Um Mecanismo de Proteção Contra a Previsibilidade de Informações em Pacotes

WTICG /SBSeg 2010

Bruno G. D’AmbrosioEduardo Ferreira de Souza

Paulo André da S. Gonçalves

Sumário

Motivação e Problemas Abordados Mecanismo Proposto Análise do Mecanismo Proposto Conclusões e Trabalhos Futuros

Motivação

Algoritmos de criptografia são cruciais para segurança de diversos protocolos

Cifra por fluxo

Cifra por blocosBlocos de 3 bytes

Motivação

Protocolos de segurança para redes IEEE 802.11 WEP – RC4 (cifra por fluxo) WPA – RC4 (cifra por fluxo) IEEE 802.11i (WPA2) – AES (cifra por blocos)

O RC4 também é utilizado em protocolos como SSL e RDP

Motivação Pacotes em texto-plano de vários protocolos possuem

informações previsíveis Pacotes têm sempre o mesmo tamanho ou o tamanho varia

muito pouco Parte do conteúdo dos pacotes é sempre igual ou é possível

adivinhá-la

E quando esses pacotes são cifrados? O tamanho pode revelar de qual protocolo é o pacote em texto-plano

Exemplos Pacotes de tamanho reduzido e/ou com porções pouco variáveis

ARP TCP (SYN, ACK, RST e FYN) DNS

Motivação: A Previsibilidade do ARP

Pacotes ARP considerando o uso de redes Ethernet e do protocolo IPv4

Tamanho fixo (28 bytes)

Tipo do protocolo de enlace (2 bytes) Tipo de protocolo da camada superior (2 bytes)

Tamanho do endereço de

enlace (1 byte)

Tam. do endereço do da camada

superior (1 byte)Operação (2 bytes)

Endereço de enlace da Origem (6 bytes)

Endereço Lógico da Origem (4 bytes)

Endereço de enlace do Destino (6 bytes)

Endereço Lógico do Destino (4 bytes)

Motivação: A Previsibilidade do ARP

Pacotes ARP quando encapsulados em um quadro IEEE 802.11 e usam o protocolo IPv4

8 primeiros bytes são fixos e pertencem ao cabeçalho LLC/SNAP do IEEE 802.11 (AA:AA:03:00:00:00:08:06)

8 bytes seguintes também são fixos Se requisição ARP: (00:01:08:00:06:04:00:01) Se resposta ARP: (00:01:08:00:06:04:00:02)

Motivação

O tamanho de certos tipos de pacotes criptografados releva informações importantes a um atacante

O tipo do pacote em texto-plano (e.g. ARP) Possível parte do conteúdo em texto-plano

Mas o que fazer com isso? Existência de diversos ataques baseados nessas

previsibilidades! Ataques podem comprometer completamente a

segurança de uma rede seja ela cabeada ou sem fio

Motivação: Explorando a Previsibilidade de Informações em Pacotes em Redes IEEE 802.11

Ataque PTW (2007) - WEP Captura pacotes ARP (tamanho e conteúdo previsíveis) Descobre os primeiros bytes da keystream Descobre a chave de criptografia do WEP

RC4

keystream

Texto-Plano

Texto-Cifrado

Chave WEP

Motivação: Explorando a Previsibilidade de Informações em Pacotes em Redes IEEE 802.11

Ataque Beck-Tews (2009) - WPA Captura pacotes ARP (tamanho e conteúdo previsíveis) Decifra restante do conteúdo desconhecido (ataque do tipo

chopchop adaptado) Obtém a chave de verificação de integridade de pacotes Permite forjar alguns pacotes e enviá-los como legítimos aos

clientes da rede! Novos ataques podem ser criados!

Ataque Ohigashi e Morii (2009) - WPA Extensão do ataque Beck-Tews Pode usar também a previsibilidade de pacotes DNS Permite forjar alguns pacotes e enviá-los como legítimos aos

clientes da rede! Novos ataques podem ser criados!

Problemas

O tamanho de certos tipos de pacotes criptografados releva informações importantes a um atacante

O tipo do pacote em texto-plano (e.g. ARP) Possível parte do conteúdo em texto-plano

Como evitar a previsibilidade de informações em pacotes e, em consequência, evitar os mais diversos ataques que exploram isso?

Mecanismo Proposto

Tem por objetivo evitar que o conteúdo dos pacotes trafegue de modo previsível

Como? Uso de técnica criptográfica para a inserção de bytes falsos (dummy bytes) em posições aleatórias nos pacotes

Alteração das características previsíveis do pacote Modificação do tamanho

Atua antes do pacote ser cifrado pelo protocolo de segurança e depois de ser decifrado por ele

Mecanismo Proposto

Denominado Eliminador de Previsibilidade de Pacotes (EPP)

Utiliza um algoritmo criptográfico do tipo HMAC Geração da quantidade de dummy bytes a serem inseridos

e de suas respectivas posições

Possui dois procedimentos principais Inserção e Remoção de bytes

EPP - Procedimento de Inserção

Chave

“Lenght Randomization Procedure”

Semente

Módulo Gerador(Hash)

Pacote Original Protocolo de Segurança

Módulo Montador

O EPP pode ser configurado para inserir um número mínimopré-determinado de dummy bytes

Pacote Modificado

Tamanho Original

Tamanho

EPP - Procedimento de Remoção

Chave

“Lenght Randomization Procedure”

Semente

Módulo Gerador(Hash)

Pacote OriginalProtocolo de

SegurançaMódulo

RemovedorPacote

ModificadoTamanho Original

Implantação do EPP em redes IEEE 802.11

Tudo o que o EPP precisa já é oferecido pelos protocolos WPA e WPA2

Utiliza as chaves de cifra dos protocolos WPA e WPA2 como chave de geração dos dummy bytes

Usa contador de pacotes existente nos protocolos WPA e WPA2 como semente

Utiliza a função HMAC-SHA-1 já utilizada pelos protocolos WPA e WPA2

Implantação do EPP em redes IEEE 802.11

Cifra por fluxo X cifra por blocos

Para o WPA Permite evitar os ataques Beck-Tews e Ohigashi-Morii

Para o IEEE 802.11i Necessidade de funcionamento diferenciado (para blocos) Pode prevenir ataques futuros

A aplicabilidade do EPP não se limita a redes IEEE 802.11 !

Controle de Overhead no EPP

Captura de tráfego na rede do CIn/UFPE Mais de 25% dos pacotes com tamanho entre 26 e 42 bytes

ACKs do TCP (40 bytes) ARPs (28 bytes)

Como minimizar o overhead global do EPP? Quanto maior o tamanho do pacote, menor o percentual

de dummy bytes inseridos Maior proteção para os pacotes pequenos (mais vulneráveis)

Segurança do EPP

Eficácia contra ataques de adivinhação do tipo de pacote criptografado

Depende do tipo de cifra usada Depende do número mínimo de dummy bytes inserido Depende da dificuldade de se conhecer tal número já que está criptografado

Exemplo Uso de cifra de fluxo

Apenas 1 dummy byte é inserido em pacote de 28 bytes (29 bytes) adivinhação fácil

10 dummy bytes inseridos em pacote de 28 bytes (38 bytes) se atacante por acaso acertar o tipo de pacote e a quantidade de dummy bytes, precisa

analisar mais de 472 milhões de pacotes possíveis e “acertar” qual é o real

Segurança do EPP

Resistência contra outros ataques Depende da segurança do algoritmo HMAC

Depende da dificuldade de se encontrar as chaves do protocolo de segurança

Passphrase menor que 20 caracteres no WPA e no WPA2 permite ataque de dicionário para recuperação das chaves (vulnerabilidade do usuário/administrador e não do protocolo)

Conclusões e Trabalhos Futuros

Previsibilidade de informações em pacotes gera riscos à segurança

Redes IEEE 802.11 são as mais afetadas por esse tipo de ataque

O EPP permite eliminar a previsibilidade de tamanho e conteúdo dos pacotes através da inserção de dummy bytes

Conclusões e Trabalhos Futuros

O EPP pode ser usado em conjunto com protocolos de segurança em meio guiado e meio sem fio

O EPP pode potencialmente evitar vários ataques futuros

Trabalhos Futuros Análises sobre a quantidade mínima adequada de dummy bytes a ser

inserida para garantir a eficácia do EPP Implantação junto a outros protocolos

OBRIGADO

Bruno G. D’AmbrosioEduardo Ferreira de Souza

Paulo André da S. Gonçalves

efs@cin.ufpe.br