O pesquisador de segurança israelense Ido Hoorvitch (Tel Aviv) publicou os resultados de um experimento para estudar a força das senhas usadas para organizar o acesso a redes sem fio. Num estudo de frames interceptados com identificadores PMKID, foi possível adivinhar senhas de acesso a 3663 das 5000 (73%) redes sem fio estudadas em Tel Aviv. Como resultado, concluiu-se que a maioria dos proprietários de redes sem fio definem senhas fracas que são suscetíveis à adivinhação de hash, e suas redes sem fio podem ser atacadas usando os utilitários padrão hashcat, hcxtools e hcxdumptool.
Ido usou um laptop rodando Ubuntu Linux para interceptar pacotes de rede sem fio, colocou-o em uma mochila e vagou pela cidade até conseguir interceptar frames com identificadores PMKID (Pairwise Master Key Identifier) de cinco mil redes sem fio diferentes. Depois disso, ele usou um computador com 8 GPU NVIDIA QUADRO RTX 8000 48GB para adivinhar senhas usando hashes extraídos do identificador PMKID. O desempenho de seleção neste servidor foi de quase 7 milhões de hashes por segundo. Para efeito de comparação, em um laptop normal, o desempenho é de aproximadamente 200 mil hashes por segundo, o que é suficiente para adivinhar uma senha de 10 dígitos em cerca de 9 minutos.
Para agilizar a seleção, a busca foi limitada a sequências contendo apenas 8 letras minúsculas, além de 8, 9 ou 10 dígitos. Essa limitação foi suficiente para determinar senhas para 3663 de 5000 redes. As senhas mais populares eram de 10 dígitos, usadas em 2349 redes. Foram utilizadas senhas de 8 dígitos em 596 redes, de 9 dígitos em 368 e senhas de 8 letras minúsculas em 320. A repetição da seleção utilizando o dicionário rockyou.txt, de 133 MB, permitiu selecionar imediatamente 900 senhas.
Supõe-se que a situação com a confiabilidade das senhas em redes sem fio em outras cidades e países é aproximadamente a mesma e a maioria das senhas pode ser encontrada em poucas horas e gastando cerca de US$ 50 em uma placa sem fio que suporta o modo de monitoramento aéreo (a Rede ALFA O cartão AWUS036ACH foi usado no experimento). Um ataque baseado em PMKID é aplicável apenas a pontos de acesso que suportam roaming, mas como a prática tem mostrado, a maioria dos fabricantes não o desabilita.
O ataque utilizou um método padrão de hackeamento de redes sem fio com WPA2, conhecido desde 2018. Ao contrário do método clássico, que requer a interceptação de frames de handshake enquanto o usuário está se conectando, o método baseado na interceptação PMKID não está vinculado à conexão de um novo usuário à rede e pode ser realizado a qualquer momento. Para obter dados suficientes para começar a adivinhar a senha, você só precisa interceptar um quadro com o identificador PMKID. Esses quadros podem ser recebidos no modo passivo, monitorando atividades relacionadas ao roaming, ou podem iniciar forçosamente a transmissão de quadros com PMKID no ar, enviando uma solicitação de autenticação ao ponto de acesso.
O PMKID é um hash gerado usando a senha, o endereço MAC do ponto de acesso, o endereço MAC do cliente e o nome da rede sem fio (SSID). Os últimos três parâmetros (MAC AP, MAC Station e SSID) são inicialmente conhecidos, o que permite o uso de um método de busca de dicionário para determinar a senha, semelhante a como as senhas dos usuários em um sistema podem ser adivinhadas se seu hash vazar. Assim, a segurança do login em uma rede sem fio depende inteiramente da força da senha definida.
Fonte: opennet.ru