Prof. Evandro Luiz C. Macedo (IM DCC UFRJ)
Felipe Espósito(Pr0teus)
{felipeaesposito@gmail.com @Pr0teusBR}
Outubro 2022
$whois Felipe.Pr0teus
Pai de menina.
Security Researcher @ Tenchi Security
Palestrante em diversos eventos Nacionais e Internacionais[H2HC, B-Sides(Vegas,SP) DEFCON CloudVillage(Vegas), SecTor(Toronto) entre outros...]
Amo café, viciado em chocolate!
Gosto de ajudar sempre que possível.
Disclaimer
Como disclaimer os dados e os resultados expostos aqui foram feitos em ambiente controlado, podem ou não corresponder a situações reais.
Warning!
Se você não quer participar ou se expor seus dados de alguma forma,
desligue o WIFI de TODOS os seus dispositivos..
Se não desligar, automaticamente implica que você aceita os riscos!
## Agenda
1. Recap 802.11
2. Problemas de Segurança.
3. Alguns Ataques.
3. Conclusões
Cenários
Buzz word Alert! * IOT - Internet Of Things
* BYOD - Bring your own device
Mudança de Paradigma
Riscos
Diminuição dos custos, mobilidade são propriedades interessantes de redes sem-fio.
Porém, há riscos! Eles foram analisados no seu modelo de ameaças?
## Frames 802.11
3 tipos de frames.
* Management (Gerência)
* Control (Controle)
* Data (Dados)
Data Frames
Responsáveis por carregar nossos dados(criptografados ou não).
Control Frames
Responsáveis por controlar o meio. (Colision Avoidance/Detection)
* RTS - Request To Send
* CTS - Clear to Send
* ACK - Acknowledgment
## Management Frames
* Beacons
** Anunciar a rede. (SSID, channels)
* Probe
** Probe Request
** Probe Response
## Management Frames
* Authentication
** Auth(Open, wep, wpa, wpa2, wpa3)
** Deauth
* Association
** Association Request
** Asscociation Response
** Disassociation
## Fases
1. Não autenticado e não associado =(
2. Authenticado e não associado
3. Authenticado e associado.
## Tipos de Redes
* Abertas - Open Network
* Fechadas(Criptografia) - WEP/WPA/WPA2/WPA3
## Formas de Proteção
* Filtro de MAC
* Desabilitar Broadcast de ESSID
* WEP
* WPA2
* WPA3
* WPS
* Sensores de Intrusão(WIPS/WIDS)
Let's break!
Filtro de MAC
Alguns SysAdmin não permitem acesso à rede sem um MAC address conhecido.
Ex: Alguns lugares como Aeroportos fornecem internet Gratis, por um tempo determinado
e controlam este acesso através do MAC address.
Alterar MAC address
## Broadcast de ESSID
* Brute-force
## Hardware
* Capaz de entrar em *monitor mode*.
* Capaz de injetar pacotes.
* Antenas
Antenas
Antenas
Dispositivos
TP-link W722n
Alpha
Wifi Pineaple
## Questão de posicionamento e potência.
* Por padrão os dispositivos conectam no AP mais forte.
* Aumentar a potência da antena e ou utilizar uma direcional.
Interface em Monitor mode
Demo
Sniffing Open Networks
arquivo: open-networks.pcap
## WEP em detalhes
Criptografia RC4(stream) e CRC-32 Integridade.
Pouco utilizado atualmente
#Problemas
* Problema: É possível derivar a chave utilizada no handshake se capturar os
challenge frames.
* Quebrado em 2001.
* 5000 IV é já tem 50% de chance de quebrar
* 24 bits pro Initial vector é pouco.
* Outras Solucoes foram propostas WEP2, WEPplus mas WPA e WPA2 sairam na frente.
* Tecnicas - Deauth e ARP-re-injection da pra capturar 40mil pacotes em menos de 1 minuto.
em 2008 WEP foi banido do PCI.
WEP still used?
Sim, cada vez menos.
WPA2 - crypto
Sucessor do WEP. Utiliza criptografia AES(PSK)
Não faz uso de: Vetor de Inicialização e nem chave fixa.
4 way handshake.
Gera uma PTK a cada nova associação.
PTK = PRF(PMK + ANonce + SNonce + AA + SA)
WPA2 - 4 way handshake
Demo
Cracking WPA2
arquivos: wpa2-crack.pcap, wordlist.txt
Utilize mais de 10 caractéres.
WPA2 BruteForce
## KRACK
* Ataque descoberto em 2017.
* Reuso do Nonce
* Afeta-va principalmente dispositivos Linux, Android 6.0
* No Linux a chave é resetada pra 0000.
## Kr00k
* Ataque descoberto em 2020.
* Afeta Broadcom, cypress chips (TK setadas para 0 no deauth)
* 32kb data decrypted.
Wifi Protected Setup(WPS)
Conveniência: Fácil de configurar os clientes.
Segurança?!
Desabilite o WPS se possível.
WIDS / WIPS
O Meio é compartilhado.
WIDS - Triangular a localização do atacante (Ação física), avisar ataques FAKE AP
WIPS - Deauth o atacante(Complicado).
## Ataques aos usuários
* Dispositivos realizam *probe requestes* de redes conhecidas.
* É possível spoofar essas informações e criar AP falsos.
* Negação de Serviço [Deauth Attack](../../downloads/wpa2-deauth-02.pcap)
* Engenharia Social (Evil Captive)
V
* Session Hijack (Cookies)
* SSL - SSL Strip
* DNS spoofing
* ARP poisoning
* Man-in-the-middle Attacks(Até pra 802.1x)
* Backdor on the fly - PE-injector - https://github.com/JonDoNym/peinjector
Privacidade
fonte: wiggle.net
Small demo
with Pineapple.
## Conclusão
1. Cuidados ao utilizar 802.11
2. Cuidado com vazamento de Rádio Frequência
3. Senha forte e "802.1x" com certificado.
4. Reforçe políticas através de GPO
5. Eduque seus usuários.
## Referências
1. [IEEE 802.11](https://pt.wikipedia.org/wiki/IEEE_802.11)
2. [Wiggle](https://wigle.net)
3. [Aircrack-ng](https://www.aircrak-ng.com)
4. [Wifi Pineapple](https://hakshop.com/)