На ноябрьской конференции PacSec в Токио исследователи Эрик Тьюc и Мартин Бек рассказали об атаке, которую они создали для преодоления защиты WPA беспроводной связи.
Хотя эта атака ограничена по своим масштабам, поскольку она влияет только на TKIP (Temporal Key Integrity Protocol) и может использоваться лишь для внедрения в трафик, а никак не для непосредственной кражи данных, наверняка будут большие споры о ее результатах.
В этой статье я выделил пять основных моментов, касающихся данной атаки и ее последствий, которые критичны для беспроводных администраторов, чтобы читатели поняли, как она работает, каковы ее возможности и что может быть сделано для защиты беспроводных сетей и данных в них от атакующих.
Момент первый: атака Тьюса и Бека работает только против сетей, защищенных с помощью TKIP, который прежде назывался WEP2. Это промежуточный стандарт, принятый для того, чтобы дать пользователям беспроводных сетей возможность провести модернизацию слабого протокола WEP (Wires Equivalent Privacy) и защитить свои беспроводные сети без вложения денег в новое оборудование. TKIP использует основы WEP (а значит, и тот же потоковый шифр RC4), усиливает их более длинным ключом шифрования, дополняет ключами на каждый пакет, расширяет вектор инициализации (Initialization Vector) для генерации ключей длиной от 24 до 48 бит и добавляет новую проверочную сумму (под названием Michael) целостности данных.
Цель новой атаки — это Michael. В ней используется модифицированный вариант атаки chop-chop (“быстро-быстро”), позволяющий расшифровать индивидуальные пакеты без взлома ключа Pairwise Master (общего для пользователя и сети и применяемого для шифрования); атака обходит этот ключ, защищающий сеанс связи, чтобы задействовать очень маленькие пакеты неизвестных данных (такие, как ARP) всего в несколько битов.
Атакующий должен действовать очень аккуратно, поскольку Michael закроет устройство на 60 секунд и сменит ключ, если обнаружит две ошибки за одну минуту. Однако поскольку в маленьких пакетах не над чем раздумывать, атакующему придется провести не так много времени, пробуя Michael, пока она не прекратит возвращать ошибки. В этот момент атакующий может начать использовать атаку chop-chop, чтобы пройти проверку целостности, встроенную в начальный WEP (к которой прибегает и TKIP).
AES-защищенные сети не подвержены таким атакам, поскольку AES использует совершенно иной метод образования ключей под названием CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol).
Момент второй: поскольку ключ шифрования не взламывается в процессе атаки, а атака с преодолением проверки целостности Michael используется только при интерпретации маленьких пакетов (слишком много надо просчитать за малое время перед тем, как произойдет запланированная смена ключа), атакующий не может расшифровать и украсть данные при их передаче. Однако атака (вместе с перехватом некоторых MAC-адресов) позволяет атакующему создать точку доступа для того, чтобы внедрить небольшое количество информации в передаваемый поток. Эти вставки могут быть использованы для того, чтобы заразить ARP или DNS клиента и переориентировать его компьютер на работу в неконтролируемых им (и, вероятно, нечестных) целях.
“В наихудшем варианте развития событий атакующий может внедрить, организовав себе точку доступа, до семи пакетов в поток информации от клиента, — говорит Рик Фарина, старший исследователь в области беспроводной безопасности компании AirTight Networks. — Клиент воспримет их как правильно зашифрованные. Вы можете создать все условия атаки “отказ в обслуживании” созданием фальшивых ARP или можете убедить клиента “побеседовать” с сервером в Интернете”.
Пользователи и администраторы беспроводных сетей не должны заблуждаться, думая, что WPA2 защищен от такой атаки. Стандарт сертификации WPA2 Wi-Fi включает обеспечение безопасности как с помощью AES, так и с помощью TKIP в качестве вариантов, поэтому администраторы беспроводных сетей должны убедиться, что сеть, защищенная с помощью WPA2, поддерживает и AES-шифрование, чтобы быть защищенной от описанной атаки.
Момент третий: способ аутентификации, используемый для WPA с сетью TKIP, при этой атаке не имеет значения. Атака работает против TKIP-защищенных сетей, использующих либо предварительно заданный ключ, либо аутентификацию 802.1x/EAP, поскольку происходит после использования парного временного ключа (Pairwise Transient Key), который применяется в обоих случаях.
Однако администраторы корпоративных беспроводных сетей могут настроить свои сети так, чтобы менять ключ быстрее обычного для защиты от этой атаки (авторы атаки рекомендуют это делать каждые две минуты). Но беспроводные администраторы должны тщательно оценить, не является ли такое воздействие на функционирование сети более сильным, чем переход на шифрование AES.
Кроме того, поскольку это не прямой взлом шифра, администраторы беспроводных сетей должны знать, что длина ключа шифрования не имеет значения в процессе этой атаки.
Момент четвертый: может быть, у вас уже есть необходимая защита от этой атаки. Компании, использующие технологию Wireless Intrusion Detection and Prevention, типа той, что предоставляет компания AirTight Netwroks, или технологию AirDefense фирмы Motorola, должны иметь некоторую защиту от такой атаки. Эти системы могут идентифицировать подмену МАС-адресов при попытке внедрения в трафик.
Инструменты определения местоположения также могут быть полезны: поскольку атакующим нужно организовать точку доступа, система должна выдавать немедленное предупреждение, если она видит неожиданное изменение здесь.
Вероятно, вендоры WIPS сейчас придумывают новые способы обнаружения атак, а также помогают отыскать и скоррелировать ошибки Michael, которые происходят в процессе атаки. Поскольку довольно сложно изменить данные и при этом не изменить проверочную сумму, поток регулярных (в каждые 60 секунд) ошибок в контрольной сумме достаточно просто обнаружить и подать сигнал тревоги.
TKIP — это хорошее временное работоспособное решение, которое функционирует без серьезных проблем. Однако после публикации информации об успешной атаке против него (и доступных для организации таких атак инструментов) TKIP должен быть подвергнут тщательному исследованию.
И наконец момент пятый: хотя шифры и не взламываются администраторы беспроводных сетей должны переосмыслить использование WPA и TKIP. Многие компании уже столкнулись с необходимостью модернизации беспроводных сетей для обеспечения их соответствия требованиям стандарта PCI DSS 1.2, который недавно появился для замены WEP в качестве меры защиты в беспроводных сетях, работающих с конфиденциальной информацией. Компаниям, в которых пришла пора обновить старые сканнеры, считыватели штрихкодов или другие мобильные беспроводные устройства, используемые для проведения транзакций, надо обратить внимание на поддержку AES при покупке нового оборудования.
К счастью, бóльшая часть корпоративного оборудования, выпущенного за последние четыре года, поддерживает AES. Может быть, потребуется модернизация для ускорения работы некоторых клиентских устройств. Устройства с Windows Mobile версий до WM 6.1 могут не обеспечивать поддержку AES, поэтому администраторы мобильных сетей должны подумать о модернизации.
Кроме того, тем, кто использует Windows XP (но еще не установил Windows XP SP3) и основную конфигурацию беспроводных инструментов, надо будет установить обновления, чтобы добавить поддержку AES.
