vulnerabilità e tecniche di attacco a reti wifiold.wifi.unipr.it/attacchi_wifi_2007-05-30.pdf ·...

Vulnerabilità e tecniche di attacco a reti WiFi

Andrea BarontiniSITI - Settore Innovazione Tecnologie Informatiche

Università degli Studi di Parma

( [email protected] )

- 30 Maggio 2007 -

Università degli Studi di ParmaDipartimento di Ingegneria dell’Informazione

A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione

2 / 11630 Maggio 2007

Agenda

WiFi: caratteristiche generaliWEP

ArchitetturaDebolezze e attacchi

Oltre il WEP: WPA e WPA2ArchitetturaDebolezze e attacchi

Aircrack-ng showcaseCase study: il WiFi a ParmaRiferimenti


3 / 11630 Maggio 2007

Requisiti

Stack protocollari IP-basedElementi di crittografiaProtocolli AAATipologie di attacchi a reti wired


4 / 11630 Maggio 2007

WiFi - Caratteristiche generali

802.11b [1999]11 Mbps nominaliF= 2.4 GHz

802.11a [1999]54 Mbps nominaliF= 5 Ghz

802.11g [2003]54 Mbs nominaliF= 2.4 GHz superset di 802.11b


5 / 11630 Maggio 2007


802.11nRilascio previsto standard IEEE [Q1 2009]Rilascio Draft 2.0 [Q1 2007]Certificazione WiFi Alliance Draft2 [Q2 2007]“Pre-n” already on the shelf

∼200+ Mbs nominaliF= 2.4 GHz e/o F= 5 GHz MIMO


6 / 11630 Maggio 2007


CSMA/CA Carrier Sense Multiple Access / CollisionAVOIDANCE (Non detect)!

Livello MAC (Medium Access Control)Allocazione canaliIndirizzamento MACFormattazione del frameControllo ErroriFrammentazione e riassemblamento


7 / 11630 Maggio 2007


FrameDi Management

Associazione/disassociazione con APTimingAutenticazione

Di controlloHandshakingPositive ACK

Data


8 / 11630 Maggio 2007


Due modalitàInfrastructure

Topologia a stella (radio)AP eventualmente si comporta come uno switchverso la LAN o un router verso la WAN (Es. routerADSL WiFi)

Ad-HocCollegamento punto-punto tra ciascuna coppia di stationSottosistema di sicurezza non completamente sfruttabile (in pratica solo crypt tramite PSK)


9 / 11630 Maggio 2007


Service Set Identifier (SSID)Associabile a più AP, è più un meccanismo di management che di sicurezza

Filtraggio degli indirizzi MACIndirizzi MAC modificabili

Meccanismi di sicurezza “veri”Wired Equivalent Privacy (WEP) e WiFiProtected Access [2] (WPA)


10 / 11630 Maggio 2007

WiFi - Sicurezza

Quelle WiFi sono reti radio quindi:Prive di controllo perimetrale fisicoCon banda limitata

Quindi relativamente semplici per es:Attacchi DOS (tramite Jamming per esempio)Analisi del trafficoAttacchi Man-in-the-middle o Evil Twin (potenza segnale)


11 / 11630 Maggio 2007

WiFi - Sicurezza

Particolarmente sensibile a cattive configurazioni degli AP

Default SSID (quasi sempre broadcasted)Username/password di default per l’amministrazione dell’AP (spesso via web) Altre interfacce di management attivate (esSNMP o CLI telnet-based)WEP/WPA disattivate o con chiavi troppo semplici e/o brevi


12 / 11630 Maggio 2007

WiFi - Sicurezza

Esempio:Access Point forniti in comodato d’uso con le linee ADSL (la maggior parte degli AP!)

Possibilità di admin via web su tutte le interfacce, compresa la WAN e quella radioPassword ridicole (Google)Comodato, quindi da non toccare a rigore

In generale per le componenti WiFi:+ sicurezza = - propensione al Plug’n’Play


13 / 11630 Maggio 2007

WEP

Primo meccanismo di sicurezza per il link-layer di 802.11Pensato per gestire:

Controllo di accessoConfidenzialitàIntegrità dei dati


14 / 11630 Maggio 2007

WEP

Tramite:Autenticazione tramite pre-shared keyCrittografia: RC4 stream-cipherControllo a rindondanza ciclica (CRC-32) per creare un checksum dei dati


15 / 11630 Maggio 2007

WEP

IV

chiave

semeRC4

keystream

dataCRC

ICV

XOR

IV

Dati cifrati

IV (Initialization Vector): 24 bitchiave: 40 o 104 bit

FCSICVdataIV / KeyIDMAC Header


16 / 11630 Maggio 2007

WEP – Debolezze 1/10

Spazio degli IV troppo piccolo (24bit)Alta probabilità di collisione

K(IV): keystream dipendente da IVC : messaggio cifratoP : messaggio in chiaro

C1 = P1 ⊕ K(IV1) C2 = P2 ⊕ K(IV2)

Quindi: (C1 ⊕ C2) = (P1 ⊕ P2) se (IV1 = IV2)

Attacco statistico!!!


17 / 11630 Maggio 2007


Cosa si intende quantitativamentecon alta probabilità di collisione?

Richiesti intorno ai 5000 pacchetti per avere una probabilità di collisione del 50%

“Birthday Paradox”

Dimensione massima tipica di un pacchetto trasmesso su rete WiFi: 1500 byteCollisioni già dopo 5000 x 1500 = 7500000 byte, circa 7MByte!!


18 / 11630 Maggio 2007


Inoltre per alcune schede:IV = 0 in seguito a inizializzazioneIV++ per frame successivi

IV con valori bassi quindi potenzialmente ancora più probabili!

E ci possono essere più station…


19 / 11630 Maggio 2007


Nessuna protezione da replay-attacksSi può reiniettare più volte un frameprecedentemente acquisito e sfruttare l’aumento di traffico a seguito delle risposte indotte dal frame reiniettato

Cambio IV non obbligatorio!

Sfruttato soprattutto con messaggi di tipo ARP-Request, facilmente riconoscibili

Sempre inviati al MAC broadcast (FF:FF:…:FF)Di lunghezza fissa: 68 byte


20 / 11630 Maggio 2007


Il CRC non è protetto tramite chiaveÈ sufficiente essere in possesso solo di un keystream per poter “forgiare” pacchetti validiKeystream ottenibile, per esempio, inviando del traffico noto verso la rete WLAN (magari sfruttando la connessione WAN dell’AP router) e ottenere il tramite sniffing il messaggio cifrato


21 / 11630 Maggio 2007


Il CRC è lineareCRC(P1 ⊕ P2) = CRC(P1) ⊕ CRC(P2)Data una coppia (P1,C1) è possibile forgiare un nuovo messaggio cifrato:C2 = C1 ⊕ (y || CRC(y))tale che P2 = P1 ⊕ y

Conoscere anche solo parzialmente un messaggio cifrato significa poter modificare la parte nota


22 / 11630 Maggio 2007


DimostrazioneC2 = C1 ⊕ (y || CRC(y)) =

RC4(IV) ⊕ (P1 || CRC(P1)) ⊕ (y || CRC(y)) =RC4(IV) ⊕ ((P1 ⊕ y) || (CRC(P1) ⊕ CRC(y)))=RC4(IV) ⊕ ( P2 || (CRC(P1) ⊕ CRC(y)))=RC4(IV) ⊕ ( P2 || CRC(P1 ⊕ y) )=RC4(IV) ⊕ ( P2 || CRC(P2) )

.CVD


23 / 11630 Maggio 2007


Attacco induttivo di Arbaugh [2001]Basato su debolezze CRC, calcola i keystream estendendoli un byte alla voltaC1 e P1 noti: card[C1]=n+4 byteRicaviamo n+4 byte di keystreamCifriamo un messaggio lungo n+1 byte

Usiamo la keystream ricavata precedentementeTiriamo a indovinare il byte mancante

Se il pacchetto viene rilanciato dall’AP abbiamo indovinato, se no riproviamo


24 / 11630 Maggio 2007


Attacco di Scott Fluhrer, Itsik Mantine Adi Shamir (FMS) [2001]

Basato sulla crittoanalisi di RC4, che ne evidenziò l’Invariance Weakness

Esistono degli IV “deboli” (weak) per i quali i byte iniziali del keystream sono fortemente legati alla chiave di cifraturaRaccogliendo un numero sufficiente di frame con weak IV (con alcuni AP più difficile) è possibile risalire alla chiave conoscendo solo il primo byte del keystream


25 / 11630 Maggio 2007


RC4: keystream generator

KSA: Key Scheduling AlgorithmPermuta lo state array S={0,1,…,255} sulla base del seme K fornito

PRGA: Pseudo-Random Generation AlgorithmGenera il keystream pseudocasuale partendo da S

KSA PRGAK(IV || chiave)

keystreamS


26 / 11630 Maggio 2007


PRGA(S)

# Initializationi = 0j = 0# Generation Loopi = i +1j = j + S[i]Swap(S[i], S[j])keystream = S[S[i] + S[j]]

KSA(K)

# InitializationFor i = 0... N1

S[i] = ij = 0# ScramblingFor i = 0... N1

j = j + S[i] + K[i mod l]Swap(S[i], S[j])

NOTA: tutti gli indici di S sono da intendersi mod 256


27 / 11630 Maggio 2007


Keystreami=0, j=0 = S[ S[S[1]] + S[1] ]

Quindi il primo byte del keystream dipende solo da tre valori dello state array S:

S[1] , S[S[1]] , S[S[S[1]]+S[1]]

Il primo byte in chiaro che WEP cifra è fisso!C = P ⊕ keystream ⇒ keystream[0] = C[0] ⊕ P[0]

I weak IV sono quelli che “propagano”attraverso il KSA informazioni sulla chiave

Informazioni che quindi ritroviamo nei tre valori di S…


28 / 11630 Maggio 2007


Ciascun weak IV ha la possibilità propagare informazioni relative a un ben determinato byte della chiave WEP

weak IV = (A+3, 0xFF, X)A = posizione del byte della chiave “indebolito”+3 = offset chiave WEP nel seme (prima 3 byte IV)

In realtà definizione weak IV più generaleIdentificazione meno banalePer scoprire il byte della chiave alla posizione A=n ènecessario conoscere già il byte alla posizione A=n-1Più frequenti quando già molti byte della chiave sono stati individuati


29 / 11630 Maggio 2007


Necessari circa 60 weak IV per ciascun byteProbabilità successo con unico weak IV: 5%Aspetto probabilistico dell’attacco

# Scrambling KSAFor i = 0... N1

j = j + S[i] + K[i mod l]Swap(S[i], S[j])

L’indice j che influenza un eventuale scambio dipende, in ultima analisi, dai valori del seme di avvio ( K[i mod l] )

Gli Swap possono quindi considerarsi randomici


30 / 11630 Maggio 2007


Information leakage:keystream[0] → S → chiave WEP

Dove la prima “→” è permessa da:valori noti di keystream[0]costruzione PRGA

Mentre la seconda “→” sfrutta:costruzione KSAnumero sufficiente di weak IV per ciascun byte della chiave WEP


31 / 11630 Maggio 2007


David Hulton (h1kari) [2002]e KoreK [2004]attacchi FMS ottimizzati

Considerano anche:byte successivi del keystreamweak IV “non banali”

Permettono di raccogliere meno traffico:500.000 ÷ 2.000.000 pacchetti per WEP-128

vs4.000.000 ÷ 6.000.000 pacchetti per WEP-128

Andreas Klein [2005]Ulteriori correlazioni keystream-chiave

50.000 pacchetti ARP per WEP-128


32 / 11630 Maggio 2007


Fragmentation Attack [2005]Permette di trasmettere una quantitàarbitraria di dati senza conoscere la chiaveNecessita dello sniffing di 1 solo pacchetto cifrato

Primi 8 byte dei dati cifrato noti anche in chiaro (802.2 LLC/SNAP)

Primi 8 byte del keystream noti!In realtà anche di più…


33 / 11630 Maggio 2007


802.11 MAC Header IV / KeyID FCSICV

payload cifrato

data

DSAP SSAP ctrl org code typedata

802.2 LLC 802.2 SNAP

0xAA 0xAA 0x03 0x00:00:00 0x08:00 IP

0x08:06 ARP

…………… ….

30 ottetti 4 ottetti 0…2304 ottetti 4 ottetti 4 ottetti

3 ottetti 5 ottetti

lunghezza tipica ≠


34 / 11630 Maggio 2007


802.11 prevede la possibilità di frammentazione a livello MAC

Crittografia WEP indipendente in ogni frammentoIV e quindi keystream noto può essere riusato in tutti i frammenti

Quindi frammenti di 8 bytecarico utile di 4 byteCRC di 4 byte

Numero max di frammenti: 16 (=64 byte utili)LLC+SNAP+IP Header: 28 byteRimangono 36 byte di carico utile over IP

Eventualmente frammentazione IP


35 / 11630 Maggio 2007


Si possono scoprire keystream più lunghi:Si iniettano pacchetti frammentati broadcastL’AP li rilancia come un singolo pacchettoKnown Plaintext Attack!

Può essere utile ripetere il procedimento fino a raggiungere la MTU (MaximumTrasmission Unit)


36 / 11630 Maggio 2007


E la fase di ricezione?Attacco induttivo di Arbaugh che parta dai primi 8 byte di keystream del pacchetto ricevuto

Eventualmente Dictionary pre-calcolato di coppie(IV,keystream) man mano si sniffano pacchetti con IV differenti

Se card[keystream]=MTU alla fine si potràdecriptare tutto senza conoscere la chiave WEP(2^24) IV * 1500 byte: Dictionary di 23GByteoltre 16 milioni di pacchetti (ma AP che evitano weak-IV aiutano! ☺ )


37 / 11630 Maggio 2007


Problema di implementazioneNon tutte le schede WiFi (station) possono essere portate in monitor-mode (modalitàpromiscua)

A maggior ragione non tutte permettono di iniettare pacchetti raw

Non tutti gli AP gestiscono correttamente i pacchetti frammentati


38 / 11630 Maggio 2007


Attacco KoreK Chopchop [2004]Se a un messaggio cifrato valido viene troncato l’ultimo byte (parte dell’ICV)

Il nuovo messaggio “tronco” è ovviamente invalidoMettendo in XOR il messaggio non valido con un determinato valore si ottiene un nuovo messaggio cifrato correttoIl valore con cui fare lo XOR dipende solo dal valore del byte in chiaro corrispondente al byte cifrato eliminato


39 / 11630 Maggio 2007


Procedura ChopchopTronca l’ultimo byte di un frame cifratoAssume che il valore del byte in chiaro corrispondente fosse 0 e fa lo XOR opportunoInvia il nuovo frame ottenutoSe il valore era veramente 0 il nuovo pacchetto èvalido e l’AP lo rilancia, altrimenti lo scarta e la procedura ritenta con un altro valore (max 256 tentativi!)Si ripete la procedura per ciascun byte del frame(alcuni AP: check dimensione frame!)


40 / 11630 Maggio 2007


CRC: bit frame coefficienti polinomicon aritmetica modulo 2

P(x) dati (grado n-1, n bit)G(x) polinomio generatore (grado k)ICV(x) CRC (grado k-1, k bit)

P(x) xk = Q(x) G(x) ⊕ ICV(x)

P(x) xk ⊕ ICV(x) = Q(x) G(x)

In ricezione, in assenza di errori di trasmissione:

P(x) xk ⊕ ICV(x) = 0 mod G(x)


41 / 11630 Maggio 2007


CRC per WiFi:

k=32coefficienti G(x): 0x04C11DB7 (+msb)coefficienti pn-1, pn-2, …, pn-32 di P(x) complementatiper il calcolosi inviano i bit di ICV complementati

W(x) = P(x) x32 ⊕ ( ICV*(x) ⊕ x31 ⊕ x30 ⊕ … ⊕ x ⊕ 1 )

In ricezione, in assenza di errori di trasmissione:

W(x) = x31 ⊕ … ⊕ x ⊕ 1 mod G(x)


42 / 11630 Maggio 2007


Dimostrazione Chopchop

W(x) = x31 ⊕ … ⊕ x ⊕ 1 mod G(x) ⇒ ok!W(x) = C(x) x ⊕ w0

C(x): polinomio costruito con i coefficienti di grado >0 di W(x), quindi associato alla troncatura dell’ultimo bit (w0)

C(x) x = W(x) ⊕ w0 == x31 ⊕ … ⊕ x ⊕ (1 ⊕ w0) mod G(x)


43 / 11630 Maggio 2007


x A(x) = 1 mod G(x) ⇒ x A(x) = Z(x) G(x) ⊕ 1 ⇒

⇒ A(x) = (Z(x) G(x) ⊕ 1) / x

Poniamo Z(x)=1. Esistenza A(x) garantita da ∃ g0 = 1

C(x) = A(x) (x31 ⊕ … ⊕ x ⊕ (1 ⊕ w0)) mod G(x)

C(x) ⊕ (A(x) ⊕ 1) (x31 ⊕ … ⊕ x ⊕ (1 ⊕ w0)) ⊕ w0=

x31 ⊕ … ⊕ x ⊕ 1 mod G(x)

Ovvero la condizione di accettabilità del frame(assenza di errori di trasmissione).Si ripete la procedura per altri 7 bit. CVD


44 / 11630 Maggio 2007


Attacco alla Shared AuthenticationAutenticazione WEP

Open (No autenticazione)Shared (Meccanismo Challenge/Response)

AP invia alla station un challenge casualeStation risponde con il challenge criptato con la chiave WEPAnche AP calcola il valore del challenge criptatoSe i due valori coincidono la Station è autenticata

Chiavi WEP corte (104 o 40 bit)Possibile Known Plaintext AttackAutenticazione di default: sempre Open


45 / 11630 Maggio 2007


Frame di management in chiaroFrame di Management

Associazione/disassociazione con APTimingAutenticazione

Concorrono a rendere critica la Shared Auth.Rendono possibili DOS che disassociano le station, per es.


46 / 11630 Maggio 2007

WEP – Riassunto Debolezze

Spazio degli IV troppo piccoloNessuna protezione da replay-attacksIl CRC non è protetto tramite chiaveIl CRC è lineareAttacco induttivo di ArbaughAttacchi FMS e FMS ottimizzatiFragmentation AttackAttacco KoreK ChopchopAttacco alla Shared AuthenticationFrame di management in chiaro


47 / 11630 Maggio 2007

WEP - Debolezze

The Slurpr

Può agganciare fino a 6 canali WiFi contemporaneamenteLoad-balancing in uscitaPensato anche per il WEP-crackingCPU MIPS 266 MHz, 64MB RAM, CF 4GB, Debian LinuxPresentato ufficialmente il 1° Giugno 2007 al “The Next Web Conference” a AmsterdamDesign hw e sw sarà diffuso sotto Creative Commons


48 / 11630 Maggio 2007

WPA

Rilasciato nel 2002 dalla WiFi AllianceBasato su un draft dello standard 802.11iMitiga le debolezze del WEPCompatibilità con i device esistenti

Utilizza ancora RC4Nuovo seme di avvio per lo stream-cipher (TKIP)

CRC integrato da Michael(Checksum vs Message Integrity Code)Aggiornamenti software / firmware

Possibile autenticazione 802.1X


49 / 11630 Maggio 2007

WPA – 802.1X

Framework che può utilizzare diversi metodi di autenticazione (via EAP)

SupplicantLa station

AuthenticatorL’access point

Authentication ServerUn server Radius o LDAP, per es.


50 / 11630 Maggio 2007

WPA – 802.1X


51 / 11630 Maggio 2007

WPA – 802.1X

Attacchi a 802.1X vs attacchi a WPALink authenticator / auth. server trusted? Non sempre (AP “stupidi”)

Autenticazione ok:Tutte e tre le entità condividono la conoscenza di una Master Key MK


52 / 11630 Maggio 2007

WPA

MICIV / KeyID

FCSICVdataext IVMAC Header

semeRC4

keystream

CRCICV

XOR

TKIP

Michael

Dati cifrati

IV

ext IVIV

MAC

chiave

data

SA / DA


53 / 11630 Maggio 2007

WPA - TKIP

. TTAK cached finchè possibile . IV inizializzato a 1 a ogni cambio di TK

. 32 MSB IV = extended IV . S-Box in entrambe le fasi

Nuovo seme di avvio per RC4

128 bit

TK 128 bit

MAC 48 bit

32 MSB di IV a 48 bit

MixingFase 1

Chiave TTAK

80 bit

16 LSBdi IV a 48 bit

MixingFase 2

“IV”

“chiave”


54 / 11630 Maggio 2007

WPA - TKIP

Temporal Key Integrity Protocol (TKIP)Chiave Temporal Key TK a 128 bitIV a 48 bit e incrementati a ogni invio (anche per frammenti) per impedire reply-attacks

TSC: TKIP Sequence CounterIn ricezione richiesta la monotonia stretta

Utilizzo MAC address trasmettitore per ridurre ulteriormente possibilità collisioniGenerazione seme durante Fase 2 pensata per rimediare all’Invariance Weakness

evita “weak IV” nei primi 3 byte del seme RC4


55 / 11630 Maggio 2007

WPA - TKIP


56 / 11630 Maggio 2007

WPA - TKIP

Derivazione Temporal Key TKSi parte da Master Key MK (802.1X) o da PSK (autenticazione con pre-shared key)

PSK è una stringa di 256 bit o deriva da passphrase(8...63 caratteri)

Pairwise Master Key PMK=PSK o f(MK)Tramite four-way-handshake da PMK si ottiene Pairwise Transient Key PTKTK e altre chiavi (MIC..) sono parte di PTK“Temporal”: lifetime TK ≤ lifetime PMK (KeyID…)

Ma non critica (TSC)


57 / 11630 Maggio 2007

WPA – 4 Way Handshake


58 / 11630 Maggio 2007

WPA – 4 Way Handshake

Frame EAPoL-KeyIncapsulati in frame data 802.11

PTK calcolata utilizzando:La PMKI MAC Address di station e API nonce (valori casuali) di station e AP

La sicurezza di PTK e quindi TK risiede solo nella PSK o nella MK (via PMK)!

MAC Address e nounce viaggiano in chiaroGranularità PMK: “per station” utilizzando 802.1X

PSK invece unica per tutte le station (problema di implementazione)

GTK usata per traffico broadcast e multicast


59 / 11630 Maggio 2007

WPA – Michael

Livello di sicurezza di un generico MICMisurato in bit: s

2s è il numero di pacchetti protetti dal MIC che ènecessario trasmettere per scoprire il tag corretto

Limite superiore sicurezza MIC: ndove n è la dimensione in bit del tags ≤ ns = n solo quando l’attaco Brute Force è il

migliore possibile(si provano tutti i 2n MIC)


60 / 11630 Maggio 2007

WPA – Michael

Message Integrity Code (MIC)Dimensione chiave e tag: n=64 bitLa chiave TMK è parte di PTK (come TK!)Prestazioni

Usa XOR, addizione, rotazioni, swap di bitLivello di sicurezza obiettivo: 20 bitCrittoanalisi differenziale: 229 messaggiDisassociazione e nuova associazione (four way handshake) per 2 tentativi di contraffazione/min

Contraffazione = MIC non valido


61 / 11630 Maggio 2007

WPA – Debolezze 1/8

Dictionary attack a PSK(passphrase)

PMK = PSK = PBKDF2(passphrase, ssid, ssidLength, 4096, 256)

PBKDF2 (Password-Based Key Derivation Function) è definita nel PKCS#5 v2.0 di RSA Labs4096: numero di iterazioni (rafforzamento della chiave – appesantiscono attacchi brute force)

Qualche centinaia di prove al secondo

256: dimensione output (bit)


62 / 11630 Maggio 2007


Dipendenza da SSID complica il pre-calcoloPassphrase consigliate

Almeno 20 caratteriParole inesistenti

Comunque esistono Hash-Table precalcolatein funzione di passphrase e SSID

Neutralizzano l’effetto delle molteplici iterazioniRiducono il numero delle chiavi provateDimensione dell’ordine delle decine di GByteGratuiti o a pagamento


63 / 11630 Maggio 2007


Necessario anche lo sniffing del four way handshake

TK = f(PTK) = g(PMK,MAC Addresses, nounces)Dopo i primi due messaggi si ha tutto ciò che serveLa bontà della PMK provata viene verificata con riscontro sul MIC del secondo messaggio (protetto con una chiave derivata proprio dalla PTK calcolata: la KCK)


64 / 11630 Maggio 2007



65 / 11630 Maggio 2007



66 / 11630 Maggio 2007


Brute force attack a PMK

Quando PMK = f(MK) (auth 802.1X)Oppure quando PSK = stringa di 256 bit(no passphrase)

Ragionevole ipotizzare un’altissima entropia per MK o per la stringa di 256 bit

Nessun vantaggio nell’uso di Dictionary

4 way handshake come nel Dictionary attack


67 / 11630 Maggio 2007


Temporal Key Hash attack [2004]Temporal Key Hash = procedura di generazione seme RC4 (fase 1 + fase 2)Necessario conoscere pochi (meno di una decina) semi di avvio RC4 che abbiano uguali i 32 bit dell’IV coinvolti nella fase 1

Attacco = rollback fase 232 MSB IV uguali = TTAK costante

Per recuperare TK (Pentium 4 ~2 GHz)4 o più semi RC4: <10 min2 semi RC4 (min): circa 15 ore


68 / 11630 Maggio 2007


Nuovo seme di avvio per RC4

128 bit

TK 128 bit

MAC 48 bit

32 MSB di IV a 48 bit

MixingFase 1

Chiave TTAK

80 bit

16 LSBdi IV a 48 bit

MixingFase 2

“IV”

“chiave”


69 / 11630 Maggio 2007


Denial of Service 4 Way HandshakeAi danni di una StationPrimo messaggio: no auth, no crypt

Aggressore si può quindi fingere AP

Aggressore invia solo il primo messaggio e lascia l’handshake pendenteLa station non rilascia le risorse fino a un timeout

Memorizza PTK e/o dati primo messaggio


70 / 11630 Maggio 2007


È quindi possibile lanciare un DOS contro la station ripetendo con una certa frequenza l’invio del primo messaggio

Funzione del timeout della station per il 4WHFunzione del numero di sessioni simultanee che la station può gestire

L’aggressore potrebbe indurre il ricorso a forme di protezione più deboli


71 / 11630 Maggio 2007


Invertibilità MICKnown Plaintext Attack banale (e offline)

∃ Michael-1(x,y) t.c. TMK = Michael-1 ( P,MIC )

Segretezza tag del MIC tramite keystreamcruciale!...

Non bello visto che Michael ha già la sua password

…analogamente alla disassociazioneponeva rimedio alla bassa sicurezza obiettivo


72 / 11630 Maggio 2007


Related-Message MIC attackCritico se cattive implementazioni del TKIP riusano il medesimo keystream

Date le seguenti condizioni:Definiamo: C = (P | MIC) ⊕ keystreamC1 e C2 in cifrati col medesimo keystreamLength[C1] ≥ Length[C2] + 8 byteP1 conosciuto

E’ possibile calcolare la chiave TMK


73 / 11630 Maggio 2007


Dim. Related-Message MIC attack

P1, C1 noti ⇒ calcolo i primi Length[C1]-8 byte del keystream

Il keystrem ottenuto permette di decifrare tutto C2

Length[C1] – 8 byte ≥ Length[C2]

Quindi otteniamo P2 e MIC2 in chiaroTMK = Michael-1(P2,MIC2)


74 / 11630 Maggio 2007


Nota:I frame 802.11 non hanno lunghezza fissaSe P1 non è conosciuto si può utilizzare un attacco statistico su C1 ⊕ C2

si ottengono P2 e i primi Length[P2] byte del keystream e di P1si “indovinano” i successivi 8 byte di P1si calcolano i restanti 8 byte di keystream necessari

L’unica ipotesi di lavoro stringente rimane quindi il riuso del keystream

Corretta implementazione TKIP importantissima


75 / 11630 Maggio 2007


MIC failures DOSConsiste nello sfruttare il processo di disassociazione e riassociazione tramite fourway handshake

Previsto per compensare debolezza computazionale MichaelAttivato in caso di 2 tentativi di contraffazione/minImpone uno stallo di 60 sec

Attacco complessoOrdine controlli: FCS, ICV, TSC, MIC


76 / 11630 Maggio 2007

WPA – Riassunto debolezze

Dictionary / Brute force attack a PMKTemporal Key Hash attack4 Way Handshake DOSInvertibilità MICRelated-Message MIC attackMIC failures DOSAttacchi indiretti (802.1X..)Frame di management in chiaro


77 / 11630 Maggio 2007

WPA2

Standard 802.11i definitivo [2004]Ovvia l’evoluzione di WPA in WPA2

Superset di WPAIntrodotto l’Advanced Encryption Standard AES-CCMP oltre a TKIP/Michael

AES = Rijndael (2001, NIST, per sostituire DES)CCMP = Counter Mode con CBC-MACIndenne alla crittoanalisi lineare o differenzialeComputazionalmente più pesante

Necessario l’upgrade dell’hardware


78 / 11630 Maggio 2007

WPA2

Modalità counter di criptazioneFunzione counter = una qualsiasi funzione (anche semplice) in grado di garantire una periodicitàsufficientemente elevataKeystream = “counter” cifrato a blocchi


79 / 11630 Maggio 2007

WPA2

CBC-MAC (Cipher Block Chaining MessageAuthentication Code)

A blocchi (di 128 bit per WPA2), in XOR con blocco cifrato precedente

result = 64 MSB per WPA2

Unica chiave per crypt e auth (PTK: 384 bit)


80 / 11630 Maggio 2007

WPA2


81 / 11630 Maggio 2007

WPA2


82 / 11630 Maggio 2007

WPA2

PN: Packet Numberstesso ruolo rivestito da TSC per TKIP (6 byte)Inizializzato a 1 a ogni negoziazione di TK

AAD: Additional Authentication DataSubset del MAC header cui viene garantito il controllo di integrità (22÷30 byte)

Nonce: costruito concatenandoCampo MAC Priority (=0 , per usi futuri)Campo MAC Address A2Packet Number PN (13 byte)


83 / 11630 Maggio 2007

WPA2

CCM (Counter w/ CBC-MAC) definito in IETF RFC 3610In input

AADNonce ( (Priority = 0) || A2 || PN )DataChiave TK

In output: Data e MIC cifratiIl MIC una volta calcolato con chiave TK viene accodato al plaintext per la cifratura “counter”, sempre con la chiave TK


84 / 11630 Maggio 2007

WPA2 – Vulnerabilità a TMTO

Junaid, Mufti, Ilyas [2006]Implementazione WPA2 del counter-mode di CCMP vulnerabile ad attacchi Time-Memory Trade-Off

a causa della predicibilità del counter iniziale e della sua evoluzione

initial counter = f( nonce, payload LoL ) == f( A2, PN, payload LoL)

nonce → notopayload LoL → “octet length of payload length”

spesso frammentazione,quindi lunghezza primoframmento massimale (2296)

initial counter ++


85 / 11630 Maggio 2007


Attacchi Time-Memory Trade-Off

GSM stream cipher A5, DES, Counter ModeRicerca di compromesso tra

Complessità computazionaleRisorse di storage / memoria

da sfruttarsi per immagazinare dati pre-calcolati

Permettono di “ridurre la dimensione della chiave”

Esempio: Hash-Table pre-calcolate per passphrase


86 / 11630 Maggio 2007


Consideriamo due attacchi “estremi”Brute ForceTable Lookup

n = dimensione chiaveT = complessità computazionale (≈ operazioni)M = risorse di memoria per pre-calcolo

Brute Force: T = 2n , M = 0Tipicamente Known Plaintext Attack

Table Lookup: T ≈ 0 , M = 2n


87 / 11630 Maggio 2007


Table Lookup: T ≈ 0 , M = 2n

Tipicamente Chosen Plaintext Attack:

Pre-calcoloScelgo un plaintext P0Con ciascuna delle 2n chiavi ki calcolo C0ki

Creo una tabella di 2n record: ( C0ki , ki )

Quando voglio attaccare una chiave sconosciutaforzo la cifratura del chosen plaintext P0Cerco nella tabella la chiave associata

T ≈ 0 perché non si considerano pre-calcolo e ricerca


88 / 11630 Maggio 2007


Attacco TMTO generico

T = M = 2 2n/3

Ne esistono versioni “specializzate” più potentiPer es.: T = M = 2 n/2 per problemi discrete-logarithmQuindi margine di miglioramento!!

Attacco TMTO generico applicato a WPA2

M = 2 2*128/3 ≈ 4.87E+25 recordT = 2 2*128/3 ≈ 285

Chiave equivalente di poco più di 85 bit!!


89 / 11630 Maggio 2007

WPA2 – Attacco XSL

Nicolas Courtois, Josef Pieprzyk [2002]Crittoanalisi di stream-cipherBasato sulla descrizione dello stream-ciphercon sistemi di equazioni di secondo grado

Per AES con chiave a 128 bit:8000 equazioni1600 variabili

XSL: eXtended Sparse LinearizationMetodo efficiente (??) di risolvere tali sistemiRichiederebbe solo pochi known-plaintext


90 / 11630 Maggio 2007

WPA2 – Attacco XSL

XSL permette un attacco piùefficiente rispetto a quello a forza bruta, ma:

Ancora computazionalmente inattuabileOttimizzazioni XSL: dibattito in corso

Efficacia XSL ancora incognitaPerché AES è algebricamente descrivibile in maniera “così semplice”? (Bruce Schneier, Niels Ferguson)


91 / 11630 Maggio 2007

WPA2 – Riassunto debolezze

Attacchi Dictionary / Brute force“Vulnerabilità” a TMTOAttacchi DOS al 4 Way HandshakeAttacchi indiretti (802.1X..)Frame di management in chiaro

Problema generale di 802.11 Istituito 802.11w task group [2005]

Attacco XSL (??)


92 / 11630 Maggio 2007

Home WiFi – Best Practice

WPA2 con utilizzo suite AES-CCMP

PSK da stringa casuale* di 256 bitoppure

PSK da passphrase con SSID complesso* e nascosto!

*: alta entropia!


93 / 11630 Maggio 2007

Aircrack-ng

Aircrack-ngSuite di programmi per lo sniffing e l’attacco di sessioni WiFi

Attacchi Denial Of ServiceCracking password WEP/WPA[2]

Disponibile per ambienti:Linux (CLI)

Varie distribuzioni

Windows (GUI)Manca delle possibilità di injectionManca dei driver per Monitor Mode

Wildpackets PEEK driver


94 / 11630 Maggio 2007

Aircrack-ng

BackTrackDistribuzione Linux live espressamente pensata per il penetration testing e il security assessmentAllineata a OSSTMM (Open Source Security TestingMethodology Manual)Aircrack-ng e molto altro…Deriva dalla fusione delle distribuzioni

WhaxAuditor Security Collection

Marzo 2007: rilasciata versione 2.0


95 / 11630 Maggio 2007

Aircrack-ng


96 / 11630 Maggio 2007

Aircrack-ng


97 / 11630 Maggio 2007

Aircrack-ng

Airmon-ngThis script can be used to enable monitor mode on wireless card interfaces. Entering the airmon-ngcommand without parameters will show the interface status

Airodump-ngAirodump-ng is used for packet capturing of raw 802.11 frames and is particularly suitable for collecting WEP IVs (Initialization Vector) for the intent of using them with aircrack-ng


98 / 11630 Maggio 2007

Aircrack-ng

Aircrack-ngAircrack-ng is an 802.11 WEP and WPA/WPA2-PSK key cracking program. Aircrack-ng can recover the WEP key once enough encrypted packets have been captured with airodump-ng

various statistical attacks to discover the WEP key with small amounts of captured data combined with brute forcing For cracking WPA/WPA2 pre-shared keys, a dictionary method is used

Airdecap-ngWith airdecap-ng you can decrypt WEP/WPA/WPA2 capturefiles. As well, it can be used to strip the wireless headersfrom an unencrypted wireless capture


99 / 11630 Maggio 2007

Aircrack-ng

Aireplay-ng [Linux]The primary function is to generate traffic for the later usein aircrack-ng for cracking the WEP and WPA-PSK keys

deauthentications for the purpose of capturing WPA handshakefake authentications, Interactive packet replay, ARP requestchopchop and fragmentation attacks

Packetforge-ng [Linux]The purpose of packetforge-ng is to create encryptedpackets that can subsequently be used for injection.

You may create various types of packets such as arp requests, UDP, ICMP and custom packets. The most common use is to create ARP requests


100 / 11630 Maggio 2007

Aircrack-ng

Airodump-ng

CH 9 ][ Elapsed: 4 s ][ 2007-02-25 16:47

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR

00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP bigbear

BSSID STATION PWR Lost Packets Probes

00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14

(not associated) 00:14:A4:3F:8D:13 19 0 4 mossy

00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 5


101 / 11630 Maggio 2007

Aircrack-ng

Aircrack-ngMultiple techniques are combined to crack the WEP key

Andreas Klein RC4 correlationsFMS ( Fluhrer, Mantin, Shamir) attacks - statisticaltechniquesKorek attacks - statistical techniquesBrute force

The idea is to “get into the ball park” with statisticsthen use brute force to finish the job

Aircrack-ng uses brute force on likely keys to actuallydetermine the secret WEP key


102 / 11630 Maggio 2007

Aircrack-ng


103 / 11630 Maggio 2007

Aircrack-ng


104 / 11630 Maggio 2007

Aircrack-ng

Per ciascun byte della chiaveRiga nella forma …valorei (voto valorei)…

Attacco statistico non fornisce risultato certo

Fudge FactorGoverna la parte brute-force del crackingPer ciascun byte della chiave

Si prende il valore col voto più altoSi considerano per il brute-force tutti i valori con voto = votopiù alto / fudge factor

Depth# valore correntemente testato (0+) / # valori coinvolti da Fudge Factor


105 / 11630 Maggio 2007

Aircrack-ng

Basically the fudge factor tells aircrack-nghow broadly to brute force.

It is like throwing a ball into a field then tellingsomebody the ball is somewhere between 0 and 10 meters away. Versus saying the ball is somewherebetween 0 and 100 meters away.

The 100 meter scenario will take a lot longer to search then the 10 meter one but you are more likely to findthe ball with the broader search.

It is a trade off between the length of time and likelihood of finding the secret WEP key.


106 / 11630 Maggio 2007

WiFi a Parma

Quanto sono “reali” le cose viste?

Università di Parma / Protechta SrlTesi di Laurea di Andrea Celentano(a.a. 2004/2005)Esperienza di wardriving nelle vie del centro della città


107 / 11630 Maggio 2007

WiFi a Parma


108 / 11630 Maggio 2007

WiFi a Parma

Wardriving centro di Parma61 reti rilevate51 broadcast SSID, 10 hidden SSID22 SSID di default, 39 SSID personalizzatiMA SOPRATTUTTO:

45 prive di meccanismi di sicurezza15 WEP1 solo WPA


109 / 11630 Maggio 2007

WiFi a Parma

SSID Broadc

ast

Hidden SSID

SSID di defaultSSID

Personalizzato

NIENTE

WEPWPA


110 / 11630 Maggio 2007

WiFi a Parma

Successivamente Protechta ha esteso l’analisi

tutta l’area delimitata dalle tangenzialiDocumento pubblico del 9 Febbraio 2006:

http://www.protechta.it/download/WLAN_Parma.pdf

Individuati1046 Access Point739 privi di meccanismi di sicurezza (71%)862 con SSID Broadcast (82%)

Statisticamente confermati i dati precedenti


111 / 11630 Maggio 2007

WiFi a Parma

Densità reti Wireless a Parma( da http://www.protechta.it/download/WLAN_Parma.pdf )


112 / 11630 Maggio 2007

Riferimenti 1/5

Attacco induttivo di Arbaughhttp://www.cs.umd.edu/~waa/attack/v3dcmnt.htm

Attacco FMS a RC4http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf

Attacco FMS a WEPhttp://wiki-files.aircrack-ng.org/doc/A_Key_Recovery_Attack_on_the_wep.pdf

Attacco FMS – Ottimizzazioni h1karihttp://www.dachb0den.com/projects/bsd-airtools/wepexp.txt

Attacco FMS – Ottimizzazioni KoreKhttp://www.netstumbler.org/showpost.php?p=89036&postcount=11http://lasecwww.epfl.ch/pub/lasec/doc/cha06.pdf


113 / 11630 Maggio 2007

Riferimenti 2/5

Attacco FMS – Ottimizzazioni Andreas Kleinhttp://cage.ugent.be/~klein/RC4/http://eprint.iacr.org/2007/120.pdf

Fragmentation attackhttp://www.toorcon.org/2005/slides/abittau/paper.pdf

Attacco Chopchophttp://www.netstumbler.org/showthread.php?t=12489http://www.netstumbler.org/showthread.php?t=12277

Temporal Key Hash attackhttp://portal.acm.org/citation.cfm?id=997132&dl=acm&coll=&CFID=15151515&CFTOKEN=6184618

Debolezze Michaelhttp://ieeexplore.ieee.org/iel5/7693/29589/01343878.pdf?tp=&isnumber=&arnumber=1343878


114 / 11630 Maggio 2007

Riferimenti 3/5

Vulnerabilità CCMP a TMTOVulnerabilities of IEEE 802.11i Wireless LAN CCMP Protocol- M. Junaid , Dr Muid Mufti, M.Umar Ilyas

Attacchi Time-Memory Trade-Offhttp://ieeexplore.ieee.org/iel5/18/22715/01056220.pdf?tp=&arnumber=1056220&isnumber=22715http://cr.yp.to/2005-590/hong.pdf

XSL – Articolo di Courtois e Pieprzykhttp://eprint.iacr.org/2002/044.pdf

XSL – Opinionihttp://www.macfergus.com/pub/rdalgeq.pdfhttp://www.schneier.com/crypto-gram-0209.html#1http://www.schneier.com/crypto-gram-0210.html#2


115 / 11630 Maggio 2007

Riferimenti 4/5

Birthday Paradoxhttp://en.wikipedia.org/wiki/Birthday_paradox

Matematica dei CRChttp://en.wikipedia.org/wiki/Mathematics_of_CRCs

IETF RFC 3610 (CCM)http://www.ietf.org/rfc/rfc3610.txt?number=3610

Standard ufficiali 802.11http://standards.ieee.org/getieee802/802.11.html

Indagine Protechta Wireless a Parmahttp://www.protechta.it/download/WLAN_Parma.pdf

BackTrackhttp://www.remote-exploit.org/backtrack.html

Aircrack-nghttp://aircrack-ng.org


116 / 11630 Maggio 2007

Riferimenti 5/5

Hash-Table per passphrase WPA/WPA2 (33+ GByte)http://www.churchofwifi.org/Project_Display.asp?PID=90

The Slurprhttp://punto-informatico.it/p.aspx?id=2008020&r=PIhttp://geektechnique.org/projectlab/781/slurpr-the-mother-of-all-wardrive-boxes

vulnerabilità e tecniche di attacco a reti wifiold.wifi.unipr.it/attacchi_wifi_2007-05-30.pdf ·...

Documents