Bruk av wifi-nettverk sikret med WPA2 (Wi-Fi Protected Access II) har i mange år blitt ansett som temmelig sikkert. Men i det siste har sikkerheten så smått begynt å rakne.
I fjor høst fant den belgiske forskeren Mathy Vanhoef en sårbarhet i WPA2 som gjorde det mulig å utføre mann-i-midten-angrep mot enheter koblet til wifi-nett. For å utnytte dette, måtte angriperen gå til angrep på forbindelsen til en brukerenhet og blant annet fange opp en firetrinns «handshake» mellom enheten og aksesspunktet.
Pre-Shared Key
I forrige uke presenterte Jens Steube, hovedutvikleren bak verktøyet Hashcat – som brukes til å knekke passord, en angrepsmetode som er mindre tidkrevende. Den avhenger ikke lenger av angrep mot en klientenhet, men gjøres direkte mot aksesspunktet, så lenge det er WPA2-PSK-modusen (Pre-Shared Key) som benyttes, hvor alle brukerne logger seg på med det samme passordet.
WPA2-PSK kalles i blant også for WPA2-Personal.
En forutsetning er også at aksesspunktet støtter 802.11i/p/q/r-baserte nettverk hvor roamingfunksjonaliteten er aktivert. Ifølge Steube gjelder dette de fleste moderne wifi-rutere, men tilsynelatende også flere litt eldre modeller.
RSN IE (Robust Security Network Information Element) er et valgfritt felt som finnes i administrasjonsrammene («frame») til 802.11. Angrepsteknikken som Steube og hans kolleger har utviklet, kan brukes mot RSN IE i en enkelt EAPOL-ramme (Extensible Authentication Protocol Over LAN).
Hash-knekking
Ved hjelp av RSN IE-informasjonen kan en angriper hente ut en spesiell identifikator, PMKID (Pairwise Master Key Identifier), ved hjelp av et verktøy for å fange nettverkspakker.
Dette kan ta litt tid, avhengig av støyen i wifi-kanalen, så det anbefales å la verktøyet kjøre i opptil ti minutter.
Resultatet av dette er en hash som etter en enkel konvertering fôres inn i Hashcat-verktøyet, som altså kan brukes til å finne WPA PSK-passordet i nettverket.
_logo.svg.png){kind=logo}
Hele oppskriften på hvordan dette kan gjøres, finnes på denne siden.
Likevel tidkrevende
Det anses som betydelig enklere å knekke PSK-hashen enn å forsøke å gjette passordet direkte, men det dreier seg likevel om en tidkrevende prosess – i alle fall om den som administrerer aksesspunktet har valgt et komplekst passord.
Mange vet ikke at de bør endre wifi-passordet til ruteren når de tar det i bruk. Andre vet ikke hvordan de gjør dette, selv om det vanligvis er ganske enkelt. Mange av ruterleverandørene utstyrer hver ruter med et nokså unikt passord, men ofte er dette likevel basert på et mønster som kan gjenkjennes.
Til Bleeping Computer forteller Steube at dette kan utnyttes dersom angriperen kan gjenkjenne ruterleverandøren utfra MAC-adressen til enheten. For slike mønstre kan fôres inn i Hashcat.
Men selv med slik informasjon tilgjengelig, mener Steube at det typisk vil ta åtte dager å knekke et PSK med en lengde på ti tegn på en pc med fire GPU-er. Tiden kan reduseres dersom man har tilgang til kraftigere maskinvare. Den vil økes betydelig dersom passordet er lengre og vanskeligere å gjette.
Bruk lange passord
Steube opplyser at han selv bruker passord med 20 til 30 tegn, generert av et passordadministrasjonsverktøy, og dette er nok det enkleste forsvaret man kan gjøre for å forhindre slike angrep.
Ifølge Steube vil det være mye vanskeligere å angripe den nye WPA3-sikkerhetsstandarden, da denne tar i bruk en moderne protokoll for nøkkeletablering, Simultaneous Authentication of Equals (SAE).
Nok en sårbarhet
Som om det ikke er nok med sårbarheten Steube har funnet, har også nevnte Vanhoef avdekket en ny, wifi-relatert sårbarhet. Ifølge The Register skal den presenteres under Usenix Workshop on Offensive Technologies i Baltimore i neste uke, men Steube har allerede offentliggjort en vitenskapelig rapport om funnene, som han skrevet sammen med kollegaen Frank Piessens ved KU Leuven.
In our USENIX #WOOT18 paper, we found a decryption oracle in Android's and Linux's Wi-Fi client called wpa_supplicant. Only exploitable when using TKIP on a WPA2 network (the default in 20% of networks). See section 5.4 of https://t.co/BeVZI8vchi
— Mathy Vanhoef (@vanhoefm) 8. august 2018
Denne sårbarheten er knyttet til en spesifikk programvarekomponent, wpa_supplicant, som brukes av blant annet Android- og Linux-baserte wifi-klienter.
TKIP
Det er også verdt å merke seg at sårbarheten, som åpner for uautorisert dekryptering av trådløs nettverkstrafikk, kun fungerer dersom wifi-nettverket benytter den gamle krypteringsalgoritmen TKIP (Temporal Key Integrity Protocol). Det er relativt få som benytter denne i dag.
I Twitter-tråden skriver Vanhoef at sårbarheten finnes i firetrinns «handshake'n» mellom enheten og aksesspunktet, som vi har også har omtalt tidligere i denne saken.
– Problemet er at dataene blir kryptert med RC4, og deretter prosessert, uten at ektheten blir sjekket. Så du kan «flip bits», se hvordan klienten reagerer, og basert på dette gjenskape klartekst, skriver Vanhoef. Han innrømmer likevel at det er et lite effektiv angrepsmetode.
En sikkerhetsfiks til wpa_supplicant er tilgjengelig. Den skal inkluderes i neste versjon av programvaren. Men det beste er nok likevel at folk slutter å bruke TKIP i wifi-nettverk.
Les også: Sikrere wifi er rett rundt hjørnet
