1.  
INFORMATION
SYSTEMS SECURITY
Company Proprietary and Confidential
WPS
(Wi-Fi Protected Setup)

2. มาตรฐานเพื่อให้ง่ายต่อการตั้งค่าการรักษาความปลอดภัยบนระบบเครือข่ายแบบอัตโนมัติ ที่จะช่วย
ลดความซับซ้อนของการกาหนดค่าการรักษาความปลอดภัยของ wireless home network ให้กับ
user ที่ไม่มีความรู้เรื่อง wireless security หรือมีความรู้เพียงเบื้องต้น แต่การใช้วิธีนี้อาจถูกโจมตีได้
จากการทา Brute-Force attacks ได้ถ้าตัว access point ไม่ได้มีการทาการป้ องกันการ
โจมตีแบบนี้ไว้ (PIN lockout features)

3. 1. Personal Information Number (PIN) method
วิธีนี้ผู้ใช้จะป้ อน PIN ที่ได้มาจาก client device และกด “enroll”
จากนั้น WPS จะเริ่มทางานบน client device จาก wireless utility หรือ
WPS application ภายใน 2 นาที

4. 2. Push-Button-Connect (PBC) method
วิธีนี้ไม่จาเป็นต้องใช้ PIN หรือรหัสผ่าน จะใช้ปุ่มที่อยู่บน router ในการเชื่อมต่อระหว่างตัวส่ง
และตัวรับสัญญาณ โดยที่ทั้งตัวส่งและรับจาเป็นจะต้องใช้ระบบ WPS เหมือนกัน วิธีการคือ เมื่อต้องการ
เชื่อมต่อกับ AP จะแสดงสัญลักษณ์ดังรูปที่ [1] จากนั้นก็กดที่ปุ่ม WPS หรือ QSS บนตัว AP

7. Extensible Authentication Protocol, หรือ EAP เป็นเฟรมเวิร์คสาหรับการยืนยัน
ตัวตนแบบ P2P ที่ใช้อย่างแพร่หลายและมีอยู่หลากหลายประเภท
สาหรับ EAPนั้น เฟรมเวิร์คของมันจะทาการส่งข้อมูลและพารามิเตอร์ต่างๆโดยถูกgenerate ด้วย EAP
methods
ซึ่งใน WPS นั้น ใช้ EAP Expanded Type

9. จากข้อมูลข้างต้นจะเห็นได้ว่าการทางานของ WPS นั้นใช้ PIN เป็น
ตัวเลข 8 ตัวในการตรวจสอบจึงทาให้เราสามารถสร้างการโจมตีด้วยการ brute -
force attacks ไปเรื่อยๆจน PIN นั้นถูกซึ่งการโดยทั่วไปจะพบว่า PIN
ทั้งหมดมีอยู่
ถึง 10^8 = 10,000,000 PIN แต่จากรูปที่แสดงจะพบว่า

10. PIN จะถูกแบ่งออกเป็น 2 ส่วนคือ 4 ตัวแรกกับ 4 ตัวหลัง ดังนั้นค่า PIN ที่
เป็นไปได้จึงเท่ากับ
10^4 + 10^4 = 10,000 + 10,000 = 20,000 PIN
แต่ PIN ตัวสุดท้ายใช้สาหรับการ check sum ดังนั้นค่า PIN ที่เป็นไปได้
จริงๆจึงเท่ากับ
10^4 + 10^3 = 10,000 + 1,000 =
11,000 PIN

11. และเรายังพบว่าการตรวจสอบPIN ของ WPS นั้น จะทาการตรวจสอบทีละครึ่ง หาก
ครึ่งไหนผิดก็จะถูกตอบNACKกลับมา ดังนั้นจึงใช้วิธี brute force ไปเรื่อยๆจนPINผ่าน
ทั้งสองส่วนแล้ว ในmessageที่7นั้น จะมีส่วนของ ConfigData ที่เก็บข้อมูลเกี่ยวกับ
WLANซึ่งเป็นช่องโหว่ให้เราได้ทาการดึงรหัสออกมา
ซึ่งจากการทดลองพบว่าเราสามารถตรวจสอบ PIN ได้ในเวลาประมาณ 3 วินาที /
PIN ซึ่งกรณีแย่ที่สุดคือ
3*11,000 = 33,000 วินาที
33,000 / 3,600 = 9.1 ชั่วโมงเท่านั้น

14. เมื่อมีการค้นพบช่องโหว่นี้ สาหรับ Access Point บางรุ่นได้มีการ
ปล่อยอัพเดท Firmware ตัวใหม่ออกมาซึ่งได้มีการเพิ่ม PIN lockout
features มาทาให้ช่วยป้ องกันการ brute force ได้ส่วนหนึ่งและยังป้ องกัน
การโจมตี DOS Access Point ได้อีกด้วยแต่ถ้าหาก Access Point
ที่ยังไม่ได้มีการอัพเดท User สามารถสั่งปิดโหมด WPS ได้ที่หน้า Setting
ของ Access Point เพื่อป้ องกันการ brute force attack

15. การที่เราทราบรหัสแล้วสามารถเข้าตัว router ได้จะทาให้ผู้บุกรุกสามารถรู้รายละเอียดระบบ
network ของเราและสามารถดักจับข้อมูลที่เราส่งออกไปได้ทั้งหมดทาให้ข้อมูลต่างๆของเราไม่
ปลอดภัยอย่างมากเรื่องจากสามารถดักจับ packet ที่เราส่งออกไปและทาการแก้ไขหรือดูข้อมูลภายใน
ทาให้รหัสผ่าน หรือ ข้อมูลส่วนตัวถูกทราบได้และถูกนาไปใช้ในทางที่ไม่ดี นอกจากนี้การที่เราทราบรหัสใน
การเข้าถึงทาให้สามารถโดนโจมตีด้วย denial-of-service หรือ DoS ได้ซึ่งส่งผลให้ ตัว
Access Point ค้างทาให้ระบบของเราไม่สามารถทางานได้และต้องทาการซ่อมแซมซึ่งเสียทั้งเวลา
โอกาสในการทาธุรกิจไป รวมทั้งยังทาให้เสียความเชื่อมั่นในระบบและบริการของเราว่าข้อมูลส่วนตัวจะ
ปลอดภัยหรือไม่หากทางานกับเรา

16. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-5053
http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf
https://supportforums.cisco.com/docs/DOC-24651
http://www.wildpackets.com/resources/compendium/wireless_lan/wlan_packet_types
16