Privacidad equivalente a la de los cables

Algoritmo de seguridad obsoleto para redes inalámbricas

Wired Equivalent Privacy ( WEP ) es un algoritmo de seguridad obsoleto y con graves defectos para redes inalámbricas 802.11 . Introducido como parte del estándar IEEE 802.11 original ratificado en 1997, su intención era proporcionar confidencialidad de datos comparable a la de una red cableada tradicional . ^[1] WEP, reconocible por su clave de 10 o 26 dígitos hexadecimales (40 o 104 bits), fue en un tiempo ampliamente utilizado y, a menudo, era la primera opción de seguridad presentada a los usuarios por las herramientas de configuración de enrutadores. ^{[2] [3]}

Tras la revelación en 2001 de un grave fallo de diseño en el algoritmo ^[4] , el protocolo WEP nunca volvió a ser seguro en la práctica. En la gran mayoría de los casos, los dispositivos de hardware Wi-Fi que dependían de la seguridad WEP no pudieron actualizarse para funcionar de forma segura. Algunos de los fallos de diseño se solucionaron en el protocolo WEP2, pero el protocolo WEP2 también resultó inseguro y no se pudo actualizar otra generación de hardware para que funcionara de forma segura.

En 2003, la Wi-Fi Alliance anunció que WEP y WEP2 habían sido reemplazados por Wi-Fi Protected Access (WPA). En 2004, con la ratificación del estándar 802.11i completo (es decir, WPA2), el IEEE declaró que tanto WEP-40 como WEP-104 habían quedado obsoletos. ^[5] WPA mantuvo algunas características de diseño de WEP que seguían siendo problemáticas.

WEP era el único protocolo de cifrado disponible para los dispositivos 802.11a y 802.11b creados antes del estándar WPA, que estaba disponible para los dispositivos 802.11g . Sin embargo, algunos dispositivos 802.11b recibieron posteriormente actualizaciones de firmware o software para habilitar WPA, y los dispositivos más nuevos lo tenían incorporado. ^[6]

Historia

WEP fue ratificado como estándar de seguridad Wi-Fi en 1999. Las primeras versiones de WEP no eran particularmente fuertes, incluso para la época en que fueron lanzadas, debido a las restricciones de los EE. UU. a la exportación de varias tecnologías criptográficas. Estas restricciones llevaron a los fabricantes a restringir sus dispositivos a solo cifrado de 64 bits. Cuando se levantaron las restricciones, el cifrado se aumentó a 128 bits. A pesar de la introducción de WEP de 256 bits, 128 bits sigue siendo una de las implementaciones más comunes. ^[7]

Detalles de encriptación

WEP se incluyó como el componente de privacidad del estándar IEEE 802.11 original ^[8] ratificado en 1997. ^{[9] [10]} WEP utiliza el cifrado de flujo RC4 para la confidencialidad , ^[11] y la suma de comprobación CRC-32 para la integridad . ^[12] Quedó obsoleto en 2004 y está documentado en el estándar actual. ^[13]

Cifrado WEP básico: flujo de clave RC4 codificado con texto sin formato

El estándar WEP de 64 bits utiliza una clave de 40 bits (también conocida como WEP-40), que se concatena con un vector de inicialización (IV) de 24 bits para formar la clave RC4. En el momento en que se redactó el estándar WEP original, las restricciones a la exportación de tecnología criptográfica del gobierno de los EE. UU. limitaban el tamaño de la clave . Una vez que se levantaron las restricciones, los fabricantes de puntos de acceso implementaron un protocolo WEP extendido de 128 bits que utiliza un tamaño de clave de 104 bits (WEP-104).

Una clave WEP de 64 bits se suele introducir como una cadena de 10 caracteres hexadecimales (base 16) (0-9 y A-F). Cada carácter representa 4 bits, 10 dígitos de 4 bits cada uno dan 40 bits; al añadir el IV de 24 bits se obtiene la clave WEP completa de 64 bits (4 bits × 10 + IV de 24 bits = clave WEP de 64 bits). La mayoría de los dispositivos también permiten al usuario introducir la clave como 5 caracteres ASCII (0-9, a-z, A-Z), cada uno de los cuales se convierte en 8 bits utilizando el valor del byte del carácter en ASCII (8 bits × 5 + IV de 24 bits = clave WEP de 64 bits); sin embargo, esto restringe cada byte a un carácter ASCII imprimible, que es solo una pequeña fracción de los posibles valores de byte, lo que reduce en gran medida el espacio de las posibles claves.

Una clave WEP de 128 bits se suele introducir como una cadena de 26 caracteres hexadecimales. 26 dígitos de 4 bits cada uno dan 104 bits; si se añade el IV de 24 bits se obtiene la clave WEP completa de 128 bits (4 bits × 26 + IV de 24 bits = clave WEP de 128 bits). La mayoría de los dispositivos también permiten al usuario introducirla como 13 caracteres ASCII (8 bits × 13 + IV de 24 bits = clave WEP de 128 bits).

Algunos proveedores ofrecen sistemas WEP de 152 y 256 bits. Al igual que con las otras variantes de WEP, 24 bits de estos son para el IV, dejando 128 o 232 bits para la protección real. Estos 128 o 232 bits se introducen normalmente como 32 o 58 caracteres hexadecimales (4 bits × 32 + 24 bits IV = clave WEP de 152 bits, 4 bits × 58 + 24 bits IV = clave WEP de 256 bits). La mayoría de los dispositivos también permiten al usuario introducirlos como 16 o 29 caracteres ASCII (8 bits × 16 + 24 bits IV = clave WEP de 152 bits, 8 bits × 29 + 24 bits IV = clave WEP de 256 bits).

Autenticación

Se pueden utilizar dos métodos de autenticación con WEP: autenticación de sistema abierto y autenticación de clave compartida.

En la autenticación de sistema abierto, el cliente WLAN no proporciona sus credenciales al punto de acceso durante la autenticación. Cualquier cliente puede autenticarse con el punto de acceso y luego intentar asociarse. En efecto, no se produce ninguna autenticación. Posteriormente, se pueden utilizar claves WEP para cifrar tramas de datos. En este punto, el cliente debe tener las claves correctas.

En la autenticación de clave compartida, la clave WEP se utiliza para la autenticación en un protocolo de enlace de desafío-respuesta de cuatro pasos :

1. El cliente envía una solicitud de autenticación al punto de acceso.
2. El punto de acceso responde con un desafío en texto claro .
3. El cliente cifra el texto de desafío utilizando la clave WEP configurada y lo envía en otra solicitud de autenticación.
4. El punto de acceso descifra la respuesta. Si coincide con el texto del desafío, el punto de acceso envía una respuesta positiva.

Después de la autenticación y asociación, la clave WEP previamente compartida también se utiliza para cifrar las tramas de datos mediante RC4.

A primera vista, podría parecer que la autenticación de clave compartida es más segura que la autenticación de sistema abierto, ya que esta última no ofrece una autenticación real. Sin embargo, es todo lo contrario. Es posible derivar el flujo de claves utilizado para el protocolo de enlace capturando los marcos de desafío en la autenticación de clave compartida. ^[14] Por lo tanto, los datos se pueden interceptar y descifrar más fácilmente con la autenticación de clave compartida que con la autenticación de sistema abierto. Si la privacidad es una preocupación principal, es más recomendable utilizar la autenticación de sistema abierto para la autenticación WEP, en lugar de la autenticación de clave compartida; sin embargo, esto también significa que cualquier cliente WLAN puede conectarse al AP. (Ambos mecanismos de autenticación son débiles; la clave compartida WEP está obsoleta en favor de WPA/WPA2).

Seguridad débil

Debido a que RC4 es un cifrado de flujo , la misma clave de tráfico nunca debe usarse dos veces. El propósito de un IV, que se transmite como texto sin formato, es evitar cualquier repetición, pero un IV de 24 bits no es lo suficientemente largo para garantizar esto en una red concurrida. La forma en que se usó el IV también abrió WEP a un ataque de clave relacionada . Para un IV de 24 bits, existe una probabilidad del 50% de que el mismo IV se repita después de 5000 paquetes.

En agosto de 2001, Scott Fluhrer, Itsik Mantin y Adi Shamir publicaron un criptoanálisis de WEP ^[4] que explota la forma en que se utilizan los cifrados RC4 y el IV en WEP, lo que da como resultado un ataque pasivo que puede recuperar la clave RC4 después de espiar la red. Dependiendo de la cantidad de tráfico de la red y, por lo tanto, del número de paquetes disponibles para inspección, una recuperación de clave exitosa podría tomar tan solo un minuto. Si se envía un número insuficiente de paquetes, existen formas para que un atacante envíe paquetes en la red y, de ese modo, estimule los paquetes de respuesta, que luego pueden inspeccionarse para encontrar la clave. El ataque se implementó pronto y desde entonces se han publicado herramientas automatizadas. Es posible realizar el ataque con una computadora personal, hardware comercial y software disponible gratuitamente, como aircrack-ng, para descifrar cualquier clave WEP en minutos.

Cam-Winget et al. ^[15] analizaron una variedad de deficiencias en WEP. Escribieron: " Los experimentos en el campo muestran que, con el equipo adecuado, es práctico espiar redes protegidas por WEP desde distancias de una milla o más del objetivo". También informaron dos debilidades genéricas:

• El uso de WEP era opcional, lo que provocó que muchas instalaciones ni siquiera lo activaran, y
• De manera predeterminada, WEP se basa en una única clave compartida entre los usuarios, lo que genera problemas prácticos en el manejo de los ataques, lo que a menudo lleva a ignorarlos.

En 2005, un grupo del FBI de Estados Unidos realizó una demostración en la que descifraron una red protegida por WEP en tres minutos utilizando herramientas disponibles públicamente. ^[16] Andreas Klein presentó otro análisis del cifrado de flujo RC4. Klein demostró que existen más correlaciones entre el flujo de claves RC4 y la clave que las encontradas por Fluhrer, Mantin y Shamir, que además pueden utilizarse para descifrar WEP en modos de uso similares a WEP.

En 2006, Bittau, Handley y Lackey demostraron ^[2] que el protocolo 802.11 puede utilizarse contra WEP para permitir ataques anteriores que antes se consideraban imprácticos. Después de interceptar un único paquete, un atacante puede iniciar rápidamente la transmisión de datos arbitrarios. El paquete interceptado puede descifrarse entonces byte a byte (transmitiendo unos 128 paquetes por byte para descifrarlo) para descubrir las direcciones IP de la red local. Finalmente, si la red 802.11 está conectada a Internet, el atacante puede utilizar la fragmentación 802.11 para reproducir los paquetes interceptados mientras crea un nuevo encabezado IP sobre ellos. El punto de acceso puede utilizarse entonces para descifrar estos paquetes y retransmitirlos a un amigo en Internet, lo que permite descifrar en tiempo real el tráfico WEP en el plazo de un minuto después de interceptar el primer paquete.

En 2007, Erik Tews, Andrei Pyshkin y Ralf-Philipp Weinmann pudieron ampliar el ataque de Klein de 2005 y optimizarlo para su uso contra WEP. Con el nuevo ataque ^[17] es posible recuperar una clave WEP de 104 bits con una probabilidad del 50% utilizando solo 40.000 paquetes capturados. Para 60.000 paquetes de datos disponibles, la probabilidad de éxito es de alrededor del 80%, y para 85.000 paquetes de datos, de alrededor del 95%. Utilizando técnicas activas como ataques de desautenticación Wi-Fi y reinyección ARP , se pueden capturar 40.000 paquetes en menos de un minuto en buenas condiciones. El cálculo real lleva alrededor de 3 segundos y 3 MB de memoria principal en un Pentium-M de 1,7 GHz y, además, se puede optimizar para dispositivos con CPU más lentas. El mismo ataque se puede utilizar para claves de 40 bits con una probabilidad de éxito aún mayor.

En 2008, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) actualizó el Estándar de Seguridad de Datos (DSS) para prohibir el uso de WEP como parte de cualquier procesamiento de tarjetas de crédito después del 30 de junio de 2010, y prohibir la instalación de cualquier sistema nuevo que utilice WEP después del 31 de marzo de 2009. El uso de WEP contribuyó a la invasión de la red de la empresa matriz TJ Maxx . ^[18]

Ataque de café con leche

El ataque Caffe Latte es otra forma de derrotar a WEP. No es necesario que el atacante se encuentre en el área de la red que utiliza este exploit. Al utilizar un proceso que apunta a la pila inalámbrica de Windows , es posible obtener la clave WEP de un cliente remoto. ^{[19] Al enviar una avalancha de solicitudes} ARP cifradas , el atacante se aprovecha de la autenticación de clave compartida y de las fallas de modificación de mensajes en 802.11 WEP. El atacante utiliza las respuestas ARP para obtener la clave WEP en menos de 6 minutos. ^[20]

Contramedidas

El uso de protocolos de tunelización encriptados (por ejemplo, IPsec , Secure Shell ) puede proporcionar una transmisión segura de datos a través de una red insegura. Sin embargo, se han desarrollado sustitutos de WEP con el objetivo de restaurar la seguridad de la propia red inalámbrica.

802.11i (WPA y WPA2)

La solución recomendada para los problemas de seguridad WEP es cambiar a WPA2. WPA era una solución intermedia para el hardware que no podía soportar WPA2. Tanto WPA como WPA2 son mucho más seguros que WEP. ^[21] Para agregar soporte para WPA o WPA2, es posible que sea necesario reemplazar algunos puntos de acceso Wi-Fi antiguos o actualizar su firmware . WPA fue diseñado como una solución provisional implementable por software para WEP que podría prevenir la implementación inmediata de nuevo hardware. ^[22] Sin embargo, TKIP (la base de WPA) ha llegado al final de su vida útil diseñada, ha sido parcialmente roto y ha sido oficialmente descontinuado con el lanzamiento del estándar 802.11-2012. ^[23]

Se implementaron correcciones no estándar

WEP2

Esta mejora provisional de WEP estaba presente en algunos de los primeros borradores de 802.11i. Se podía implementar en algunos equipos (no todos) que no podían manejar WPA o WPA2, y ampliaba tanto el IV como los valores de clave a 128 bits. ^[8] Se esperaba eliminar la deficiencia del IV duplicado, así como detener los ataques de clave por fuerza bruta .

Después de que quedó claro que el algoritmo WEP en general era deficiente (y no sólo el IV y los tamaños de clave) y que requeriría aún más correcciones, tanto el nombre WEP2 como el algoritmo original se abandonaron. Las dos longitudes de clave extendidas permanecieron en lo que finalmente se convirtió en el TKIP de WPA .

WEP plus

WEPplus, también conocido como WEP+, es una mejora patentada de WEP de Agere Systems (anteriormente una subsidiaria de Lucent Technologies ) que mejora la seguridad de WEP al evitar "IV débiles". ^[24] Solo es completamente eficaz cuando WEPplus se utiliza en ambos extremos de la conexión inalámbrica. Como esto no se puede aplicar fácilmente, sigue siendo una limitación grave. Tampoco evita necesariamente los ataques de repetición y es ineficaz contra ataques estadísticos posteriores que no dependen de IV débiles.

WEP dinámico

El WEP dinámico hace referencia a la combinación de la tecnología 802.1x y el Protocolo de autenticación extensible . El WEP dinámico cambia las claves WEP de forma dinámica. Es una función específica del proveedor que ofrecen varios proveedores, como 3Com .

La idea del cambio dinámico se incluyó en 802.11i como parte de TKIP, pero no en el protocolo WEP en sí.

Véase también

• Ataques de cifrado de flujo
• Seguridad inalámbrica
• Acceso protegido a Wi-Fi

Referencias

1. Estándar IEEE para control de acceso al medio (MAC) y especificaciones de capa física (PHY) para redes LAN inalámbricas . IEEE STD 802.11-1997. Noviembre de 1997. págs. 1–445. doi :10.1109/IEEESTD.1997.85951. ISBN 1-55937-935-9.
2. Andrea Bittau; Mark Handley; Joshua Lackey. El último clavo en el ataúd de WEP (PDF) . Simposio IEEE sobre seguridad y privacidad de 2006. doi :10.1109/SP.2006.40. Archivado (PDF) desde el original el 31 de octubre de 2008. Consultado el 16 de marzo de 2008 .
3. "La adopción de la tecnología inalámbrica avanza a pasos agigantados y el cifrado avanzado gana terreno en la era posterior a WEP" (nota de prensa). RSA Security . 14 de junio de 2007. Archivado desde el original el 2 de febrero de 2008. Consultado el 28 de diciembre de 2007 .
4. Fluhrer, Scott; Mantin, Itsik; Shamir, Adi (2001). "Debilidades en el algoritmo de programación de claves de RC4" (PDF) .
5. "¿Qué es una clave WEP?". Archivado desde el original el 17 de abril de 2008. Consultado el 11 de marzo de 2008 .
6. "SolutionBase: 802.11g frente a 802.11b". techrepublic.com . 19 de agosto de 2004.
7. Fitzpatrick, Jason (21 de septiembre de 2016). «La diferencia entre las contraseñas de Wi-Fi WEP, WPA y WPA2». How to Geek . Consultado el 2 de noviembre de 2018 .
8. "WEP2, credibilidad cero". starkrealities.com. Archivado desde el original el 24 de diciembre de 2007. Consultado el 16 de marzo de 2008 .
9. Harwood, Mike (29 de junio de 2009). "Securing Wireless Networks" (Protección de redes inalámbricas). Preparación para el examen CompTIA Network+ N10-004. Certificación de TI de Pearson. pág. 287. ISBN 978-0-7897-3795-3. Consultado el 9 de julio de 2016. WEP es un estándar IEEE introducido en 1997, diseñado para proteger redes 802.11.
10. Walker, Jesse. "Una historia de la seguridad 802.11" (PDF) . Rutgers WINLAB . Intel Corporation. Archivado desde el original (PDF) el 9 de julio de 2016 . Consultado el 9 de julio de 2016 . IEEE Std 802.11-1997 (802.11a) definió la privacidad equivalente por cable (WEP).
11. "WPA Parte 2: IV débiles". informit.com. Archivado desde el original el 2013-05-16 . Consultado el 2008-03-16 .
12. "Un ataque inductivo de texto simple elegido contra WEP/WEP2". cs.umd.edu . Consultado el 16 de marzo de 2008 .
13. IEEE 802.11i-2004: mejoras de seguridad en el control de acceso al medio (MAC) (PDF) . 2004. Archivado desde el original (PDF) el 29 de noviembre de 2007 . Consultado el 18 de diciembre de 2007 .
14. Nikita Borisov ; Ian Goldberg ; David Wagner . Interceptación de comunicaciones móviles: la inseguridad de 802.11 (PDF) . Actas de la 7.ª Conferencia internacional anual sobre informática y redes móviles. doi :10.1145/381677.381695. ISBN 1581134223Archivado desde el original (PDF) el 1 de octubre de 2006. Consultado el 12 de septiembre de 2006 .
15. Cam-Winget, Nancy; Housley, Russ; Wagner, David; Walker, Jesse (mayo de 2003). "Fallas de seguridad en los protocolos de enlace de datos 802.11" (PDF) . Comunicaciones de la ACM . 46 (5): 35–39. doi :10.1145/769800.769823. S2CID  3132937.
16. "Funciones inalámbricas". www.smallnetbuilder.com .
17. Tews, Erik; Weinmann, Ralf-Philipp; Pyshkin, Andrei. "Rompiendo WEP de 104 bits en menos de 60 segundos" (PDF) .
18. Greenemeier, Larry (9 de mayo de 2007). "El robo de datos de TJ Maxx probablemente se deba a 'wardriving' inalámbrico". Information Week . Archivado desde el original el 15 de junio de 2013. Consultado el 3 de septiembre de 2012 .
19. Lisa Phifer. "El ataque del café con leche: cómo funciona y cómo bloquearlo". wi-fiplanet.com . Consultado el 21 de marzo de 2008 .
20. "Café con leche y una cobertura gratuita de WEP descifrado: cómo recuperar claves WEP de los guerreros de la carretera". Archivado desde el original el 11 de mayo de 2015. Consultado el 21 de marzo de 2008 .
21. "Actualización de 802.11b: Cómo mejorar la seguridad de su red WLAN". networkmagazineindia.com. Archivado desde el original el 24 de marzo de 2008. Consultado el 16 de marzo de 2008 .
22. "Seguridad de redes inalámbricas" (PDF) . Proxim Wireless . Archivado desde el original (PDF) el 2009-02-06 . Consultado el 2008-03-16 .
23. "Lista de problemas de 802.11mb v12" (excel) . 20 de enero de 2009. pág. CID 98. El uso de TKIP está en desuso. El algoritmo TKIP no es adecuado para los fines de esta norma.
24. "Agere Systems es el primero en resolver el problema de privacidad equivalente a la de las redes LAN inalámbricas por cable; un nuevo software impide la creación de claves WEP débiles". Business Wire . 12 de noviembre de 2001 . Consultado el 16 de marzo de 2008 .

Enlaces externos

• La evolución de la seguridad inalámbrica 802.11, por Kevin Benton, 18 de abril de 2010 Archivado el 2 de marzo de 2016 en Wayback Machine