20:50
2/1/2012

Travis Goodspeed zaprezentował ciekawy atak na sieci bezprzewodowe, pozwalający atakującemu na wstrzyknięcie swojego “złośliwego” pakietu do sieci ofiary.

Packets in Packets (PIP)

Aby zrozumieć atak, przypomnijmy, że sieci radiowe dzielą transmisję na “ramki”, a każda z ramek zawiera tzw. preambułę (wykorzystywaną do synchronizacji transmisji), nagłówek, dane, sumę kontrolną. Odbiornik skanuje daną częstotliwość w poszukiwaniu premabuły, a kiedy ją znajdzie zaczyna budować pakiet (długość brana jest z nagłówka, lub standardu dot. danego protokołu) oraz weryfikować jego poprawność (suma kontrolna).

Jeśli atakujący chce wstrzyknąć złośliwy pakiet do sieci ofiary, wbudowywuje jego zawartość w stronę HTML i nakłania ofiarę do odwiedzenia strony WWW. Jeśli podczas oglądania strony zawierającej złośliwy pakiet nastąpi zniekształcenie preambuły ramki zawierającej w sobie odpowiedni fragment strony WWW, odbiornik zaczyna szukać kolejnej preambuły i “napotyka” tę podstawioną przez atakującego, a następnie przetwarza “złośliwy” pakiet. Krótko mówiąć, na skutek błedu w transmisji radiowej, odbiornik traktuje dane warstwy 7 jako ramki warstwy 2.

Pakiet w Pakiecie

Pakiet w Pakiecie

Niestety (a może na szczęście?), prawdopodobieństwo, że preambuła ramki zawierającego część strony ze złośliwym pakietem zostanie uszkodzona jest dość niska. Dodatkowo, atakujący musi poradzić sobie z takimi trudnościami jak zmiana prędkości sieci, szyfrowanie i różne modulacje. Travisowi jednak udało się zaimplementować udany atak na sieci Wi-Fi 802.11b, a swoje odkrycia opisuje w tym dokumencie i tej prezentacji. Na marginesie, pamiętajmy, że interferencje w sieciach Wi-Fi to dość powszechna sprawa i wielokrotne ukrycie złośliwego pakietu w dużym pliku — np. obrazie ISO — zwiększa prawdopodobnieństwo skutecznego ataku.

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. We have to go deeper. :)

  2. Atak ciekawy z akademickiego punktu widzenia, ale nawet głupi WEP czyni go praktycznie bezużytecznym. Już to widzę, jak zdalny atakujący ma dostęp do klucza ofiary…

    • Czyni bezużytecznym ale tylko dla zdalnego atakującego. A co z atakującymi “lokalnymi”? Atakującym przecież może być także ktoś, kto zna klucz (jest w sieci Wi-Fi z ofiarą), nie ma natomiast bezpośredniego dostępu do jej komputera.

    • Też mi się to wydaje dość akademickie – jak już mamy klucz – nie prościej zrobić mitm? Powiedzmy, że znajdujemy sposób, żeby taki atak skutecznie przeprowadzać (tj. wstrzykiwać w większości okoliczności te pakiety) – jaka jest przewaga takiego podejścia nad mitm? Bardziej ciche (jak np. złośliwe pakiety upchniemy jakimś XSSem)? Tak z praktycznego punktu widzenia, to chyba bardziej ferment intelektualny, żeby poszukać bardziej praktycznych pokrewnych metod, prawda?

    • Nie zawsze możesz zrobić MitM.

    • Piotrze, w takiej sytuacji łatwiej jest uruchomić fałszywego AP.

    • @troll a nie najłatwiej będzie bo po prostu podejść do tego hipstera w starbucksie i wyrwać mu macbooka, co? :)

    • Nie dość że chodzi o nie szyfrowane sieci to jeszcze w standardzie b, z tego co zrozumiałem nie są w stanie powtórzyć tego na najpopularniejszym aktualnie standardzie g ani na zyskującym popularność n. Co swoją drogą wydaje się dość dziwne gdyż g jest bardzo podobne do b (poczynając od częstotliwości i modulacji).

  3. A mnie to przypomina czasy, gdy ludzie złośliwe zaczynali posta na newsach od begin 666 :)

    • …a w nagłówkach mieli +++ATH0 :D

  4. @notowany: głupi WEP jest głupi, i się nie sprawdza [nie przy większości zdeterminowanych wardriverów], jednak upowszechnianie się publicznych sieci Wi-Fi czyni to zagadnienie ciekawym nie tylko z akademickiego, ale również kawiarnianego, sąsiedzkiego, chodnikowego, hall’owego, lotniskowego, przystankowego, dworcowego (wszędzie gdzie mamy takie sieci – jednym słowem) punktu widzenia/siedzenia/nadawania.

    Ciekawe, czy trudniej jest przeprowadzić atak tego typu w sieciach g (n są nadal mało powszechne). Jeśli jednak łatwiej – chyba czas szukać 0day’a dla wszelkich możliwych smartfonów. Ciekawi mnie też jaką podatność na ataki tego typu będzie prezentować nowa Winda dla smartfonów, i czy będzie miało to wpływ na pozycję rynkową M$…

    no cóż, zastosowań tysiące, a żadne pozytywne. ;/

  5. @Piotr Konieczny
    Ale skoro atakujący jest w jednej sieci z ofiarą i zna klucz to sobie może spreparować pakiet jaki mu się podoba. W dalszym ciągu nie widzę tu zastosowania. Zresztą sami autorzy zakładają brak fizycznego dostępu do sieci przez atakującego:
    “In stark contrast to prior injection techniques, we consider
    the case in which an attacker has no physical access
    to the radio network and no root access to the machines
    on that network.”

    • Autorzy zakładają także, że atak przeprowadzany jest na nieszyfrowanej sieci — a Ty, przypominam, rozpocząłęś dyskusje dot. sieci szyfrowanych.

  6. WiFi/Packets Injection? :)

  7. Głębokie ukrycie pakietu :)

    • Hehe, dobre ale nie aż tak głębokie^^

  8. Ten atak dotyczy zdalnego włamania do niezabezpieczonej sieci bezprzewodowej, co raczej nie jest zbyt użyteczne. Dużo ciekawsze byłoby natomiast zrobienie czegoś analogicznego w sieci Ethernet, gdzie szyfrowania z definicji nie ma. Tylko pewnie będzie dużo trudniej ze względu na mniejsze zakłócenia (przynajmniej przy skrętce ze switchami; na koncentryku albo skrętce z hubem można liczyć na kolizje).

  9. Hm… no, może nie takie głębokie ukrycie jak stosują niektóre instytucje na swoich stronach, ale założę się, że dużo osób i tak nie rozpozna, że coś jest nie tak.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: