2012년 01월 11일
WPS ER모드의 취약성
WPS 스펙에 의하면 가장 널리 사용되는 8자리 PIN를 만들기 위해서는 첫 7자리를 결정한후 이 숫자들을 체크섬함수에 넣고 나온 결과를 마지막 자리에 넣는다. 따라서 전체 가능한 경우의 수는 10^7 = 10,000,000이 된다. 하지만 EAP상으로 첫 네자리를 확인하는 것이 가능하기때문에 실제로 해킹에 필요한 전체 경우의 수는 10^4 + 10^3 = 11,000으로 줄어들게 된다. 만일 락다운기능(잘못된 PIN으로 시도했을 경우 AP가 일정시간동안 락다운)이 비활성화 되어 있고 매 30초마다 시도가 가능하다고 가정하면 평균 11,000 * 0.5 분 / 2 = 이틀, 그리고 최대 11,000 * 0.5 분 = 나흘 만에 해킹이 가능하다는 결론이 나온다.
그리고, 브로드컴 장비의 경우, lockdown기능이 기본설정으로 비활성화되어 있고, 이를 활성화시키더라도 lockdown period의 기본값이 300 초 = 5 분으로 설정되어 있다. 결국, 이 기능이 활성화되어 있을 경우, 해킹하는데 평균 11,000 * 5 분 / 2 = 27,500 분 = 458 시간 = 약 19 일이 걸리게 된다. 이 경우, 비록 lockdown 기능이 비활성화된 경우보다 10배의 시간이 걸리지만, 일반사용자가 AP PIN을 거의 바꿀일이 없거나 바꿀수 없도록 hardcode되어 있거나, 아니면 아예 AP PIN이 뭔지도 모르는 경우가 대부분이라는 사실을 생각하면 결코 긴 시간이 아니다.
이미 Wi-Fi Alliance에서는 이를 막기위한 토론을 진행중에 있는데, (1) an exponential lockout, (2) a “permanent” lockout after a certain number of failed attempts, (3) a requirement that the user positively act to enable static AP PINs for a time-limited period 등의 옵션을 고려중에 있다. 커스터머들도 그 옵션이 들어간 새로운 WPS 2.x 스펙이 나오기 전까지 ER모드를 일시적으로 Disable 시켜줄 것을 요청하고 있기도 하다.
# by | 2012/01/11 03:38 | Embedded System | 트랙백 | 덧글(0)



