We hebben je VERTELD geen WPS op je Wi-Fi-router te gebruiken!

U vraagt zich misschien af waarom we überhaupt over Wi-Fi Protected Setup, beter bekend als WPS, schrijven.

We hebben de gevaren ervan al in de nadagen van 2011 beschreven.

In feite zeiden we iets meer dan drie jaar geleden: “schakel WPS-ondersteuning uit.”

Om samen te vatten, WPS werd uitgevonden om het gemakkelijker te maken om een veilige Wi-Fi-verbinding via uw thuisrouter te krijgen.

Normaal gesproken zou je iets als dit doen:

1. Sluit een kabel aan tussen uw pc en uw nieuwe router.
2. Log in op de beheerconsole, meestal via een reeks GUI-schermen in uw browser.
3. Stel een fatsoenlijk administratief wachtwoord in voor uw volgende login.
4. Schakel Wi-Fi in, met behulp van WPA2.
5. Typ een fatsoenlijk Wi-Fi-wachtwoord in. (Wij raden ten minste 14 goed door elkaar lopende tekens aan.)

Toen jij of je vrienden online willen springen, zet je gewoon Wi-Fi aan op je laptop of telefoon, kies je het juiste router netwerk, en typ je het WPA2 wachtwoord in. (Het wachtwoord wordt een PSK genoemd, kort voor pre-shared key, want dat is wat het is.)

De meeste laptops en mobiele apparaten zullen meestal aanbieden om dat wachtwoord voor later te onthouden, zodat je ooit maar één keer op elk apparaat de maffe en ingewikkelde PSK hoeft in te typen.

Maar dat is niet eenvoudig en snel genoeg, blijkbaar.

Het zou veel gemakkelijker zijn, lijkt het, als je vrienden alleen maar een speciale 8-cijferige code hoefden in te typen die je aan hen voorleest.

Dan zou de router hen veilig de veel complexere PSK zenden, zodat hun computer die kan onthouden zonder dat zij die ooit hoeven in te voeren.

Het typen van 866319 op het toetsenbord van een mobiele telefoon is immers veel gemakkelijker dan het typen van tISa14cPWD, zelfs als je het maar één keer hoeft in te voeren.

Alarmbellen zouden nu in je hoofd moeten gaan rinkelen. Een achtcijferige PIN is ook veel gemakkelijker te raden dan een 14-cijferige passphrase. WPS is dus een beetje alsof u de sleutel van uw zwaarbeveiligde bedrijfskluis van $10.000 bewaart in een kassalade van $9,99 in de bovenste la van uw bureau.

Het eerste probleem met WPS

Het eerste probleem met WPS bleek het cryptografische protocol te zijn waarmee een client en een router elkaar ervan overtuigen dat ze de 8-cijferige pincode kennen.

Ten eerste is het achtste cijfer van de PIN een controlecijfer, berekend uit de eerste zeven, zodat de PIN in feite slechts zeven cijfers lang is.

Ten tweede bewijst u dat u de PIN kent in twee fasen (M4 en M6 hierboven), die elk bewijzen dat u de helft van de PIN kent.

Ten derde eindigt het protocol onmiddellijk als u een fout maakt na M4, waar u de eerste helft van de PIN controleert.

Met andere woorden, als u eenmaal 12340000 hebt geprobeerd en gefaald, weet u onmiddellijk dat elke PIN van 12340000 tot 12349999 onjuist is.

U hebt geen 100.000.000 keer raden nodig om elke mogelijke PIN te proberen (108, het aantal verschillende 8-cijferige getallen).

U hebt 10.000 keer raden nodig (104) om de eerste vier cijfers van de PIN vast te leggen, plus 1000 keer raden (103) om het karwei af te maken met de drie variabele cijfers in de tweede helft.

Dat maakt een brute force aanval slechts 0,01% zo tijdrovend als je zou verwachten, gegeven 8 cijfers van PIN.

Het tweede probleem

Wat nog erger is, is dat de Zwitserse onderzoeker Dominique Bongard een defect gevonden in veel router implementaties van M3 in het protocol hierboven.

Een korte uitleg: bij stap M3 versleutelt de router de eigenlijke PIN, met een sterk algoritme (AES) met geheime sleutels bestaande uit twee willekeurig gekozen getallen, en stuurt u het resultaat.

Op die manier heeft de router zich verbonden aan zijn bewijs dat hij de PIN kent, maar op een manier die u pas later kunt verifiëren.

Alleen nadat u aan de router hebt bewezen dat u de PIN kent, zal de router u die willekeurige getallen vertellen, zodat u M3 kunt decoderen en uzelf ervan kunt overtuigen dat de router de PIN ook vanaf het begin kende.

Het is een beetje zoals een verzegelde veiling, waar het bod van de router vóór het uwe wordt vergrendeld, maar op een manier dat u het niet kunt zien om uw bod te bepalen.

Maar wat onze Zwitserse onderzoeker vond is dat vele routers hun biedingen niet erg goed verzegelden, gebruikmakend van “willekeurige” getallen die u kon raden, of in sommige gevallen voor uzelf kon berekenen.

Met andere woorden, bij stap M3, je kon gewoon falen het protocol, en begin over het kraken van de encryptie op de M3 data packet.

Dat zou onthullen de PIN direct, geen raden vereist.

En nog meer problemen

Het blijkt dat er andere gaten in sommige WPS-implementaties, ook.

Deze hebben betrekking op hoe de router de PIN “kent” in de eerste plaats.

Usually, de PIN is afgedrukt op een sticker onder uw router, zodat aanvallers eerst fysieke toegang tot uw router moeten hebben om virtuele toegang te krijgen via de WPS PIN.

Natuurlijk, het hebben van fysieke toegang is net zo goed of beter dan het hebben van virtuele toegang hoe dan ook.

→ De aanvallers zouden zelfs niet de moeite van WiFi moeten nemen: zij zouden direct in een bedrade haven kunnen inpluggen, en een harde resetten doen, zodra zij werkelijk in de kast onder uw trap waren waar u uw router bewaart.

Maar hoe weet de router wat er op die sticker staat?

Zoals een onderzoeker bekend als Craig vorig jaar rapporteerde op de /dev/ttyS0 “embedded device hacking” site, berekenden sommige D-Link routers de PIN rechtstreeks uit het MAC-adres van de router.

Een MAC-adres is de hardware-identificatie die in de firmware op uw netwerkkaart is gebrand; het is alleen bedoeld om elke netwerkkaart uniek te nummeren, niet om cryptografische of beveiligingsgerelateerde doeleinden te hebben.

Inderdaad bevat elk Wi-Fi-pakket dat u verzendt, zelfs als de inhoud ervan is gecodeerd, het MAC-adres van uw netwerkkaart, plus het MAC-adres van het apparaat waarnaar u het pakket verzendt.

Dus iedereen die zelfs maar een enkel pakket van een kwetsbare D-Link router kan sniffen, kan zijn MAC-adres verwerven, en daaruit de WPS PIN berekenen.

Belkin kwetsbaar, ook

Blijkt dat D-Link niet de enige is.

Veel Belkin routers doen iets heel vergelijkbaars, ontdekte Craig onlangs, hoewel ze proberen om een beetje subtieler te zijn.

Deze kwetsbare routers rollen een deel van het MAC-adres en een deel van het eigen serienummer van de router in de nummer-krakerij die de WPS-sleutel genereert.

Net als de WPS PIN, is het serienummer meestal afgedrukt op de onderkant van de router, wat betekent dat het een geheim zou moeten zijn, althans van een aanvaller op afstand.

Except dat Craig vond dat getroffen Belkin routers het serienummer niet geheim houden.

Als je het juiste soort sondepakket naar een kwetsbare router stuurt, krijg je een antwoord terug dat toevallig het serienummer bevat.

Sondepakketten zijn ongeauthenticeerd (wat betekent dat iedereen het kan vragen) en onversleuteld (wat betekent dat iedereen de antwoorden kan lezen).

Non-geheime geheimen

Met andere woorden, Belkin, zoals D-Link, gebruikt soms niet-geheime informatie om een geheime cryptografische sleutel te berekenen.

Erger nog, iedereen in de buurt van uw router kan ongemerkt uw router vragen om die niet-geheime informatie weg te geven.

Dat is alsof je de wereld de naam van je nieuwe puppy op Twitter vertelt, en het vervolgens als je wachtwoord gebruikt.

Wat te doen?

Zet WPS op uw router uit. (Als er geen optie is om dit te doen, of als u het uitschakelt maar het blijft toch werken, gebruik dan een andere router.)

– Probeer niet uw eigen cryptografie uit te vinden.

– Probeer niet uw eigen random number generator uit te vinden.

– “Stel” de sleutel van uw kluis niet veilig in uw bureaula.

– Overweeg wel om de Sophos UTM als een veilige router te gebruiken. (Sophos Wi-Fi producten ondersteunen geen WPS. Probleem opgelost.)