Взлом алгоритмов шифрования.

Стандартный 64-битный ключ шифрования легко взламывается лобовым перебором. Учитывая, что фактическая длина секретного ключа составляет всего лишь 40 бит, в среднем достаточно перебрать 2⁴⁰/2 = 549.755.813.888 комбинаций. При скорости перебора в сотню миллионов ключей в секунду (вполне умеренная скорость для современных процессоров), атака займет всего час-полтора. Злоумышленнику достаточно перехватить всего один зашифрованный пакет, а затем терзать его до тех пор, пока контрольная сумма расшифрованного пакета не совпадет с ICV. " Стучаться" на Точку Доступа при этом совершенно необязательно! (С учетом существования четырех секретных ключей продолжительность полного цикла перебора несколько возрастает, однако не столь радикально).

Для предотвращения лобовой атаки производители беспроводного оборудования увеличили длину секретной части ключа до 104 бит, попутно породив проблему обратной совместимости. Подобрать 104-битный ключ вслепую уже нереально (при прежней скорости перебора в среднем на это уйдет 281.70.013.338.405.097.811 часов или 3.215.754.947.306.518 веков), однако хакерам удалось найти более короткий путь, сократив время взлома в миллиарды раз.

В августе 2001 года три криптоаналитика: Scott Fluhrer, Itsik Mantin и Adi Shamir опубликовали свою подрывную статью " Weaknesses in the Key Scheduling Algorithm of RC4" (" Слабые места алгоритма распределения ключей RC4"), мгновенно ставшую знаменитой и определившую название всего семейства атак этого типа: FMS-attack - по первым буквам первооткрывателей: Fluhrer-Mantin-Shamir. Они обнаружили существование крупных классов слабых (" weak") ключей, в которых крошечная часть битов ключа оказывает значительное влияние на зашифрованные данные. Поскольку в формировании эффективного ключа участвует вектор инициализации, генерируемый произвольным образом, то в общий шифропоток неизбежно попадает некоторое количество слабых ключей. Собрав достаточный объем трафика, злоумышленник должен отобрать несколько пакетов, зашифрованных слабыми ключами (такие пакеты называются " слабыми" или " интересными" - interesting). Каждый слабый пакет с 5% степенью вероятности восстанавливает один байт секретного ключа, поэтому общее количество пакетов, которые атакующему необходимо собрать для реализации атаки, в первую очередь зависит от степени его везучести. В среднем, для взлома требуется порядка 6 миллионов зашифрованных пакетов. В зависимости от интенсивности трафика и пропускной способности канала, на это уходит от нескольких часов, до нескольких дней, хотя в некоторых случаях, атака закачивается уже через несколько минут. И это при 104-битном ключе Так работает AirSnort и многие другие хакерские утилиты, которые свободно можно скачать из сети.

Если обмен данными между легальными Клиентами и Точкой Доступа незначителен или практически отсутствует, злоумышленник может заставить жертву генерировать большое количество трафика, даже не зная секретного ключа. Для этого достаточно просто перехватить " правильный" пакет и, не расшифровывая, ретранслировать его вновь. В частности, ARP-запрос, вызовет неизбежный ARP-ответ. Отличить APR-запросы от всех остальных пакетов очень просто: frame.pkt_len = 68 и wlan.da = ff: ff: ff: ff: ff: ff. Обычно для передачи запросов используется отдельная WLAN-карта (при этом расстояние между антеннами приемной и передающей карт должно составлять, по меньшей мере, 15 см), хотя некоторые карты ухитряются перехватывать трафик и одновременно с этим бомбардировать жертву пакетами.

Хакеры из лаборатории H1kari of Dasb0den Labs усилили FMS-алгоритм, сократив количество необходимых пакетов с 6 миллионов о 500 тысяч, а в некоторых случаях 40/104 битный ключ взламывается всего с 3 тысячами пакетов, что позволяет атаковать даже домашние Точки Доступа, не напрягая их избыточным трафиком. Усиленный алгоритм атаки реализован в утилите dwepcrack, входящий в состав пакета BSD-airtools, а также другом хакерском инструментарии.

Разработчики оборудования отреагировали вполне адекватным образом, изменив алгоритм генерации векторов инициализации так, чтобы слабые ключи уже не возникали. Теперь требовалось перехватить свыше 10 миллионов пакетов, но даже в этом случае успешная расшифровка ключа не гарантирована. Устройства, выпущенные после 2002 - 2003 года, скорее всего уже защищены от FMS-атаки.

В августе 2004 года хакер по имени KoreK выложил на форумах NetStumbler'а исходный код нового криптоанализатора, взламывающего даже " сильные" векторы инициализации. Для восстановления 40-битного ключа ему требовалось всего 200 тысяч пакетов с уникальным векторами инициализации, а для 104 битного - 500 тысяч. Количество пакетов с уникальными IV в среднем составляет порядка 95% от общего количества зашифрованных пакетов, так что для восстановления ключа атакующему потребуется совсем немного времени. Данный алгоритм реализован в chopper'е, aircrack'е, WepLab'е и других хакерских утилитах, недостатка в которых испытывать не приходится.

В новом оборудовании, построенном по технологии WPA - Wi-Fi Protected Access (Защищенный Wi-Fi Доступ), защищенность беспроводных устройств вновь была усилена. На место WEP пришел TKIP (Temporal Key Integrity Protocol - Протокол Краткосрочной Целостности Ключей), генерирующий динамические ключи, сменяющие друг друга пару минут. Для совместимости с существующим оборудованием, TKIP использует тот же самый потоковый алгоритм шифрования, что и WEP - RC4, но в каждый зашифрованный пакет теперь укладывается специальный восьмибайтный код целостности сообщения, рассчитанный по алгоритму Michael, и предотвращающий отправку подложных пакетов. Процедура аутентификации осуществляется по протоколу EAP (Extensible Authentication Protocol - Расширенный Протокол Аутентификации), использующим либо RADIUS-сервер (Remote Authentication Dial-In User Service - Служба Дистанционной Аутентификации Пользователей по Коммутируемым Линиям), либо предустановленный общий ключ PSK (pre-shared key). В процессе аутентификации сервер генерирует Парный Мастер Ключ (PMK - Pairwise Master Key) и передает его Клиенту. Несмотря на относительную новизну этой технологии, в комплект airckack'a уже входит специальный модуль WZCOOK, отображающий PMK-ключ. Для несанкционированного подключения к Точке Доступа, защищенной технологией WPA, этого оказалось вполне достаточно. Впрочем, атакующий модуль все еще недостаточно отлажен и потому в некоторых случаях он не срабатывает.

Рисунок 2.1. Схема аутентификации, осуществляемой по WPA-протоколу с выделенным Radius-сервером.