miércoles, febrero 09, 2011

SeguridadWireless.net y la publicación del patrón de claves WPA de las redes WLAN_XXXX y JAZZTEL_XXXX de Movistar y Jazztel

El presente artículo es un comunicado desde SeguridadWireless.Net a petición suya para esclarecer el asunto de la publicación del algoritmo utilizado para generar las contraseñas por defecto en routers Comtrend de redes Movistar y Jazztel.

Comunicado desde SeguridadWireless: El pasado viernes 4 de febrero se desveló el patrón que usan los routers Comtrend, por defecto, para averiguar la contraseña de manera rápida y sencilla. Con tan solo conocer el nombre de la red y la dirección MAC del punto de acceso es posible averiguar la contraseña por defecto de la red WiFi. Teniendo en cuenta que la mayoría de la gente deja la contraseña por defecto, se calcula que más de 1 millón de routers están afectados por esta grave vulnerabilidad.

Seguridadwireless.net, en adelante SW, descubrió dicho patrón (algoritmo) el 24 de noviembre de 2010 y notificó vía e-mail al vendedor Comtrend de la existencia del bug el 1 de diciembre de 2010 sin respuesta alguna. Tras volver a contactar con Comtrend el pasado 8 de diciembre de 2010 y no obtener ninguna respuesta, finalmente, el 15 de diciembre de 2010, se publica en SW el fallo, pero sin desvelar el algoritmo, aunque se facilita en la web una herramienta en PHP para generar la contraseña.

El mismo día que se hizo pública se retiró todo lo publicado tras recibir una llamada de un responsable de la compañía Comtrend que, de buenas maneras, es decir, de forma cordial, deseaba hablar del asunto con los responsables de SW. Tras analizar la gravedad del asunto, y pensando en la seguridad final de los usuarios se organizó una reunión presencial en Madrid, entre Comtrend y representantes de SW, donde se firma un documento DNA (Non-disclosure agreement).

SW recibe múltiples críticas sobre el hecho de haber quitado la información, se habla de censura, de presiones, incluso de dinero. SW decide hacer una comunicado donde se explica que está trabajando de manera conjunta con Comtrend para solucionar el problema y que, dada la gravedad del asunto, cree que lo más conveniente es no publicar la vulnerabilidad pese a las críticas. No se dan más explicaciones y varios usuarios disconformes con esta política deciden investigar por su cuenta el fallo con las pistas otorgadas por SW.

Finalmente, un anónimo, decide publicar el viernes 4 de febrero varias herramientas, en diferentes lenguajes: php, bash, python, etcétera, con el código fuente, donde se puede ver el patrón con la cadena clave para descubrir la contraseña, todo ello sin estar solucionado el problema.

Desde SW pensamos que es una irresponsabilidad actuar de esta manera, y no hace más que perjudicar al usuario final. Se acusa injustamente a SW de no ayudar en el tema cuando pensamos que hemos actuado de la mejor manera ética y correcta, y nuestro único fallo ha sido no explicar con claridad todos los detalles del entramado.

Diversos medios de reconocido prestigio en el mundo de la seguridad se hacen ecos de la noticia, y sin mala intención, publican, bajo el punto de vista de SW, información inexacta o no completa sobre lo ocurrido y, por ese motivo (entre otros), se decide redactar este nuevo escrito.

En el anterior comunicado oficial, SW deja muy claro sus intenciones, su postura de no "robar wifi" y su compromiso con el estudio de cifrados de manera seria y responsable, tal y como se ha demostrado avisando con antelación al fabricante y respetando un acuerdo firmado.

Lamentamos la confusión generada y que las circunstanciás hayan hecho que no se haya publicado y desvelado la noticia del patrón tal y como no hubiera gustado. Consideramos que hemos hecho lo correcto dada la gravedad del asunto y hemos preferido ser prudentes en lugar de ser los primeros en publicar el fallo. Nuestro objetivo fue siempre que hubiera una solución y aviso por parte del fabricante a sus clientesantes de que se hiciera público el problema y evitar, en la medida de lo posible, que estas redes WiFi se utilicen para cometer delitos.

Queremos dejar muy claro que SW no ha sacado ningún beneficio económico, ni ha intentando sacar dinero, ni ha sido "comprado su silencio", tal y como se ha especulado falsamente. SW no ha sacado ningún beneficio del acuerdo firmando con Comtrend, excepto el de la satisfacción de reportar de manera altruista un grave fallo de seguridad.

En breve daremos detalles técnicos del descubrimiento del fallo y de todo el proceso, pero mientras tanto instamos a todos los usuarios de este tipo de redes a realizar un cambio de la contraseña por defecto, algo que es fácil de implementar y que incrementa la seguridad de la red WiFi personal.

Mientras tanto desde SW seguiremos trabajando en las herramientas de auditoría y seguridad Wifislax/Wifiway, con nuestro compromiso de hacer una Internet más segura y siguiendo los principios éticos básicos de la comunidad SW. Esperamos vuestra participación y nos despedimos esperando que hayan quedado resueltos algunos interrogantes que se han planteado en los últimos días.


SW Staff.

20 comentarios:

  1. Esto me huele a nueva versión de Airscript...

    ResponderEliminar
  2. Diversos medios de reconocido prestigio en el mundo de la seguridad se hacen ecos de las noticia, entre ellos Hispasec, s21sec y SbD, y sin mala intención, publican, bajo el punto de vista de SW, información inexacta o no completa sobre lo ocurrido y, por ese motivo (entre otros), se decide redactar este nuevo escrito.

    Sbd, de lo que se hizo eco en primer lugar en su twitter fue de la URL que contenía el script, al igual que hizo con la página de seguridadwireless cuando en un primer lugar lo publicaron ellos. Si publicas, y luego quitas, es lo que hay, no haber publicado en un primer momento lo que se publicó, nada de versiones trial ni demos. Haber tenido un NDA interior también y no dejar a los usuarios a medias en un primer momento. Seguidamente, SBD publicó un artículo por parte de un colaborador que aprovechaba tal algoritmo para realizar una función...casualmente como hacen el 98% de los scripts que le dan valor a distribuciones tipo wifiway/wifislax.

    Saludos, Full-Disclosure quizás no, pero Temuestrolachichaunsegundoyluegoloquito-Disclosure, menos todavía.

    ResponderEliminar
  3. entonces qué hago, borro los hackers.txt de los equipos de todos mis vecinos???

    ResponderEliminar
  4. Me voy a permitir el lugo de re-redactar el comunicado:

    "Eh, que nosotros descubrimos el fallo, es miii tesoooorooo, los otros nos lo han robaaado. El mérito es nuestro :D. En realidad no lo publicamos porque firmamos un NDA pero nos moríamos de ganas de hacerlo. Este comunicado-manifiesto es para reivindicarnos."

    Y cómo era esperado, otros lo han publicado, quedándose SW a dos velas.

    ResponderEliminar
  5. Sobre un párrafo del avisolegal en seguridadwireless:

    O ¿como te sentirías si te robasen el coche porque a un gracioso se le ocurrió decirle al mundo entero como crear una llave maestra que abriese tu modelo de coche sin dar tiempo a que tu marca te pusiese una solución? hay que ser civilizados.

    Reformulo la pregunta:

    O ¿como te sentirías si te robasen el coche porque a un gracioso se le ocurrió montar un local sin ánimo de lucro durante una mañana y darle al mundo la oportunidad que diciéndole el modelo del coche te genere una llave con la que luego abrir tu modelo sin dar tiempo a que tu marca te pusiese una solución, y seguidamente desmantelar dicha tienda? hay que ser civilizados.

    ResponderEliminar
  6. Excusatio non petita..
    Lamentable SW. Ni sí ni no ni lo contrario. El ego y el responsible disclosure a veces no se llevan bien.

    ResponderEliminar
  7. La culpa es de los usuarios, que visten a sus routers como Guti.

    9/2/11 12:08 AM


    Maligno dijo...

    double-comment-fake!!!
    Esto por usar un patrón tan feo. ;)

    ResponderEliminar
  8. qué cutre, no me ha salido bien...

    9/2/11 8:04 AM


    Maligno dijo...

    Ya te digo, vaya cagada :P

    ResponderEliminar
  9. Planteo aquí la misma duda que en la lista de correo de la rootedcon

    ---
    Pese a mis pocas ganas e interés, ya he leído el comunicado.

    ¿Puedes explicarnos por qué se menciona SbD en esta entrada?

    Me gustaría que al igual que se ha hecho con s21sec e hispasec, copiases
    el texto dónde nosotros hemos hecho un análisis incorrecto de lo
    sucedido.

    http://www.needofsecurity.com.ar/2011/02/fallo-de-seguridad-en-el-router.html?spref=tw

    ResponderEliminar
  10. Creo que es la primera vez que me censuran un comentario en este blog. Estoy perplejo.

    ResponderEliminar
  11. @anónimo, yo no censuro nada. Estaba en Spam... ha sido Google }:))

    ResponderEliminar
  12. ¿Y qué solución podemos aplicar al respecto si los proveedores nos resetean la configuración del router cada 2 por 3 sin avisar? Porque a veces se me olvida revisar la configuración del router durante 1 o 2 semanas y frecuentemente me encuentro que vuelvo a tener la wifi activada.

    ResponderEliminar
  13. @Gaizko
    Prueba a deshabilitar SNMP en la interfaz WAN, cámbiale el password de administrador y, si te vuelven a resetear la config, ponles en un aprieto preguntándoles cómo lo han hecho je je je

    saludos!

    ResponderEliminar
  14. SW lo ha hecho muy muy mal....pide datos a los usuarios para luego quedarselos ellos.... el trabajo es de los usuarios y no de los admins!

    ResponderEliminar
  15. Yo creo que saldrá una nueva versión de airscript próximamente.

    Un saludo
    Enrique Robles

    ResponderEliminar
  16. "SW lo ha hecho muy muy mal....pide datos a los usuarios para luego quedarselos ellos.... el trabajo es de los usuarios y no de los admins!"

    ¿El enviar un dato? ¿Se lo han quedado?

    Hasta donde leo lo van a liberar luego, que tu quieras colgarte del wifi de tu vecino es distinto

    ResponderEliminar
  17. @Alejandro Ramos

    Diversos medios de reconocido prestigio en el mundo de la seguridad se hacen ecos de las noticia, entre ellos Hispasec, s21sec y SbD, y sin mala intención, publican, bajo el punto de vista de SW, información inexacta o no completa sobre lo ocurrido y, por ese motivo (entre otros), se decide redactar este nuevo escrito.

    Esta frase la esribí yo sin ninguna mala intención pero parece que he "ofendido". Lo siento, no era mi intención, creo que me expliqué mal. Quería decir que diversos medios "sin querer" y por culpa de la falta de información de SeguridadWireless.net no habían publicado toda la información completa, pero no que fuera culpa suya o que fuera inexacta por su culpa.

    Mis disculpas a SbD.

    ResponderEliminar
  18. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  19. Lo había leído hace un tiempo en XatakaOn.com
    Lo malo de esto es que hay mucha gente que no sabe ni lo que es un router, simplemente sabe que tiene Internet ...

    Saludilloss!!! ;)

    PD: aparece un comentario eliminado porque puse "salIdilloss" en vez de "SalUdilloss" ... en fin, sin comentarios ... :P

    ResponderEliminar
  20. Al ver esto, y buscar un poquito me encuentro con esta página http://vps.eatshosting.com/mirror/
    y la han dedicado a SW.
    Como está la cosaaa oigaaa.
    Un saludo.

    ResponderEliminar