Segurança da Informação

(In) Segurança em Redes Sem Fio.

Prof. Evandro Luiz C. Macedo (IM DCC UFRJ)
Felipe Espósito(Pr0teus)
{felipeaesposito@gmail.com @Pr0teusBR}

Outubro 2022

$whois Felipe.Pr0teus

  • Pai de menina.
  • Security Researcher @ Tenchi Security
  • Palestrante em diversos eventos Nacionais e Internacionais[H2HC, B-Sides(Vegas,SP) DEFCON CloudVillage(Vegas), SecTor(Toronto) entre outros...]
  • Amo café, viciado em chocolate!
  • Gosto de ajudar sempre que possível.

Disclaimer

Como disclaimer os dados e os resultados expostos aqui foram feitos em ambiente controlado, podem ou não corresponder a situações reais.

Warning!

Se você não quer participar ou se expor seus dados de alguma forma, desligue o WIFI de TODOS os seus dispositivos..
Se não desligar, automaticamente implica que você aceita os riscos!
## Agenda 1. Recap 802.11 2. Problemas de Segurança. 3. Alguns Ataques. 3. Conclusões

Cenários

Buzz word Alert!
* IOT - Internet Of Things
* BYOD - Bring your own device

Mudança de Paradigma

Riscos

Diminuição dos custos, mobilidade são propriedades interessantes de redes sem-fio.
Porém, há riscos! Eles foram analisados no seu modelo de ameaças?
lion opening cars door
Hackers used a thermostat at phishtank to steal from a cassino
## Frames 802.11 3 tipos de frames. * Management (Gerência) * Control (Controle) * Data (Dados)

Data Frames

Responsáveis por carregar nossos dados(criptografados ou não).

Control Frames

Responsáveis por controlar o meio. (Colision Avoidance/Detection)
* RTS - Request To Send
* CTS - Clear to Send
* ACK - Acknowledgment
## Management Frames * Beacons ** Anunciar a rede. (SSID, channels) * Probe ** Probe Request ** Probe Response
## Management Frames * Authentication ** Auth(Open, wep, wpa, wpa2, wpa3) ** Deauth * Association ** Association Request ** Asscociation Response ** Disassociation
## Fases 1. Não autenticado e não associado =( 2. Authenticado e não associado 3. Authenticado e associado.
## Tipos de Redes * Abertas - Open Network * Fechadas(Criptografia) - WEP/WPA/WPA2/WPA3
## Formas de Proteção * Filtro de MAC * Desabilitar Broadcast de ESSID * WEP * WPA2 * WPA3 * WPS * Sensores de Intrusão(WIPS/WIDS)

Let's break!

Filtro de MAC

Alguns SysAdmin não permitem acesso à rede sem um MAC address conhecido. Ex: Alguns lugares como Aeroportos fornecem internet Gratis, por um tempo determinado e controlam este acesso através do MAC address.
Alterar MAC address
## Broadcast de ESSID * Brute-force
## Hardware * Capaz de entrar em *monitor mode*. * Capaz de injetar pacotes. * Antenas

Antenas

Antenas

Dispositivos

TP-link W722n
Alpha
Wifi Pineaple
## Questão de posicionamento e potência. * Por padrão os dispositivos conectam no AP mais forte. * Aumentar a potência da antena e ou utilizar uma direcional.
Interface em Monitor mode

Demo

Sniffing Open Networks

arquivo: open-networks.pcap
## WEP em detalhes Criptografia RC4(stream) e CRC-32 Integridade. Pouco utilizado atualmente
#Problemas * Problema: É possível derivar a chave utilizada no handshake se capturar os challenge frames. * Quebrado em 2001. * 5000 IV é já tem 50% de chance de quebrar * 24 bits pro Initial vector é pouco. * Outras Solucoes foram propostas WEP2, WEPplus mas WPA e WPA2 sairam na frente. * Tecnicas - Deauth e ARP-re-injection da pra capturar 40mil pacotes em menos de 1 minuto. em 2008 WEP foi banido do PCI.

WEP still used?

Sim, cada vez menos.

WPA2 - crypto

  • Sucessor do WEP. Utiliza criptografia AES(PSK)
  • Não faz uso de: Vetor de Inicialização e nem chave fixa.
  • 4 way handshake.
  • Gera uma PTK a cada nova associação.
    PTK = PRF(PMK + ANonce + SNonce + AA + SA)

    • WPA2 - 4 way handshake

    Demo

    Cracking WPA2

    arquivos: wpa2-crack.pcap, wordlist.txt

    Utilize mais de 10 caractéres.
    WPA2 BruteForce
    ## KRACK * Ataque descoberto em 2017. * Reuso do Nonce * Afeta-va principalmente dispositivos Linux, Android 6.0 * No Linux a chave é resetada pra 0000.
    ## Kr00k * Ataque descoberto em 2020. * Afeta Broadcom, cypress chips (TK setadas para 0 no deauth) * 32kb data decrypted.

    Wifi Protected Setup(WPS)

    Conveniência: Fácil de configurar os clientes.
    Segurança?!
    Desabilite o WPS se possível.

    WIDS / WIPS

    O Meio é compartilhado.

    WIDS - Triangular a localização do atacante (Ação física), avisar ataques FAKE AP

    WIPS - Deauth o atacante(Complicado).

    ## Ataques aos usuários * Dispositivos realizam *probe requestes* de redes conhecidas. * É possível spoofar essas informações e criar AP falsos. * Negação de Serviço [Deauth Attack](../../downloads/wpa2-deauth-02.pcap) * Engenharia Social (Evil Captive)
    V
    * Session Hijack (Cookies) * SSL - SSL Strip * DNS spoofing * ARP poisoning * Man-in-the-middle Attacks(Até pra 802.1x) * Backdor on the fly - PE-injector - https://github.com/JonDoNym/peinjector

    Privacidade

    fonte: wiggle.net

    Small demo

    with Pineapple.
    ## Conclusão 1. Cuidados ao utilizar 802.11 2. Cuidado com vazamento de Rádio Frequência 3. Senha forte e "802.1x" com certificado. 4. Reforçe políticas através de GPO 5. Eduque seus usuários.
    ## Referências 1. [IEEE 802.11](https://pt.wikipedia.org/wiki/IEEE_802.11) 2. [Wiggle](https://wigle.net) 3. [Aircrack-ng](https://www.aircrak-ng.com) 4. [Wifi Pineapple](https://hakshop.com/)

    Obrigado!

    Dúvidas?