У новинах, що стосуються інформаційних технологій, миготить багато всякої всячини, проте часом трапляються такі звістки, проігнорувати які прос то неможливо. Особливо людям, які цікавляться проблемами інфо безпеки. Як вам, наприклад, така страшилка: «Одномінутний злом WiFi - нова загроза захисту WPA»?
Кожному, хто хоч би в загальних рисах має уявлення про сильну криптографічного системі WPA, що захищає інформацію в бездротових мережах WiFi, новина про її зломі, та ще «однохвилинне» має здатися дуже значною подією, що вимагає до себе найпильнішої уваги. Тому що настільки вражаюча компрометація цілком серйозною системи - це зазвичай сигнал або про появу якихось нових високоефективних методів атаки, або про виявлення раніше невідомої слабкості, мимоволі або навмисне закладеної в криптосистему її творцями.
Втім, у нинішній історії зі зломом WPA справи йдуть не настільки драматично. Деякий шкоду захищеним мереж WiFi зловмисники дійсно можуть нанести, причому і справді вклавшись в хвилину, проте говорити про злом криптографії та реальному доступі до мережевого трафіку поки передчасно. Щоб зрозуміти суть того, в чому ж полягає нова атака проти WiFi, розроблена двома японськими студентами, потрібно ближче познайомитися із загальною історією еволюції захисту в бездротових мережах. А також, відповідно, і з основними атаками, цю еволюцію направляли.
Хроніка зміцнення захисту WIFI
Що входить до специфікації 802.11 базовий механізм для захисту даних в таких мережах отримав назву Wired Equivalent Privacy (WEP), тобто «Конфіденційність, еквівалентна дротового зв'язку». Уже з назви передбачалося, що мова йде не те щоб про реально серйозного захисту, а приблизно про таке ж рівні безпеки, що надає звичайна дротова Ethernet. Де всі дані в загальному випадку передаються у відкритому вигляді, але для доступу до них сторонніх осіб необхідні певні маніпуляції з технікою і протоколами.
Інакше кажучи, захист WEP відлякувала лише випадково підключається до WiFi-мережі сторонніх, а серйозним зловмисникам стало вже без різниці, включено в налаштуваннях шифрування чи ні.
Щоб змінити таку сумну ситуацію, IEEE сформувала робочу групу 802.11i і поставила перед нею завдання: замінити WEP на щось більш сильне і в той же час сумісний з уже експлуатуються обладнанням. У підсумку ця група видала два окремих рішення: одне, так би мовити, з оглядкою назад, а друге - спрямоване в майбутнє.
Крім цього група 802.11i розробила WPA2 - більш сильне рішення для майбутніх версій WiFi, - додавши в комплект криптосистему на основі надійного алгоритму AES з довгим ключем і особливим режимом роботи, що забезпечує додатковий захист цілісності переданих даних. Цей режим носить скорочену назву CCMP, що розшифровується досить хитромудрої ланцюжком слів типу Counter mode with CBC-MAC Protocol. Розбирати в подробицях тонкощі функціонування цього режиму тут навряд чи доречно, але можна відзначити, що в такому варіанті AES забезпечує як шифрування пакетів даних, так і їх цілісність (тобто захищає канал від впровадження підроблених пакетів).
Вся ці рухи тіла, здавалося б, повинні обіцяти швидкий і безболісний перехід до набагато більш стійкою захисту бездротових комунікацій. Проте кілька потенційних слабкостей, загальних у WPA і WPA2, залишають лазівки для зломщиків.
Атака перебором ключів
Одна з таких слабкостей носить назву PSK. Спрощений режим використання ключів PSK (від Pre-shared key, що можна перевести як «загальний заздалегідь встановлений ключ»), також іменований «Персональним режимом», призначений для домашніх мереж і мереж невеликих організацій, де незручно і не прийнято управляти безліччю ключів за допомогою модерних серверів аутентифікації 802.1х.
При використанні PSK кожне WiFi-пристрій шифрує мережевий трафік за допомогою 256-бітного ключа. Цей ключ можна вводити або як послідовність з 64 шістнадцяткових цифр, або - що зручніше для людини - як парольний фразу з «клавіатурних» символів коду ASCII довжиною від 8 до 63 знаків. Якщо використовується код ASCII, то 256 біт ключа обчислюються з парольної фрази за допомогою стандартної криптографічного функції PBKDF2, додає до пароля ідентифікатор мережі SSID і проводить 4096 бітових «змусив» за допомогою хеш-перетворення.
На жаль, навіть при таких заходах ускладнення режим PSK, загальновживану в WPA, нерідко виявляється вразливим для словникових атак перебором паролів - якщо, звичайно, користувач застосовує слабку парольний фразу. Слабкість ключа на основі фіксованого пароля, в общем-то, самоочевидна для будь-якої криптосистеми і лікується за допомогою загальновідомих в комп'ютерній безпеці засобів, типу вибору більш довгих і менш передбачуваних пральних фраз. Як показує досвід, для протистояння подібним атакам в умовах PSK зазвичай буває досить вибирати для пароля випадковий набір знаків з довжиною починаючи від тринадцяти довільних символів, дозволених клавіатурою.
Тяжку спадщину минулого
Менш помітною і тому потенційно більш небезпечною виглядає інша вроджена слабкість WPA2, вбудована в систему як можливість для зворотного кріптосовместімості з раніше випущеними WiFi-пристроями. А саме: зробивши криптоалгоритм TKIP в складі WPA і WPA2 сумісним з адаптерами, що підтримують давно зламаний WEP, Альянс WiFi цим кроком залишив, по суті, діру, яку поступово вдається розширювати для організації досить серйозних атак.
В роботі Бека і Тьюза був показаний метод для посилення вже відомої перш атаки проти WEP, а на цій основі їм вдалося послабити і безпеку WPA - вбивши свого роду клин в вузьку щілину кріптосхеми TKIP, після «розширення» якої виявилося можливим вбудовувати в зашифрований мережевий трафік підроблені пакети. Такі пакети, якщо їх вміло сформувати, можуть викликати в атакований мережі неабиякі проблеми.
Виявлена в TKIP діра пов'язана з контрольними сумами, які використовуються для забезпечення цілісності і правильності переданих даних. Загальний механізм роботи контрольних сум виглядає приблизно так: беруть послідовність бітів, які належить передати, застосовують до них якесь відоме перетворення для отримання короткого перевірочного результату і додають цей результат в кінець переданої послідовності. Перевірочне перетворення влаштовано таким чином, що дозволяє виявляти помилкові біти або місця перепусток в пакеті даних.
У мережах WiFi, де при бездротової передачі відносно великі шанси втратити біт або отримати його спотвореним, контрольні суми постійно використовуються як для виявлення помилок при прийомі, так і для забезпечення цілісності пакетів. Якщо вміст пакету змінилося, а контрольна сума не змінилася, одержувач може встановити, що пакет на шляху свого слідування було підроблено.
У вихідному алгоритмі захисту WEP подібні ідеї хоч і були закладені, але абсолютно не спрацьовували. Оскільки контрольна сума там була обрана відверто слабкою, хакери-криптоаналитики незабаром розробили інструментарій, що дозволяє змінювати дані в пакетах і обчислювати для них нову контрольну суму, видаючи фальшивий пакет за справжній.
Тьюз і Бек у своїй роботі залучили один з подібних інструментів, іменований Chopchop і дозволяє «швидким-швидким» підбором розшифровувати окремі пакети взагалі без відновлення WEP-ключа. Саме ця програма і послужила свого роду плацдармом для розширення атаки на WPA.
Суть методу Chopchop полягає в наступному. Алгоритм розшифровує пакет побайтно, відсікаючи по одному байту з кінця і коригуючи контрольну суму так, як ніби цей байт був 0, потім 1 ... і так до 256 (алгоритм формування контрольної суми відомий, і вона не шифрується). Потім Chopchop відсилає кожен модифікований пакет точки доступу, а та, в свою чергу, відкидає пакети, для яких контрольна сума не підходить. Таким чином, за 256 спроб передачі один байт дешіфруемого пакета гарантовано підбирається. Після цього Chopchop переходить до підбору наступного байта. Принципово важливим є те, що протокол WEP не забороняє нескінченне тестування варіантів в такому режимі - тут немає ніяких заходів захисту від подібних зловживань.
Атака CHOPCHOP + QOS
Таку можливість в стандарті 802.11e надає сервіс QoS (Quality of Service, «Якість обслуговування»), що часто використовується для завдання пріоритетів мережевим пакетам. Ця сервісна можливість була вбудована в WiFi таким чином, щоб пакети, що вимагають максимально швидкої доставки - зокрема, мовні пакети, - могли проходити через мережу в першу чергу. Однак це зручність гукнулося тим, що з роботою черг виявилася пов'язана і можливість багаторазового використання однієї і тієї ж шіфрпоследовательності. Тобто, акуратно відправляючи підроблені пакети з різних черг, вдається уникати запуску лічильника для захисту від повторів шифру. Використовуючи різні тонкощі в роботі QoS за стандартом 802.11e, Тьюз і Бек показали, що в принципі є можливість відправити від 8 до16 підроблених пакетів, захищених однієї і тієї ж шіфрпоследовательності.
Ще один можливий сценарій: «отруєння ARP» дозволяє сканувати весь трафік внутрішньої мережі компанії і виловлювати будь-яку інформацію, в тому числі логіни-паролі (правда тут потрібно інсайдер з монітором трафіку).
Атака «людина посередині»
Не минуло й року після одкровень Тьюза-Бека, як Тосихиро Охігасі з Хіросімського університету і Масакату Морі з Університету Кобе (Toshihiro Ohigashi, Masakatu Morii) помітно перевершили досягнення німців. Ті ж самі дії, до того ж без опори на сервіс QoS, займають тепер близько хвилини.
Головна особливість атаки, розробленої японцями, - це творчий розвиток методу Бека-Тьюза стосовно ситуацій типу «людина посередині». У своїй статье2 Охігасі і Морі описують схему, в якій комп'ютер-клієнт і точка доступу WiFi рознесені так далеко, що спілкуються не безпосередньо, а через комп'ютер-посередник, що має більш потужний сигнал і належить атакуючої стороні. Посередник діє як ретранслятор, що передає пакети трафіку в обох напрямках. Коли слід послати підроблені пакети, противник виконує стандартну атаку типу Chopchop стосовно відповідного короткому пакету, розкриває його 64-бітний MIC, а потім може змайструвати пакет такого виду, який потрібно зловмисникові. Новий пакет кодується з належними перевірочними сумами і передається в точку доступу, приймаючу його за справжній.
Як і атака Бека-Тьюза, атака японців наочно демонструє небездоганність захисту, проте в цілому не загрожує шифрування потоку даних в мережах WiFi. Зрозуміло, що обидва методи підкреслюють слабкості криптографії, заснованої на алгоритмі TKIP, який був розроблений для термінового латання найбільш кричущих дірок в захисті WEP. Однак фарбувати цю новину тільки в чорний колір все одно немає підстав, оскільки вже наявні в WiFi-пристроях засоби шифрування давно готові до подібного повороту подій.
У разі домашньої мережі або мережі невеликого офісу можна рекомендувати:
- в якості «імені мережі», SSID, вибрати щось унікальне та характерне тільки для вас, щоб захиститися від злому мережевого ключа (куди подмешивается SSID) лобовими методами словникового перебору;
- в поле «режим безпеки» (Security Mode) вибрати WPA2;
- в поле «управління ключами» (PSK / EAP) вибрати PSK (про вибір довгою і випадкової парольної фрази в PSK вже говорилося);
- в поле «тип шифру» (Cipher Type) вибрати AES.
При таких налаштуваннях безпеки (якщо маршрутизатор і мережеві адаптери досить нові, тобто сумісні) захист повинен бути максимально міцною.