Взлом WiFi

=============================================================================
* Area : RU.COMPUTERRA
* From : News Robot, 2:5030/1256 (10-Oct-09 18:19:12)
* To : All
* Subj : Атака c воздуха
=============================================================================
Компьютерра
_____________________________________________________________________

Атака c воздуха

Опубликовано: 10.10.2009, 11:00


В новостях, касающихся информационных технологий, мелькает много
всякой всячины, однако порой попадаются такие известия,
проигнорировать которые просто невозможно. Особенно людям,
интересующимся проблемами инфобезопасности. Как вам, например,
такая страшилка: "Одноминутный взлом WiFi -- новая угроза защите
WPA"?

Каждому, кто хотя бы в общих чертах имеет представление о
сильной криптографической системе wpa, защищающей информацию в
беспроводных сетях WiFi, новость о её взломе, да ещё
"одноминутном" должно показаться очень значительным событием,
требующим к себе самого пристального внимания. Потому что столь
впечатляющая компрометация вполне серьёзной системы -- это
обычно сигнал либо о появлении каких-то новых высокоэффективных
методов атаки, либо о выявлении ранее неизвестной слабости,
невольно или умышленно заложенной в криптосистему её
создателями.

Впрочем, в нынешней истории со взломом WPA дела обстоят не столь
драматично. Кое-какой вред защищённым сетям WiFi злоумышленники
действительно могут нанести, причём и вправду уложившись в
минуту, тем не менее говорить о взломе криптографии и реальном
доступе к сетевому трафику пока преждевременно. Чтобы понять
суть того, в чем же заключается новая атака против WiFi,
разработанная двумя японскими студентами, потребуется поближе
познакомиться с общей историей эволюции защиты в беспроводных
сетях. А также, соответственно, и с основными атаками, эту
эволюцию направлявшими.

*Хроника укрепления защиты WiFi*

Семейство стандартов IEEE 802.11 (в миру известных как WiFi и
разработанных к концу 1990-х годов для широкого спектра
беспроводных компьютерных сетей -- от частных владений до офисов
и предприятий) благодаря своим удобствам быстро обрело широкую
популярность. Обратной стороной популярности тут же стал и
повышенный интерес к несанкционированному использованию
коммуникационных WiFi-ресурсов, хищению информации из подобных
сетей и прочим злоупотреблениям.

Входящий в спецификации 802.11 базовый механизм для защиты
данных в таких сетях получил название Wired Equivalent Privacy
(WEP), то есть "Приватность, эквивалентная проводной связи". Уже
из названия предполагалось, что речь идет не то чтобы о реально
серьёзной защите, а примерно о таком же уровне безопасности, что
предоставляет обычная проводная Ethernet. Где все данные в общем
случае передаются в открытом виде, но для доступа к ним
посторонних лиц необходимы определенные манипуляции с техникой и
протоколами.

И подобно тому, как умельцы без труда подключаются к
Ethernet-сетям для перехвата и шпионажа, так и специалисты
быстро преодолели защиту WEP. Слабости конструкции WEP уже в
2001 году позволили группе исследователей из университетов и
индустрии (Fluhrer, Mantin, Shamir) взломать эту систему защиты.
Криптоаналитики продемонстрировали, что атакующая сторона,
располагающая всего лишь средненьким ноутбуком, может
восстановить секретный криптоключ в сети всего за один-два часа.
В последующие годы было разработано и опубликовано несколько
усовершенствованных методик взлома, так что теперь нападающим
хватало и 60 секунд (в публичной демонстрации на одной из
конференций по безопасности в 2007 году всё было сделано за 3
секунды).

Иначе говоря, защита WEP отпугивала лишь случайно подключавшихся
к WiFi-сети посторонних, а серьёзным злоумышленникам стало уже
без разницы, включено в настройках шифрование или нет.

Дабы изменить столь печальную ситуацию, IEEE сформировала
рабочую группу 802.11i и поставила перед ней задачу: заменить
WEP на что-то более сильное и в то же время совместимое с уже
эксплуатирующимся оборудованием. В итоге эта группа выдала два
отдельных решения: одно, так сказать, с оглядкой назад, а второе
-- устремлённое в будущее.

Принимая во внимание проданное оборудование, члены 802.11I
сделали так, чтобы все уже вышедшие с фабрик WiFi-устройства
(начиная с 1999 года) можно было оснастить новой системой защиты
TKIP (Temporal Key Integrity Protocol, "Временный протокол для
целостности ключей"). Конструкция TKIP позволяла обеспечить
совместимость со старыми WiFi-картами программно -- через
обновление драйверов и прошивок. По понятным причинам это
сделали в самую первую очередь, и к началу 2003 года TKIP был
включен в новый стандарт WiFi-защиты, получивший название WPA
(Wi-Fi Protected Access, "Защищенный доступ к WiFi").

Помимо этого группа 802.11i разработала WPA2 -- более сильное
решение для будущих версий WiFi, -- добавив в комплект
криптосистему на основе надежного алгоритма AES с длинным ключом
и особым режимом работы, обеспечивающим дополнительную защиту
целостности передаваемых данных. Этот режим носит сокращенное
название CCMP, что расшифровывается довольно замысловатой
цепочкой слов типа Counter Mode with CBC-MAC Protocol. Разбирать
в подробностях тонкости функционирования этого режима здесь вряд
ли к месту, но можно отметить, что в таком варианте AES
обеспечивает как шифрование пакетов данных, так и их целостность
(то есть защищает канал от внедрения поддельных пакетов).

Когда эта разработка была завершена, Альянс WiFi выпустил
обновленную версию стандарта -- WPA2. И если первый WPA
подразумевал лишь шифрование TKIP, то в WPA2 требуется поддержка
обоих алгоритмов, TKIP и AES. Практически все WiFi-устройства,
выпущенные с начала 2003 года, предусматривают модификацию до
работы с AES. Hачиная же с марта 2006 года Альянс WiFi сделал
поддержку WPA2 обязательной для всех сертифицированных
WiFi-устройств.

Все эти телодвижения, казалось бы, должны обещать быстрый и
безболезненный переход к гораздо более стойкой защите
беспроводных коммуникаций. Тем не менее несколько потенциальных
слабостей, общих у WPA и WPA2, оставляют лазейки для взломщиков.

*Атака перебором ключей*

Одна из таких слабостей носит название PSK. Упрощенный режим
использования ключей PSK (от Pre-Shared Key, что можно перевести
как "общий заранее установленный ключ"), также именуемый
"Персональным режимом", предназначен для домашних сетей и сетей
небольших организаций, где неудобно и не принято управлять
множеством ключей с помощью мудрёных серверов аутентификации
802.1х.

При использовании PSK каждое WiFi-устройство шифрует сетевой
трафик с помощью 256-битного ключа. Этот ключ можно вводить либо
как последовательность из 64 шестнадцатеричных цифр, либо -- что
удобнее для человека -- как парольную фразу из "клавиатурных"
символов кода ASCII длиной от 8 до 63 знаков. Если используется
код ASCII, то 256 бит ключа вычисляются из парольной фразы с
помощью стандартной криптографической функции PBKDF2,
добавляющей к паролю идентификатор сети SSID и проводящей 4096
битовых "замесов" с помощью хеш-преобразования.

Увы, даже при таких мерах усложнения режим PSK, общеупотребимый
в WPA, нередко оказывается уязвимым для словарных атак перебором
паролей -- если, конечно, пользователь применяет слабую
парольную фразу. Слабость ключа на основе фиксированного пароля,
в общем-то, самоочевидна для любой криптосистемы и лечится с
помощью общеизвестных в компьютерной безопасности средств, типа
выбора более длинных и менее предсказуемых парольных фраз. Как
показывает опыт, для противостояния подобным атакам в условиях
PSK обычно бывает достаточно выбирать для пароля случайный набор
знаков с длиной начиная от тринадцати произвольных символов,
разрешенных клавиатурой.

*Тяжкое наследие прошлого*

Менее заметной и потому потенциально более опасной выглядит
другая врожденная слабость WPA2, встроенная в систему как
возможность для обратной криптосовместимости с ранее выпущенными
WiFi-устройствами. А именно: сделав криптоалгоритм TKIP в
составе WPA и WPA2 совместимым с адаптерами, поддерживающими
давно взломанный WEP, Альянс WiFi этим шагом оставил, по сути,
прореху, которую постепенно удается расширять для организации
достаточно серьёзных атак.

В частности, осенью 2008 года на PACSEC, проходившей в Токио
конференции Тихоокеанского региона по компьютерной безопасности,
выступил немецкий аспирант Эрик Тьюз (Erik Tews) из Технического
университета Дармштадта, который представил аудитории первую в
своем роде практическую атаку против WPA1. Эту атаку Тьюз
разработал в тесном сотрудничестве с другим немецким хакером,
Мартином Беком (Martin Beck), студентом Дрезденского
университета и членом известной исследовательской команды
Aircrack-NG, занимающейся проблемами взлома WiFi. В работе Бека
и Тьюза был показан метод для усиления уже известной прежде
атаки против wep, а на этой основе им удалось ослабить и защиту
WPA -- вбив своего рода клин в узкую щель криптосхемы TKIP,
после "расширения" которой оказалось возможным встраивать в
зашифрованный сетевой трафик поддельные пакеты. Такие пакеты,
если их умело сформировать, могут вызвать в атакованной сети
нешуточные проблемы.

Обнаруженная в TKIP дыра связана с контрольными суммами, которые
используются для обеспечения целостности и правильности
передаваемых данных. Общий механизм работы контрольных сумм
выглядит примерно так: берут последовательность битов, которые
надлежит передать, применяют к ним некое известное
преобразование для получения короткого проверочного результата и
добавляют этот результат в конец передаваемой
последовательности. Проверочное преобразование устроено таким
образом, что позволяет выявлять ошибочные биты или места
пропусков в пакете данных.

В сетях WiFi, где при беспроводной передаче относительно велики
шансы потерять бит или получить его искажённым, контрольные
суммы постоянно используются как для выявления ошибок при
приёме, так и для обеспечения целостности пакетов. Если
содержимое пакета изменилось, а контрольная сумма осталась
прежней, получатель может установить, что пакет на пути своего
следования был подделан.

В исходном алгоритме защиты wep подобные идеи хоть и были
заложены, но совершенно не срабатывали. Поскольку контрольная
сумма там была выбрана откровенно слабой, хакеры-криптоаналитики
вскоре разработали инструментарий, позволяющий менять данные в
пакетах и вычислять для них новую контрольную сумму, выдавая
фальшивый пакет за подлинный. Тьюз и Бек в своей работе
привлекли один из подобных инструментов, именуемый Chopchop и
позволяющий "быстрым-быстрым" подбором расшифровывать отдельные
пакеты вообще без восстановления WEP-ключа. Именно эта программа
и послужила своего рода плацдармом для расширения атаки на WPA.

Суть метода Chopchop заключается в следующем. Алгоритм
расшифровывает пакет побайтно, отсекая по одному байту с конца и
корректируя контрольную сумму так, как будто этот байт был 0,
потом 1Е и так до 256 (алгоритм формирования контрольной суммы
известен, и она не шифруется). Затем Chopchop отсылает каждый
модифицированный пакет точке доступа, а та, в свою очередь,
отвергает пакеты, для которых контрольная сумма не подходит.
Таким образом, за 256 попыток передачи один байт дешифруемого
пакета гарантированно подбирается. После этого Chopchop
переходит к подбору следующего байта. Принципиально важно то,
что протокол WEP не запрещает бесконечное тестирование вариантов
в таком режиме -- здесь нет никаких мер защиты от подобных
злоупотреблений.

Атака Chopchop + QoS

Эта очевидная проблема WEP в протоколе TKIP решается путём
добавления второго уровня проверки целостности -- через так
называемый MIC (Message Integrity Code, "Код целостности
сообщения"), в данном случае именуемый Michael. Этот "Майкл"
реализует куда лучше сконструированную контрольную сумму,
которая, как и поле данных, шифруется. Теперь, дабы
предотвратить тривиальную атаку Chopchop, клиент реагирует сразу
же, как только получает две неверные контрольные суммы MIC в
интервале 60 секунд. В ответ на это подозрительное событие
клиент отключается на одну минуту, а затем требует нового обмена
ключами с точкой доступа. Точка доступа при обнаружении
аналогичной ситуации тоже отключается на 60 секунд, а затем
обновляет ключи для каждого из своих клиентов. (В стандарте
802.11I допускается, чтобы новые мастер-ключи создавались по
запросу без изменения начальной парольной фразы или сетевого
ключа.)

Именно в этом нюансе Мартин Бек углядел слабое место и придумал
хитрую уловку для обмана протокола. А именно: поскольку
механизмы защиты WEP и TKIP используются один после другого,
причём код Michael содержится внутри пакета, который проверяется
контрольной суммой более слабого метода WEP, то можно попытаться
взламывать пакет таким образом, чтобы быстро использовать
Chopchop и при этом не запускать контрмеры со стороны MIC.
Коллега Бека, Эрик Тьюз, заметил, что в очень коротких пакетах,
вроде рассылки arp (то есть информации, которая ассоциирует
IP-адрес с MAC-адресом локальной сети Ethernet), остаётся очень
мало места для гадания и опробования догадок. В случае пакета
arp, поясняет Тьюз, заранее известно почти всё содержимое -- за
исключением всего двух байтов IP-адреса в собственно
информационной части и еще 12 байтов в проверочной части: 8
байтов для кода MIC и 4 байтов для контрольной суммы WEP.

В такой ситуации, перебирая контрольные суммы WEP и Michael
через Chopchop, разные значения двух оставшихся байтов оказалось
возможным тестировать каждые 60 секунд, не вызывая остановки
сеанса связи и смены ключей. В среднем, установили
исследователи, на получение нужных значений требуется от 12 до
15 минут.

Hа этом Бек и Тьюз, однако, не остановились. Описанная выше
техника, позволяющая восстановить точное содержимое исходного
пакета, одновременно предоставляет фрагмент использованной
шифрующей последовательности. А значит, накладывая эту
шифр-последовательность на собственные данные, злоумышленники
могут подделывать пакеты. В принципе, TKIP имеет механизмы
(счётчикового типа) для предотвращения повторного использования
шифра. Hо Мартин Бек обнаружил, что благодаря еще одному
стандарту, а именно 802.11e, имеется-таки способ для повторного
использования шифр-последовательности, что позволяет многократно
-- от семи до пятнадцати раз -- ретранслировать фальшивые пакеты
с данными, сфабрикованными злоумышленниками.

Такую возможность в стандарте 802.11e предоставляет сервис QoS
(Quality of Service, "Качество обслуживания"), обычно
используемый для задания приоритетов сетевым пакетам. Эта
сервисная возможность была встроена в WiFi таким образом, чтобы
пакеты, требующие максимально быстрой доставки -- в частности,
речевые пакеты, -- могли проходить через сеть в первую очередь.
Однако это удобство аукнулось тем, что с работой очередей
оказалась связана и возможность многократного использования
одной и той же шифр-последовательности. То есть, аккуратно
отправляя поддельные пакеты из разных очередей, удается избегать
запуска счётчика для защиты от повторов шифра. Используя разные
тонкости в работе QoS по стандарту 802.11e, Тьюз и Бек показали,
что в принципе имеется возможность отправить от 8 до16
поддельных пакетов, защищённых одной и той же
шифр-последовательностью.

Hа практике это означает, что можно реализовать несколько типов
атак против WIFI, защищённой средствами WPA. Hапример,
становится тривиальной задача по "отравлению ARP", то есть
внесению хаоса в работу сети, ассоциируя IP-адрес с совсем
другими Ethernet- или WiFi-адаптерами. Или, скажем, становится
возможным обман межсетевых экранов, которые блокируют лишь
входящие (из Интернета в локальную сеть) соединения, поскольку
поддельный ARP-пакет создает впечатление, будто запрос исходит
от одной из машин локальной сети. Ещё один возможный сценарий:
"отравление ARP" позволяет сканировать весь трафик внутренней
сети компании и вылавливать любую информацию, в том числе
логины-пароли (правда здесь потребуется инсайдер с монитором
трафика).

Демонстрируя все эти результаты на PacSec-2008, Эрик Тьюз
подчеркнул, что чересчур волноваться по данному поводу вряд ли
имеет смысл, поскольку информация в сети, защищённой WPA, в
целом остается в безопасности. Ибо алгоритм TKIP как таковой
по-прежнему остался невскрытым, а что реально удалось получить
-- так это лишь короткий фрагмент шифр-последовательности без
восстановления криптоключа, использованного для её генерации.

Атака "человек посередине"

Hе прошло и года после откровений Тьюза-Бека, как Тосихиро
Охигаси из Хиросимского университета и Масакату Мори из
Университета Кобе (Toshihiro Ohigashi, Masakatu Morii) заметно
превзошли достижение немцев. Те же самые действия, к тому же без
опоры на сервис QoS, занимают теперь около минуты.

Понятно, что подделка отдельных коротких пакетов в сети,
защищённой системой TKIP, не тянет на полный взлом защиты wpa
(как кричали о том газетные заголовки). Hовый метод японцев
по-прежнему не позволяет вскрывать собственно ключ шифрования
wpa и читать зашифрованные им потоки данных.

Главная особенность атаки, разработанной японцами, -- это
творческое развитие метода Бека-Тьюза применительно к ситуациям
типа "человек посередине". В своей статье2 Охигаси и Мори
описывают схему, в которой компьютер-клиент и точка доступа WiFi
разнесены так далеко, что общаются не напрямую, а через
компьютер-посредник, имеющий более мощный сигнал и принадлежащий
атакующей стороне. Посредник действует как ретранслятор,
передающий пакеты трафика в обоих направлениях. Когда надлежит
послать поддельные пакеты, противник выполняет стандартную атаку
типа Chopchop применительно к подходящему короткому пакету,
вскрывает его 64-битный MIC, а затем может смастерить пакет
такого вида, который требуется злоумышленнику. Hовый пакет
кодируется с надлежащими проверочными суммами и передается в
точку доступа, принимающую его за подлинный.

Как и атака Бека-Тьюза, атака японцев наглядно демонстрирует
небезупречность защиты, однако в целом не угрожает шифрованию
потока данных в сетях WiFi. Понятно, что оба метода подчеркивают
слабости криптографии, основанной на алгоритме TKIP, который был
разработан для срочного латания самых вопиющих дыр в защите WEP.
Однако красить эту новость только в чёрный цвет все равно нет
оснований, поскольку уже имеющиеся в WiFi-устройствах средства
шифрования давно готовы к подобному повороту событий.

Протокол WPA2 с шифрованием на основе криптоалгоритма AES
является обязательным стандартом во всех WIFI-продуктах начиная
с 2006 года и на сегодняшний день не продемонстрировал абсолютно
ничего похожего на подобные слабости. Так что для надежной
защиты остается лишь выбрать нужные опции в настройках
беспроводной сети.

В случае домашней сети или сети небольшого офиса можно
рекомендовать:

> в качестве "имени сети", SSID, выбрать нечто уникальное и
характерное только для вас, дабы защититься от взлома сетевого
ключа (куда подмешивается SSID) лобовыми методами словарного
перебора;

> в поле "режим безопасности" (Security Mode) выбрать WPA2;

> в поле "управление ключами" (PSK/EAP) выбрать PSK (про выбор
длинной и случайной парольной фразы в PSK уже говорилось);

> в поле "тип шифра" (Cipher Type) выбрать AES.

При таких настройках безопасности (если маршрутизатор и сетевые
адаптеры достаточно новые, то есть совместимые) защита должна
быть максимально прочной.


_____________________________________________________________________

Оригинал статьи на http://pda.computerra.ru/?action=article&id=466302

=============================================================================
---
* Origin: 2:5020/1823.2, /2613.5, /1317.8, /2173.2 (2:5020/1823.2)