margin-top: 125px; border: 1px solid gray; } -->

Již minimálně dvě aplikace úspěšně využívají zranitelnost WPS u WiFi routerů

Karel Michal , 03. leden 2012 07:06 2 komentářů

Logická chyba v návrhu WiFi Protected Setup (WPS) autentizace, která vede k náchylnosti k podlehnutí útokům typu brute force inspirovala již minimálně dva programátory k vytvoření software, který umožňuje ze zranitelných routerů extrahovat heslo pro připojení.

První aplikaci má na svědomí Craig Heffner, jehož program Reaver (distribuovaný pod GNU GPL 2) dokáže v základní verzi získat PIN a následně heslo v časovém intervalu od 4 do 10 hodin. Heffner nabízí také optimalizovanou variantu programu, která dobu potřebnou k úspěšnému brute force úroku zkracuje. Svůj program, ale vydal překvapivě také sám objevitel zranitelnosti VU#723755, Stefan Viehböck. Oproti Reaveru je Viehböckova aplikace rychlejší, ale zase nefunguje zdaleka na všech routerech, které WPS využívají (vyžaduje nechráněnou variantu WPS).

Zranitelnost je založená na tom, že způsob autentizace WPS umožňuje útočníkovi zjistit, jestli je první polovina z osmimístného číselného řetězce správná, takže lze následně již snadno uhádnout zbytek řetězce. Útok hrubou silou u 8-místného PIN by měl hypoteticky vyžadovat až 100 milionů pokusů, přičemž ověřování každého z nich trvá déle jak vteřinu, teoreticky by měl tedy hypotetický hacker u průlomu hrubou silou zestárnout o pár let.

Kvůli výše zmíněné logické chybě si ale může útočník z komunikace routeru ověřit, zda li první čtyři číslice uhádnul. Vzhledem k tomu, že poslední číslice PIN kódu je pak pouze kontrolní a lze ji vypočítat z ostatních, stačí následně rozluštit jen poslední trojčíselnou kombinaci. Takovéto rozfázování průlomu PIN celý proces zkracuje na záležitost v řádu několika hodin.


Komentáře

Petr Maleček #1
Petr Maleček 03. leden 2012 21:05

Proto WPS nepoužívám a je klid :D ... ono jestli si pamatovat nějaký PIN, nebo si radši nastavit pořádné heslo pod WPA2, které si taky zapamatuji, tak v tom rozdíl opravdu nevidím.

xurfa #2
xurfa 28. leden 2012 10:50

Třeba využíváš a ani o tom nevíš... :-/

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
21. 03.

24. 03.
Amper
25. 03. INSPO 2017
RSS 

Zprávičky

Workplace Hub pro optimalizaci systémů i procesů

Pavel Houser , 23. březen 2017 16:09

Konica Minolta v partnerství se společnostmi Microsoft, HPE, Sophos, Canonical a BrainTribe přichází...

Více 0 komentářů

Jen necelá polovina firem pravidelně zkoumá data o zákaznících

ITBiz.cz , 23. březen 2017 14:30

Podle studie společnosti Oracle pouze 44 % firem pravidelně zkoumá data o svých zákaznících s cílem ...

Více 0 komentářů

Google umožní sdílení polohy přes aplikaci Google Maps

ČTK , 23. březen 2017 13:30

Uživatelé populární mapové aplikace Google Maps budou moci od příštího týdne sdílet s ostatními svou...

Více 0 komentářů

Starší zprávičky

V affiliate marketingu se u nás letos protočí 3 miliardy

ITBiz.cz , 23. březen 2017 10:00

Celkový objem trhu online affiliate marketingu e-shopů v ČR a SR činil v roce 2016 dle odhadů VIVnet...

Více 0 komentářů

Amazon koupí předního arabského e-prodejce Souq.com

ČTK , 23. březen 2017 08:45

Americký internetový prodejce Amazon se dohodl na koupi sta procent akcií dubajského on-line prodejc...

Více 0 komentářů

Nejméně aktualizované aplikace na PC: Java a Flash

Pavel Houser , 23. březen 2017 08:30

Dále z průzkumu: Windows XP jsou stále nainstalovány na 6 % zkoumaných počítačů. SSD má jen málo lid...

Více 0 komentářů

Výdaje kybernetického úřadu budou letos 214 milionů Kč

ČTK , 23. březen 2017 07:00

Výdaje nového Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) by letos měly být zh...

Více 0 komentářů