Craccato il Wi-Fi Protected Setup

10 anni fa

When poor design meets poor implementation.
— Stefan Viehbock

Dopo il WPA (craccato in tutti i modi e in tutte le salse) è ora il turno del WPS di cadere sotto i colpi degli analisti di sicurezza.

Il protocollo WPS permette, per chi non lo sapesse, di configurare una rete wi-fi in pochissimo tempo, mediante l’utilizzo di un PIN di autenticazione a 8 caratteri. Dalle mie parti questo è spesso utilizzato nei locali che offrono la connessione Wi-Fi gratuitamente per non impazzire

Il ricercatore Stefan Viehbock è riuscito ad individuare un difetto strutturale del protocollo di sicurezza che permette di ridurre il campo delle possibili combinazioni del PIN da 100 milioni a sole 11000, rendendo quindi fattibile in tempi accettabili un attacco a forza bruta.

Viehbock ha cercato di contattare i principali produttori di apparecchi wi-fi, che lo hanno bellamente ignorato, ed ha pertanto deciso di pubblicare i risultati della sua ricerca e di sviluppare un tool per il cracking (già disponibile per il download, scr1pt k1dd13z che non siete altro).

Tra l’altro questo difetto era già stato individuato dal ricercatore Craig Heffner, che però non ha divulgato la notizia ma ha pubblicato direttamente un tool di cracking.

Ovviamente utilizzate questi tool solo per testare la sicurezza della vostra wireless; la penetrazione in reti informatiche altrui è un reato punibile a norma di legge, e né il sottoscritto né Lega Nerd possono essere ritenuti responsabili delle vostre azioni.

Essendo un difetto strutturale, e non una falla, non c’è soluzione, e l’unico consiglio è disattivare il WPS sui vostri dispositivi per non cadere vittime della prossima ondata di wardriverz.

Via Zeus News | Stefan Viehbock Blog | WPS PIN brute forcing attack [PDF] | Viehbock WPS crack tool | Heffner “Reaver” crack tool

Instagram, scoperta grave vulnerabilità: hacker controllano lo smartphone con una foto
Instagram, scoperta grave vulnerabilità: hacker controllano lo smartphone con una foto
Twitter, falla nella sicurezza sull'app Android
Twitter, falla nella sicurezza sull'app Android
Netflix lancia il suo bug bounty program
Netflix lancia il suo bug bounty program
I malware arrivano anche sulle sigarette elettroniche
I malware arrivano anche sulle sigarette elettroniche
WannaKiwi: come contrastare il ransomware WannaCry su Windows 7
WannaKiwi: come contrastare il ransomware WannaCry su Windows 7
Google Prompt, il nuovo sistema di verifica in due passaggi
Google Prompt, il nuovo sistema di verifica in due passaggi
L'arte del Keygen
L'arte del Keygen