Vulnerabilità e tecniche di attacco a reti WiFiold.wifi.unipr.it/Attacchi_WiFi_2007-05-30.pdf ·...
Transcript of Vulnerabilità e tecniche di attacco a reti WiFiold.wifi.unipr.it/Attacchi_WiFi_2007-05-30.pdf ·...
Vulnerabilità e tecniche di attacco a reti WiFi
Andrea BarontiniSITI - Settore Innovazione Tecnologie Informatiche
Università degli Studi di Parma
- 30 Maggio 2007 -
Università degli Studi di ParmaDipartimento di Ingegneria dell’Informazione
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
2 / 11630 Maggio 2007
Agenda
WiFi: caratteristiche generaliWEP
ArchitetturaDebolezze e attacchi
Oltre il WEP: WPA e WPA2ArchitetturaDebolezze e attacchi
Aircrack-ng showcaseCase study: il WiFi a ParmaRiferimenti
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
3 / 11630 Maggio 2007
Requisiti
Stack protocollari IP-basedElementi di crittografiaProtocolli AAATipologie di attacchi a reti wired
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
4 / 11630 Maggio 2007
WiFi - Caratteristiche generali
802.11b [1999]11 Mbps nominaliF= 2.4 GHz
802.11a [1999]54 Mbps nominaliF= 5 Ghz
802.11g [2003]54 Mbs nominaliF= 2.4 GHz superset di 802.11b
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
5 / 11630 Maggio 2007
WiFi - Caratteristiche generali
802.11nRilascio previsto standard IEEE [Q1 2009]Rilascio Draft 2.0 [Q1 2007]Certificazione WiFi Alliance Draft2 [Q2 2007]“Pre-n” already on the shelf
∼200+ Mbs nominaliF= 2.4 GHz e/o F= 5 GHz MIMO
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
6 / 11630 Maggio 2007
WiFi - Caratteristiche generali
CSMA/CA Carrier Sense Multiple Access / CollisionAVOIDANCE (Non detect)!
Livello MAC (Medium Access Control)Allocazione canaliIndirizzamento MACFormattazione del frameControllo ErroriFrammentazione e riassemblamento
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
7 / 11630 Maggio 2007
WiFi - Caratteristiche generali
FrameDi Management
Associazione/disassociazione con APTimingAutenticazione
Di controlloHandshakingPositive ACK
Data
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
8 / 11630 Maggio 2007
WiFi - Caratteristiche generali
Due modalitàInfrastructure
Topologia a stella (radio)AP eventualmente si comporta come uno switchverso la LAN o un router verso la WAN (Es. routerADSL WiFi)
Ad-HocCollegamento punto-punto tra ciascuna coppia di stationSottosistema di sicurezza non completamente sfruttabile (in pratica solo crypt tramite PSK)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
9 / 11630 Maggio 2007
WiFi - Caratteristiche generali
Service Set Identifier (SSID)Associabile a più AP, è più un meccanismo di management che di sicurezza
Filtraggio degli indirizzi MACIndirizzi MAC modificabili
Meccanismi di sicurezza “veri”Wired Equivalent Privacy (WEP) e WiFiProtected Access [2] (WPA)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
10 / 11630 Maggio 2007
WiFi - Sicurezza
Quelle WiFi sono reti radio quindi:Prive di controllo perimetrale fisicoCon banda limitata
Quindi relativamente semplici per es:Attacchi DOS (tramite Jamming per esempio)Analisi del trafficoAttacchi Man-in-the-middle o Evil Twin (potenza segnale)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
11 / 11630 Maggio 2007
WiFi - Sicurezza
Particolarmente sensibile a cattive configurazioni degli AP
Default SSID (quasi sempre broadcasted)Username/password di default per l’amministrazione dell’AP (spesso via web) Altre interfacce di management attivate (esSNMP o CLI telnet-based)WEP/WPA disattivate o con chiavi troppo semplici e/o brevi
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
12 / 11630 Maggio 2007
WiFi - Sicurezza
Esempio:Access Point forniti in comodato d’uso con le linee ADSL (la maggior parte degli AP!)
Possibilità di admin via web su tutte le interfacce, compresa la WAN e quella radioPassword ridicole (Google)Comodato, quindi da non toccare a rigore
In generale per le componenti WiFi:+ sicurezza = - propensione al Plug’n’Play
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
13 / 11630 Maggio 2007
WEP
Primo meccanismo di sicurezza per il link-layer di 802.11Pensato per gestire:
Controllo di accessoConfidenzialitàIntegrità dei dati
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
14 / 11630 Maggio 2007
WEP
Tramite:Autenticazione tramite pre-shared keyCrittografia: RC4 stream-cipherControllo a rindondanza ciclica (CRC-32) per creare un checksum dei dati
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
15 / 11630 Maggio 2007
WEP
IV
chiave
semeRC4
keystream
dataCRC
ICV
XOR
IV
Dati cifrati
IV (Initialization Vector): 24 bitchiave: 40 o 104 bit
FCSICVdataIV / KeyIDMAC Header
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
16 / 11630 Maggio 2007
WEP – Debolezze 1/10
Spazio degli IV troppo piccolo (24bit)Alta probabilità di collisione
K(IV): keystream dipendente da IVC : messaggio cifratoP : messaggio in chiaro
C1 = P1 ⊕ K(IV1) C2 = P2 ⊕ K(IV2)
Quindi: (C1 ⊕ C2) = (P1 ⊕ P2) se (IV1 = IV2)
Attacco statistico!!!
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
17 / 11630 Maggio 2007
WEP – Debolezze 1/10
Cosa si intende quantitativamentecon alta probabilità di collisione?
Richiesti intorno ai 5000 pacchetti per avere una probabilità di collisione del 50%
“Birthday Paradox”
Dimensione massima tipica di un pacchetto trasmesso su rete WiFi: 1500 byteCollisioni già dopo 5000 x 1500 = 7500000 byte, circa 7MByte!!
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
18 / 11630 Maggio 2007
WEP – Debolezze 1/10
Inoltre per alcune schede:IV = 0 in seguito a inizializzazioneIV++ per frame successivi
IV con valori bassi quindi potenzialmente ancora più probabili!
E ci possono essere più station…
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
19 / 11630 Maggio 2007
WEP – Debolezze 2/10
Nessuna protezione da replay-attacksSi può reiniettare più volte un frameprecedentemente acquisito e sfruttare l’aumento di traffico a seguito delle risposte indotte dal frame reiniettato
Cambio IV non obbligatorio!
Sfruttato soprattutto con messaggi di tipo ARP-Request, facilmente riconoscibili
Sempre inviati al MAC broadcast (FF:FF:…:FF)Di lunghezza fissa: 68 byte
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
20 / 11630 Maggio 2007
WEP – Debolezze 3/10
Il CRC non è protetto tramite chiaveÈ sufficiente essere in possesso solo di un keystream per poter “forgiare” pacchetti validiKeystream ottenibile, per esempio, inviando del traffico noto verso la rete WLAN (magari sfruttando la connessione WAN dell’AP router) e ottenere il tramite sniffing il messaggio cifrato
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
21 / 11630 Maggio 2007
WEP – Debolezze 4/10
Il CRC è lineareCRC(P1 ⊕ P2) = CRC(P1) ⊕ CRC(P2)Data una coppia (P1,C1) è possibile forgiare un nuovo messaggio cifrato:C2 = C1 ⊕ (y || CRC(y))tale che P2 = P1 ⊕ y
Conoscere anche solo parzialmente un messaggio cifrato significa poter modificare la parte nota
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
22 / 11630 Maggio 2007
WEP – Debolezze 4/10
DimostrazioneC2 = C1 ⊕ (y || CRC(y)) =
RC4(IV) ⊕ (P1 || CRC(P1)) ⊕ (y || CRC(y)) =RC4(IV) ⊕ ((P1 ⊕ y) || (CRC(P1) ⊕ CRC(y)))=RC4(IV) ⊕ ( P2 || (CRC(P1) ⊕ CRC(y)))=RC4(IV) ⊕ ( P2 || CRC(P1 ⊕ y) )=RC4(IV) ⊕ ( P2 || CRC(P2) )
.CVD
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
23 / 11630 Maggio 2007
WEP – Debolezze 5/10
Attacco induttivo di Arbaugh [2001]Basato su debolezze CRC, calcola i keystream estendendoli un byte alla voltaC1 e P1 noti: card[C1]=n+4 byteRicaviamo n+4 byte di keystreamCifriamo un messaggio lungo n+1 byte
Usiamo la keystream ricavata precedentementeTiriamo a indovinare il byte mancante
Se il pacchetto viene rilanciato dall’AP abbiamo indovinato, se no riproviamo
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
24 / 11630 Maggio 2007
WEP – Debolezze 6/10
Attacco di Scott Fluhrer, Itsik Mantine Adi Shamir (FMS) [2001]
Basato sulla crittoanalisi di RC4, che ne evidenziò l’Invariance Weakness
Esistono degli IV “deboli” (weak) per i quali i byte iniziali del keystream sono fortemente legati alla chiave di cifraturaRaccogliendo un numero sufficiente di frame con weak IV (con alcuni AP più difficile) è possibile risalire alla chiave conoscendo solo il primo byte del keystream
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
25 / 11630 Maggio 2007
WEP – Debolezze 6/10
RC4: keystream generator
KSA: Key Scheduling AlgorithmPermuta lo state array S={0,1,…,255} sulla base del seme K fornito
PRGA: Pseudo-Random Generation AlgorithmGenera il keystream pseudocasuale partendo da S
KSA PRGAK(IV || chiave)
keystreamS
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
26 / 11630 Maggio 2007
WEP – Debolezze 6/10
PRGA(S)
# Initializationi = 0j = 0# Generation Loopi = i +1j = j + S[i]Swap(S[i], S[j])keystream = S[S[i] + S[j]]
KSA(K)
# InitializationFor i = 0... N1
S[i] = ij = 0# ScramblingFor i = 0... N1
j = j + S[i] + K[i mod l]Swap(S[i], S[j])
NOTA: tutti gli indici di S sono da intendersi mod 256
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
27 / 11630 Maggio 2007
WEP – Debolezze 6/10
Keystreami=0, j=0 = S[ S[S[1]] + S[1] ]
Quindi il primo byte del keystream dipende solo da tre valori dello state array S:
S[1] , S[S[1]] , S[S[S[1]]+S[1]]
Il primo byte in chiaro che WEP cifra è fisso!C = P ⊕ keystream ⇒ keystream[0] = C[0] ⊕ P[0]
I weak IV sono quelli che “propagano”attraverso il KSA informazioni sulla chiave
Informazioni che quindi ritroviamo nei tre valori di S…
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
28 / 11630 Maggio 2007
WEP – Debolezze 6/10
Ciascun weak IV ha la possibilità propagare informazioni relative a un ben determinato byte della chiave WEP
weak IV = (A+3, 0xFF, X)A = posizione del byte della chiave “indebolito”+3 = offset chiave WEP nel seme (prima 3 byte IV)
In realtà definizione weak IV più generaleIdentificazione meno banalePer scoprire il byte della chiave alla posizione A=n ènecessario conoscere già il byte alla posizione A=n-1Più frequenti quando già molti byte della chiave sono stati individuati
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
29 / 11630 Maggio 2007
WEP – Debolezze 6/10
Necessari circa 60 weak IV per ciascun byteProbabilità successo con unico weak IV: 5%Aspetto probabilistico dell’attacco
# Scrambling KSAFor i = 0... N1
j = j + S[i] + K[i mod l]Swap(S[i], S[j])
L’indice j che influenza un eventuale scambio dipende, in ultima analisi, dai valori del seme di avvio ( K[i mod l] )
Gli Swap possono quindi considerarsi randomici
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
30 / 11630 Maggio 2007
WEP – Debolezze 6/10
Information leakage:keystream[0] → S → chiave WEP
Dove la prima “→” è permessa da:valori noti di keystream[0]costruzione PRGA
Mentre la seconda “→” sfrutta:costruzione KSAnumero sufficiente di weak IV per ciascun byte della chiave WEP
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
31 / 11630 Maggio 2007
WEP – Debolezze 6/10
David Hulton (h1kari) [2002]e KoreK [2004]attacchi FMS ottimizzati
Considerano anche:byte successivi del keystreamweak IV “non banali”
Permettono di raccogliere meno traffico:500.000 ÷ 2.000.000 pacchetti per WEP-128
vs4.000.000 ÷ 6.000.000 pacchetti per WEP-128
Andreas Klein [2005]Ulteriori correlazioni keystream-chiave
50.000 pacchetti ARP per WEP-128
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
32 / 11630 Maggio 2007
WEP – Debolezze 7/10
Fragmentation Attack [2005]Permette di trasmettere una quantitàarbitraria di dati senza conoscere la chiaveNecessita dello sniffing di 1 solo pacchetto cifrato
Primi 8 byte dei dati cifrato noti anche in chiaro (802.2 LLC/SNAP)
Primi 8 byte del keystream noti!In realtà anche di più…
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
33 / 11630 Maggio 2007
WEP – Debolezze 7/10
802.11 MAC Header IV / KeyID FCSICV
payload cifrato
data
DSAP SSAP ctrl org code typedata
802.2 LLC 802.2 SNAP
0xAA 0xAA 0x03 0x00:00:00 0x08:00 IP
0x08:06 ARP
…………… ….
30 ottetti 4 ottetti 0…2304 ottetti 4 ottetti 4 ottetti
3 ottetti 5 ottetti
lunghezza tipica ≠
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
34 / 11630 Maggio 2007
WEP – Debolezze 7/10
802.11 prevede la possibilità di frammentazione a livello MAC
Crittografia WEP indipendente in ogni frammentoIV e quindi keystream noto può essere riusato in tutti i frammenti
Quindi frammenti di 8 bytecarico utile di 4 byteCRC di 4 byte
Numero max di frammenti: 16 (=64 byte utili)LLC+SNAP+IP Header: 28 byteRimangono 36 byte di carico utile over IP
Eventualmente frammentazione IP
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
35 / 11630 Maggio 2007
WEP – Debolezze 7/10
Si possono scoprire keystream più lunghi:Si iniettano pacchetti frammentati broadcastL’AP li rilancia come un singolo pacchettoKnown Plaintext Attack!
Può essere utile ripetere il procedimento fino a raggiungere la MTU (MaximumTrasmission Unit)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
36 / 11630 Maggio 2007
WEP – Debolezze 7/10
E la fase di ricezione?Attacco induttivo di Arbaugh che parta dai primi 8 byte di keystream del pacchetto ricevuto
Eventualmente Dictionary pre-calcolato di coppie(IV,keystream) man mano si sniffano pacchetti con IV differenti
Se card[keystream]=MTU alla fine si potràdecriptare tutto senza conoscere la chiave WEP(2^24) IV * 1500 byte: Dictionary di 23GByteoltre 16 milioni di pacchetti (ma AP che evitano weak-IV aiutano! ☺ )
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
37 / 11630 Maggio 2007
WEP – Debolezze 7/10
Problema di implementazioneNon tutte le schede WiFi (station) possono essere portate in monitor-mode (modalitàpromiscua)
A maggior ragione non tutte permettono di iniettare pacchetti raw
Non tutti gli AP gestiscono correttamente i pacchetti frammentati
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
38 / 11630 Maggio 2007
WEP – Debolezze 8/10
Attacco KoreK Chopchop [2004]Se a un messaggio cifrato valido viene troncato l’ultimo byte (parte dell’ICV)
Il nuovo messaggio “tronco” è ovviamente invalidoMettendo in XOR il messaggio non valido con un determinato valore si ottiene un nuovo messaggio cifrato correttoIl valore con cui fare lo XOR dipende solo dal valore del byte in chiaro corrispondente al byte cifrato eliminato
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
39 / 11630 Maggio 2007
WEP – Debolezze 8/10
Procedura ChopchopTronca l’ultimo byte di un frame cifratoAssume che il valore del byte in chiaro corrispondente fosse 0 e fa lo XOR opportunoInvia il nuovo frame ottenutoSe il valore era veramente 0 il nuovo pacchetto èvalido e l’AP lo rilancia, altrimenti lo scarta e la procedura ritenta con un altro valore (max 256 tentativi!)Si ripete la procedura per ciascun byte del frame(alcuni AP: check dimensione frame!)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
40 / 11630 Maggio 2007
WEP – Debolezze 8/10
CRC: bit frame coefficienti polinomicon aritmetica modulo 2
P(x) dati (grado n-1, n bit)G(x) polinomio generatore (grado k)ICV(x) CRC (grado k-1, k bit)
P(x) xk = Q(x) G(x) ⊕ ICV(x)
P(x) xk ⊕ ICV(x) = Q(x) G(x)
In ricezione, in assenza di errori di trasmissione:
P(x) xk ⊕ ICV(x) = 0 mod G(x)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
41 / 11630 Maggio 2007
WEP – Debolezze 8/10
CRC per WiFi:
k=32coefficienti G(x): 0x04C11DB7 (+msb)coefficienti pn-1, pn-2, …, pn-32 di P(x) complementatiper il calcolosi inviano i bit di ICV complementati
W(x) = P(x) x32 ⊕ ( ICV*(x) ⊕ x31 ⊕ x30 ⊕ … ⊕ x ⊕ 1 )
In ricezione, in assenza di errori di trasmissione:
W(x) = x31 ⊕ … ⊕ x ⊕ 1 mod G(x)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
42 / 11630 Maggio 2007
WEP – Debolezze 8/10
Dimostrazione Chopchop
W(x) = x31 ⊕ … ⊕ x ⊕ 1 mod G(x) ⇒ ok!W(x) = C(x) x ⊕ w0
C(x): polinomio costruito con i coefficienti di grado >0 di W(x), quindi associato alla troncatura dell’ultimo bit (w0)
C(x) x = W(x) ⊕ w0 == x31 ⊕ … ⊕ x ⊕ (1 ⊕ w0) mod G(x)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
43 / 11630 Maggio 2007
WEP – Debolezze 8/10
x A(x) = 1 mod G(x) ⇒ x A(x) = Z(x) G(x) ⊕ 1 ⇒
⇒ A(x) = (Z(x) G(x) ⊕ 1) / x
Poniamo Z(x)=1. Esistenza A(x) garantita da ∃ g0 = 1
C(x) = A(x) (x31 ⊕ … ⊕ x ⊕ (1 ⊕ w0)) mod G(x)
C(x) ⊕ (A(x) ⊕ 1) (x31 ⊕ … ⊕ x ⊕ (1 ⊕ w0)) ⊕ w0=
x31 ⊕ … ⊕ x ⊕ 1 mod G(x)
Ovvero la condizione di accettabilità del frame(assenza di errori di trasmissione).Si ripete la procedura per altri 7 bit. CVD
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
44 / 11630 Maggio 2007
WEP – Debolezze 9/10
Attacco alla Shared AuthenticationAutenticazione WEP
Open (No autenticazione)Shared (Meccanismo Challenge/Response)
AP invia alla station un challenge casualeStation risponde con il challenge criptato con la chiave WEPAnche AP calcola il valore del challenge criptatoSe i due valori coincidono la Station è autenticata
Chiavi WEP corte (104 o 40 bit)Possibile Known Plaintext AttackAutenticazione di default: sempre Open
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
45 / 11630 Maggio 2007
WEP – Debolezze 10/10
Frame di management in chiaroFrame di Management
Associazione/disassociazione con APTimingAutenticazione
Concorrono a rendere critica la Shared Auth.Rendono possibili DOS che disassociano le station, per es.
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
46 / 11630 Maggio 2007
WEP – Riassunto Debolezze
Spazio degli IV troppo piccoloNessuna protezione da replay-attacksIl CRC non è protetto tramite chiaveIl CRC è lineareAttacco induttivo di ArbaughAttacchi FMS e FMS ottimizzatiFragmentation AttackAttacco KoreK ChopchopAttacco alla Shared AuthenticationFrame di management in chiaro
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
47 / 11630 Maggio 2007
WEP - Debolezze
The Slurpr
Può agganciare fino a 6 canali WiFi contemporaneamenteLoad-balancing in uscitaPensato anche per il WEP-crackingCPU MIPS 266 MHz, 64MB RAM, CF 4GB, Debian LinuxPresentato ufficialmente il 1° Giugno 2007 al “The Next Web Conference” a AmsterdamDesign hw e sw sarà diffuso sotto Creative Commons
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
48 / 11630 Maggio 2007
WPA
Rilasciato nel 2002 dalla WiFi AllianceBasato su un draft dello standard 802.11iMitiga le debolezze del WEPCompatibilità con i device esistenti
Utilizza ancora RC4Nuovo seme di avvio per lo stream-cipher (TKIP)
CRC integrato da Michael(Checksum vs Message Integrity Code)Aggiornamenti software / firmware
Possibile autenticazione 802.1X
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
49 / 11630 Maggio 2007
WPA – 802.1X
Framework che può utilizzare diversi metodi di autenticazione (via EAP)
SupplicantLa station
AuthenticatorL’access point
Authentication ServerUn server Radius o LDAP, per es.
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
50 / 11630 Maggio 2007
WPA – 802.1X
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
51 / 11630 Maggio 2007
WPA – 802.1X
Attacchi a 802.1X vs attacchi a WPALink authenticator / auth. server trusted? Non sempre (AP “stupidi”)
Autenticazione ok:Tutte e tre le entità condividono la conoscenza di una Master Key MK
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
52 / 11630 Maggio 2007
WPA
MICIV / KeyID
FCSICVdataext IVMAC Header
semeRC4
keystream
CRCICV
XOR
TKIP
Michael
Dati cifrati
IV
ext IVIV
MAC
chiave
data
SA / DA
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
53 / 11630 Maggio 2007
WPA - TKIP
. TTAK cached finchè possibile . IV inizializzato a 1 a ogni cambio di TK
. 32 MSB IV = extended IV . S-Box in entrambe le fasi
Nuovo seme di avvio per RC4
128 bit
TK 128 bit
MAC 48 bit
32 MSB di IV a 48 bit
MixingFase 1
Chiave TTAK
80 bit
16 LSBdi IV a 48 bit
MixingFase 2
“IV”
“chiave”
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
54 / 11630 Maggio 2007
WPA - TKIP
Temporal Key Integrity Protocol (TKIP)Chiave Temporal Key TK a 128 bitIV a 48 bit e incrementati a ogni invio (anche per frammenti) per impedire reply-attacks
TSC: TKIP Sequence CounterIn ricezione richiesta la monotonia stretta
Utilizzo MAC address trasmettitore per ridurre ulteriormente possibilità collisioniGenerazione seme durante Fase 2 pensata per rimediare all’Invariance Weakness
evita “weak IV” nei primi 3 byte del seme RC4
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
55 / 11630 Maggio 2007
WPA - TKIP
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
56 / 11630 Maggio 2007
WPA - TKIP
Derivazione Temporal Key TKSi parte da Master Key MK (802.1X) o da PSK (autenticazione con pre-shared key)
PSK è una stringa di 256 bit o deriva da passphrase(8...63 caratteri)
Pairwise Master Key PMK=PSK o f(MK)Tramite four-way-handshake da PMK si ottiene Pairwise Transient Key PTKTK e altre chiavi (MIC..) sono parte di PTK“Temporal”: lifetime TK ≤ lifetime PMK (KeyID…)
Ma non critica (TSC)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
57 / 11630 Maggio 2007
WPA – 4 Way Handshake
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
58 / 11630 Maggio 2007
WPA – 4 Way Handshake
Frame EAPoL-KeyIncapsulati in frame data 802.11
PTK calcolata utilizzando:La PMKI MAC Address di station e API nonce (valori casuali) di station e AP
La sicurezza di PTK e quindi TK risiede solo nella PSK o nella MK (via PMK)!
MAC Address e nounce viaggiano in chiaroGranularità PMK: “per station” utilizzando 802.1X
PSK invece unica per tutte le station (problema di implementazione)
GTK usata per traffico broadcast e multicast
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
59 / 11630 Maggio 2007
WPA – Michael
Livello di sicurezza di un generico MICMisurato in bit: s
2s è il numero di pacchetti protetti dal MIC che ènecessario trasmettere per scoprire il tag corretto
Limite superiore sicurezza MIC: ndove n è la dimensione in bit del tags ≤ ns = n solo quando l’attaco Brute Force è il
migliore possibile(si provano tutti i 2n MIC)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
60 / 11630 Maggio 2007
WPA – Michael
Message Integrity Code (MIC)Dimensione chiave e tag: n=64 bitLa chiave TMK è parte di PTK (come TK!)Prestazioni
Usa XOR, addizione, rotazioni, swap di bitLivello di sicurezza obiettivo: 20 bitCrittoanalisi differenziale: 229 messaggiDisassociazione e nuova associazione (four way handshake) per 2 tentativi di contraffazione/min
Contraffazione = MIC non valido
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
61 / 11630 Maggio 2007
WPA – Debolezze 1/8
Dictionary attack a PSK(passphrase)
PMK = PSK = PBKDF2(passphrase, ssid, ssidLength, 4096, 256)
PBKDF2 (Password-Based Key Derivation Function) è definita nel PKCS#5 v2.0 di RSA Labs4096: numero di iterazioni (rafforzamento della chiave – appesantiscono attacchi brute force)
Qualche centinaia di prove al secondo
256: dimensione output (bit)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
62 / 11630 Maggio 2007
WPA – Debolezze 1/8
Dipendenza da SSID complica il pre-calcoloPassphrase consigliate
Almeno 20 caratteriParole inesistenti
Comunque esistono Hash-Table precalcolatein funzione di passphrase e SSID
Neutralizzano l’effetto delle molteplici iterazioniRiducono il numero delle chiavi provateDimensione dell’ordine delle decine di GByteGratuiti o a pagamento
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
63 / 11630 Maggio 2007
WPA – Debolezze 1/8
Necessario anche lo sniffing del four way handshake
TK = f(PTK) = g(PMK,MAC Addresses, nounces)Dopo i primi due messaggi si ha tutto ciò che serveLa bontà della PMK provata viene verificata con riscontro sul MIC del secondo messaggio (protetto con una chiave derivata proprio dalla PTK calcolata: la KCK)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
64 / 11630 Maggio 2007
WPA – Debolezze 1/8
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
65 / 11630 Maggio 2007
WPA – Debolezze 1/8
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
66 / 11630 Maggio 2007
WPA – Debolezze 1/8
Brute force attack a PMK
Quando PMK = f(MK) (auth 802.1X)Oppure quando PSK = stringa di 256 bit(no passphrase)
Ragionevole ipotizzare un’altissima entropia per MK o per la stringa di 256 bit
Nessun vantaggio nell’uso di Dictionary
4 way handshake come nel Dictionary attack
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
67 / 11630 Maggio 2007
WPA – Debolezze 2/8
Temporal Key Hash attack [2004]Temporal Key Hash = procedura di generazione seme RC4 (fase 1 + fase 2)Necessario conoscere pochi (meno di una decina) semi di avvio RC4 che abbiano uguali i 32 bit dell’IV coinvolti nella fase 1
Attacco = rollback fase 232 MSB IV uguali = TTAK costante
Per recuperare TK (Pentium 4 ~2 GHz)4 o più semi RC4: <10 min2 semi RC4 (min): circa 15 ore
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
68 / 11630 Maggio 2007
WPA – Debolezze 2/8
Nuovo seme di avvio per RC4
128 bit
TK 128 bit
MAC 48 bit
32 MSB di IV a 48 bit
MixingFase 1
Chiave TTAK
80 bit
16 LSBdi IV a 48 bit
MixingFase 2
“IV”
“chiave”
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
69 / 11630 Maggio 2007
WPA – Debolezze 3/8
Denial of Service 4 Way HandshakeAi danni di una StationPrimo messaggio: no auth, no crypt
Aggressore si può quindi fingere AP
Aggressore invia solo il primo messaggio e lascia l’handshake pendenteLa station non rilascia le risorse fino a un timeout
Memorizza PTK e/o dati primo messaggio
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
70 / 11630 Maggio 2007
WPA – Debolezze 3/8
È quindi possibile lanciare un DOS contro la station ripetendo con una certa frequenza l’invio del primo messaggio
Funzione del timeout della station per il 4WHFunzione del numero di sessioni simultanee che la station può gestire
L’aggressore potrebbe indurre il ricorso a forme di protezione più deboli
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
71 / 11630 Maggio 2007
WPA – Debolezze 4/8
Invertibilità MICKnown Plaintext Attack banale (e offline)
∃ Michael-1(x,y) t.c. TMK = Michael-1 ( P,MIC )
Segretezza tag del MIC tramite keystreamcruciale!...
Non bello visto che Michael ha già la sua password
…analogamente alla disassociazioneponeva rimedio alla bassa sicurezza obiettivo
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
72 / 11630 Maggio 2007
WPA – Debolezze 5/8
Related-Message MIC attackCritico se cattive implementazioni del TKIP riusano il medesimo keystream
Date le seguenti condizioni:Definiamo: C = (P | MIC) ⊕ keystreamC1 e C2 in cifrati col medesimo keystreamLength[C1] ≥ Length[C2] + 8 byteP1 conosciuto
E’ possibile calcolare la chiave TMK
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
73 / 11630 Maggio 2007
WPA – Debolezze 5/8
Dim. Related-Message MIC attack
P1, C1 noti ⇒ calcolo i primi Length[C1]-8 byte del keystream
Il keystrem ottenuto permette di decifrare tutto C2
Length[C1] – 8 byte ≥ Length[C2]
Quindi otteniamo P2 e MIC2 in chiaroTMK = Michael-1(P2,MIC2)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
74 / 11630 Maggio 2007
WPA – Debolezze 5/8
Nota:I frame 802.11 non hanno lunghezza fissaSe P1 non è conosciuto si può utilizzare un attacco statistico su C1 ⊕ C2
si ottengono P2 e i primi Length[P2] byte del keystream e di P1si “indovinano” i successivi 8 byte di P1si calcolano i restanti 8 byte di keystream necessari
L’unica ipotesi di lavoro stringente rimane quindi il riuso del keystream
Corretta implementazione TKIP importantissima
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
75 / 11630 Maggio 2007
WPA – Debolezze 6/8
MIC failures DOSConsiste nello sfruttare il processo di disassociazione e riassociazione tramite fourway handshake
Previsto per compensare debolezza computazionale MichaelAttivato in caso di 2 tentativi di contraffazione/minImpone uno stallo di 60 sec
Attacco complessoOrdine controlli: FCS, ICV, TSC, MIC
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
76 / 11630 Maggio 2007
WPA – Riassunto debolezze
Dictionary / Brute force attack a PMKTemporal Key Hash attack4 Way Handshake DOSInvertibilità MICRelated-Message MIC attackMIC failures DOSAttacchi indiretti (802.1X..)Frame di management in chiaro
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
77 / 11630 Maggio 2007
WPA2
Standard 802.11i definitivo [2004]Ovvia l’evoluzione di WPA in WPA2
Superset di WPAIntrodotto l’Advanced Encryption Standard AES-CCMP oltre a TKIP/Michael
AES = Rijndael (2001, NIST, per sostituire DES)CCMP = Counter Mode con CBC-MACIndenne alla crittoanalisi lineare o differenzialeComputazionalmente più pesante
Necessario l’upgrade dell’hardware
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
78 / 11630 Maggio 2007
WPA2
Modalità counter di criptazioneFunzione counter = una qualsiasi funzione (anche semplice) in grado di garantire una periodicitàsufficientemente elevataKeystream = “counter” cifrato a blocchi
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
79 / 11630 Maggio 2007
WPA2
CBC-MAC (Cipher Block Chaining MessageAuthentication Code)
A blocchi (di 128 bit per WPA2), in XOR con blocco cifrato precedente
result = 64 MSB per WPA2
Unica chiave per crypt e auth (PTK: 384 bit)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
80 / 11630 Maggio 2007
WPA2
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
81 / 11630 Maggio 2007
WPA2
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
82 / 11630 Maggio 2007
WPA2
PN: Packet Numberstesso ruolo rivestito da TSC per TKIP (6 byte)Inizializzato a 1 a ogni negoziazione di TK
AAD: Additional Authentication DataSubset del MAC header cui viene garantito il controllo di integrità (22÷30 byte)
Nonce: costruito concatenandoCampo MAC Priority (=0 , per usi futuri)Campo MAC Address A2Packet Number PN (13 byte)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
83 / 11630 Maggio 2007
WPA2
CCM (Counter w/ CBC-MAC) definito in IETF RFC 3610In input
AADNonce ( (Priority = 0) || A2 || PN )DataChiave TK
In output: Data e MIC cifratiIl MIC una volta calcolato con chiave TK viene accodato al plaintext per la cifratura “counter”, sempre con la chiave TK
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
84 / 11630 Maggio 2007
WPA2 – Vulnerabilità a TMTO
Junaid, Mufti, Ilyas [2006]Implementazione WPA2 del counter-mode di CCMP vulnerabile ad attacchi Time-Memory Trade-Off
a causa della predicibilità del counter iniziale e della sua evoluzione
initial counter = f( nonce, payload LoL ) == f( A2, PN, payload LoL)
nonce → notopayload LoL → “octet length of payload length”
spesso frammentazione,quindi lunghezza primoframmento massimale (2296)
initial counter ++
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
85 / 11630 Maggio 2007
WPA2 – Vulnerabilità a TMTO
Attacchi Time-Memory Trade-Off
GSM stream cipher A5, DES, Counter ModeRicerca di compromesso tra
Complessità computazionaleRisorse di storage / memoria
da sfruttarsi per immagazinare dati pre-calcolati
Permettono di “ridurre la dimensione della chiave”
Esempio: Hash-Table pre-calcolate per passphrase
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
86 / 11630 Maggio 2007
WPA2 – Vulnerabilità a TMTO
Consideriamo due attacchi “estremi”Brute ForceTable Lookup
n = dimensione chiaveT = complessità computazionale (≈ operazioni)M = risorse di memoria per pre-calcolo
Brute Force: T = 2n , M = 0Tipicamente Known Plaintext Attack
Table Lookup: T ≈ 0 , M = 2n
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
87 / 11630 Maggio 2007
WPA2 – Vulnerabilità a TMTO
Table Lookup: T ≈ 0 , M = 2n
Tipicamente Chosen Plaintext Attack:
Pre-calcoloScelgo un plaintext P0Con ciascuna delle 2n chiavi ki calcolo C0ki
Creo una tabella di 2n record: ( C0ki , ki )
Quando voglio attaccare una chiave sconosciutaforzo la cifratura del chosen plaintext P0Cerco nella tabella la chiave associata
T ≈ 0 perché non si considerano pre-calcolo e ricerca
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
88 / 11630 Maggio 2007
WPA2 – Vulnerabilità a TMTO
Attacco TMTO generico
T = M = 2 2n/3
Ne esistono versioni “specializzate” più potentiPer es.: T = M = 2 n/2 per problemi discrete-logarithmQuindi margine di miglioramento!!
Attacco TMTO generico applicato a WPA2
M = 2 2*128/3 ≈ 4.87E+25 recordT = 2 2*128/3 ≈ 285
Chiave equivalente di poco più di 85 bit!!
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
89 / 11630 Maggio 2007
WPA2 – Attacco XSL
Nicolas Courtois, Josef Pieprzyk [2002]Crittoanalisi di stream-cipherBasato sulla descrizione dello stream-ciphercon sistemi di equazioni di secondo grado
Per AES con chiave a 128 bit:8000 equazioni1600 variabili
XSL: eXtended Sparse LinearizationMetodo efficiente (??) di risolvere tali sistemiRichiederebbe solo pochi known-plaintext
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
90 / 11630 Maggio 2007
WPA2 – Attacco XSL
XSL permette un attacco piùefficiente rispetto a quello a forza bruta, ma:
Ancora computazionalmente inattuabileOttimizzazioni XSL: dibattito in corso
Efficacia XSL ancora incognitaPerché AES è algebricamente descrivibile in maniera “così semplice”? (Bruce Schneier, Niels Ferguson)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
91 / 11630 Maggio 2007
WPA2 – Riassunto debolezze
Attacchi Dictionary / Brute force“Vulnerabilità” a TMTOAttacchi DOS al 4 Way HandshakeAttacchi indiretti (802.1X..)Frame di management in chiaro
Problema generale di 802.11 Istituito 802.11w task group [2005]
Attacco XSL (??)
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
92 / 11630 Maggio 2007
Home WiFi – Best Practice
WPA2 con utilizzo suite AES-CCMP
PSK da stringa casuale* di 256 bitoppure
PSK da passphrase con SSID complesso* e nascosto!
*: alta entropia!
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
93 / 11630 Maggio 2007
Aircrack-ng
Aircrack-ngSuite di programmi per lo sniffing e l’attacco di sessioni WiFi
Attacchi Denial Of ServiceCracking password WEP/WPA[2]
Disponibile per ambienti:Linux (CLI)
Varie distribuzioni
Windows (GUI)Manca delle possibilità di injectionManca dei driver per Monitor Mode
Wildpackets PEEK driver
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
94 / 11630 Maggio 2007
Aircrack-ng
BackTrackDistribuzione Linux live espressamente pensata per il penetration testing e il security assessmentAllineata a OSSTMM (Open Source Security TestingMethodology Manual)Aircrack-ng e molto altro…Deriva dalla fusione delle distribuzioni
WhaxAuditor Security Collection
Marzo 2007: rilasciata versione 2.0
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
95 / 11630 Maggio 2007
Aircrack-ng
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
96 / 11630 Maggio 2007
Aircrack-ng
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
97 / 11630 Maggio 2007
Aircrack-ng
Airmon-ngThis script can be used to enable monitor mode on wireless card interfaces. Entering the airmon-ngcommand without parameters will show the interface status
Airodump-ngAirodump-ng is used for packet capturing of raw 802.11 frames and is particularly suitable for collecting WEP IVs (Initialization Vector) for the intent of using them with aircrack-ng
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
98 / 11630 Maggio 2007
Aircrack-ng
Aircrack-ngAircrack-ng is an 802.11 WEP and WPA/WPA2-PSK key cracking program. Aircrack-ng can recover the WEP key once enough encrypted packets have been captured with airodump-ng
various statistical attacks to discover the WEP key with small amounts of captured data combined with brute forcing For cracking WPA/WPA2 pre-shared keys, a dictionary method is used
Airdecap-ngWith airdecap-ng you can decrypt WEP/WPA/WPA2 capturefiles. As well, it can be used to strip the wireless headersfrom an unencrypted wireless capture
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
99 / 11630 Maggio 2007
Aircrack-ng
Aireplay-ng [Linux]The primary function is to generate traffic for the later usein aircrack-ng for cracking the WEP and WPA-PSK keys
deauthentications for the purpose of capturing WPA handshakefake authentications, Interactive packet replay, ARP requestchopchop and fragmentation attacks
Packetforge-ng [Linux]The purpose of packetforge-ng is to create encryptedpackets that can subsequently be used for injection.
You may create various types of packets such as arp requests, UDP, ICMP and custom packets. The most common use is to create ARP requests
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
100 / 11630 Maggio 2007
Aircrack-ng
Airodump-ng
CH 9 ][ Elapsed: 4 s ][ 2007-02-25 16:47
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:09:5B:1C:AA:1D 11 16 10 0 0 11 54. OPN NETGEAR
00:14:6C:7A:41:81 34 100 57 14 1 9 11 WEP WEP bigbear
BSSID STATION PWR Lost Packets Probes
00:14:6C:7A:41:81 00:0F:B5:32:31:31 51 2 14
(not associated) 00:14:A4:3F:8D:13 19 0 4 mossy
00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 0 5
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
101 / 11630 Maggio 2007
Aircrack-ng
Aircrack-ngMultiple techniques are combined to crack the WEP key
Andreas Klein RC4 correlationsFMS ( Fluhrer, Mantin, Shamir) attacks - statisticaltechniquesKorek attacks - statistical techniquesBrute force
The idea is to “get into the ball park” with statisticsthen use brute force to finish the job
Aircrack-ng uses brute force on likely keys to actuallydetermine the secret WEP key
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
102 / 11630 Maggio 2007
Aircrack-ng
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
103 / 11630 Maggio 2007
Aircrack-ng
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
104 / 11630 Maggio 2007
Aircrack-ng
Per ciascun byte della chiaveRiga nella forma …valorei (voto valorei)…
Attacco statistico non fornisce risultato certo
Fudge FactorGoverna la parte brute-force del crackingPer ciascun byte della chiave
Si prende il valore col voto più altoSi considerano per il brute-force tutti i valori con voto = votopiù alto / fudge factor
Depth# valore correntemente testato (0+) / # valori coinvolti da Fudge Factor
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
105 / 11630 Maggio 2007
Aircrack-ng
Basically the fudge factor tells aircrack-nghow broadly to brute force.
It is like throwing a ball into a field then tellingsomebody the ball is somewhere between 0 and 10 meters away. Versus saying the ball is somewherebetween 0 and 100 meters away.
The 100 meter scenario will take a lot longer to search then the 10 meter one but you are more likely to findthe ball with the broader search.
It is a trade off between the length of time and likelihood of finding the secret WEP key.
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
106 / 11630 Maggio 2007
WiFi a Parma
Quanto sono “reali” le cose viste?
Università di Parma / Protechta SrlTesi di Laurea di Andrea Celentano(a.a. 2004/2005)Esperienza di wardriving nelle vie del centro della città
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
107 / 11630 Maggio 2007
WiFi a Parma
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
108 / 11630 Maggio 2007
WiFi a Parma
Wardriving centro di Parma61 reti rilevate51 broadcast SSID, 10 hidden SSID22 SSID di default, 39 SSID personalizzatiMA SOPRATTUTTO:
45 prive di meccanismi di sicurezza15 WEP1 solo WPA
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
109 / 11630 Maggio 2007
WiFi a Parma
SSID Broadc
ast
Hidden SSID
SSID di defaultSSID
Personalizzato
NIENTE
WEPWPA
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
110 / 11630 Maggio 2007
WiFi a Parma
Successivamente Protechta ha esteso l’analisi
tutta l’area delimitata dalle tangenzialiDocumento pubblico del 9 Febbraio 2006:
http://www.protechta.it/download/WLAN_Parma.pdf
Individuati1046 Access Point739 privi di meccanismi di sicurezza (71%)862 con SSID Broadcast (82%)
Statisticamente confermati i dati precedenti
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
111 / 11630 Maggio 2007
WiFi a Parma
Densità reti Wireless a Parma( da http://www.protechta.it/download/WLAN_Parma.pdf )
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
112 / 11630 Maggio 2007
Riferimenti 1/5
Attacco induttivo di Arbaughhttp://www.cs.umd.edu/~waa/attack/v3dcmnt.htm
Attacco FMS a RC4http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf
Attacco FMS a WEPhttp://wiki-files.aircrack-ng.org/doc/A_Key_Recovery_Attack_on_the_wep.pdf
Attacco FMS – Ottimizzazioni h1karihttp://www.dachb0den.com/projects/bsd-airtools/wepexp.txt
Attacco FMS – Ottimizzazioni KoreKhttp://www.netstumbler.org/showpost.php?p=89036&postcount=11http://lasecwww.epfl.ch/pub/lasec/doc/cha06.pdf
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
113 / 11630 Maggio 2007
Riferimenti 2/5
Attacco FMS – Ottimizzazioni Andreas Kleinhttp://cage.ugent.be/~klein/RC4/http://eprint.iacr.org/2007/120.pdf
Fragmentation attackhttp://www.toorcon.org/2005/slides/abittau/paper.pdf
Attacco Chopchophttp://www.netstumbler.org/showthread.php?t=12489http://www.netstumbler.org/showthread.php?t=12277
Temporal Key Hash attackhttp://portal.acm.org/citation.cfm?id=997132&dl=acm&coll=&CFID=15151515&CFTOKEN=6184618
Debolezze Michaelhttp://ieeexplore.ieee.org/iel5/7693/29589/01343878.pdf?tp=&isnumber=&arnumber=1343878
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
114 / 11630 Maggio 2007
Riferimenti 3/5
Vulnerabilità CCMP a TMTOVulnerabilities of IEEE 802.11i Wireless LAN CCMP Protocol- M. Junaid , Dr Muid Mufti, M.Umar Ilyas
Attacchi Time-Memory Trade-Offhttp://ieeexplore.ieee.org/iel5/18/22715/01056220.pdf?tp=&arnumber=1056220&isnumber=22715http://cr.yp.to/2005-590/hong.pdf
XSL – Articolo di Courtois e Pieprzykhttp://eprint.iacr.org/2002/044.pdf
XSL – Opinionihttp://www.macfergus.com/pub/rdalgeq.pdfhttp://www.schneier.com/crypto-gram-0209.html#1http://www.schneier.com/crypto-gram-0210.html#2
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
115 / 11630 Maggio 2007
Riferimenti 4/5
Birthday Paradoxhttp://en.wikipedia.org/wiki/Birthday_paradox
Matematica dei CRChttp://en.wikipedia.org/wiki/Mathematics_of_CRCs
IETF RFC 3610 (CCM)http://www.ietf.org/rfc/rfc3610.txt?number=3610
Standard ufficiali 802.11http://standards.ieee.org/getieee802/802.11.html
Indagine Protechta Wireless a Parmahttp://www.protechta.it/download/WLAN_Parma.pdf
BackTrackhttp://www.remote-exploit.org/backtrack.html
Aircrack-nghttp://aircrack-ng.org
A. Barontini - Vulnerabilità e tecniche di attacco a reti WiFiUniversità degli Studi di Parma – Dip. di Ingegneria dell’Informazione
116 / 11630 Maggio 2007
Riferimenti 5/5
Hash-Table per passphrase WPA/WPA2 (33+ GByte)http://www.churchofwifi.org/Project_Display.asp?PID=90
The Slurprhttp://punto-informatico.it/p.aspx?id=2008020&r=PIhttp://geektechnique.org/projectlab/781/slurpr-the-mother-of-all-wardrive-boxes