WPA3, en desgracia antes de ver el sol

WPA3 (Wi-Fi Protected Access) nació con el objetivo de proteger las redes WiFi, ofreciendo varias ventajas sobre su predecesora (WPA2). Por desgracia WPA3 tiene defectos en su diseño.

En junio de 2018, WPA3 fue publicado por Wi-fi Alliance como sucesor de WPA2.

Pero cuidado, WPA3 no reemplazará a WPA2, ya que WPA2 seguirá usándose y los fabricantes continuarán produciendo dispositivos WPA2. Ambos estándares se utilizarán en paralelo y se cree que la fase de transición será igual a la coexistencia de WPA2 y WEP (varios años).

La mejora principal de WPA3 es el «Simultaneous Authentication of Equals» (SAE), un handshake mejorado que se le conoce como (Dragonfly-Handshake) que debería hacer imposible que un atacante pueda capturar el HandShake de cuatro vías y lanzar un ataque de diccionario offline.

HandShake
HandShake

WPA3 también introduce un PFS (Perfect Forward Secret), que garantiza que el descubrimiento de las claves utilizadas actualmente no comprometerá la seguridad de las claves usadas con anterioridad (no las revela). Por tanto, la seguridad de lo que se hizo usando claves antiguas persiste. Cuando un sistema tiene secreto perfecto hacia adelante se dice que el sistema es seguro-adelante (en inglés forward-secure).

Es una propiedad de algunos tipos de claves asimétricas durante las negociaciones de intercambio, generalmente TLS.

Por ejemplo, cuando se usan claves RSA tradicionales, la clave de sesión se genera en el lado del cliente y se cifra con la clave pública del servidor. Cuando se usan claves PFS, la clave de sesión se genera de forma única a partir de la información del cliente y del servidor.

El estándar IEEE 802.11

Para que las redes inalámbricas se pudieran expandir sin problemas de compatibilidad había que establecer unos estándares, por ello IEEE creó un grupo de trabajo específico para esta tarea llamado 802.11. Con este estándar se definiría el uso del nivel físico y de enlace de datos de la red (modelo OSI). De este modo lo único que diferencia una red inalámbrica de una que no lo es, es cómo se transmiten los paquetes de datos, el resto es idéntico.

Nota: Los protocolos de la rama 802.x definen la tecnología LANMAN.

IEEE 802.11 define dos modos básicos de operación: ad-hoc e infraestructura.

  1. Se basa en que los terminales se comunican libremente entre sí.
  2. Los equipos están conectados con uno o más puntos de acceso normalmente conectados a una red cableada que se encargan del control de acceso al medio.

Referencia: UPV

Wi-Fi Protected Access

Hablemos un poco sobre la historia del WPA (Wi-Fi Protected Access).

  • A principios del año 2001, WEP (Wired Equivalent Privacy) se vio comprometida cuando se descubrieron varias debilidades (reutilización del vector de inicialización).
  • En 2003, se introduce otro método de cifrado para la seguridad de las redes inalámbricas llamado WPA. Durante el tiempo en que se estaba desarrollando el estándar de seguridad inalámbrica 802.11i, se utilizó WPA como mejora temporal de la seguridad de WEP. Un año antes de que WEP fuera oficialmente abandonada, WPA fue formalmente adoptada. Como WPA es una versión previa al IEEE 802.11i, no incluye todas sus características.

Nota: IEEE 802.11i, está dirigido a eliminar la vulnerabilidad en la seguridad para protocolos de autenticación y de codificación. El estándar abarca los protocolos 802.1x, TKIP y AES. Se implementa en WPA2.

  • Aunque desarrollado en 2004, fue adoptado oficialmente como estándar en marzo de 2006, WPA2 reemplaza oficialmente a WPA-TKIP y WPA-PSK. WPA-TKIP/PSK ha sido comprometido y queda obsoleto en 2012. WPA2 es compatible con el Estándar de cifrado avanzado (AES) con tamaños de clave disponibles de 128, 192 y 256 bits. Una vulnerabilidad (WPA2), llamada KRACK, fue descubierta en 2016 (publicado en 2017) por los investigadores de seguridad Mathy Vanhoef y Frank Piessens.
  • Llegamos a WPA3, anunciado en enero de 2018. Utiliza cifrado de 128 bits en modo WPA3-Personal y 192 bits en WPA3-Enterprise. Entre otras características se encuentra el Wi-Fi Easy Connect. Reduce la complejidad para conectar dispositivos a redes Wi-Fi, incluidos aquellos sin interfaz de usuario(internet de las cosas, IoT). Se escanea el código QR del producto para permitirle acceso.

De momento, las debilidades conocidas son...

Tal como os comentábamos al comienzo, en abril de 2019, se encontraron fallos en el diseño de WPA3. (Wi-Fi Protected Access 3)

Estos defectos se pueden clasificar en dos tipos de ataques:

Un ataque Downgrade es una forma de ataque criptográfico a un sistema informático o protocolo de comunicaciones. Fuerza el abandono de un modo de operación de «alta seguridad» (por ejemplo, una conexión encriptada) para degradarlo a un modo de operación más antiguo y/o de menor seguridad (por ejemplo, texto plano) que proporcione compatibilidad con sistemas antiguos.

Un ejemplo así lo tuvimos en OpenSSL que permitía a los atacantes negociar el uso de una versión inferior de TLS entre cliente y servidor.

Este es uno de los tipos más comunes de ataques por degradación (Downgrade).

Otro ejemplo sería interceptar el tráfico web y redirigir al usuario de la versión segura, HTTPS de un sitio web a una versión HTTP sin cifrar.

Los ataques Downgrade a menudo se implementan como parte de un ataque «Man-in-the-middle«, y pueden usarse como una forma de habilitar un ataque criptográfico que de otra forma no sería posible.

Los ataques Downgrade han sido un problema constante en la familia de protocolos SSL/TLS.

Un ejemplo de este tipo de ataques lo tenemos en el ataque POODLE.

  • Y los ataques Side-channel. Es un ataque basado en información obtenida gracias a la propia implementación física de un sistema informático, en lugar de basarse en puntos débiles del algoritmo implementado como sería el caso de recurrir a criptoanálisis o explotar errores en el software. Por ejemplo, la sincronización de información, el consumo de energía, fugas electromagnéticas o incluso sonidos pueden ser una fuente adicional de información que puede explotarse para romper un sistema.

Referencia Wiki

Dragonblood

Realmente es un nombre que le da una publicidad innegable, pero veamos qué se esconde detrás.

No es realmente una vulnerabilidad, se trata de cinco defectos en su diseño:

  1. Degradación que explota la retrocompatibilidad con versiones anteriores del WPA3. Creando nuestra propia red, se puede obligar a los clientes WPA3 a conectarse a través de WPA2. Para más tarde ejecutar un ataque por fuerza bruta o mediante diccionario, contra el Handshake WPA2.
  2. Degradación del grupo de seguridad en el handshake (Dragonfly-handshake) donde los clientes pueden verse obligados a elegir un grupo de seguridad débil.
  3. Defecto en el Dragonfly-handshake que permite lanzar ataques DDoS.
  4. Se puede lanzar un ataque Side-channel basado en caché. Si se tiene el control de cualquier aplicación en el dispositivo de un usuario, e «incluso podría ser posible cuando se controla el código JavaScript en el navegador de la víctima». Mediante este ataque, se puede obtener información de la contraseña observando patrones de acceso a la memoria. Cache-Based Side-Channel Attack (CVE-2019-9494)
  5. Defecto que permite ataques timing (tipo de ataque side-channel que analiza el tiempo que tarda en ejecutarse los algoritmos de cifrado). Cuando el Dragonfly-handshake usa ciertos grupos multiplicativos (grupos MODP, usa números primos para operaciones de módulo), el algoritmo de codificación de contraseñas hace uso de un número variable de iteraciones para codificar la contraseña. El número preciso de iteraciones depende de la contraseña que se esté usando y de la dirección MAC del punto de acceso y el cliente. Alguien puede realizar un ataque timming remoto contra el algoritmo de codificación, para determinar cuántas iteraciones han sido necesarias para codificar la contraseña. La información recuperada puede ser útil para la realización de un ataque por particionado de contraseña, que es similar a un ataque con diccionario. Timing-Based Side-Channel Attack (CVE-2019-9494)

Criptografía, MODP y los números primos

Referencia MODP: La aritmética modular puede ser más sencilla que la aritmética normal (cómo se comportan las potencias) o más difícil (en el sentido que no siempre podemos dividir). Pero cuando «N» es un número primo, la aritmética modular conserva muchas de las buenas propiedades a las que estamos acostumbrados con números enteros)

Hacerse público

Recordemos que la finalidad de hacer público esta noticia es, que se tomen las medidas oportunas para paliar/solucionar las deficiencias y a la vez, dar información a los usuarios para que dentro de sus posibilidades adopten medidas para evitar exponerse.

Tal como se expresa «WPA» (Wi-Fi Protected Access), es un sistema para proteger las redes inalámbricas y corregir las deficiencias del sistema anterior.

Los investigadores de seguridad Mathy Vanhoef y Frank Piessens han hecho públicos varios scripts para probar las vulnerabilidades descubiertas en el protocolo WPA3:

Dragonslayer: Implementa ataques contra EAP-pwd.

 

Dragondrain: Herramienta para probar si un punto de acceso es vulnerable a los ataques DDOS contra el handshake SAE del WPA3.

 

Dragontime: Es una herramienta experimental para realizar ataques timing contra el handshake SAE si se usa el grupo MODP 22, 23 o 24 (la mayoría de las implementaciones de WPA3 no habilitan estos grupos).

 

Dragonforce: Otra herramienta experimental que recupera la información mediante ataques timing o basados ​​en caché, y realiza un ataque mediante particionado de contraseñas (similar a un ataque con diccionario).

 

Nota: Los investigadores dijeron que han comunicado a la Wi-Fi Alliance y CERT/CC este problema y están trabajando con los proveedores para parchear los dispositivos WPA3.

Deja un comentario

Cerrar menú