csomagokat, valamint képes lesz beszúrni saját csomagokat, amelyeket a kliens úgy fog látni, mintha azokat az AP küldte volna."

Miért eddig ez nem így volt? Szerintem a csomagokat eddig is lelehetett hallgatni! És ha elküldök egy csomagot az ap nevében fake IP mezővel akkor szegény kliens naná, hogy azt hiszi hogy tőle származik.

0xFFFF 2008.11.07. 20:53:47

Nehéz ügy ez. Ahol ez a technológia fejlődik, ott nem szeretnék a túl erős titkosítást, mert paranoid hivatalok lehallgatni szeretnek, míg a fogyasztók igénylik, akiket ki akarnak szolgálni a gyártók. Paradox helyzet.

Peti 2008.11.07. 20:57:44

morpheus133:

Nem nem így volt. Az IP csomagok 802.11 keretekben utaznak az AP és a kliens között, és tikositva vannak, valamint MIC (Message Integrity Code) és persze ICV segitségével alá is vannak írva.

Úgyhogy a szegény kliens nemhogy nem hiszi el, de rögtön el is dobja hacsak nem tudod feltörni a titkosítást is.

blügy-blügy 2008.11.07. 21:09:50

Ezeket a dolgokat csak belső emberek tudják feltörni, mi biztosan nem. Úgyhogy mikor a wpa2-t megalkotják, a programozókat azonnal le kell nyilazni! :) A wpa2 is azon fog elvérezni, hogy a forráskódot kiadják a routerek gyártóinak, akik addig babrálnak vele, míg egyszer csak sikerül feltörni azt is

Bereg 2008.11.07. 21:16:31

blügy-blügy: nem attól erős egy titkosítás, hogy senki nem tudja, hogy működik (mert pl. lenyilazták a fejlesztőket), hanem attól, hogy nyilvános az algoritmus, mégsem tudják feltörni.

ACDC 2008.11.07. 21:18:19

blügy-blügy: most jó sok butaságot hordtál össze.

egyrészt a WPA2 programozóit nem tudod lenyilazni, vagyis már felesleges, mert a WPA2 régen létezik.

Másrészt egy titkosítás erősségét sosem az adja, hogy titokban tartod a kódolási eljárást (az olyan titkosítást, amit csak a kódoló algoritmus ismeretlensége véd manapság jellemzően másodpercek alatt szoktak törni, bár sok "nagyokos" cégecske hiszi, hogy ez elegendő, a legjobb móka amikor valami tök egyszerű helyettesítési eljárást -pl minden karakter ASCII kódján elvégeznek valami "bonyolult" transzformációt- próbálnak eladni forradalmi technológiaként csak azért, mert nem árulják el, hogy a betű számát megszorozták 2-vel hozzáadtak 11-et, és újra szorozták 5-el:)

A legtöbb napjainkban használt titkosítási eljárás teljesen nyílt és a módszer bárki számára hozzáférhető (pl a napjainkban legjobbnak tartott AES-t bárki megnézheti, nem a forráskód titkossága miatt lesz titkos az AES-sel kódolt adat). A lényeg az, hogy valami olyan matematika álljon a titkosítás mögött, ahol nyugodtan ismerheted a titkosítási eljárást a jelenlegi eszközökkel és tudással nem tudod feltörni.

blügy-blügy 2008.11.07. 21:35:09

Én most wi-fin csatlakozok a netre, a laptopom valahonnan tudja a kódolást, és kommunikál a routerrel. De mi ez a valami? A hálókártya, vagy egy program dekódolja a csomagokat?
Bereg te programozó vagy? Delphi, vagy C++? :)

ACDC 2008.11.07. 21:35:58

Delphi és C++? miért nem mindjárt assembly és cobol? :D

blügy-blügy 2008.11.07. 21:46:34

Én delphi, és assembly, de kriptográfiához hülye vok! :) A kódot szoktam védeni így:

procedure security_a;
asm
nop
end;

//védett tartalom

procedure security_b;
asm
nop
end;

//----------------------------------------------
var securit_counter:DWord=0;

szegmensnezo(@security_a,@security_b);

procedure szegmensnezo(ptrAddr1,ptrAddr2:Pointer);
var a,b:DWord;
begin
a:=0;
asm
pushad
mov esi,ptrAddr1
mov edi,ptrAddr2
sub edi,esi
mov a,edi
popad
end;
VirtualProtect(ptrAddr1, a, PAGE_READWRITE, @b);
asm
pushad
mov esi,ptrAddr1
mov edi,ptrAddr2
mov eax,0
mov ebx,securit_counter
@ck1:
mov al,byte ptr[esi]
add ebx,eax
inc esi
cmp esi,edi
jne @ck1
mov securit_counter,ebx
popad
end;
end;
Ha feltörik a kódot a security_a és B között, akkor elkezdem a változókat véletlen számokkal feltölteni, amitől hibás lesz a program működése, és mivel nem ír ki a program hibát, szinte lehetetlen megtalálni, hogy hol van a program feltörés védelme. Persze amíg a hozzám hasonlók akarják a programot feltörni :D

nabazmeg · http://www.anyadba.gov.us 2008.11.07. 21:48:04

Backtrack3 final...............enélkül nem megy, egyébiránt ezt ki szülte?
és mi van az integrált - laptopok - adapeterekkel?
itt épp egy külső, usb-s linksysre volt kihegyezve minden..hátha a baleké is olyan....
szal azért ez nem egy ujjgyakorlat.....

ACDC 2008.11.07. 21:51:23

nabaz: az integrált adapterekben is ugyanaz a chipset dobog ami egy külső USB-sben, ezen felül, nem egy eszköz hibáját használták ki (ami csak az adott gyártót/terméket érinti), hanem magát a protkolt, márpedig annak érdekében, hogy a különböző gyártók eszközei képesek legyenek egymással kommunikálni a protokolnak ugye meg kell egyezni, így ami működik az egyik ellen az működik a másik ellen is.

Jah, és mellesleg a WIFI chipsetet kb egy fél tucat gyártó készít, míg WiFi eszközt több száz, tehát attól, hogy Linksys külső eszköz, vagy egy DELL noti wifijéről van szó még simán lehet, hogy ugyanaz a chipset van bennük.

helios 2008.11.07. 21:53:21

De... A wep ujjgyakorlat...

Mar jooo regen!

Peti 2008.11.07. 22:04:51

blügy-blügy:

Vettem egy 14 prím jegyű számot. Ez lesz az üzenet. Beszoroztam egy 15 jegyű prím számmal.

Az üzenet 1 perc alatt elévül.

Ime az üzenet:
13686997874294233135819580449

Az algoritmust fentebb ismerttem.
Fejtsd meg.
A gyakorlatban 100+ jegyű primeket használnak. Gondold át mennyi idő végigpörgetni.

Persze találhatsz egy nlogn megoldást prímtényezős felbontásra, de az persze simán megér egy Fields érmet.

Ennyit az algoritmus ismeretében történő feltörésről.

ACDC 2008.11.07. 22:08:10

Peti: ha a feladványodra tudnám a választ, akkor nem holmi wifikkel szenvednék, hanem lenyúlnám a világ összes bankszámla tulajdonosát 1$-ra :D

rotor 2008.11.07. 22:24:36

senkit nem ismerek, aki wpa-t használ. nálunk a leggagyibb router wrt54-es, azok is wpa2-psk aes-t használnak.

ACDC 2008.11.07. 22:35:11

rotor: sokszor járkálok mindenféle ügyfelekhez, ahol notival tudok csatlazkoni a helyi hálózathoz (itt magyar viszonylatban közepes és nagy cégek is előfordulnak, tehát nem a Józsi és Tsa BT-kről beszélek).

Ez alapján a tapasztalatom:
- a legtöbb helyen WEP van
- a legtöbb helyen az azonosításhoz egy 1234 bonyolultságú kódot kell használni
- a legtöbb helyen MAC cím szűrésről sosem hallottak
- a legtöbb helyen ha egyszer felcsatlakoztál a WiFi-re akkor a hálózaton belül oda mész, és olyan porton, ahova csak akarsz, tehát szó sincs róla, hogy mondjuk a szerverek felé legalább az RDP és az SSH tiltva lenne, vagy, hogy a WiFi felhasználók mondjuk az belső alkalmazás szervert elérjék, de például a sázmukra teljesen lényegtelen adatbázis szervert már ne (ezt ugye elég, ha elérik az alkalmazás szerverek).

Persze, igazad van, nem mindenhol ilyenek az állapotok, de a fenti 4 pontból legalább 3-at az esetek szerintem kb 80%-ban biztos elkövetnek.

(ezzel együtt ismerek olyan helyet is, ahol például a WiFi felhasználók egy DMZ zónába jutnak, onnan ki lehet menni az internet felé, meg el lehet érni egy intranetes webszervert a 80-as portján, de ha ennél komolyabbat akarnak (pl a belső dolgokhoz hozzáférni), akkor szépen VPN-en keresztül lehet bejutni a belső zónába. Szóval igen, vannak ilyen paranoiás helyek is, de sajna ez a ritka)

igli 2008.11.07. 23:03:09

Respect all of you, okos emberek.
Nekem nem juttatot ennyi tudást a teremtő, ígyhát egy szavatokat se értem. De szerencsére falun lakom, ahol bőven elég a wep, mert ha a routerem adáskörzetében geekgyanús élőlény van akkor már hörög a bundás, én meg kapom a tactical shotgunt azt szeva.

Zeze 2008.11.07. 23:08:04

"senkit nem ismerek, aki wpa-t használ. nálunk a leggagyibb router wrt54-es, azok is wpa2-psk aes-t használnak. "

aha persze.... wrt54gp2 routerem van, nem is tud wpa2-t. Erről ennyit.

autosave 2008.11.07. 23:09:38

azért azt ne felejtsük, hogy a WPA-TKIP az az akkori régi hardverek miatt született. mindenki tudta törni a WEP-et, alighogy a piacra került. szóval már törték nem kis hatékonysággal, és még nem is adtak el eleget, hogy újat gyártsanak. akkor már megvoltak a jobb protokollok, de rájöttek, hogy ha megerőszakolják a WEP-et, akkor már jelentősen jobb lesz a védelem (ez igaz is, mert eddig kitartott) és eladhatóak/használhatóak maradnak a hardverek.
TKIP lényege, ahogy a cikk is írja, hogy megtartja a régi algoritmusokat, kulcsméreteket csak kicsit játszik velük. cserélgetik a blokkokat, nagyobb kulcsok vannak, ezeknek egyes részeit használják csak ciklikusan, illetve a csomagok sorszámozása is megoldódik.

szóval a tkip nem azért volt, mert ennyit tudtak, hanem azért, hogy a buta wep-es eszközök max firmware/driver frissítéssel működjenek még.

mekkora bukás lett volna azt mondani mindenkinek, hogy dobja ki mert szar. nekem van azóta is csak wep-es eszközöm, amire anno kijött a driver és már ment is a wpa.

ACDC 2008.11.07. 23:15:18

Zeze: én szoktam használni WRT54GL-t, az speciel tudja alapban, szóval nem csak 1 féle WRT54 van.

kujoon 2008.11.08. 00:16:30

Nem kell wifit használni.Vezetéket mindenhova. :-)
Arra azért mégse mászik fel csak úgy bárki.

boldiii 2008.11.08. 00:34:13

Nézzétek meg az update-et is a hírhez. Nem a TKIP teljes töréséről van szó, csak bizonyos rövidebb csomagokról stb stb.
Akárhogyis, nyilván gáz,de...

Zeze 2008.11.08. 01:16:05

ACDC:
értem, azt hittem a WRT54 sorozat ebből a szempontból egységes.

marand22 2008.11.08. 01:58:59

zeze:
"azt hittem a WRT54 sorozat ebből a szempontból egységes."
Itt vannak a wrt54g/gl/gs gyári specifikációi:
www.linksys.com/servlet/Satellite?c=L_Product_C1&childpagename=US%2FLayout&cid=1115416936001&pagename=Linksys%2FCommon%2FVisitorWrapper&lid=3600100349N03

James 2008.11.08. 02:04:38

Nalunk is ugy nez ki a dolog, hogy WRT54GL, rajta DDWRT, aztan az egy teljesen szeparalt halozaton van, ahol max netezni tud, 23 karakteres a WPA2 AES kulcs es onnan max VPN-el lehet tovabb jutni a belso haloba... mac filter mondjuk nincs, de gondolkozunk azon is... meg esetleg plusz egy RADIUS sem rossz dolog... ha mar paranoia :P

dpeti · http://www.ninapartmentsphuket.com 2008.11.08. 02:04:48

nagyon gyanús nekem, hogy mostanra lett piackész az uj hardver amiből sokat el kell adni erre kijönnek egy olyan hirrel amit valoszinuleg már rég meg tudnak csinálni, hogy az emberek beszarjanak és rohanjanak vásárolni!

James 2008.11.08. 02:08:25

ez a mostanra lett piackesz a hardver dolog kamu szerintem fullra... a WRT54GL mikori mar... par eves... es mar egy regebbi gyari firmware siman tudja a WPA2 -t...

ChPh 2008.11.08. 08:23:51

A WPA pre-shared key AES encodinggal most hova tartozik akkor?

szilárdan... · http://www.flickr.com/photos/haazee 2008.11.08. 08:26:35

Nekem elég régóta van wifi routerem - legalább három-négy különbözőt nyúztam, de már az elsőben is volt WPA2... nem értem az egészet.
(ahogy az AES emlegetését sem - amennyire vissza tudok emlékezni, WPA2 mellé nem kötelező az AES használata)

ACDC 2008.11.08. 09:36:57

ez a mostanra lett pickész az új cucc, és ezért kellett gyorsan a törés 2 ponton bukik el:

- aki biztonságos WiFi-t akart eddig, az megvan a WPA nélkül is, köszöni szépen elvan a WPA2+AES-sel (vagy ha a széleskörű kompatibilitás nem számít, mert úgyis csak a céges gépekkel akarja használni, a többiek nem érdeklik akkor esetleg még 1-2 gyártói kiegészítéssel), és röhög a WPA-TKIP feltörésén.

- a többség meg a mai napig úgy használja a WiFi eszközét, hogy megvette, bedugta a hálózatba, beállította az ADSL elérést, és a gyári jelszót, a gyári SSID-t a gyári kulcsokat használja WEP-pel (leggyakrabban ez a default). Na őket az sem érdekelné, ha az AES-t törnék fel, addig nem fognak venni új routert, amíg valaki rá nem küld a nyomtatójukra egy 5000 oldalas dokumentumot, ami fekete (színes) alapon fehér betűkkel a következő sort tartalmazza: "nem hagyom gyári beállításon a WiFi eszközöm, és nem használok WEP-et többé soha).

Arpi 2008.11.08. 09:44:43

igli: azert erre ne vegyel merget... kicsit komolyabb antennaval tobb km-rol is ra lehet csatlakozni a wifidre, anelkul hogy a bundast felebresztenenk :)

boldiii 2008.11.08. 11:02:30

"The Real Story On WPA's Flaw
Posted by kdawson on 02:14 PM November 7th, 2008
from the calm-down dept.
Security
Glenn Fleishman writes "The reports earlier today on WPA's TKIP key type being cracked were incorrect. I spoke at length with Erik Tews, the joint author of the paper that discloses a checksum weakness in TKIP that allows individual short packets to be decrypted without revealing the TKIP key. I wrote this up for Ars Technica with quite a bit of background on WEP and WPA. Tews's paper, co-written with Martin Beck, whom he credits as discovering and implementing a working crack (in aircrack-ng as a module), describes a way to use a backwards-compatible part of TKIP to exploit a weakness that remains from WEP. ARP packets and similarly short packets can be decoded. Longer packets are likely still safe, and TKIP hasn't been cracked. Don't believe the hype, but the exploit is still notable."
"

KisGéza 2008.11.08. 11:18:04

Peti:

E:\>f 13686997874294233135819580449

N = 13686997874294233135819580449
N = 13686997874294233135819580449 (29D)
N = 18761474924557*729526752525157
(11.16 sec)
E:\>

Persze 100 jegyűvel nem megy.

iGor 2008.11.08. 15:13:50

Arpi: "kicsit komolyabb antennaval tobb km-rol is ra lehet csatlakozni a wifidre, anelkul hogy a bundast felebresztenenk :)"

Lehet bármilyen antennája a szomszéd falu bitbetyárjának, ha a soho router épületen kívülre már csak 5m-re lő. :)

synapse 2008.11.10. 12:42:35

Hu de sok okos ember van itt mostanaban. A bundasos poenon azert rendesen berohogtem :)

synapse