Vysoká škola ekonomická v Praze
Fakulta informatiky a statistiky
Penetrační testování Wi-Fi sítí
DIPLOMOVÁ PRÁCE
Studijní program: Aplikovaná informatika Studijní obor: Informační systémy a technologie
Autor: Bc. Martin Jungmann
Vedoucí diplomové práce: Ing. Tomáš Klíma, Ph.D.
Praha, prosinec 2020
Prohlášení
Prohlašuji, že jsem diplomovou práci Penetrační testování Wi-Fi sítí vypracoval samostatně za použití v práci uvedených pramenů a literatury.
V Praze dne 5. prosince. 2020 ...
Bc. Martin Jungmann
Poděkování
Rád bych poděkoval panu Ing. Tomáši Klímovi, Ph.D. za odborné vedení mé diplomové práce a za poskytnuté cenné rady.
Mé poděkování též patří všem, kteří mne v průběhu studia podporovali, především pak mé rodině.
Abstrakt
Tato diplomová práce se zabývá problematikou zabezpečení Wi-Fi sítí a aplikací metodiky penetračního testování pro ověření bezpečnosti bezdrátových sítí. Autor na základě analýzy standardů a architektury Wi-Fi, zabezpečení Wi-Fi sítí a metodiky pro penetrační testování vytvořil návrh pro provedení penetračního testu domácí Wi-Fi sítě, která je obdobou sítě používané malými firmami nebo živnostníky. Tento návrh penetračního testu sám realizoval za využití volně dostupných nástrojů s cílem identifikovat zranitelnosti takové Wi-Fi sítě. Dále provedl zhodnocení výsledků testů, včetně doporučení vhodných opatření pro zlepšení bezpečnosti testované sítě, čímž prokázal praktickou aplikovatelnost metodiky na konkrétním příkladu.
Klíčová slova
Wi-Fi, zabezpečení Wi-Fi, IEEE 802.11, penetrační testování, metodika penetračního testování, Kali Linux
Abstract
This thesis concerns itself with the problematics of Wi-Fi networks security and application of methodology of penetration testing for wireless network security verification. On the basis of analysis of standards and architecture of Wi-Fi, security of Wi-Fi networks and methodology for penetration testing, author prepared the proposal for a penetration test of a home Wi-Fi network. This type of Wi-Fi network is also used by small companies and entrepreneurs. This proposal was realised using freely available tools, with the goal to identify the vulnerability of the network. Author also provided test results evaluation, including measurements for network security improvements, thereby demonstrated penetration testing methodology on a specific case.
Keywords
Wi-Fi, Wi-Fi security, IEEE 802.11, penetration testing, penetration testing methodology, Kali Linux
Obsah
Úvod ... 12
1 Standardy a architektura Wi-Fi sítí ... 13
1.1 Standard IEEE 802.11 ... 13
1.1.1 IEEE 802.11a... 13
1.1.2 IEEE 802.11b ... 13
1.1.3 IEEE 802.11e ...14
1.1.4 IEEE 802.11g ...14
1.1.5 IEEE 802.11i ...14
1.1.6 IEEE 802.11r ...14
1.1.7 IEEE 802.1x ... 15
1.2 Architektura Wi-Fi sítí ... 15
1.2.1 Autentizace, asociace a de-asociace u Wi-Fi ...16
2 Analýza zabezpečení Wi-Fi sítí ... 17
2.1 WEP ... 17
2.1.1 Slabiny WEP ... 18
2.1.2 Techniky prolomení WEP ...19
2.2 WPA ... 27
2.2.1 WPA-TKIP ... 27
2.2.2 Slabiny WPA-TKIP ... 28
2.2.3 Útoky postranními kanály vůči WPA-TKIP ... 29
2.3 WPA2 ... 34
2.3.1 WPA2-CCMP ... 34
2.3.2 Robust Security Networks (RSN) ... 35
2.3.3 Slabiny WPA2-CCMP ... 39
2.3.4 Techniky prolomení WPA/WPA2 ...41
2.4 WPA3 ... 53
2.4.1 Wi-Fi Enhanced Open ... 53
2.4.2 WPA3 osobní ... 53
2.4.3 WPA3 podnikové ... 54
2.4.4 Slabiny WPA3 – DragonBlood ... 54
3 Analýza metodiky pro penetrační testování bezdrátových sítí ... 56
3.1 NIST 800-115 ... 57
3.2 OSSTMM (The Open Source Security Testing Methodology Manual) ... 57
3.3 PTES (The Penetration Testing Execution Standard) ... 58
3.4 Využití metodiky k penetračnímu testu domácí sítě ... 58
4 Návrh a provedení penetračního testu domácí Wi-Fi sítě na základě analýzy v kapitole 3. ... 59
4.1 Návrh penetračního testu pro domácí Wi-Fi sítě ... 59
4.1.1 Průzkum (sběr informací) ... 59
4.1.2 Prolomení autentizace sítě ... 60
4.1.3 Penetrační útoky ... 60
4.1.4 Útoky na straně klienta ... 60
4.1.5 Skenování sítě ... 60
4.1.6 Posouzení zranitelnosti ... 60
4.1.7 Použití zranitelnosti a analýza dat ...61
4.2 Exekuce penetračního testu ...61
4.2.1 Průzkum (sběr informací) ... 62
4.2.2 Prolomení autentizace sítě ... 62
4.2.3 Penetrační útoky ... 62
4.2.4 Útoky na straně klienta ... 63
4.2.5 Skenování sítě... 63
4.2.6 Posouzení zranitelností ... 63
4.2.7 Použití zranitelnosti a analýza dat ... 64
5 Zhodnocení výsledků penetračního testu ve vztahu k použité metodice. ... 66
Závěr ... 67
Použitá literatura ... 68 Přílohy ... I Příloha A: Interaktivní opakování paketů, metoda -p 0841 ... I Příloha B: Využití Evil Twin a Rouge AP k útokům MITM ... III Příloha C: Instalace potřebných nástrojů k útoku PMKID ... IV Příloha D: Detailní dokumentace penetračního testu ... V Příloha E: Soupis použitých nástrojů k analýze a penetračnímu testování Wi-Fi sítí ... XVI
Seznam obrázků
Obrázek 1: Princip fungování architektury Wi-Fi sítě, zdroj (10) ...16
Obrázek 2: Proces fungování WEP, zdroj (14) ... 18
Obrázek 3: Monitorovací mód, zdroj autor ... 20
Obrázek 4: Sken Wi-Fi sítí, zdroj autor ... 20
Obrázek 5: Aktivní odposlech Wi-Fi sítě, zdroj autor ... 21
Obrázek 6: Shrnutí útoku ARP Replay, zdroj autor ... 22
Obrázek 7: Průběh útoku chopchop, zdroj autor ... 24
Obrázek 8: Shrnutí útoku chopchop, zdroj autor ... 25
Obrázek 9: Fragmentační útok, zdroj autor ... 27
Obrázek 10: Šifrovací proces rámce TKIP, zdroj (14) ... 28
Obrázek 11: Proces šifrování pomocí CCMP, zdroj (14) ... 35
Obrázek 12: Párová hierarchie klíčů, zdroj (14) ... 36
Obrázek 13: Hierarchie skupinového klíče, zdroj (14) ... 37
Obrázek 14: Výměna klíčů handshake, zdroj (14) ... 37
Obrázek 15: Útok MITM – zneužití ARP, zdroj autor ...41
Obrázek 16: Skenování Wi-Fi programem airodump-ng, zdroj autor ... 42
Obrázek 17: Odchycení WPA handshake, zdroj autor ... 42
Obrázek 18: Prolomení PSK pomocí Aircrack-ng, zdroj autor ... 43
Obrázek 19: Vytvoření hascat souboru, zdroj autor ... 44
Obrázek 20: Prolomení hesla použitím programu hashcat, zdroj autor ... 44
Obrázek 21: Použití Rainbow Table k prolomení hesla, zdroj autor ... 46
Obrázek 22: Výstup program hcxdumptool, zdroj autor ... 48
Obrázek 23: Převod odchyceného handshaku do hashe pomocí nástroje hcxpcapngtool, zdroj autor ... 49
Obrázek 24: Kontrola a prolomení hashe, zdroj autor ... 49
Obrázek 25: Skenování sítí používajících WPS, zdroj autor ... 51
Obrázek 26: Prolomení WPA skrze WPS, zdroj autor ... 51
Obrázek 27: Prolomení WPS při změně hesla i PINu, zdroj autor... 52
Obrázek 28: Schéma penetračního testu, zdroj autor ...61 Obrázek 29: Shrnutí útoku metoda -p 0841, zdroj autor ... II Obrázek 30: Skenování sítí pro útok Evil Twin, zdroj autor ... III Obrázek 31: Podvržení sítě legitimní MJU_TestAP, zdroj autor ... IV Obrázek 32: Přepnutí síťové karty do monitorovacího režimu, zdroj autor ... V Obrázek 33: Cílová síť odpovídající zadání penetračního testu, zdroj autor ... V Obrázek 34: Odposlech testované sítě, zdroj autor ... VI Obrázek 35: Skenování sítí implementujících WPS, zdroj autor ... VI Obrázek 36: Získání přistupových údajů k testované síti zneužitím WPS, zdroj autor. .... VII Obrázek 37: Připojení k testované síti, zdroj autor ... VIII Obrázek 38: Výpis síťových zařízení dle Nmap, zdroj autor ... VIII Obrázek 39: Nastavení útoku MITM pomocí programu Ettercap, zdroj autor ... IX Obrázek 40: Program Setoolkit, zdroj autor ... X Obrázek 41: Podvržená přihlašovací stránka, zdroj autor ... XI Obrázek 42: Odchycené přihlašovací údaje z podvržené stránky, zdroj autor ... XI Obrázek 43: Obraný mechanismus HTST, zdroj autor ... XII
Obrázek 44: Výpis ARP tabulky při útoku MITM, zdroj autor ... XII Obrázek 45: Podvržení přihlašovací stránky routeru, zdroj autor ... XII Obrázek 46: Získání přistupu do managementu routeru, zdroj autor ... XIII Obrázek 47: Útok reverzním shellem, zdroj autor ... XIV Obrázek 48: Vynucené stažení a instalace aplikace, zdroj autor... XIV Obrázek 49: Převzetí kontroly nad androidem pomocí meterpreter, zdroj autor ... XV
Seznam zkratek
AES Advanced Encryption Standard (standard pokročilého šifrování) AP Access Point (přístupový bod)
ARP Address Resolution Protocol (síťový protokol pro zjišťování MAC adres) BSSID Basic Service Set Identifier (MAC adresa přístupového bodu)
CCMP Counter Cipher Mode with Block Chaining Message Authentication Code Protocol (šifrovacího protokol pro bezdrátové sítě)
DDoS Distributed Denail of Service (odepření služby - přehlcení cílové služby) DoS Denail of Service (odepření služby)
EAP Extensible Authentication Protocol (autentizační protokol)
EAPOL Extensible Authentication Protocol over LAN (autentizační protokol pro sítě W/LAN)
ESSID Extended Service Set Identifier (název sítě Wi-Fi)
HTTP Hyper Text Transfer Protokol (internetový protokol určený pro výměnu hypertextových dokumentů ve formátu HTML)
HTTPS Hyper Text Transfer Protokol Secured (protokol umožňující zabezpečenou komunikaci v počítačové síti)
IEEE Institute of Electrical and Electronics Engineers (Institut pro elektrotechnické a elektronické inženýrství)
IV Initialization Vector (inicializační vektor) IP Internet Protocol (protokol internetu) LAN Local Are Network (lokální síť)
MAC address Media Access Control address (fyzická adresa zařízení)
MIC Michael Integrity Check (algoritmus Michael pro ověření integrity)
MITM Man In The Middle (zachycení komunikace mezi dvěma systémy tzv. „člověk uprostřed“)
OS Operating System (operační systém) PSK Pre-Shared Key (sdílený klíč)
PMK Pairwise Master Key (hlavní párový klíč)
PMKID Pairwise Master Key Identifier (jedinečný identifikátor hlavního párového klíče)
QoS Quality of Service (Kvalita datových toků/služeb) RC4 Stream cipher (kryptografická proudová šifra)
TCP Transmission Control Protocol (přenosový protokol transportní vrstvy) TKIP Temporal Key Integrity Protocol (bezpečnostní protokol v rámci zabezpečení
WPA)
WEP Wired Equivalent Privacy (bezpečnostní protokol pro WLAN sítě) Wi-Fi Wireless Fidelity (bezdrátová síť)
WLAN Wireless Local Area Network (bezdrátová lokální síť) WPA Wi-Fi Protected Access (chráněný přístup k Wi-Fi)
WPA2 Wi-Fi Protected Access (chráněný přístup k Wi-Fi verze 2) WPA3 Wi-Fi Protected Access (chráněný přístup k Wi-Fi verze 3)
WPS Wi-Fi Protected Setup (metoda zjednodušující přístup do bezdrátové sítě)
Úvod
Bezdrátové sítě nás obklopují již dlouhou řadu let. Pro svou jednoduchost a flexibilitu se Wi-Fi sítě oproti klasickým drátovým (LAN) sítím staly velmi populární nejen v podnicích, ale především v domácnostech. Jejich nenáročná konfigurace, obsluha a používání však přináší celou řadu potencionálních hrozeb, kterým mohou být jejich uživatelé vystaveni.
Většina bezdrátových sítí využívá služby standardu IEEE 802.11, z bezpečnostního hlediska konkrétně dodatek 802.11i, který byl uveden do praxe v roce 2004 a byl pouze minimálně aktualizován. Za tuto dobu se však vyvinula řada technik a útoků, které při nesprávném nastavení bezdrátového bodu vedou ke snadnému prolomení nebo obejití jeho zabezpečení.
Firmy si k zajištění a ověření bezpečnosti nejen bezdrátových sítí najímají odborníky na provedení penetračních testů a bezpečnostních auditů. Ovšem nejen podnikové Wi-Fi sítě jsou zranitelné.
Stejně tak jsou zranitelné sítě, které používají drobní podnikatelé, živnostníci či domácnosti, neboť přes ně též dochází k přenosu citlivých údajů. Objem a citlivost komunikace z domácností narůstá (v letošním roce umocněno situací ohledně COVID-19 a prací z domova, tzv. home-office). Navíc útočníci jsou si vědomi, že domácí Wi-Fi sítě nebudou pravděpodobně auditovány nebo penetračně testovány (neboť jsou s tím spojeny relativně významné náklady), a tím pádem nebudou dostatečně zabezpečeny.
V diplomové práci je provedena analýza možností penetračního testování domácí Wi-Fi sítě, jejíž konfigurace je obdobná té, kterou využívají drobní podnikatelé či živnostníci pro svoji činnost. Hlavním přínosem práce je však návrh penetrační testu pro ověření bezpečnosti domácích bezdrátových sítí při použití volně dostupných nástrojů (Open source) a jeho praktické ověření (návrh reálného penetračního testu, jeho exekuce a vyhodnocení).
1 Standardy a architektura Wi-Fi sítí
V úvodu této kapitoly jsou popsány vybrané standardy IEEE 802.11, na které přímo navazuje další část Analýza zabezpečení Wi-Fi sítí. Dále je zde stručně popsána struktura a hlavní komponenty bezdrátové sítě.
1.1 Standard IEEE 802.11
V roce 1997 byl přijat první standard pro WLAN sítě, který byl aktualizován v roce 1999.
Standard definuje bezdrátovou síť v pásmu 2,4 GHz s rychlostí 1 až 2 MHz. Cílem standardu je popsat síť WLAN, která poskytuje služby dříve užívané v drátových sítích, jako například:
vysokou propustnost, spolehlivost při přenosu dat a stálou konektivitu. Při použití sítě dle standardu bylo možné zvolit metodu modulace s přeskoky kmitočtu FHSS1 nebo metodu přímé sekvence DSSS2. (1) (2) (3)
Architektura IEEE 802.11 je navržena, aby podporovala sítě, kde je většina rozhodujících úloh rozdělena do mobilních stanic. Tento koncept zahrnuje několik důležitých komponent:
stanice, přístupový bod, základní služby, bezdrátové medium, distribuční systém a rozšířené služby. (1) (3)
1.1.1 IEEE 802.11a
Definuje bezdrátovou síť o frekvenci okolo 5 GHz a umožňuje přenášet data až rychlostí 54 Mbps. Tento standard je používán hlavně v mimoevropských zemích především ve Spojených státech amerických. Hlavní výhodou standardu oproti IEEE 802.11b je vyšší přenosová rychlost. Síť je však náchylnější na rušení a disponuje menším dosahem.
V oblasti 5 GHz je možný provoz podle VO-R/12/09.2010-12 a VO-R/10/01.2019-1 v pásmu 5,15–5,35 GHz (pouze uvnitř budov). V pásmu 5,470–5,725 GHz, což platí pro standard IEEE 802.11a, je nutný malý výkon (25 mW e.i.r.p3.), který je platný i v pásmu 5,725–5,875 GHz. (4) (5) (3)
1.1.2 IEEE 802.11b
Jedná se o bezdrátovou síť ve frekvenčním pásmu 2,4 GHz o rychlosti až 11 Mbps. Standard je implementován pro většinu zemí Evropské unie. V České republice je upraven Českým telekomunikačním úřadem podle norem VO-R/12/09.2010-12 a VO-R/10/01.2019-1. (6) (5) (3)
1 Frequency Hopping Spread Spectrum (metoda přenosu v rozprostřeném spektru)
2 Direct Sequence Spread Spectrum (technika přímého rozprostřeného spektra)
3 Ekvivaletní izotropně vyzářený výkon
1.1.3 IEEE 802.11e
802.11e je součástí standardu 802.11, který definuje sadu funkcí označovanou jako kvalita služeb (QoS) aplikovanou v bezdrátových sítích LAN prostřednictvím úprav vrstvy MAC.
802.11e nabízí uživatelům vysokorychlostní přístup k internetu s vysoce kvalitním přenosem videa a zvuk známý jako VoIP (Voice over Internet Protocol). Sítě využívající standard 802.11e pracují na rádiových frekvencích v rozmezí 2,4 GHz až 2,4835 GHz nebo 5,75 GHz až 5,850 GHz. Tento vyšší frekvenční rozsah odpovídá výhodám jako je více kanálů, vysoká rychlost přenosu dat a menší šance na rušení. (7)
1.1.4 IEEE 802.11g
Standard slučuje standardy IEEE 802.11a a IEEE 802.11b tím, že do pásma o frekvenci 2,4 GHz zavádí modulační metodu OFDM, která svými parametry nahrazuje FHSS i DSSS.
Touto metodou lze dosáhnout přenosové rychlosti až 54 Mbps. Standard 802.11g zároveň zachovává zpětnou kompatibilitu pro zařízení pracující podle IEEE 802.11b. (6) (3)
1.1.5 IEEE 802.11i
Rozšiřuje původní standard IEEE 802.11 o bezpečnostní mechanizmy pro bezdrátové sítě.
Definuje TKIP a CCMP, které poskytují robustnější mechanismy ochrany přenášených údajů, zároveň definuje protokoly správy přidruženého zabezpečení nazvané 4-Way Handshake a Group Key Handshake. Dále specifikuje, jak může být IEEE 802.1X využit pro LAN autentizaci v rámci standardu IEEE 802.11. (8) (3)
Původně se jednalo o definování zabezpečení typu WEP v roce 1999, které po svém prolomení bylo nahrazeno robustnějšími mechanizmy na šifrování komunikace.
Nevyhovující protokol WEP nahradil protokol TKIP, který byl implementován jako součást WPA. V roce 2004 došlo k implementaci protokolu CCMP, který je součástí WPA2. Od roku 2006 musí standard IEEE 802.11i implementovat všechna zařízení podléhající certifikaci Wi-Fi. (8) (3)
1.1.6 IEEE 802.11r
Standard IEEE 802.11r je doplňkem standardu IEEE 802.11, který popisuje mechanismy známé jako rychlé přechody skrze vrstvu BSS (Basic Service Set), v angličtině označovaný jako Fast BSS Transition (často zkráceně Fast Transition nebo FT). Pomocí této funkce může mobilní zařízení obnovit stávající bezpečnostní mechanizmy (PSK nebo ověřovací metody protokolu 802.1X) a zachovat QoS parametry před opětovným připojením k novému AP. Tyto mechanismy jsou označovány jako rychlé, protože se snaží výrazně zkrátit dobu přerušení připojení mezi mobilním zařízením a infrastrukturou Wi-Fi, když se toto mobilní zařízení připojuje k novému zařízení AP. Proces odpojení od jedné AP a připojení k jiné AP je formálně označen jako přechod na BSS. Vzhledem k tomu, že jak opětovné přidružení, tak i opětovné ověření jsou časově kritické procesy. Odstranění časově náročných výměn zpráv mezi mobilním zařízením a infrastrukturou Wi-Fi pomáhá snížit dopad na QoS při přechodu z jedné AP na druhou, zejména v silně zabezpečené Wi-Fi používající 802.1x a EAP jako metody pro ověření. (9)
1.1.7 IEEE 802.1x
„802.1x je obecný bezpečnostní rámec pro všechny typy LAN, zahrnující autentizaci uživatelů, integritu zpráv (šifrováním) a distribuci klíčů. Ověřování se u WLAN realizuje na úrovni portů přístupového bodu WLAN (protokol ale není specifický pro bezdrátové sítě). 802.1x má za cíl blokovat přístup k segmentu lokální sítě pro neoprávněné uživatele.
Ověřování ve WLAN provádí přístupový bod pro klienty na základě jejich výzvy pomocí seznamu nebo externího autentizačního systému (serveru Kerberos nebo RADIUS (Remote Authentication Dial In User Service). Pouze ověřený uživatel má možnost přístupu k bezdrátové síti. K šifrování dat v další komunikaci se používají pro každou autentizovanou stanici dynamické klíče. Tyto klíče jsou známy pouze dané stanici, mají omezenou životnost a využívají se k šifrování rámců na daném portu, dokud se stanice neodhlásí nebo neodpojí.“ (4)
1.2 Architektura Wi-Fi sítí
Hlavními fyzickými komponenty jsou: distribuční systém, přístupový bod, bezdrátové médium a stanice. (3)
Stanice – pod pojmem si lze představit jakékoliv zařízení, které lze připojit k bezdrátové síti například: mobilní telefon, tiskárna a laptop. Obecně lze říci, že se jedná o zařízení s vlastní MAC adresou, které obsahuje síťovou kartu nebo síťový adaptér. (1) (3)
Přístupový bod – jedná se o zařízení, ke kterému se připojují koncové stanice. AP poskytuje centralizovaný způsob komunikace. Jeho hlavní úkolem je tvořit most mezi kabelovou a bezdrátovou sítí a směrovat komunikaci v rámci sítě. (4) (3)
Distribuční systém – je v podstatě mechanismus, prostřednictvím kterého se řídí komunikace mezi přístupovými body v rámci rozsáhlejší sítě směrem ke stanicím. Standard IEEE 802.11 nedefinuje žádné omezení nebo způsob, jakým má být DS implementován, pouze že služba DS musí být poskytována v rámci standardu. Zpravidla v komerčních sítích bývá distribuční systém kombinací síťového mostu (bridge) a ethernetu (primární LAN sítě). (1) (4) (3)
Bezdrátové médium – v LAN sítích se jedná o kabelové spojení. V rámci WLAN je tedy přenosovým médiem vzduch, konkrétně rádiové vlny o frekvenci 2,4 nebo 5 GHz. (4) (3)
Obrázek 1: Princip fungování architektury Wi-Fi sítě, zdroj (10)
1.2.1 Autentizace, asociace a de-asociace u Wi-Fi
Klasické drátové LAN sítě mají tento problém řešený pomocí fyzického propojení mezí koncovým zařízením a AP. Asociace je dána pouhým propojením a není zapotřebí žádné dodatečné ověření, jako je tomu právě u bezdrátových sítí. (3)
Vezmeme-li v potaz architekturu bezdrátové sítě, je jasné, že spojení mezi jednotlivými zařízeními a přístupovým bodem nemůže být fixní. Jelikož se spojení mezi stanicemi a AP většinou dynamicky mění v čase, je nutné fyzické spojení nahradit službou, která bude logické propojení vytvářet. Přístupové body Wi-Fi jsou proto vybaveny funkčnostmi, které spolehlivě dokáží kabelové spojení nahradit. Jedná se především o schopnosti autentizace, asociace a de-asociace. (11) (3)
Autentizace zajišťuje identifikaci koncového zařízení a ověření, že se opravdu jedná o stanici, za kterou se vydává. V principu je tento problém řešen dvěma způsoby, buď pomocí OSA (Open System Authentication), kde nedochází k žádnému ověření, nebo za pomoci sdíleného klíče. V prvním případě, kdy se jedná o otevřenou autentizaci, tak v podstatě nedochází k ověření koncové stanice. V rámci autentizace pomocí sdíleného klíče vyžaduje AP po koncové stanici prokázání vlastnictví daného ověřovacího klíče. (11) (3) Pod pojmem asociace si lze připravit nastavení logické vazby mezi přístupovým bodem a určitou stanicí, doslova jde o tzv. přidružení stanice k danému AP. Při de-asociaci zařízení dochází k opačnému jevu, jímž je zrušení vazby mezi stanicí a přístupovým bodem. (11) (3)
2 Analýza zabezpečení Wi-Fi sítí
Použití jakékoliv bezdrátové sítě představuje riziko, neboť komunikace vždy probíhá skrze rádiové vlny, jež lze snadno odposlechnout a tím získat veškeré údaje v dané komunikaci.
V této kapitole jsou popsány možnosti, kterými můžeme bezdrátovou síť zabezpečit. Pro každý typ zabezpečení jsou též uvedeny vektory útoků, kterými je možné jednotlivé typy zabezpečení prolomit.
2.1 WEP
WEP byl v roce 1999 představen jako první šifrovací algoritmus standardu IEEE 802.11.
Důvodem zavedení protokolu WEP byla snaha znemožnit nebo při nejmenším ztížit útočníkům odposlouchání komunikace mezi uživateli a přístupovým bodem, která nebyla do dané doby nijak chráněna. První verze algoritmu nebyly příliš silné z důvodu amerického omezení o vývozu kryptografických technologií. Výrobci v té době uváděli na trh pouze zařízení s podporou jen 64 bitového šifrování. Po zrušení omezení o vývozu kryptografických technologií ze strany Spojených států došlo k navýšení šifrování na 128 bitů. (12) (3)
WEP klíč vychází z proudové šifry RC4 vyvinuté Ronaldem Rivestem a může mít velikost mezi 64 až 256 bity. Nejčastěji využívaným je však 128 bitový klíč, který je složen z 24 bitového inicializačního vektoru a samotného klíče o 104 bitech. Právě v inicializačním vektoru se skrývá největší slabina. Inicializační vektor je přenášen v rámci celé komunikace mezi AP koncovou stanicí v otevřené formě, tudíž nic nebrání jeho zachycení. Při odchycení dostatečného počtu inicializačních vektorů lze provést rekonstrukci klíče a tím prolomit zabezpečení WEP. Standard IEEE 802.11 nedefinuje žádnou funkčnost, která by obměňovala WEP klíč po určité době. Změnu klíče je samozřejmě možné provádět ručně, což je jak z pohledu správce sítě, tak i uživatelů značně nepřijatelné. Další významnou slabinou trpí mechanismus na kontrolu integrity paketů, který je zajišťován mechanismem kontrolního součtu CRC324. (4) (13) (3)
Jak je zobrazeno na obrázku (Obrázek 2), tak WEP vyžaduje na svém vstupu tři položky.
Prvním je vstupní rámec, který se skládá z hlavičky a datového obsahu (payload). Druhým je tajný klíč používaný k šifrování rámců. V závislosti na implementaci mohou být klíče specifikovány v různé bitové délce. Třetím je inicializační vektor o velikosti 24 bitů.
Výsledným výstupem je jediný šifrovaný rámec, který je připravený k přenosu přes bezdrátovou síť. (14)
4 Cyclic Redundancy Check – 32bit (Cyklický redundantní součet – 32bitů)
Obrázek 2: Proces fungování WEP, zdroj (14)
2.1.1 Slabiny WEP
„Wired Equivalent Privacy (WEP) je nejrozšířenější bezpečnostní protokol Wi-Fi na světě.
Především díky své funkčnosti, zpětné kompatibilitě a faktu, že se jako první protokol objevuje v menu nastavení mnoha routerů.“ (12)
V roce 2001 pánové Scott Fluhrer, Itsik Mantin a Adi Shamir došli při analýze algoritmu proudové šifry RC4 k závěru, že při velikosti klíče 40 bitů je potřeba zhruba 1 000 000 zachycených paketů a šifrování WEP bylo oficiálně prolomeno. Budeme-li uvažovat síť s velkým datovým provozem, je prolomení zabezpečení WEP otázkou několika málo minut, v případě využití techniky injektování paketů je i prolomení sítě s nízkým datovým provozem v podstatě jistotou. (15) (3)
Jak již bylo zmíněno v předchozí části, zabezpečení WEP je náchylné na prolomení z důvodu nedostatečně velkého klíče, který lze obnovit ziskem dostatečného množství paketů obsahující inicializační vektor klíče. První metodou je využití PTW (Pyshkin, Tews, Weinmann). Jedná se o metodu prolamování hesla, která využívá v první fázi pouze ARP pakety. Pokud klíč není nalezen, použijí se všechny zachycené pakety k prolomení klíče.
Hlavní výhodou metody PTW je, že k rozbití klíče WEP je zapotřebí jen velmi málo zachycených datových paketů. V případě slabého hesla postačí už 20 – 30 tisíc zachycených paketů. Druhou metodou je metoda FMS (Fluhrer, Mantin, Shamir) / KoreK, jež zahrnuje
různé statistické útoky k nalezení WEP klíče v kombinaci s použitím útoků hrubou silou.
(16) (17)
Fluhrer, Mantin a Shamir publikovali první útok na obnovení WEP v roce 2001. Jejich útok je založen na následujících myšlenkách: Útočník, který pasivně naslouchá provozu sítě chráněné WEP, může zachytit mnoho šifrovaných paketů včetně použitých inicializačních vektorů pro tyto pakety. Protože první bajty prostého textu (plaintext) většiny paketů jsou snadno předvídatelné, útočník je schopen obnovit první bajty z pseudonáhodného proudu bajtů (keystreams) použitých k šifrování těchto paketů. Inicializační vektor je přenášen nechráněný pomocí paketů, takže útočník zpočátku zná 3 bajty klíče na paket pro všechny pakety. Všechny následující bajty klíče na paket jsou stejné pro všechny pakety, ale jsou z počátku útočníkovi neznámé. Pomocí této korelace může být vytvořen útok, který vede k úplné obnově šifrovacího klíče WEP. Útočník zachytí pakety ze sítě chráněné WEP a získá první bajt pseudonáhodného proudu bajtů použitého k šifrování těchto paketů tak, že uhodne první bajt z prostého textu. Aby útok měl úspěšnost vyšší než 50 %, je třeba zachytit nejméně 4 až 6 milionů paketů. (18)
V roce 2004 osoba pod pseudonymem KoreK zveřejnila implementaci pokročilého WEP
„cracking“ nástroje na internetovém fóru. KoreK použil 16 dalších korelací mezi prvními bajty klíče RC4, prvními dvěma bajty vygenerovaného pseudonáhodného proudu a dalším klíčovým bajtem. Většina těchto korelací byla nalezena samotným KoreKem, několik z nich již bylo na veřejnosti známo. (18)
Celková struktura útoku vychází z již známého útoku FMS. Počet zachycených paketů je však snížen na asi 700 000 pro 50% pravděpodobnost úspěchu. Přesná čísla závisí na konkrétním prostředí, implementaci a parametrech použitých pro útok. Jedním důležitým faktorem je to, zda jsou inicializační vektory generovány algoritmem PRNG5 nebo pokud jsou generovány postupně čítačem. (18)
2.1.2 Techniky prolomení WEP
V této podkapitole jsou uvedeny jednotlivé techniky, kterými lze zabezpečení WEP překonat a získat díky tomu přístup do dané bezdrátové sítě. Veškeré ukázky jsou prováděny na předem nakonfigurovaném zařízení (AP), jehož je autor vlastníkem. Soupis použitých programů je dostupný v příloze. (Příloha E:)
Aktivní odposlech Wi-Fi sítě
Aby bylo možné vůbec začít s odposlechem, je nutné nejdříve přepnout síťovou kartu monitorovacího módu. V operačním systému Kali Linux nám dobře poslouží k tomuto účelu skript airmon-ng, který přepne síťovou kartu ze standardního režimu správy do monitorovacího módu.
5 Pseudo Random Number Generator (generátor pseudonáhodných čísel)
Využijeme tedy příkazu: airmon-ng start wlan1
Obrázek 3: Monitorovací mód, zdroj autor
Tímto úkonem došlo k přepnutí síťové karty do monitorovacího módu, jak ukazuje obrázek výše. Monitorovací mód je dostupný pod interface wlan1mon. Některé procesy mohou bránit správnému fungování síťové karty v monitorovacím módu, tudíž lze ještě zadat příkaz: airmon-ng check kill a tím předejít případným problémům s funkcionalitou.
Nyní potřebujeme identifikovat Wi-Fi síť, která používá zabezpečení WEP. K tomuto účelu využijeme program airodump-ng a konkrétně příkaz airodump-ng wlan1mon, který poskytne podrobný sken Wi-Fi sítí v naší blízkosti.
Obrázek 4: Sken Wi-Fi sítí, zdroj autor
Našemu skenu odpovídá síť s názvem MJU_TestAP, kde BSSID je MAC adresa AP a PWR ukazuje úroveň přijímaného signálu síťovou kartou. Beacons indikují počet asociačních paketů odeslaných ze strany AP. #Data obsahuje informace o zachycených datových paketech. #/s je počet datových paketů za sekundu zachycených v posledních deseti sekundách. CH označuje kanál, na kterém AP vysílá. MB ukazuje maximální podporovanou rychlost AP. ENC je zabezpečení dané bezdrátové sítě. CIPHER je algoritmus používaný neboli šifrovací protokol použitý u dané Wi-Fi sítě. AUTH označuje mechanismus ověření u daného AP a ESSID je samotný název sítě.
Aktuálně už známe veškeré potřebné údaje o cílové síti a můžeme zahájit odposlouchávání.
Využijeme znovu program airodump-ng, ale tentokrát s jinými parametry.
airodump-ng --bssid D4:6E:0E:E4:A0:DF --channel 12 --write wep-attack wlan1mon
Obrázek 5: Aktivní odposlech Wi-Fi sítě, zdroj autor
Program airodump-ng zachytává veškerou komunikaci, která běží přes AP – MJU_TestAP a ukládá ji do souboru wep-attack.cap. V této fázi by stačilo počkat než počet paketů dosáhne hodnoty okolo 20 – 30 tisíc a pomocí programu aircrack-ng zahájit prolomení WEP klíče.
Na obrázku (Obrázek 5) je vidět, že k AP je připojeno pouze jedno zařízení, které navíc negeneruje žádný velký provoz, tudíž odposlechnutí většího množství paketů by mohlo zabrat dost času. Tento problém může nastat u AP, kde není připojeno žádné zařízení, nebo jich je v síti jen velmi málo a zároveň negenerují dostatečně hustý provoz, aby prolomení zabezpečení sítě nebylo zbytečně časově náročné.
Abychom nemuseli čekat, než se zvýší frekvence provozu na daném AP, můžeme využít techniky injektování paketů a jejich opětovnému zaslání na AP tak, aby došlo k umělému navýšení provozu. Touto technikou lze přinutit AP, aby vygenerovalo dostatečný počet paketů obsahujících inicializační vektory, které bychom využily k prolomení WEP klíče.
Techniky injektování paketů jsou popsány v následujících sekcích ARP Replay útok, KoreK – chopchop útok a Fragmentační útok.
Útok opakování paketů ARP
ARP je protokol pro rozlišení adres: Protokol TCP / IP používaný k převodu adresy IP na fyzickou adresu, například na adresu Ethernet. Hostitel, který chce získat fyzickou adresu, vysílá požadavek ARP do sítě TCP / IP. Hostitel v síti, který má adresu v žádosti, pak odpoví svou fyzickou hardwarovou adresou. (19)
Jedná se o útok, jenž opakuje požadavky ARP. Jde o nejúčinnějším způsobem generování nových inicializačních vektorů a funguje velmi spolehlivě. Program aireplay-ng zachycuje paket ARP a poté jej znovu vysílá zpět do AP. Tento jev způsobí, že přístupový bod opakuje ARP paket s novým inicializačním vektorem. Aireplay-ng opakuje ARP paket znovu, což má za následek generování dalšího ARP paketů na straně AP opět s novým inicializačním vektorem. Všechny odposlechnuté inicializační vektory pak mohou být následně použity k obnovení WEP klíče. (19)
Útok vyžaduje, aby síťová karta byla nastavena v monitorovacím módu, abychom mohli provést aktivní odposlech ARP paketu a ten následně opakovat do té doby, než obdržíme dostatečný počet paketů s inicializačními vektory.
airodump-ng --bssid D4:6E:0E:E4:A0:DF --channel 12 --write arp-replay-test wlan1mon
Tímto příkazem zahájíme sběr paketů proudících k AP s MAC adresou D4:6E:0E:E4:A0:DF na kanále 12 a uložíme je do souboru arp-replay-test.cap. Aby přístupový bod neignoroval pakety, kterému budeme při útoku zasílat, je potřeba provést u AP tzv. falešnou autentizaci, tedy zaregistrovat MAC adresu naší síťové karty u přístupového bodu. Zajištění falešné autentizace viz příkaz níže.
aireplay-ng --fakeauth 0 -a D4:6E:0E:E4:A0:DF -h 00:11:7F:1B-68:FC wlan1mon
Parametr --fakeauth zajišťuje falešnou autentizaci, parametr 0 čas opětovného přidružení k AP v sekundách, parametr -a MAC adresu přístupového bodu, -h MAC adresu naší síťové karty a wlan1mon je interface naší síťové karty v monitorovacím módu.
V případě, že jsme uspěli s falešnou autentizací, můžeme přejít k samotnému útoku, jenž spočívá v opakování ARP paketů. Potvrzení falešného ověření u AP lze zjistit na obrázku (Obrázek 6), kde MAC adresa naší síťové karty je součástí připojených stanic a u parametru AUTH nám přibyl stav OPN, což značí otevřený systém.
aireplay-ng --arpreplay -b D4:6E:0E:E4:A0:DF -h 00:11:7F:1B-68:FC wlan1mon
Příkaz je hodně podobný předchozímu, pouze používáme parametr -arpreplay a -b jako BSSID cílové stanice.
V tomto stádiu už jen stačí vyčkat, než počet přenesených paketů dosáhne 20-30 tisíc, abychom mohli zahájit prolomení klíče WEP. Celý útok završíme zadáním příkazu níže a počkáme až program aircrack-ng obnoví WEP klíč.
aircrack-ng arp-replay-test-01.cap
Obrázek 6: Shrnutí útoku ARP Replay, zdroj autor
Útok typu ARP Replay je velice rychlý a umožňuje získat nespočet inicializačních vektorů za velice krátký čas. Existují však situace, kdy tento typ útoku nelze využít. AP využívá mechanizmy zabraňující ARP spoofingu, implementuje firewall nebo systémy zabraňující útokům typ DoS a DDoS. V těchto případech je nutné využít metody interaktivního
opakování paketů, někdy též nazývané jako metoda -p 0841, která je součástí přílohy.
(Příloha A:)
KoreK – chopchop útok
Tento útok, pokud je úspěšný, může dešifrovat datový paket WEP bez znalosti klíče. Může dokonce fungovat proti dynamickému WEP. Samotný útok Korek-chopchop nedokáže obnovit klíč WEP, ale dokáže odhalit celý prostý text (plaintext). Některá AP však nejsou vůči tomuto útoku zranitelná, přestože se mohou na první pohled tvářit zranitelně, ale ve skutečnosti zahodí datové pakety kratší než 60 bytů a útok KoreK-chopchop je neproveditelný. Pokud však přístupový bod vyřadí pakety kratší než 42 bajtů, program aireplay-ng se pokusí uhodnout zbytek chybějících dat, pokud jsou předvídatelné jejich hlavičky. V případě, že je zachycen IP paket, aireplay-ng navíc zkontroluje, zda je kontrolní součet hlavičky správný po uhádnutí chybějících částí hlavičky. Tento typ útoku vyžaduje alespoň jeden zachycený datový paket WEP. (20)
Abychom mohli útok provést, potřebujeme v první řadě zachytit nějaký datový paket v dané síti. Opět využijeme programu airodump-ng s následujícími parametry.
airodump-ng --bssid D4:6E:0E:E4:A0:DF --channel 12 --write chopchop-atack wlan1mon
Zajistili jsme odposlouchávání paktů u AP s MAC adresou D4:6E:0E:E4:A0:DF a ukládáme je do souboru chopchop-atack.cap. Aby mohlo dojít k provedení chopchop útoku, potřebujeme ještě, aby MAC adresa naší síťové karty byla registrována u AP, což zajistíme pomocí falešné autentizace.
aireplay-ng -1 6000 -o 1 -q 10 -e MJU_TestAP -a D4:6E:0E:E4:A0:DF -h 00:11:7F:1B:68:FC wlan1mon
V tomto případě využíváme trochu jiného zápisu pro parametry aireplay-ng; parametr 6000 značí, že opětovná autentizace proběhne až za 6000 vteřin, což vynutí odeslání paketů „keep alive“ pro udržení zachování autentizace; parametr -1 značí to samé jako --fakeauth, tudíž falešnou autentizaci; parametr -o 1 značí zaslání pouze jedné sady paketů v určitý okamžik, jako výchozí nastavení je používáno zasílání více sad paketů v jeden okamžik, což může způsobit u některých AP zahození paketů a tím se falešná autentizace nezdaří; parametr - q 10 znamená zaslání paketů „keep alive“ každých 10 vteřin.
Určitě můžeme využít i předchozí metodu falešné autentizace, ale výše uvedený příkaz není tolik invazivní vůči AP, což pro některé typy AP může pomoci projít procesem falešné autentizace bez odmítnutí.
aireplay-ng --chopchop -b D4:6E:0E:E4:A0:DF -h 00:11:7F:1B:68:FC wlan1mon
Obrázek 7: Průběh útoku chopchop, zdroj autor
Na obrázku výše můžeme vidět průběh útoku chopchop, kde v horní části probíhá odposlech AP. V prostřední části je zachycen proces falešné autentizace. Spodní část obrázku 7 už zachycuje čistě útok chopchop, který začíná zachycením a použitím vybraného paketu WEP (pravá spodní část obrázku 7). Dále probíhá dešifrování plaintextu a keystreamu, které jsou uložené v souborech replay_dec-0518-200525.cap a replay_dec-0518-200525.xor (levá spodní část obrázku 7).
Podařilo se nám získat dešifrovaný keystream, který následně využijeme k injektování zpět do provozu, abychom si vynutili na straně AP generování ARP paketů, jež nám poskytnou inicializační vektory potřebné k prolomení WEP klíče.
Dalším krokem je vytvoření paketu, který budeme injektovat zpět do provozu. Tento paket si zajistíme pomocí programu packetforge-ng.
packetforge-ng -0 -a D4:6E:0E:E4:A0:DF -h 00:11:7F:1B:68:FC -k 255.255.255.255 - l 255.255.255.255 -y replay_dec-0518-200525.xor -w chopchop-forged-packet
Parametr -0 indikuje, že chceme, aby byl na straně AP vygenerován ARP paket; -a je parametr, který definuje MAC adresu AP; -h určuje MAC adresu zdrojové síťové karty; - k nutný parametr udávající cílovou IP adresu; -l taktéž nutný parametr udávající zdrojovou IP adres, bez parametrů –k a –l by paket nebyl kompletní a injektování by neproběhlo; - y určuje, odkud budeme načítat do paketu keystream; -w označuje soubor, do kterého si přejeme náš paket zapsat.
Když máme paket připravený k použití, nic nebrání tomu, abychom mohli zahájit jeho injektování zpět do provozu, což zajistíme následujícím příkazem.
aireplay-ng -2 -r chopchop-forged-packet wlan1mon
Parametrem -2 určujeme, že chceme opakovaně zasílat určitý paket; -r název paketu, který budeme používat a opakovaně injektovat do provozu.
Tímto útokem způsobíme, že AP začne generovat nové a nové ARP pakety, které budeme zachytávat a až jejich počet dosáhne 20-30 tisíc, použijeme opět programu aircrack-ng, abychom získali WEP klíč.
aircrack-ng chopchop-atack-01.cap
Obrázek 8: Shrnutí útoku chopchop, zdroj autor
Fragmentační útok
Cílem tohoto útoku není obnovit nebo dešifrovat samotný WEP klíč, ale získat okolo 1500 bajtů PRGA, což je algoritmus pseudonáhodného generování, který se stará o umístění šifrovacího klíče v šifře RC4, jež je součástí zabezpečení WEP.
Standard 802.11 definuje fragmentaci na vrstvě MAC. Během fragmentace se šifrování WEP provádí nezávisle na každém jednotlivém fragmentu. V principu nic nebrání tomu, aby každý fragment měl stejný IV. Je proto možné odesílat data v blocích čtyř bajtů s osmi bajty PRGA, které byly obnoveny. Fragmentované pole je čtyř bajtové, což umožňuje maximálně 16 fragmentů. To by útočníkovi umožnilo vložit 4 × 16 = 64 bajtů libovolných dat. Minimální IP paket vyžaduje 8 + 20 = 28 (LLC6 / SNAP7 + IP8 hlavička) bajtů dat. Proto je možné v síti odeslat 64−28 = 36 bajtů dat IP. V této fázi lze také použít fragmentaci IP, pokud je třeba na AP odeslat více dat, které pomohou útočníkovi odhalit ještě více PRGA. Jelikož lze vkládat libovolná data, může být k AP odeslán dlouhý vysílací rámec, který pak AP nadále přenese. (21)
AP tento rámec bude vysílat jako jediný rámec, protože nemá motivaci jej fragmentovat na malé kousky. Čistý text je rozhodně známý, neboť útočník generoval daný rámec a přenášený rámec lze triviálně odposlouchávat, což nakonec vede k odhalení ještě větší části PRGA. Tento postup lze opakovat, dokud se nezíská dostatečně velký PRGA. (21) Program v zásadě získá z paketu malé množství informací o algoritmu šifrovacího klíče a následně se pokusí odeslat do AP pakety ARP s již známým obsahem. Pokud je paket
6 Logical Link Control (řízení logického spoje)
7 Subnetwork Access Protocol (rozšíření hlavičky LLC)
8 Internet Protocol (protokol internetu)
úspěšně z AP vysílán zpět, pak lze z vráceného paketu získat větší množství klíčových informací o povaze PRGA. Tento cyklus se opakuje několikrát, dokud se nezíská 1 500 bajtů PRGA. Tyto informace lze použít k vytvoření paketu pomocí packetforge-ng, který pak můžeme injektovat do provozu a přinutit AP, aby generoval nové pakety s novými IV. Tyto pakety pak můžeme odchytit a za využití programu aircrack-ng prolomit daný WEP klíč.
(22)
Využijeme programu airodum-ng, abychom zachytili pakety s inicializačními vektory a mohli následně prolomit WEP klíč.
airodump-ng --bssid D4:6E:0E:E4:A0:DF --channel 12 --write fragment-test wlan1mon
Potřebujeme, aby přístupový bod neodmítal naší komunikaci, tudíž využijeme falešné autentizace.
aireplay-ng --fakeauth 0 -a D4:6E:0E:E4:A0:DF -h 00:11:7F:1B:68:FC wlan1mon
Když máme zajištěnou falešnou autentizaci, můžeme přejít k samotnému fragmentačnímu útoku za užití programu aireplay-ng a parametru –fragment.
aireplay-ng --fragment -b D4:6E:0E:E4:A0:DF -h 00:11:7F:1B:68:FC wlan1mon
Nyní se nám podařilo odhalit 1500 bajtů PRGA, které se uložily do souboru fragment-0518- 221439.xor. Tyto údaje využijeme k sestavení nového paketu, jež následně budeme injektovat do provozu. K sestavení paketu využijeme programu packetforge-ng, se stejným parametry jako při útoku typu Korek – chopchop, pouze hlavním zdrojem je tentokrát soubor, kde jsem získali PRGA.
packetforge-ng -0 -a D4:6E:0E:E4:A0:DF -h 00:11:7F:1B:68:FC -k 255.255.255.255 - l 255.255.255.255 -y fragment-0518-221439.xor -w fragment-forged-packet
Jakmile máme paket vytvořen, nic nám nebrání v zahájení útoku. S využitím programu aireplay-ng začneme injektovat pakety do provozu a přinutíme AP, aby začalo generovat nové pakety s novými IV.
aireplay-ng -2 -r fragment-forged-packet wlan1mon
Během několika málo vteřin získáme dostatečné množství IV, které použijeme k dešifrování WEP klíče.
aircrack-ng fragment-test-01.cap
Fragmentační útok je velmi náchylný na sílu a kvalitu signálu mezi AP a útočníkem. Aby útok mohl být úspěšný, musí se útočník vyskytovat v těsné blízkosti u AP, avšak samotná exekuce útoku je mnohonásobně rychlejší než u předchozích typů útoků.
Obrázek 9: Fragmentační útok, zdroj autor
2.2 WPA
„Řada nedostatků ve WEP odhalila naléhavou potřebu alternativy, ale záměrně pomalé a pečlivé procesy vyžadované při psaní nové bezpečnostní specifikace představovaly konflikt. Jako odpověď v roce 2003 Wi-Fi Aliance vydala WPA jako dočasný standard, zatímco Institut pro elektrotechnické a elektronické inženýrství (IEEE) pracoval na vývoji pokročilejších a dlouhodobějších náhrad WEP.“ (13)
2.2.1 WPA-TKIP
WPA využívá technologie ze standardu IEEE 802.1x, proces ověřování vychází z protokolu EAP, který byl vyvinut pro LAN sítě. Důvěryhodnost a integrita paketů je zajišťována pomocí protokolu TKIP. Původní 24 bitový inicializační vektor využívaný ve WEP je nahrazován 48 bitovým IV. TKIP poskytuje ochranu vůči rekonstrukci klíče ze zachycených paketů a díky kontrolnímu kryptografickému součtu je imunní i vůči padělání paketů.
Metoda MIC zajišťuje obranu vůči opakování předchozí zachycené komunikace. Tím, že vypočítá 8bajtovou kontrolní hodnotu nazvanou kód integrity zprávy (MIC) a před přenosem ji připojí k MSDU9. MIC se počítá přes celá (nezašifrovaná) data v konkrétním rámci a také ze zdrojové a cílové MAC adresy. Princip MIC vynalezl Neils Ferguson a byl navržen speciálně pro potřeby TKIP, zejména v oblasti implementace pomocí procesoru s relativně nízkým výkonem a bez nutnosti využití vysokorychlostního hardwaru, čímž podporoval starší a ne dostatečně výkonná zařízení. Ve své podstatě MIC ke každému rámci přidává digitální podpis. I když je WPA-TKIP značně robustní oproti samotnému WEP,
9 MAC service data unit (MAC datová jednotka služby)
stále vychází z proudové šifry RC4 a v dnešní době není považováno za bezpečné. (23) (24) (3)
Obrázek 10: Šifrovací proces rámce TKIP, zdroj (14)
2.2.2 Slabiny WPA-TKIP
Jak už víme TKIP je upravenou verzí protokolu WEP. TKIP implementuje sofistikovanější funkci pro míchání šifrovacího klíče v relaci s inicializačním vektorem pro každý paket.
Tímto se zabrání všem aktuálně známým útokům, které souvisejí se zranitelnostmi v zabezpečení typu WEP, protože každý bajt klíče každého paketu závisí na každém bajtu klíče relace a inicializačním vektoru. Navíc je v každém paketu zahrnuta 64bitová kontrola integrity zpráv MIC, aby se zabránilo útokům na slabý mechanismus ochrany integrity CRC32 známý z WEP. Aby se zabránilo jednoduchým útokům na opakované přehrávání, používá se čítač sekvencí, který umožňuje, aby pakety dorazily pouze v daném pořadí k AP.
(18)
Nyní ukážeme, že je stále možné dešifrovat provoz modifikací útoku chophop a odesílat pakety s vlastním obsahem. Předpokládejme, že jsou splněny následující podmínky:
Napadená síť používá pro komunikaci přístupového bodu klienta TKIP. Při útoku na takovou síť útočník nejprve zachytí provoz, dokud nenajde šifrovaný požadavek ARP nebo odpověď na tento paket. Tyto pakety lze snadno detekovat kvůli charakteristické délce.
Zdrojová a cílová ethernetová adresa navíc není chráněna pomocí WEP ani TKIP a požadavky jsou vždy odesílány na adresu AP. Většinu prostého textu tohoto paketu útočník zná, kromě posledního bajtu zdrojové a cílové adresy IP včetně Osmibajtového MIC a Čtyřbajtového kontrolního součtu IV. MIC a IV tvoří posledních 12 bajtů prostého textu.
Útočník nyní může zahájit upravený útok chochop jako proti síti WEP a dešifrovat neznámé
bajty prostého textu. TKIP obsahuje hlavně dvě protiopatření proti útokům typu chopchop.
Pokud klient přijme paket s nesprávnou hodnotou IV, předpokládá se chyba přenosu a výsledný paket se tiše zahodí. Pokud je hodnota IV správná, ale ověření MIC se nezdaří, předpokládá se útok a přístupový bod je upozorněn zasláním rámce zprávy o selhání MIC.
Dojde-li k více než 2 selháním ověření MIC za méně než 60 sekund, komunikace se ukončí a všechny klíče se znovu obnoví po uplynutí šedesátisekundové prodlevy. Pokud byl paket přijat správně, je aktualizován čítač sekvencí pro daný kanál, na kterém byl paket přijat.
Pokud je přijat paket s nižší hodnotou, než je aktuální stav čítače (paket je přijat mimo pořadí), paket se zahodí. (18)
I přes tato opatření je stále možné provést chopchop útok. Útočník musí provést útok na jiný kanál, než na kterém byl paket původně přijat. Obvykle se jedná o kanál s nulovým nebo minimálním provozem, kde je čítač sekvencí na nižších hodnotách. Pokud byl odhad posledního bajtu během útoku chopchop nesprávný, paket se tiše odhodí. V případě, že odhad je správný, klient odešle rámec zprávy o selhání MIC, ale čítač sekvencí se nezvýší.
Útočník musí po spuštění rámce zprávy o selhání MIC počkat alespoň 60 sekund, aby zabránil AP v provedení protiopatření. Jak uvádí autoři tohoto typu útoku Martin Back a Eric Tews, kteří tvrdí, že je potřeba trochu více než 12 minut a útočník může dešifrovat posledních 12 bajtů prostého textu (MIC a IV). K určení zbývajících neznámých bajtů (přesné adresy IP odesílatele a příjemce) může útočník uhodnout tyto hodnoty a ověřit je podle dešifrovaného IV. Jakmile je znám MIC a holý text paketu, může útočník jednoduše použít algoritmus MIC reverzně a obnovit klíč MIC použitý k ochraně odesílaných paketů z přístupového bodu ke klientovi. Algoritmus MIC není navržen jako jednosměrná funkce a obrácení algoritmu je stejně účinné jako výpočet algoritmu dopředu. (18)
Aby mohl být útok úspěšný, klade poměrně velké nároky na konfiguraci samotného AP a klienta, který je k dané síti připojen. Jedním z hlavních faktorů je podpora QoS, což je funkcionalita používaná pro rezervaci a řízení datových toků v telekomunikačních a počítačových sítích, které používají přepojování paketů. Protokoly QoS zajišťují vyhrazení a dělení dostupné přenosové kapacity, aby nedocházelo k zahlcení sítě, ke snížení kvality síťových služeb a síťového provozu. Další překážku tvoří obměna šifrovacích klíčů, jež musí být nastavena v minimálním intervalu 20 minut, ale optimálně je jednu hodinu. Tyto faktory velmi snižují pravděpodobnost úspěšné realizace útoku, proto se v praxi spíše používá metoda odchycení hashe vznikajícího při navazování komunikace mezi klientem a AP (WPA – handshake). Tento typ útoku je podrobněji rozebrán další v podkapitole 2.3.4.
2.2.3 Útoky postranními kanály vůči WPA-TKIP
V roce 2017 publikovali pánové Domien Schepers, Aanjhan Ranganathan a Mathy Vanhoef studii, ve které zjistili, že téměř 45 % (10722) Wi-Fi sítí z celkového počtu 23926 používá zabezpečení WPA-TKIP. Tato skutečnost je motivovala k hlubší analýze protokolu TKIP při které odhalili nové zranitelnosti zvané jako útoky postranními kanály vůči WPA-TKIP.
Veškeré předchozí útoky se zaměřovali především na slabinu, která generuje selhání kontroly integrity MIC, avšak zanedbávali další možnosti napadení. Komplexní analýzou firmwaru na Wi-Fi zařízeních MediaTek a Broadcom, ovladačů Wi-Fi v otevřených operačních systémech (Linux a OpenBSD) a analýzou stávajících protiopatření implementovaných proti stávajícím útokům vůči TKIP, došli k závěru, že
k prolomení MIC může dojít během 1 - 4 minut od započetí útoku. Tato skutečnost ještě více upevňuje doporučení WPA-TKIP přestat používat. (25)
Zneužití funkce správy napájení Wi-Fi v operačním systému linux pro jádra 3.11 a starší
Zejména se jedná o zneužití pokročilé funkce správy napájení v linuxu, které byly do standardu přidány v roce 2005 novelou 802.11e. Tuto funkcionalitu lze zneužít k určení, zda je IV vložený do rámce TKIP správný. Samotný standard definuje funkce, které umožňují zařízení přejít do režimu dlouhodobého spánku. Zařízení se pak mohou probudit buď v plánovaných intervalech tak, aby mohla přijímat data v mezipaměti od AP (nazývané S- APSD10), nebo se mohou probudit v nahodilých časových okamžicích a požadovat data v mezipaměti od AP (nazývané U-APSD11). U U-APSD klient požaduje data uložená do vyrovnávací paměti zasláním rámce PS-Poll směrem k AP. Rámec PS-Poll je kontrolní rámec a je přenášen neověřený a nezašifrovaný. Když AP přijme rámec PS-Poll, odpoví s daty ve vyrovnávací paměti, nebo s nulovým rámcem, pokud nejsou k dispozici žádná data ve vyrovnávací paměti. U-APSD se svým rámcem PS-Poll lze použít k určení správnosti IV, protože v linuxovém jádře verze 3.11 a nižší existuje logická chyba ve způsobu zpracování přijatých rámců. Rámce jsou nejprve dešifrovány a až následně jsou kontrolovány jejich příznaky v hlavičce (například režim úspory energie). Výsledkem je, že klient je u AP označen jako v úsporném režimu pouze v případě, že dešifrování proběhlo úspěšně. Pokud tedy AP označil klienta jako v úsporném režimu, víme, že ICV rámce TKIP bylo správné.
Pomocí zprávy PS-Poll může protivník otestovat, zda klient vstoupil do režimu úspory energie. Když AP odpovídá pomocí rámce Null-Data, IV je správná, pokud AP neodpovídá, IV je špatně. Prakticky tuto zranitelnost můžeme zneužít tím, že nejprve zachytíme komunikaci od klienta už asociovaného k přístupovému bodu. Rámec TKIP pak následně použijeme k provedení útoku ChopChop. Avšak je nutné upravit paketu způsobem, kdy nastavíme bit v hlavičce MAC tak, abychom předali AP informaci, že klient vstupuje do režimu úspory energie. Pokud je dostupný identifikátor provozu QoS (Quality of Service), tak jeho hodnotu změníme na kanál s nižší hodnotou čítače sekvencí TKIP. V opačném případě nastavíme číslo fragmentu na jedna, čímž účinně obejdeme protiopatření TKIP, neboť AP MIC nebude ověřovat pro daný paket. S těmito změnami v rámci TKIP můžeme provést útok ChopChop, který povede k obnovení zprávy ve formátu prostého textu.
Podobně jako u původního útoku předchozích útoků na WPA-TKIP je naším cílem dešifrovat požadavek ARP. Po dešifrování jeho obsahu můžeme obnovit klíč MIC, což je možné, protože algoritmus MIC je invertibilní. (25)
Zranitelnost zařízení MediaTek
Vůči MediaTek byla objevena slabina, která využívá způsobu, jakým jsou fragmentované rámce ukládány do mezipaměti a znovu sestavovány. Zpravidla velké MSDU rámce jsou fragmentovány na MPDU12 a každému MPDU je přiděleno číslo fragmentu, které je vždy
10 Scheduled Automatic Power Save Delivery (plánovaná automatická úspora energie)
11 Unscheduled Automatic Power Save Delivery (neplánovaná automatická úspora energie)
12 MAC protocol data unit (protokolová datová jednotka)
monotónně zvýšeno. Ve všech rámcích kromě posledního je v hlavičce MAC rámce nastaven příznak „více fragmentů“. AP ukládá všechny fragmenty do mezipaměti, dokud nedojde k přijetí posledního fragmentu, pak je znovu sestaví a zpracuje zprávu. Je zajímavé, že pokud AP obdrží fragmentovaný rámec TKIP se správným IV, tento fragment přepíše předchozí fragment v mezipaměti, nebo může dokonce způsobit vymazání mezipaměti fragmentu. Toto chování lze zneužít jako postranní kanál k provedení útoku. Detailní analýza postranního kanálu odhalila další chybu v zabezpečení, kdy přístupový bod přijímá rámce prostého textu od ověřeného klienta bez ohledu na to, zda klient používá WPA-TKIP nebo AES-CCMP. Zranitelnost byla ověřena vložením prostého požadavku ARP, což vedlo k přijetí šifrované odpovědi ARP od AP. Odpovědi AP jsou šifrovány, tudíž jejich obsah není potencionálnímu útočníkovi znám. To stačí k tomu, aby pomocí snadného falšování MAC adresy za jakoukoliv náhodnou adresu bylo možné vložením fragmentovaného rámce prostého textu ověřit, zda je IV správný. Jelikož to funguje pro požadavky ARP v prostém textu, nepotřebuje protivník předchozí znalosti o klíči TKIP. (25)
Samotný útok funguje na podobném principu jako předchozí postranní útok využívající zranitelnost linuxového jádra. Nejprve protivník zachytí paket TKIP od klienta k AP, který lze použít k provedení útoku ChopChop. Podobně jako v předchozím případě je nutné obejít sekvenční čítač TKIP úpravou kanálu QoS o počtu fragmentů. Změníme identifikátor provozu QoS na kanál s nižší hodnotou sekvenčního čítače, pokud není k dispozici QoS, tak v hlavičce nastavíme číslo fragmentu na jedna. Tento stav naznačuje, že MPDU je fragmentovaný a že Michael MIC je přítomen v posledním fragmentu, proto AP nebude ověřovat Michael MIC pro tento rámec, čímž účinně obejdeme protiopatření TKIP.
Následně lze provést útok ChopChop k obnovení zprávy ve formátu prostého textu. Aby se ověřilo, zda je odříznutý bajt správně uhodnut, protivník odešle první fragment požadavku prostého textu ARP, poté upravený fragmentovaný rámec TKIP a nakonec odešle poslední fragment požadavku ARP. Pokud byl uhádnutý bajt správný, fragmentovaný rámec TKIP způsobí, že AP odstraní první fragment ARP ze své fragmentační mezipaměti. Po přijetí druhého fragmentu ARP nebude AP schopen rekonstruovat požadavek ARP ve formátu prostého textu, a proto neodešle odpověď ARP. Pokud byl hádaný bajt špatný, AP tiše odhodí nasekaný rámec. Po přijetí druhého fragmentu AP znovu sestaví fragmenty ARP a odešle zašifrovanou odpověď ARP na podvrženou MAC adresu zdroje uvedenou v požadavku na prostý text ARP. Pokud se povede zachytit a sestavit každý požadavek ARP s jedinečnou MAC adresou, lze snadno identifikovat, na které fragmenty je odeslána odpověď. Odříznuté a fragmentované rámce ARP jsou poté opakovaně odesílány na AP, což potenciálně spouští ARP odpovědi z AP, a proto se úspěšně dá obnovit zpráva ve formátu prostého textu a tím prolomit MIC a získat přístup do sítě. (25)
Ukázalo se, že zařízení MediaTek mohou být zranitelná vůči útoku downgrade z AES-CCMP na WPA-TKIP. V důsledku toho mohou být klienti používající AES-CCMP migrováni na WPA-TKIP a mohou se stát oběťmi tohoto postranního útoku. Proto je důležité deaktivovat WPA-TKIP, i když se používá v kombinaci s CCMP. (25)
Zneužití hardwarového dešifrování
V této sekci jsou uvedeny útoky postranními kanály na WPA-TKIP, které jsou založeny na použití hardwarové dešifrování. Dále jsou uvedeny dvě závažné chyby zabezpečení
v OpenBSD, jejichž hlavní příčinou je nesprávné zpracování hardwarově dešifrovaných rámců. Hardwarové dešifrování za určitých podmínek umožňuje útočníkovi určit, zda je IV rámce TKIP správný. Podobně jako u předchozích postranních kanálů lze toto použít k uhodnutí a ověření hodnoty useknutého bajtu (IV).
Zneužití funkce správy napájení Wi-Fi v operačním systému linux pro jádra 3.12 a novější
Útok na jádra 3.11 a starší vycházel z chybné logiky kontroly rámců až potom, co byly dané rámce dešifrovány. Toto se dalo zneužít pro určení správnosti IV. Tento útok však fungoval, jak už bylo zmíněno pouze proti linuxovému jádru verze 3.11 a nižším, protože novější jádra dešifrovala rámec poté, co předtím zkontrolovala příznaky přijatých rámců. Toto odlišné pořadí operací v novějších jádrech účinně zabránilo využití tohoto postranního kanálu.
S hardwarovým dešifrováním však čip Wi-Fi znovu dešifruje rámce dříve, než operační systém přijme a zkontroluje příznaky správy napájení. Přesněji řečeno, pokud je povoleno hardwarové dešifrování, tak ovladač zruší rámce, u kterých selhalo dešifrování hardwaru.
Příznaky správy napájení budou zkontrolovány pouze v případě, že dešifrování hardwaru proběhne úspěšně. To znamená, že pokud se hardwarové dešifrování používá v kombinaci s linuxovým jádrem 3.12 nebo novějším a ovladač zruší rámce, když se dešifrování hardwaru nezdaří, tak u rámců s neplatným IV nejsou zkontrolovány jejich příznaky. To nám umožňuje provést stejný útok bočním kanálem, jako tomu bylo proti 3.11 a starším linuxovým jádrům. Shrneme-li to, tak osekneme poslední bajt z paketu, uhádneme jeho hodnotu, opravíme IV a zjistíme, zda byl odhad správný podle toho, zda AP odpovídá na paket PS-Poll. (25)
Zneužití funkce Block Acknowledgement v OpenBSD
I v operačním systému OpenBSD, který je vyvíjen s velkým důrazem na bezpečnost, tak využívá několik ovladačů Wi-Fi, jenž podporují možnosti hardwarového dešifrování. Nabízí se otázka, jestli není možné tuto funkcionalitu zneužít? Opět existuje slabina v podobě funkce Block Acknowledgement13, jež je součástí standardu 802.11e, která umožňuje stanici (tj. Klientovi nebo AP) potvrdit více datových rámců QoS najednou. Aby zařízení mohly tuto funkci používat, musíte nejprve uzavřít dohodu o používání Block Acknowledgment.
Jakmile je to provedeno, může vysílač požádat přijímač o potvrzení více datových rámců QoS najednou. Tento požadavek se provádí nastavením příznaku Block Ack v hlavičce QoS každého rámce. Pokud však nebyla sjednána žádná dohoda a v hlavičce QoS rámce je nastaven příznak Block Ack, OpenBSD přenese akční rámec, který odesílateli dává pokyn, aby nejprve uzavřel dohodu Block Acknowledgement. Důležité je, že příznaky QoS datových rámců nejsou ověřeny. Proto může protivník upravit hlavičku QoS, aniž by to ovlivnilo dešifrování rámce. Výsledkem je, že protivník může pomocí následujících kroků zjistit, zda je IV rámce TKIP správný. Útočník může zahrnout do rámce TKIP hlavičku QoS a nastavit QoS na kanál s nízkým čítačem sekvencí nebo naastavit příznak Block Ack v hlavičce QoS a označit rámec jako fragmentovaný. Výsledný rámec pak odešlete AP. Pokud AP odpoví
13 Blokové potvrzování
akčním rámcem, byla IV rámečku správná. Pokud AP neodešle odpověď, IV je chybný.
V případě, že je TKIP IV správný, bude dešifrování hardwaru úspěšné a ovladač předá snímek do podsystému Wi-Fi. Ve výsledku OpenBSD zkontroluje hlavičku QoS a všimne si, že je nastaven příznak Block Ack, aniž by došlo k dohodě Block Acknowledgement. To způsobí, že OpenBSD vysílá akční rámec s kódem chybového stavu. Na druhou stranu, pokud je TKIP IV špatný a ovladač zruší rámce, u kterých selhalo dešifrování hardwaru, OpenBSD bude rámec ignorovat. Selháním MIC během dešifrování hardwaru se předejde označením rámce jako fragmentovaného. To způsobí, že hardware přeskočí ověřování MIC.
Kromě toho se jádro OpenBSD také nepokusí zkontrolovat MIC, protože rámec je téměř okamžitě zrušen kvůli neplatnému příznaku Block Ack. V průměru trvá dešifrování MIC přibližně 2 až 4 minuty. (25)
Opakování fragmentovaných paketů v OpenBSD
V operačním systému OpenBSD neexistuje kontrolní kód pro zpracování fragmentovaných rámců Wi-Fi. Ačkoli se to zdá být neškodné, nezpracování fragmentovaných rámců přináší překvapivou zranitelnost v kombinaci s dešifrováním hardwaru. Když je povoleno hardwarové dešifrování, čip Wi-Fi dešifruje fragmentované rámce TKIP. Protože je však snímek fragmentovaný, nelze ověřit pravost rámce, neboť MIC se nepočítá na jednotlivé fragmenty, ale pouze na celý snímek. Čip Wi-Fi proto předává dešifrované fragmenty do operačních systémů. Poté je odpovědností operačního systému znovu sestavit všechny fragmenty a následně ověřit znovu sestavený rámec. Místo opětovného sestavování fragmentovaných rámců OpenBSD zachází s jednotlivými fragmenty jako s úplnými rámci a neověřuje jejich pravost. Toto chování je možné zneužít vložením libovolných paketů.
Například můžeme odvodit část šifrovacího klíče s využitím principu útoku Korek (xorováním zachyceného šifrovaného textu s předpokládaným prostým textem). Útočník může připojit CRC k paketu, který má být vložen, a zašifrovat ho pomocí odvozeného klíče.
Nastavením rámce jako fragmentovaný jej lze aplikovat směrem k oběti používající OpenBSD. Když oběť OpenBSD obdrží vložený snímek, čip Wi-Fi dešifruje fragment a ověří IV. Jelikož je IV správný, bude z fragmentu odstraněn a zbývající obsah rámce bude předán operačnímu systému OpenBSD. OpenBSD pak bude s fragmentem zacházet jako s kompletním rámcem a navíc bude předpokládat, že hardware již ověřil pravost rámce, zatímco ve skutečnosti byl ověřen pouze IV. (25)
Výsledkem je, že útočník úspěšně vložil paket a zneužil chybu v zabezpečení v tom, jak OpenBSD zpracovává hardwarově dešifrované snímky. OpenBSD bohužel neprovádí kontroly přehrávání, když byl rámec dešifrován hardwarem. To znamená, že proti TKIP i CCMP to umožňuje protivníkovi triviálně přehrávat snímky a injektovat rámce. Navíc kombinací tohoto s chybou fragmentace TKIP uvedenou v předchozím odstavci může útočník zneužít jediný získaný keystream k vložení nekonečného množství paketů. Dalším problémem je, že při použití softwarového dešifrování v OpenBSD se pokusí systém ověřit MIC jednotlivých fragmentů TKIP, což bude mít za následek jeho selhání, protože MIC pro jednotlivé rámce TKIP není platný. Tento stav ve výsledku vede k tomu, že legitimní klient sám sobě způsobí DoS.
