Retour de vacances

Retour de vacances

Par Sid, dimanche 20 août 2006 à 19:57 :: Wi-Fi :: lu 4703 fois :: #109 :: rss :: atom

Touriste

'est maintenant officiel de chez officiel, les vacances sont finies. La fin de semaine du 15 août en roue libre, à dépiler trois semaines de mails et de news, dans un bâtiment aux deux tiers vide n'avait pas encore réussi à me convaincre de cette dure réalité, mais là, c'est bon, je me suis définitivement rendu à l'évidence...

Les informaticiens de l'hémisphère nord partant aussi en congés, l'actualité s'en est également trouvée moins dense qu'en temps normal, facilitant d'autant le retour sur Terre. Cependant, tout le monde ne s'est pas doré la pillule et j'avais quand même un peu de lecture à me mettre sous la dent, et ne fut pas trop déçu. Et parmi tout ce qui a vu le jour pendant le mois d'août, deux évènements touchant au monde du WiFi ont particulièrement retenu mon attention.

Le premier est la publication par Andrea Bittau, Mark Handley et Joshua Lackey d'un article intitulé "The Final Nail in WEP's Coffin" décrivant l'attaque contre WEP utilisant la fragmentation dans 802.11, déjà présentée par A. Bittau à ToorCon^[1] l'an dernier et que j'ai mentionnée dans un billet précédent (rapidement) et quelques conférences.

Il s'agit d'une méthode permettant à un attaquant de déclencher la génération du trafic nécessaire pour cracker la clé WEP du réseau cible. Elle s'appuie sur la bonne vieille ré-utilisation des keystreams RC4 découverts par exploitation des clairs connus combinée à la possibilité de fragmenter les trames 802.11 jusqu'à 16 morceaux. Tout part de la constatation que les 8 premiers octets de le charge chiffrée d'une trame sont connus^[2] donnant ainsi 8 octets de keystream RC4 à partir de n'importe quel paquet (ou presque) échangé, permettant ainsi à l'attaquant de chiffrer d'une part 4 octets de données et d'autre part les 4 octets de CRC32 qui vont avec. Comme on ne va pas très loin avec 4 octets, il fallait trouver autre chose pour pouvoir chiffrer plus de données. C'est là qu'intervient la fragmentation : on va utiliser le même keystream pour chiffrer tous les fragments d'une même trame d'une taille maximale de 64 octets de données (4*16).

Pour bien comprendre l'intérêt de l'attaque, il faut se pencher sur la gestion par un point d'accès des fragments chiffrés. Lorsque ce dernier reçoit un fragment^[3], il le met de côté avec tous ses compères^[4]. Une fois qu'il les a tous, il les déchiffre un par un et réassemble la trame initiale pour la traiter. Et si celle-ci est à destination du réseau sans-fil, il la chiffre et l'envoie, entière. L'AP défragmente donc la trame . So what ? L'attaquant se trouve face à un nouveau clair connu ! Il connaît en effet le contenu de cette trame puisqu'il l'a lui-même fabriquée et décomposée en fragments, ce qui lui permet de récupérer un keystream de 68 octets (64 de données et 4 de CRC32) avec lequel il va pouvoir rejouer la même attaque une seconde fois pour parvenir à 1028 octets et enfin une troisième pour atteindre la MTU. À ce stade là, l'attaquant est capable d'injecter n'importe quelle trame sur le réseau.

Ensuite, les applications coulent de source. Deux techniques sont décrites dans l'article et implémentées dans l'outil proposé pour forcer une génération massive de trafic sur le réseau. La première consiste à découvrir l'adresse IP d'une machine sur le réseau pour, dans le même esprit qu'aireplay, l'inonder de requêtes ARP. La seconde consiste à découvrir l'adresse MAC de la passerelle du réseau afin de communiquer avec un hôte extérieur, contrôlé de préférence. On lancera alors tranquillement aircrack sur le trafic généré pour finalement casser la clé WEP.

Comme l'écrivent les auteurs en conclusion, il s'agit d'une technique, terriblement ingénieuse, exploitant une vieille faille bien connue, la ré-utilisation des keystream RC4, mais qui se montre d'une excellente efficacité. Elle jouit en particulier de conditions nécessaires à son lancement assez favorables, n'importe quel paquet IP pouvant faire l'affaire. Il ne faut cependant pas sombrer dans le sensationnalisme en annonçant comme ça a été fait que l'attaque rend le WEP inutile, puisqu'on le savait déjà depuis pas mal de temps, ou que la clé va tomber en quelques secondes, ce qui n'est pas vrai comme le montre une lecture attentive de l'article^[5].

Le second évènement marquant est la démonstration controversée pendant la BlackHat US de l'exploitation sur un Macbook Pro d'une faille dans un driver WiFi. Pourquoi controversée ? Parce que toujours en quête de sensationnel, certains se sont surtout focalisés sur le facteur Apple de l'équation. La plate-forme du constructeur de Cupertino réputée si sécurisée, malgré son dernier lot de 125Mo de patches de sécurité, apparaissait donc vulnérable au premier attaquant venu. Dur... Sauf que les auteurs, David Maynor et Johnny Cache, n'ont pas utilisé la configuration matérielle native et ont exploité le pilote d'un adaptateur WiFi USB tierce partie, fait d'abord éludé par les commentateurs qui n'a pas manqué de déclencher des réactions du côté du fabricant et une vague d'articles, de billets et autres posts à droite et à gauche. Ceci étant, David Maynor, pas vraiment aidé par son pêtard mouillé de Cansecwest/core05^[6], aurait confié avoir trouvé une faille similaire dans le driver de la carte embarquée, mais personne n'aurait encore reçu quoi que ce soit du côté d'Apple ou Atheros. On n'en sait donc pas vraiment plus sur ce sujet...

Mais est-ce réellement important ? D'autant que la vidéo de la démonstration est claire sur ce point. Est-ce l'essentiel ? Non, bien évidemment. Le point important que toute cette polémique stérile occulte, c'est la faiblesse de certains drivers qui se révèlent exploitables, soit à cause de mauvaises spécifications comme cela a été montré sur le Firewire à Pacsec/core04, soit à cause de bugs. Des travaux concluants ont d'ailleurs été mené avec succès sur le PCMCIA et l'USB, tant au niveau code que fonctionnalités, prouvant que se méfier du matériel inconnu était de mise. Mais tout cela nécessite néanmoins un accès physique à la machine. Alors que face à un driver WiFi actif, associé ou non, le méchant accède directement au mode noyau en remote. Et boom headshot, comme dirait Doug.

Au dela de la stérile polémique autour de configuration vulnérable, il s'agit donc bien de repasser un certain nombre de drivers en revue. Déjà, en début d'année, une faille avait été annoncée sur le driver Atheros sous BSD et Linux, mais apparemment pas exploitée, tirant une première fois la sonnette d'alarme. Maintenant, messieurs les sceptiques, c'est officiel, ça marche.

Dans les derniers points à signaler, on notera, toujours dans la section WiFi, une nouvelle présentation de David "H1kari" Hulton et Dan Moniz sur le cassage de clés WEP et WPA sur des clusters de FPGA,. Autre point, la publication des slides de la présentation de Joanna Rutkowska dont je vous parlais précédemment. Ils permettront à tous les curieux d'avoir plus de détails sa backdoor Blue Pill.

Notes

[1] Voir les archives de l'édition 2005.

[2] 0xAAAA030000000800 pour IP et 0xAAAA030000000806 pour ARP.

[3] Flag MF positionné à 1.

[4] Même FrameID dans le numéro de séquence.

[5] Voir la page 13 en particulier.

[6] Absence totale de code ou démonstration pour appuyer ses dires.

Commentaires

1. Le lundi 21 août 2006 à 10:01, par Kevin

Sur le sujet du WEP, mais pas vraiment relié avec l'article.

Une question: il est souvent fait mention que l'AP peut faire du filtrage MAC. Je pense que cela va ralentir un attaquant: ses requetes en masse envoyées par aircrack vont se faire dropper silencieusement. Si cela est vrai, un attaquant sera pénalisé: difficulté pour lui de ramener un nombre d'IV suffisants pour casser la clé. Mais qu'est ce qui empêche un attaquant d'envoyer ses requêtes vers une station plutôt que l'AP?

Réponse de Sid

[Filtrage MAC]
ses requetes en masse envoyées par aircrack vont se faire dropper silencieusement

Le script kiddy se fera évidemment avoir. Il se fait toujours avoir, par définition :)

Mais celui qui a patiemment étudié le kung-fu WiFi aura remarqué que le screen d'airodump mentionne les clients associés et que ça ne doit pas trainer là pour rien. Il lancera donc aireplay en spécifiant comme MAC source celle d'un des clients associés au réseau cible et passera.

Sinon, il est effectivement possible d'envoyer directement les requêtes ARP à la station sans passer par l'AP en utilisant le switch -j présent dans aireplay et aireplay-ng pour envoyer les trames directement en FromDS. Pour construire les trames, deux solutions :

tu attends patiemment que quelqu'un envoie une requête ARP à destination d'une station du WLAN, mais ça peut ne jamais arriver, dans la mesure où les requêtes sont plutôt envoyées par le stations vers l'infrastructures plutôt que le contraire ;

tu passes en attaque manuelle avec aireplay en mode chopchop qui te permet de récupérer un keystream, arpforge pour fabriquer une requête ARP avec le keystream trouvé et enfin un nouveau d'aireplay en mode interactif pour lancer la requête savamment confectionnées.

Et ne pas oublier je switch -j pour que la station reçoive directement la requête parce que sinon l'AP risque de filtrer l'adresse MAC si elle n'est pas bonne...

2. Le lundi 21 août 2006 à 11:28, par jme

Chaques fois que vous parlez d'aicrack, Christophe est obligé d'aller chez Pizza Pino. Pensez à Christophe, merci.

Et sinon, Sid, tu as malheureusement raison... C'est maintenant officiel de chez officiel, les vacances sont finies. :(

3. Le lundi 21 août 2006 à 16:13, par Kevin

[Filtrage MAC]

OK, c'est bien ce que je pensais. première étape: un AP (ou passerelle) qui fait du filtrage MAC et une station. On récupere la clé WEP avec l'aide involontaire de la station.

Mais on se retrouve maintenant avec un problème réseau. deuxième étape: soit une passerelle qui n'autorise qu'une seule adresse MAC à la traverser, comment un utilisateur malveillant sur le segment de réseau peut sortir à son tour? (parceque cracker une cle WEP, c'est une chose, mais savoir utiliser le reseau ouvert, c'est autre chose):

.piratage de la station pour installer un proxy quelconque? .duplication de l'@ MAC et on espere que le kernel reconnaitra ses paquets de celui de l'autre?

soit une passerelle qui n'autorise qu'une seule adresse MAC à la traverser, comment un utilisateur malveillant sur le segment de réseau peut sortir à son tour?

Si l'utilisateur a réussi à casser la clé WEP dans un contexte de filtrage d'adresse MAC, c'est qu'il a trouvé une adresse MAC valide, puisque comme on l'a vu, c'était un pré-requis à l'attaque. Il peut donc réutiliser cette adresse pour communiquer sur le réseau. Par exemple :
# ifconfig wlan0 hw ether 00:01:02:03:04:05
Pour que le kernel reconnaisse ses paquets, c'est très simple. Soit la station spoofée n'est pas présente sur le réseau auquel cas il n'y a pas de problème, soit elle l'est et dans ce cas il suffira de s'attribuer une adresse IP différente de la sienne dans le subnet du réseau. Dans ce dernier cas, les deux hôtes recevront les trames à destination de l'adresse MAC commune, mais chaque pile détruira silencieusement les paquets à destination de la mauvaise IP. Donc personne ne s'apercevra de rien, c'est une technique assez connue sur un médium partagé (hub ethernet, 802.11). Dans la pratique, il est tout de même assez rare que l'adresse réseau soit un /30 ;)

Sinon, il reste le bon gros déni de service ou mieux, un Rogue AP, puisque tu as la configuration complète, pour faire un Man in the Middle physique ce qui marche plutôt bien.

4. Le lundi 4 septembre 2006 à 01:41, par Julien

article TRES intéréssant, MERCI !!

5. Le mardi 24 juillet 2007 à 10:21, par JC

Ca y est, j'ai compris. merci :-)

Ma petite parcelle d'Internet...

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Rechercher

Calendrier

Hitmap

Dans la catégorie "Wi-Fi"

Langues

Catégories

Archives

Liens

Chez moi (from me)

Webcomics

Copains (friends)

Blogs

Liens

Syndication

« janvier 2009
lun	mar	mer	jeu	ven	sam	dim
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31