Todo lo que debes saber acerca de la llegada de WPA3, Wi-Fi Easy Connect y Wi-fi Enhanced Open

jueves, 25 de octubre de 2018

Hace aproximadamente un año, precisamente por estas fechas, el panorama de la seguridad se veía sacudido por un descubrimiento de envergadura. Mathy Vanhoef, un investigador belga cuyo nombre pasará a los anales de la historia, revelaba al mundo una serie de vulnerabilidades descubiertas sobre el protocolo WPA2, que ponían en entredicho la seguridad de todas las redes inalámbricas del planeta.

Hablamos de los Key Reinstallation Attacks, más conocidos por el acrónimo “Krack Attacks”. Se trata de una serie de vulnerabilidades que afectaban a la implementación del 4-way handshake, el mecanismo utilizado durante el proceso de autenticación en una red con WPA2. El handshake garantiza que tanto cliente como punto de acceso conocen la contraseña de acceso a la red y establecen una comunicación segura mediante la generación de una clave de sesión. Durante 14 años, este handshake había permanecido ajeno a ningún tipo de ataque, además de haber sido formalmente probado como seguro.




Los Krack Attacks, sin embargo, vinieron a demostrar que tanto el 4-way como otros handshakes eran vulnerables a un ataque de reinstalación de clave. Mediante la manipulación y repetición de paquetes, un atacante puede forzar a un cliente a reinstalar una clave ya en uso. Al reinstalar dicha clave, se reinician los contadores nonce y el replay counter que se utilizan para evitar que dos paquetes sean cifrados con la misma “keystream”. Esto quiere decir que dependiendo de las circunstancias un atacante podría descifrar utilizando estadística algunos paquetes de datos de manera arbitraria, así como en otros casos inyectar también tráfico malicioso. Por otra parte, este ataque es realmente devastador para algunas versiones de Android. En estos casos, los dispositivos al reinstalar la clave la inicializan a cero, por lo que no hace falta romper los paquetes por estadística, sino que al reinstalar una “All-zero-Key” es posible descifrar todos los datos transmitidos por el dispositivo en cuestión.

Como ya hemos comentado, además del 4-way había otros handhsakes afectados. Si tienes interés de profundizar acerca de los Krack Attacks y su implicación, puedes ver el vídeo de la charla que impartí en las XI Jornadas del CCN-CERT que incluye una demo en directo de la vulnerabilidad.



Pese a que efectuar el ataque en un escenario real no es trivial pues requiere de ciertas condiciones como la implementación de un channel-based MITM, los Krack Attacks cuestionaron la continuidad del protocolo WPA2, que había sido considerado como un estándar seguro durante más de una década.

Todo esto motivó que desde la Wifi Alliance se anunciase a principios del presente año la llegada de nuevas mejoras que garantizaran la seguridad de las comunicaciones inalámbricas de los usuarios. Esto se traduce en la llegada del WPA3, cuya especificación ha visto la luz el pasado mes de junio y que hemos comentado en nuestro #11PathsTalks de hace unos pocos días.

WPA-3 Certified Program
Lo primero que debemos de aclarar para evitar cualquier tipo de confusión, es que el WPA3 no es un nuevo estándar o protocolo. En su lugar, se trata de un programa de certificación que especifica los estándares y protocolos que un producto debe soportar. Si dicho producto implementa correctamente estos estándares, podrá llevar la etiqueta de “Wi-Fi Certified WPA3”.

Básicamente, esta etiqueta indica que un dispositivo ha pasado una completa batería de pruebas y cumple una serie de requisitos, que lo hacen compatible con otros dispositivos que también hayan obtenido la certificación WPA3. La seguridad en WPA3 continúa con dos modos de operación: WPA3-Personal para redes domésticas y WPA3-Enterprise para entornos corporativos que requieran de mayor seguridad.

¿Cuáles son entonces las funcionalidades que un dispositivo WPA3 debe soportar?

En el comunicado de prensa inicial de la Wifi Alliance de enero se anunciaban cuatro importantes mejoras entre redes personal y enterprise como parte de la certificación WPA3:
  • La primera de ellas y de la que más se ha oído hablar, es la de ofrecer protección robusta a ataques de diccionario incluso cuando los usuarios elijan contraseñas débiles.
  • Otra destinada a simplificar la configuración de seguridad a la hora de añadir a una red dispositivos nuevos con interfaz de visualización limitada o que directamente no dispongan de ella.
  • La tercera dirigida a reforzar la privacidad de los usuarios que navegan en redes abiertas mediante técnicas de cifrado individualizado de los datos. 
  • La cuarta y última, que también ha sido comentada es la del incremento del tamaño de clave a 192 bits.
Una vez publicada la especificación final en junio, veamos en qué han quedado estas mejoras y cómo se han implementado.

WPA3-Personal: Protección robusta contra contraseñas débiles
Para ofrecer esta funcionalidad, en WPA-3 personal las redes domésticas protegidas por una contraseña, que hasta hora han utilizado autenticación Pre-Shared Key (PSK) pasarán a utilizar el Simultaneous Authentication of Equals (SAE) handshake.

Se trata de una variante del handshake Dragonfly definido en el RFC 7664. Entre otras mejoras, este handshake es resistente a ataques de diccionario offline. En las redes WPA3-personal que utilizan SAE, la única manera de que un atacante obtenga la contraseña es mediante repetidos intentos reales de autenticación en los cuales sólo es posible probar una contraseña por iteración. Con la introducción de este handshake se ha incrementado considerablemente la seguridad en este aspecto, en contraste con las redes WPA2 que sí que eran vulnerables a ataques offline de diccionario.

Otra de las grandes diferencias con respecto al WPA2 es que el uso de este handshake garantiza que, si en algún momento un atacante obtiene la contraseña de la red, no es posible utilizarla para descifrar el tráfico previamente capturado. En una red con WPA2 sí que era posible obtener la clave de sesión a partir de la contraseña de la red capturando los paquetes del handshake, y descifrar el tráfico antiguo.

Por último, y como ya se ha comentado, gracias al uso de este handshake resistente a ataques de diccionario, los usuarios podrán establecer contraseñas sencillas de recordar que no tengan necesariamente que cumplir los habituales requisitos en cuanto a longitud y complejidad.

Protected Management Frames y WPA3-Personal Transition Mode
Otra de las características técnicas que traerá consigo WPA3 es el uso obligatorio de los Protected Management Frames (PMF). Ofrecen protección para tramas de gestión unicast y multicast. Los PMF ya eran opcionales en WPA2 y desde el principio del presente año es obligatoria su implementación en dicho estándar. Entre otras ventajas, este tipo de tramas ofrecen protección contra ataques de de-autenticación.

Por otra parte, cuando los usuarios empiecen a adoptar WPA3 en sus redes personales, pueden aprovecharse de la funcionalidad WPA3-Personal Transition Mode, definida en la especificación del WPA3. Este modo de transición permite una migración gradual en una red a WPA3-Personal manteniendo la interoperabilidad con dispositivos WPA2-Personal para de este modo no interrumpir el servicio a los usuarios.

Para ello, un punto de acceso WPA3-Personal en modo transición habilita WPA2-Personal y WPA3-Personal simultáneamente para poder dar servicio a dispositivos tanto WPA2 como WPA3 con la misma passphrase. Los dispositivos que soporten ambos modos se conectarán utilizando el método que ofrece mayor seguridad, esto es el WPA3 cuando esté disponible. Para poder garantizar la interoperabilidad con aquellos dispositivos que no soporten aún PMF, el modo de transición WPA3 configura la red de tal modo que el uso de este tipo de tramas es opcional en lugar de obligatorio.

Wi-fi Easy Connect: Configuración sencilla de seguridad para nuevos dispositivos
La funcionalidad que la Wifi-Alliance anunciaba respecto a la configuración sencilla para añadir a una red nuevos dispositivos de forma segura estará certificada por el programa Wi-fi Certified Easy Connect. Con él se pretende reducir la complejidad y mejorar la experiencia de usuario a la vez que incorporar los más altos estándares de seguridad.

Para poder configurar un dispositivo, bastará con escanear el código QR del producto para habilitar su uso en una red Wifi. Esto será posible mediante el protocolo DPP (Device Proivisioning Protocol) desarrollado por la Wi-fi Alliance. El dispositivo seleccionado se considera con el rol configurador y el resto con el de suscriptores. El usuario establece una conexión segura con un dispositivo suscriptor escaneando el código QR del dispositivo configurador o introduciendo una cadena asociada con dicho dispositivo. Esto pone en marcha el protocolo y automáticamente aprovisiona al suscriptor con las credenciales necesarias para acceder a la red. Para la autenticación segura se utiliza criptografía de clave pública.

Wi-fi Enhanced Open: Garantizar la privacidad en redes abiertas
Mediante el programa de certificación Wi-Fi Certified Enhanced Open, se proporciona protección contra la monitorización pasiva de tráfico por parte de terceros en una red abierta, sin la necesidad de requerir una contraseña o pasos adicionales para unirse a la red. Se basa en el uso de OWE (Opportunistic Wireless Encryption) definido en el RFC 8110, y proporciona mecanismos de cifrado para proveer a cada usuario con un cifrado individual que protege el intercambio de datos entre el dispositivo y la red inalámbrica.

WPA3-Enterprise: Tamaño de clave de 192 bits
En WPA3-Enterprise no se modifica ni reemplaza ninguno de los protocolos definidos en el WPA2-Enterprise. En su lugar, simplemente se definen políticas para proporcionar mayor consistencia en la aplicación de dichos protocolos. Entre dichas políticas, tenemos que, para entornos sensibles, la versión Enterprise de WPA3 permite utilizar un tamaño de clave de 192 bits. Pero esto es algo opcional.

Aclaración: Wi-Fi Easy Connect y Wi-Fi Enhanced Open no son parte de WPA3
Tras haber hecho este recorrido, podemos comprobar que en efecto la Wi-Fi Alliance ha implementado mecanismos para proveer a los usuarios con las funcionalidades anunciadas en enero. Sin embargo, esto nos puede llevar a cierta confusión entre los usuarios. Ya que pese a que en algunas publicaciones y blogs se enumeren estas medidas de seguridad a la hora de hablar de WPA3, lo cierto es que no todas estas funcionalidades y mejoras forman parte del WPA3. Al igual que como ya hemos especificado, el WPA3 no es nuevo estándar, sino un programa de certificación.

Si leemos con atención los párrafos anteriores, veremos que además del WPA3-Personal y WPA3- Enterprise se mencionan Wi-fi Easy Connect y Wi-fi Enhanced Open. Estos dos últimos, como bien hemos señalado, son a su vez dos programas de certificación apartes del “Wi-fi Certified WPA-3”. Es decir, que un dispositivo que esté certificado en WPA3 no tiene por qué también implementar las medidas de seguridad recogidas por los otros dos programas.

Esta es precisamente una de las cosas que lamenta Mathy Vanhoef en un post de su blog que titula “WPA3: A missed opportunity” en el que explica que, pese a que desde la Wifi Alliance se anunciaban cuatro nuevas e importantes mejoras, finalmente sólo una de ellas (el handshake basado en dragonfly) ha resultado ser obligatoria en WPA3. Ya que el resto forman parte de otros programas y el uso del WPA3-Enterprise para un tamaño de clave de 192 bits es opcional, no obligatorio. Es por ello que Vanhoef considera que se ha perdido una oportunidad única de mejorar considerablemente la seguridad de los usuarios, puesto que no será obligatorio implementar todas las medidas descritas.

Por otra parte, pese a que se trate de programas de certificación diferentes, en la práctica podría ser posible que los fabricantes decidan implementar también las funcionalidades especificadas en Wi-fi Easy Connect y Wi-fi Enhanced Open a la hora de industrializar productos certificados bajo WPA3. Sin duda alguna, sería lo deseable. Veremos qué sucede.

Recuerden que pueden escribirnos con preguntas o sugerencias en nuestra comunidad con la intención de crecer juntos compartiendo información, herramientas y puntos de vista.

Deepak Daswani 
CSA - Chief Security Ambassador 

No hay comentarios:

Publicar un comentario