WI FI Alliance (1999) Reti Wi Fi (IEEE ) a b g n

Transcript

1 WI FI Alliance (1999) Reti Wi Fi (IEEE ) a b g n

2 IEEE a Data Rilascio Frequenza Operativa Throughput Network Bitrate Ottobre GHz 27 Mbps 54 Mbps

3 IEEE b Data Rilascio Frequenza Operativa Throughput Network Bitrate Ottobre GHz ~5Mbps 11Mbps Apple (AirPort) Linksys

4 IEEE g Data Rilascio Frequenza Operativa Throughput Network Bitrate Giugno GHz ~22 Mbps 54 Mbps Apple (AirPort Extreme) Cisco Linksys (AiroNet)

5 IEEE n Data Rilascio Frequenza Operativa Throughput Bitrate teorico Settembre G Hz o 2.4 GHz 50 Mbps o 144 Mbps 600 Mbps Tecnologia MIMO

6 Wi Fi Security Ovvero: come garantire autenticazione sicura per l accesso ad una rete Wi fi e la riservatezza dei dati in transito su di essa.

7 In Principio era il WEP Cifrario a stream (RC4) Garantire integrita dei dati (CRC32) Chiave lunghezza variabile da 5 a 32 caratteri

8 IEEE i Autenticazione IEEE 802.1x (EAP RADIUS) Connessione WPA/WPA2(RSN) Integrità dei dati Confidenzialità }TKIP/CCMP Autenticità

9

10 WPA RC4 per la costruzione dei keystream PSK (Personal) o RADIUS (Enterprise) per l autenticazione TKIP(Temporal Key Integrity Protocol) Per la Cifratura four way handshake per instaurare una connessione

11 WPA Il Processo di Autenticazione avviene in due fasi: Autenticazione con EAP e RADIUS oppure PSK Costruzione di una PMK e Four Way Handshake

12 WPA Four Way HandShake Nounce = Number used once PTK = Pairwise Transient Key PMK = Pairwise Master Key MIC = Message Integrity Code (calcolato su PTK) PTK = PMK + ANounce + SNounce + STA MAC + AP MAC GTK = Groupwise Transient Key (serve al client per identificare messaggi di broadcast o multicast dell AP)

13 WPA BRUTEFORCE ATTACK MIC = Message Integrity Code (calcolato su PTK) PTK = PMK + ANounce + SNounce + STA MAC + AP MAC airodump-ng --bssid 00:1D:8B:XX:XX:XX --channel 11 -w testhandshake wlan0 aireplay-ng a 00:1D:8B:XX:XX:XX -c 0E:1B:DA:XX:XX:XX wlan0 aircrack-ng -w dizionario.txt -b 00:19:5B:XX:XX:XX testhandshake.cap

14 WPA Schema SENDER michael() : Funzione hash invertibile più robusta di CRC veloce no CPU Load MICKey = verifica creazione/falsificazione dei messaggi EncriptionKey = cifra/decifra i messaggi MSDU = MAC Service Data Unit MPDU = MAC Protocol Data Unit

15 WPA Schema RECEIVER MICKey = verifica creazione/falsificazione dei messaggi EncriptionKey = cifra/decifra i messaggi MSDU = MAC Service Data Unit MPDU = MAC Protocol Data Unit

16 ChopChop Attack Cerca di ricavare del testo in chiaro da un testo cifrato,un byte per volta, usando le vulnerabilità di CRC32 Non calcola direttamente la chiave di rete Servono in media m 1 minuti per ricavare m byte in chiaro del testo cifrato

17 Beck Tews Attack WPA Effettua un attacco a WPA con IEEE e (QoS) attivo Ricava la MIC Key con un attacco ChopChop su pacchetti ARP ARP(802.11e) = ARP Packet + MIC + Checksum Mi servono 11 minuti per calcolare la MIC Key [(8+4) 1 minuti per 12 byte]

18 Beck Tews Attack WPA 2 byte 8 byte 4 byte ARP Packet MIC michael(arp Packet MIC Key) Checksum crc32(arp Packet MIC) Parte Sconosciuta del pacchetto ARP (14 byte) 8 byte MIC [12 attacchi ChopChop] 2 byte ARP 2^16 possibilità [Calcolo localmente crc32(2^16 ARP MIC)] Una volta calcolati i 2 byte mancanti del pacchetto ARP il gioco è fatto.. ho ricostruito l intero pacchetto (MSDU in chiaro) Da questo Posso Ricavare il KeyStream come se stessi decifrando normalmente ;) e forgiare un pacchetto falso da mandare sulla rete senza essere autenticato

19 Beck Tews Attack WPA 2 byte 8 byte 4 byte ARP Packet MIC michael(arp Packet MIC Key) Checksum crc32(arp Packet MIC) Parte Sconosciuta del pacchetto ARP (14 byte) 11 minuti per falsificare il primo pacchetto ARP avendo recuperato la MIC Key 4 minuti per le successive esecuzioni per calcolare il checksum su ogni singolo pacchetto da falsificare

20 Beck Tews Attack WPA Svantaggi di questa tecnica: L Access Point deve supportare e Attesa per l esecuzione dell attacco ChopChop...Si puo fare di meglio?...

21 ...si, si puo fare di meglio. Servono due Japponesi, due antenne direzionali e un po di dimistichezza con il Packet Injection Toshihiro Ohigashi e Masakatu Morii Sono gli autori di: A Practical Message Falsification Attack on WPA

22 A Practical Message Falsification Attack on WPA Combina la strategia di Beck Tews ad un attacco Man In The Middle Lo scopo e quello di costruire un pacchetto falsificato che verrà trasmesso sulla rete senza essere autenticati, IN MENO DI UN MINUTO e Senza Avere la limitazione che l AP supporti e

23 A Practical Message Falsification Attack on WPA Modalità di attacco Repeater Mode l attaccante fa da relay tra la Station e l AP Quando vedo passare dati sensibili passo in modalità Repeater MIC Key recovery Mode Recupera MIC e Checksum per calcolare la MIC Key (12 minuti) Message Falsification Mode Forgia un pacchetto falsificato a partire dalle informazioni ottenute in precedenza + quelle attuali (4 minuti Beck Tews)

24 A Practical Message Falsification Attack on WPA Toshihiro Ohigashi Masakatu Morii hanno ridotto il tempo di esecuzione per la falsificazione dei messaggi e hanno eliminato la limitazione del QoS con MITM I risultati dei due ricercatori japponesi se dimostrati renderebbero insicure tutte le connessioni che utilizzano WPA TKIP

25 A Practical Message Falsification Attack on WPA Toshihiro Ohigashi Masakatu Morii Per ridurre il tempo di esecuzione della fase di falsificazione partono dall assunto che una volta ottenuta la MIC Key noi conosciamo l IP dell AP (fixed) e quindi del Pacchetto ARP ci manca solo un Byte, per il Checksum del Pacchetto ARP. Dimostreranno che a loro serve solo un byte e non tutti e quattro come per il Back Tews.

26 A Practical Message Falsification Attack on WPA Toshihiro Ohigashi Masakatu Morii Quindi per due byte da decifrare mi serve un minuto per l attacco ChopChop Trovo l ultimo Byte del checksum, poi devo creare i 2^8 candidati a pacchetto ARP, Quindi ho 2^8 possibili permutazioni tra cui una è quella corretta e (2^8) 1 sono quelle errate. Che probabilita ho di sbagliare?...

27 A Practical Message Falsification Attack on WPA Toshihiro Ohigashi Masakatu Morii Quindi per due byte da decifrare mi serve un minuto per l attacco ChopChop Trovo l ultimo Byte del checksum, poi devo creare i 2^8 candidati a pacchetto ARP, Quindi ho 2^8 possibili permutazioni tra cui una è quella corretta e (2^8) 1 sono quelle errate. Che probabilita ho di sbagliare?...

28 A Practical Message Falsification Attack on WPA Toshihiro Ohigashi Masakatu Morii Ci sono 2 8 1/2 8 candidati errati e solo uno è quello giusto... Quindi ho (2 8 1/2 8 )^(2 8 1) cioè ~0.369 cioè il 37% di probabilità che il mio candidato sia quello sbagliato.. Quindi ho il 63% di probabilità che il candidato scelto sia quello corretto

29 A Practical Message Falsification Attack on WPA Conclusioni Toshihiro Ohigashi Masakatu Morii Attacco a tutte le possibili implementazioni di WPA grazie al MITM Miglioramento del tempo di esecuzione dell attacco su Pacchetti ARP Nel caso migliore il tempo di esecuzione della falsificazione del messaggio è un minuto

30