| [Discussion] WPA-TKIP lại bị tấn công |
29/08/2009 00:37:39 (+0700) | #1 | 191414 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Hi all,
Hồi tháng 11 năm ngoái, Beck-Tews http://dl.aircrack-ng.org/breakingwepandwpa.pdf) đề ra một phương thức tấn công chuẩn WPA-TKIP (từ giờ gọi là tấn công Beck-Tews) trong đó mất khoảng 12-15 phút thì Beck-Tews có thể:
+ tìm được plaintext của 1 encrypted ARP packet (hay 1 encrypted DNS packet, tuy nhiên trong paper của Beck-Tews thì chỉ mô tả ARP packet thôi) -1-
+ chôm được MIC key (là key dùng để kiểm tra tính toàn vẹn của một packet) -2-
Từ -1-, Beck-Tews sẽ biết được 1 keystream từ access point đến wireless client bằng cách XOR plaintext và ciphertext của cái ARP frame. Kết hợp với -2-, Beck-Tews sẽ có thể tạo ra được các fake ARP packet hay DNS packet rồi gửi đến wireless client khiến cho các client này có thể bị đầu độc ARP hay DNS.
Ngoài ra sau khi đã recover được 1 keystream rồi thì Beck-Tews chỉ mất từ 4'-5' để recover thêm các keystream khác mà thôi. Đương nhiên các keystream này cũng có thể được sử dụng để tạo fake packet.
Hạn chế của Beck-Tews là:
+ mạng WPA-TKIP phải hỗ trợ tính năng Quality of Service
+ thời gian để recover keystream đầu tiên khá lớn, từ khoảng 12-15 phút
Và hôm nay có lẽ như 2 hạn chế này của Beck-Tews đã được khắc phục bởi tấn công Ohigashi-Morri http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf):
Ohigashi-Morii wrote:
Abstract. In 2008, Beck and Tews have proposed a practical attack on
WPA. Their attack (called the Beck-Tews attack) can recover plaintext
from an encrypted short packet, and can falsify it. The execution time
of the Beck-Tews attack is about 12-15 minutes. However, the attack
has the limitation, namely, the targets are only WPA implementations
those support IEEE802.11e QoS features. In this paper, we propose a
practical message falsification attack on any WPA implementation. In
order to ease targets of limitation of wireless LAN products, we apply
the Beck-Tews attack to the man-in-the-middle attack. In the man-in-
the-middle attack, the user’s communication is intercepted by an attacker
until the attack ends. It means that the users may detect our attack when
the execution time of the attack is large. Therefore, we give methods for
reducing the execution time of the attack. As a result, the execution time
of our attack becomes about one minute in the best case.
Mình chưa xem kỹ tấn công của Ohigashi-Morii nên chưa thể bình luận gì thêm về các claim của họ.
Sở dĩ mình viết bài này (và các bài tiếp theo) vì mình thấy Beck-Tews và Ohigashi-Morii đều có nguồn gốc từ tấn công chopchop, mà tấn công chopchop lại rất giống mấy dạng tấn công side-channel mà mình có dịp tìm hiểu trong thời gian vừa qua.
Sở dĩ chopchop thành công là vì access-point tiết lộ 1 bit duy nhất khi thực hiện kiểm tra checksum của encrypted packet: báo cho phía gửi dữ liệu biết checksum đúng hay sai.
Loạt bài này hi vọng sẽ giới thiệu được dạng tấn công 1-bit side channel này, vốn có thể áp dụng cho cả asymmetric key cryptosystem và symmetric key cryptosystem, rồi từ đó sẽ diễn giải chi tiết tấn công chopchop cũng như Beck-Tews và Ohigashi-Morii.
Mình cho rằng dạng tấn công 1-bit side channel rất thú vị, và rất dễ gặp trong thực tế (thì WPA-TKIP là một ví dụ đó), bởi vì việc báo lỗi khi xử lý dữ liệu không thành công là rất phổ biến.
Mình dùng từ hi vọng vì hiện tại mình mới chỉ hiểu và triển khai thành công 1-bit side channel cho symmetric key cryptosystem. Các vấn đề còn lại thì đều đang trong quá trình tìm hiểu, thành ra rất welcome bạn nào có hứng thú với đề tài này.
-m
|
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
 |
|
| [Discussion] WPA-TKIP lại bị tấn công |
29/08/2009 07:23:54 (+0700) | #2 | 191416 |
StarGhost
Elite Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
Nói chung công sức lớn nhất thì vẫn là của cái bạn viết ra chopchop, còn Beck-Tews và Ohigashi-Morii thì đáng được gọi là "tips and tricks", vì các bạn ấy chỉ nghịch được với ARP packets thôi, còn packets thuộc loại khác thì chịu thua, e.g., DNS. Việc tìm ra được MIC key trên thực tế chỉ giúp thời gian decrypt giảm xuống 8 phút.
Ở đây mình thấy đóng góp quan trọng nhất và duy nhất của Beck-Tews là việc dùng QoS, và của Ohigashi-Morii là việc dùng MitM attacks để vượt qua TSC.
Ngoài ra, cái one minute của Ohigashi-Morii là sau khi đã bỏ ra 12-15 minutes để tìm MIC key, chứ không phải bụp một phát one minute. Hơn nữa, cái one minute này không khác gì so với cái 4 minutes của Beck-Tews, mà đơn giản là Ohigashi-Morii nhận ra rằng chỉ cần tìm 1 LSB của IVC là đủ, trong khi đó Beck-Tews có lẽ đang "phê" nên cố tìm full IVC.
p/s: nếu là mình thì mình sẽ thử chop 2 bytes một lúc. AP ngày nay chắc handle 1000 ARPs/s không đến nỗi nào. |
|
| Mind your thought. |
|
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
29/08/2009 09:53:48 (+0700) | #3 | 191426 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
@StarGhost: lol mình mới đọc paper Ohigashi-Morii. Hahaha trùng hợp là đây là lần thứ 2 trong tuần mình đọc paper của các bác researcher người Nhật và thấy rằng attack của các bác ấy chỉ là làm lại và viết lại attack của các bác Âu Mỹ :-D.
Nếu nói Ohigashi-Morii *chế* ra MITM thì cũng không chính xác, tự vì trong paper của Beck-Tews, họ cũng có đề cập đến trường hợp mạng không hỗ trợ QoS thì nên làm MITM. Chẳng qua là Beck-Tews không làm, nên Ohigashi-Morii làm.
Còn về cái vụ thay vì Beck-Tews decrypt 4 bytes của IVC, Ohigashi-Morii chỉ decrypt LSB thôi, thì cần phải nói rõ là Beck-Tews mất 4-5 phút nhưng xác suất thành công (trong việc recover cái keystream) là 100%, còn Ohigashi-Morii mất 1 phút nhưng xác suất thành công chỉ là 37%.
Mình cũng đồng ý là chopchop hay. chopchop xuất hiện năm 2004, và bản thân mình thấy ý tưởng của chopchop cũng dựa vào các ý tưởng khác xuất hiện trước đó. Cụ thể là của http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.19.8543, http://www.springerlink.com/content/tw5tuqb3hxbn9grq/ và http://lasecwww.epfl.ch/php_code/publications/search.php?ref=Vau02a.
Tất cả các dạng tấn công này đều là kiểu 1-bit side channel, mình hi vọng sẽ giới thiệu được chúng trong loạt bài viết của mình.
BTW, nhờ bạn StarGhost chỉ cho làm sao mà chop 2 bytes một lúc được?
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
29/08/2009 14:37:30 (+0700) | #4 | 191442 |
StarGhost
Elite Member
|
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
@mrro: haha, các bác Nhật và Hàn là trùm copy lại của người khác mà. Thế nhưng mà họ viết khéo lắm, mấy cái conferences nho nhỏ là đều lọt cửa hết, vì mấy tay trong đó có mấy khi chịu xem kĩ. Mình mà cho làm commitee chắc cũng bị họ lừa vậy.
Nhưng mà nói chung kể cả attack của Beck-Tews thì cũng chỉ chơi được với ARP thôi. Mà chopchop hình như là một mớ source code thì phải. Sao mrro biết là nó lấy ý tưởng từ đâu?
Về việc "chop", thì trường hợp tổng quát của chopchop là nếu bạn chop k bits, thì bạn sẽ phải thử 2^k lần để tìm ra k bits đó. Tuy nhiên, mình không rõ là AP có chấp nhận packets lẻ byte hay không, nên thay vì chop 1 byte, thì mình chop một lúc 2 bytes luôn. Tất nhiên với điều kiện là thời gian tìm ra 2 bytes này phải nhanh hơn 2 phút, chứ không thì chả bõ. |
|
| Mind your thought. |
|
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
29/08/2009 19:47:56 (+0700) | #5 | 191465 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
@StarGhost: mình đoán thôi, chứ không thể kết luận một cách chính xác được. ý tưởng chủ đạo của chopchop là sửa LSB của ciphertext, gửi dự đoán cho một cái oracle (trong trường hợp này là checksum/MIC oracle), rồi dựa vào kết quả sai/đúng (1 bit) của oracle mà từ đó tìm được plaintext mặc dù không hề biết key.
ý tưởng này xuất phát từ tấn công của Bleichenbacher98 áp dụng cho các protocol sử dụng RSA theo chuẩn PKCS#1 v1.5. Bleichenbacher98 chộp được 1 cái ciphertext, và bằng cách sửa LSB của ciphertext, gửi dự đoán cho một cái oracle (trong trường hợp này là padding oracle), dựa vào kết quả correct padding/non-correct padding mà từ đó tìm được plaintext mặc dù không hề biết private key.
Sau đó Manger01 triển khai tấn công thành công tấn công Bleichenbacher98 cho RSA theo chuẩn OAEP (mình chưa đọc paper này nên có thể thông tin này không chính xác), và Vaudenay02 sử dụng ý tưởng của Bleichenbacher98 để tấn công CBC mode của các symmetric cipher. Tấn công của Vandenay02 cực kỳ hiệu quả, mình test thử thì thấy để lấy được plaintext thì thời gian spend nhiều nhất chính là thời gian trao đổi với oracle, còn lại đều neligible hết. Nếu mà StarGhost coi mấy cái paper này thì sẽ hiểu sao mà mình nghĩ là chopchop có thể có nguồn gốc từ chúng.
Nói thêm thì bản thân mình rất thích Bleichenbacher. Ngoài tấn công Bleichenbacher98 thì bác này còn có một tấn công *chấn động* khác là Bleichenbacher06. Bạn nào thích thì có thể tìm hiểu trên trang Wikipedia của Bleichenbacher.
Riêng về việc chopchop 2 bytes, thì mình nghĩ cái này cần phải xem lại mối quan hệ đại số giữa 2 byte cuối và các byte còn lại trong một cái WPA-TKIP packet. mình đang xem kỹ phần này, hi vọng sẽ hiểu rõ.
-m
|
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
04/09/2009 10:38:59 (+0700) | #6 | 191930 |
![[Avatar]](/hvaonline/images/avatar/a056749f32501d21492f749ecb188db8.png "[Avatar]")
|
holiganvn
Member
|
|
0 |
|
|
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
|
|
http://securestate.blogspot.com/2009/08/wpa-flawed-not-broken.html
|
|
HaCk t0 LeArN,N0t LeArN t0 HaCk
|
|
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
30/03/2010 10:55:22 (+0700) | #7 | 208084 |
B 0 0 B
Member
|
|
0 |
|
|
Joined: 31/07/2009 17:19:41
Messages: 149
Offline
|
|
chủ đề này hay quá, mình mới thử crack WPA-TKIP theo cách capture 4way handshake rồi dò pass thành công rất nhanh, chứ ko phải cách như các bạn làm là bẻ gãy thuật toán TKIP, cách các bạn làm ko biết có tool nào hiện thực việc này ko?
@mrro: có thể giải thích rõ hơn cách làm việc của chopchop không? mình ko hiểu rõ nó lắm nên đọc mấy cái khác dựa trên nó hơi mù mờ
@holiganvn: link bạn ý nghĩa gì vậy? die rồi |
|
|
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
30/03/2010 12:41:30 (+0700) | #8 | 208101 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
@B 0 0 B: cách crack mà bạn miêu tả là cách nào vậy?
về kỹ thuật chopchop, mình sẽ miêu tả một kỹ thuật tấn công khác tương tự như chopchop tại Black Hat Europe 2010. khoảng giữa tháng 4 mình sẽ gửi lên đây chi tiết.
ngoài ra, sau Black Hat Europe 2010, mình sẽ viết một cái survey paper, trong đó mô tả hết các kỹ thuật tấn công theo dạng 1-bit side-channel.
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
30/03/2010 14:27:08 (+0700) | #9 | 208113 |
StarGhost
Elite Member
|
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
| mrro à, nếu attack đó là mathematical attack thì mình khuyên mrro nên submit paper vào một crypto conference, như thế record của bạn sẽ ổn hơn. Tất nhiên mình không có ý trọng cái danh trong research, nhưng mà mình cho rằng đây là một convention tốt, it nhất ở khoản peer review. |
|
| Mind your thought. |
|
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
30/03/2010 14:37:43 (+0700) | #10 | 208114 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
@StarGhost: àh cái của mình không phải là mathematical attack. mình dùng từ "miêu tả một kỹ thuật" có lẽ gây hiểu nhầm là mình mô tả một kỹ thuật mới  , chứ thật tế mình cũng không tự chế ra được một cái crypto attack mới, cái mình làm chỉ là ứng dụng attack có sẵn để tấn công web thôi.
theo ý kiến cá nhân của mình thì cái crypto attack mà mình sử dụng cũng chính là cái crypto attack mà chopchop sử dụng để tấn công WEP. nên mình nghĩ là mình miêu tả cái cách mình làm thì người ta sẽ hiểu cái cách chopchop hoạt động.
-m
PS: mình cũng mong có ngày được nói ở crypto hay eurocrypt. nhưng có vẻ khó hơn black hat rất nhiều. |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
30/03/2010 20:32:38 (+0700) | #11 | 208133 |
B 0 0 B
Member
|
|
0 |
|
|
Joined: 31/07/2009 17:19:41
Messages: 149
Offline
|
|
@mrro:
cách mình đề cập là cách mà cách diễn đàn hay các youtube thường post đó, dùng BackTrack caputre 4way handshake giữa AP và station sau đó fake authen để thử key.
Cách đó giống như dò pass vậy phải có pass trong database thì mới thử thành công đc
còn cách mrro là dựa trên điểm yếu của TKIP mà bẻ gãy nó capture các packets cần và đủ sau đó phân tích và decode đc pass mà ko cần biết pass trước như cách trên.
Nếu mrro có gửi cơ chế hoạt động đó, nếu rãnh post bằng tiếng việt chứ đọc toàn thuật toán bằng tiếng anh chắc hiểu ko hết.
chúc bác em rô nói chuyện với mấy bác ơ rô thành công |
|
|
| [Discussion] WPA-TKIP lại bị tấn công |
07/04/2010 22:38:01 (+0700) | #12 | 208624 |
B 0 0 B
Member
|
|
0 |
|
|
Joined: 31/07/2009 17:19:41
Messages: 149
Offline
|
|
site này có khoá học về bảo mật wireless, ko biết cách gì bí hiểm ko mà khoá học mắc kinh
http://www.blackhat.com/html/bh-us-10/training/bh-us-10-training_FS-wireless.html |
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận thâm nhập
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/959e6ae59a9ec002dbef1206bcd65653.jpeg "[Avatar]")
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")