giovedì 31 marzo 2011

La National Security Allert parla di Infostrada


Dando uno sguardo su internet ho notato con grande piacere che la NSAI parla dei miei studi su Infostrada... Date uno sguardo qui!!!

A presto con grandi novità.

giovedì 24 marzo 2011

INFOSTRADA WIFI … L’ALGORITMO… 3a parte

Prima di continuare con il rilascio della terza ed ultima parte dell’algoritmo wpa di Infostrada volevo riprendere un attimino il discorso sulla vulnerabilità dei router Huawei ed il suo uso a nostro vantaggio.


Ecco una schermata di Acunetix Web Vulnerability Scanner che mostra il risultato di una scansione, come si nota dall’immagine i router affetti dal bug ROM-0 Authentication exploit hanno come sistema base il RomPager 4.07 o 4.51. Quando ci troviamo davanti una richiesta di user e password con un web banner “Echolife Home Gateway” (come immagine sotto) sappiamo che al 99% il router è affetto da questo bug.


Cliccando qui sotto è possibile scaricare il mio tool (Infostrada – Huawei DeRom) per la decodifica del file Rom-0.

Download tool Infostrada - Huawei DeRom
---PROGRAMMA CORRETTO---
RISOLTI I PROBLEMI Di COMPATIBILTA' 
CON WINDOWS VISTA/7 a 32/64 bit
password archivio: infostrada

Il file rom-0 può essere catturato e decodificato direttamente dall’applicativo oppure potete scaricarlo dal vostro browser e poi darlo in pasto al tool. Ecco come si presenta la schermata del mio programma:


L’interfaccia potrebbe sembrare un pò spartana ma vi assicuro che funziona benissimo.

Altra nota: volevo segnalare che per pura coincidenza questo tool apre anche i file di configurazione rom-0 di router di altre marche come Dlink, Tp-Link, Zyxel e Netgear(non tutti i modelli). Sto preparando un tool universale per forzare qualsiasi tipo di router sfruttando bug conosciuti e non. Vi ricordo che è severamente vietato usare l’applicativo per entrare in reti non proprie. Usare il tool solo ed esclusivamente per testare la propria rete.

Detto ciò possiamo riprendere il discorso wpa.
VI RICORDO CHE QUESTO ALGORITMO VUOLE ESSERE LA PROVA DEI MIEI STUDI E NON è AFFATTO NECESSARIO IMPLEMENTARLO IN QUALSIVOGLIA LINGUAGGIO VISTO CHE SAPENDO IL MAC WIFI ( QUINDI IL BSSID DELLA RETE) BASTA AGGIUNGERE IL “2” SENZA VIRGOLETTE DAVANTI AL BSSID ELIMINANDO I DUE PUNTI CHE SEPARANO I BYTE DEL MAC WIFI. Ad esempio se ho il mac 00:e0:4d:c8:cb:2e, la wpa sarà 200E04DC8CB2E.

Ieri vi avevo parlato di come suddividere la wpa e quindi il mac per iniziare lo studio del reverse da MAC A SSID. Bene, anzi male, oggi vi mostrerò che per ogni mac può esserci più di un SSID diverso.
La dimostrazione pratica di quanto sto dicendo è riportata qui sotto.
InfostradaWiFi- 002560
00:e0:4d:90:e1:e0
InfostradaWiFi-002560
c8:d5:fe:12:cc:84

Questi due SSID UGUALI hanno i rispettivi MAC WIFI completamente diversi… la logica di generazione è simile ma resta il fatto che sono diversi e possono esserci altrettante combinazioni per quello stesso SSID.


Come mostrato in figura dividiamo la parte numerica dell’SSID stesso in due parti.
La prima parte indicherà la serie di appartenenza del router. La seconda parte determinerà gli ultimi 3 numeri della WPA.

Il primo problema che ho dovuto affrontare è stato individuare a che serie appartenessero i vari SSID. La risposta è arrivata dopo parecchio studio ed ho scoperto che la serie di appartenenza dipende anche dai primi 3 byte del MAC WIFI.
Prima di continuare ricordo che questo metodo è valido solo per un ristretto numero di SSID (Vedi post precedenti). Presumibilmente Infostrada ha cambiato algoritmo dopo essersi accorta che questo è troppo vulnerabile.

Ho suddiviso tutti gli SSID che ho studiato in 3 range diversi. Ogni range è riportato in una tabella, per un totale di 3 tabelle. Ho chiamato “magic numbers” (che fantasia eh?) la serie numerica corrispondente a ciascun SSID riportata in rosso nelle tabelle. Procediamo con il primo range di SSID.
Questa prima tabella riepiloga i “magic numbers” per ogni SSID da InfostradaWiFi-000100 a InfostradaWiFi-000999.

 
Come si può notare, a seconda dei primi 3 byte del mac e dell'SSID è possibile avere un particolare numero (in rosso) che costituisce l’ottavo, il nono ed il decimo carattere della wpa. Nel caso del mac 00:E0:4D si va da 910 a 90f, mentre per il mac C8:D5:FE, ci sono due possibili sequenze numeriche:
  • Da 12f a 12d (12f,12e,12d)
  • Da 304 a 303

Questa seconda tabella riassume invece i “magic numbers” per ogni SSID da InfostradaWiFi-001000 a InfostradaWiFi-009999.

 
In questo range di SSID vengono introdotti importanti cambiamenti, alcune serie di numeri si estinguono, altre vengono richiamate senza un apparente ordine. In particolare possiamo vedere che i “magic numbers” sono molti di più rispetto alla prima tabella.
Per il MAC 00:E0:4D, notiamo che fino a InfostradaWiFi-004999 (circa), la serie di “magic numbers” inizia con 90f e termina con 90b, (90f, 90e, 90d, 90c, 90b) per poi sparire del tutto. Da InfostradaWiFi-005000 in poi (circa) la serie è rimpiazzata da 2 serie che si alternano nelle assegnazioni (non è ben chiaro come ciò avvenga, apparentemente senza un preciso algoritmo). Le 2 nuove serie sono da b6f a b6b (b6f,b6e,b6d,b6c,b6b) e l’altra da 2ff a 2fb (2ff,2fe,2fd,2fc,2fb). Mentre quest’ultima serie viene usata fino alla fine del range preso in considerazione nella tabella, la prima serie arriva fino a InfostradaWiFi-008999 (circa) e poi lascia il posto ad una nuova serie da c8d a c84 che coinvolgerà anche altri SSID di range superiori.

Nel terzo range di SSID troviamo una situazione completamente diversa:


Come sicuramente avrete notato è assente il MAC C8:D5:FE e la lista dei “magic number” (come preannunciato) va da c8d a c84, ( c8d,c8c,c8b,c8a,c89,c88,c87,c86,c85,c84).
Se torniamo a guardare con attenzione anche la seconda tabella ci rendiamo conto che il MAC C8:D5:FE sparisce prima di arrivare al terzo range e per la precisione sparisce verso l’SSID InfostradaWiFi-006999 (circa).

Dalle 3 tabelle si evince che il cambio di “magic number” avviene a cavallo di ogni SSID, cioè ad esempio tra InfostradaWiFi-001000 e InfostradaWiFi-002000. Secondo i dati raccolti il cambio avviene precisamente a 1700, a 2700, a 3700 e cosi via fino a 9700. Purtroppo non posso essere piu preciso di così. Non c’è  il reale bisogno di essere pignoli, visto che come molti hanno già osservato la wpa di default è praticamente in chiaro, ma posso dire che al 90% è cosi.  
Con questo metodo abbiamo appurato l’algoritmo di generazione della 3a parte della wpa.
Rimangono le ultime 2 parti.

La penultima parte è una quantità anch’essa esprimibile come serie numerica che decresce al crescere del valore numerico dell’SSID ed è espressa in valori Esadecimali. I valori vanno da 254 a 1. Dove 254 sarà per un SSID molto piccolo e 1 per un SSID più grande. I corrispondenti valori in Esadecimale saranno inseriti poi come terz’ultima e penultima cifra della wpa. Ad esempio:

1027  --> 254    --> FE (in hex)
……
1689  --> 1    --> 1 (in hex)

Purtroppo anche qui non posso essere più preciso. Sicuramente la 5a parte dell’algoritmo si occupa di fare una operazione di MOD, cioè un modulo. Praticamente sapendo che la 5 parte è un numero fisso (0,4,8,c) sicuramente sarà il resto di una operazione – appunto- tipo modulo.
Anche per la 5° parte esiste una piccola legge da seguire. Dall’SSID InfostradaWiFi-000100 a InfostradaWiFi-008999 posso dire con certezza che i numeri 0,4,8,c rispettano sempre un determinato ordine di apparizione. Per tutti gli altri SSID la storia sostanzialmente non cambia, cambiano solo i numeri che troviamo come ultima cifra della WPA cioè 2,6,a,e. Cioè anche qui troviamo un pattern con distanza 4 che indica che sicuramente l’operazione è identica come per gli altri SSID. Rimane solo da capire che ruolo ha la 5a parte di wpa nella generazione di SSID CONSECUTIVI COME QUESTI:


InfostradaWiFi-004712 --> 00:e0:4d:90:c0:8c
InfostradaWiFi-004713 --> 00:e0:4d:90:c0:90

InfostradaWiFi-006101 --> 00:e0:4d:b6:e9:38 
InfostradaWiFi-006102 --> 00:e0:4d:b6:e9:00


Ho bisogno di più dati e ora che ho reso pubblico il mio studio condotto fin qui tutti possono aiutarmi e concludere insieme l’algoritmo.
Vi ringrazio tutti.














mercoledì 23 marzo 2011

INFOSTRADA WIFI … L’ALGORITMO… 2a parte


Bentornati! Ieri avevo introdotto il discorso sulla generazione della wpa a partire dall’SSID. Avendo capito come la wpa dipendesse dal MAC WIFI, la mia prerogativa è stata di capire che ruolo avessero che 6 caratteri NUMERICI presenti nell’SSID.
Sostanzialmente possiamo dividere la wpa di Infostrada in diverse parti. Prendiamo come esempio l’SSID InfostradaWiFi-002560, MAC WIFI: 00:e0:4d:90:e1:e0, WPA: 200E04D90E1E0. Ecco come deve essere suddivisa la wpa per capire meglio l’algoritmo di generazione che man mano vi illustrerò:
La prima cosa che sicuramente noterete è che la wpa è divisa in 5 parti. Vediamole meglio:

1a parte: è ormai nota, solitamente è un numero (2) che è anteposto staticamente all’intero MAC ADDRESS (piccola nota, vorrei chiarire che il mac wifi è praticamente un FAKE MAC, impostato durante la prima programmazione del router insieme all’SSID e alla WPA. Quindi si tratta di un mac generato ed impostato manualmente. Non corrisponde con il mac reale della scheda di rete wireless del router.)

2a parte: è composta dai primi 3 byte del MAC WIFI del router. Può assumere i valori 00E04D, oppure C8D5FE.

3a parte: è il cuore dell’algoritmo vero e proprio, prevede liste con trasformazioni da decimali a hex e viceversa. E' fondamentale per capire le relazioni con le altre parti

4a parte: è una combinazione numerica inversamente proporzionale all’SSID (all’aumentare dell’SSID la combinazione diminuisce).

5a parte: è stata la più difficile da analizzare ed è tutt’ora oggetto di numerose revisioni; si tratta sostanzialmente di un “hash” della chiave wpa. I valori possibili sono 0,4,8,c (valido per le reti da 000100 a 009999), oppure può assumere valori come a,e,2,6 (valido per le reti da 010000 a 019999).

Insomma già da questo primo sguardo, ci si rende conto che è stato abbastanza complesso studiare la wpa senza un reversing del firmware.

A domani con la 3a ed ultima parte della release.

martedì 22 marzo 2011

INFOSTRADA WIFI … L’ALGORITMO… 1° parte


Qualche settimana fa rendevo note le mie scoperte riguardo alla wpa di default dei router Infostrada… e più in generale riguardo alle vulnerabilità dei router huawei Echolife.
Comincio col dirvi che già da tempo avevo notato reti con SSID del tipo InfostradaWiFi-XXXXXX e piu di una volta avevo avuto la tentazione di mettermi a studiare questo nuovo SSID  a me allora sconosciuto, ma per mancanza di tempo avevo sempre rinunciato!

Un pomeriggio mi sono reso conto di un fatto ATROCE… stavo mettendo a punto un nuovo tipo di ricerca basato sul reverse ip geografico (che dopo vi accennerò e che tratterò in seguito) e mi sono accorto che gran parte delle reti InfostradaWiFi-XXXXXX non ha una reale protezione dalle intrusioni. In pratica quasi tutti i router huawei di infostrada avendo la porta 80 aperta su Internet sono passibili di qualsiasi attacco informatico noto.

Questa (prima) vulnerabilità mi ha permesso di collezionare una infinità di dati su ogni rete Infostrada che poi sarebbero serviti per lo studio della generazione della wpa. Con un semplice wan scan da 151.64.X.X in poi ho trovato una miriade di router più o meno vulnerabili connessi in rete. Ovviamente ad ogni router al 99% corrisponde un SSID e un buon 70%, questi SSID sono di Infostrada. Per correttezza e per motivi legali non rilascerò e non pubblicherò in nessun modo questi dati raccolti, (la privacy dei clienti Infostrada viene prima di tutto) ma vi prometto che entro questa settimana pubblicherò il tool in grado di testare le vulnerabilità della vostra rete wifi Infostrada. 

Secondo quello che ho scoperto i router huawei di Infostrada e sicuramente di altri provider telefonici soffrono di un ROM-0 AUTHENTICATION BUG. Analizzando infatti il sorgente della pagina del router che permette il salvataggio delle impostazioni, mi sono accorto che il file di configurazione rom-0 del router stesso, si trova in una posizione non protetta dall’autenticazione. In pratica è possibile scaricare il backup della configurazione senza essere a conoscenza di username e password del router.
Per scaricare il file basta digitare [indirizzo_ip]/rom_0
Il file rom-0 di circa 16Kb, è compresso con un algoritmo LZW, solitamente usato per i dispositivi embedded. Dando un occhiata al file con IDA, salta subito all’occhio che ci sono diversi blocchi tipo questi:

BYTE     numero_blocco
BYTE     (…)
WORD     (numero oggetti)
DWORD    (lunghezza del blocco)

Ora ognuno di questi blocchi è compresso con l’ LZW per cui è bastato applicare la decodifica LZW per poter vedere username e password posti in posizioni particolari nel file ottenuto dalla decodifica. 

I dettagli di questo procedimento li renderò noti dopo aver rilasciato il tool ( comunque entro brevissimo tempo). Insomma tutto questo per giungere alla conclusione che Infostrada ha rilasciato 3 configurazioni diverse di router (sempre huawei) con username identica ma password diversa.
1a configurazione USER: admin PASS: admin (semplice, non è vero??)
2° configurazione USER: admin PASS: tadpassword
3a configurazione USER: admin PASS: iqrquksm

Quindi semplicemente resi noti questi dati è bastato provarli per entrare in ogni router e carpire la configurazione wifi. Mi è capitato molte volte che l’SSID di default fosse stato cambiato (per fortuna) ma al 98% i dati rimangono quelli di default, per cui mi è stato possibile ricostruire una tabella con SSID e MAC.

Come alcuni già sanno, la wpa è nota sapendo il MAC WIFI. Infatti basta convertire in semplice STRINGA il MAC WIFI ed aggiungere un “2” all’inizio della stringa.
ESEMPIO) data la rete “InfostradaWiFi-003880”, il mac è “c8:d5:fe:12:b7:34” e la wpa quindi sarà 2C8D5FE12B734
Chiamarlo algoritmo mi sembra  eccessivo!

Quello che ho scoperto sulla wpa di default è che esiste realmente un legame tra MAC WIFI e SSID. Il MAC WIFI è generato a partire dall’SSID.
Come per molti altri gestori telefonici i router non sono tutti uguali e quelli che fanno parte del mio studio sono quelli che hanno come SSID da InfostradaWiFi-0001XX a InfostradaWiFi-01XXXX. Gli altri sono ancora in fase di studio… l’algoritmo cambia ma credo di poco!
A domani con la seconda parte della full disclosure.

sabato 5 marzo 2011

Dopo Alice e Fastweb, ora tocca ad Infostrada

Circa due anni fa, un grande programmatore ed esperto di reti informatiche di nome Saxdax dava l'inizio a quella che poi sarebbe stata la fortuna di molti e la disgrazia di altrettanti...
Lui ha scandito l'inizio della rivoluzione della WPA ITALIANA, che ha portato nel giro dei mesi successivi allo sviluppo di software in grado di forzare sistemi informatici e generare chiavi di rete per ogni tipo router rilasciato dai nostri provider telefonici.
Siamo stati letteralmente travolti da una valanga di informazioni, un generale entusiasmo che ha portato alla nascita di nuovi team di lavoro, volti allo studio ed alla ricerca di tutti gli algoritmi presenti nei router in comodato d'uso di Telecom e Fastweb.
Eravamo abituati all'idea che la wpa fosse inviolabile e il nostro Saxdax ci ha insegnato che non era affatto così. Circa 2 anni fa Saxdax per rivelare all'Italia ciò che aveva scoperto dai suoi studi aprì questi due blog: http://wpa-alice.blogspot.com e http://wpa-fastweb.blogspot.com.

Se in tutti questi mesi ci sono stati sviluppi sulla wpa e ricerche sui nuovi firmware, lo dobbiamo solo a lui...

FATTI NON FOSTE A VIVER COME BRUTI MA PER SEGUIR VIRTUTE E CANOSCENZA

Ed ora veniamo a noi...
Dopo gli studi su Alice e Fastweb, ho appurato personalmente che esiste una relazione tra wpa, serial e Mac Address anche per le reti che hanno come prefisso InfostradaWiFi-XXXXXX.


Dalle 6 cifre che seguono dopo il prefisso  "InfostradaWiFi- " è possibile risalire a tutti i dati del modem, compreso serial number, wpa, Mac Address, nome utente e password per l'accesso all'interfaccia Web del router.
Inoltre sono state trovate minacce alla sicurezza per tutti i clienti InfostradaWiFi e non solo per loro, ma per tutti coloro che hanno un router in casa!

Infostrada offre ai suoi clienti i router Huawei della serie Echolife (EchoLife HG520c et similia) che presentano gravi bug di sicurezza che mettono a repentaglio la privacy stessa dei clienti come già avvenuto in passato per Alice e Fastweb.

Per chi fosse interessato ad ulteriori informazioni e per testare le effettive falle di sicurezza DELLA SOLA VOSTRA RETE PERSONALE WIFI INFOSTRADA, può inviarmi una mail all'indirizzo pandared.r@gmail.com specificando l'SSID e MAC ADDRESS.

Vi ricordo che introdursi in reti altrui senza consenso è illegale e non mi assumo alcuna responsabilità sull'utilizzo improprio delle informazioni fornite.

Ci saranno sicuramente aggiornamenti in merito! 
STAY TUNED!!!