Wired Equivalent Privacy

Transcription

1 SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA Seminarski rad u okviru predmeta Računalna forenzika Wired Equivalent Privacy Andrea Drmić Zagreb, 2016/2017

2 Sadržaj 1. Uvod O WEP-u Zaključak Literatura... 11

3 1. Uvod Bežična mrežna infrastruktura za računala pojavila se relativno nedavno. IEEE je godine objavio standard za bežične lokalne mreže pod oznakom Bežična mrežna oprema postala je pristupačna cijenom i rasprostranjena, ali postoje sigurnosni problemi koji bežične računalne mreže prate od njihove pojave. Bežični prijenos podataka bitno je nesigurniji zbog prirode medija koji se koristi. Dva osnovna problema koja je potrebno riješiti su: autentifikacija korisnika i prijenos podataka zaštićen od prisluškivanja i izmjena. Standard sadrži prve pokušaje rješavanja tih problema temeljene na RC4 algoritmu.

4 2. O WEP-u WEP je algoritam za sigurnu komunikaciju (bez prisluškivanja) putem IEEE bežičnih mreža. Kada je predstavljen godine, kao što mu ime sugerira, njegova je namjera bila osigurati bežićnoj mreži sigrnost ekvivalentnu sigurnosti u lokalnim mrežama. 2.1 Detalji šifriranja WEP koristi simetrični kriptografski algoritam toka RC4 za povjerljivost i CRC32 za integritet. RC4 je simetrični kriptografski algoritam toka (eng. stream cipher) svaka riječ kriptira i dekriptira se zasebno (bit po bit). Najčešće se koristi riječ dužine jedan bajt. Ključ koji se pri tome koristi može biti dužine do 256 bajtova. Algoritam generira niz pseudoslučajnih brojeva proizvoljne duljine. XOR miješanjem tog niza s podacima dobiva se kriptirani niz. Na prijemnoj strani generira se isti niz pseudoslučajnih brojeva (prijemna strana koristi isti ključ) i XOR miješa sa kriptiranim nizom. Zbog svojstva (p XOR z) XOR z = p (1) prijemna strana nakon toga dobiva izvorne podatke. Koristi se u popularnim protokolima kao SSL te za WEP kod Wi-Fi-ja. RC4 je vrlo jednostavan algoritam, no isto tako i prilično nesiguran te se ne preporuča za nove sustave. Slika 1: Kriptiranje Slika 2: Dekriptiranje Slika 3: Osnove WEP šifriranja: RC4 XOR plaintext Ključ kojim se inicijalizira RC4 algoritam sastoji se od dva dijela: inicijalizacijskog vektora (engl. IV Initialization Vector) i tajnog ključa (slika 2). Tajni ključ (često nazivan WEP ključ) poznat je svim ovlaštenim korisnicima mreže i jednak je za sve korisnike. Distribucija tajnog ključa nije definirana standardom i najčešće se obavlja

5 ručno 1. Inicijalizacijski vektor obično je različit za svaki okvir, dok je tajni ključ stalan. Posljedica toga je da za okvire sa različitim IV-om RC4 generira različite nizove pseudoslučajnih brojeva. IV je dužine 3 bajta te se nakon nekog vremena nužno mora dogoditi ponavljanje. Da bi prijemna strana mogla dekriptirati sadržaj okvira, IV se šalje nekriptiran u zaglavlju okvira. Radi zaštite okvira od izmjena, za sadržaj okvira računa se CRC32 suma (engl. ICV Integrity Check Value) i kriptira zajedno sa podacima. Prijemna strana nakon dekriptiranja računa ICV za sadržaj okvira i uspoređuje ga sa ICV-om dobivenim nakon dekripcije okvira. Slika 4: WEP enkripcija okvira Zaglavlje okvira sadrži i identifikator korištenog tajnog ključa. Identifikator je dužine 2 bita pa je moguće istovremeno koristiti 4 različita tajna ključa. Ukoliko se u mreži koristi više ključeva bitno je da na svim uređajima isti tajni ključevi budu pridruženi istim identifikatorima. Ako, na primjer, uređaj A kriptira okvir tajnim ključem s identifikatorom 2, tada uređaj B mora imati isti ključ pridružen identifikatoru 2 da bi mogao ispravno dekriptirati sadržaj okvira. Prema tome, identifikatori tajnog ključa predstavljaju indekse polja tajnih ključeva. Standard opisuje i korištenje različitih WEP ključeva za različite MAC adrese. Ta mogućnost obično nije dostupna preko uobičajenog Web sučelja pristupne točke (eventualno samo preko SNMP-a), pa se rijetko koristi. Standardni 64-bitni WEP koristi 40-bitni ključ (također poznat kao WEP-40), koji je nadovezan sa 24-bitnim inicijalizacijskim vektorom i formira RC4 ključ. Postoji i 104- bitni WEP ključ. 64-bitni RC4 ključ se obično upisuje kao niz od deset heksadecimalnih znamenki (0-9 i A-F). Svaka znamenka predstavlja 4 bita. Deset znamenki po 4 bita daje 40 bitova i dodajući 24-bitni incijalizacijski vektor (IV) tvore 64-bitni RC4 ključ. Većina uređaja također korisniku dopušta da unese ključ kao 5 ASCII znakova (0-9, a-z, A-Z) od koji se svaki pretvara u 8 bita koristeći vrijednost bajta za znak in ASCII (8 bita IV = 64 bita). Međutim, to ograničava svaki bajt da bude ispisan kao ASCII znak, što je samo mali dio mogućih vrijednosti bajta, i time uvelike smanjujući prostor mogućih ključeva. 128-bitni RC4 ključ se obično unosi kao niz od 26 heksadecimalnih znakova, 26 znamenki po 4 bita daje 104 bita i dodavajući 24-bitni IV tvore cijeli 128-bitni WEP 1 Upisivanjem vrijednosti ključa prilikom konfiguriranja postavki mrežne kartice

6 ključ. Većina uređaja također dopušta korisniku da unese to kao 13 ASCII znakova (8 bitova bita IV = 128 bitova). 2.2 Autentifikacija Autentifikacija - proces utvrđivanja identiteta korisnika koji pokušava pristupti sustavu. Dvije vrste autentifikacije se koriste kod WEP-a: Autentifikacija otvorenog sustava (Open System authentication) Autentifikacija dijeljenim ključem (Shared key autentification) Otvorenom sustavu može pristupiti svatko, pa je autentifikacija samo formalna. Identitet korisnika sustava se ne provjerava već je svima dopušteno korištenje sustava. Autentifikacija se u otvorenom sustavu izvodi u dva koraka. U prvom koraku stanica koja se autentificira (klijent) generira okvir sadržaja prikazanog u tablici 3. Tablica 1: Otvoreni sustav, prvi okvir Stanica koja obavlja autentifikaciju na to odgovara okvirom sadržaja prikazanog u tablici 2. Autentifikacija može završiti uspjehom ili neuspjehom. U slučaju uspjeha polje rezultata drugog okvira sadrži vrijednost 0. U slučaju neuspjeha polje rezultata sadrži vrijednost koja opisuje razlog neuspjeha. Autentifikacija završava neuspjehom ako stanica ne podržava algoritam autentifikacije (vrijednost 13), ako je istekao vremenski period za autentifikaciju (vrijednost 16), ako je na pristupnu točku (engl. AP Access Point) već spojen maksimalan broj klijenata (vrijednost 17) itd. Tablica 2: Otvoreni sustav, drugi okvir

7 Autentifikacija dijeljenim ključem pretpostavlja da samo autorizirani korisnici poznaju dijeljenu tajnu. Dijeljena tajna je WEP ključ koji se koristi za enkripciju okvira s podatcima. Autentifikacija pomoću dijeljene tajne izvodi se u četiri koraka (challengeresponse handshake): 1. Klijent šalje zahtjev za autentifikaciju na pristupnu točku. 2. Pristupna točka odgovara sa clear-text 2 challenge. 3. Klijent šifrira challenge-text koristeći konfigurirani WEP ključ i šalje to natrag u drugom zahtjevu za autentifikaciju. 4. Pristupna točka dešifrira odgovor. Ako se poklapa sa challenge-text, pristupna točka šalje pozitivan odgovor. Slika 3: Primjer WEP autentifikacije Stanica koja pristupa mreži u prvom okviru šalje informacije prikazane u tablici 3. Tablica 3: Dijeljenje ključa, prvi okvir Pristupna točka odgovara okvirom prikazanim u tablici 2.4. Tablica 4: Dijeljenje ključa, drugi okvir 2 Cleartext ili plaintext običan tekst, tekst koji nije šifriran, plaintext

8 Ukoliko polje rezultata sadrži kôd uspjeha (vrijednost 0) okvir sadrži dodatno polje (engl. Challenge text) duljine 128 bajtova. Ovo polje predstavlja niz slučajno generiranih brojeva (može se koristiti pseudoslučani niz generiran RC4 algoritmom). U slučaju da polje rezultata sadrži vrijednost različitu od 0, autentifikacija završava neuspjehom. U tom slučaju vrijednost polja rezultata opisuje razlog neuspjeha (isto kao kod autentifikacije u otvorenom sustavu). Ukoliko autentifikacija u prethodnom koraku nije završila neuspjehom, stanica koja se autentificira odgovara WEP kriptiranim okvirom čiji je sadržaj prikazanim u tablici 5. Tablica 5: Dijeljenje ključa, treći okvir Okvir se kriptira pomoću WEP ključa (dijeljena tajna). Stanica koja obavlja autentifikaciju nakon primitka gornjeg okvira dekriptira tijelo okvira. Ukoliko je dekripcija uspješna (ICV je ispravan) i niz bajtova dobiven dekripcijom identičan nizu poslanom u okviru s rednim brojem 2, stanica koja pristupa mreži zna dijeljenu tajnu i treba joj dozvoliti pristup. U suprotnom, autentifikacija je neuspješna i stanici se ne dozvoljava pristup. Posljednji okvir šalje stanica koja obavlja autentifikaciju (tablica 6.) Opis vrijednosti koje može poprimiti polje rezultata jednak je kao za okvir s rednim brojem 2. Tablica 6: Dijeljenje ključa, četvrti okvir Na žalost, autentifikacija dijeljenom tajnom ne ograničava pristup mreži samo na korisnike koji poznaju dijeljenu tajnu. Prisluškivanjem autentifikacije ovlaštenog korisnika napadač može otkriti dovoljno informacija da i sam pristupi mreži. Napadač može odrediti korišteni RC4 pseudoslučajni niz XOR miješanjem nekriptiranog (slučajni niz iz drugog okvira) i kriptiranog sadržaja trećeg okvira. Korištenjem pseudoslučajnog niza zatim može pristupiti mreži na isti način kao i ovlašteni korisnik. Pristupna točka će mu u drugom koraku poslati novi slučajni niz brojeva, ali napadač može ispravno kriptirati treći okvir XOR miješanjem slučajnog niza brojeva sa otkrivenim RC4 pseudoslučajnim nizom. Nakon uspješne autentifikacije napadač može korištenjem RC4 pseudoslučajnog niza generirati male podatkovne okvire u

9 mrežu (ograničen je veličinom otkrivenog RC4 pseudoslučajnog niza oko 128 bajtova). Primanje okvira nije moguće jer napadač ne zna WEP ključ i mala je vjerojatnost da će primljeni okviri koristiti upravo onaj inicijalizacijski vektor za koji je otkriven pripadni RC4 pseudoslučajni niz. Iz ovog opisa može se zaključiti da niti jedna od početno definiranih metoda autentifikacije ne omogućava sigurnu autentifikaciju korisnika. 2.3 Sigurnosni detalji Zbog toga što je RC4 algoritam toka isti ključ se nikad ne smije korisiti dva puta. Svraha inicijalizacijskog vektora (IV), koji se prenosi kao običan tekst (plaintext), je spriječiti ponavljanje, ali 24-bitni IV nije dovoljno dug da to osigura na prometnoj mreži. Način na koji se IV koristi otvorilo je WEP napadima povezanih ključeve (related key attack 3 ). Za 24-bitni IV, postoji 50% vjerojatnosti da će se isti ponoviti nakon 5000 paketa. U kolovozu 2001, Scott Fluhrer, Itsik Mantin i Adid Shamir su objavili kriptoanalizu WEP-a koji iskorištava način na koji RC4 i IV se koriste u WEP-u, što je rezultiralo pasivnim napadom koji može oporaviti RC4 ključ nakon prisluškivanja na mreži. Ovisno o količini mrežnog prometa, a time i brojem paketa dostupnih za provjeru, uspješan ključ za oporavak može potrajati oko jedene minute. Ako se ne šalje dovoljan broj paketa, postoje načini za napadače da šalju pakete u mrežu i time stimuliraju povratne pakete koji mogu biti pregledani kako bi pronaši ključ. Napad je brzo proveden. Moguće je izvesti napad s osobnim računalom pomoću besplatno dostupnih softvera kao što je aircrack-ng i probiti bilo koji WEP ključ u minutama. Cam-Winget je ispitao razne nedostatke WEP-a i došao do zaključka da je uz odgovarauću opremu, WEP-om zaštićena mreža praktična za prisluškiavanje na udaljenostima od cilja jedne milje ili više. Također je izvijestio o dvjema generičkim slabostima: Korištenje WEP-a je opcionalno, rezultirajući brojnim aktivacijama koje se nisu nikad više aktivirale i inicijalno, WEP se oslanja na jednom dijeljenom ključu među korisnicima grupa iz U.S. Federal Bureau of Investigation demonstrirala je probijanje WEPom zaštićene mreže u tri minute koristeći javno dostupne alate. 3 Related-key attack - bilo koji oblik kriptoanalize gdje napadač može promatrati operacije šifriranja pod nekoliko različitih ključeva čije vrijednosti su u početku nepoznate, ali gdje je neki matematički odnos povezivanja ključeva poznat napadaču

10 2.4 Rješenja nedostataka Koristeći šifriranje tuneliranim protokolima (npr. IPSec, Secure Shell) može pružiti siguran prijenos podataka untar nesigurne mreže. Ipak, zamjene za WEP razvijene su s ciljem vraćanja sigurnosti bežićnoj mreži i (WPA i WPA2) Nakon što je uočena ranjivost (starijeg) WEP algoritma, napravljen je WPA (Wi-Fi Protected Access) i uveden u uporabu od strane Wi-Fi saveza. Bitna karakteristika WPA algoritma je da radi na uređajima koji mogu koristiti WEP. Poboljšanja koja su uvedena u WPA tiču se enkripcije komunikacije i autentifikacije korisnika. Enkripcija kouminkacije je poboljšana korištenjem TKIP protokola (Temporal Key Integrity Protocol). Za autentifikacijaju se koristi EAP (Extensible Authentication Protocol). WPA je privremeni algoritam koji bi trebao biti zamijenjen kada bude dovršen posao na i standardu, jer je TKIP prešao kraj svog trajanja i obustavljen je tim standardom. Prva verzija WPA ima svoje poboljšanje koje se ogleda u WPA2 protokolu čije se poboljšanje ogleda u uvođenju novog algoritma koji se bazira na AES-u 4. WEP2 Postojala je nada da se eliminira nedostatak duplih IV, kao i to da se zaustave brute force napadi. Nakon što je postalo jasno da je općenito WEP algoritam manjkav i da zahtjeva još promjena, algoritam je odbačen. Dvije proširene duljine ključa su ono što je na kraju postao TKIP za WPA. WEPplus WEPplus ili WEP+ je nadogradnja običnog WEP-a koji pojačava WEP sigurnost izbjegavanjem slabih inicijalizacijskih vektora. To je jedino potpuno efektivno kada se WEPplus koristi na oba kraja bežične veze. Kako to nije lako izvedivo, ima ozbiljno ograničenje. Također, ne mora nužno spriječiti replay napade (replay attack 5 ) i neučinkovit je protiv kasnijih statističkih napada koji se ne oslanjaju na inicijalizacijske vektore. Dynamic WEP Odnosi se na kombinaciju 802.1x tehnologije i EAP protokola. Radi na način da mijenja ključeve dinamički. 4 AES algoritam za kriptiranje 5 Replay attack oblik mrežnog napada u kojem se prijenos vrijednih podataka zlonamjerno ponavlja ili odgađa

11 3. Zaključak Bežične lokalne mreže ne mogu se fizički zaštiti (poput lokalnih mreža) jer je širenje signala teško ograničiti. Iako bi WEP trebao to omogućiti, ipak ne predstavlja cjelovito i kvalitetno rješenje sigurnosti u bežićnim mrežama, kao ni pokušaji njegovog poboljšanja (npr. WEP+) ili WPA. 4. Literatura [1] [2] [3] [4] [5] [6] [7] Diplomski rad Sigurnost u bežićnim lokalnim mrežama, Valentin Vidić