(In)Segurança em Redes Wireless Giovani Facchini, Juliano Valentini Comunicação de Dados Prof. Valter Roesler
Overview Crescimento acelerado da utilização de dispositivos móveis utilizando conexões sem fio Necessidade de um protocolo que permitisse uma segurança 'parecida' com a de redes locais ligadas por cabos Padronização do WEP (Wired Equivalent Privacy)
Autenticação Open System Shared Key O sistema é aberto e todos tem acesso a ele de maneira irrestrita As informações transitadas na rede podem ser vistas por todos Shared Key Utiliza o protocolo WEP Ambas estações (requisitante e autenticadora) devem compartilhar uma chave secreta
Access Point Funciona como um HUB Recebe as informações das estações e repassa para as outras da rede Utiliza modulação OFMD (Spread Spectrum) Faz a interconexão entre a rede com fios e a rede sem fios Identificação Ativa ou Passiva Ativa: Faz 'probe' para estações Passiva: Espera as requisições (máquinas precisam saber da existência do AP)
WEP - Overview Utilizado no nível de enlace na tentativa de dar segurança equivalente a rede com fios Algorítmo de criptografia simétrica utilizando uma chave compartilhada de 40 bits Utiliza o algorítmo de criptografia RC4 (1987) com IV (Initialization Vector) de 24 bits mais a chave secreta para geração de uma stream criptográfica
RC4 Gera um stream pseudo-aleatória de acordo com a entrada KSA (Key Scheduling Algorithm) Inicializa um vetor[256] Embaralha o vetor[256] utilizando a chave secreta e o IV fazendo permutações PRGA (Pseudo Random Generation Algorithm) A partir do vetor[256] embaralhado, gera chaves de 8 bits pra cada caractere(8 bits) que precisamos criptografar
WEP – (Checksumming) DATA CRC-32 Algorithm CRC Value DATA DATA+CRC Value
WEP – (Encryption) IV password IV + password KSA PRGA DATA + CRC-32 XOR Encrypted DATA
Envio do Pacote IV Encrypted DATA IV + Encrypted DATA
WEP - Decryption IV + Encrypted DATA password IV KSA Encrypted DATA PRGA XOR DATA + CRC-32 CRC-32 GOOD DATA DATA COMPARE BAD DATA CRC CRC-32
Ameaças Wireless Reuso da keystream (mesmo IV) Como o IV é mandado junto e sem criptografia no pacote, um atacante pode verificar o momento em que houve uma colisão Quando acontece uma colisão, podemos fazer um XOR entre as mensagens criptografadas e o resultado é o mesmo que o XOR entre os textos originais Como os campos são bem conhecidos e definidos (IP's, portas e muitas vezes podemos inferir o texto), pode-se fazer análises estatísticas pra descobrir a keystream Depois que a keystream é descoberta, qualquer pacote que utilize aquele IV pode ser descriptografado.
Ameaças Wireless Reuso da keystream (mesmo IV) (cont...) Como o IV utilizado é de apenas 24 bits, a repetição de IV's é inevitável. Solucionável apenas trocando a chave (Inviável) Como o IV é trocado a cada pacote, em uma rede a 11Mbps com pacotes de 1500 bytes, repetições irão ocorres a cada 5 horas Como o padrão não define a escolha do IV, algumas placas resetam o IV pra 0 quando são ligadas e fazem apenas o incremento a cada pacote. Com isso as repetições são extremamente altas para IV's baixos!!!
Ameaças Wireless Criação do Dicionário Quando descobrimos uma keystream, basta adicioná-la a uma lista (dicionário). Se o IV utilizado estiver na lista, basta utilizar a keystream armazenada pra descriptografar o pacote Para gerar uma lista com todas as keystream, precisamos de, em média, 24GB (pouco para alguém com recursos e vontade de bisbilhotar a rede) Depois da lista concluída, todo o tráfego pode ser descriptografado.
Ameaças Wireless Modificando a mensagem Como o CRC-32 é um algorítmo linear, se quisermos modificar algum dos bits de uma mensagem, podemos saber o que devemos modificar no CRC-32 para que a integridade da mensagem seja mantida
Ameaças Wireless Injeção de tráfego Se a rede wireless estiver conectada a uma rede com fios e um atacante tiver controle de uma máquina da rede interna, boa parte da segurança vai 'por água abaixo'. O atacante pode inserir um texto e mandá-lo atrés do AP para alguma máquina da rede wireless. Com isso ele obtém o texto original e cifrado (com um respectivo IV). Fazendo o XOR das mensagens obtemos a keystream e estamos aptos a injetar qualquer tráfego dentro da rede e decifrar mensagens com aquele IV.
Ameaças Wireless Injeção de tráfego (cont...) Como o padrão não determina que o IV necessita ser trocado a cada pacote, o atacante pode utilizar sempre a mesma keystream e IV para enviar dados sem causar alarme.
Ameaças Wireless Falsa Autenticação Um atacante pode se autenticar facilmente. Para isso, ele apenas precisa 'escutar' a autenticação entre o AP e uma estação que é dada da seguinte forma: A estação pede autenticação O AP responde com um texto desafio (texto plano) A estação encripta esse texto com uma keystream e envia ao AP O AP conpara a resposta da estação com a sua versão do texto desafio cifrado. Se forem iguais é sinal de que a estação conhece o segredo compartilhado e estará autenticada
Ameaças Wireless Falsa Autenticação (cont...) Se um atacante observar todos esses passos, ele terá uma versão do texto pura e uma criptografada Fazendo um XOR entre os textos ele obtem a keystream (que neste caso tem um tamanho único, pois o texto desafio é sempre do mesmo tamanho). Com isso ele pode pedir autenticação e responder corretamente ao texto desafio e agora está autenticado.
Ameaças Wireless Redirecionamento de pacotes Se o nosso AP estiver ligado como roteador para a internet podemos enganá-lo para descriptografar as mensagens. Para isso basta usar as técnicas de modificar as mensagens e CRC de maneira a modificar o IP das mensagens para que estas sejam direcionadas para um rede onde o atacante tenha controle. Com isso todo o texto pode ser descriptografado.
Possíveis Soluções Utilizar várias técnicas de criptografia simultâneamente VPN IPSec SSL IDS's Firewall Certificados
Desvantagens A utilização dos vários métodos de segurança impõe muitas cargas na rede: O consumo de energia dos equipamentos móveis é crítico e quanto mais métodos de segurança utilizarmos, mais alto será o consumo de energia inviabilizando o uso. Outro problema é que esse métodos tornam a utilização da rede mais baixa. Podendo consumir mais de 60% da banda só para segurança. A capacidade de processamento dos dispositivos móveis é limitada
Conclusões Como podemos ver, você não será capaz de salvar o mundo. Você poderá, pelo menos, ter um nível de segurança parecido com o da rede 'wired'. A segurança acarreta em baixo desempenho. Aconselha-se utilização pra aplicações em que o sigilo e autenticidade são críticos. É... e fica a pergunta: “Segurança em rede existe???”
Referências Dr. Cyrus Peikari, Seth Fogie. Wireless Maximum Security, SAMS 2003. Nikita Borisov, Ian Goldberg, David Wagner. Intercepting Mobile Communications: The Insecurity of 802.11. André Peres, Raul F. Weber. Considerações sobre Segurança em Redes Sem Fio. Fernando Costa Jr., Luciano Gaspary, Jorge Barbosa, Gerson Cavalheiro, Luciano Pfitscher, José D. G. Ramos. Evaluating the Impact on Data Reception and Energy Consumption of Mobile Devices using IPSec to Securely Access WiFi Networks.