O WEP falha em cada uma das três áreas: confidencialidade, disponibilidade e integridade. Quanto à confidencialidade, existem os ataques da mensagem conhecida, ataque da autenticação da chave compartilhada, ataque da dupla cifragem, ataque do homem do meio e um ataque de dicionário, dentre outros. Quanto à disponibilidade existe uma série de ataques de denial-of-service (DoS). E quanto à integridade, existem alguns ataques de modificação de mensagens [Earle 2006].
Ataque ao Cifrador de Fluxo (Stream Cipher Attack)
Esse primeiro ataque à confidencialidade do WEP é também conhecido como FSM, as iniciais dos autores do artigo que revelou a vulnerabilidade utilizada [Fluhrer et al. 2001]. O ataque já foi imple- mentado nas ferramentas WEPCrack, Airsnort, BSD-AIR Tools e outras. Como o ataque é feito em modo passivo, ele é praticamente impossível de ser detectado. Os dispositivos que executam esse ataque não necessitam transmitir nada, apenas escutar o tráfego da rede no ar [Earle 2006].
Para o ataque funcionar, ele tira proveito de uma quantidade de Vetores de Inicialização (IVs), chamados fracos. O IVs são usados pelo WEP para gerar um chave de fluxo diferente por quadro. Existem aproximadamente 9000 números de IVs interessantes de um total de 16.777.216 disponíveis. Os números de IVs são considerados interessantes se eles têm o valor FF no meio dos seus três gru- pos de dois dígitos hexadecimais, como por exemplo: 3A:FF:5E. Se alguém olhar o pacote IP verá que um cabeçalho 802.2 SNAP é obrigatório. O cabeçalho tem o valor 0x88. Se a mensagem é conhecida e seu correspondente cifrado também, isso permite um ataque de texto plano conhecido, como explicado na próxima seção, e resulta na recuperação de parte da chave. Uma vez que os primeiros bits da chave são conhecidos, descobrir os próximos bits se torna um jogo de adivinhação. O jogo começa com 5 por cento de chance de acerto, mas à medida em que mais bytes da chave são apresentados, a chance de acerto aumenta rapidamente. O artigo [Fluhrer et al. 2001] apresenta mais detalhes sobre a matemática da solução e o artigo [Stubblefield et al. 2002] apresenta como implementar a solução.
Ataque da Mensagem Conhecida (Known Plaintext Attack)
Esse ataque é semelhante ao ponto inicial do ataque FSM. Quando se tem tanto a mensagem aberta como sua correspondente cifrada, é possível aplicar esse ataque e então derivar a chave.
Quando a mensagem é cifrada, o WEP executa operações de XOR para misturar a chave com os dados. O mesmo processo usado para cifrar é usado para decifrar. Se ambas as mensagens são conhecidas, a aberta e a correspondente cifrada, uma operação XOR entre as duas irá revelar a chave. Isto é conhecido como plaintext cryptanalysis attack. Veja a demonstração na Tabela 3.1 [Earle 2006]. 100111010100101010100010101010 <- Mensagem em Aberto XOR 111010010110011101101011010101 <- Chave de Fluxo é igual a 011101000010110111001001111111 <- Mensagem Cifrada 100111010100101010100010101010 <- Mensagem em Aberto XOR 011101000010110111001001111111 <- Mensagem Cifrada é igual a 111010010110011101101011010101 <- Chave de Fluxo
Tabela 3.1: Detalhe da Criptoanálise da Mensagem Conhecida
Um cenário para esse ataque é a autenticação de chave compartilhada, onde o autenticador envia um desafio em texto aberto e espera um texto cifrado para verificar se a estação que quer se autenticar tem a chave compartilhada. Veja o exemplo abaixo, no qual Alice é o usuário legítimo que deseja conectar-se a rede e Malice é um invasor [Earle 2006]:
1. Alice tenta se conectar com a rede.
2. O ponto de acesso envia um desafio em aberto.
3. Alice recebe o desafio, cifra com a chave WEP e envia de volta para o ponto de acesso. 4. O Malice extrai o IV (enviado em aberto) e obtém a chave através de operações de XOR entre
o desafio e a resposta de Alice.
5. Agora o Malice tenta conectar na rede.
6. O ponto de acesso envia um desafio para o Malice.
7. O Malice cifra o desafio com a chave obtida e responde para o ponto de acesso que aceita a resposta como correta.
Ataque da Construção de um Dicionário (Dictionary Building Attack)
Executando o ataque anterior repetidas vezes, é possível coletar informações suficientes para montar um dicionário de chaves de fluxo do WEP. Tendo feito isso, qualquer quadro criptografado com um IV repetido pode ser decriptografado, se a mesma chave secreta do WEP se mantiver por um período longo de tempo. Um dicionário necessitaria de um banco de dados de 24 Gbytes para armazenar todas as possíveis chaves de fluxos para uma única chave secreta WEP, o que é possível armazenar até em um notebook [Earle 2006].
Ataque da Dupla cifragem (Double Encryption Attack)
Esse ataque é possível porque a mesma chave, e também o mesmo processo, é usado tanto para cifrar com para decifrar. Primeiro um quadro com alguma informação valiosa é capturado no ar. A atacante muda o cabeçalho alterando o endereço MAC do destinatário para um outro cliente da rede local sem fios e espera até que o IV seja reiniciado e chegue a um número menor que o IV original. Então o quadro é novamente enviado pelo ar. Quando o ponto de acesso vê tal quadro, com o IV esperado, ele executa o processo de cifragem, o que resultará na decriptação do quadro e o envia pelo ar de forma aberta podendo ser capturado pelo atacante [Earle 2006].
Ataque da Modificação da Mensagem (Message Modification Attack)
No processo do WEP, o ICV é usado para verificar a integridade na mensagem. Por padrão, o ponto de acesso irá desconsiderar um quadro com um ICV errado. Como o ICV é independente da chave secreta ou do IV, fica fácil fazer modificações na mensagem e recalcular o ICV.
Primeiro, o atacante deve capturar um pacote destinado a uma sub-rede diferente da atual. Tal pacote é examinado pelo roteador e se houver algum problema no formato ele é desconsiderado e uma resposta padrão é retornada ao emissor. O atacante altera um único bit na mensagem e a reenvia. O ponto de acesso (AP) irá desconsiderar o pacote e não manterá qualquer registro do ocorrido. O atacante pode então fazer várias tentativas de alterações de bits até que encontre um que o AP aceite como ICV válido. O AP aceita o pacote como válido e o encaminha para o roteador. Este último considera o formato do quadro inválido e responde com uma resposta padrão, que será enviada pelo AP através do ar de forma cifrada. Agora o atacante sabe a resposta padrão e também tem a mensagem cifrada e pode executar um Ataque da Mensagem Conhecida para recuperar a chave de fluxo [Earle 2006].
Ataque de Denial-of-Service (DoS)
Uma das características encontradas em todas as rede 802.11 é a existência de quadros de controle. Esses quadros dizem aos clientes da rede que eles podem conectar ou que eles devem desconectar, por exemplo. Um quadro de desautenticação irá desassociar um cliente do seu ponto de acesso. No WEP, estes quadros são transmitidos em aberto. Qualquer um pode então forçar usuários legítimos da rede a se desassociarem. Alguém pode simplesmente capturar o último quadro de desautenticação e reenviá-lo. Tudo o que é requerido é a habilidade de emitir um quadro de desautenticação a um cliente wireless. Uma ferramenta chamada WLAN-JACK pode executar tal tarefa. Repetindo o reenvio com uma certa freqüência, o atacante pode impedir que o cliente tenha acesso à rede. [Earle 2006].