510 likes | 673 Views
Vezetéknélküli hálózatok (WiFi, Bluetooth) biztonsága. Krasznay Csaba Kancellár.hu Kft. Bevezetés. Mivel is lehetne eltölteni jobban 90 percet, mint vezetéknélküli hálózatok hackelésével, és bluetooth hackeléssel? De azért megnézzük azt is, hogy ezeket a támadásokat hogyan lehet kivédeni.
E N D
Vezetéknélküli hálózatok (WiFi, Bluetooth) biztonsága Krasznay Csaba Kancellár.hu Kft.
Bevezetés • Mivel is lehetne eltölteni jobban 90 percet, mint • vezetéknélküli hálózatok hackelésével, • és bluetooth hackeléssel? • De azért megnézzük azt is, hogy ezeket a támadásokat hogyan lehet kivédeni.
Tipikus beállítások • A WiFi eszközök általában a lehető legkevesebb biztonsági beállítást tartalmazzák alapállapotban. • ÉPPEN EZÉRT NE HAGYJ SEMMIT GYÁRI BEÁLLÍTÁSON! • Változtasd meg a hálózati SSID-t! • Kapcsold ki az SSID szórást! • Változtasd meg a gyári jelszót! • Kapcsold be a MAC szűrést! • Ha tudod előre, hogy kik csatlakoznak a hálózathoz, ne kapcsold be a DHCP-t!
Fontos beállítások • Olyan alhálózati beállítást válassz, ami nem triviális (pl. 10.157.29.0/24)! • Csökkentsd a szórás hatótávolságát! • Ezzel még nem védted meg a hálózatodat, de megnehezítetted a behatolást
Tipikus beállítások • Egyszerű trükkök, amivel ezeket a védelmeket ki lehet játszani: • Rejtett SSID-k felderítése: • több alkalmazás is van erre, pl. az AirJack, Kismet… • MAC cím változtatás: • Linux: ifconfig eth0 down hw ether 00:00:00:00:00:01 • Windows: a NetworkAddress azonosító beszúrásával a Reagistry-be • vagy segédprogramokkal… • Mac OS X: sudo ifconfig en0 lladdr 00:00:00:00:00:01 • Szórás hatótávolságának befolyásolása: • antennával, ami akár egy chipses dobozból is készülhet.
Az igazi védelem • Használj csatornatitkosítást! • WEP: már nem biztonságos, bár javítottak rajta, de kellő elszántsággal feltörhető • WPA: eddig a legbiztonságosabbnak tartott titkosítás, de bizonyos esetekben ez is feltörhető • Hátrányuk: körülményesen beállíthatók, de megéri!
WEP törés • A WEP-et 1999-ben szabványosították • RC4-es folyamtitkosítást használ a bizalmasság megőrzéséhez. • A szabványos WEP kulcs 64 bites, amiből 40 bit a titkos kulcs, amit egy 24 bites inicializációs vektorral (IV) konkatenálnak. • A 128 bites WEP kulcs 26 hexadecimális karakterből és egy 24 bites IV-ből áll. • Az egész csomag sértetlenségét CRC-32 algoritmussal védik, ami a csomag megváltoztatása után kicselezhető. • A tervezés során elkövetett hibák miatt azonban ez a protokoll nagyon sérülékeny (elsősorban az IV kis mérete miatt).
WEP törés • A WEP gyengeségeinek kihasználása lehetséges: • Passzív támadással, mellyel a forgalmat lehet dekódolni: statisztikai analízis útján deríthető ki a forgalmazott adathalmaz, • Aktív támadással, melynek során nem hitelesített állomásról szúrnak be új forgalmat: ismert szöveg alapú támadással lehet visszafejteni a forgalmat, • Aktív támadással, mellyel a forgalmat dekódolják: a támadás az AP-val való trükközésen alapul, • Szótár alapú támadás: az elmentett adatforgalomból utólag szedik ki a WEP kulcsot.
WEP törés • A törésre természetesen rendelkezésre állnak célszoftverek: • Airodump: alkalmas a WiFi hálózat felderítésére és lehallgatására. • Aireplay: feladata a csomagok elfogása és hálózatba való visszaküldése. Ezzel az eszközzel lehet forgalmat generálni egy hálózatban. • Aircrack: a WEP kulcs feltörésére alkalmas szoftver
WEP törés • A törés folyamata: • Felderítjük a hálózatot, azonosítjuk a célpontot. • Elfogjuk a célpont és a hozzá kapcsolódó kliensek közötti forgalmat, különös tekintettel az ARP csomagokra, melyekből a nyílt szöveg alapú támadással egyszerűbben kinyerhető a kulcs. • Az elfogott adatcsomagokból brute-force módszerrel kinyerjük a kulcsot.
WPA törés • A WPA tervezése során komolyan vették a biztonságot, ezért egy roppant jól kezelhető és ellenálló protokollnak tekinthető. • Az otthoni használatban a Preshared Key (PSK) funkcióját szokták kiválasztani, amihez egy 8 és 63 karakter közötti jelszó szükséges. • A törés gyakorlatilag csak akkor valósítható meg, ha a felhasználó gyenge jelszót választott.
WPA törés • Eszközök: • Kismet: a hálózat feltérképezésére szolgáló alkalmazás • Airforge: deautentikációs kérés küldése az AP felé • aireplay: csomag elfogása és küldése a hálózatba • cowpatty: WPA jelszó feltörése brute force módon • A támadás menete: • A hitelesített kliens leválasztása az AP-ról deautentikációs kéréssel. • Az újbóli autentikációs csomagok elfogása. • Az elfogott csomagokból a jelszó visszaállítása.
A PDA, mint veszélyforrás • A PDA-k, mint vezetéknélküli számítógépek, kis méretük és hordozhatóságuk miatt jelentenek veszélyt. • Pl. a WLAN hálózatok felfedezéséhez (wardriving).
A PDA, mint veszélyforrás • Ha a hálózat rosszul van bekonfigurálva, akár IP címet is kaphatunk DHCP protokollon keresztül. • De léteznek csomaglopók, és akár a hálózati kártya MAC címét is át lehet állítani.
A PDA, mint veszélyforrás • És ekkor már semmi sem akadályozza meg a támadót, hogy felderítse hálózatunkat. • Minden hálózati segédszoftver adott ehhez.
A PDA, mint veszélyforrás • Akár a WLAN Access Pointot vagy ADSL routert is meg lehet találni. • Ennek HTTP protokollon keresztüli beállításai pedig egy böngészőprogramban behívhatók.
A PDA, mint veszélyforrás • Az alapértelmezett jelszavak pedig Interneten megtalálhatók (http://defaultpassword.com) • Innentől kezdve a támadó uralja a hálózatot.
Tapasztalatok • Minden rendszer, hálózat, annyit ér, amennyit a leggyengébb láncszeme. • Minden felelős rendszergazdának kötelessége lenne minden eshetőségre felkészülni. • Ne felejtsétek el tehát a kéziszámítógépeket sem! • És mindig tessék a WPA titkosítást használni, erős jelszóval!
Bluetooth hackelés • Általános áttekintés a bluetooth-ról • Hasonlóságok az internetes világgal • Konkrét sérülékenységek • Bluetooth hack-ek(?) a sajtóban • Tanulságok • Bemutató
Mi az a Kékfog? • Eredetileg I. Harald, a X. században élt dán király beceneve • Egyébként a vezeték nélküli PAN-ok (Personal Area Network) specifikációja • Melyet 1999-ben a Sony Ericsson, az IBM, az Intel, a Toshiba és a Nokia által alapított szervezet menedzsel • Célja, hogy különböző eszközöket olcsón, gyorsan és biztonságosan (?) kössön össze kis távolságon (max. 100 méter) belül
Fogalmak • MAC: Media Access Control, egy hálózat egy elemének egyedi, hardveres azonosító címe • L2CAP: Logical Link Control and Adaptation Protocol, feladata a csomagok lebontása és felépítése • SDP: Service Discovery Protocol, az elérhető szolgáltatások felderítése és ezek jellemzőinek megállapítása a feladata
Fogalmak • RFCOMM: a soros portok emulációjára szolgál, a szállítási réteg protokollja • OBEX: Object Exchange, olyan kommunikációs protokoll, mely bináris adatok átadására szolgál • OPP: Object Push Profile, objektumok átadása két Bluetooth eszköz között OBEX fölött
Felderítés • Ami a hagyományos esetben pl. az fping parancs • Az a bluetooth világban pl. a hcitool, a btscanner, stb. • Egy bekapcsolt készüléket egyszerű megtalálni, ha látható (discoverable) módban van • De ha nincs?
Felderítés • Rejtett készülékek is megtalálhatók brute-force módszerrel • Erre való a redfang vagy a bluesniff program • Bár lassú és körülményes a használata • Nem igaz az a mítosz, hogy a kapcsolat rejtése megvéd a támadástól
Azonosítás • Ami a hálózatos világban pl. az nmap –O • Az a bluetooth világban pl. a blueprint • Egy készülékről megállapítható, hogy milyen gyártmány, ennek megfelelően lehet támadásokat találni ellene • Az azonosítás a telefon MAC címének első 3 bájtja és az SDP rekordok lenyomata alapján történik
Portscannelés • Ami a hálózatoknál pl. az nmap –sS • Az a bluetooth esetén a bt_audit • A gyártók különböző célokra nyitva hagynak portokat a bluetooth eszközön • A bt_audit az L2CAP és az RFCOMM rétegeket vizsgálja • Egyes esetekben hasznos lehet, de általában semmire nem megyünk vele.
Sniffelés • Ami az IP világban az Ethereal • Az a bluetooth esetén a hcidump • Ez csak a saját gép bluetooth csomagjait képes tárolni • A „levegőben” utazó csomagok elfogására van eszköz, de a gyakorlati haszna csekély a kis teljesítményű és ritka adás miatt • Vagy mégsem?
Félelem és hackelés Las Vegasban • A Bluesniper és Bluetoone eszközök nagy távolságról is el tudják érni a bluetooth eszközöket • A 12. Defcon konferencián egy Yagi antennával 800m-ről, később egy 19 dBi-s antennával 1,73 km-ről sikerült megtámadni egy sérülékeny telefont • Tanulság: a fizikát nehéz kicselezni, bármennyire próbálják ezt kommunikálni a gyártók
(Kék)fogas kérdések • Ha megvan a készülék és tudjuk róla az alapvető információkat, sejthetjük, hogy milyen támadásokra érzékeny • A bluetooth protokoll (egyelőre) NEM sérülékeny • A hiba (eddig) mindig a megvalósításban volt
BlueJack • Nem igazi támadás • Üzenetküldés névjegykártyák segítségével névtelenül • Lehetőséget nyújt pl. az ismerkedésre, spammelésre... • Az Object Push Profile-t használja ki • Korábbi telefonokon használható, ahol az OPP-hez nem szükséges autentikálás
BlueBug • AT parancsok kiadása egy rejtett csatornán • A sérülékeny telefonoknál engedély nélkül lehet kiadni ezeket a parancsokat • Minden telefon AT parancs listája elérhető az Interneten • Ezekkel a telefon összes érzékeny adatához hozzá lehet férni, hívásokat indítani, stb.
BlueSnarf • Az OBEX protokoll megvalósítási hibáját kihasználó támadás • Az objektum PUSH, azaz feltöltés helyett PULL, azaz letöltés parancsot ad ki • Ezzel gyakorlatilag az eszköz összes érzékeny részéhez hozzá lehet férni • Nem szükséges hozzá párosítás • A bluesnarfer alkalmazással a hiba egyszerűen kihasználható • A Blooover nevű mobil java alkalmazással a támadás mobiltelefonról is kezdeményezhető
BlueSnarf++ • Hasonló a BlueSnarf támadáshoz • Csak sokkal nagyobb károkat tud okozni • Teljes olvasás/írás hozzáférés a telefon fájlrendszeréhez • A részletek nem publikusak • Az érintett készülékek gyártói dolgoznak a javításon
HeloMoto • A BlueSnarf és a BlueBug támadások ötvözete • Elsőként Motorola telefonoknál fedezték fel • A megbízható, párosított eszközök hibáját használja ki • A támadó egy OBEX Push parancsot indít, amit időben megszakít • A hiba miatt a támadó készüléke bekerül a megbízható eszközök közé • Ezután az AT parancsok engedélyek nélkül kiadhatók
A betömött kékfogak esete • A fenti támadásoknál az áldozatnak nem kellett engedélyeznie a behatolást • A legtöbb bluetooth eszköznél azonban szükség van autentikációra • Ez egy PIN kód szokott lenni • Ha sikerül valahogy a PIN kódos azonosítást kijátszani, újra esély van az eszközbe való bejutásra • Tudtátok, hogy a PIN kódok nem csak számok lehetnek, hanem UTF8-as karakterek is? Bár ezt nem nagyon szokták implementálni…
BlueBump • Nem igazán „áldozatmentes” támadás • A támadó megbízható kapcsolatba kerül az áldozattal pl. egy névjegy küldésével • A kapcsolat nyitva marad, de az áldozat gépén a kapcsolati (link) kulcs törlődik • A támadó egy kulcs újragenerálást kér • Így egy új hiteles bejegyzés keletkezik, amiről az áldozat nem tud
BlueDump • Shaked és Wool PIN kód törési technikáját felhasználó támadás • A támadó egy kulcs újragenerálást kényszerít ki a megbízható felek között • Ennek forgalmát elfogja, majd brute force módszerrel kitalálja a felhasznált PIN kódot • Ezután a titkosított forgalmat dekódolni tudja • Az egyik megbízható eszköz címét „spoofolva”, azaz megszemélyesítve hozzá tud férni a másik eszközhöz. • Zoller BTcrack programja a gyakorlatban is megvalósítja ezt a támadást. • Már csak egy olcsó sniffer hiányzik…
Bluetooth-os támadások? • Paris Hilton telefonjáról kikerült a teljes névjegyzék és az SMS-ek • A hírek szerint telefonjának bluetooth kapcsolatán keresztül hackelték meg • Valójában a telefonja webes szinkronizálást használt, és ezt törték fel
Bluetooth-os támadások? • A Cabir, és hozzá hasonló féregvírusok bluetooth-on keresztül fertőzik a telefonokat • A valóság az, hogy a férgek tényleg a bluetooth kapcsolatot használják a terjedésre • De a fertőzéshez minden esetben az kell, hogy a telefon tulajdonosa feltelepítse azokat a gépére.
Bluetooth-os támadások? • A vírusirtókhoz olyan jelzések érkeztek, hogy a Lexus és Prius modellek fedélzeti számítógépeit a bluetooth-on keresztül terjedő féregvírusok fertőzik • Az F-Secure tesztje azonban kimutatta, hogy a beépített bluetooth rendszer egyik nyilvános támadásra sem érzékeny
Bluetooth-os támadások? • A bluetooth-os kihangosítókat le lehet hallgatni a Car Whisperer segítségével • Valójában a bluetooth képes headsetek általában valamilyen egyszerű PIN kóddal kapcsolódnak a telefonhoz (pl. 1234) • A támadó ehhez a headsethez kapcsolódik hozzá, így beszélni tud a vezetőhöz, és hallja is őt • A támadás a gyenge PIN kód beállítást használja ki • Már számítógépek ellen is bevethető (bizonyos esetekben a driver nem használ PIN kódot a kapcsolódósához).
Tanulságok • A bluetooth biztonságos, egyik támadás sem a szabvány hibája miatt követhető el • A hiba mindig a megvalósításban vagy a felhasználóban van • Védekezni nagyon egyszerű: • Csak akkor használjuk a bluetooth-t ha muszáj • Állítsunk be „bonyolult” PIN kódot • Csak akkor fogadjunk bármit a telefonra, ha biztosan tudjuk, hogy szükségünk van rá • A támadások egyre inkább a számítógépek bluetooth kapcsolatai ellen irányulnak.