Izraelski badacz bezpieczeństwa Ido Hoorvitch (Tel Awiw) opublikował wyniki eksperymentu mającego na celu zbadanie siły haseł używanych do organizacji dostępu do sieci bezprzewodowych. W badaniu przechwyconych ramek z identyfikatorami PMKID udało się odgadnąć hasła dostępu do 3663 z 5000 (73%) zbadanych sieci bezprzewodowych w Tel Awiwie. W rezultacie stwierdzono, że większość właścicieli sieci bezprzewodowych ustawia słabe hasła, które są podatne na odgadnięcie skrótu, a ich sieci bezprzewodowe mogą być atakowane przy użyciu standardowych narzędzi hashcat, hcxtools i hcxdumptool.
Ido użył laptopa z systemem Ubuntu Linux do przechwytywania pakietów sieci bezprzewodowej, włożył go do plecaka i wędrował po mieście, aż udało mu się przechwycić ramki z identyfikatorami PMKID (Pairwise Master Key Identifier) z pięciu tysięcy różnych sieci bezprzewodowych. Następnie użył komputera z 8 procesorami graficznymi NVIDIA QUADRO RTX 8000 48 GB do odgadnięcia haseł za pomocą skrótów wyodrębnionych z identyfikatora PMKID. Wydajność selekcji na tym serwerze wyniosła prawie 7 milionów skrótów na sekundę. Dla porównania na zwykłym laptopie wydajność wynosi około 200 tysięcy skrótów na sekundę, co wystarczy na odgadnięcie jednego 10-cyfrowego hasła w około 9 minut.
Aby przyspieszyć selekcję, wyszukiwanie ograniczono do ciągów zawierających tylko 8 małych liter oraz 8, 9 lub 10 cyfr. To ograniczenie wystarczyło, aby ustalić hasła dla 3663 z 5000 sieci. Najpopularniejsze hasła składały się z 10 cyfr i były używane w 2349 sieciach. W 8 sieciach zastosowano hasła 596-cyfrowe, w 9 368-cyfrowe, w 8 hasła 320-literowe i pisane małymi literami. Ponowne wybieranie za pomocą słownika rockyou.txt o wielkości 133 MB umożliwiło natychmiastowe wybranie 900 haseł .
Zakłada się, że sytuacja z niezawodnością haseł w sieciach bezprzewodowych w innych miastach i krajach jest w przybliżeniu taka sama i większość haseł można znaleźć w ciągu kilku godzin i wydając około 50 dolarów na kartę bezprzewodową obsługującą tryb monitorowania powietrza (sieć ALFA W eksperymencie wykorzystano kartę AWUS036ACH). Atak oparty na PMKID ma zastosowanie tylko do punktów dostępowych obsługujących roaming, jednak jak pokazała praktyka, większość producentów go nie wyłącza.
W ataku wykorzystano standardową metodę hakowania sieci bezprzewodowych za pomocą WPA2, znaną od 2018 roku. W odróżnieniu od klasycznej metody, która wymaga przechwytywania ramek uzgadniania w trakcie łączenia się użytkownika, metoda oparta na przechwytywaniu PMKID nie jest związana z podłączeniem nowego użytkownika do sieci i może być przeprowadzona w dowolnym momencie. Aby uzyskać dane wystarczające do rozpoczęcia odgadywania hasła wystarczy przechwycić tylko jedną ramkę z identyfikatorem PMKID. Ramki takie mogą być odbierane albo w trybie pasywnym poprzez monitorowanie aktywności związanej z roamingiem, albo mogą wymusić inicjowanie transmisji ramek z PMKID na antenie, wysyłając żądanie uwierzytelnienia do punktu dostępowego.
PMKID to skrót generowany na podstawie hasła, adresu MAC punktu dostępu, adresu MAC klienta i nazwy sieci bezprzewodowej (SSID). Początkowo znane są trzy ostatnie parametry (MAC AP, MAC Station i SSID), co pozwala na użycie metody wyszukiwania słownikowego w celu ustalenia hasła, podobnie jak w przypadku odgadywania haseł użytkowników w systemie w przypadku wycieku ich skrótu. Tym samym bezpieczeństwo logowania do sieci bezprzewodowej zależy wyłącznie od siły ustawionego hasła.
Źródło: opennet.ru