PcPedia >> non subire l informatica!

  • Increase font size
  • Default font size
  • Decrease font size
  • default color
  • black color
Home Guide Hacking Relazione sul WPA di Erik Tews

Relazione sul WPA di Erik Tews

E-mail Stampa PDF

Prima di esporre i risultati raggiunti da Erick tews è necessario approfondire un pò meglio il funzionamento del TKIP e fare alcune riflessioni:

132359

fonte immagine cisco sistems

La TKIP (Temporary Key Internet Protocol) è una versione pesantemente modificata del WEP che cerca di porre un freno ai principali attacchi di cui abbiamo già discusso. Ecco i principali rimedi utilizzati dal wpa:

Il wep (come abbiamo ampiamente discusso qui) criptava ed aggiungeva un CRC32 checksum ad ogni frammento di pacchetto e ciò consentiva di “riarrangiarli” cambiando anche i campi mittente e destinatario rispedendoli a piacimento (chop-chop attack). Nel wpa viene aggiunto un Message Integrity Code (MIC) ad ogni pacchetto prima della frammentazione.Per il calcolo del MIC viene usato l’algoritmo Michael a 64 bit creato apposta poiché più veloce dei classici MD5 e SHA. Da notare tuttavia che al contrario di questi il MICHAEL è reversabile.(continua)

Per l’attacco alle reti wep si sfruttano altresì le debolezze del checksum CRC32. Nel wpa , per confondere le cose, solo in alcuni messaggi il CRC32 è corretto ed il MIC è scorretto… Ciò significa che quando viene compiuto un attacco attivo (iniection di pacchetti) il TKIP è in grado di accorgersene ed interrompere la comunicazione. La rinegoziazione delle chiavi avviene dopo 1 minuto (o più..) e in quel periodo in teoria si blocca un possibile attacco (o no..)

Nel wep gli IVS oltre ad essere criptati in RC4 assieme alla chiave vengono anche trasmessi in chiaro. Ciò consente l’ARP iniection di pacchetti per effettuare un recovery dei primi dei 16 milioni di keystream. Nel wpa viene aggiunto un contatore TSC (Packet Sequence Counter) che impedisce di fatto l’attacco ARP infatti se un pacchetto “inaspettato” viene ricevuto dalla stazione questo viene scartato.

Il wep cambia solo i primi 3 byte della per-packed-key (ossia quelli relativi agli IVS): questo consente di ricavare la key a partire dai primi byte del keystream tramite attacchi basati sulle debolezze e occorrenze statistiche dell’algoritmo RC4 (FMS,Korek,PWT attacks). Per evitare questo TKIP cambia la perpackedkey completamente.

Quindi il TKIP utilizza l’RC4 in una maniera più sicura del wep. Tuttavia, dal punto di vista della sicurezza non è ancora al top della sicurezza poiché cerca di mantenere la compatibilità on l’hardware della generazione precedente. Questo consente ai progettisti di router e AP di utilizare l’hardware della generazione WEP e trasformarlo in WPA con un aggiornamento del firmware. L’altro sistema wpa (AES-CCMP) è per ora inespugnabile poiché non adotta questa filosofia del TKIP e abbandona completamente l’RC4 ed il MICAEL implementando un livello di sicurezza molto elevato...

Riassumiamo quanto detto in questo schema:


debolezzewep


RELAZIONE SULL’ATTACCO AL WPA DI ERICK TEWS:

Ora riportiamo la nostra relazione-traduzione della clamorosa relazione pubblica di Erik Tews che è riuscito a violare il wpa con un attacco attivo..Moltissimi siti ne parlano ma nessuno si è preso la briga di informarsi meglio e spiegarne il funzionamento a grandi linee...

Abbiamo già anticipato nella tabella i sistemi utilizzati da Tews per violare una rete wpa. Ora cercheremo di riassumerli basandoci sulla relazione pubblica dei suoi risultati.

Egli afferma che si può utilizzare un chopchop attack evitando di essere bloccati dal tempo di rinegoziazione del TKIP utilizzando tutti i canali disponibili del QoS (Quality of Sevice Feautures). Ecco il procedimento da lui utilizzato:

  1. L’attacker cattura i pacchetti in monitor mode fino a quando non abbiamo ottenuto degli ARP request. Come avevamo già discusso nell’approfondimento sul WEP questi pacchetti sono facilmente riconoscibili per la loro struttura intrinseca. L’attacker quindi conoscerà la maggior parte del plaintext eccetto: l’ultimo byte dell’indirizzo IP del mittente e del destinatario, gli 8 byte del MICHAEL-MIC e i 4 byte del checksum ICV.
  2. L’attacker lancia un attacco chop-chop modificato che operi su differenti canali diversi da quello di trasmissione. Possibilmente utilizza dei canali dove il TSC counter resta basso (ossia dove presumibilmente non viene incrementato). In questo chopchop modificato si cerca di indovinare l’ultimo byte, se è sbagliato l’attacker deve aspettare il tempo di rinegoziazione ma il TSC counter non viene ulteriormente incrementato. In un tempo di 12 minuti (EGLI afferma) è possibile decriptare ed ottenere gli ultimi 12 byte del plaintext che mancavano (8 del MIC e 4 del ICV-checksum).
  3. Ora si puo’ reversare il MICHAEL e ottenere la MIC-KEY usata per proteggere i pacchetti. Il Michael è stato creato per essere veloce e non per non essere reversato.
  4. A questo punto l’attacker ha ottenuto la MIC ed il Keystream della comunicazione. Può ora mandare dei paccketti custom in tutti i canali supportati dove il TSC counter resta quasi fermo ( di solito 7 o più canali).In tal modo si possono recuperare altri keystream (in 4-5 minuti ) poiché ora è sufficiente ottenere i quattro byte del’ICV usando il chopchop. L’ultimo byte degli indirizzi IP può essere indovinato a tentativi ed il MIC puo’ essere ricalcolato usando la MIC key ricavata precedentemente.

Come avete potuto notare Erick Tews è stato abbastanza avido di informazioni ma ha dato una prima infarinatura sul suo attacco che a breve (?) verrà implementato ufficialmente presumibilmente in tkiptun-ng..


Commenti
Nuovo Cerca
+/-
Commenta
Nome:
Email:
 
Website:
Titolo:
UBBCode:
[b] [i] [u] [url] [quote] [code] [img] 
 
 
:D:angry::angry-red::evil::idea::love::x:no-comments::ooo::pirate::?::(
:sleep::););)):0
 
Please input the anti-spam code that you can read in the image.

!joomlacomment 4.0 Copyright (C) 2009 Compojoom.com . All rights reserved."