UNIVERSITA DEGLI STUDI DI ROMA TOR VERGATA

Transcript

1 UNIVERSITA DEGLI STUDI DI ROMA TOR VERGATA Facoltà di Ingegneria Progetto finale del corso di Sicurezza dei Sistemi Informatici Sicurezza di WLAN: vulnerabilità, attacchi (con relativi tool open source) e standard di sicurezza. Architetture di sicurezza (VPN, firewall) basate su linux. Professori: G. Me G.F. Italiano Studente: Tulimiero Davide

2 INDICE 1. Le reti wifi Introduzione Struttura Delle Reti WiFi Sicurezza delle reti WiFi Protocolli di sicurezza Wep Wired Equivalent Privacy WEP Obbiettivi di sicurezza Attacchi al WEP Rischi derivanti dal riuso della chiave (Keystream Reuse Attack) Decryption Dictionaries Key Management Autenticazione del Messaggio (Message Authentication) Message Modification Message Injection Message Decryption WPA Attacchi al WPA Cracking Wi-Fi Protected Access Man In the Middle Attack (MIM) Contromisure VPN (Virtual Private Network) Firewalls Filtering Firewalls Proxy Servers Sperimentazioni Aircrack Airsnort Kismet CoWPAtty Conclusioni Bibliografia... 53

3 1. Le reti wifi 1.1. Introduzione La sigla WiFi è il nome commerciale dato alla tecnologia che segue lo standard IEEE e deriva dall accorpamento delle parole inglesi Wireless High Fidelity, ovvero reti non cablate ad alta fedeltà. Finalmente anche in Italia sta prendendo sempre più piede la filosofia di una connetività senza più vincoli dovuti alle connessioni fisiche quali cavi telefonici, cavi di rete e prese nei muri, dando agli utenti numerosi vantaggi tra cui la possibilità di connettersi in movimento (infatti grazie al concetto di roaming, un utente può spostarsi in una zona coperta dal segnale radio connettendosi ora ad un access point ora ad un altro senza mai perdere la connessione ed in completa trasparenza), un alta velocità di connessione (lo standard g garantisce una connessione a 54Mb/s nominali), un ottima compatibilità tra componenti hardware di vari costruttori e un alta scalabilità. Una rete basata sullo standard IEEE non solo è conveniente per gli utenti del servizio, ma porta vantaggi anche ai fornitori di tale servizio. Basti pensare al basso costo di implementazione e di mantenimento rispetto ad una rete cablata tradizionale. Il costo di implementazione di una struttura in grado di veicolare la connessione a Internet in modalità wireless risulta essere dalle cinque alle dieci volte più basso di quello relativo a una tradizionale soluzione cablata. Inoltre implementare una struttura non cablata comporta una minore intrusività. I costi e l impatto ambientale in passato avevano fortemente limitato la fruizione di internet all interno di luoghi aperti al pubblico quali ospedali, alberghi, aeroporti, bar, università, ecc. Attualmente, con l affinarsi delle tecniche di trasmissione di dati senza fili, è possibile offrire un servizio di connessione ad internet a banda larga in modalità wireless laddove prima non era possibile.

4 Gli utilizzi di una rete non cablata possono essere tantissimi e vanno ben al di là della semplice connessione ad internet. Si può pensare ad esempio di dotare un ospedale di una rete non cablata e affidare ad ogni medico un PDA (Persona Digital Assistant, una sorta di palmare) con scheda wireless. Ogni volta che il medico visita un paziente all interno dell ospedale può accedere in tempo reale alla cartella clinica dei pazienti o all archivio dei ricoveri, può mandare mail ai suoi colleghi per chiedere risultati di un esame o per prenotarne degli altri. Il tutto con la massima efficienza e con il minimo dispendio di tempo. Negli Stati Uniti ospedali di questo tipo già esistono. In Italia invece, si fa attualmente uso delle wireless LAN principalmente nelle strutture aziendali, dove la rete consente la condivisione degli stessi dati tra tutti gli utenti connessi. Questo permette, oltre ad una migliore circolazione delle informazioni, un certo contenimento dei costi grazie alla possibilità di utilizzare una periferica (ad esempio una stampante) condivisa tra più utenti. WiFi permette di rimanere connessi alla rete senza dover sottostare ai limiti di movimento dovuti alle connessioni fisiche. Si potrà continuare a lavorare come se si fosse nella propria stanza da qualsiasi punto della sede aziendale raggiunto dal segnale radio.

5 1.2. Struttura Delle Reti WiFi Il primo standard IEEE fu pubblicato nel Tuttavia fu presto superato da una nuova versione nel 1999 riconosciuta anche da ANSI e ISO. Lo standard descrive lo strato fisico e lo strato MAC. Nella versione originale, lo standard prevedeva una velocità di connessione di 1-2 Mbit/s. Nella versione a lo standard prevede una portante alla frequenza di 5 GHz e una velocità di trasferimento di 54 Mbit/s, sempre nel 1999 è uscita la versione b che oggi risulta essere la più commercializzata. Essa opera a frequenze intorno ai 2,4 GHz e permette connessioni a 11 Mbit/s. Lo standard a è stato progettato per consentire agli utenti aziendali di eseguire applicazioni ad uso intensivo di larghezza di banda senza sacrificare il throughput e aumentando allo stesso tempo la scalabilità, l'immunità dalle interferenze e la sicurezza dei dati. Dal momento che condividono la stessa tecnologia del layer MAC (Media Access Control), gli standard a e b possono operare simultaneamente sulla stessa rete. Facendo riferimento al modello OSI lo standard descrive i seguenti strati:

6 Come accennato sopra, quello che emerge dalla figura è che lo standard IEEE descrive solamente le funzioni fino allo strato MAC. Il controllo del collegamento dal punto di vista logico è affidato allo standard IEEE mentre gli strati più superiori sono affidati ad altri standard. Lo strato MAC risulta essere unico, mentre lo strato fisico presenta diverse modalità di funzionamento (IR, DSSS, FHSS, a, b) e probabilmente se ne aggiungeranno altre nel corso dei prossimi anni. Attualmente si commercializza la versione g, che permette connessioni fino a 54Mbps, ma dal punto di vista protocollare è simile alla versione b. Lo strato MAC (Medium Access Control) ha la funzione principale di gestire l accesso al mezzo condiviso tra i vari utenti del sistema risolvendo o cercando di evitare eventuale contese di utilizzazione. Per fare questo lo standard prevede di utilizzare la tecnica di accesso al mezzo chiamata CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance). Secondo questa tecnica ogni stazione mobile può iniziare a trasmettere solo dopo aver rivelato che il canale è libero per un certo tempo. La quantità di tempo che deve attendere ciascuna stazione è detta DIFS (Distributed InterFrame Space). Se il terminale che deve trasmettere un pacchetto in un determinato istante trova il canale occupato, avvia un processo di reinserimento (back-off), ovvero aspetta una certa quantità di tempo prima di ritentare la trasmissione. Tale intervallo di tempo può essere definito secondo varie logiche. In genere viene determinato in maniera casuale di modo che due stazioni che provano a trasmettere nello stesso istante e trovano il canale occupato non si trovino nella stessa situazione dopo aver aspettato lo stesso tempo di reinserimento. Una volta scelto il valore del tempo da aspettare (casualmente tra 0 e T MAX che varia a seconda del servizio) la stazione emittente inizializza un contatore che viene decrementato ogni volta che il canale risulta libero per almeno un tempo DIFS. Quando tale contatore si azzera, il terminale è abilitato a trasmettere. Se due stazioni trasmettono contemporaneamente un pacchetto, tale pacchetto andrà inevitabilmente perso. Lo schema di tale procedura è qui sotto riportato:

7 Al contrario di quanto accade in una rete wired (ad esempio Ethernet che utilizza una tecnica CSMA/CD, ovvero Carrier Sense Multiple Access/Collision Detection) in ambiente wireless i terminali non sono in grado di stabilire se vi è stata una collisione con relativa perdita di informazione o la trasmissione è andata a buon fine. Esiste infatti il problema dei terminali nascosti (hidden nodes). Può capitare che due terminali, pur appartenendo alla stessa cella, ovvero facendo riferimento allo stesso access point (AP) non siano in visibilità radio tra loro a causa di ostacoli (pareti, armadi,..) Questo fa si che un terminale può vedere il canale libero, mentre un altro (nascosto) sta trasmettendo. Per evitare che l informazione inviata e mai ricevuta dall AP vada inesorabilmente persa, viene richiesto l invio di notifica di messaggio ricevuto con successo (ACK) da parte della stazione ricevente. Per fare in modo di non sovraccaricare il canale ed evitare quindi ulteriori collisioni, l ACK risulta essere un pacchetto di durata molto breve, inferiore ad un DIFS e viene inviato un tempo pari a SIFS (Short InterFrame Space) dopo la ricezione del pacchetto. In questo modo si garantisce la atomiticità della procedura.

8 Inoltre per gestire meglio il traffico, il protocollo prevede che a livello MAC vi sia uno scambio tra l AP e la stazione mobile di brevi messaggi di controllo chiamati RTS e CTS. RTS, ovvero Ready To Send serve a chiedere la possibilità di accesso al canale quando un terminale mobile ha dati da trasmettere. CTS (Clear To Send) è la risposta al primo e serve in un certo senso a tenere libero il canale per un tempo sufficiente (almeno) alla trasmissione di un pacchetto. Questi due messaggi servono a limitare il problema delle collisioni dovute ai terminali nascosti, ovvero a terminali non in visibilità tra loro. Infatti non tutti i terminali collegati con un particolare AP potrebbero essere in visibilità con il terminale che chiede di trasmettere. Questo significa che non tutti riceveranno il pacchetto RTS. Tuttavia tutti i terminale riceveranno il pacchetto CTS inviato dall access point in risposta alla stazione che sta per trasmettere. Eviteranno così di trasmettere e di occupare il canale diminuendo il rischio di collisoni. L introduzione di questi due ulteriori pacchetti e il relativo aumento di traffico in genere è ben compensato dall aumento delle prestazioni della rete. Infatti all aumentare del numero di utenti connessi alla rete l introduzione di questo sistema evita un netto peggioramento del throughput. Inoltre questi due pacchetti di

9 controllo sono molto brevi rispetto ai pacchetti di dati e il loro utilizzo non aggrava eccessivamente il traffico di servizio. Per quanto riguarda lo strato fisico bisogna notare innanzi tutto che le principali bande di frequenza previste dallo standard sono tre, una a 2.4 GHz e due a 5 GHz. Nella banda intorno ai 2,4 GHz il limite massimo di potenza consentito è di 100mW di EIRP (Effective Isotropic Radiated Power) poiché in questa banda funzionano molti didpositivi di uso comune e si potrebbero creare fenomeni di interferenza. La seconda banda è compresa tra i GHz e i GHz, in essa sono previste potenze fino a 200 mw e sono ammesse solo applicazioni indoor. Nella terza fascia si usano frequenze comprese tra i GHz e i GHz. I limiti di potenza sono molto più ampi tanto che si può arrivare fino a potenze di 1 W e sono consentite applicazioni outdoor. Attualmente esistono cinque modalità di funzionamento dello strato fisico. Inizialmente lo standard era previsto in due versioni : IEEE DSSS e IEEE FHSS nella banda 2.4 GHz ovvero nella banda ISM (Industrial Scientific and Medical). Entrambe queste versioni utilizzano la tecnica dello spread spectrum per proteggere il segnale da eventuali interferenze e per abbassare la densità spettrale di potenza in modo da rientrare nei requisiti richiesti. Le WLAN che utilizzano al tecnica Direct Sequence-Spread Spectrum operano nella banda compresa tra i 2.4 GHz e i GHz. Tale banda è suddivisa in 13 sottobande le cui frequenze centrale sono distanziate di 5 MHz. Risultano così parzialmente sovrapposte visto che la larghezza spettrale di ciascuna sottobanda è di 22MHz. La suddivisione spettrale si può vedere dalla seguente figura.

10 I sistemi che utilizzano il DS-SS hanno una sequenza di spreading lunga 11 bit. Lo standard inoltre prevede due tipi di modulazioni per questi tipi di sistemi, la DBPSK (Differential Binary Phase Shift Keying) e la DQPSK (Differential Quadrature Phase Shift Keying), le quali consentono un data rate rispettivamente di 1 e 2 Mbit/s. Le WLAN che utilizzano il sistema di accesso basato sul Frequency Hopping- Spread Spectrum hanno una banda disponibile compresa tra i 2,402 GHz e i 2,480 GHz. Tale banda viene suddivisa in 79 canali di 1 MHz ciascuno. Il segnale salta da un canale all altro con una velocità pari almeno a 2,5 volte al secondo. Inoltre, per evitare che terminali che hanno la stessa sequenza di hopping vadano in collisione, i 79 canali vengono raggruppati in 3 gruppi da 26 canali. In questo sistema è prevista la modulazione GFSK (Gaussian Frequency Shift Keying) nelle versioni 2-GFSK e 4-GFSK. La prima permette due livelli di variazione dalla frequenza centrale (± 160 khz) consentendo di fatto l invio di un unico bit. La versione 4-GFSK (opzionale) prevede 4 livelli di variazione (± 72 khz e ± 216 khz) e quindi consente l invio di due bit. Il ritmo di trasmissione con le due versioni della modulazione è rispettivamente 1 2 Mbit/s. Attualmente le uniche versioni dello standard fortemente commercializzata e più diffuse sono la b e la g. Questi standard non sono altro che evoluzioni di

11 quelli basati sulla tecnica DS-SS con la quale sono totalmente compatibili. Utilizzano infatti la stessa banda di tale versione, ma grazie all introduzione dello schema di modulazione CCK (Complementary Code Keying) combinato con la tecnica DS-SS, le loro velocità di trasmissione arrivano rispettivamente a 11 Mbps e a 54Mbps. Inoltre è prevista una scalabilità (ovvero una variazione dinamica dei ritmi binari) da 1 Mbit/s fino a 2 e 5,5 Mbit/s. Le reti WLAN hanno due modalità di funzionamento: strutturata e ad hoc. Nella modalità strutturata è previsto un punto di accesso comune a tutti i terminali (AP, Access Point) con il quale tutti i terminali connessi ad una particolare sottorete comunicano. In questa modalità anche se due terminali vicini devono comunicare tra loro, il flusso di informazioni passa comunque attraverso l AP di riferimento. In questo caso l AP ha la sola funzione di ripetitore. Bisogna considerare il fatto che nelle WLAN basate su b operanti alle frequenze vicine ai 2,4 GHz non era possibile avere più di 2 o 3 AP nella stessa area, poiché le frequenze di assegnazione erano sovrapposte. Nelle versioni successive dello standard questa limitazione è stata superata dal momento che è stata prevista l introduzione della funzione di selezione automatica delle frequenze disponibili. Nella modalità di funzionamento ad hoc è prevista l instaurazione di una rete solo tra i dispositivi che hanno necessità di comunicare, ovvero non si fa uso di una architettura strutturata. I vari nodi della rete comunicano direttamente tra loro senza bisogno di intermediari, ovvero di AP.

12 1.3. Sicurezza delle reti WiFi La sicurezza è ancor oggi il punto debole delle reti wireless e di tutte quelle architetture che le utilizzano anche solo in parte. Ad esempio il wireless può rendere possibile l accesso alle reti protette da firewall, consentendo di bypassare la protezione offerta da questo. Inoltre, data la natura del mezzo di trasmissione (le onde radio non sono confinabili), tutto ciò che viene trasmesso senza essere sottoposto a cifratura (o cifrato con algoritmi deboli) può essere intercettato. Le reti wireless sono inoltre sensibili ad attacchi di tipo DOS (Denial Of Service) operati sia a livello radio che a livello di protocollo. Un tipico attacco DoS (jammer) consiste nella generazione di interferenze radio nella stessa banda in cui opera la WLAN. I tre requisiti base di sicurezza previsti da IEEE per lo standard sono l autenticazione, la confidenzialità e l integrità (come del resto per tutti i sistemi di informazione). L autenticazione verifica l identità e controlla l accesso alle risorse rendendolo disponibile solo per i client autorizzati. La confidenzialità riferita ai dati, secondo quanto previsto dallo standard dovrebbe essere equivalente a quella di una rete wired. Infine l integrità, sempre riferita ai dati, deve garantire che le informazioni non possano essere modificate mentre transitano. Questi servizi avrebbero dovuto essere raggiunti con l adozione del WEP. Il sistema di protezione Wep (acronimo di Wired Equivalent Privacy) dovrebbe rendere impossibili le intercettazioni fra le comunicazioni radio rendendo il livello di sicurezza di una WLAN uguale a quello di una classica LAN cablata. Il WEP Utilizza l algoritmo RC4 in modalità sincrona. Si basa su un sistema a criptazione con due chiavi, una pubblica (chiamata Initialization Vector, di 24 bit) e una privata, inizialmente codificata con una lunghezza di 40 bit, successivamente aumentati a 128 bit quando la legge americana sull esportazione di tecniche crittografiche lo ha permesso. Utilizzando uno XOR sullo XOR originario dei pacchetti inviati è possibile risalire all Initializzation Vector, e decodificare quindi tutte le comunicazioni protette da una determinata chiave. La lunghezza di soli 24 bit dell Initialization Vector permette la creazione di un numero relativamente limitato di codici di criptazione, che fra l altro non devono nemmeno cambiare ad ogni trasmissione, secondo lo standard: monitorando quindi per un certo tempo una rete wireless è possibile creare una tabella contenente tutte le possibili chiavi di decriptazione, utilizzandole quindi per intercettare i dati e inserirsi nella rete. Il WEP

13 quindi non si è dimostrato in grado di tutelare efficacemente l inviolabilità delle reti wireless. Mandato quindi in pensione, dal 2003 le apparecchiature in commercio si sarebbero dovute avvalere del WPA (WiFi Protected Access), il quale pare avere dalla sua l utilizzo di chiavi di crittografia dinamiche, modificabili periodicamente. In realtà moltissimi dispositivi ancora adottano il WEP come unico sistema di sicurezza. Per la verità anche il WPA non è sicuro al 100%. Gli algoritmi matematici che servono ad autenticare i legittimi utenti e tenere lontani gli intrusi, conterrebbero un grave difetto a causa del quale, in determinate circostanze, si verificherebbe un blocco di tutte le chiavi di protezione per circa 60 secondi, breve lasso di tempo in cui tutto può succedere specie se intenzionalmente replicato per x volte. Nonostante i protocolli di sicurezza standardizzati si siano rivelati profondamente insicuri, è possibile tuttavia limitare i rischi adottando alcuni accorgimenti. Un ottima misura consiste nel disabilitare il DHCP ed utilizzare IP statici, ovvero creare una lista di accesso sull access point e inserire manualmente gli indirizzi MAC delle schede di rete autorizzate. Un cracker potrebbe così ottenere la chiave con l ascolto passivo ma poi il suo indirizzo MAC sarebbe interdetto sull access point. Alternativamente, si può instradare sulla rete wireless un canale VPN (Virtual Private Network) cifrato, ottenendo un livello di sicurezza sicuramente paragonabile a quello di una rete cablata, anche se purtroppo in questo modo si perderà qualcosa in termini di efficienza e prestazioni. Esistono altre soluzioni interessanti, anche se non standard. Molte aziende produttrici di AP offrono per esempio il "Closed Network". Grazie a questa opzione il SSID (Service Set Identifier, ovvero il nome della rete) della WLAN non viene divulgato in chiaro. Un semplice scan non rivela così la rete. Solo gli utenti a conoscenza della WLAN e del SSID (da inserire manualmente nella configurazione) potranno accedere. Questa è una semplice protezione che mette al sicuro solo da utenti inesperti. Facendo uno sniffing approfondito si può comunque intercettare il SSID. Si dovrebbero inoltre cambiare sempre le password e le username di default dell'access Point ( ci sono liste su Internet con tutti gli username e le password di default degli Access Point ). Una misura di sicurezza poco considerata e sottovalutata è poi il posizionamento dell access point. E molto facile trovarli sopra armadi appoggiati a muro o negli infissi

14 sporgenti delle finestre. In realtà bisognerebbe montarli in una posizione centrale della propria azienda e a una altezza intermedia (evitare il soffitto). La confidenzialità delle informazioni è un problema molto grave delle reti wireless ed è fortemente legato al problema dell autenticazione. Infatti, se le informazioni viaggiassero in maniera totalmente sicura, ovvero il protocollo WEP fosse inviolabile entrambi questi problemi non sussisterebbero. Se un cracker riesce a forzare la key WEP ha totalmente accesso alla rete. Una volta ottenuto tale accesso lo può usare per accedere a risorse aziendali, si torna così al problema dell accessibilità, oppure per prendere informazioni confidenziali che viaggiano tra stazioni mobili e access point (problema della confidenzialità) o ancora per manomettere tali informazioni, si parla in questo caso di integrità dei dati. Il problema della confidenzialità della trasmissione è una delle concause che hanno fatto crollare il WEP. Il problema è dovuto al fatto che nessuno si preoccupa di verificare la legittimità degli access point. Infatti molte società non curano politiche aziendali per l' utilizzo di dispositivi Wireless; in alcune aziende i dipendenti installano un modem in ufficio per avere accesso remoto da casa, così altri possono pensare di installare un Access Point in ufficio per connettere il proprio portatile, vista la semplicità dell' operazione e i costi contenuti. Questi Access Point "abusivi" vanificano di fatto molte delle misure di sicurezza prese. Un cracker potrebbe spacciarsi per una di queste unità e simulare il protocollo di autenticazione. Il cracker richiederà i dati di log-in e li inoltrerà a un access point reale, che abiliterà effettivamente l utente. Il client autorizzato non si accorgerà di nulla e potrà usare la rete senza fili normalmente. L hacker avrà però ottenuto i mezzi per accedere illegalmente alla WLAN usando un identità rubata. Questo deriva dal fatto che l autenticazione di un access point è unidirezionale, ovvero un access point è in grado di autenticare una stazione mobile, ma una stazione mobile non può verificare in alcun modo se l access point al quale sta puntando è autentico. In questa maniera l hacker può accedere a tutti dati che passano nella rete. Si tratta di un problema di sicurezza affatto raro nelle grandi aziende. IBM ha sviluppato un sistema in grado di rilevare questi access point attraverso una triangolazione dei segnali da parte delle schede di rete. E una soluzione standard che richiede solo un componente software da mettere sui client. Una pratica molto diffusa, soprattutto all'estero, ma di recente anche nel nostro paese, è il War-Driving. Ci si arma di portatili, sniffer e cartina cittadina (molti tools di attacco sono addirittura integrati con sistemi GPS) e si viaggia in macchina (o anche in elicottero!) attraverso le vie di una metropoli, alla ricerca di punti di accesso radio.

15 Una volta trovati, si prova a ottenere un indirizzo Ip dal server Dhcp, sempre che la connessione non sia protetta; altrimenti occorre provare a scoprire la chiave di cifratura (con il WEP non è affatto impossibile). I war-drivers usano poi segnare su muri o marciapiedi dei particolari simboli che permettono ad altra gente di collegarsi in rete. In seguito verranno elencati e descritti tools per effettuare attacchi alle reti wireless. Esistono tuttavia anche dei software in grado di garantire un certo livello di sicurezza delle reti senza fili. S-Lan ( o Secure Local Area Network, ad esempio è un progetto open-source che cerca di garantire una completa affidabilità e sicurezza nelle comunicazioni fra reti wireless e le relative Lan locali, o la rete mondiale Internet. La sua principale differenza rispetto al Wep risiede nella creazione di chiavi temporanee dotate di vita molto breve e costantemente aggiornate. Il software è disponibile per Linux e Windows. (Black Alchemy.s Fake AP Se avere unaccess point è positivo, averne migliaia può renderela vita molto difficile ai war-drivers. Con questo programma è possibile generare una cacofonia di segnali, nascondendo così il vero access point da utilizzatori non desiderati. Riassumendo, le 10 buone norme da tenere a mente al momento della costruzione di una rete WiFi sono: 1. Utilizzare le criptazione dei dati Il livello minimo di sicurezza è garantito dal WEP (Wired Equivalent Privacy). Sebbene poco sicuro, è meglio di niente. 2. Utilizzare una migliore criptazione Se il vostro router e il vostro PC ne hanno facoltà, dimenticate il WEP e attivate il WPA (Wi-Fi Protected Access). 3. Cambiate la password di amministrazione Quella del router. Cambiatela spesso e, naturalmente, evitate di mantenere quella di default offerta dal produttore. 4. Disabilitate il broadcasting del SSID È un'opzione presente in molti router. Evita di inviare il nome della vostra rete wireless ai client Wi-Fi. 5. Spegnete la rete wireless quando non è in uso

16 Se uscite a fare una passeggiata spegente il vostro router. Il pericolo è naturalmente direttamente proporzionale all'esposizione ad esso. 6. Cambiate il SSID di default Il nome della rete andrebbe cambiato da quello presente alla prima accensione della rete. 7. Usare il filtraggio dei MAC Address Ogni client Wi-Fi ha un proprio numero univoco di identificazione: l'indirizzo MAC (del tipo: 00:0E:35:D9 ecc.). Ogni router può essere impostato per accettare connessioni solo dai client i cui indirizzi MAC sono approvati dall'amministratore. 8. Isolare la rete Wi-Fi dal resto della LAN È sempre bene creare un muro fra la LAN interna e la rete Wi-Fi. Ciò impedisce ad un eventuale attacco di propagarsi anche in altri computer della rete. Al limite costruendo una vera e proprio VPN indipendente. 9. Controllare il segnale I router commerciali inviano il segnale Wi-Fi fino a 50/100 metri. Gli aggressori dovrebbero dunque agire nelle immediate vicinanze. Utilizzando degli amplificatori di segnale si otterrebbe una maggiore esposizione ai pericoli. 10. Trasmettere su una frequenza differente Le frequenze degli standard b e g (2,4 GHz) sono le più battute dagli hacker. Per aumentare la sicurezza si potrebbe anche tornare alle meno note frequenze dello standard a (5 GHz).

17 2. Protocolli di sicurezza Attualmente, affinchè un dispositivo possa essere certificato dal consorzio WiFi deve implementare come minimo i protocolli WEP (Wired Equivalent Privacy) e WPA (Wireless Access Protocol). Anche se ultimamente è stato reso obbligatorio per gli Access Point di enti pubblici (università, ministeri, istituzioni,... ecc.) l adozione del protocollo WPA (più sicuro del WEP, anche se non inviolabile), tuttavia la maggior parte degli utenti privati continua a utilizzare il WEP come unico schermo verso le intrusioni di malintenzionati. La maggior parte degli access point commercializzati implementano solo questi due protocolli (la cui vulnerabilità è già stata ampiamente dimostrata). Per aumentare il livello di sicurezza bisogna quindi ricorrere a software specifici e firewall Wep Wired Equivalent Privacy WEP Il WEP è lo standard di crittazione implementato a livello MAC che è supportato dalla maggior parte dei vendors di Access point e di schede radio certificate WiFi. Una volta attivato il WEP, la scheda WiFi dell utente cripta il payload dei pacchetti (body frame e CRC) prima della trasmissione usando una stringa di cifratura RC4. La stazione ricevente (un access point o un altro utente nel caso di reti ad hoc) provvede alla decriptazione appena giunge la trama criptata. Il WEP cripta solamente le trame tra stazioni Le comunicazioni tra access point non vengono salvaguardate con questo protocollo. Le comunicazioni tra AP vengono affidate al protocollo f. Vediamo ora più in dettaglio come funziona l algoritmo. Il WEP fornisce una chiave segreta (k) che viene condivisa tra gli attori della comunicazione per proteggere il corpo del pacchetto dati trasmesso sul canale radio. La procedura di criptaggio può essere schematizzata in 3 fasi: 1 Checksumming: In questa prima fase viene calcolato un fattore di integrità del messaggio (integrity checksum) c(m) sul messaggio M. Il c(m) viene concatenato al messaggio M al fine di ottenere un plaintext P. In simboli si ha P= M,c(M). Il P viene

18 usato come input per la seconda fase. Da notare che P e c(m) non dipendono dalla chiave k che viene generata. 2 Encryption: Nella seconda fase viene criptato il P usando RC4. Si sceglie un Initialization Vector (IV) v. L algoritmo RC4 genera un keystream (per esempio una lunga sequenza di byte pseudocasuali) come funzione dell IV v e della chiave k. In simboli si può indicare come RC4(v,k). A questo punto è sufficiente mettere in OR esclusivo il plain text con il keystream per ottenere il testo cifrato: C = P RC4(v,k). 3 Transmission: Ciò che effettivamente viene inviato sulla tratta radio sono l IV v e il testo cifrato C. In simboli può essere espresso come segue: A B : v, (P RC4(v,k)) dove P = M, c(m) Trama WEP criptata Per decriptare una trama protetta da WEP, il destinatario deve semplicemente invertire il processo. Per prima cosa rigenererà il keystream RC4(v,k) e lo metterà in XORs con il testo cifrato C per ottenere così il plaintext originario: P = C RC4(v,k) = (P RC4(v,k)) RC4(v,k) = P.

19 A questo punto il destinatario non deve far altro che verificare il checksum sul messaggio in chiaro decriptato (P ) separandolo nella forma M, c, ricalcolare il checksum c(m ) e verificare che coincida con il checksum ricevuto c. Questa procedura assicura che solo trame con un CRC valido possano essere accettate dal destinatario Obbiettivi di sicurezza Il WEP era stato pensato per assicurare tre principali obbiettivi di sicurezza: confidenzialità, controllo degli accessi e integrità dei dati. In tutti e tre i casi l affermata sicurezza del protocollo dava risalto alla difficoltà di scoprire la chiave segreta attraverso attacchi di forza bruta. Attualmente vi sono due classi di implementazioni WEP. Una così come è documentata nello standard e una estesa sviluppata da alcuni vendors per fornire chiavi più lunghe. Ciò è stato possibile solo in seguito alla decisione da parte degli USA di rendere esportabili le chiavi a 128 bit, cosa che in passato era vietato in base alle norme ferree del governo americano che regolano gli studi in materia di crittoanalisi. Infatti, lo standard WEP prevede chiavi di lunghezza 40 bit, in accordo con quanto prevedevano le leggi del gorverno USA in materia di esportazioni sulle tecniche di crittografia al tempo in cui fu stilato lo standard. Questa lunghezza è decisamente insufficiente per rendere sicuro il WEP contro attacchi di tipo brute force messi in atto sia da organizzazione che da privati. Infatti per forzare una chiave a 40 bit sono suffiecenti risorse non troppo costose. Ultimamente è stato possibile estendere il protocollo aumentando la lunghezza delle chiavi. Si è passati così al cosi detto 128-bit-WEP (in realtà la chiave è lunga 104 bit, anche se il nome dello standard può ingannare). Questa estenzione rende impraticabile un attacco di forza bruta sulla chiave con le tecnologie facilmente reperibili oggigiorno. Nonostante ciò si può dimostrare che si può forzare il WEP non attaccando direttamente la chiave (non si utilizza di fatto un attacco brute force) e quindi anche il 128-bit WEP risulta insicuro. Vediamo ora una serie di attacchi che è possibile portare al protocollo WEP.

20 2.2. Attacchi al WEP Rischi derivanti dal riuso della chiave (Keystream Reuse Attack) Abbiamo visto che il WEP fornisce la confidenzialità dei dati per mezzo di una stringa cifrante chiamata RC4. Questa stringa cifrante opera, nel caso del WEP, espandendo un IV pubblico e una chiave segreta in un keystream arbitrariamente lungo formato da bit pseudorandom. Il criptaggio avviene mettendo in XOR il keystream generato con il testo in chiaro. Il decriptaggio consiste nella generazione di un identico keystream basato sull IV e sulla chiave segreta e mettendo in XOR con con il testo cifrato. Un ben noto trabochetto della stringa cifrante è che criptare due messaggi con la stessa chiave e lo stesso IV può rivelare informazioni utili sul messaggio in chiaro. Infatti: se C1 = P1 RC4(v,k) e C2 = P2 RC4(v,k) allora: C1 C2 = (P1 RC4(v,k)) (P2 RC4(v,k)) = P1 P2 In altre parole mettendo in XOR semplicemente i due testi cifrati (cioè quello che si ascolta sul canale radio) si cancellano i keystream e il risultato è lo XOR dei due testi in chiaro. Questo porta ad una serie di possibili attacchi. Consideriamo innanzi tutto un caso molto particolare. Se si conosce uno dei messaggi in chiaro, l altro è immediatamente ottenibile. Nel caso generale in cui non si conosca nessuno dei due testi in chiaro vi sono varie tecniche per riuscire a risolvere lo XOR di P1 e P2. Tuttavia nel caso più generale, le cose si semplificano ulteriormente, perchè all aumentare del traffico (ovvero dei messaggi captati, o meglio, degli XOR di P1, P2,... Pn) si può impostare un sistema (di grado n) che può risolvere lo XOR, permettendo di decifrare almeno un messaggio e in cascata poi tutti gli altri. Da notare che devono essere soddisfatte le seguenti due condizioni affinchè tali classi di attacchi vadano a buon fine: 1) Disponibilità di testo cifrato in cui una porzione della chiave è usata più di una volta 2) Conoscenza, almeno parziale, di un qualche testo in chiaro. Per prevenire questo tipo di attacchi il WEP usa il per-packet IV per variare il processo di generazione del keystream ad ogni trama di dati trasmessa. Infatti il WEP genera il

21 keystream RC4(v,k) come funzione sia della chiave segreta (k) che dell Initalization Vector pubblico (v) che varia ad ogni trama inviata. In questa maniera ogni pacchetto riceve un differente keystream. Il IV viene inserito nella parte non criptata el messaggio, in maniera che il destinatario sappia quale IV usare quando deriverà il kyestream per decriptare. Logicamente un attacker può venire a conoscenza dell IV, ma la chiave rimane segreta e garantisce la sicurezza del keystream. A questo punto la domanda è: perchè si riutilizzano le keystream? Una potenziale causa del riuso delle keystream è una gestione impropria degli IV. Infatti, poichè la chiave segreta (k) generalmente cambia molto raramente, un riuso di un IV (magari in maniera non voluta) causa sempre una condizione di riuso del keystream. D altro canto poichè l IV è pubblico i vari IV duplicati possono essere facilmente riconosciuti dagli attacker. Quindi ogni riuso dell IV espone il sistema ad un attacco di tipo reuse keystream. In genere i riusi degli IV vengono chiamati collisioni. Per quanto riguarda la gestione degli IV, lo standard WEP raccomanda (ma non è obbligatorio) che l IV sia cambiato ad ogni pachetto inviato. Non dice niente riguardo a come questo IV deve essere cambiato e la scelta viene lasciata ad ogni singolo vendor. A volte tale schema di selezione è abbastanza povero. Molte schede PCMCIA ad esempio resettano il IV a zero ogni volta che vengono reinizializzate e incrementano tale valore di 1 ogni volta che viene inviato un pachetto. Da notare che queste schede si autoreinizializzano ogni volta che vengono inserite nel laptop. Ci si può aspettare che ciò avvenga abbastanza frequentemente. Conseguenemente, i vari keystreams (corrispondenti a valori bassi dell IV) è possibile riusltino riusati più volte durante il tempo di vita della chiave. Il problema è cronico e non si può evitare. Lo standard WEP ha dei piani architetturali che espongono tutte le implementazioni WEP al rischio del keystream reuse. Basti pensare che il campo IV usato dal WEP è lungo solamente 24 bit. Ciò non è sufficiente a garantire che un IV non possa essere usato per più di un messaggio. Infatti, un access point che lavora a pieno carico, invia pacchetti di 1500 byte ad una velocità media di 5 Mbps (alla velocità nominale di 11 Mbps). In queste condizioni si esaurisce l intero campo degli IV in meno di mezza giornata. La situazione peggiora ulteriormente a velocità più elevate (per esempio 54 Mbps). Senza considerare che alcune implementazioni del WEP peggiorano ulteriolmente la situazione. Se ad esempio si utlizza uno schema di assegnazione casuale (anzichè lineare, come visto fino a questo momento) degli IV, ci si aspetta di incorrere in una collisione

22 (riuso degli IV) ogni 5000 pacchetti (conseguenza del birthday paradox ), che corrispondono a pochi minuti (se non secondi) di trasmissione. Nel caso peggiore (poichè lo standard non lo richiede esplicitamente), una scheda di rete può non implementare il cambio di IV ad ogni pacchetto (si utlizza lo stesso IV per ogni pachetto) senza incorrere nel rischio del non-compliance ed ottenere comunque la certificazione WEP. Una volta scoperti due pachetti criptati che utilizzano lo stesso IV, possono essere attuati una serie di attacchi per scoprire il testo in chiaro. Se poi uno dei testi non cifrati è già noto (o decifrato) è banale decifrare tutti gli altri messaggi captati. Da notare che il fatto di conoscere una parte di un testo in chiaro non è una cosa impossibile. Infatti molti campi del traffico IP sono predicibili poichè i protocolli usano una struttura ben definita nei messaggi e il contenuto dei messaggi può essere facilmente predetto. Basti pensare alle sequenze di login. Le strutture dei pacchetti (a seconda del protocollo) sono fisse e il contenuto è standard (p.e. Username e Password o i messaggi standard di benvenuto o di errore). Anche le librerie standard scambiate tra i filesystem della rete sono ben note e possono essere riconosciute tramite l analisi del pattern e della lunghezza. Tutte queste informazioni costituiscono una grande fonte di testo in chiaro utilizzabile per attacchi di tipo reuse keystream. Ma non finisce qui. Ci sono anche innumerevoli modi per generare traffico noto. Un metodo molto usato è quello di inviare mails ad un utente della rete WiFi e analizzare il traffico che queste generano. E queste sono solo alcune delle tecniche per ottenere del plaintext. Non vi sono possibilità di evitare che un attacker ottenga testi (o parti di testo) in chiaro Decryption Dictionaries Una volta ottenuto il testo in chiaro (in qualsiasi maniera), l attacker può conoscere il valore del keystream utilizzato per criptare il messaggio. E possibile utilizzare questo valore dell IV per decriptare ogni altro messaggio che usi lo stesso IV. Allo stesso tempo è possibile costruire una tabella di corrispondenza tra i keystream e gli IV. L intera tabella dei valori possibili, del resto, richiede modeste (per le macchine di oggi) risorse di spazio. Per l esattezza 1500 bytes per ciascuno dei 2^24 possibili valori dell IV richiedono solamente 24GB di memoria. E quindi pensabile che un attacker ben attrezzato e che

23 utilizzi dispositivi dedicati, dopo un periodo più o meno lungo di ascolto, sia in grado di costruire un dizionario completo per decriptare i messaggi cifrati. Specialmente se pensiamo con quale bassa frequenza vengono cambiate le chiavi. Il vantaggio che deriva dalla costruzioni di questo dizionario è che una volta stabilite tutte le corrispondenze è possibile decifrare tutti i messaggi con poco sforzo. La conoscenza della chiave a questo punto risulta superflua. Sicuramente il grande lavoro per costruire tale dizionario deve essere motivato da degli interessi in grado di ripagare il notevole tempo e le risorse investite in attacchi di questo tipo. D altro canto il WEP non è stato pensato, almeno originariamente, per difendersi da questi tipi di attacchi. Infatti il punto debolo del WEP standard era la lunghezza della chiave (solo 40 bit), facilmente individuabili con attacchi di tipo brute force. Da quando le manifatturiere costruiscono schede in grado di supportare password più lunghe, gli attacchi che non necessitano di forzare la chiave sono diventati un pericolo più concreto. Infatti le dimensioni del dizionario non dipendono dalla password, ma solamente dalla lunghezza del campo IV (fissato dallo standard a 24 bit), mentre non è banale nè economico apportare attacchi di forza bruta a password lunghe 104 bit. Inoltre, per quanto detto prima, le dimensioni del dizionario risultano ancora più piccole se si considera che il campo IV viene resettato ogni volta che la scheda PCMCIA viene inserita nel computer. Questo porta a valori del campo IV a grandezze dell ordine del centinaio, rendendo di fatto molto semplici attacchi di tipo reuse keystream Key Management Lo standard non specifica come deve avvenire lo scambio delle chiavi. Questo compito viene in genere effettuato tramite un meccanismo che popola un array globale e condiviso di 4 chiavi. Ogni messaggio inviato contiene un campo contenente l identificativo della chiave utilizzata, ovvero specifica l indice della chiave che si sta utilizzando nell array. Lo standard inoltre raccomanda che per ogni stazione venga associata una chiave unica. Tuttavia questa opzione è raramente supportata dai dispositivi. In pratica, molte installazioni prevedono una singola chiave per l intera rete. Questa pratica affetta seriamente la sicurezza del sistema poichè un segreto comune a molti non è un buon segreto. Alcuni amministratori di rete tentano di ovviare a questa mancanza non rivelando agli utenti finali il valore della chiave, ma preimpostandolo manualmente su

24 tutte le macchine. Questo tuttavia risolve solo marginalmente il problema poichè la password riamane comunque salvata sul computer dell utente. Il riuso di una stessa chiave da parte di più utenti aiuta enormemente gli attackers poichè aumenta la possibiltà di collisione degli IV. La possibilità di collisioni infatti aumenta proporzionalmente con il numero di utenti che condividono la chiave. Poichè la scheda PCMCIA si resetta (come visto in precedenza) ogni volta che viene riattivata, nella rete circoleranno un gran numero di pacchetti con un basso valore di IV e la probabilità che tale valore si replichi è molto grande. Inoltre, il fatto che un gran numero di persone condivida la chiave, significa che è difficile che tale chiave venga cambiata (pensiamo all amministratore del caso precedente che setta manualmente tutte le chiavi) frequentemente. Una stessa chiave può essere utilizzata per mesi, dando agli attackers la possibiltà di analizzare il traffico con tutta calma e di costruirsi e dizionari per decifrare il traffico Autenticazione del Messaggio (Message Authentication) Il protocollo WEP usa un campo per verificare l integrità dei dati che assicura che i pacchetti non siano stati modificati durante la trasmissione. Il controllo è implementato come un CRC-32 checksum e fa parte della porzione criptata del pachetto. Si potrà vedere che il controllo CRC-32 non è sufficiente per assicurare che un attacker interferisca sulla trasmissione dei dati. Il CRC-32 non è un codice di autenticazione sicurezza crittografica. CRC è stato disegnato per individuare errori random nei messaggi e può fre ben poco contro gli attacchi maliziosi. Inoltre questa carenza del CRC è accentuata dal fatto il checksum risiede nella parte criptata del messaggio Message Modification Vediamo ora come un messaggio può essere modificato durante il transito nella sensa possibilità di rendersene conto, in violazione degli obiettivi di sicurezza a cui il WEP aspirava. Usiamo la seguente proprietà del WEP checksum: Property 1: The WEP checksum is a linear function of the message. Questo implica che l operazione di checksuming è distribuita rispetto allo XOR, ossia:

25 c(x y) = c(x) c(y), per ogni x e y. Questa è una proprietà del tutto generale del checksum. Una conseguenza di tale proprietà è che diventa possibile tenere sotto controllo le modifche del testo cifrato senza sfiduciare il checksum. Supponiamo di intercettare un testo cifrato C prima che giunga alla sua legittima destinazione: A (B) : v, C Supponiamo anche che C corrisponda a un messaggio sconosciuto M: C = RC4(v,k) M, c(m) (1) E possibile trovare un messaggio cifrato C che decripti M, dove M = M Δ e Δ può essere scelto arbitrariamente da chi effettua l attacco. Se siamo in grado di ingannare il destinatario (fingendoci la reale sorgente del messaggio) potremmo inviare: (A) B : v, C Una volta decifrato il messaggio il destinatario B otterrà il messaggio modificato M con il corretto checksum. Rimane ora solo da descrivere come ottenere C da C. Come abbiamo osservato le stringhe cifranti, come nel caso del RC4, sono in genere lineari. Questo ci permette di riordinare alcuni termini. Se mettiamo in XOR la quantità Δ, c(δ) da entrambi i lati dell equazione (1) otteniamo un nuovo testo cifrato C : C = C Δ, c(δ) = RC4(v,k) M, c(m) Δ, c(δ) = RC4(v,k) M Δ, c(m) c(δ) = RC4(v,k) M, c(m Δ) = RC4(v,k) M, c(m )

26 In questi passaggi, come già detto, si è fatto uso della linearità del checksum. Questo permette di affermare che c(m) c(δ) = c(m Δ). In questa maniera abbiamo dimostrato come modificare C per ottenere un nuovo testo cifrato C che decripterà P Δ. Questo implica che possiamo modificare un messaggio criptato senza paura di essere scoperti. Questa è la dimostrazione di come WEP non sia in grado di assicurare l integrità, uno dei tre principali obiettici del WEP stesso. Da notare infine come questo attacco possa essere portato a compimento senza la conoscenza del messaggio M. Un attacker solo necessita del messaggio cifrato (C) e della differenza dal testo in chiaro che desidera (Δ) per calcolare C =C Δ,c(Δ). Ad esempio si può cambiare il primo bit di un messaggio settando Δ = In altre parole un attacker può modificare il contenuto di un messaggio con una conoscenza parziale (o nulla) dello stesso Message Injection Mostriamo ora come il protocollo WEP non sia in grado di assicurare accessi controllati e sicuri. Partiamo dalla seguente proprietà del WEP checksum: Propriety 2: The WEP checksum is an unkeyed function of the message. Questa proprietà dà un idea di quanto sia insicuro il WEP sotto questo punto di vista. Se un attecker è in grado di recuperare un intero testo in chiaro corrispondente ad una certa trama, è anche in grado di inserire arbitrariamente traffico nella rete. Come abbiamo visto in precedenza, la conoscenza sia del testo in chiaro che del testo cifrato fornisce il keystream. Questo keystream può quindi essere riusato per costruire un nuovo pacchetto usando lo stesso IV: P C = P (P RC4(v,k)) = RC4(v,k). In questa maniera l attacker può costruire la cifratura di un messaggio M : (A) B : v, C, dove C = c(m ), M RC4(v,k). Da notare che il messaggio falso usa lo stesso IV del messaggio originale. Questo tipo di attacco funziona solamemente perchè l access point ha il secuente comportamento: Property 3: It is possible to reuse old IV values without triggering any alarms on the recivers.

27 Nel momento in cui veniamo a conoscenza di un IV e del suo corrispondente valore della keystream RC4(v,k), la proprietà che permette il riuso dà la possibilità di aggirare il meccanismo di controllo degli accessi del WEP riutilizzando lo stesso keystream. Una difesa naturale contro questi tipi di attacchi potrebbe essere disabilitare la funzione di riuso degli IV e richiedere che il destinatario non permetta il riuso. Tuttavia lo standard non richiede espressamente che questo avvenga. Anche se sconsiglia il riuso degli IV, lo standard non richiede che questi vengano cambiati ad ogni invio di pacchetti. Così ogni apparato è costretto ad accettare IV multiplati o rischia di incorrere nell interoperabilità con i dispositivi che seguono lo standard. Questo da molti è considerato una grave mancanza dello standard. Nel mondo delle reti vige spesso la legge be conservative in what you send, and liberal in what you accept. Tuttavia, quando la sicurezza è un obbiettivo, questa linea guida può essere pericola: essere liberali su quello che si accetta significa offrire servizi di sicurezza di basso livello e questo può essere sfruttato da utenti maliziosi. In quest ottica lo standard dovrebbe essere più stringente e intransigente sul tema degli IV duplicati e su gli altri aspetti pericolosi. Da notare in fine che per questo tipo di attacco non abbiamo sfruttato minimamente la prorietà 1 (linearità) del checksum. Sostituendo qualsiasi funzione non protetta al posto del CRC non si hanno efffetti sulla possibilità o meno di apportare l attacco. Solo un messaggio protetto con un codice di autenticazione (Message Authentication Code MAC) come SHA1-HMAC può offrire sufficienti garanzie per evitare questo attacco Message Decryption Consideriamo il WEP dal punto di vista di chi effettua un attacco. Poichè WEP usa una stringa di cifratura che si presuppone sia sicura (RC4), fare un attacco crittografico diretto è probabilmente senza speranza. Tuttavia, se noi non siamo in grado di decriptare il traffico con le nostre forze, c è qualcuno che può farlo al posto nostro: l Access Point. In tutti i protocolli di crittografia, per come sono disegnati, il legittimo decriptatore deve sempre possedere la chiave segreta per poter decriptare correttamente i messaggi. L idea quindi, è quella di obbligare l AP a decriptare alcuni testi cifrati per noi. Con questa prospettiva, la possibilità di modificare i pacchetti trasmessi ci dà sue possibili strade per sfruttare l AP in questo senso.