November 08, 2008

WPA/TKIP ChopChop Attack

Probably at this point you have heard that "WPA has been cracked" all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blogosphere. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific details will be fully disclosed on PacSec 2008 next week, and in an upcoming whitepaper on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircrack-ng website (check it during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend or early next week), I considered relevant to provide technical details (summarizing facts) about what's going on and clarify some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FUD out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

UPDATE: The "Practical attacks against WEP and WPA" whitepaper has been released (08/11/2008 - 21:00 CET). The paper mentions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack could be run on non-QoS wireless networks, although no extra details are provided.

First of all, you have a technical overview on this post (thanks Erik for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference), and thanks to Della Lowe and Rick Farina (from AirTight Networks) for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early warning notification, spreading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word to create awareness on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detailed technical conversation we had about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic, respectively.

Why is this relevant? Because it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first cryptographic attack against WPA(2), and TKIP specifically. Previously we only knew about dictionary attacks on WPA or WPA2 pre-shared keys (Personal mode), or RADIUS impersonation attacks in Enterprise mode.

The attack:
  • This security research has been discovered by Erik Tews (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 T on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PTW WEP attack) and Martin Beck, members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircrack-ng team.
  • The new attack only affects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TKIP encryption algorithm used by WPA (and WPA2, optionally).
  • The attack allows an attacker to decrypt individual 802.11 wireless frames, similarly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old WEP chopchop attack, as it discloses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keystream (or PRGA), that is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cryptographic material used to encrypt a single wireless frame.
  • The attack also allows to inject new frames using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 info of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosed keystream and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tricks (see below).
  • The keystream is disclosed by attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity algorithm (MIC) used in TKIP, called Michael.
  • TKIP implements specific built-in countermeasures around Michael to avoid frame manipulation, and blocks replay attacks using sequence number enforcement.
  • The attack takes advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message notification about MIC failures in order to identify valid injected frames, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WEP chopchop attack used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACK frames to confirm valid frames.
  • Frames can only be injected when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wireless multimedia extensions (802.11e or WMM) are used, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se allow to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sequence enforcement mechanism. The injected (and forged) frame is sent over a different QoS queue. This effectively limits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of injected frames that can be sent (around 7).
  • Some access points, or standards like 802.11n, require WMM. It cannot be disabled. The 802.11n standard does not accept TKIP, but some 11n vendors allow you to enable it.
  • The attack combines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new chopchop techniques, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 QoS queue change, to decrypt and inject new frames. This is were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meat of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research and whitepaper is!
  • The attack only allows to decrypt and inject frames that go from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AP to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client generates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MIC failures (required to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validity of an injected frame).
  • The current research allows to decrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frame at a rate of about one bit per minute on average, that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current attack is effective against small packets, such as ARP, DNS, or TCP SYN packets. However, spending a bigger amount of time it would be possible to decrypt larger packets.
  • Every time a new valid frame is injected (confirmed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 generation of a MIC failure message), a new bit value is discovered (like in chopchop), but with TKIP, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack must stand-by for 60 seconds in order not to trigger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Michael countermeasures, what will renew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys (and invalidate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack).
  • The reason why it is being said that it takes 12-15 minutes (or 900 seconds) is because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample test is to decrypt two bytes (16 bits) of an IP address (considering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r two bytes are known, subnet portion on a class B) inside an ARP packet.
  • By looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PoC tool, it checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP private address ranges: 192.168, 10.x (10.0), 172.16-31 (172.16).
  • For those interested on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 in-depth technical details (see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a new tool that implements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, called tkiptun-ng, and it is available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircrack-ng SVN repository (current copy, rev.1208).

This new research opens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door to new WPA(2)/TKIP attacks and future enhancements, so it is time to start applying and planning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate security countermeasures to remove or mitigate this and similar future threats.

The countermeasures (for wireless vendors, businesses, and end users):
  • [users and businesses] Switch to AES and WPA2, as more TKIP attacks are going to come! AES is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best solution (if your equipment supports it, mandatory since 2006 from a WiFi Alliance perspective) as it is more efficient and secure than TKIP.
  • [vendors] There are a few ideas around to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability from a TKIP perspective:
    • Rotate keys every two minutes, but this will have a significant performance impact, specially on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices that do not support AES (with limited hardware capabilities). [1]
    • Don't send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early warning message notifying about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first MIC failure, what will break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current 802.11i standard.
    • Activate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MIC countermeasures with a single MIC failure, what will break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard again, and activate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 built-in DoS capabilities within TKIP in non-evil scenarios where a single packet has an invalid MIC. Very risky!
  • [businesses] If your hardware do not support AES and cannot be easily replaced, complement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security mechanism provided by TKIP encryption with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r capabilities, such as detection. This attack generates a significant amount of MIC failure messages that must be detected by your wireless IDS (WIDS).
[1] This reminds me about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old (and almost useless) Dynamic WEP (DWEP) implementations.

Remember, TKIP was a temporary solution to mitigate WEP security issues. It is time to switch to AES, so start planning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 migration now!


NOTE: If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an incorrect statement above, as all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details are not known yet, please let me know in order to clarify or fix it.

Labels:

10 Comments:

Blogger Unknown said...

As I read it, your article suggest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is primarily with TKIP. Is WPA with AES still safe?

wmrobins

5:25 AM  
Blogger Raul Siles said...

Hello Bill,
YES, at this point AES is safe, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new attack exploits a vulnerability in TKIP, specifically in its message integrity check (MIC) algorithm, called Michael, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countermeasures TKIP implements to protect it.

AES does not uses Michael as its MIC, but an AES crypto checksum instead (AES can be used for encryption AND hashing), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore, does not implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countermeasures eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

11:30 AM  
Anonymous Anonymous said...

already on http://www.aircrack-ng.org/doku.php?id=links cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article can be read.

8:45 PM  
Blogger Unknown said...

After a (short) keystream has been recovered, is it possible to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Arbaugh inductive attack (inverse chopchop) to expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keystream? It'd be an extremely slow expansion though, 1 byte per >60 seconds.

3:59 AM  
Blogger Raul Siles said...

Zheng, potentially, expanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack as you suggest (as we saw in WEP long time ago) might be an option.

It has not been demonstrated yet, but definitely, more enhancements and improvements to this attacks are coming on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next weeks and months. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors are already working on new extensions.

9:57 AM  
Anonymous Anonymous said...

You forget one important and efective countermeasure against WPA(2)+TKIP attack...VPNs. For example, OpenVPN 2.1 "hides" all vulnerable arp and dns packet in udp1194 traffic and and attack stops...attacker discover short rc4 keystream, but he nothing to do with this keystream, arp,dns or icmp injection doesn't work due VPN encryption in higher osi layer.

8:09 AM  
Blogger Raul Siles said...

Ivars, I agree with you that VPNs help to mitigate this type of threats that attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WiFi encryption mechanisms.

However, you still must consider some risks of using VPNs over WiFi, such as for example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 period till cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VPN is established. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VPN is not active (and unfortunately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are at least a few seconds since your wireless card is active and your VPN tunnel is on), you are exposed to, let's say, ARP spoofing attacks.

12:31 PM  
Anonymous Anonymous said...

What about using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cipher: AES CCMP + TKIP on WPA. Should I remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TKIP and just keep AES CCMP.

11:02 PM  
Blogger Raul Siles said...

Hello,
When vendors refer to AES CCMP + TKIP on WPA it typically means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setup supports both protocols, AES and TKIP, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore you can be vulnerable when TKIP is used.

I recommend you to leave AES only, or much better, use WPA2/AES instead.

12:04 AM  
Anonymous Ramkumar said...

Awesome post !!!

11:47 AM  

Post a Comment

<< Home