martedì 22 marzo 2011

INFOSTRADA WIFI … L’ALGORITMO… 1° parte


Qualche settimana fa rendevo note le mie scoperte riguardo alla wpa di default dei router Infostrada… e più in generale riguardo alle vulnerabilità dei router huawei Echolife.
Comincio col dirvi che già da tempo avevo notato reti con SSID del tipo InfostradaWiFi-XXXXXX e piu di una volta avevo avuto la tentazione di mettermi a studiare questo nuovo SSID  a me allora sconosciuto, ma per mancanza di tempo avevo sempre rinunciato!

Un pomeriggio mi sono reso conto di un fatto ATROCE… stavo mettendo a punto un nuovo tipo di ricerca basato sul reverse ip geografico (che dopo vi accennerò e che tratterò in seguito) e mi sono accorto che gran parte delle reti InfostradaWiFi-XXXXXX non ha una reale protezione dalle intrusioni. In pratica quasi tutti i router huawei di infostrada avendo la porta 80 aperta su Internet sono passibili di qualsiasi attacco informatico noto.

Questa (prima) vulnerabilità mi ha permesso di collezionare una infinità di dati su ogni rete Infostrada che poi sarebbero serviti per lo studio della generazione della wpa. Con un semplice wan scan da 151.64.X.X in poi ho trovato una miriade di router più o meno vulnerabili connessi in rete. Ovviamente ad ogni router al 99% corrisponde un SSID e un buon 70%, questi SSID sono di Infostrada. Per correttezza e per motivi legali non rilascerò e non pubblicherò in nessun modo questi dati raccolti, (la privacy dei clienti Infostrada viene prima di tutto) ma vi prometto che entro questa settimana pubblicherò il tool in grado di testare le vulnerabilità della vostra rete wifi Infostrada. 

Secondo quello che ho scoperto i router huawei di Infostrada e sicuramente di altri provider telefonici soffrono di un ROM-0 AUTHENTICATION BUG. Analizzando infatti il sorgente della pagina del router che permette il salvataggio delle impostazioni, mi sono accorto che il file di configurazione rom-0 del router stesso, si trova in una posizione non protetta dall’autenticazione. In pratica è possibile scaricare il backup della configurazione senza essere a conoscenza di username e password del router.
Per scaricare il file basta digitare [indirizzo_ip]/rom_0
Il file rom-0 di circa 16Kb, è compresso con un algoritmo LZW, solitamente usato per i dispositivi embedded. Dando un occhiata al file con IDA, salta subito all’occhio che ci sono diversi blocchi tipo questi:

BYTE     numero_blocco
BYTE     (…)
WORD     (numero oggetti)
DWORD    (lunghezza del blocco)

Ora ognuno di questi blocchi è compresso con l’ LZW per cui è bastato applicare la decodifica LZW per poter vedere username e password posti in posizioni particolari nel file ottenuto dalla decodifica. 

I dettagli di questo procedimento li renderò noti dopo aver rilasciato il tool ( comunque entro brevissimo tempo). Insomma tutto questo per giungere alla conclusione che Infostrada ha rilasciato 3 configurazioni diverse di router (sempre huawei) con username identica ma password diversa.
1a configurazione USER: admin PASS: admin (semplice, non è vero??)
2° configurazione USER: admin PASS: tadpassword
3a configurazione USER: admin PASS: iqrquksm

Quindi semplicemente resi noti questi dati è bastato provarli per entrare in ogni router e carpire la configurazione wifi. Mi è capitato molte volte che l’SSID di default fosse stato cambiato (per fortuna) ma al 98% i dati rimangono quelli di default, per cui mi è stato possibile ricostruire una tabella con SSID e MAC.

Come alcuni già sanno, la wpa è nota sapendo il MAC WIFI. Infatti basta convertire in semplice STRINGA il MAC WIFI ed aggiungere un “2” all’inizio della stringa.
ESEMPIO) data la rete “InfostradaWiFi-003880”, il mac è “c8:d5:fe:12:b7:34” e la wpa quindi sarà 2C8D5FE12B734
Chiamarlo algoritmo mi sembra  eccessivo!

Quello che ho scoperto sulla wpa di default è che esiste realmente un legame tra MAC WIFI e SSID. Il MAC WIFI è generato a partire dall’SSID.
Come per molti altri gestori telefonici i router non sono tutti uguali e quelli che fanno parte del mio studio sono quelli che hanno come SSID da InfostradaWiFi-0001XX a InfostradaWiFi-01XXXX. Gli altri sono ancora in fase di studio… l’algoritmo cambia ma credo di poco!
A domani con la seconda parte della full disclosure.

3 commenti:

  1. I approve this message!!
    Good work pandarossa!!

    RispondiElimina
  2. grazie per questo informazione..
    lo provero..

    RispondiElimina
  3. Bellissimo studio... :) Ultimamente stavo anch'io analizzando il file rom-0. Veramente un ottimo lavoro. Congrautazioni. Peccato che non ho più il tempo di 20 anni fa.. :) Tempi belli di una volta. Veramente un ottimo studio. Saluti By Maxtor

    RispondiElimina