margin-top: 125px; border: 1px solid gray; } -->

Již minimálně dvě aplikace úspěšně využívají zranitelnost WPS u WiFi routerů

Karel Michal , 03. leden 2012 07:06 2 komentářů

Logická chyba v návrhu WiFi Protected Setup (WPS) autentizace, která vede k náchylnosti k podlehnutí útokům typu brute force inspirovala již minimálně dva programátory k vytvoření software, který umožňuje ze zranitelných routerů extrahovat heslo pro připojení.

První aplikaci má na svědomí Craig Heffner, jehož program Reaver (distribuovaný pod GNU GPL 2) dokáže v základní verzi získat PIN a následně heslo v časovém intervalu od 4 do 10 hodin. Heffner nabízí také optimalizovanou variantu programu, která dobu potřebnou k úspěšnému brute force úroku zkracuje. Svůj program, ale vydal překvapivě také sám objevitel zranitelnosti VU#723755, Stefan Viehböck. Oproti Reaveru je Viehböckova aplikace rychlejší, ale zase nefunguje zdaleka na všech routerech, které WPS využívají (vyžaduje nechráněnou variantu WPS).

Zranitelnost je založená na tom, že způsob autentizace WPS umožňuje útočníkovi zjistit, jestli je první polovina z osmimístného číselného řetězce správná, takže lze následně již snadno uhádnout zbytek řetězce. Útok hrubou silou u 8-místného PIN by měl hypoteticky vyžadovat až 100 milionů pokusů, přičemž ověřování každého z nich trvá déle jak vteřinu, teoreticky by měl tedy hypotetický hacker u průlomu hrubou silou zestárnout o pár let.

Kvůli výše zmíněné logické chybě si ale může útočník z komunikace routeru ověřit, zda li první čtyři číslice uhádnul. Vzhledem k tomu, že poslední číslice PIN kódu je pak pouze kontrolní a lze ji vypočítat z ostatních, stačí následně rozluštit jen poslední trojčíselnou kombinaci. Takovéto rozfázování průlomu PIN celý proces zkracuje na záležitost v řádu několika hodin.


Komentáře

Petr Maleček #1
Petr Maleček 03. leden 2012 21:05

Proto WPS nepoužívám a je klid :D ... ono jestli si pamatovat nějaký PIN, nebo si radši nastavit pořádné heslo pod WPA2, které si taky zapamatuji, tak v tom rozdíl opravdu nevidím.

xurfa #2
xurfa 28. leden 2012 10:50

Třeba využíváš a ani o tom nevíš... :-/

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 0 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 0 komentářů

Starší zprávičky

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů

Ransomware funguje a generuje útočníkům zisky

Pavel Houser , 23. únor 2017 16:45

Ransomware je stále více centralizovaný a několik významných malwarových rodin dominuje celému "trhu...

Více 0 komentářů

Loni rychle rostl prodej mobilů a chytrých hodinek

ČTK , 23. únor 2017 14:43

Prodej technického spotřebního zboží v Česku loni vzrostl o 2,2 procenta na 74 miliard korun. ...

Více 0 komentářů