Атака c воздуха

В новостях, касающихся информационных технологий, порой попадаются такие известия, проигнорировать которые невозможно. Как вам, например, такая страшилка: «Одноминутный взлом WiFi — новая угроза защите WPA»?

В новостях, касающихся информационных технологий, мелькает много всякой всячины, однако порой попадаются такие известия, проигнорировать которые просто невозможно. Особенно людям, интересующимся проблемами инфобезопасности. Как вам, например, такая страшилка: «Одноминутный взлом WiFi — новая угроза защите WPA»?

Каждому, кто хотя бы в общих чертах имеет представление о сильной криптографической системе WPA, защищающей информацию в беспроводных сетях WiFi, новость о её взломе, да ещё «одноминутном» должно показаться очень значительным событием, требующим к себе самого пристального внимания. Потому что столь впечатляющая компрометация вполне серьёзной системы — это обычно сигнал либо о появлении каких-то новых высокоэффективных методов атаки, либо о выявлении ранее неизвестной слабости, невольно или умышленно заложенной в криптосистему её создателями.

Впрочем, в нынешней истории со взломом WPA дела обстоят не столь драматично. Кое-какой вред защищённым сетям WiFi злоумышленники действительно могут нанести, причём и вправду уложившись в минуту, тем не менее говорить о взломе криптографии и реальном доступе к сетевому трафику пока преждевременно. Чтобы понять суть того, в чем же заключается новая атака против WiFi, разработанная двумя японскими студентами, потребуется поближе познакомиться с общей историей эволюции защиты в беспроводных сетях. А также, соответственно, и с основными атаками, эту эволюцию направлявшими.

Хроника укрепления защиты WiFi

Семейство стандартов IEEE 802.11 (в миру известных как WiFi и разработанных к концу 1990-х годов для широкого спектра беспроводных компьютерных сетей — от частных владений до офисов и предприятий) благодаря своим удобствам быстро обрело широкую популярность. Обратной стороной популярности тут же стал и повышенный интерес к несанкционированному использованию коммуникационных WiFi-ресурсов, хищению информации из подобных сетей и прочим злоупотреблениям.

Входящий в спецификации 802.11 базовый механизм для защиты данных в таких сетях получил название Wired Equivalent Privacy (WEP), то есть «Приватность, эквивалентная проводной связи». Уже из названия предполагалось, что речь идет не то чтобы о реально серь`зной защите, а примерно о таком же уровне безопасности, что предоставляет обычная проводная Ethernet. Где все данные в общем случае передаются в открытом виде, но для доступа к ним посторонних лиц необходимы определенные манипуляции с техникой и протоколами.

И подобно тому, как умельцы без труда подключаются к Ethernet-сетям для перехвата и шпионажа, так и специалисты быстро преодолели защиту WEP. Слабости конструкции WEP уже в 2001 году позволили группе исследователей из университетов и индустрии (Fluhrer, Mantin, Shamir) взломать эту систему защиты. Криптоаналитики продемонстрировали, что атакующая сторона, располагающая всего лишь средненьким ноутбуком, может восстановить секретный криптоключ в сети всего за один-два часа. В последующие годы было разработано и опубликовано несколько усовершенствованных методик взлома, так что теперь нападающим хватало и 60 секунд (в публичной демонстрации на одной из конференций по безопасности в 2007 году всё было сделано за 3 секунды).

Иначе говоря, защита WEP отпугивала лишь случайно подключавшихся к WiFi-сети посторонних, а серьёзным злоумышленникам стало уже без разницы, включено в настройках шифрование или нет.

Дабы изменить столь печальную ситуацию, IEEE сформировала рабочую группу 802.11i и поставила перед ней задачу: заменить WEP на что-то более сильное и в то же время совместимое с уже эксплуатирующимся оборудованием. В итоге эта группа выдала два отдельных решения: одно, так сказать, с оглядкой назад, а второе — устремлённое в будущее. Принимая во внимание проданное оборудование, члены 802.11i сделали так, чтобы все уже вышедшие с фабрик WiFi-устройства (начиная с 1999 года) можно было оснастить новой системой защиты TKIP (Temporal Key Integrity Protocol, «Временный протокол для целостности ключей»). Конструкция TKIP позволяла обеспечить совместимость со старыми WiFi-картами программно — через обновление драйверов и прошивок. По понятным причинам это сделали в самую первую очередь, и к началу 2003 года TKIP был включен в новый стандарт WiFi-защиты, получивший название WPA (Wi-Fi Protected Access, «Защищенный доступ к WiFi»).

Помимо этого группа 802.11i разработала WPA2 — более сильное решение для будущих версий WiFi, — добавив в комплект криптосистему на основе надежного алгоритма AES с длинным ключом и особым режимом работы, обеспечивающим дополнительную защиту целостности передаваемых данных. Этот режим носит сокращенное название CCMP, что расшифровывается довольно замысловатой цепочкой слов типа Counter mode with CBC-MAC Protocol. Разбирать в подробностях тонкости функционирования этого режима здесь вряд ли к месту, но можно отметить, что в таком варианте AES обеспечивает как шифрование пакетов данных, так и их целостность (то есть защищает канал от внедрения поддельных пакетов).

Когда эта разработка была завершена, Альянс WiFi выпустил обновленную версию стандарта — WPA2. И если первый WPA подразумевал лишь шифрование TKIP, то в WPA2 требуется поддержка обоих алгоритмов, TKIP и AES. Практически все WiFi-устройства, выпущенные с начала 2003 года, предусматривают модификацию до работы с AES. Начиная же с марта 2006 года Альянс WiFi сделал поддержку WPA2 обязательной для всех сертифицированных WiFi-устройств.

Все эти телодвижения, казалось бы, должны обещать быстрый и безболезненный переход к гораздо более стойкой защите беспроводных коммуникаций. Тем не менее несколько потенциальных слабостей, общих у WPA и WPA2, оставляют лазейки для взломщиков.

Атака перебором ключей

Одна из таких слабостей носит название PSK. Упрощенный режим использования ключей PSK (от Pre-shared key, что можно перевести как «общий заранее установленный ключ»), также именуемый «Персональным режимом», предназначен для домашних сетей и сетей небольших организаций, где неудобно и не принято управлять множеством ключей с помощью мудрёных серверов аутентификации 802.1х.

При использовании PSK каждое WiFi-устройство шифрует сетевой трафик с помощью 256-битного ключа. Этот ключ можно вводить либо как последовательность из 64 шестнадцатеричных цифр, либо — что удобнее для человека — как парольную фразу из «клавиатурных» символов кода ASCII длиной от 8 до 63 знаков. Если используется код ASCII, то 256 бит ключа вычисляются из парольной фразы с помощью стандартной криптографической функции PBKDF2, добавляющей к паролю идентификатор сети SSID и проводящей 4096 битовых «замесов» с помощью хеш-преобразования.

Увы, даже при таких мерах усложнения режим PSK, общеупотребимый в WPA, нередко оказывается уязвимым для словарных атак перебором паролей — если, конечно, пользователь применяет слабую парольную фразу. Слабость ключа на основе фиксированного пароля, в общем-то, самоочевидна для любой криптосистемы и лечится с помощью общеизвестных в компьютерной безопасности средств, типа выбора более длинных и менее предсказуемых парольных фраз. Как показывает опыт, для противостояния подобным атакам в условиях PSK обычно бывает достаточно выбирать для пароля случайный набор знаков с длиной начиная от тринадцати произвольных символов, разрешенных клавиатурой.

Тяжкое наследие прошлого

Менее заметной и потому потенциально более опасной выглядит другая врожденная слабость WPA2, встроенная в систему как возможность для обратной криптосовместимости с ранее выпущенными WiFi-устройствами. А именно: сделав криптоалгоритм TKIP в составе WPA и WPA2 совместимым с адаптерами, поддерживающими давно взломанный WEP, Альянс WiFi этим шагом оставил, по сути, прореху, которую постепенно удается расширять для организации достаточно серьёзных атак.

В частности, осенью 2008 года на PacSec, проходившей в Токио конференции Тихоокеанского региона по компьютерной безопасности, выступил немецкий аспирант Эрик Тьюз (Erik Tews) из Технического университета Дармштадта, который представил аудитории первую в своем роде практическую атаку против WPA¹. Эту атаку Тьюз разработал в тесном сотрудничестве с другим немецким хакером, Мартином Беком (Martin Beck), студентом Дрезденского университета и членом известной исследовательской команды aircrack-ng, занимающейся проблемами взлома WiFi. В работе Бека и Тьюза был показан метод для усиления уже известной прежде атаки против WEP, а на этой основе им удалось ослабить и защиту WPA — вбив своего рода клин в узкую щель криптосхемы TKIP, после «расширения» которой оказалось возможным встраивать в зашифрованный сетевой трафик поддельные пакеты. Такие пакеты, если их умело сформировать, могут вызвать в атакованной сети нешуточные проблемы.

Обнаруженная в TKIP дыра связана с контрольными суммами, которые используются для обеспечения целостности и правильности передаваемых данных. Общий механизм работы контрольных сумм выглядит примерно так: берут последовательность битов, которые надлежит передать, применяют к ним некое известное преобразование для получения короткого проверочного результата и добавляют этот результат в конец передаваемой последовательности. Проверочное преобразование устроено таким образом, что позволяет выявлять ошибочные биты или места пропусков в пакете данных.

В сетях WiFi, где при беспроводной передаче относительно велики шансы потерять бит или получить его искажённым, контрольные суммы постоянно используются как для выявления ошибок при приёме, так и для обеспечения целостности пакетов. Если содержимое пакета изменилось, а контрольная сумма осталась прежней, получатель может установить, что пакет на пути своего следования был подделан.

В исходном алгоритме защиты WEP подобные идеи хоть и были заложены, но совершенно не срабатывали. Поскольку контрольная сумма там была выбрана откровенно слабой, хакеры-криптоаналитики вскоре разработали инструментарий, позволяющий менять данные в пакетах и вычислять для них новую контрольную сумму, выдавая фальшивый пакет за подлинный. Тьюз и Бек в своей работе привлекли один из подобных инструментов, именуемый Chopchop и позволяющий «быстрым-быстрым» подбором расшифровывать отдельные пакеты вообще без восстановления WEP-ключа. Именно эта программа и послужила своего рода плацдармом для расширения атаки на WPA.

Суть метода Chopchop заключается в следующем. Алгоритм расшифровывает пакет побайтно, отсекая по одному байту с конца и корректируя контрольную сумму так, как будто этот байт был 0, потом 1… и так до 256 (алгоритм формирования контрольной суммы известен, и она не шифруется). Затем Chopchop отсылает каждый модифицированный пакет точке доступа, а та, в свою очередь, отвергает пакеты, для которых контрольная сумма не подходит. Таким образом, за 256 попыток передачи один байт дешифруемого пакета гарантированно подбирается. После этого Chopchop переходит к подбору следующего байта. Принципиально важно то, что протокол WEP не запрещает бесконечное тестирование вариантов в таком режиме — здесь нет никаких мер защиты от подобных злоупотреблений.

Атака Chopchop + QoS

Эта очевидная проблема WEP в протоколе TKIP решается путём добавления второго уровня проверки целостности — через так называемый MIC (Message Integrity Code, «Код целостности сообщения»), в данном случае именуемый Michael. Этот «Майкл» реализует куда лучше сконструированную контрольную сумму, которая, как и поле данных, шифруется. Теперь, дабы предотвратить тривиальную атаку Chopchop, клиент реагирует сразу же, как только получает две неверные контрольные суммы MIC в интервале 60 секунд. В ответ на это подозрительное событие клиент отключается на одну минуту, а затем требует нового обмена ключами с точкой доступа. Точка доступа при обнаружении аналогичной ситуации тоже отключается на 60 секунд, а затем обновляет ключи для каждого из своих клиентов. (В стандарте 802.11i допускается, чтобы новые мастер-ключи создавались по запросу без изменения начальной парольной фразы или сетевого ключа.)

Именно в этом нюансе Мартин Бек углядел слабое место и придумал хитрую уловку для обмана протокола. А именно: поскольку механизмы защиты WEP и TKIP используются один после другого, причём код Michael содержится внутри пакета, который проверяется контрольной суммой более слабого метода WEP, то можно попытаться взламывать пакет таким образом, чтобы быстро использовать Chopchop и при этом не запускать контрмеры со стороны MIC. Коллега Бека, Эрик Тьюз, заметил, что в очень коротких пакетах, вроде рассылки ARP (то есть информации, которая ассоциирует IP-адрес с MAC-адресом локальной сети Ethernet), остаётся очень мало места для гадания и опробования догадок. В случае пакета ARP, поясняет Тьюз, заранее известно почти всё содержимое — за исключением всего двух байтов IP-адреса в собственно информационной части и еще 12 байтов в проверочной части: 8 байтов для кода MIC и 4 байтов для контрольной суммы WEP.

В такой ситуации, перебирая контрольные суммы WEP и Michael через Chopchop, разные значения двух оставшихся байтов оказалось возможным тестировать каждые 60 секунд, не вызывая остановки сеанса связи и смены ключей. В среднем, установили исследователи, на получение нужных значений требуется от 12 до 15 минут.

На этом Бек и Тьюз, однако, не остановились. Описанная выше техника, позволяющая восстановить точное содержимое исходного пакета, одновременно предоставляет фрагмент использованной шифрующей последовательности. А значит, накладывая эту шифр-последовательность на собственные данные, злоумышленники могут подделывать пакеты. В принципе, TKIP имеет механизмы (счётчикового типа) для предотвращения повторного использования шифра. Но Мартин Бек обнаружил, что благодаря еще одному стандарту, а именно 802.11e, имеется-таки способ для повторного использования шифр-последовательности, что позволяет многократно — от семи до пятнадцати раз — ретранслировать фальшивые пакеты с данными, сфабрикованными злоумышленниками.

Такую возможность в стандарте 802.11e предоставляет сервис QoS (Quality of Service, «Качество обслуживания»), обычно используемый для задания приоритетов сетевым пакетам. Эта сервисная возможность была встроена в WiFi таким образом, чтобы пакеты, требующие максимально быстрой доставки — в частности, речевые пакеты, — могли проходить через сеть в первую очередь. Однако это удобство аукнулось тем, что с работой очередей оказалась связана и возможность многократного использования одной и той же шифр-последовательности. То есть, аккуратно отправляя поддельные пакеты из разных очередей, удается избегать запуска счётчика для защиты от повторов шифра. Используя разные тонкости в работе QoS по стандарту 802.11e, Тьюз и Бек показали, что в принципе имеется возможность отправить от 8 до16 поддельных пакетов, защищённых одной и той же шифр-последовательностью. На практике это означает, что можно реализовать несколько типов атак против WiFi, защищённой средствами WPA. Например, становится тривиальной задача по «отравлению ARP», то есть внесению хаоса в работу сети, ассоциируя IP-адрес с совсем другими Ethernet- или WiFi-адаптерами. Или, скажем, становится возможным обман межсетевых экранов, которые блокируют лишь входящие (из Интернета в локальную сеть) соединения, поскольку поддельный ARP-пакет создает впечатление, будто запрос исходит от одной из машин локальной сети. Ещё один возможный сценарий: «отравление ARP» позволяет сканировать весь трафик внутренней сети компании и вылавливать любую информацию, в том числе логины-пароли (правда здесь потребуется инсайдер с монитором трафика).

Демонстрируя все эти результаты на PacSec-2008, Эрик Тьюз подчеркнул, что чересчур волноваться по данному поводу вряд ли имеет смысл, поскольку информация в сети, защищённой WPA, в целом остается в безопасности. Ибо алгоритм TKIP как таковой по-прежнему остался невскрытым, а что реально удалось получить — так это лишь короткий фрагмент шифр-последовательности без восстановления криптоключа, использованного для её генерации.

Атака «человек посередине»

Не прошло и года после откровений Тьюза-Бека, как Тосихиро Охигаси из Хиросимского университета и Масакату Мори из Университета Кобе (Toshihiro Ohigashi, Masakatu Morii) заметно превзошли достижение немцев. Те же самые действия, к тому же без опоры на сервис QoS, занимают теперь около минуты.

Понятно, что подделка отдельных коротких пакетов в сети, защищённой системой TKIP, не тянет на полный взлом защиты WPA (как кричали о том газетные заголовки). Новый метод японцев по-прежнему не позволяет вскрывать собственно ключ шифрования WPA и читать зашифрованные им потоки данных.

Главная особенность атаки, разработанной японцами, — это творческое развитие метода Бека-Тьюза применительно к ситуациям типа «человек посередине». В своей статье² Охигаси и Мори описывают схему, в которой компьютер-клиент и точка доступа WiFi разнесены так далеко, что общаются не напрямую, а через компьютер-посредник, имеющий более мощный сигнал и принадлежащий атакующей стороне. Посредник действует как ретранслятор, передающий пакеты трафика в обоих направлениях. Когда надлежит послать поддельные пакеты, противник выполняет стандартную атаку типа Chopchop применительно к подходящему короткому пакету, вскрывает его 64-битный MIC, а затем может смастерить пакет такого вида, который требуется злоумышленнику. Новый пакет кодируется с надлежащими проверочными суммами и передается в точку доступа, принимающую его за подлинный.

Как и атака Бека-Тьюза, атака японцев наглядно демонстрирует небезупречность защиты, однако в целом не угрожает шифрованию потока данных в сетях WiFi. Понятно, что оба метода подчеркивают слабости криптографии, основанной на алгоритме TKIP, который был разработан для срочного латания самых вопиющих дыр в защите WEP. Однако красить эту новость только в чёрный цвет все равно нет оснований, поскольку уже имеющиеся в WiFi-устройствах средства шифрования давно готовы к подобному повороту событий.

Протокол WPA2 с шифрованием на основе криптоалгоритма AES является обязательным стандартом во всех WiFi-продуктах начиная с 2006 года и на сегодняшний день не продемонстрировал абсолютно ничего похожего на подобные слабости. Так что для надежной защиты остается лишь выбрать нужные опции в настройках беспроводной сети.

В случае домашней сети или сети небольшого офиса можно рекомендовать:

• в качестве «имени сети», SSID, выбрать нечто уникальное и характерное только для вас, дабы защититься от взлома сетевого ключа (куда подмешивается SSID) лобовыми методами словарного перебора;
• в поле «режим безопасности» (Security Mode) выбрать WPA2;
• в поле «управление ключами» (PSK/EAP) выбрать PSK (про выбор длинной и случайной парольной фразы в PSK уже говорилось);
• в поле «тип шифра» (Cipher Type) выбрать AES.