Um Mecanismo de Proteção Contra a Previsibilidade de Informações em Pacotes WTICG /SBSeg 2010 Bruno G. DAmbrosio Eduardo Ferreira de Souza Paulo André da S. Gonçalves
Sumário Motivação e Problemas Abordados Mecanismo Proposto Análise do Mecanismo Proposto Conclusões e Trabalhos Futuros
Motivação Algoritmos de criptografia são cruciais para segurança de diversos protocolos Cifra por fluxo Cifra por blocos Blocos de 3 bytes
Motivação Protocolos de segurança para redes IEEE WEP – RC4 (cifra por fluxo) WPA – RC4 (cifra por fluxo) IEEE i (WPA2) – AES (cifra por blocos) O RC4 também é utilizado em protocolos como SSL e RDP
Motivação Pacotes em texto-plano de vários protocolos possuem informações previsíveis Pacotes têm sempre o mesmo tamanho ou o tamanho varia muito pouco Parte do conteúdo dos pacotes é sempre igual ou é possível adivinhá-la E quando esses pacotes são cifrados? O tamanho pode revelar de qual protocolo é o pacote em texto-plano Exemplos Pacotes de tamanho reduzido e/ou com porções pouco variáveis ARP TCP (SYN, ACK, RST e FYN) DNS
Motivação: A Previsibilidade do ARP Pacotes ARP considerando o uso de redes Ethernet e do protocolo IPv4 Tamanho fixo (28 bytes) Tipo do protocolo de enlace (2 bytes)Tipo de protocolo da camada superior (2 bytes) Tamanho do endereço de enlace (1 byte) Tam. do endereço do da camada superior (1 byte) Operação (2 bytes) Endereço de enlace da Origem (6 bytes) Endereço Lógico da Origem (4 bytes) Endereço de enlace do Destino (6 bytes) Endereço Lógico do Destino (4 bytes)
Motivação: A Previsibilidade do ARP Pacotes ARP quando encapsulados em um quadro IEEE e usam o protocolo IPv4 8 primeiros bytes são fixos e pertencem ao cabeçalho LLC/SNAP do IEEE (AA:AA:03:00:00:00:08:06) 8 bytes seguintes também são fixos Se requisição ARP: (00:01:08:00:06:04:00:01) Se resposta ARP: (00:01:08:00:06:04:00:02)
Motivação O tamanho de certos tipos de pacotes criptografados releva informações importantes a um atacante O tipo do pacote em texto-plano (e.g. ARP) Possível parte do conteúdo em texto-plano Mas o que fazer com isso? Existência de diversos ataques baseados nessas previsibilidades! Ataques podem comprometer completamente a segurança de uma rede seja ela cabeada ou sem fio
Motivação: Explorando a Previsibilidade de Informações em Pacotes em Redes IEEE Ataque PTW (2007) - WEP Captura pacotes ARP (tamanho e conteúdo previsíveis) Descobre os primeiros bytes da keystream Descobre a chave de criptografia do WEP RC4 keystream Texto-Plano Texto-Cifrado Chave WEP
Motivação: Explorando a Previsibilidade de Informações em Pacotes em Redes IEEE Ataque Beck-Tews (2009) - WPA Captura pacotes ARP (tamanho e conteúdo previsíveis) Decifra restante do conteúdo desconhecido (ataque do tipo chopchop adaptado) Obtém a chave de verificação de integridade de pacotes Permite forjar alguns pacotes e enviá-los como legítimos aos clientes da rede! Novos ataques podem ser criados! Ataque Ohigashi e Morii (2009) - WPA Extensão do ataque Beck-Tews Pode usar também a previsibilidade de pacotes DNS Permite forjar alguns pacotes e enviá-los como legítimos aos clientes da rede! Novos ataques podem ser criados!
Problemas O tamanho de certos tipos de pacotes criptografados releva informações importantes a um atacante O tipo do pacote em texto-plano (e.g. ARP) Possível parte do conteúdo em texto-plano Como evitar a previsibilidade de informações em pacotes e, em consequência, evitar os mais diversos ataques que exploram isso?
Mecanismo Proposto Tem por objetivo evitar que o conteúdo dos pacotes trafegue de modo previsível Como? Uso de técnica criptográfica para a inserção de bytes falsos (dummy bytes) em posições aleatórias nos pacotes Alteração das características previsíveis do pacote Modificação do tamanho Atua antes do pacote ser cifrado pelo protocolo de segurança e depois de ser decifrado por ele
Mecanismo Proposto Denominado Eliminador de Previsibilidade de Pacotes (EPP) Utiliza um algoritmo criptográfico do tipo HMAC Geração da quantidade de dummy bytes a serem inseridos e de suas respectivas posições Possui dois procedimentos principais Inserção e Remoção de bytes
EPP - Procedimento de Inserção Chave Lenght Randomization Procedure Semente Módulo Gerador (Hash) Módulo Gerador (Hash) Pacote Original Protocolo de Segurança Módulo Montador O EPP pode ser configurado para inserir um número mínimo pré-determinado de dummy bytes Pacote Modificado Tamanho Original Tamanho
EPP - Procedimento de Remoção Chave Lenght Randomization Procedure Semente Módulo Gerador (Hash) Módulo Gerador (Hash) Pacote Original Protocolo de Segurança Módulo Removedor Pacote Modificado Tamanho Original
Implantação do EPP em redes IEEE Tudo o que o EPP precisa já é oferecido pelos protocolos WPA e WPA2 Utiliza as chaves de cifra dos protocolos WPA e WPA2 como chave de geração dos dummy bytes Usa contador de pacotes existente nos protocolos WPA e WPA2 como semente Utiliza a função HMAC-SHA-1 já utilizada pelos protocolos WPA e WPA2
Implantação do EPP em redes IEEE Cifra por fluxo X cifra por blocos Para o WPA Permite evitar os ataques Beck-Tews e Ohigashi-Morii Para o IEEE i Necessidade de funcionamento diferenciado (para blocos) Pode prevenir ataques futuros A aplicabilidade do EPP não se limita a redes IEEE !
Controle de Overhead no EPP Captura de tráfego na rede do CIn/UFPE Mais de 25% dos pacotes com tamanho entre 26 e 42 bytes ACKs do TCP (40 bytes) ARPs (28 bytes) Como minimizar o overhead global do EPP? Quanto maior o tamanho do pacote, menor o percentual de dummy bytes inseridos Maior proteção para os pacotes pequenos (mais vulneráveis)
Segurança do EPP Eficácia contra ataques de adivinhação do tipo de pacote criptografado Depende do tipo de cifra usada Depende do número mínimo de dummy bytes inserido Depende da dificuldade de se conhecer tal número já que está criptografado Exemplo Uso de cifra de fluxo Apenas 1 dummy byte é inserido em pacote de 28 bytes (29 bytes) adivinhação fácil 10 dummy bytes inseridos em pacote de 28 bytes (38 bytes) se atacante por acaso acertar o tipo de pacote e a quantidade de dummy bytes, precisa analisar mais de 472 milhões de pacotes possíveis e acertar qual é o real
Segurança do EPP Resistência contra outros ataques Depende da segurança do algoritmo HMAC Depende da dificuldade de se encontrar as chaves do protocolo de segurança Passphrase menor que 20 caracteres no WPA e no WPA2 permite ataque de dicionário para recuperação das chaves (vulnerabilidade do usuário/administrador e não do protocolo)
Conclusões e Trabalhos Futuros Previsibilidade de informações em pacotes gera riscos à segurança Redes IEEE são as mais afetadas por esse tipo de ataque O EPP permite eliminar a previsibilidade de tamanho e conteúdo dos pacotes através da inserção de dummy bytes
Conclusões e Trabalhos Futuros O EPP pode ser usado em conjunto com protocolos de segurança em meio guiado e meio sem fio O EPP pode potencialmente evitar vários ataques futuros Trabalhos Futuros Análises sobre a quantidade mínima adequada de dummy bytes a ser inserida para garantir a eficácia do EPP Implantação junto a outros protocolos
OBRIGADO Bruno G. DAmbrosio Eduardo Ferreira de Souza Paulo André da S. Gonçalves