banner

Vulnerabilidad en el protocolo WiFi Protected Setup (WPS)

Como no puede ser de otra forma, en "Seguridad para Todos" iniciamos el año 2012 con energía y con las ultimas noticias en seguridad de la información. 

Pero lo primero de todo es: 

☆。★。☆。★ 。☆ 。☆。☆ ★。\|/。★   Feliz año nuevo   2012! ★。/|\。★.


Hace unos días (el año pasado), un investigador Stefan Viehböck (https://twitter.com/sviehb | http://sviehb.wordpress.com/) publicaba en su blog un artículo técnico sobre la vulnerabilidad que ha descubierto en el protocolo de configuración segura de redes inalámbricas (WPS).


¿Qué es WPS?

WPS son las siglas de WiFi Protected Setup, protocolo utilizado para conectar dispositivos WiFi de forma segura sin necesidad de establecer complicados mecanismos de autenticación, simplemente los dispositivos se enlazan entre si con el conocimiento de un PIN, al estilo de las conexiones bluetooth.
WPS (Wi-Fi Protected Setup) es un estándar promovido por la Wi-Fi Alliance para la creación de redes WLAN seguras. En otras palabras, WPS no es un mecanismo de seguridad por sí, se trata de la definición de diversos mecanismos para facilitar la configuración de una red WLAN segura con WPA2, pensados para minimizar la intervención del usuario en entornos domésticos o pequeñas oficinas (SOHO). Concretamente, WPS define los mecanismos a través de los cuales los diferentes dispositivos de la red obtienen las credenciales (SSID y PSK) necesarias para iniciar el proceso de autenticación. [Wikipedia(ES)]
¿Cómo funciona WPS?

Antes de explicar su funcionamiento conviene recordar el significado de los siguientes términos:

Roles de la arquitectura de comunicaciones WPS:
  • Registrar: dispositivo capaz de actuar como la autoridad para proporcionar el acceso y las credenciales a la red inalámbrica.
  • Enrollee: el dispositivo que solicita el acceso a la red inalámbrica y no posee configuración alguna.
  • Authenticator: normalmente es el propio AP (Access Point) que realiza la comunicación (Proxy) entre el Registrar y Enrollee.
La mayoría de los router inalámbricos vienen de fabrica con la opción WPS configurada y activada por defecto, algunos de los modelos son: Cisco/Linksys, Netgear, D-Link, Belkin, Buffalo, ZyXEL, e incluso el Livebox 2 (Orange).

El siguiente vídeo muestra como se realiza la conexión de un dispositivo al router Livebox2 utilizando WPS.

El protocolo WPS contempla al menos 4 formas diferentes de intercambio de credenciales y solicitud de autorización para acceso a la red inalámbrica, como son PIN, PBC, NFC y USB:
  • Método PIN: el usuario tiene que introducir un número PIN en la interfaz web que proporciona el AP (Access Point), este dato suele venir impreso en una etiqueta que tiene el propio AP/Router.

  • Método PBC: enlazar los dispositivos mediante la presión de un botón (físico o virtual (software)) tanto en el AP/Router como en el dispositivo que deseamos conectar a la red inalambrica. El AP suele disponer de un timeout (temporizador) trás pulsar el botón, durante el cuál se puede establecer la conexión mediante WPS.
¿Qué problema existe en usar WPS?

El investigador Stefan Viehböck ha detectado una vulnerabilidad en el proceso de autenticación que permite a un atacante reducir el número de intentos y comprobaciones en un ataque de fuerza bruta para descubrir el PIN / Password de acceso a la red que usa el AP en el protocolo WPS.
Se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.[Wikipedia]
El ataque es posible, debido a que el protocolo WPS no implementa la posibilidad de limitar el número de intentos posibles. Además la vulnerabilidad detectada reduce el tiempo necesario para realizar este tipo de ataque, a un intervalo de tiempo de 4 a 10 horas.

Detalles técnicos

Para los más técnicos, os diré que la vulnerabilidad ha sido detectada en los mensajes EAP-NACK que envia el "Registrar" (AP) al cliente y/o dispositivo (Erollee) con la primera y segunda mitad del PIN, al iniciar una autenticación externa mediante código PIN.

Esta forma de autenticación reduce drasticamente el número de intentos necesarios para averiguar el PIN, reduciendo el número de 10^8 (100.000.000) a ~ 20.000.

¿Existe ataques prácticos?

No han tardado en aparecer herramientas capaces de aprovechar dicha vulnerabilidad y averiguar la contraseña de un router inalámbrico que tenga activado WPS.

Por ejemplo, la aplicación Reaver es una herramienta capaz de averiguar la clave WPA/2-PSK de cualquier Router que tenga activado el protocolo WPS.
La herramienta se encuentra en su versión 1.2 y esta disponible en google code reaver-wps.

Además el descubridor de la vulnerabilidad ha publicado en su blog un script en python como prueba de concepto (PoC) se puede descargar aqui.


Más información sobre la utilización e instalación de las herramientas en el siguiente enlace.

Mitigación / Solución

Por el momento, la solución más efectiva sería desactivar el protocolo WPS, ya que cualquier dispositivo certificado por la WiFi Alliance, contiene la vulnerabilidad explicada.

El problema es que no todos los dispositivos AP/Router permiten deshabilitar la función de WPS, como por ejemplo, el Router Livebox2 de Orange.

Si quereís hacer la prueba con el Livebox 2 de Orange, teneís que entrar en la interfaz de administración del Router (En el Navegador Web teclear http://192.168.1.1) y acceder a la configuración de red Wifi, tal y como se muestra en la siguiente imagen:


Algunos fabricante como por ejemplo: BELKIN, han puesto a disposición de sus usuarios un pequeño tutorial para deshabilitar WPS en sus dispositivos:
  1.  Abrir un navegador web.
  2. Teclear la dirección IP del router. Ejemplo por defecto: http://192.168.1.1
  3. Introducir el nombre de usario y contraseña.
  4. Acceder al Menu de Wireless (Conexión Inalábrica) y dentro del menú a la opción de WPS.(esto puede variar de un modelo a otro).
  5. Cambiar el estado de "habilitado" a "deshabilitado"
  6. Aplicar cambios y reiniciar el Router.

7 comentarios :

  1. Hola, primero ante todo felicitar por este gran artículo, y lo segundo es que me surge una pequeña duda en lo referente a los ataques que aprovechan la vulnerabilidad WPS. La duda es que: ¿También sería vulnerable a un ataque reaver los routers que solo implementen el método PBC sin que estos tengan activado el método PIN?.
    Muchas gracias!

    ResponderEliminar
  2. Puede suceder que una tablet no logre conexión WiFi que tiene wps y l tableta no.

    ResponderEliminar
  3. Ignacio > Normalmente solo a los que tenga WPS con método PIN y compartan dicha vulnerabilidad !

    Carlos > Efectivamente, a veces el conseguir conectar con el método WPS se debe a la compatibilidad del protocolo entre router y dispositivo. Si no lo consigues con el dispositivo prueba (si tu router lo permite) ha intentar conectar en sentido inverso !

    Un Saludo, espero haber respondido correctamente a vuestras inquietudes! - Feliz Navidad!

    ResponderEliminar
  4. Hola! tengo un problema, necesito el numero PIN de mi router Tp_link pero no aparece en la parte posterior de él ni tampoco tiene el boton de QSS, alguno sabe de que otra parte puedo obtenerlo?? lo necesito urgente!!

    ResponderEliminar
  5. Hola! necesito urgente el numero PIN de mi router TP-LINk pero no aparece en su parte posterior ni tampoco trae el bonto de QSS, de que otra parte puedo obtenerlo?? SALUDOS

    ResponderEliminar
  6. Hola seba, entra en la configuracion de tu router (navegador de internet explorer, escribes en el buscador de arriba, tu ip, que sera o 192.168.0.1 u 192.168.1.1), introduces usuario y contraseña(que suele ser admin/admin) y en el menu, pica sobre WPS y ahi te aparece si lo tienes. Espero haberte ayudado, un saludo.

    ResponderEliminar
  7. hola quiero desvincular mi tablet samsung con el wps, deshabilite la opcion del wps a travez de la pagina tplik pero colocando la clave que tengo del wifi no me la acepta, como haría para que mi tablet se conecte de nuevo normalmente sin el metodo wps?

    ResponderEliminar