Tópicos Especiais em Sistemas de Comunicações EEL840

(In) Segurança em Redes Sem Fio.

  • Prof. Luís Felipe M. de Moraes (DEC-Poli PESC-Coppe UFRJ)
  • Prof. Evandro Luiz C. Macedo (IM DCC UFRJ)
  • Felipe Espósito(Pr0teus)
    {felipeaesposito@gmail.com @Pr0teusBR}

    • Outubro 2017

    $whois Felipe.Pr0teus

    • Works for TJRJ
    • Security Researcher(Independent)
    • Love coffee!
    • Like to Help

    Disclaimer

    The data, or the results found here were tested in controled environment, may or may not correspond to a real life situations. My employer has nothing to do with it =D

    Warning!

    If you don`t want to participate or expose your data, turn off the WIFI of ALL your devices..
    If you don`t turn off, it`s automatically implies that you accept the risks!
    ## Agenda 1. Recap 802.11 2. Problemas de Segurança. 3. Conclusões

    Cenários

    Buzz word Alert!
    * IOT - Internet Of Things
    * BYOD - Bring your own device

    Mudança de Paradigma

    Riscos

    It`s nice to have mobility but it also bring risks! How about your threat model? Do you know your enemy capabilities?
    lion opening cars door
    Fonte:Wikipedia
    ## 802.11 Por aí. * 802.11 B,G - Padrão mais comum usam OFDM. * 802.11 N - Padrão em ascenção, canais mais largos 40mhz e tem MIMO. * 802.11 AC. 1Gbps 80Mhz e 160Mhz MIMO 8x8

    Channels

    ## Frames 802.11 3 tipos de frames. * Management (Gerencia) * Control (Controle) * Data (Dados)

    Data Frames

    They`re responsability to carry your data (Encrypted or not).

    Control Frames

    Responsáveis por controlar o meio.
    * RTS - Request To Send
    * CTS - Clear to Send
    * ACK - Acknowledgment
    ## Management Frames * Beacons ** Anunciar a rede. (SSID, channels) * Probe ** Probe Request ** Probe Response
    ## Management Frames * Authentication ** Auth(Open, wep, wpa, wpa2) ** Deauth * Association ** Association Request ** Asscociation Response ** Disassociation
    ## Fases 1. Não autenticado e não associado =( 2. Authenticado e não associado 3. Authenticado e associado.
    ## Tipos de Redes * Abertas - Open Network * Fechadas(Criptografia) - WEP/WPA/WPA
    ## Formas de Proteção * Filtro de MAC * Desabilitar Broadcast de ESSID * WEP * WPA2 * WPS * Sensores de Intrusão(WIPS/WIDS)

    Let's break!

    Filtro de MAC

    Alguns SysAdmin não permitem acesso à rede sem um MAC address conhecido. Ex: Alguns lugares como Aeroportos fornecem internet Gratis, por um tempo determinado e controlam este acesso através do MAC address.
    Alterar MAC address
    ## Broadcast de ESSID * Brute-force
    ## Hardware * Capaz de entrar em *monitor mode*. * Capaz de injetar pacotes. * Antenas

    Antenas

    Antenas

    Dispositivos

    TP-link W722n
    Alpha
    Wifi Pineaple

    Demo

    Sniffing Open Networks

    arquivo: open-networks.pcap
    Interface em Monitor mode
    ## WEP em detalhes Criptografia RC4(stream) e CRC-32 Integridade. * Governo dos Estados Unidos limitava a exportação de criptografia. Snowden?! * Tamanho de chave limitado. * 24 bits do IV + chave como seed pro RC4. * Shared key
    ## WEP handshake * Cliente envia um AuthRequest pro AP * AP responde com um challenge em clear-text * Cliente encrypta o challenge com a chave e envia em um outro AuthRequest * AP descriptografa e verifica o challenge

    WEP - Auth

    #Problemas * Problema: É possível derivar a chave utilizada no handshake se capturar os challenge frames. * Quebrado em 2001. * 5000 IV é já tem 50% de chance de quebrar * Outras Solucoes foram propostas WEP2, WEPplus mas WPA e WPA2 sairam na frete. * Tecnicas - Deauth e ARP-re-injection da pra capturar 40mil pacotes em menos de 1 minuto. em 2008 WEP foi banido do PCI.

    WEP - The Problem

    24 bits pro Initial vector é pouco.

    com 5.000 iv há 50% de chances de descobrir a chave.

    Demo

    Cracking WEP

    arquivo: wep-ivs.pcap

    Utilize mais de 10 caractéres.

    WEP still used?

    Sim, cada vez menos. Wardriving ou warwalking

    WPA2 - crypto

  • Sucessor do WEP. Utiliza criptografia AES(PSK)
  • Não faz uso de: Vetor de Inicialização e nem chave fixa.
  • 4 way handshake.
  • Gera uma PTK a cada nova associação.
    PTK = PRF(PMK + ANonce + SNonce + AA + SA)

    • WPA2 - 4 way handshake

    Demo

    Cracking WPA2

    arquivos: wpa2-crack.pcap, wordlist.txt

    Utilize mais de 10 caractéres.
    WPA BruteForce

    Wifi Protected Setup(WPS)

    Conveniência: Fácil de configurar os clientes.
    Segurança?!
    Desabilite o WPS se possível.

    WIDS / WIPS

    O Meio é compartilhado.

    WIDS - Triangular a localização do atacante (Ação física), avisar ataques FAKE AP

    WIPS - Deauth o atacante(Complicado).

    Mudança de Paradigma

    A superfície de ataque agora é flexível.
    ## Posicionamento * Por padrão os dispositivos conectam no AP mais forte. * Aumentar a potência da antena e ou utilizar uma direcional.
    ## Ataques aos usuários * Dispositivos realizam *probe requestes* de redes conhecidas. * É possível spoofar essas informações e criar AP falsos. * Negação de Serviço (Deauth Attack) * Engenharia Social (Evil Captive)
    V
    * Session Hijack (Cookies) * SSL - SSL Strip * DNS spoofing * ARP poisoning * Man-in-the-middle Attacks(Até pra 802.1x) * Backdor on the fly - PE-injector - https://github.com/JonDoNym/peinjector

    Privacidade

    fonte: wiggle.net

    Small demo

    with Pineapple.
    ## Conclusão 1. Cuidados ao utilizar 802.11 2. Cuidado com vazamento de Rádio Frequência 3. Senha forte e "802.1x" 4. Reforçe políticas através de GPO 5. Eduque seus usuários
    ## Referências 1. [IEEE 802.11](https://pt.wikipedia.org/wiki/IEEE_802.11) 2. [Wiggle](https://wigle.net) 3. [Aircrack-ng](https://www.aircrak-ng.com) 4. [Wifi Pineapple](https://hakshop.com/)

    Obrigado!

    Dúvidas?