Trabajo Práctico: Cracking WEP

Transcripción

1 Universidad de Buenos Aires Facultad De Ingeniería 2 do Cuatrimestre 2011 Trabajo Práctico: INTEGRANTES De Roovers, Raúl nari77@gmail.com Carracedo, Leandro leandrocarracedo@gmail.com Pereira, María Florencia mflorenciapereira@gmail.com Criptografía y Seguridad Informática

2 Índice 1. Introducción 2 2. Fundamentos teóricos Wi-Fi WEP RC CRC Autenticación Vulnerabilidades WEP Ataques Ataque por fueza bruta Ataque de diccionario FMS Ataque a la integridad Ataque chop chop Colisión de IVs Herramientas utilizadas BackTrack linux Aircrack aircrack-ng aireplay-ng airmon-ng airodump-ng Experiencia Entorno Elección de la red Modo Monitor Inyección de Prueba Autenticación con AP Inyección de paquetes Captura de paquetes Obtención de la clave Conclusión 12

3 2 FUNDAMENTOS TEÓRICOS 1. Introducción El presente trabajo tiene como ojetivo exponer las vulnerabilidades inherentes al protocolo de encriptación Wired Equivalent Privacy (WEP) a través de un ataque a una red Wi-Fi cifrada utilizando dicho protocolo, sin contar con información previa. Para la realización de la experiencia se utilizaron herramientas tales como Backtrack Linux y aircrack que facilitaron el monitoreo de la red, la captura de paquetes (sniffing) y posteriormente la obtención de la clave. Se detalla la experiencia y los resultados obtenidos. 2. Fundamentos teóricos 2.1. Wi-Fi Las redes Wi-Fi son redes LAN Wireless, que cumplen con el standard El protocolo de acceso al medio que describe el standard es CSMA/CA (Carrier Sense, Multiple Access, Collision avoidance) donde antes de enviar un paquete se sensa el medio y si este permanece libre durante una cantidad de tiempo determinada se procede a la transmisión, reduciendo de esta forma la probabilidad de que se produzca una colisión. El standard comprende varias versiones, entre otras las a, b, 802,11g, n. La diferencias fundamentales entre las mismas reside en las bandas de frecuencia donde operan, la cantidad de canales y la técnica de spread spectrum utilizada. En el caso de las n también se incopora la tecnología MIMO que logra una mayor redundancia a través del uso de múltiples antenas WEP WEP es un protocolo de cifrado incluido en el standard para brindar seguridad a redes wireless. Existe una clave secreta que es compartida entre las estaciones y el Access Point de la red (PSK). Utiliza dos algoritmos: RC4 y CRC RC4 RC4, desarrollado en 1987 por Ron Rivest, permite encriptar un stream de datos utilizando una clave de logitud variable y permutaciones random para generar un keystream (un stream de bits pseudoaleatorios). Para encriptar el mensaje, se aplicar un XOR entre el keystream y el plaintext. Para desencriptarlo, se utiliza la misma clave y se aplica un XOR pero esta vez entre el keystream y el texto cifrado. Cada paquete se genera a partir de una clave precompartida y un Initialization Vector (IV). Los IV están formados por números de 3 bytes generados al azar. Su introducción se debe a la necesidad de agregar aleatoriedad al proceso de encriptación y de esta forma evitar que un mismo mensaje transmitido más de una vez corresponda al mismo mensaje cifrado. Los IV se modifican regularmente, para evitar que se generen secuencias iguales y así obtener nuevas semillas. RC4 consiste la aplicación de dos algoritmos para obtener la salida, que son KSA (Key Scheduling Algorithm) y Pseudo-Random Generation Algorithm (PRGA). KSA obtiene una permutación de cada uno de los caracteres utilizando la clave y aplicando el método scrambling. Dado un array, el pseudocódigo de KSA se puede describir como: KSA(key) for i from 0 to 255 S[i] := i j := 0 //Scrambling for i from 0 to 255 j := j + S [ i ] + key [ i mod key ] mod 256 swap ( S [ i ], S [ j ] ) A la salida obtenida se le aplica PRNG (Pseudorandom Number Generator) para obtener una secuencia aleatoria de números. El algoritmo incrementa cada posición i, cambia pseudoaleatoriamente cada posición j e 2

4 2.2 WEP 2 FUNDAMENTOS TEÓRICOS intercambia elementos del array. PRNG garantiza que cada 256 iteraciones, todos los valores del array fueron intercambiados por lo menos una vez. El ciclo se repite tantas veces como sea necesario para obtener el número de bits que se definió inicialmente. PRNG() i := 0 j := 0 while (no se alcanza la cantidad de bits requeridos) i := i + 1 mod 256 j := j + S[i] mod 256 swap (S[i], S[j]) output S[S[i]+S[j] mod 256 ] Finalmente, se realiza un XOR entre el plaintext y la salida del algoritmo PRNG. Las claves utilizadas por RC4 pueden tener 64 bits (40 bits de clave + 24 de IV) o 128 bits (104 bits de clave + 24 de IV). La siguiente imagen resume RC4: Figura 1: Encriptación RC CRC-32 Dado un mensaje, Cyclic Redundancy Check (CRC) produce un checksum que se utiliza para verificar la integridad de los datos (garantizando que los mismos no fueron modificados durante su transmisión), detectar errores de transmisión, etc. Se implementa usando una función de hash, que a partir del mensaje genera un message digest (el checksum). La verificación se realiza calculando CRC sobre el mensaje, en el receptor y se compara con el CRC enviado con el mensaje. CRC-32 genera checksums de 32 bits Autenticación WEP puede funcionar como Sistema Abierto, el Access Point no verifica la identidad del cliente WLAN durante la autenticación. Así, cualquier cliente, independientemente de su clave WEP, puede autenticarse con el Access Point y luego intentar asociarse. Después de la autenticación y la asociación, el sistema WEP puede ser usado para cifrar los paquetes de datos. En este punto, el cliente tiene que tener las claves correctas. WEP también puede funcionar en modo PSK. En este método la estación cliente y el Access Point realizan un challenge-response handshake de cuatro pasos. El cliente envía una petición de autenticación al Access Point y este devuelve un clear-text challenge. Posteriormente, el cliente tiene que encriptar el challenge-text usando la clave WEP ya configurada, y reenviarlo al Access Point en otra petición de autenticación. Finalmente, el Access Point desencripta el mensaje y lo compara con el challenge-text que había enviado. Dependiendo del éxito de esta comparación, el Access Point envía una confirmación o una denegación. Después de la autenticación y la asociación, WEP puede ser usado para cifrar los paquetes de datos. 3

5 2.3 Vulnerabilidades WEP 2 FUNDAMENTOS TEÓRICOS 2.3. Vulnerabilidades WEP Espacio de claves pequeño. Claves estáticas. Espacio de IVs pequeño. Generación de IVs predecibles o con formatos particulares. Uso del mismo IV. El IV no se cifra. Vulnerabilidades de RC4 y CRC Ataques En princpio, dadas las características de las redes Wireless (que utilizan como canal de transmisión el aire), cualquier persona puede escuchar o capturar paquetes intercambiados en la red. Esto se conoce como Sniffing. Los ataques pasivos consisten básicamente en escuchar y capurar paquetes tranmitidos en la red, intentando identificar secuencias pseudoaleatorias iguales Ataque por fueza bruta Los ataques por fuerza bruta usualmente no resultan prácticos debido al gran tamaño del espacio de claves. Sin embargo, dado que en WEP una clave tiene 40 bits si se cuenta con un hardware adecuado es factible probar las = claves posibles Ataque de diccionario Este ataque consiste en obtener la clave WEP de la red probando con todas las palabras del diccionario, que contiene claves que usuarios típicos suelen utilizar. Dado que la clave es siempre la misma, si el usuario no cambia la clave, este ataque puede resultar satisfactorio FMS El algoritmo KSA tiene características que pueden ser explotadas cuando se usan IVs débiles, esto es, los que cumplen con un formato particular. Si se conoce el primer byte del keystream y los primeros m bytes de la clave, se puede derivar el byte m+1. El primer byte del plaintext es conocido porque corresponde al header SNAP (Subnetwork Access Protocol) de WEP. A partir de esta información deberá caputurar un IV de la forma (a+3, n-1, x) para el byte en el lugar a de la clave, espacio de valores n y cualquier x. Entonces, por ejemplo, primero necesitará IVs de la forma (3, 255, x). El algoritmo se aplica sucesivamente a todos los bytes para descifrar la clave Ataque a la integridad CRC-32 tiene el problema de ser lineal, con lo cual es posible calcular la diferencia de bits de CRCs basandose en la diferencia de bits de los mensajes de donde se obtienen. Si se deseara atacar una red se podría realizar una modificación arbitraria de bits en el mensaje que a su vez genere un CRC válido. Este mensaje es aceptado en la red Ataque chop chop Este ataque utiliza las vulnerabilidades de CRC-32. Se elimina el último byte del paquete de datos, haciendo que sea inválido. Se aplica un XOR con un patrón especial que depende del byte eliminado (debido a la linealidad del CRC) para volver a hacerlo válido. Luego se busca obtener el valor del byte eliminado. En cada intento se calcula el checksum que hubiera generado y se aplica un XOR con el checksum del paquete original. Si el valor propuesto es correcto, entonces será aceptado por el Access Point, que lo replica al resto de la red. Si no, el Access Point lo descarta y se prueba con otro valor. Una vez que se tiene el valor de este byte, se puede continuar con el siguiente byte. Para expandir el keystream, se calcula la diferencia de checksum cuando se concatena el plaintext con 0 y se envía al Access Point para indicar si el valor es correcto. 4

6 3 HERRAMIENTAS UTILIZADAS Colisión de IVs Los IV tienen 24 bits. Este espacio tan pequeño de 2 24 posibles IVs provoca una alta probabilidad de que se produzca una colisión de IVs. Si para dos mensajes distintos se tienen dos IVs iguales y se mantiene la clave K, entonces la semilla y secuencia PRNG son iguales. Se cumple que: M1(+)S = C1 M2(+)S = C2 C1(+)C2 = M1(+)M2 La dificultad del ataque consiste en encontrar los mensajes M que generan secuencias pseudoaleatorias iguales. Para lograrlo, se utilizan paquetes conocidos como los paquetes ARP. Tambien puede aplicarse el ataque chop chop mencionado anteriormente. 3. Herramientas utilizadas 3.1. BackTrack linux BackTrack es una distribución de Linux/GNU para realizar pruebas de seguridad, pentesting. Se puede bootear desde un LiveCD sin necesidad de realizar la instalación completa. BackTrack permite a los usuarios acceder a una gran colección de herramientas de seguridad. Algunas de ellas son: Metasploit integration RFMON Kismet Nmap Ophcrack Ettercap Wireshark BeEF Hydra Cisco OCS Mass Scanner Quypt (Terminal Emulator) Aircrack BackTrack clasifica a las aplicaciones en las siguientes categorías: Information Gathering Vulnerability Assessment Exploitation Tools Privilege Escalation (explotación de bugs para acceder a recursos normalmente controlados por el sistema operativo o el usuario) Maintaining Access Reverse Engineering RFID Tools Stress testing (para determinar la estabilidad del sistem cuando funciona bajo condiciones que sobrepasan su capacidad operacional) Forensics Reporting Tools Services Miscellaneous 5

7 3.2 Aircrack 3 HERRAMIENTAS UTILIZADAS 3.2. Aircrack Aircrack-ng es un suite de scripts para crackear claves WEP y WPA-PSK. Permite obtener claves una vez que se capturaron suficiente cantidad de paquetes. Implementa el ataque FMS, optimizaciones como el ataque KoreK y otros más recientes como el ataque PTW. El suite se compone de varios scripts. A continuación se describen algunos de ellos, que fueron utilizados en la experiencia aircrack-ng Aircrack-ng es el script que rompe la clave, posteriormente a la captura de paquetes con airodump-ng. Determina la clave WEP usando dos métodos fundamentales. El primero es PTW, que se realiza en dos fases. En la primera solo se usan paquetes ARP. Si no se encuentra la clave se usan todos los paqutes capturados. Este método solo puede aplicarse a claves de 40 o 104 bits. La ventaja principal es que no se requiere capturar muchos paquetes. El segundo método es FMS/KoreK, un método clásico. Incorpora información estadística para descubrir la clave, junto con un ataque por fueza bruta aireplay-ng Se utiliza para inyectar frames. Genera tráfico para su posterior uso con aircrack-ng. Existen varios ataque posibles que causan deauthenticaciones que permitan capturar información de Hanshake de WPA, autenticaciones falsas, packet replay interactivo, inyección y reinyección de paquetes ARP request. Permite acelerar la captura de paquetes airmon-ng El script se usa para habilitar el modo de monitoreo en interfaces wireless o cambiar a managed mode airodump-ng Airodump-ng se usa para la captura de paquetes y especialmente para la captura de IVs. Genera varios archivos que contienen información sobre paquetes, clientes que se observan y paquetes que puede se utilizada por otros scripts como el airceak-ng. 6

8 4 EXPERIENCIA 4. Experiencia 4.1. Entorno Para llevar a cabo la experiencia se utilizará una notebook Dell Inspiron 1525 con una placa de red wireless Broadcom. El primer paso es iniciar booteando el live CD de la distribución BackTrack 5 R1 y luego verificar que la placa funcione correctamente con los drivers necesarios, usando el comando iwconfig. En la figura 2 se observa que la placa wireless ha sido reconocida, es la interfaz wlan0 y se encuentra en modo Managed. Figura 2: Verificamos que la placa haya sido reconocida correctamente Elección de la red Escaneamos las redes disponibles a nuestro alcance para seleccionar una cuya cuya encriptación sea WEP, usando airodump-ng wlan0. En la figura 3 observamos la red elegida, cuyo nombre (ESSID) es conectar, la dirección MAC del dispositivo (BSSID) es 00:1C:A2:F9:99:3F y emite en el canal 1. Figura 3: Datos correspondientes a la red wireless WEP conectar. 7

9 4.3 Modo Monitor 4 EXPERIENCIA 4.3. Modo Monitor Para poder capturar todos los paquetes que circulen por la red es necesario configurar nuestra placa wireless en modo Monitor en el mismo canal en el que se encuentra el dispositivo (canal 1). Esto se logra con el comando airmon-ng start wlan0 1. Figura 4: Habilitando el modo Monitor en el canal 1. En la figura 4 se observa el resultado del cambio a modo Monitor y en la figura 5 podemos ver una nueva interfaz mon0 que representa el flujo de datos de escucha. Figura 5: Datos de las interfases wireless Inyección de Prueba Para comprobar la correcta configuración y la posibilidad de inyectar paquetes en la red, se ejecuta el comando aireplay-ng -9 -e conectar -a 00:1c:a2:f9:99:3f wlan0, donde -9: indica inyección de prueba. -e conectar: indica la red sobre la cual inyectar. -a 00:1c:a2:f9:99:3f : la dirección MAC del Access Point. nombre de nuestra interfaz (wlan0). 8

10 4.5 Autenticación con AP 4 EXPERIENCIA En la figura 6 vemos que la inyección de paquetes funciona correctamente y que el porcentaje es alto (93 %), si tuviéramos un porcentaje muy bajo implicaría que no estamos a una distancia correcta del Access Point, si tuviéramos cero implicaría que la inyección está fallando. Figura 6: Inyección de Prueba funciona correctamente Autenticación con AP Puede darse el caso que el Access Point tenga habilitado el filtrado por dirección MAC, lo que nos impediría reinyectar los paquetes y generar nuevos IVs (initialization vectors) ya que el Access Point ignoraría nuestros paquetes y contestaria con un paquete DeAuthentication. En la figura 7 observamos la ejecución del comando aireplay-ng e conectar -a 00:1c:a2:f9:99:3f -h 00:24:2b:93:66:95 donde: -1: implica autenticación falsa. 0: son los segundos para una reasociacion. -e: conectar el nombre de la red. -a 00:1c:a2:f9:99:3f : indica la dirección MAC del AP -h 00:24:2b:93:66:95 : la dirección MAC de nuestra interfaz wlan0. Figura 7: Autenticación de nuestra interfaz con el Access Point Inyección de paquetes Para poder capturar los IVs necesarios en un tiempo mucho menor que si sólo estuviéramos escuchando el tráfico en la red, se procede a la inyección de paquetes ARP, proceso por el cual se escucha hasta conseguir un paquete ARP y se inyecta el mismo reiteradas veces para conseguir respuestas del Access Point con nuevos IVs. 9

11 4.6 Inyección de paquetes 4 EXPERIENCIA En la figura 8 se puede observar la ejecución del comando aireplay-ng -3 -b 00:1c:a2:f9:99:3f -h 00:24:2b:93:66:95 wlan0 para inyectar paquetes ARP. Los valores indican que la inyección está siendo exitosa y por lo tanto en otra consola comenzaremos la captura de paquetes. Figura 8: Inyección de paquetes ARP. 10

12 4.7 Captura de paquetes 4 EXPERIENCIA 4.7. Captura de paquetes Con la inyección de paquetes funcionando es momento de comenzar la captura (figura 9), para eso utilizamos el comando airodump-ng -c 1 --bssid 00:1C:A2:F9:99:3F -w /home/dump wlan0 donde indicamos: -c 1 : el canal 1. bssid 00:1C:A2:F9:99:3F : la dirección MAC del Access Point. -w /home/dump: el nombre que tendrán nuestros archivos de captura. nuestra interfaz (wlan0). Figura 9: Comienzo de la captura de paquetes. En la columna #Data se indica el número de IVs recolectados, la recomendación es de unos para claves de 64 bits y para claves de 128 bits. Luego de transcurridos 10 minutos finalizamos la captura, obteniendo IVs (figura 10). Figura 10: Finalización de la captura de paquetes Obtención de la clave Con la captura realizada, estamos en condiciones de hacer el intento de obtener la clave necesaria para utilizar la red conectar. Para ello utilizamos el comando aircrack-ng -b 00:1c:a2:f9:99:3f /home/dump-01.cap donde: -b 00:1c:a2:f9:99:3f : indica filtrar solo los paquetes provenientes de ese Access Point (en nuestro caso no es necesario porque ya lo tenemos filtrado previamente) /home/dump-01.cap indicamos el archivo de captura (pueden ser varios si se hace en intervalos separados). En la figura 11 se observa que el ataque es exitoso, descubriéndose la clave ARNET. 11

13 5 CONCLUSIÓN Figura 11: Obtención de la clave para la red conectar. 5. Conclusión La experiencia nos permitió demostrar la vulnerabilidad del protocolo WEP. Siguiendo los pasos mencionados, observamos que en poco tiempo fue posible romper la clave. Para lograrlo, fue necesario contar con el hardware y las herramientas de software adecuadas. De acuerdo al método de cracking seleccionado, además, fue neceario implementar ciertas técnicas, tales como la reinyección de paquetes que hicieron que el ataque se realizara en forma más eficiente. Finalmente, mencionamos que la vulnerabilidad del protocolo radica principalmente en los algoritmos que se utilizan. Tanto RC4 como CRC-32 presentan características que permiten ataques diversos. En el caso de RC4 un espacio de IVs posibles tan pequeño genera amenazas tales como la posibilidad de colisiones que pueden aprovecharse si se intenta obtener la clave WEP. Del mismo modo, existen varias deficiencias derivadas del uso de CRC-32 que permiten ataques mediante bit-flipping. Si bien WEP ofrece un nivel básico de seguridad a una red contra un observador casual, posee fallas que permiten que con una mínima dedicación se logre atacar la confidencialidad y protección que brinda, lo cual nos lleva a pensar en otras alternativas como WPA al momento de configurar la seguridad de una red. 12

14 REFERENCIAS REFERENCIAS Referencias [1] [2] [3] [4] Cryptography and Network Security Principles and Practices, Stallings, Fourth Edition 13