Tópicos Especiais em Sistemas de Comunicações EEL840
(In) Segurança em Redes Sem Fio.
Prof. Luís Felipe M. de Moraes
(DEC-Poli PESC-Coppe UFRJ)
Prof. Evandro Luiz C. Macedo (IM DCC UFRJ)
Felipe Espósito(Pr0teus)
{felipeaesposito@gmail.com @Pr0teusBR}
$whois Felipe.Pr0teus
Works for TJRJ
Security Researcher(Independent)
Love coffee!
Like to Help
Disclaimer
The data, or the results found here were tested in controled environment, may or may not correspond to a real life situations. My employer has nothing to do with it =D
Warning!
If you don`t want to participate or expose your data,
turn off the WIFI of ALL your devices..
If you don`t turn off, it`s automatically implies that you accept the risks!
## Agenda
1. Recap 802.11
2. Problemas de Segurança.
3. Conclusões
Cenários
Buzz word Alert! * IOT - Internet Of Things
* BYOD - Bring your own device
Mudança de Paradigma
Riscos
It`s nice to have mobility but it also bring risks!
How about your threat model?
Do you know your enemy capabilities?
Fonte:Wikipedia
## 802.11 Por aí.
* 802.11 B,G - Padrão mais comum usam OFDM.
* 802.11 N - Padrão em ascenção, canais mais largos 40mhz e tem MIMO.
* 802.11 AC. 1Gbps 80Mhz e 160Mhz MIMO 8x8
Channels
## Frames 802.11
3 tipos de frames.
* Management (Gerencia)
* Control (Controle)
* Data (Dados)
Data Frames
They`re responsability to carry your data (Encrypted or not).
Control Frames
Responsáveis por controlar o meio.
* RTS - Request To Send
* CTS - Clear to Send
* ACK - Acknowledgment
## Management Frames
* Beacons
** Anunciar a rede. (SSID, channels)
* Probe
** Probe Request
** Probe Response
## Management Frames
* Authentication
** Auth(Open, wep, wpa, wpa2)
** Deauth
* Association
** Association Request
** Asscociation Response
** Disassociation
## Fases
1. Não autenticado e não associado =(
2. Authenticado e não associado
3. Authenticado e associado.
## Tipos de Redes
* Abertas - Open Network
* Fechadas(Criptografia) - WEP/WPA/WPA
## Formas de Proteção
* Filtro de MAC
* Desabilitar Broadcast de ESSID
* WEP
* WPA2
* WPS
* Sensores de Intrusão(WIPS/WIDS)
Let's break!
Filtro de MAC
Alguns SysAdmin não permitem acesso à rede sem um MAC address conhecido.
Ex: Alguns lugares como Aeroportos fornecem internet Gratis, por um tempo determinado
e controlam este acesso através do MAC address.
Alterar MAC address
## Broadcast de ESSID
* Brute-force
## Hardware
* Capaz de entrar em *monitor mode*.
* Capaz de injetar pacotes.
* Antenas
Antenas
Antenas
Dispositivos
TP-link W722n
Alpha
Wifi Pineaple
Demo
Sniffing Open Networks
arquivo: open-networks.pcap
Interface em Monitor mode
## WEP em detalhes
Criptografia RC4(stream) e CRC-32 Integridade.
* Governo dos Estados Unidos limitava a exportação de criptografia. Snowden?!
* Tamanho de chave limitado.
* 24 bits do IV + chave como seed pro RC4.
* Shared key
## WEP handshake
* Cliente envia um AuthRequest pro AP
* AP responde com um challenge em clear-text
* Cliente encrypta o challenge com a chave e envia em um outro AuthRequest
* AP descriptografa e verifica o challenge
WEP - Auth
#Problemas
* Problema: É possível derivar a chave utilizada no handshake se capturar os
challenge frames.
* Quebrado em 2001.
* 5000 IV é já tem 50% de chance de quebrar
* Outras Solucoes foram propostas WEP2, WEPplus mas WPA e WPA2 sairam na frete.
* Tecnicas - Deauth e ARP-re-injection da pra capturar 40mil pacotes em menos de 1 minuto.
em 2008 WEP foi banido do PCI.
WEP - The Problem
24 bits pro Initial vector é pouco.
com 5.000 iv há 50% de chances de descobrir a chave.
Demo
Cracking WEP
arquivo: wep-ivs.pcap
Utilize mais de 10 caractéres.
WEP still used?
Sim, cada vez menos.
Wardriving ou warwalking
WPA2 - crypto
Sucessor do WEP. Utiliza criptografia AES(PSK)
Não faz uso de: Vetor de Inicialização e nem chave fixa.
4 way handshake.
Gera uma PTK a cada nova associação.
PTK = PRF(PMK + ANonce + SNonce + AA + SA)
WPA2 - 4 way handshake
Demo
Cracking WPA2
arquivos: wpa2-crack.pcap, wordlist.txt
Utilize mais de 10 caractéres.
WPA BruteForce
Wifi Protected Setup(WPS)
Conveniência: Fácil de configurar os clientes.
Segurança?!
Desabilite o WPS se possível.
WIDS / WIPS
O Meio é compartilhado.
WIDS - Triangular a localização do atacante (Ação física), avisar ataques FAKE AP
WIPS - Deauth o atacante(Complicado).
Mudança de Paradigma
A superfície de ataque agora é flexível.
## Posicionamento
* Por padrão os dispositivos conectam no AP mais forte.
* Aumentar a potência da antena e ou utilizar uma direcional.
## Ataques aos usuários
* Dispositivos realizam *probe requestes* de redes conhecidas.
* É possível spoofar essas informações e criar AP falsos.
* Negação de Serviço (Deauth Attack)
* Engenharia Social (Evil Captive)
V
* Session Hijack (Cookies)
* SSL - SSL Strip
* DNS spoofing
* ARP poisoning
* Man-in-the-middle Attacks(Até pra 802.1x)
* Backdor on the fly - PE-injector - https://github.com/JonDoNym/peinjector
Privacidade
fonte: wiggle.net
Small demo
with Pineapple.
## Conclusão
1. Cuidados ao utilizar 802.11
2. Cuidado com vazamento de Rádio Frequência
3. Senha forte e "802.1x"
4. Reforçe políticas através de GPO
5. Eduque seus usuários
## Referências
1. [IEEE 802.11](https://pt.wikipedia.org/wiki/IEEE_802.11)
2. [Wiggle](https://wigle.net)
3. [Aircrack-ng](https://www.aircrak-ng.com)
4. [Wifi Pineapple](https://hakshop.com/)