A WPA/2 foi quebrada? Podem descobrir a senha Wi-Fi com KRACK?

Pesquisadores revelam falhas no WPA/WPA2 com KRACK e expõe milhares de equipamentos. Mas é possível descobrir a senha do Wi-Fi? Como funciona o KRACK?

Meu nome é Allex Oliveira e esse artigo é para esclarecimentos sobre uma notícia que tomou conta dos grupos e fóruns de segurança da informação: a quebra do protocolo de criptografia wireless WPA/WPA2 com a técnica de KRACK (Key Reinstalation AtaCKs).

Antes de mais nada vamos concordar em uma coisa. Toda empresa e toda residência que você conhece com acesso à internet, tem uma rede wireless. Ou a maioria delas.
Essas redes sem fio precisam ser protegidas com senha, uma vez que o sinal dos Access Points não pode ser contido dentro de uma área específica, mesmo reduzindo a potência do equipamento.

Para proteger as conexões Wi-Fi contra acessos não autorizados e interceptação de dados durante a transmissão, são utilizados protocolos de segurança, sendo o mais recente o WPA2.

E se em uma bela manhã de segunda feira você lesse uma notícia de que foram descobertas falhas nesse protocolo e que conseguiram quebrar a WPA2, que vão conseguir conectar na sua rede e acessar todos os seus dispositivos, varrer sua rede em busca de informações sigilosas, conectar naquele compartilhamento de arquivos e pegar suas planilhas do excel e documentos do word?

Essas foram algumas notícias que tomaram conta dos grupos de whatsapp, telegram e fóruns de segurança da informação na manhã dessa segunda feira.

Mas até que ponto existem verdades e inverdades nessas notícias?

Se você está buscando:

– Entender o que de fato é mito e realidade nessas notícias
– Aumentar a segurança em suas redes wireless
– Evitar que sua rede wireless seja atacada
– Evitar vazamento ou perda de arquivos

É sobre isso que se tratará esse artigo.

1 – Como foi descoberta a falha na criptografia WPA2

Dois pesquisadores independentes, Mathy Vanhoef e Frank Piessen, da Universidade Católica de Leuven (KU Leuven), na Bélgica, publicaram nesta segunda feira uma pesquisa que fizeram sobre uma falha de segurança no protocolo de autenticação e criptografia de redes wireless, o WPA2.

Dia 28 de agosto de 2017 os principais fabricantes foram notificados sobre a falha, alguns corrigiram, outros não e dia 16 de outubro de 2017 o paper com todos os detalhes da pesquisa foi liberado ao público.

O paper com a pesquisa e os resultados pode ser acessado através desse link: https://goo.gl/4ijxFR

Mas a WPA/WPA2 já não é vulnerável? Tem vários vídeos no Youtube sobre como descobrir a senha Wi-Fi…

Depois que foi demonstrado como quebrar a criptografia WEP, o IEEE (Instituto de Engenheiros Eletricistas e Eletrônicos) ofereceu uma solução mais robusta de autenticação e criptografia nas redes 802.11, os protocolos WPA e WPA2.

Vale lembrar que não existia falhas na WPA/WPA2 (até essa pesquisa). Existem basicamente duas técnicas para se descobrir senhas em redes com esse tipo de criptografia: exploração do WPS e adivinhação por dicionário. Mas nenhuma das duas é ligada a vulnerabilidades no WPA/WPA2. Nem o clássico ataque com Fake AP permite a conexão do cliente que tem uma PSK (Pré Shared Key – Senha da rede).

Os vídeos que você pode ver no Youtube ou cursos e estudos sobre quebra de redes com WPA/WPA2 estão ligados em sua maioria com essas duas técnicas. Também existem ataques com engenharia social, mas isso não vem ao caso nesse artigo.

Qual é a falha?

Para entendermos qual é a falha e como ela é explorada, vamos entender como funciona a autenticação e associação de um dispositivo em uma rede Wi-Fi.

2 – Primeiro devemos entender como funciona uma conexão Wi-Fi WPA/2

A comunicação em uma rede Wi-Fi com WPA/2 ocorre em praticamente 5 fases:

Fase 1 – Descoberta

Nessa fase a estação cliente e o Access Point informam um ao outro os parâmetros de segurança que ambos suportam.

Cenário 1: O cliente sonda ativamente os APs ao seu alcance enviando probe request.

1 – Probe request: Solicitação para localizar um ponto de acesso
2 – Probe response: O AP responde com as políticas de segurança disponíveis, por exemplo as cifras que o AP suporta
3 – Association request: O cliente envia uma solicitação de associação ao AP, informando as políticas de segurança que ele irá utilizar
4 – Association response: Se o AP não suporta as opções desejadas do cliente, a solicitação é recusada, caso contrário a fase de descoberta é encerrada.
OBS: Ainda não foi feita nenhuma autenticação ou associação a rede. Foram negociados somente os parâmetros que regerá aquela conexão.


Cenário 2: O cliente monitora passivamente os quadros beacon que o AP envia. Nesse caso o cliente não perguntará as políticas de segurança que o AP oferece, pois ele já terá essas informações através da captura do beacon (como um farol de praia, o AP fica enviando informações sobre as políticas da conexão para todos o tempo todo).

Fase 2 – Autenticação

Durante essa fase, o cliente e o AP precisam provar sua identidade um para o outro.

Se durante a fase de descoberta tiver sido decidido que será utilizada a PSK, a fase de autenticação não é requerida, pois a chave já está digitada no cliente e no AP.

OBS: PSK é o acrônimo de Pré Shared Key, chave pré compartilhada, é a “senha da rede”. Tem esse nome porque é pré adicionada no cliente e no AP.

Caso for utilizado o 802.1x, ao invés de PSK, será realizado o processo de autenticação através de um servidor RADIUS.

Fase 3 – Geração e distribuição da chave

Nessa fase as chaves criptográficas são posicionadas tanto nas estações quanto no ponto de acesso para realização do tráfego criptografado através do handshake.

OBS: Essas são as chaves da sessão, trocadas para autenticação e criptografia dos dados, não a chave da rede. A chave da rede nunca é trocada entre o cliente e o AP.

Existem 2 tipos de handshakes: 4-Way Handshake e Group Key Handshake.

OBS: Esse primeiro ataque explora o M3 do 4-Way Handshake. Ainda existe o sexto ataque, que explora o Group Key Handshake.

4-way handshake ou aperto de mãos de 4 vias

Fór uei rendi xeiki 😉

No 4-Way Handshake, o cliente e o AP irão derivar a PTK (pairwise transient key) e realizarão uma autenticação mútua.

A PTK é gerada através de uma função pseudoaleatória (PRF) a partir da PMK, o MAC do cliente, o MAC do ponto de acesso, um número aleatório gerado pelo cliente e outro número aleatório gerado pelo ponto de acesso.

Mensagem 1 – O ponto de acesso envia um número aleatório como texto em claro para o cliente (ANonce)

O cliente também gera um número aleatório (SNonce). Depois, obtém a PTK através de uma função pseudoaleatória (PRF) a partir da PMK, o MAC do cliente, o MAC do ponto de acesso, o número aleatório gerado por ele e o número aleatório gerado pelo ponto de acesso. Em seguida, a PTK é dividida em três partes: EAPOL-Key KCK, EAPOL-Key KEK e TK.

Mensagem 2 – O cliente envia um número aleatório gerado por ele (SNonce) e um MIC (Message Integrity Code) criptografado pela KCK para que o ponto de acesso também obtenha a PTK.

O ponto de acesso deriva a PTK e gera um GTK aleatoriamente.

Mensagem 3 – O AP envia uma mensagem contendo o GTK criptografado pela KEK e um MIC criptografado pela KCK.

O cliente descriptografa a mensagem e verifica se o ponto de acesso obteve a PTK corretamente.

Mensagem 4 – O cliente envia a última mensagem contendo um ACK criptografado pela KEK e um MIC (message integrity code) criptografado pela KCK.

Na última etapa do 4-Way Handshake o ponto de acesso descriptografa a quarta mensagem e verifica se o cliente obteve a PTK corretamente.

Group Key Handshake

É utilizado pelo ponto de acesso para enviar um novo GTK a uma estação. Pode ocorrer imediatamente após o 4-Way Handshake ou depois da inicialização da estação. O ponto de acesso pode utilizar o handshake para atualizar o GTK nas estações nas seguintes situações: remoção da associação ou remoção da autenticação da estação; atualização de uma configuração na política de segurança da estação.
A GMK utilizada para gerar a GTK pode ser atualizada no ponto de acesso periodicamente com a intenção de prevenir a exposição o tráfego de dados caso a GMK seja comprometida.

Fase 4 – Transferência dos dados criptografados

Nessa fase os quadros são trocados de forma segura. Para essa fase acontecer é necessário que as fases 1 a 3 sejam concluídas.

Fase 5 – Encerramento de conexão

Nessa fase a associação entre o ponto de acesso e o cliente é encerrada da seguinte forma:
1 – O ponto de acesso remove a estação
2 – As chaves temporárias utilizadas na criptografia dos dados são excluídas

3 – Ataques de reinstalação de chaves KRACK – Key Reinstallation AttaCKs

Conforme você pode perceber são geradas e trocadas várias chaves no processo do 4-Way Handshake. A vulnerabilidade do WPA2 descoberta está nessa fase.

Esse ataque que irei detalhar é 1 de 6! Ou seja, existem mais 5 formas de ataque utilizando a reinstalação das chaves.

OBS: A exploração dessa vulnerabilidade consiste em fazer um ataque do homem no meio (Man in the middle – MITM). Ou seja, o atacante deverá estar perto tanto do AP quanto do cliente para que seja feita a ponte e interceptada a conexão. É um ataque complexo de fazer devido a essas premissas. Ou seja, não é simplesmente apontar uma antena para o AP e executar o ataque ou simplesmente só capturar o tráfego como é feito para quebra da WEP. Lembrando que com esse ataque não é possível descobrir a chave da rede!

Ao executar o 4-Way Handshake, será negociada uma nova chave de criptografia e essa chave será instalada depois de receber a mensagem 3 do 4-Way Handshake. Uma vez instalada a chave, ela será usada para criptografar os quadros de dados normais usando um protocolo de criptografia.

No entanto, como as mensagens podem ser perdidas ou descartadas, o ponto de acesso (AP) retransmitirá a mensagem 3 se não receber uma resposta adequada, como por exemplo uma confirmação. Como resultado, o cliente pode receber a Mensagem 3 várias vezes. Cada vez que recebe esta mensagem, ela irá reinstalar a mesma chave de criptografia e, assim, redefinir o número incremental do pacote de transmissão (nonce ou IV – Vetor de Inicialização) e receber o contador de repetição usado pelo protocolo de criptografia.

Para ficar mais fácil de entender, lembre-se da imagem do 4-Way Handshake. Agora imagine o dispositivo de um atacante que irá explorar essa vulnerabilidade entre a conexão do AP e do cliente (Man in the middle – MITM).

Dessa forma um atacante pode forçar esses recursos, coletando e reproduzindo retransmissões da mensagem 3 do 4-way handshake. Ao forçar o reuso do nonce (ou IV, vetor de inicialização) dessa maneira, o protocolo de criptografia pode ser atacado, por exemplo, os pacotes podem ser repetidos, descriptografados e / ou forjados. A mesma técnica também pode ser usada para atacar uma chave de grupo, PeerKey, TDLS e o fast BSS transition handshake.

O que isso significa na prática?

Como existirá um atacante no meio da conexão, ele pode ver todo o tráfego que está passando entre o cliente e o AP, assim como acontece em uma rede Wi-Fi aberta.

Ainda é possível injetar pacotes com dados mal-intencionados em conexões não criptografadas, fazendo com que o cliente faça download de um ransonware ou um malware.

Ainda é possível combinar outras técnicas como SLLStrip para capturar dados em conexões com HTTPS. Esse ataque é demonstrado no vídeo que os pesquisadores publicaram, no qual eles mostram o passo a passo como conseguir as credenciais de login e senha de um site:

A WPA2 Enterprise é vulnerável a esse ataque?

Conforme pode ser visto, esse ataque ocorre na fase 3 da comunicação Wi-Fi. A autenticação Enterprise está na fase 2. Então logo após a autenticação Enterprise será realizada a fase 3, que é o 4-Way Handshake e nessa hora o ataque de reinstalação de chaves pode ser feito normalmente, assim como acontece utilizando PSK (Pré Shared Key)

E agora? Como evitar isso em sua empresa?

Eu ajudo as empresas a implementarem a melhor proteção em seu ambiente, através de consultorias e treinamentos, pela Nextec IT Solutions, empresa que sou sócio fundador.

Para responder as principais dúvidas sobre o impacto e vulnerabilidades dessa falha do WPA/2 em redes Wi-Fi, eu criei o eBook totalmente grautuito:

“8 perguntas e respostas sobre vulnerabilidades em redes Wi-Fi com WPA2”

Veja algumas das perguntas respondidas nesse eBook:

  • Precisamos de uma WPA3?
  • Devo mudar a senha do Wi-Fi?
  • O meu dispositivo é vulnerável?
  • Devo usar temporariamente o WEP até que meus dispositivos estejam corrigidos?
  • O 4-Way Handshake foi matematicamente comprovado como seguro. Como é possível esse ataque?
  • Quais as melhores configurações para fazer em minha rede?
  • O que não devo deixar habilitado de forma alguma?
  • BÔNUS: 10 passos gerais para proteger sua rede Wi-Fi

O eBook é disponibilizado no e-mail após o formulário. Caso tenha alguma dificuldade em recebê-lo, entre em contato nos comentários ou através das minhas redes sociais.

Ah, só mais uma coisa

Deixe um comentário sobre o que achou do artigo e compartilhe esse post no Linkedin e Facebook, pois dessa forma você me ajuda divulgando meu trabalho e ajuda outras pessoas com essas informações que considero muito importantes, principalmente no mundo Wi-Fi em que vivemos. Obrigado!

Grande abraço.

Allex Oliveira
Co-founder Nextec IT Solutions
Certificado UEWA – Ubiquiti Enterprise Wireless Admin
 

P.S. Me siga nas redes sociais e acompanhe meu conteúdo:
Linkedin: https://goo.gl/jWnVMo
Facebook: https://goo.gl/9MHnWU
Youtube: https://goo.gl/hFDdwX
Instagram: https://goo.gl/v7S53n

Referências desse artigo:
https://goo.gl/4ijxFR – Paper da pesquisa
https://goo.gl/Kn4UTV – Krack Attacks
https://goo.gl/wGFZsY – www.gta.ufrj.br

  • Artur de Souza Aragão

    Ótimo e elucidador artigo! Gostei bastante.