Todas las entradas de: Hwagm

Orgulloso de poder contar con las mejores personas que hay en al red en el foro de seguridadwireless.net

WPSIG

Fuente original: corelabs.coresecurity.com

What is WPSIG?

It’s a simple tool (written in Python) that does information gathering using WPS information elements. WPS or Wi-Fi Protected Setup is a standard created by the Wi-Fi Alliance that allows the users to setup the security of a Wireless AP in a simple way.

Wireless APs supporting WPS discloses enough information to fully fingerprint it using only 1 probe request frame.

The following information can be obtained using this method:

  • Device Name
  • Model Number and Name
  • Manufacturer
  • Serial Number of the device

Requirements

Source Code

Source is available here.

Usage

Using WPSIG is straightforward,

Wi-Fi Protected Setup Information Gathering. Usage: WPSIG.py -i interface -w filename Options: -h, --help show this help message and exit -i IFACE, --interface=IFACE network interface where to sniff. -w FILENAME, --write=FILENAME output filename. -s SOURCE, --source=SOURCE source mac address of the probe request frames.

e.g. WPSIG on interface wlan0,

root@unknow:~# ./wpsig.py --interface wlan0 Wi-Fi Protected Setup Information Gathering. Press Ctrl+C to stop. Sniffing... -------------------------------------------------------------------------------- [00:22:6B:55:99:88] - 'xxxxxx' - 'Cisco-Linksys, LLC' WPS Information * Device Name: 'Wireless-G Router' * Wi-Fi Protected Setup State: 'Not Configured' * UUID-E: 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx' * Response Type: 'AP' * Primary Device Type: 'Network Infrastructure - AP' * Model Number: 'WRT54G2' * Serial Number: 'CSV01Hxxxxxxx' * Version: '1.0' * Model Name: 'Router' * Config Methods: 'Display, PushButton' * Manufacturer: 'Linksys' -------------------------------------------------------------------------------- ^C Ctrl+C caught. Closing... root@unknow:~#

Licensing

WPSIG is released under version 3 of the GNU General Public License.

Description

Title
WPSIG
Release date
2010-06-18
License type
GPLv3

Attachments

wpsig.zip – Wpsig v1 – md5: 9dbc8b176e0990c8debc9aed07fee9bf

Related information

Researchers

Tools

OpenWIPS-ng

Fuente: openwips-ng.org

OpenWIPS-ng es open-source y modular Wireless IPS (Intrusion Prevention System). Se compone de tres partes:

Sensor (s): “Dumb”, dispositivos que capturan el tráfico inalámbrico y lo envian al servidor para su análisis. También responde a los ataques.
Servidor: Agregados los datos de todos los sensores, analizar y responder a los ataques. También registra y alerta en caso de un ataque.
Interfaz: interfaz gráfica de usuario para administrar el servidor y mostrar información sobre las amenazas de la red inalámbrica (s).

Descarga: openwips-ng-0.1beta1.tar.gz

Videos:

[youtube_sc url=”http://www.youtube.com/watch?feature=player_embedded&v=4md3UeV0UWU”]

Manual castellano reaver

Fuente original

http://code.google.com/p/reaver-wps/wiki/README

Autor traduccion: gpain

Zona de Descarga

http://code.google.com/p/reaver-wps/downloads/list

Ultima version

http://reaver-wps.googlecode.com/files/reaver-1.3.tar.gz
SHA1 Checksum:    408a4d4cd5051d290a68c140d3351acbf32dc4a7

Incluido en wifiway 3.4, unica live del mundo que lo incorpora de serie
DESCARGA OFICIAL: http://download.wifislax.com/wifiway-3.4.iso
MD5: 3e0645da12d5bbbdb4dd335c891e2866

Observaciones
Puedes copiar este manual en todos los sitios que deseis, solo pedimos que por favor
mantengais el autor de la traduccion gpain

Resumen

Reaver lleva a cabo un ataque de fuerza bruta contra el número pin de la configuración protegida del punto de acceso wifi. Una vez que el pin WPS es encontrado, la WPA PSK puede ser recuperada y alternativamente la configuración inalámbrica del AP puede ser reconfigurada.

Aunque reaver no soporta la reconfiguración del AP, se puede conseguir con el wpa_supplicant una vez el pin WPS es conocido.

DESCRIPCIÓN

Reaver tiene como objectivo la funcionalidad externa de “registrador” requerida por la especificación de configuración inalámbrica protegida. Los puntos de acceso proveerán “registradores” autenticados con su configuración inalámbrica actual (incluyendo la WPA PSK), y también aceptaran una nueva configuración del registro.

Con el fin de autenticarse como “registrador”, el “registrador” debe probar su conocimiento del número pin de 8 dígitos del AP. Los “registradores” deberían autenticarse a sí mismos al AP sin importar cuando sin la interacción del usuario.

A causa de que el protocolo WPS es conducido sobre EAP, el “registrador” sólo necesita estar asociado con el AP y ningún conocimiento previo del cifrado inalámbrico o de la configuración.

Reaver lleva acabo un ataque de fuerza bruta contra el AP, probando cada posible combinación para adivinar el número pin de 8 dígitos del AP. Desde que los números pin son entéramente numéricos, hay 10^8 (100.000.000) posibles valores para cualquier número pin. Sin embargo, como el último dígito del pin es un valor checksum (de comprobación) que puede ser calculado en base a los 7 dígitos previos, la posibles claves son reducidas a 10^7 (10,000,000) valores posibles.

Las posibles llaves son reducidas incluso más debido al hecho de que el protocolo de autentificación WPS corta el pin por la mitad y valida cada mitad individualmente. Eso significa que hay 10^4 (10.000) posibles valores para la primera mitad del pin y 10^3 (1.000) posibles valores para la segunda mitad del pin, contando el último dígito de comprobación del pin.

Reaver hace fuerza bruta a la primera mitad del pin y luego a la segunda mitad, provocando que todos los posibles valores del número pin del WPS puedan ser puedan ser agotados en 11.000 intentos. La velocidad a la que Reaver puede probar los números pin está totalmente limitada por la velocidad a la que el AP puede procesar peticiones WPS. Algunos APs son suficientemente rápidos para que se pueda probar un pin cada segundo; otros son mas lentos y solo permiten un pin cada 10 segundos. Estadísticamente, sólo llevara la mitad del tiempo adivinar el número pin correcto.

INSTALACIÓN

Reaver sólo está soportado en la plataforma linux, requiere las librerias libpcap y libsqlite3, y puede ser construido e instalado ejecutando:

Código:
                $ ./configure
                $ make
                # make install

Para desinstalar todo lo instalado/creado por Reaver:

Código:
    # make distclean

USO

Habitualmente, el único argumento requerido para Reaver es el nombre de la interfaz y el BSSID del AP objetivo:

Código:
# reaver -i mon0 -b 00:01:02:03:04:05

El canal y SSID (teniendo en cuenta que el SSID no esta encubierto) del AP objetivo son identificados automáticamente por Reaver, a menos que se especifique explícitamente en la línea de comando:

Código:
# reaver -i mon0 -b 00:01:02:03:04:05 -c 11 -e linksys

Por defecto, si el AP cambia canales, Reaver también cambiará su canal en consecuencia. Sin embargo, está característica puede ser desactivada “fijando” el canal de la interfaz.

Código:
 # reaver -i mon0 -b 00:01:02:03:04:05 --fixed

El tiempo de espera de recepción por defecto es 5 segundos. Este tiempo de espera puede ser configurado manualmente si fuera necesario (el tiempo de espera mínimo es 1 segundo):

Código:
 # reaver -i mon0 -b 00:01:02:03:04:05 -t 2

El tiempo de retraso por defecto entre intentos de pin es de 1 segundo. Este valor puede ser incrementado o decrementado a cualquiera valor entero no negativo. Un valor de cero significa sin retraso:

Código:
# reaver -i mon0 -b 00:01:02:03:04:05 -d 0

Algunos APs bloquearán temporálmente su estado WPS, normalmente durante 5 minutos o menos, cuando es detectada actividad “sospechosa”. Por defecto cuando se detecta un estado bloqueado, Reaver comprobará el estado cada 315 segundos (5 minutos y 15 segundos) y no continuará haciendo fuerza bruta a los pins hasta que el estado del WPS esté desbloqueado. Esta comprobación puede ser incrementada o decrementada a cualquier valor entero no negativo:

Código:
 # reaver -i mon0 -b 00:01:02:03:04:05 --lock-delay=250

Para salidas adicionales, se debe proporcionar la opción “verbose”. Proporcionando la opción “verbose” dos veces se incrementará el nivel de detalle y se mostrará cada número pin intentado.

Código:
# reaver -i mon0 -b 00:01:02:03:04:05 -vv

El tiempo de espera por defecto para recibir los mensajes de respuesta del WPS M5 y M7 es .1 segundos. Este tiempo de espera puede ser fijado manualmente si fuese necesario (tiempo de espera máximo 1 segundo).

Código:
 # reaver -i mon0 -b 00:01:02:03:04:05 -T .5

Algunas implementaciones WPS pobres tirarán la conexión, cuando se suministre un pin inválido en vez de responder con un mensaje NACK como dicen las especificaciones. Teniendo en cuenta esto, si se alcanza el tiempo de espera de mensaje M5/M7, es tratado por defecto como un NACK. Sin embargo, si se sabe que el AP envía NACKS (la mayoría lo hacen), esta característica puede ser desactivada para mayor exactitud. Esta opción está ampliamente en desuso ya que Reaver autodetectará si un AP responde adecuadamente con NACKs o no:

Código:
 # reaver -i mon0 -b 00:01:02:03:04:05 --nack

Aunque a la mayoría de los APs no les importa, enviar un mensaje EAP FAIL para cerrar una sesión WPA es necesario a veces. Por defecto esta característica esta deshabilitada, pero puede habilitarse para aquellos APs que la necesiten.

Código:
 # reaver -i mon0 -b 00:01:02:03:04:05 --eap-terminate

Cuando se encuentran 10 errores WPS consecutivos no esperados, se mostrará un mensaje de advertencia. Cómo esto es una señal de que el AP está limitado el ratio de intentos del pin o simplemente siendo desbordado, se fijará una pausa cuando aparezcan estos mensajes:

Código:
 # reaver -i mon0 -b 00:01:02:03:04:05 --fail-wait=360

ARCHIVOS

Lo siguiente son archivos fuente de Reaver:

80211.c Funciones para leer, enviar y analizar trazas de gestión 802.11
builder.c Funciones para construir paquetes y paquetes de encabezado
config.h Generado por el script de configuración
cracker.c Funciones principales de crackeo para Reaver.
defs.h Encabezados comunes con la mayoría de las declaraciones y definiciones requeridas.
exchange.c Funciones para iniciar y procesar el intercambio WPS.
globule.c Funciones de contenedor para acceder a los ajustes globales.
iface.c Funciones de la interfaz de red.
init.c Funciones de inicialización.
keys.c Contiene tablas de todos los posibles pins.
misc.c Conversión de direcciones mac, funciones de depurado, etc
pins.c Generación de Pin y funcione de aleatoreidad.
send.c Funciones para enviar mensajes de respuesta WPS
sigalrm.c Funciones para el manejo de interrupciones SIGALRM
sigint.c Funciones para el manejo de interrupciones SIGINT
wpscrack.c Principal archivo fuente de Reaver
wps.h Incluye funciones para wpa_supplicant
libwps/ Generic Librería para analizar los elementos de información WPS

Los siguientes archivos han sido cogidos de wpa_supplicant. Algunos han sido modificados a partir de sus originales.

common/
crypto/
tls/
utils/
wps/

El directorio Iew contiene la version 29 de Wireless Tools, usada para interactuar con las extensiones inalámbricas de Linux.

Wi-fi protected setup

WPS (Wi-Fi Protected Setup) es un estándar promovido por la Wi-Fi Alliance para la creación de redes WLAN seguras. En otras palabras, WPS no es un mecanismo de seguridad por sí, se trata de la definición de diversos mecanismos para facilitar la configuración de una red WLAN segura con WPA2, pensados para minimizar la intervención del usuario en entornos domésticos o pequeñas oficinas (SOHO). Concretamente, WPS define los mecanismos a través de los cuales los diferentes dispositivos de la red obtienen las credenciales (SSID y PSK) necesarias para iniciar el proceso de autenticación.

WPS define una arquitectura con tres elementos con roles diferentes:

  • Registrar: dispositivo con la autoridad de generar o revocar las credenciales en la red. Tanto un AP como cualquier otra estación o PC de la red pueden actuar de Registrar. Puede haber más de un Registrar en una red.
  • Enrollee: dispositivo que solicita el acceso a la red WLAN.
  • Authenticator: AP funcionando de proxy entre el Registrar y el Enrollee.

WPS contempla cuatro tipos de configuraciones diferentes para el intercambio de credenciales, PIN (Personal Identification Number), PBC (Push Button Configuration), NFC (Near Field Communications) y USB (Universal Serial Bus):

  • PIN: tiene que existir un PIN asignado a cada elemento que vaya a asociarse a la red. Este PIN tiene que ser conocido tanto por el Registrar, como por el usuario (Enrollee). Es necesaria la existencia de una interfaz (e.g. pantalla y teclado) para que el usuario pueda introducir el mencionado PIN.
  • PBC: la generación y el intercambio de credenciales son desencadenados a partir que el usuario presiona un botón (físico o virtual) en el AP (o en otro elemento Registrar) y otro en el dispositivo. Notar que en el corto lapso de tiempo entre que se presiona el botón en el AP y se presiona en el dispositivo, cualquier otra estación próxima puede ganar acceso a la red.
  • NFC: intercambio de credenciales a través de comunicación NFC. La tecnología NFC, basada en RFID permite la comunicación sin hilos entre dispositivos próximos (0 – 20 cm). Entonces, el dispositivo Enrollee se tiene que situar al lado del Registrar para desencadenar la autenticación. De esta manera, cualquier usuario que tenga acceso físico al Registrar, puede obtener credenciales válidas.
  • USB: con este método, las credenciales se transfieren mediante un dispositivo de memoria flash (e.g. pendrive) desde el Registrar al Enrollee.

Los métodos PBC, NFC y USB pueden usarse para configurar dispositivos sin pantalla ni teclado (e.g. impresoras, webcams, etc.), pero aunque el estándar contempla NFC y USB, todavía no se certifican estos mecanismos. Actualmente sólo el método PIN es obligatorio en todas las estaciones para obtener la certificación WPS; PBC es obligatorio sólo en APs.

FULL DISCLOSURE: PIN por defecto routers Observa Telecom AW4062

Autor:  Mambostar

=======================================
FULL DISCLOSURE – Seguridadwireless.net
Fecha descubrimiento: 14/01/2012
Ultima revisión: 17/01/2012
Descubridor: Seguridadwireless.net
=======================================

http://www.seguridadwireless.net

Desde el grupo de Cifrados podemos confirmar que las redes WLAN_XXXX routers Observa Telecom 00:19:15:XX:XX:XX son vulnerables al ataque WPS y que el PIN por defecto es 12345670. con lo que la obtención de la clave WPA/WPA2 resulta trivial.

En condiciones de buena recepción la clave se obtiene entre 10 y 71 segundos por las pruebas que hemos realizado.

Gracias a todos los que han aportado datos y realizado las pruebas para sacar a la luz este nuevo.fallo de seguridad.

Saludos

Comentar