• Métodos de posicionamiento por parte de “la red”
  • Posicionamiento por célula telefónica: La red de telefonía móvil sabe en cada momento dónde está cada teléfono móvil, con una precisión que varía según las células pero que puede estar entre 1 Km y 35Km. Así pues, la compañía de teléfonos sabe dónde estas, y si eso no fuese suficiente, esta información la almacenan, por lo que si llevas tu móvil encima, saben donde has estado en cada momento de tu vida. ¿Se puede acceder a esta información? Sí. Las Fuerzas de Seguridad del Estado están autorizadas para ello si lo solicitan a las operadoras mediante orden judicial. Por ejemplo, tras el atentado del 11-M, sea accedió a dicha información que fue clave para encontrar a los terroristas, ya que un móvil fue encendido antes del atentado en otra ubicación donde tenían su base.

    Otro ejemplo es que si llamas al 112 el operador de telefonía también le envía la ubicación al centro de emergencias de manera automática e instantánea (nada de esas chorradas de las películas de necesitar tiempo para localizar la llamada).

    Por último, también se puede acceder a través de servicios de pago que ofrece el operador, y en el caso de Movistar el servicio “LOCALIZAME”. Este servicio se tiene que configurar previamente, y yo recomiendo que se haga al menos con alguien de confianza, ya que si en un momento dado se quiere utilizar, si no hay jueces por delante el operador no va a facilitar la información.

    Otra feature curiosa es el HLR, mediante el cual se pueden hacer consultas a la red que te dicen en que país se encuentra un móvil. Esto quiere decir que a nivel de países, cualquiera puede localizar en que país esta un móvil. Así por ejemplo, podríamos tener un script que consulte el país en el que se encuentra un teléfono móvil, que nos avise cuando sale de España (por ejemplo). Aplicado a una situación real, conociendo el teléfono del directivo de una compañía, podríamos saber en qué países ha estado a lo largo del año, y cuántos días en cada uno de ellos; el coste de hacerlo una vez al día durante un año es menor de 4 EUR, no se asusten. Ah, y no se espanten por esto que no es ninguna vulnerabilidad, sino una feature, para que las compañías puedan saber en que país estás, y si estás en el extranjero no enviarte costosos SMSs.

    El script que les propongo es algo así como:

    # crontab -l
    0 14 * * * check_hlr_country 65432165 >> log_pais_persona_X.txt
  • Posicionamiento por Wifi: Los puntos de acceso saben cuando un cliente esta conectado a su red, y cuando la abandona.

    Es más, el servidor DHCP del punto de acceso registra cuando llegas y cuando te vas de casa. Por ejemplo, para saber cuando mi mujer está en casa (dispone de Smartphone que se conecta por Wifi):

    ping -c1 -b 192.168.1.255
    IP=`arp -a |grep “00:11:22:33:44:55″|awk -F\( ‘{print($2)}’|awk -F\) ‘{print($1)}’`
    echo $IP
    if test `arping -c 5 $IP 2>/dev/null |wc -l` -gt 3 ;
          then echo WIFE_AT_HOME;
          else echo WIFE_NOT_AT_HOME; fi

    Siendo 00:11:22:33:44:55 la dirección MAC del smartphone de mi mujer.

    Está claro que con esto sólo sé si esta en casa o no, pero es un aspecto del que probablemente la mayoría de la gente igual no es consciente: que su dispositivo Wifi va avisando a los puntos de acceso a los que se conecta de su presencia. Sin necesidad de montar nada específico, en los servidores DHCP de los puntos de acceso se almacena esa información.

  • Posicionamiento por bluetooth: Desde un punto de acceso bluetooth podemos identificar que cierto dispositivo está alrededor.

    Se puede ejecutar el mismo script, pero con este parámetro:

    # l2ping 00:11:C0:19:C9:C1
    Ping: 00:11:C0:19:C9:C1 from 00:1A:6B:DC:F1:A1 (data size 44) …
    44 bytes from 00:11:C0:19:C9:C1 id 0 time 14.61ms

    De manera sencilla, podemos grabar la salida en un log cada 5 minutos, y si somos más imaginativos podemos poner una webcam que haga una foto cuando aparezca un determinado dispositivo bluetooth, y de este modo tendríamos fotos de una misma persona.

  • Tags RFID: Los dispositivos RFID también son capaces de ser detectados y reconocidos. Si bien sólo son capaces de ver pasar un determinado TAG, por ejemplo por una puerta, y por ahora no están muy extendidos, existe la inquietud que en un futuro las prendas de ropa lleven etiquetas que puedan ser identificadas de manera única, por ejemplo en una cadena de tiendas.
  • Servidor de posición: No es un posicionamiento de la “red” en sí, pero existen numerosos dispositivos que lo que hacen es enviar a un servidor central donde estas con lo que de esta manera, externamente se puede sabe donde estás. Por ejemplo el iPhone le envía esta información a Apple.
• Métodos de posicionamiento por parte del dispositivo

  En este punto vamos a revisar que capacidades tienen los dispositivos para saber donde están.

  • Localización por GPS: Esta es la forma mas precisa, evidente y utilizada por todos los dispositivos como técnica directa de posicionamiento. Mediante ésta todos los dispositivos con GPS cuando hay cielo abierto y tienen el GPS conectado pueden saber dónde están, y el software del dispositivo puede utilizar esta posición para almacenarla, transmitirla, etc. Hay que tener en cuenta que la red GPS solo envía, y no recibe nada de los dispositivos, por lo que no puede saber donde están los dispositivos.
  • Posicionamiento del móvil: El móvil sabe a que torre esta conectado (el código de torre), y existen tablas de torres/posición, con lo que el dispositivo puede saber dónde se encuentra simplemente escuchando las torres GSM que “oye”. (Lo habitual es que use aquella a la que esta conectado).
  • Posicionamiento por Wifi: Si el dispositivo no tiene GPS, y no tiene telefonía móvil, ¿es posible posicionar por Wifi? Pues sí ¿Cómo es posible? La técnica es muy sencilla: en cualquier zona urbana, si consultas las redes Wifi disponibles, es habitual ver una docena de ellas, ubicadas siempre de manera fija ya que corresponden a puntos de acceso de empresas o domicilios. Ahora sólo nos hace falta que alguien se haya paseado por “todas” las calles de todas las ciudades del mundo posicionado las direcciones MAC de todos estos puntos de acceso. ¿Quién va a hacer eso? ¿Quién va a hacer circular un coche “esnifando” redes Wifi por todo el mundo, y de paso sacando algunas fotos? Pues ya lo saben: Google, que además de ello también ubica redes de telefonía, de manera que posibilita que los clientes puedan posicionarse sin necesidad del servidor.
• Software destacable en teléfonos moviles
  • Cámara de fotos: Tengan cuidado ya que tanto Pphone como Blackberry (Android no lo sé pero seguro que también tiene esta funcionalidad), marcas las fotos con geoposición, por lo que si usted envía una foto estará declarando donde esta (o dónde ha estado).
  • Google latitude: este sistema envía tu posición a la red para que tus contactos sepan dónde estas.
  • Gears: Integra el posicionamiento de manera que el navegador lo envía al servidor web al que se conecta.
  • Google mobile: El navegado integrado lleva la funcionalidad de enviar el posicionamiento.
  • Foursquare: Red social de lugares, su objetivo es compartir la ubicación del usuario en un momento concreto.
  • Facebook places: Similar al anterior, el usuario puede publicar el lugar en el que se encuentra.

  Es decir, que el posicionamiento lo sabe el Sistema Operativo del teléfono, pero puede compartirlo con todas las aplicaciones que lo soliciten, e incluso como en el caso del iPhone a terceras empresas

Como habrá visto, hay numerosos métodos por los que usted puede estar localizado, por lo que si usted no quiere que de ninguna forma se sepa dónde está o ha estado, mejor será que se deje el móvil el casa. :-)

El pasado viernes recibí una propaganda exactamente igual, pero esta vez anunciaba a iBanesto. Enviada desde la misma dirección, la imagen que contenía apuntaba directamente a “http://www.netfilia.com/contenidos/redirect.html? img=1&contenido=11684&web=40426& id=hi4MOp9u5Wopw“, que es una redirección para “https://www.ibanestocambiodehipoteca.com/?idm=5uss-y8mj”. Es decir, Banesto.

Ambos correos contienen al pie una leyenda que dice lo siguiente:

Me sorprende que empresas de la talla y reputación de KIA y Banesto utilicen el envío de spam para captar clientes, pero aun me sorprende más que lo hagan a través de empresas que no conocen ni respetan —a pesar de lo que dicen— la LOPD. Supongo que alguien en KIA y en Banesto pensó que si el correo no lo mandan directamente ellos, no pasa nada. O quizá el responsable que gestionó, compró o encargó la campaña con Netfilia se dejó aconsejar, convencer, o directamente se desentendió de cómo la empresa de publicidad iba a tratar su marca. Mal hecho, en cualquier caso.

La cuestión, que no nos cansamos de repetir, es que Internet no es una fuente de acceso público, y por tanto no puede ser utilizada para recolectar correos a los que enviar publicidad. Estas son el tipo de cosas por las que en mi opinión la LOPD impone sanciones tan fuertes; no se trata de desproporcionalidad, sino de efecto disuasorio; de evitar que las empresas hagan el balance de lo que gano (clientes) y lo que pierdo (sanción de la LOPD). Ahora bien, el que decida saltarse las reglas, ignorarlas, u obviarlas, que se atenga a las consecuencias, porque como saben el desconocimiento de la ley no exime de su cumplimiento y a estas alturas de la película ya no vale hacerse el tonto.

Y no me extraña en absoluto, a la vista de lo que se publica en las revistas de divulgación informática. En concreto, el otro día fui a parar a un artículo de Noé Soriano (director de Comunicación y Marketing de ConsultorPC) en PC Actual, titulado ¿Ya no son seguras las redes WiFi?, que contiene unas afirmaciones que me gustaría comentar. En concreto, todo se resume en la siguiente frase:

En primer lugar, hay que destacar que ni la LOPD ni el RDLOPD exigen tales “estrictas” normas de protección. Se habla de registros y control de accesos, de cifrado, de copias de seguridad, de caducidad de contraseñas, de seguridad física, todas ellas medidas de seguridad más que razonables, habida cuenta del estado de la tecnología. No cabe, por tanto, relacionar un aspecto con otro, teniendo en cuenta además que la LOPD no es un capricho legislativo sino la aplicación de un derecho de las personas. Ni la ley ni su reglamento requieren la instalación de sofisticados programas, ni dispositivos extraños ultrasofisticados; en general el cumplimiento de las medidas técnicas es bastante sencillo, y son las medidas de carácter organizativo las que son más complicadas de cumplir.

En segundo lugar, la afirmación de que WPA y WPA2 son accesibles en pocas horas con unas cuantas tarjetas en paralelo o con un sistema doméstico es ciertamente gratuita y muy aventurada. En mi opinión, se trata básicamente de un error de concepto. Destaquemos varios datos:

(a) Los procesadores actuales mas potentes (utilizando el algoritmo de Aircrack) pueden a lo sumo barrer 400 palabras por segundo, si no disponemos de la tabla precomputada. Si multiplicamos por 100, tal y como plantea Elcomsoft, tenemos 40.000 palabras por segundo.

(b) Si disponemos de la tabla precomputada, la cual depende del SSID, y por lo tanto no siempre está lista para ser utilizada, podemos incrementar esa velocidad hasta 40.000 palabras por segundo. Si multiplicamos por 100, tal y como plantea Elcomsoft, tenemos 4.000.000 palabras por segundo.

(c) La longitud mínima de una PSK de WPA o WPA2 es de 8 caracteres y el alfabeto manejado es de [A-Za-z0-9Sym32], tenemos (29+29+10+32)⁸ = 10.000.000.000.000.000 posibles palabras del lenguaje. En el caso medio, por tanto, tenemos 5.000.000.000.000.000 de palabras.

Con estos datos, sí, si disponen ustedes de la tabla precomputada, la PSK es parte de un diccionario, y tienen suerte, efectivamente en unas cuantas horas podrán ustedes explotar la clave de la red Wifi. Y probablemente no les haga falta tirar de Elcomsoft ni de GPUs en paralelo. Francamente, eso pasa con prácticamente cualquier algoritmo de cifrado sobre el que se aplique fuerza bruta, y no dice demasiado sobre su fortaleza. Elijan ustedes ‘patata’ como contraseña de su cuenta de correo y una persona avispada con un poco de vista y algo de suerte la adivinará en cuestión de segundos. ¿Nos da eso alguna información del algoritmo utilizado para cifrar dicha clave? No. Lo único que nos dice es que la persona que eligió ‘patata’ como contraseña no estaba siguiendo buenas prácticas. Y eso es todo.

Escojan una PSK de 12, 16 o 20 letras, números y símbolos, la apuntan en un papel y la pegan con celo debajo del router (entorno doméstico, por supuesto; en el corporativo, en el aplicativo que utilicen para la gestión de contraseñas). Después de todo, no es algo que vayan a necesitar todos los días. La SSID, cojan la que quieran, pero si además se inventan un nombre poco común, aun mejor. Pueden estar seguros de que, hoy por hoy, y con estas simples medidas, su Wifi estará a salvo de cualquier ataque de fuerza bruta o diccionario mediante GPUs… y de que esta es la última entrada sobre el tema en cuestión.

–

José María tiene una estupenda entrada en su blog dónde indica todo lo que hay que saber para configurar de manera segura tu router.

Aparte de algunas anotaciones muy acertadas por parte de bandaancha.eu, como es el hecho de que como indica el abogado David Maeztu, los datos de tráfico de una persona física o jurídica no pueden ser cedidos por una operadora de telecomunicaciones a la AEPD si no es previa solicitud judicial (solicitud judicial que a menudo no existe), me llama la atención que el hecho de tener la Wifi abierta pueda servir de atenuante e incluso ser una razón suficiente para absolver de una sanción de la AEPD.

Al respecto, y sin extenderme demasiado, creo que hay que destacar varios aspectos. El primero es que confiar en que tener la Wifi desprotegida pueda servirte como escudo es como poco jugársela a los dados; yo no confiaría en que la AEPD resuelva siempre positivamente, e incluso si fuese a través posibilidad de un recurso favorable, eso podría suponer unas molestias considerables. El segundo es que, a pesar de la resolución de la AEPD, en caso de tener que enfrentar una acusación de un delito mayor como podría ser pederastia, amenazas, o pertenencia a banda armada (asusta, ¿eh?), no estoy seguro de que este argumento fuese suficiente, sin mencionar las más que previsibles molestias que tal situación acarrearía independientemente de la culpabilidad o no. Tengan en cuenta, no obstante, que no soy abogado y estoy simplemente especulando, por lo que podría estar terriblemente equivocado (o depender del juez y las circunstancias del caso); en definitiva, lo que vengo a apoyar, como ya hice en su momento, es que nadie debería confiar en que tener la Wifi abierta pueda salvarle de un problema si a través de la línea de la que es titular se cometen delitos de cierta gravedad.

Hasta aquí, la cruz. La cara es que, al menos en el caso de Telefónica (por mi experiencia), y apuesto a que esto se cumple en la mayoría de proveedores, los routers de acceso a Internet se proporcionan configurados con el protocolo WEP, totalmente vulnerable y fácilmente explotable en cuestión de segundos por cualquier persona con un poco de interés; nadie con conocimientos técnicos puede alegar desconocimiento de este hecho, y menos el proveedor del dispositivo. Es más, en el caso de Telefónica dicho operador ni siquiera proporciona las claves de acceso al dispositivo, ya que su gestión se realiza por defecto —esto puede cambiarse— a través del portal “Alejandra”, aspecto que no averigua uno hasta que indaga un poco. Me apuesto un brazo con ustedes a que cualquier solicitud de asistencia técnica orientada a incrementar el nivel de seguridad de tu dispositivo (i.e. cambiar de WEP a WPA/WPA2) es (a) descartada directamente por el operador de turno, y/o (b) cobrada rigurosamente, dependiendo de la insistencia (quizá lo pruebe). En cualquier caso, y como es lógico, la mayoría de las personas que disponen de acceso ADSL a Internet carecen de los conocimientos técnicos para cambiar el protocolo de seguridad del router, y aunque uno disponga de los conocimientos (lo que podría representar un problema si el titular de la línea ha modificado la configuración pero no el protocolo de seguridad, aunque en ese caso, volvemos a las mismas), puede alegar que el dispositivo venía configurado con un protocolo vulnerable y que por precaución no lo modificó.

A la vista de las dos opciones, ¿ustedes qué opinan? ¿Es razonable preocuparse por la seguridad de la propia red para evitar delitos por parte de vecinos y/o afines, o no hacerlo es en realidad la mejor medida de seguridad?

(De todas formas, tampoco se fíen. Como ya les comentamos hace tiempo, no todo el mundo e güeno y las cosas no son siempre lo que parecen.)

Por lo que respecta al usuario Anónimo que afirma que el cálculo ha sido realizado para el caso peor, es decir aquel en el que la “Primary Master Key” (PMK) se encuentra al final de nuestro diccionario, estoy totalmente de acuerdo: se debería considerar el caso medio. Los cálculos reflejan el coste de computar las “Rainbow Tables” (tablas hash precomputadas) para un ESSID y una PSK concreta, obteniendo un ratio mas desalentador (300 p/s) del propuesto inicialmente en el post (400 p/s, y ya dije que fui benévolo) según el estudio realizado en el proyecto final de carrera adjunto [Seguridad en Redes 802.11, PDF, 5MB]. Para ello se compararon los dos algoritmos que actualmente pueden realizar ataques de fuerza bruta a WPA/WPA2: Cowpatty y Aircrack-ng, utilizando para ello diversos procesadores.

Los resultados obtenidos fueron que en un Intel 3 Ghz Core Duo se llegaron a computar un ratio máximo de 300 palabras por segundo, por lo que recalculando tendríamos que para el caso medio, utilizando un alfabeto de 100 caracteres (mayúsculas, minúsculas, números y símbolos) y una PSK de 8 caracteres, un espectro de (100)^8 = 10.000.000.000.000.000 posibles palabras del lenguaje. Multiplicando por 100 la capacidad de cálculo anteriormente comentada (300 palabras/seg.), según dice el fabricante del software:

“With the latest version of Elcomsoft Distributed Password Recovery, it is now possible to crack WPA and WPA2 protection on Wi-Fi networks up to 100 times quicker with the use of massively parallel computational power of the newest NVIDIA chips. Elcomsoft Distributed Password Recovery only needs a few packets intercepted (with any network sniffer that can export data in tcpdump format) in order to perform the attack.” [Referencia]

tardaríamos 10569,930661255 años en el peor de los casos y 5284,965330627 años en el caso medio. Como se puede ver los resultados todavía son mas desalentadores que los comentados en el post inicial.

Ahora supongamos que tenemos una granja de 1000 tarjetas NVIDIA GFORCE y que dividimos el espacio de palabras a calcular repartido en todas ellas. Se tardaría 10,5 años en el peor de los casos y 5,2 años en el caso medio, lo que parece acercarse a valores temporales manejables. No obstante, todos estos cálculos se habían realizado para el mejor de los casos, es decir que el usuario hubiera utilizado una PSK de 8 caracteres. Aumentar tan sólo en 1 la longitud de la contraseña multiplica por un factor de 100 el tiempo necesario para la recuperación, por lo que con sólo 12 caracteres el tiempo necesario tanto en el peor como en el caso medio se dispara de nuevo. Ni cabe tiene que decir que si seguimos aumentando el tamaño de la PSK obtenemos tiempos de recuperación inmanejables.

Por lo que respecta a los comentarios de ValaV afirmado que consigue un incremento “de unas 5000 – 1000 tests por segundo, a 50 millones”, pueden ocurrir dos cosas: que estés confundiendo de protocolo de seguridad (esos cálculos se asemejan más a ataques estadísticos WEP), o que estés utilizando tablas precomputadas, las cuales dudo que lleguen a 50 millones como afirmas. A eso hay que añadir que esas tablas solo son válidas para un ESSID concreto, por lo que no sirven para un ataque genérico.

“Pobrecito Hablador” comenta “deja de pensar en ataques de fuerza bruta que ya no se usan desde hace 20 años”. No voy a comentar tal afirmación, pero sí que me gustaría que comentara cómo realizar un ataque criptológico a RC4 (WPA) o AES (WPA2) sin el uso de la fuerza bruta; quizá estemos ante un nuevo “Bruce Schneier”. Es relevante indicar que con unos simples paquetes capturados de la red no es posible obtener la PSK, dado que lo único que se consigue es la PTK temporal, que no te serviría de mucho ya que que se regenera para cada sesión (se necesita el Handshake). Te aconsejo pegues un vistazo a la serie de posts sobre WPA.

Por lo que respecta a los comentarios de Heffeque, que dice que se aplican datos falsos e ignoran detalles, respeto su opinión pero en ningún momento presenta información que contradiga lo analizado en el post. El calculo CPU:GPU que indicado está basado en la información que la empresa fabricante del software ha dado, para mí “Phising Comercial”, término que parece que ha levantado ampollas.

En relación con este aspecto, cuando una empresa realiza afirmaciones demasiado aventuradas, desde mi punto de vista, sobre una tecnología ampliamente extendida tirando por tierra al grupo de trabajo de IEEE 802.11i, para mi es un Phising en toda regla. Tratando de vender un producto que permite reducir en tiempo de recuperación de la PSK de WPA/WPA2 pero que dista mucho de las afirmaciones que algunas publicaciones han reflejado “WiFi encryption cracked by Russians using Nvidia graphics cards“, me parece apropiado utilizar este término cuando lo que se pretende es “Pescar Clientes”.

Por último, agradezco a todos los comentaristas sus intervenciones (a pesar, en algunos casos, de las formas utilizadas), e insto a los lectores a que tras leer la serie de entradas sobre seguridad en WPA publicados en este mismo blog, aporten argumentos de peso que permitan mostrar que estoy equivocado, o que al contrario estoy en lo cierto y esto no es más que una estrategia comercial apoyada (no intencionadamente, en cualquier caso) por varios medios de comunicación.

Dado que la longitud mínima de una PSK de WPA o WPA2 es de 8 caracteres y el alfabeto manejado es de [A-Za-z0-9Sym32], tenemos (29+29+10+32)⁸ = 10.000.000.000.000.000 posibles palabras del lenguaje, que son… bastantes. Teniendo en cuenta que, siendo benévolo, los procesadores actuales mas potentes (utilizando el algoritmo de Aircrack) pueden a lo sumo barrer 400 palabras por segundo, y multiplicando por el incremento de la capacidad de procesamiento de la tarjeta Nvidia tenemos un total de 40.000 palabras del lenguaje por segundo.

Echando cálculos, y si no me equivoco, se tardarían 7.927 años en barrer todas las posibles cadenas, y eso suponiendo que has acertado con el ESSID (ya que la cadena de cifrado depende de él) y que la PSK es ¡sólo de 8 caracteres!, cuando la longitud de la cadena en WPA puede ser mayor de 60 caracteres. Teniendo en cuenta además que cada incremento de la longitud en 1 caracter multiplica por un factor de 100 el tiempo necesario, pueden hacerse una idea de la magnitud temporal si tomamos 12 caracteres en lugar de 8.

Así que este producto esta bien, sí, pero esta muy muy lejos de lo que anuncian, y es más un reclamo comercial que otra cosa. He visto varios anuncios de este tipo con gente que vende colecciones de DVD’s con tablas precomputadas, que aseguran que rompen todos las claves WPA. Chorradas; el verdadero problema de seguridad de WPA son los usuarios y solo será vulnerable cuando se rompa el cifrado (RC4/AES).

Para acabar, si les gusta el tema de aparatillos hardware que permiten incrementar la potencia de cálculo, Picocomputing contruye mediante ASICs y FPGAs dipositivos que pueden llegar a barrer 1000 palabras por segundo. Aunque vistos los cálculos previos, no se hagan ilusiones…

–

Actualización 20/10, 13:15h (N.d.E.): El autor, Roberto Amado, ha publicado una segunda entrada rebatiendo algunos comentarios.

–

Actualización 20/10, 11:45h (N.d.E.): Mientras espero la contestación de Roberto Amado a los comentarios realizados, tanto aquí como en menéame.net, hay varios aspectos que es necesario comentar.

El primero es que aunque quizá el término “phising comercial” esté algo cogido por los pelos, decir que “WPA/WPA2 protected networks are not immune against distributed attacks performed with GPU-accelerated algorithms“, como Elcomsoft hace en su nota de prensa, es cuanto menos amarillista; sólo hay que echar un vistazo a Google para ver hasta qué punto ha calado el mensaje. La seguridad de WPA2 sigue siendo igual de robusta hoy que antes del anuncio de Elcomsoft, siempre y cuando, como es habitual, la contraseña tenga una longitud mínima y sus correspondientes reglas de complejidad.

En segundo lugar, aunque no se menciona el uso de una única GPU, utilizar 5, 10, 100 o 1000 no resulta un factor decisivo comparado con el incremento temporal que tienen dos o tres caracteres adicionales; descontando por supuesto que no todo el mundo dispone de tal cantidad de dispositivos.

En tercer lugar, comparar la seguridad de WEP con WPA/WPA2 carece totalmente de sentido, y no hay mucho más que decir al respecto.

En cuarto lugar, para la velocidad de crackeo por fuerza bruta es necesario el uso de tablas precomputadas, que pueden incrementar la velocidad hasta cerca de 40,000 passwords por segundo; no obstante, dichas tablas, aparte de tener que calcularlas, dependen del SSID de la red, por lo que en muchas ocasiones resultan de escasa utilidad. Al respecto, alguno parece haber asumido que el crackeo se hace haciendo pruebas con la Wifi, cuando en el artículo jamás se menciona ese punto. Otra persona dice que los ataques de fuerza bruta no se usan desde hace 20 años, pero me abstendré de contestar a dicha afirmación.

Para acabar, resulta más bien decepcionante (aunque previsible, por otro lado) que en lugar de aportar argumentos convincentes, algunas personas (no todas, afortunadamente) se limiten a insultar o a rebatir el artículo con afirmaciones vacías. En breve espero tener una respuesta de Roberto con todos los detalles. Hasta entonces, espero que apliquemos, antes de soltar los dedos, esa cautela que tanto se pide.

El estándar 802.11i, y en concreto WPA, conforma un protocolo de seguridad complejo y fiable, si es utilizado de la manera adecuada. No obstante, no esta exento de ser susceptible a ataques de diccionario y fuerza bruta. En este post se detalla de forma teórica el principal “Talón de Aquiles” que presenta este protocolo. Éste reside en el proceso de autenticación entre las estaciones de la red y el punto de acceso, el llamado saludo a cuatro vías o “4 way-handshake“; dicho proceso consta del intercambio de 4 paquetes para la gestión del acceso a la red. La brecha de seguridad a la que nos referimos, y que un atacante podría utilizar, se encuentra tanto en el segundo como en el cuarto paquete, ya que en ambos la estación transmite al AP el MIC o control de integridad, y el mensaje EAPoL en claro. (Recordad que el valor MIC conforma el resultado de aplicar el algoritmo de control de integridad “Michael” al mensaje EAPoL. Dicha función toma como entrada el paquete de datos mismo, las direcciones MAC origen/destino, y parte de la PTK; todo ello genera mediante la función de HASH HMAC_MD5 la cadena de control de integridad.)

Así pues, un atacante podría capturar ambos valores: el MIC y el paquete sin cifrar EAPoL, para inferir la clave de cifrado mediante fuerza bruta. Para ello primero deberá calcular, realizando una estimación, la PMK’, usando para ello (a) la PSK’ o clave compartida, y (b) el ESSID. Una vez calculada una posible PMK’, su resultado es utilizado por otra función matemática que calculará la PTK’, usando para ello las direcciones MAC de los dispositivos y los dos valores aleatorios intercambiados SNonce y Anonce. En este punto, el atacante ya puede calcular un valor MIC’ estimado a partir del paquete de datos EAPoL capturado, utilizando la PTK’. El resultado de la estimación es comparado con el valor capturado, y si los valores de MIC y MIC’ son idénticos, la PSK es la correcta.

Para ayudar a comprender todo el proceso, que como se ha visto no carece de complejidad, nada mejor que utilizar una captura real para observar el valor de los términos comentados. Las siguientes imágenes muestran el proceso de autenticación “4-Way Handshake” entre una estación y un punto de acceso. Para mayor claridad, se ha eliminado todo aquel tráfico que no cumple el criterio de pertenecer a un paquete 802.1X (0×888E).

1. AP -> Estación. El primer paquete de autenticación no contiene información relevante para el atacante.

2. Estación -> AP. Este segundo paquete contiene información relevante; el atacante captura el valor aleatorio SNonce, resaltado en verde en la imagen siguiente:

3. AP -> Estación. En este tercer paquete de autenticación, la información relevante capturada es tanto el número aleatorio Anonce (color verde), como las direcciones MAC del punto de acceso y la estación suplicante (color azul y rojo respectivamente).

4. Estación -> AP. Último paquete del saludo. La información capturada es el valor MIC calculado mediante parte de la PTK y la trama de datos utilizada en la función de Hash (paquete EAPoL). Destacar que el valor del MIC es añadido posteriormente al paquete; hasta que su valor no es calculado,la trama se rellena con ceros.

A continuación, al atacante tan solo le queda seguir los pasos que a continuación se detallan para determinar si su estimación de la PSK ha sido la correcta:

1. Mediante los datos obtenidos de la captura se generará la PMK, utilizando la función de HASH SHA1. Destacar que dicha función requiere de un coste computacional elevado y representa uno de los principales escollos de los ataques de fuerza bruta y diccionario.

PMK  = pdkdf2_SHA1 (frase secreta, SSID, longitud del SSID, 4096)
PMK  = pbkdf2_sha1 ("fraseTest","linksys",7,4096)   ;Ejemplo

2. Una vez obtenida la PMK, generará la PTK mediante la función pseudo aleatoria PRF-X, donde la X indica el valor en bytes de la salida, 512 bytes para TKIP en este caso:

PTK = PRF-X (PMK, Longitud(PMK), "Expansión de la clave",
            Min(AP_MAC, STA_MAC) || Max(AP_MAC, STA_MAC)
            || Min(ANonce, SNonce) || Max(ANonce, SNonce))

PTK = SHA1_PRF(
      9e99 88bd e2cb a743 95c0 289f fda0 7bc4 ;PMK
      1ffa 889a 3309 237a 2240 c934 bcdc 7ddb,
      32, ; Longitud del PMK
      "Expansión de la clave",  ;cadena de texto
      000c 41d2 94fb 000d 3a26 10fb 893e e551 ; MAC y valores Nonce
      2145 57ff f3c0 76ac 9779 15a2 0607 2703 ;
      8e9b ea9b 6619 a5ba b40f 89c1 dabd c104
      d457 411a ee33 8c00 fa8a 1f32 abfc 6cfb
      7943 60ad ce3a fb5d 159a 51f6, 76
) 

PTK = ccbf 97a8 2b5c 51a4 4325 a77e 9bc5 7050 ; PTK resultado
      daec 5438 430f 00eb 893d 84d8 b4b4 b5e8
      19f4 dce0 cc5f 2166 e94f db3e af68 eb76
      80f4 e264 6e6d 9e36 260d 89ff bf24 ee7e

3. Al calcular la PTK, tan sólo quedaría diferir el “Hash” MIC a partir de esta. Para ello se utiliza una parte de la PTK, la llamada “Clave MIC”, que no es mas que un escisión de la PTK con una longitud “n”, pasada también como parámetro. En nuestro ejemplo su valor es 16:

MIC =  HMAC_MD5(Clave MIC, 16, Paquete EAPoL)

MIC = HMAC_MD5(
      ccbf 97a8 2b5c 51a4 4325 a77e 9bc5 7050, ; Primeros 16 bytes de la PTK
      16, ; Longitud de la PTK
      0103 005f fe01 0900 0000 0000 0000 0000 ; Paquete EAPoL
      1400 0000 0000 0000 0000 0000 0000 0000
      0000 0000 0000 0000 0000 0000 0000 0000
      0000 0000 0000 0000 0000 0000 0000 0000
      0000 0000 0000 0000 0000 0000 0000 0000
      0000 0000 0000 0000 0000 0000 0000 0000
      0000
)

MIC = d0ca 4f2a 783c 4345 b0c0 0a12 ecc1 5f77  ; Control de integridad

4. El MIC capturado es comparado con el nuevo MIC’ estimado, y si ambos coinciden, el atacante ha obtenido la PSK:

MIC' calculado usando el cuarto paquete EAPoL con “fraseTest":

     d0ca 4f2a 783c 4345 b0c0 0a12 ecc1 5f77

MIC capturado:

     d0ca 4f2a 783c 4345 b0c0 0a12 ecc1 5f77

Los MIC calculados coinciden. Se ha conseguido la PSK: “fraseTest".

(Para más información, puede consultarse el artículo en inglés de Seth Fogie en Cisco, “Cracking Wi-Fi Protected Access (WPA), Part 2“, y el artículo de la revista Hanki9, en formato PDF, “Wi-Fi security – WEP, WPA and WPA2“)

Una vez obtenida esta clave, comienza el proceso de autenticación con el AP al que se denomina 4-Way Handshake, o saludo inicial, que se puede ver en la imagen al final del post. En ese proceso, tanto la estación como el AP generan la PTK y la GTK utilizadas para cifrar los datos, siendo ambas diferentes en cada sesión.

¿Cómo es generada esta PTK? Para ello se utiliza una función pseudo aleatoria PRF-X que toma como fuente los datos siguientes:

• PMK: Calculada mediante la PSK y el algoritmo PBKDF2.
• SNonce: Numero aleatorio determinado por la estación.
• ANonce : Número aleatorio determinado por el AP.
• MAC del AP: MAC del punto de acceso.
• MAC de la estación.

La comunicación es iniciada mediante el envío de un paquete tipo “EAPOL start” desde la estación al AP. Seguidamente el AP genera un número aleatorio “ANonce” que es transmitido a la estación. Ésta contesta remitiéndole otro número aleatorio llamado “SNonce“. Llegado este punto, ambos pueden generar ya su PTK con la que cifrarán el tráfico unicast a partir de los valores mencionados. A su vez, el AP esta en disposición de generar la GTK, procediendo a transmitirla a la estación de forma cifrada. Como último paso, se envía un paquete de reconocimiento cerrando así el proceso de autenticación. Este proceso se puede ver en la siguiente imagen.

En cuanto a la autenticación en entornos empresariales, los requerimientos estrictos de cifrado y autenticación hacen que sea más adecuada la utilización de WPA con los mecanismos IEEE802.1X y el protocolo de autenticación extensible EAP, que disponen de procedimientos de gestión de claves dinámicos. EAP es utilizado para el transporte de extremo a extremo para los métodos de autenticación entre el dispositivo de usuario y el punto de acceso, mientras que IEEE802.1X es utilizado como marco para encapsular los mensajes EAP en el enlace radio. El conjunto de estos dos mecanismos junto con el esquema de cifrado forman una fuerte estructura de autenticación, que utiliza un servidor de autenticación centralizado, como por ejemplo RADIUS.

En el siguiente post abordaremos el proceso por el cual es posible vulnerar WPA-PSK mediante ataques de diccionario.

El método empleado por WPA para autenticar a las estaciones WiFi supone uno de los puntos débiles de este protocolo de seguridad, como veremos a continuación. Por lo que respecta a la autenticación, en función del entorno de aplicación, es posible emplear dos modos de autenticación diferentes WPA-PSK (Pre Shared Key) o WPA-EAP (Extensible Autentication Protocol).

En entornos personales, como usuarios residenciales y pequeños comercios, se utiliza WPA con clave pre-compartida o también llamada WPA-PSK y autenticación IEEE802.1X. En estos entornos no es posible contar con un servidor de autenticación centralizado, tal y como hace la autenticación EAP. En este contexto, WPA se ejecuta en un modo especial conocido como “Home Mode” o PSK, que permite la utilización de claves configuradas manualmente y facilitar así el proceso de configuración del usuario domestico.

El usuario únicamente debe introducir una clave de 8 a 63 caracteres conocida como clave maestra, en su punto de acceso, módem o router inalámbrico residencial, así como en cada uno de los dispositivos que quiere conectar a la red. De esta forma sólo se permite acceso a aquellos dispositivos que son conocedores de la contraseña, lo que evita ataques basados en escuchas así como acceso de usuarios no autorizados. En segundo lugar se puede asegurar que la clave proviene de una relación de acuerdo único para generar el cifrado TKIP (Temporal Key Integrity Protocol) en la red, el cual describiremos más adelante. Por lo tanto la contraseña preestablecida para la autenticación es compartida por todos los dispositivos de la red, pero no lo son las claves de cifrado, que son diferentes para cada dispositivo, lo que representa una mejora en cuanto a WEP. En general WPA parece representar un nivel superior en cuanto a la seguridad que ofrecia WEP.

A diferencia de WEP (véase la serie sobre criptoanálisis WEP: I, II, III), WPA utiliza varias claves temporales diferentes para cifrar el payload dependiendo del tráfico al que pertenece el paquete (unicast, brodcast o multicast), y a las que denomina PTK (Primary Temporal Key) para el primero y GTK (Group Temporal Key) para los dos restantes. Estas Keys sufren un proceso de regeneración de claves cada cierto tiempo, con el objetivo de impedir que una estación legítima pueda llegar a capturar la clave de sesión utilizada.

La PSK es conocida por todas las estaciones del medio además del Access Point (AP), y está formada por una serie de valores dependientes del escenario. Cabe destacar que la PSK no es la cadena utilizada para encriptar los paquetes de datos; ni siquiera se utiliza como tal para autenticar la estación en el AP, sino que para ello se construye la llamada PMK (Primary Master Key) a partir de la PSK y un proceso de modificación; el resultado es una cadena de 256 bits. Pero, ¿qué elementos se utilizan para construir dicha PMK?

Se obtuvieron como resultado cuatro grandes grupos: redes abiertas “OPN”, Access Points (AP) con seguridad WEP, redes que hacen uso de WPA, y puntos de acceso con WPA2. Los datos recabados reflejan el grado de seguridad de las conexiones inalámbricas que utilizan el estándar IEEE802.11, estimando de esta forma la exposición de riesgo de la población que hace uso de este tipo de tecnología. El gráfico de la izquierda establece el porcentaje de uso de cada protocolo obtenido de una muestra de 2658 puntos de acceso tomada en el escenario de pruebas, con la siguiente distribución:

» 538 puntos de acceso sin cifrado de datos.
» 1514 con seguridad WEP.
» 513 redes con el protocolo de seguridad WPA activado.
» 93 AP’s que usan WPA2.

Como se puede observar, el 20% de los puntos de acceso no contempla ningún tipo de cifrado de datos o control de acceso. El 57% utiliza seguridad WEP, mientras que el 19% hace uso de WPA en su punto de acceso inalámbrico. En último lugar aparece WPA2 con un escaso 3% de uso.

Teniendo en cuenta estos datos, podemos casi asumir con certeza que el 99% de los puntos de acceso con WEP son explotables de forma exitosa. Me aventuraré aún más y diré que el 15% de los puntos de acceso con WPA pueden ser atacados con resultados positivos. De la misma forma, el 15% de los AP’s con WPA2 lo son también, debido a que los métodos de ataque son los mismos: diccionario y Rainbow tables (precomputación del SHA-1 (guardado en forma de listado hash) de WPA y WPA2 para acelerar el proceso de crackeo; véase este enlace). Si a ello le sumamos el porcentaje de las redes abiertas obtenemos el siguiente resultado:

Podemos decir por tanto que sí, el 80% de las redes inalámbricas en la ciudad de Valencia son potencialmente vulnerables.