margin-top: 125px; border: 1px solid gray; } -->

Již minimálně dvě aplikace úspěšně využívají zranitelnost WPS u WiFi routerů

Karel Michal , 03. leden 2012 07:06 2 komentářů

Logická chyba v návrhu WiFi Protected Setup (WPS) autentizace, která vede k náchylnosti k podlehnutí útokům typu brute force inspirovala již minimálně dva programátory k vytvoření software, který umožňuje ze zranitelných routerů extrahovat heslo pro připojení.

První aplikaci má na svědomí Craig Heffner, jehož program Reaver (distribuovaný pod GNU GPL 2) dokáže v základní verzi získat PIN a následně heslo v časovém intervalu od 4 do 10 hodin. Heffner nabízí také optimalizovanou variantu programu, která dobu potřebnou k úspěšnému brute force úroku zkracuje. Svůj program, ale vydal překvapivě také sám objevitel zranitelnosti VU#723755, Stefan Viehböck. Oproti Reaveru je Viehböckova aplikace rychlejší, ale zase nefunguje zdaleka na všech routerech, které WPS využívají (vyžaduje nechráněnou variantu WPS).

Zranitelnost je založená na tom, že způsob autentizace WPS umožňuje útočníkovi zjistit, jestli je první polovina z osmimístného číselného řetězce správná, takže lze následně již snadno uhádnout zbytek řetězce. Útok hrubou silou u 8-místného PIN by měl hypoteticky vyžadovat až 100 milionů pokusů, přičemž ověřování každého z nich trvá déle jak vteřinu, teoreticky by měl tedy hypotetický hacker u průlomu hrubou silou zestárnout o pár let.

Kvůli výše zmíněné logické chybě si ale může útočník z komunikace routeru ověřit, zda li první čtyři číslice uhádnul. Vzhledem k tomu, že poslední číslice PIN kódu je pak pouze kontrolní a lze ji vypočítat z ostatních, stačí následně rozluštit jen poslední trojčíselnou kombinaci. Takovéto rozfázování průlomu PIN celý proces zkracuje na záležitost v řádu několika hodin.


Komentáře

Petr Maleček #1
Petr Maleček 03. leden 2012 21:05

Proto WPS nepoužívám a je klid :D ... ono jestli si pamatovat nějaký PIN, nebo si radši nastavit pořádné heslo pod WPA2, které si taky zapamatuji, tak v tom rozdíl opravdu nevidím.

xurfa #2
xurfa 28. leden 2012 10:50

Třeba využíváš a ani o tom nevíš... :-/


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 0 komentářů

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 1 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů

Starší zprávičky

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů

Facebook postaví v Dánsku datové centrum

ČTK , 20. leden 2017 14:00

Americký provozovatel sociální sítě Facebook postaví v dánském městě Odense nové datové centrum, kte...

Více 0 komentářů

Americký Oracle převezme českou programátorskou firmu Apiary

ČTK , 20. leden 2017 12:00

Americký výrobce podnikového softwaru Oracle podepsal dohodu o převzetí české programátorské firmy A...

Více 0 komentářů

Internetová ekonomika za pět let posílila o 15 procent na 188 miliard

ČTK , 20. leden 2017 07:00

Objem internetové ekonomiky se předloni proti roku 2011 zvýšil o 15 procent na 188 miliard korun. Na...

Více 0 komentářů