chakan
01-28-2010, 02:18 PM
Wep:
La familia de normas técnicas para comunicaciones inalámbricas reciben el nombre genérico de estándarIEEE 802.11. En un principio, el acceso estaba protegido mediante el estándar Wireless Equivalent Privacy (WEP). Básicamente, WEP utilizaba dos algoritmos: RC4 para el cifrado y CRC-32 (Código de Redundancia Cíclica) para asegurar la integridad del mensaje. Usar CRC-32 permite, en teoría, detectar si se ha alterado el flujo de datos. Por desgracia, el carácter lineal de CRC-32 y el modo en que está implementado en WEP permite efectuar ataques activos, es decir, alterar bits del mensaje
cifrado y luego modificar el valor de CRC-32. De esta forma se puede jugar con el mensaje transmitido sin que se detecte la alteración.
Centrémonos ahora en el cifrado en sí. RC4 es una cifra de flujo (Stream Cipher) que, a partir de una clave K, genera una corriente denúmeros pseudoaleatorios a la que llamaremos "flujo pseudo aleatorio".Dicho flujo se suma (XOR) con el texto llano para dar texto cifrado.
Uno de los problemas de RC4 es que, si sabemos algunos bits de la clave K, es relativamente fácil obtener los otros. Recalco lo de "relativamente fácil" en el sentido de que puede no ser fácil en
absoluto. Dependiendo de la cantidad de clave que se conozca, y de lo listo que sea uno, se pueden montar ataques para averiguar K, o cuando menos, para descartar las claves menos probables.
Segundo problema: si dos mensajes se cifran con la misma porción del flujo de clave, es un juego de niños obtener en texto llano. Es, por tanto, importante que dicho flujo no se repita. El problema es que, en una red inalámbrica, todos los intercomunicadores usan la misma clave K("clave raíz"). Puede que no sea un problema en una instalación casera
con un solo ordenador, pero si tenemos más de uno aparece el problema; y no les digo nada en un entorno corporativo.
Para su uso en WEP, el problema se multiplica, ya que cada paquete de datos ha de cifrarse de modo independiente. Para ello, el emisor envía un paquete de datos que consta de un vector deinicialización (IV) y la clave en sí (K). De ese modo el paquete compuesto IV/K funciona como clave para cada paquete de datos. El vector
de inicialización IV tiene una longitud de 24 bits. En lo que respecta ala clave K, recordemos que cuando se desarrolló WEP había restricciones en EEUU a la exportación de material criptográfico, de modo que RC4tenía dos sabores: el casero (104 bits) y el internacional (40 bits).
Eso nos da claves compuestas de 64 y 128 bits, respectivamente.
Un punto a tener en cuenta es que RC4 no dispone de capacidad para generar vectores de inicialización, de modo que era el algoritmo WEP el que los producía. El esquema de funcionamiento es el siguiente.
El emisor toma la clave compuesta IV/K (vector de inicialización mas clave) y lo usa con el algoritmo RC4. El flujo pseudoaleatorio se suma(XOR) al texto llano para dar el texto cifrado. Dicho texto, junto con el IV, se transmite por el aire. En el otro extremo, el receptor toma el
IV que ha recibido, lo junto con la clave K que ya poseía, y reconstruye el flujo pseudoaleatorio, hace una suma XOR con el texto cifrado y obtiene de nuevo el flujo llano.
Es decir, WEP no es más que RC4 con un añadido (el IV) para poder cifrar cada paquete por separado. Y aquí viene la parte que pone los pelos de punta. Ambas partes conocen la clave secreta K, y no se la dan a nadie. Sin embargo, durante la transmisión del texto cifrado,también ha de enviarse el vector de inicialización. !IV se envía en
llano, sin cifrar! Esto significa que le estamos dando al adversario 24 bits de la clave compuesta. Es como si el director del banco le dijese al cliente que acaba de salir de la sucursal algo así como "!eh, señor
López!, se me olvidó decirle que la primera cifra del PIN de su tarjeta es el tres.".
Incluso en la versión doméstica, eso significa reducir de un plumazo la seguridad a la de una clave de 104 bits. Sigue siendo mucha seguridad, pero alguien que, de entrada, te reduce las claves posibles en un factor 2^24 no parece tener mucha idea del asunto.
El asunto es peor de lo que nos imaginamos. Un IV de 24 bits significa que hay tan sólo 2^24 posibles valores para el IV. Si decimos que 2^24 = 16.777.216, suena mucho. Pero imaginemos que cada paquete cifrado tenga una longitud de 1 kilobyte. Una red transmitiendo a 11 Mbs agotaría todos los posibles IV en menos de cuatro horas. Para rematar la
faena, algunas tarjetas wifi usan los IV en forma secuencial: toman el primer IV como cero cuando la tarjeta se resetea, y luego va incrementando los IV en valores de uno. Como golpe final, el propio estándar 802.11 se limita a afirmar que cambiar el IV de un paquete a otro !es algo opcional! Si en este punto se pregunta usted qué utilidad
tienen los IV en la seguridad, ya somos dos.
La debilidad de WEP en lo que toca a los IV permite diversos tipos de ataques pasivos, en los que el atacante se limita a "esnifar" paquetes de datos. Cuando suma (XOR) dos de esos paquetes que comparten IV, el resultado es igual que el de hacer XOR con los dos textos llanos correspondientes, lo que da información sobre dichos textos. El tipo de
archivos, y el mismo carácter del tráfico por IP, hace que dicho tráfico sea bastante predecible. Y no olvidemos que el IV forma parte de la clave usada por RC4, de modo que conocerlos nos permite extraer información sobre el resto de la clave.
Los ataques contra WEP se centraron, por supuesto, en el carácter público de los IV. Se transmiten sin cifrar, así que no hay más que poner la oreja. Al mismo tiempo, podemos intentar imaginarnos los
primeros bytes en texto llano de los paquetes transmitidos, ya que son hasta cierto punto predecibles. Los primeros ataques requerían una gran cantidad de paquetes (unos cinco millones), pero el personal se fue espabilando muy pronto. En 2004, una persona con el seudónimo Korek
publicó en un foro de Internet un conjunto de ataques criptoanalíticos, que tenían probabilidades de éxito de entre el 5% y el 14%, y que estaban basados en diversas correlaciones que encontró entre los primeros L bits de la clave RC4 y los primeros bytes del flujo
pseudoaleatorio generado. Otro nuevo ataque, de 2007 solamente
necesitaba unos 50.000 paquetes de datos para tener un 50% de probabilidades de éxito.
Ya estamos hablando de apenas unos minutos en una red típica, y de escasos segundos de CPU para computación. Y mejor lo dejamos aquí, porque dan ganas de llorar. Baste decir que, en la actualidad, existen paquetesinformáticos ("WEP Cracker") que efectúan esta labor de modo automático,sin que el usuario tenga que saber nada de criptoanálisis.
Queda claro que WEP queda descartado cuando mencionamos las palabras "seguridad inalámbrica". Según Bruce Schneier, muchos productos criptográficos inútiles han sido implementados por gente que leía su libro Applied Cryptography. En este caso, bien parece que WEP haya sido
diseñado por gente que no se leía ni la página de crucigramas. El único motivo por el que se usa todavía es por inercia: las telecos no se quieren complicar la vida, y los usuarios ni saben del tema ni les preocupa.
Wpa:
Vista la forma en que WEP hacía aguas, se creó un grupo trabajo para resolver el fallo. El problema que apareció fue el común a muchos otros casos en los que hay que mejorar algo. Y el problema es: ¿creamos
algo nuevo, o bien mejoramos algo antiguo? Ambas soluciones tienen sus peros. Mejorar algo antiguo es como aplicar un parche: a veces va bien, a veces mal, en ocasiones es peor el remedio que la enfermedad. En cuanto a crear algo nuevo, hay que contar con que no siempre salen las
cosas bien a la primera, lo que significa mucho tiempo para comprobaciones y verificaciones, y mientras tanto ¿qué hacen los usuarios?
El grupo de trabajo adoptó ambas soluciones. Mientras por un lado se preparaba un sistema nuevo, por otro se adaptaba el ya existente y se mejoraba. Esto último permite que los sistemas que no puedansustituirse se puedan al menos mejorar. Pues manos a la obra, dijeron, y desarrollaron un "parche" que permitía solventar los problemas derivados de un incorrecto uso de los IV. A dicha solución la llamaron Protocolo de Identidad Temporal de Clave, o TKIP (Temporal Key Identity Protocol).El protocolo TKIP, unido al viejo algoritmo RC4, constituyó un nuevo sistema llamado WPA, o Acceso Protegido Wi-Fi (Wi-Fi Protected Access).
Paralelamente a WPA, que podemos considerar como un sistema demigración temporal ("legacy"), se desarrolló un segundo sistema en el que se cerraban diversos agujeros de seguridad. En lugar del cifrado en flujo RC4, decidieron sustituirlo por AES, auténtica "artillería pesada"
criptográfica. Para evitar los problemas de integridad debidos a CRC-32, se decidió utilizar AES en el modo de encadenamiento conocido como CBC, en el que unos bloques cifrados depende de los bloques anteriores.
La combinación de AES y el encadenamiento CBC(que recibe aquí el nombre de protocolo CCMP) fortalece la seguridad del sistema.
Por desgracia, la necesidad de incluir los "sistemas legado"para asegurar la compatibilidad con las tarjetas antiguas hizo que elprotocolo TKIP siguiera funcionando. Ahora tenemos dos soluciones: WPA yWPA2. La diferencia estriba en que WPA solamente permite el uso "legado"
(RC4 y TKIP), en tanto que WPA-2 permite ambas soluciones (RC4+TKIP y AES en modo CCMP, a elección).
Y decimos "por desgracia", porque ya se ha publicado un ataque contra WPA. Bajo el título "Ataques prácticos contra WEP y WPA",los investigadores Martin Beck y Eris Lewis, de las universidadestécnicas de Dresde y Darmstadt, arremeten contra el sistema TKIP. Este protocolo es una versión mejorada del esquema de claves de WEP. Incluye una función para "mezclar" la clave K y el vector de inicialización IV.
El código de reduncancia CRC-32, usado anteriormente para verificar la integridad del mensaje, es complementado por un comprobador de integridad (MIC, Message Integrity Check) llamado MICHAEL, de 64 bits.
No es más que un parche para WEP, pero de ese modo los sistemas antiguos pueden ser mejorados mediante una actualización de software o de firmware.
Beck y Lewis aprovecharon algunas rendijas en el sistema para abrirse camino. La primera grieta es una ingeniosa táctica llamada "ataque chopchop", que ya usaron para WEP. Imaginemos un paquete de datos cifrado, que lleva un "checksum" o valor de CRC-32 para asegurar la integridad del paquete. En el chopchop, el atacante toma el paquete,
retira el último byte (llamémoslo R), lo sustituye por otro que ha creado y calcula la "checksum", esto es, el valor correspondiente al paquete con el nuevo byte. A continuación, envía el nuevo paquete al punto de acceso, y comprueba si éste lo acepta. Si es así, el valor de R
que ha creado es el correcto; si no, prueba con otro R.
Es algo así como preguntar al punto de acceso "¿es este el byte correcto?" Si la respuesta es afirmativa, ya sabemos cuál es el último byte del paquete. Y como no hay ningún control por parte del punto de acceso sobre cuántos paquetes son rechazados, el atacante puede seguir
hasta encontrar con el valor de R que "cuela".
El problema sería análogo al de un ladrón que intenta sacar dinero del cajero con tarjeta ajena. Si hubiera una forma fácil de probar las diez mil combinaciones, no hay más que darle al botón y esperar. Para evitarlo, los cajeros automáticos imponen una espera entre
un intento y otro, y se bloquea tras tres intentos equivocados. Para evitarlo, el algoritmo Michael (que sustituye al CRC-32) comprueba si hay dos "checksum" erróneas en un intervalo de sesenta segundos. Si eso sucede, el punto de acceso proceede a resetear el sistema durante un
minuto y luego solicita un nuevo intercambio de claves para todos los
clientes.
Aun así, hay ocasiones en las que se puede lanzar un ataque chopchop. Eso se debe a que el checksum generado por Michael se incluye en el paquete que, a su vez, es sometido al checksum de WEP. Esto permite montar un chopchop sin que Michael se entere.
Las condiciones son estas: supondremos que se utiliza el protocolo TKIP; la dirección IP es, hasta cierto punto, conocida (algo
así como 150.168.0.XX); el sistema TKIP utiliza un intervalo de cambio de claves elevado (digamos una hora); y la red soporta el llamado QoS (Quality of Service), que permite que permite que los datos viajen por hasta ocho canales distintos.
Lo primero que hacemos es esnifar los paquetes hasta encontrar uno de tipo ARP. Los paquetes ARP (Address Resolution Protocol), responsables de asociar una dirección IP con una tarjeta Ethernet (MAC),son fáciles de identificar por su longitud. En un paquete ARP se conocen
todos los datos salvo el último byte de la dirección IP (la dirección ethernet es conocida ya que se envía sin cifrar) . Cuando está cifrado, desconocemos otros 12 bytes: los del checksum Michael, que llamaremos MIC (Message Integrity Check, 8 bytes), y los del checksum de WEP, quellamaremos ICV (4 bytes).
MIC y ICV forman los últimos 12 bytes del texto llano. ¿Cómo "chochopearlos" sin que salten las alarmas? TKIP tiene dos contramedidas contra los ataques chopchop. En primer lugar, como hemos visto antes, dos valores MIC incorrectos en menos de un minuto dan lugar a un reseteo
del sistema, seguido del envío de nuevas claves. En segundo lugar, cada paquete lleva un contador numérico. Si el sistema tiene su contador en el número 1540, y recibe un paquete con un número inferior (digamos, 1538), el paquete se descarta.
La solución es sencilla: hagamos el ataque por un canal distinto a aquel por el que se recibió el paquete. Escogeremos para ello un canal con poco tráfico, de modo que lo más probable es que tenga su contador a un nivel bajo, más bajo que el número del paquete. De ese modo, la segunda alerta anti-chopchop no se activa. En cuanto a la primera, basta con espaciar los ataques más de un minuto. Así, en poco más de 12 minutos, habremos averiguados los 12 bytes desconocidos. Una vez conocido el valor de MIC, podemos usar el algoritmo MICHAEL para descubrir cuál ha sido la clave que ha usado.
En este punto, el atacante ha conseguido no sólo recuperar el MIC, sino que también conoce el flujo pseudoaleatorio. Con él, podrá enviar paquetes falsos al sistema, con la salvedad de que hay que usar un canal de poco tráfico (es decir, cuyo contador sea más bajo que el
del paquete falso). Como tenemos ocho canales, alguno habrá que se pueda usar. No es difícil, ya que en la mayoría de las redes todo el tráfico se envía por el canal 0, de forma que tenemos los canales 1-7 a nuestra
disposición. El resultado no es espectacular, ya que solamente estamos atacando un pequeño paquete de datos llamado ARP. Pero pueden montarse
ataques con paquetes ARP falsificados ("ARP poisoning"), cuyo resultado sería el establecimiento de un canal del atacante hasta el cliente.
Los autores de este ataque sugieren, como contramedida, reducir el intervalo tras el cual el protocolo TKIP cambia las claves, hasta uno o dos minutos como mucho. Afirman que el problema puede fijarse sin
mayores complicaciones. Pero su mejor receta es la más obvia:
olvidémonos de TKIP y usemos la versión fuerte, la que usa AES.
Por desgracia, buena parte de la prensa entendió mal el ataque de BEcky Lewis. Algunos decían que eran las claves de cifrado (las quellamamos K anteriormente) las que habían sido recuperadas. Había incluso quien se mesaba los cabellos, desesperado porque el supuestamente indescifrable protocolo WPA había saltado por los aires. No hay que
sacar las cosas de quicio. Se trata de un ataque parcial contra el sistema TKIP, que forma parte de WPA, pero sólo eso. Eso sí, habrá que cambiar de WPA a WPA2. Y confiar en que resista futuros ataques.
ahi dejo tambien un articulo de la revista hakin9:
chakan
01-30-2010, 01:44 AM
La clave wep se puede introducir de 2 maneras, en ascii (5 caracters ascii) o en hexadecimal (10 caracteres hexa). La relación entre la clave en ascii y la clave en hexadecimal es unica y directa, si tenemos la clave en ascii solo hay que traducir cada uno de esos caracteres a hexa yviceversa.
Normalmente no hay que hacer esta "traducción" a mano y es aqui donde entran esas opciones de passphrase para hacerlo, pero em algunos dispositivos esta traducción no se hace de esa manera (que seria la logica) y por esa razon estas opciones de passphrase suelen fallar.
El passphrase es usado como una contraseña, un passphrase simplifica el proceso del cifrado de WEP automáticamente generando las llaves del cifrado de WEP.
1. WEP con clave abierta (Open system): Se basa en la encriptación de una clave en formato hexadecimal o ascii de 64, 128 o 152 bits, depende de lo que soporte el dispositivo.
2. WEP con clave compartida (Shared key): A grandes rasgos consiste en que el punto de acceso encripta un texto con una clave compartida y se lo envía a la maquina que quiere conectarse a la red. Esta maquina al recibir el texto lo des-encripta con la misma clave (si la dispone) que el punto de acceso y le reenvía el texto desencriptado. Si el texto coincide se admitirá esa maquina en la red.
3. WPA(wifi-protected-access): Surgió a raiz de demostrar la debilidad de la codificación WEP tras la publicación de un video en el que descifraban la clave en 5 minutos. Esta dividido en dos tipos de clave, PSK y EAP.
Ahora sabemos que la autenticación en WEP se puede hacer de dos formas: Open Key Autentication y Shared Key Autentication. La segunda se hizo para que fuese más seguro:confused:... pero resultó que lo hizo más inseguro. Así que mejor utilizar Open Key Autentication.
Para más claridad hablaremos de la autenticación WEP en el modo de Infraestructura (por ejemplo, entre un cliente WLAN y un Punto de Acceso), pero se puede aplicar también al modo Ad-Hoc.
En la autenticación de Sistema Abierto, el cliente WLAN no se tiene que identificar en el Punto de Acceso durante la autenticación. Así, cualquier cliente, independientemente de su clave WEP, puede verificarse en el Punto de Acceso y luego intentar conectarse. En efecto, la no autenticación (en el sentido estricto del término) ocurre. Después de la autenticación y la asociación, el sistema WEP puede ser usado para cifrar los paquetes de datos. En este punto, el cliente tiene que tener las claves correctas.
En la autenticación mediante Clave Compartida, WEP es usado para la autenticación. Este método se puede dividir en cuatro fases:
I) La estación cliente envía una petición de autenticación al Punto de Acceso.
II) El punto de acceso envía de vuelta un texto modelo.
III) El cliente tiene que cifrar el texto modelo usando la clave WEP ya configurada, y reenviarlo al Punto de Acceso en otra petición de autenticación.
IV) El Punto de Acceso descifra el texto codificado, y lo compara con el texto modelo que había enviado. Dependiendo el éxito de esta comparación, el Punto de Acceso envía una confirmación o una denegación. Después de la autenticación y la asociación, WEP puede ser usado para cifrar los paquetes de datos.
A primera vista, podría parecer que la autenticación por Clave Compartida es más segura que la autenticación por Sistema Abierto, ya que éste no ofrece ninguna autenticación real. Sin embargo, es al contrario. Es posible averiguar la clave WEP estática interceptando los cuatro paquetes de cada una de las fases de la autenticación con Clave Compartida. Por lo tanto es aconsejable usar la autenticación de Sistema Abierto para la autenticación WEP. (:eek:ambos mecanismos de autenticación son débiles)
harvif
02-03-2010, 09:51 PM
brothers agradezco la respuesta pero no me convence mucho, la leí y no me aclara la duda simple que tengo, es solo saber la diferencia entre estas opciones que te da para elegir wicd cuando vas a ingresar la clave de una red ...
wpa passpharse
wpa passpharse key
wep hex
wep passpharse
wep shared/restricted
...
mmm, de hecho la unica manera de saber cual de las tres opciones es la correcta, es saber como esta configurada la seguridad de la red, me explico, el wpa/wep passphrase, es una clave generada en el mismo router o accesspoint, la cual, al menos a como yo lo entiendo, tiende a cambiar la encriptacion de la clave par ala conexion a la red, el wep hex, es si fue generada en caracteres hexadecimales, es decir, del 0 al 9 y de la a a la f, y el wep shared/restricted, viene siendo si es una clave compartida o de un sistema cerrado.
en conclusion, debes saber como fue configurado el router o el access point para poder determinar como esta configurada la red
Powered by vBulletin® Version 4.2.0 Copyright © 2013 vBulletin Solutions, Inc. All rights reserved.