Cercetătorul israelian de securitate Ido Hoorvitch (Tel Aviv) a publicat rezultatele unui experiment pentru a studia puterea parolelor folosite pentru a organiza accesul la rețelele wireless. Într-un studiu al cadrelor interceptate cu identificatori PMKID, a fost posibil să se ghicească parolele de acces la 3663 din cele 5000 (73%) de rețele wireless studiate în Tel Aviv. Drept urmare, s-a ajuns la concluzia că majoritatea proprietarilor de rețele fără fir stabilesc parole slabe care sunt susceptibile de a ghici hash, iar rețelele lor wireless pot fi atacate folosind utilitarele standard hashcat, hcxtools și hcxdumptool.
Ido a folosit un laptop care rulează Ubuntu Linux pentru a intercepta pachetele de rețea fără fir, l-a pus într-un rucsac și a rătăcit prin oraș până când a reușit să intercepteze cadre cu identificatori PMKID (Pairwise Master Key Identifier) din cinci mii de rețele fără fir diferite. După aceea, a folosit un computer cu 8 GPU NVIDIA QUADRO RTX 8000 48GB pentru a ghici parolele folosind hashuri extrase din identificatorul PMKID. Performanța de selecție pe acest server a fost de aproape 7 milioane de hashe-uri pe secundă. Pentru comparație, pe un laptop obișnuit, performanța este de aproximativ 200 de mii de hashe-uri pe secundă, ceea ce este suficient pentru a ghici o parolă de 10 cifre în aproximativ 9 minute.
Pentru a accelera selecția, căutarea a fost limitată la secvențe care includeau doar 8 litere mici, precum și 8, 9 sau 10 cifre. Această limitare a fost suficientă pentru a determina parolele pentru 3663 din 5000 de rețele. Cele mai populare parole au fost de 10 cifre, utilizate pe 2349 de rețele. Parole de 8 cifre au fost folosite în 596 de rețele, cele de 9 cifre în 368 și parole de 8 litere mici în 320. Repetarea selecției folosind dicționarul rockyou.txt, cu dimensiunea de 133 MB, ne-a permis să selectăm imediat 900 de parole.
Se presupune că situația cu fiabilitatea parolelor în rețelele wireless din alte orașe și țări este aproximativ aceeași și majoritatea parolelor pot fi găsite în câteva ore și cheltuind aproximativ 50 USD pe o cartelă wireless care acceptă modul de monitorizare a aerului (Rețeaua ALFA Cardul AWUS036ACH a fost folosit în experiment). Un atac bazat pe PMKID este aplicabil numai punctelor de acces care acceptă roaming, dar după cum a arătat practica, majoritatea producătorilor nu îl dezactivează.
Atacul a folosit o metodă standard de piratare a rețelelor wireless cu WPA2, cunoscută din 2018. Spre deosebire de metoda clasică, care necesită interceptarea cadrelor de strângere de mână în timp ce utilizatorul se conectează, metoda bazată pe interceptarea PMKID nu este legată de conectarea unui nou utilizator la rețea și poate fi efectuată în orice moment. Pentru a obține date suficiente pentru a începe ghicirea parolei, trebuie să interceptați doar un cadru cu identificatorul PMKID. Astfel de cadre pot fi recepționate fie în modul pasiv prin monitorizarea activității legate de roaming, fie pot iniția cu forță transmiterea cadrelor cu PMKID în emisie prin trimiterea unei cereri de autentificare către punctul de acces.
PMKID-ul este un hash generat folosind parola, adresa MAC a punctului de acces, adresa MAC a clientului și numele rețelei fără fir (SSID). Inițial sunt cunoscuți ultimii trei parametri (MAC AP, MAC Station și SSID), ceea ce permite utilizarea unei metode de căutare a dicționarului pentru a determina parola, similar cu modul în care parolele utilizatorilor dintr-un sistem pot fi ghicite în cazul în care hash-ul lor este scurs. Astfel, securitatea conectării la o rețea wireless depinde în întregime de puterea parolei setate.
Sursa: opennet.ru