Segurança do Protocolo WEP {asas - famv – emfs}@cin.ufpe.br1.
-
Upload
isadora-mar -
Category
Documents
-
view
214 -
download
0
Transcript of Segurança do Protocolo WEP {asas - famv – emfs}@cin.ufpe.br1.
Segurança do Protocolo WEPSegurança do Protocolo WEP
<Alexandre Sarmento><Alexandre Sarmento><Francisco Valadares><Francisco Valadares>
<Erick Muzart><Erick Muzart>
{asas - famv – emfs}@cin.ufpe.br 1
Introdução: MotivaçãoIntrodução: Motivação
2
• Redes sem fio em crescimento rápido
• A proporção de dados trafegados aumenta
• Predominância das redes WiFi semelhantes à Ethernet
• Maiores preocupações com a segurança
• Mecanismos de segurança deficientes
Sumário Sumário
3
• Descrição WiFi
• Descrição WEP
• Análise dos elementos do WEP
• Fraquezas encontradas
• Conclusões
WI-FI WI-FI
4
• O que é?- Uma tecnologia de transmissão de dados via rádio.
- Wi-Fi é uma marca comercial utilizada pela WECA para indicar a interoperabilidade de produtos WLAN (Wireless Local Area Network).
- O nome provém de "wireless fidelity" (fidelidade sem fio).
- A WECA submete os produtos WLAN a testes avançados; os produtos que atendem ao padrão de interoperabilidade recebem o logotipo Wi-Fi.
- WECA é a ONG Wireless Ethernet Compatibility Alliance, 1999
WI-FI WI-FI
5
802.11b 802.11a 802.11g
2.4GHz 5GHz 2.4GHz
11Mbps 54Mbps 54Mbps
100-300m 30-100m 100-300m
A mais utilizada hoje Aplicações específicas/estabilidade
Substituindo 11b rapidamente
Muito barata Relativamente cara Relativamente barata
Elementos WI-FI Elementos WI-FI
6
• Elementos de uma rede sem fio - Estação Base (ou AP, ponto de acesso): transmissor e bridge (substituem os switches/hubs, DHPC, NAT (Network Address Translation))
- “Ondas de rádio”
(substituem os fios)
Elementos WI-FI Elementos WI-FI
7
- Adaptador de rede (conversor digital para ondas de rádio)
- Portal (interconecta redes 802.11x a outras redes 802 externas)
Arquitetura WI-FI Arquitetura WI-FI
8
• A arquitetura 802.11x é baseada na arquitetura dos celulares
Células (BSS, Basic Service Set), DS (backbones, geralmente Ethernet)
9
• Ambiente
Atrativo: os usuários ficam livres para se moverem enquanto conectados à rede
Vulnerabilidade: o acesso ultrapassa os limites físicos
• Wired Equivalent Privacy
- Padrão de segurança para WLANs IEEE 802.11
- Atua na camada de enlace entre estações e o ponto de acesso (AP)
WEPWEP
10
• Confidencialidade
- Oferece a segurança das informações no canal de comunicação.
- Criptografa os dados que passam pelo canal.
• Integridade
- Protege pacotes contra erros de transmissão (CRC).
- Mensagem + CRC formam o texto pleno que será criptografado.
WEP: CaracterísticasWEP: Características
11
• Autenticação
- Permite apenas acesso autorizado à rede.
- Distribui uma Chave WEP para quem tem acesso à rede sem fio.
• Algoritmo
- É o RC4(será descrito adiante) com uma pequena variante.
- Problemas de segurança relacionados a confidencialidade e autenticação.
WEP: CaracterísticasWEP: Características
Criptografia WEP: PrincípiosCriptografia WEP: Princípios
12
• Uma chave única k de 104 bits compartilhada entre os clientes autorizados e sem política de gestão da chave
• Vetor de inicialização aleatório IV (24 bits) para cada pacote
• Algoritmo criptográfico: cifra RC4
•Então a chave será o IV concatenado com k(128 bits);
XORTexto Pleno CRCRC4 (k, IV)
Dados Transmitidos : IV Texto Cifrado
Descrição RC4Descrição RC4• RC4 : Gerador pseudo-aleatório de um fluxo de bytes, plenamente determinado pela combinação K=IV·k ;• Composto por dois elementos [1]:
• KSA(Key Scheduling Algorithm): usa a chave de pacote K para gerar uma permutação inicial do array S de inteiros 0..N-1• PRGA(Pseudo Random Generation Algoritm): gera um fluxo de bytes à partir de permutações de S
Criptografia WEP: Esquema de Criptografia WEP: Esquema de TransmissãoTransmissão
14
WEP- Autenticação WEP- Autenticação
15
• Problema : um adversário que presencia essa troca ganha uma dupla Challenge e IV·(RC4(k,IV) xor Challenge)• Logo, fazendo novamente um xor entre os dois pacotes, obtém: RC4(k,IV) o que é suficiente, fixando-se o IV, para criptografar validamente qualquer pacote ulterior sem sequer precisar da chave!• Assim, o adversário ganhou o acesso em envio à rede, mesmo se ainda não pode decriptar o que recebe.
WEP- ConfidencialidadeWEP- Confidencialidade
16
• O espaço de IVs de 24 bits é muito pequeno. Assim, o sorteio aleatório de IVs leva a forte probabilidade de repetições, como no paradoxo do aniversário [2].
• Se o adversário dispuser de um par (texto pleno P1, texto criptografado C1) para um dado IVa, ele poderá decifrar qualquer outro pacote que use o mesmo IVa:
C1 = P1 xor RC4(k,IVa)C2 = P2 xor RC4(k,IVa)
C1 xor C2 = (P1 xor RC4(k,IVa)) xor (P2 xor RC4(k,IVa)) C1 xor C2 = P1 xor P2
P2 = P1 xor C1 xor C2
WEP-Key RecoveryWEP-Key Recovery• Suponha que você conhece os A primeiros bytes da chave
WEP(não levando em conta o IV) ;
• Três elementos são suficientes p/ a descoberta do (A+1)– ésimo byte da chave WEP a partir de um pacote capturado com probabilidade não nula( Fluhrer et al [3]) :
i. O primeiro byte da saída do algoritmo PRGA ;
ii. IV´s de uma certa característica ;
iii. Propriedade do array S no momento da execução do algoritmo KSA ;
• Pacotes resolved [3], são pacotes onde se conhece i e ocorre ii ;• No mínimo, em 5% dos pacotes resolved , iii ocorre [4]. 17
1st PRGA Byte 1st PRGA Byte • No Padrão 802.11, pacotes gerados a partir de tráfico ARP possuem o primeiro byte da forma 0xAA ;
•O primeiro byte de saída do PRGA que chamaremos de OUT, seráS[ S[1] + S[S[1] ] ] ;
•Assim, capture um pacote ARP e observe o primeiro byte do texto cifrado R. Temos que R = 0xAA XOR OUT => OUT = R XOR 0xAA, ou seja, como conheço R e o primeiro texto pleno criptografado posso obter S[ S[1] + S[S[1] ] ] = OUT ;
•O valor de OUT será importante p/ a descoberta da chave. 18
IV´s “Fracos”IV´s “Fracos”• Embora existam mais condições para os IV´s, nosso trabalho focou-se em IV´s desta forma:
• IV[0] = A + 3 ;
• IV[1] = 0xFF( 255 em decimal) ;
• IV[2] = Qualquer número de um byte ;
• Capturar pacotes resolved, seria capturar pacotes ARP cujo IV fosse desta forma ;
• Captura-se pacotes resolved suficientes para garantir que pelo menos um deles possuam a propriedade no array S na execução do KSA.
19
Array S no KSA(4/1)Array S no KSA(4/1)
• Observando o algoritmo KSA defina Sn e jn como sendo o estado do
array S após o loop n(do segundo “for”) do KSA(após o Swap) e como o valor de j após passar pelo primeiro passo do loop n (do segundo “for”) do KSA, respectivamente ;
•Note que antes de se passar pelo segundo “for”, S e j já estão pré-definidos ;
20
Array S no KSA(4/2)Array S no KSA(4/2)• Realize i = A + 2 iterações completas do KSA ;
• Com esse número de iterações em pacotes resolved:
• S2[0] = A+3 e S2[1] = 0 ;
• [3] - Com quase 100% de certeza, S2[0] = SA+2[0] e S2[1] = SA+2[1], ou seja, SA+2[0] = A+3 e SA+2 [1] = 0 ;
• No fim da iteração A + 2, teremos SA+3[jA+3] = SA+3 [SA+3 [1] + SA+3 [SA+3 [1]] ] = S[S[1] +S[S[1]] ] = OUT !!!!!!!
•Desde que conhecemos somente os primeiros A bytes da chave WEP, não poderiamos realizar o laço i = A + 3 (pois precisariamos exatamente de K[A+3], K =3 bytes IV + Chave WEP. 21
Array S no KSA(4/3)Array S no KSA(4/3)
Array S no KSA(4/4)Array S no KSA(4/4)• Após essa iteração teremos a seguinte equação do KSA :
• jA+3 = jA+2 +S A+2 [A+3] + K[A+3]
=> K[A+3] = jA+3 - jA+2 - SA+2 [A+3].
• Observe que K[A+3] é exatamente o (A+1)– ésimo byte da chave WEP que estamos procurando ;
• Temos jA+2 e SA+2 [A+3] obtidos da iteração ;
• jA+3 é obtido a partir do conhecimento de OUT!!!!
• Dúvidas e mais detalhes podem ser vistos no nosso relatório. 23
Montando o Algoritmo KeyRec(4/1)Montando o Algoritmo KeyRec(4/1)• Ou seja, conhecendo-se A bytes da chave WEP, posso obter o A+1 ésimo byte......
• Pode ser que o byte achado não corresponda ao byte real.....
• Como tratar disso?????
• Simples....pegue tantos pacotes quanto forem necessários e pegue o byte deduzido de cada um deles.... O byte que ocorrer mais vezes será provavelmente o byte verdadeiro....
• Com essa idéia já podemos montar o algoritmo [4].
24
Montando o Algoritmo KeyRec(4/2)Montando o Algoritmo KeyRec(4/2)• Algoritmo RecoverWEPKey[4] com a subrotina ResolvedPac:
25
Montando o Algoritmo KeyRec(4/3)Montando o Algoritmo KeyRec(4/3)• A subrotina ResolvedPac explora exatamente a propriedade no array S do KSA e retorna o possível byte da chave :
26
Montando o Algoritmo KeyRec(4/4)Montando o Algoritmo KeyRec(4/4)• Segundo Adi Shamir[3] , com q em torno de 60 poderemos obter o byte da chave WEP com 0,5 de certeza, portanto para q > 120 obteremos o byte com chance bastante alta.
DemonstraçãoDemonstração• Nossa implementação desenvolveu uma simulação bem simples baseada na linguagem Perl ;
• O script GeradorPacotesFracos.pl recebe a chave WEP como entrada e gera várias ternas de 4 bytes em notação decimal num arquivo chamado Pacotes.log, sendo que os primeiros 3 bytes representa o IV´s Fracos e o 4º byte representa o 1º byte do texto pleno(0xAA que supostamente foi gerado a partir de um pacote ARP ) criptografado com a chave WEP ;
•O Script WEPKeyRecovery.pl simplesmente pega essas ternas do Pacotes.log e deduz a chave WEP original utilizando-se das idéias aqui apresentadas.
28
ConclusãoConclusão
29
• Todos os mecanismos de segurança do protocolo WEP estão comprometidos ;
• Não há como melhorá-los mantendo compatibilidade ;
• A segurança do 802.11 com WEP é falsa: ataques modernos em menos de 15 minutos ;
• Alternativas como o WPA[5] ;
• Uso de criptografia em outras camadas de comunicação.
ReferênciasReferências• [1] http://en.wikipedia.org/wiki/RC4 , ultimo acesso em 1 de Agosto de 2005.
•[2] http://www.cs.ucsd.edu/users/mihir/cse107/index.html , último acesso em 1 de Agosto de 2005.
•[3] Adi Shamir , Scoot Fluhrer Itsik Mantin , Weaknesses in the key scheduling algorithm of RC4, escrito em 2001. •[4] Adam StubbleField, Joan Ionnadis e Avil de Rubin , Using the Fluhrer , Mantin and Shamir Attack to Break WEP. •[5] http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access, último acesso em 1 de Agosto de 2005.
PerguntasPerguntas
??