Ataques de DoS em redes Wi-Fi
Resumo
Neste trabalho, primeiramente são expostos os principais elementos de uma
rede sem fio e discutidos alguns aspectos da arquitetura e da segurança do padrão
IEEE 802.11. Em seguida, são abordados esquemas de ataques de DoS neste contexto,
dando ênfase para a maneira como estes são executados e quais suas conseqüências.
Por fim, é estabelecida uma breve conclusão acerca de quando se pode adotar o uso de
redes Wi-Fi.
1- As redes Wi-Fi
Presentes no local de trabalho, em casa, em instituições educacionais, em
cafés, aeroportos e esquinas, as LANs sem fio agora são uma das mais importantes
tecnologias de rede de acesso na Internet de hoje. Embora muitas tecnologias e
padrões para LANs sem fio tenham sido desenvolvidos na década de 1990, uma classe
particular de padrões surgiu claramente como a vencedora: a LAN sem fio IEEE
802.11, também conhecida como Wi-Fi.
Nesta seção, examinaremos os principais elementos de uma rede sem fio, a
arquitetura 802.11 e os padrões de segurança para redes 802.11. Esta pequena
introdução, bem como as subseções 1.1 e 1.2, foram fortemente baseadas no capítulo
6 de [1]. Já a subseção 1.3 é apoiada no conteúdo de [2].
1.1 - Elementos básicos de uma rede sem fio
Tipicamente, uma rede sem fio possui os seguintes elementos:
Hospedeiros sem fio: Como no caso de redes cabeadas, hospedeiros (também
chamados de estações ou hosts) são os equipamentos de sistemas finais que executam
aplicações. Um hospedeiro sem fio pode ser um laptop, um palmtop, um PDA, um
telefone ou um computador de mesa. Os próprios hospedeiros podem ser móveis ou
não.
Enlaces sem fio: Um hospedeiro se conecta a uma estação-base (definida mais
adiante) ou a um outro hospedeiro sem fio por meio de um enlace de comunicação
sem fio. Tecnologias de enlace sem fio diferentes têm taxas de transmissão diferentes
e podem transmitir a distâncias diferentes.
Estação base: A estação-base é uma parte fundamental da infra-estrutura de rede sem
fio. Diferentemente dos hospedeiros e enlaces sem fio, uma estação-base não tem
nenhuma contraparte óbvia em uma rede cabeada. Uma estação-base é responsável
pelo envio e recebimento de dados (por exemplo, pacotes) de e para um hospedeiro
sem fio que está associado com ela. Uma estação-base freqüentemente será
responsável pela coordenação da transmissão de vários hospedeiros sem fio com os
quais está associada. Quando dizemos que um hospedeiro sem fio está “associado”
com uma estação-base, isso quer dizer que o hospedeiro está dentro do alcance de
comunicação sem fio da estação-base e o hospedeiro usa a estaçcão-base para
retransmitir dados entre ele (o hospedeiro) e a rede maior. Torres celulares em redes
1
celulares e pontos de acesso (access points - APs) em uma LAN sem fio 802.11 são
exemplos de estações-base.
Na figura 1, uma estação-base está conectada à rede maior (isto é, à Internet, à
rede empresarial ou residencial ou à rede telefônica) e, portanto, funciona como uma
retransmissora de camada de enlace entre o hospedeiro sem fio e o resto do mundo
com o qual o hospedeiro se comunica.
Quando hospedeiros estão associados com uma estação-base, em geral diz-se
que estão operando em modo infra-estrutura (infrastructure-mode), já que todos os
serviços tradicionais de rede (por exemplo, atribuição de endereço e roteamento) são
fornecidos pela rede com a qual estiverem conectados por meio da estação-base. Cada
particular rede Wi-Fi é identificada por um nome que chamamos de identificador de
conjunto de serviços (service set identifier) ou, mais popularmente, SSID. Os APs
anunciam seus SSIDs através de mensagens de broadcast, de modo que hospedeiros
dentro da área de alcance possam escolher a rede a qual desejam se conectar.
Em redes ad-hoc, hospedeiros sem fio não dispõem de nenhuma infra-estrutura
desse tipo com a qual se conectar. Na ausência de tal infra-estrutura, os próprios
hospedeiros devem prover serviços como roteamento, atribuição de endereço,
traduação de endereços semelhante ao DNS e outros. Neste trabalho, concentraremonos em ataques de DoS em redes em modo infra-estrutura.
Figura 1 - Elementos de uma rede sem fio
2
1.2 - Arquitetura 802.11
A figura 2 ilustra os principais componentes da arquitetura de LAN sem fio
802.11. O bloco construtivo fundamental da arquitetura 802.11 é o conjunto básico de
serviço (basic service set – BSS). Um BSS contém uma ou mais estações sem fio e
uma estação-base central (AP). A figura 2 mostra o AP em cada um dos dois BSSs
conectando-se a um dispositivo de interconexão (tal como um hub, um comutador ou
um roteador), que, por sua vez, leva à Internet. Em uma rede residencial típica, há
apenas um AP e um roteador (quase sempre acompanhado de um modem a cabo ou
ADSL, formando um só pacote) que conecta o BSS à Internet.
Como acontece com dispositivos Ethernet, cada estação sem fio 802.11 tem
um endereço MAC de 6 bytes que é armazenado no firmware do adaptador da estação
(isto é, na placa de interface de rede 802.11). Cada AP também tem um endereço
MAC para sua interface sem fio. Como na Ethernet, esses endereços MAC são
administrados pelo IEEE e são (em teoria) globalmente exclusivos.
Como vimos anteriormente, as LANs sem fio que disponibilizam APs
normalmente são denominadas LANs sem fio de infra-estrutura e, nesse contexto,
infra-estrutura que dizer os APs juntamente com a infra-estrutura de Ethernet cabeado
que interconecta os APs e um roteador. Também, hospedeiros móveis em redes Wi-Fi
podem se agrupar e formar uma rede ad-hoc – rede sem nenhum controle central e
sem nenhuma conexão com o “mundo externo”. Nesse caso, a rede é formada
conforme a necessidade, por equipamentos móveis que, por acaso, estão próximos uns
dos outros, têm necessidade de se comunicar e não dispõem de infra-estrutura de rede
no lugar em que se encontram.
Figura 2 – A arquitetura da rede 802.11
Há também diversos padrões 802.11 para a tecnologias de LAN sem fio, entre
eles 802.11b, 802.11a e 802.11g. A tabela abaixo apresenta um resumo das principais
características desses padrões:
3
Padrão
Faixa de freqüência
Taxa de transmissão de dados
802.11b
802.11a
802.11g
2.4 – 2.485 GHz
5.1 – 5.8 GHz
2.4 – 2.485 GHz
até 11 Mbps
até 54 Mbps
até 54 Mbps
Uma lista completa de padrões e suas respectivas características básicas está
disponível em [3]
1.3 - Protocolos de segurança
O mecanismo original de segurança do padrão IEEE 802.11 não foi desenhado
para ser forte e é comprovadamente insuficiente para a maior parte das redes que
requerem algum nível de segurança. O grupo de segurança (task group 1) do IEEE
802.11 tem trabalhado para endereçar as falhas do padrão e em prática completou seu
trabalho em Maio de 2004. A emenda de nome IEEE 802.11i para o padrão IEEE
802.11 foi aprovada em Junho de 2004 e publicada em Julho de 2004.
O Wi-Fi Alliance utilizou uma versão de rascunho do trabalho IEEE 802.11i
para definir um subconjunto das melhorias de segurança que podiam ser
implementadas com o hardware existente encontrado em redes Wi-Fi. Este projeto
recebeu o nome de Wi-Fi Protected Access (WPA) e se tornou um componente de
teste de interoperabilidade e certificação feito pelo Wi-Fi Alliance.
O padrão IEEE 802.11 definiu o algoritmo Wired Equivalent Privacy (WEP)
para proteção de redes wireless. O WEP utiliza o algoritmo de criptografia RC4 com
chaves de 40 bits, um vetor de inicialização (initialization vector – IV) de 24 bits e
CRC32 para proteção contra falsificação de pacotes. Todas estas escolhas foram
provadas serem insuficientes: o espaço de chaves é muito pequenos contra ataques
atuais, o escalonamento de chave no RC4 é insuficiente, o espaço do IV é muito
pequeno e o reúso do IV faz com que os ataques fiquem mais fáceis, não existe replay
protection [4] e autenticação sem chaves não protege contra ataques de Bit-Flipping
[5]. A criptografia WEP foi depreciada em 2004 pelo IEEE 802.11 por não atingir os
objetivos esperados.
O WPA é uma solução intermediária para os problemas de segurança. Ele
utiliza o Temporal Integrity Protocol (TKIP) para substituir o WEP. O TKIP tem por
objetivo o aumento a segurança da rede sem troca de hardware (apenas um eventual
update de firmware). Ele ainda usa o RC4 para a criptografia como o WEP, mas com
criação de chaves RC4 por pacote. Além disso, ele implementa replay protection e um
mecanismo que avalia a integridade de mensagens chamado Michael.
Apesar das melhorias proporcionadas, o recente trabalho [6] exibe algumas
falhas e fraquezas do WPA. O interessante artigo mostra que é possível
descriptografar alguns pacotes e também enviar pacotes com conteúdo diferenciado
em redes que utilizam TKIP.
O Wi-Fi Alliance está utilizando a versão final do IEEE 802.11i como a nova
versão do WPA, chamada de WPA2. Este novo padrão inclui, por exemplo, suporte
para um algoritmo de criptografia bastante robusto chamado CCMP que substitui o
TKIP e otimizações nos processos de hand-off. O padrão IEEE 802.1x também possui
um papel importante na composição do IEEE 802.11i. Mais informações sobre WPA2
podem ser encontradas em [7].
4
2 - Ataques de DoS
Segundo [8], um ataque de DoS (denial-of-service attack) é essencialmente
uma tentativa de fazer com que um recurso computacional fique indisponível para
seus usuários. Embora os meios, os motivos e os alvos de um ataque de DoS possam
variar, ele geralmente consiste do esforço concentrado e malevolente de uma pessoa
ou grupo de pessoas para fazer prevenir que um site da Internet ou um serviço
funcione eficientemente. Ataques mais violentos tem como objetivo tirar o serviço do
ar. Perpetradores de ataques de DoS tipicamente miram sites ou serviços hospedados
em servidores web grandes como bancos, gateways para pagamento de cartões de
crédito e até servidores raíz de DNS (DNS root servers).
Um método comum de ataque envolve saturar a máquina alvo (vítima) com
requisições externas de comunicação, tal que o alvo não consegue responder ao
tráfego legítimo ou responde tão lentamente que é como se o serviço estivesse
indisponível. Em termos gerais, ataques de DoS são implementados objetivando o
reset da máquina alvo ou então consumindo os seus recursos. Também, pode ser
possível obstruir o meio de comunicação entre os usuários e a máquina alvo, de modo
que eles não possam mais se comunicar adequadamente. Vale ressaltar que ataques de
DoS são considerados violações da “Política de Uso Adequado da Internet” proposta
pelo Internet Architectural Board – IAB.
A seguir, discutiremos sobre ataques de DoS no contexto de redes Wi-Fi.
3 - Ataques de DoS em redes 802.11
Embora novos padrões e protocolos tenham sido desenvolvidos nos últimos
anos, alguns recentes trabalhos e projetos mostram que as redes 802.11 ainda parecem
bastante vulneráveis a ataques de DoS. De fato, como as redes sem fio não tem
fronteiras físicas bem definidas, uma estação maliciosa pode simplesmente aparecer
na área de cobertura de tal rede e disparar ataques para perturbar ou intererromper
qualquer comunicação legítima.
Assim, na subseção 3.1 analisaremos o trabalho de [9] e na subseção 3.2
discutiremos uma falha grave encontrada recentemente no protocolo 802.11b.
3.1 - Vulnerabilidades em APs a ataques de DoS em redes 802.11
O artigo descreve formas simples de ataque de DoS em redes 802.11b em
modo infra-estrutura. Mais precisamente, os ataques abordados tem sempre como
único alvo um AP, já que este pode ser considerado um nó central e um possível
ponto de falha único (gargalo) para toda uma rede Wi-Fi. Analisa-se assim, ao longo
do trabalho, os impactos causados pelos ataques quando tomados APs de diferentes
fabricantes. O design dos esquemas de ataque levaram em conta os seguintes
aspectos:
- Protocolo 802.11 é baseado na troca de mensens request/response: cada request
dispara um response no destino (que pode ser outra estação ou um AP).
- Redes em modo infra-estrutura dependem de um AP: nó central através do qual toda
comunicação é roteada.
- Simplicidade: aplicabilidade tanto para redes abertas quanto para redes
5
criptografadas com chave WEP (embora existam protocolos de segurança muito
melhores e mais avançados, optou-se pelo WEP devido a sua popularidade ainda
grande). Também, espera-se que uma estação maliciosa possa disparar ataques sem
estar associada ou autenticada na rede de destino.
As formas de ataque estudadas no trabalho exploram a interação entre os
hospedeiros e o AP. Tal interação pode ser descrita de forma concisa através da
seguinte máquina de estados:
Figura 3 - Interação entre Estação e Access AP em redes 802.11
No estado 1 – não autenticado e desasssociado - apenas quadros de
gerenciamento (management frames) da classe 1 podem ser enviados. Este estado
representa as estações que ainda não adiquiriram nenhum privilégio e é portanto um
cenário comum para estações maliciosas desejando disparar ataques contra APs. No
estado 2 – autenticado e não associado - quadros das classes 1 e 2 podem ser
enviados. Finalmente, no estado 3 – autenticado e associado - quadros das classes 1,
2 e 3 podem ser enviados. Vale ressaltar que todo quadro de gerenciamento enviado
para um AP dispara um processamento com consequente consumo de recursos
computacionais.
6
3.1.1 - Formas de ataque
As seguintes formas de ataque foram exploradas:
- Inundação de Probe Requests (Probe Request Flood - PRF)
Quadros de probe request são aqueles utilizados para se varrer ativamente uma
área (active scan) em busca de redes wireless. Um AP sempre responde um probe
request com um quadro probe response (que contém informações sobre a capacidade
da rede, taxas de transferência de dados suportada e outros). Assim, enviando uma
rajada de probe requests, cada um com um MAC Address diferente (MAC spoofing)
para simular uma grande quantidade de estações fazendo varredura simultaneamente,
pode-se induzir uma carga de trabalho grande no AP, resultando em consumo de seus
recursos computacionais.
- Inundação de Authentication Requests (Authentication Request Flood – ARF)
O tipo de resposta do AP para um authentication request depende do tipo de
autenticação que está sendo utilizado. Em redes abertas, o AP processa cada request e
responde com o resultado (provavelmente consultando uma lista de controle de
acesso, também conhecida pelo termo em inglês access control list – ACL). Em redes
com chave WEP, as chaves são inseridas manualmente nas estações e no AP. Assim,
após o AP receber um authentication request, ele gera uma “charada” (challenging
text) e a envia para a estação. A estação deve então criptografar o texto com uma
chave WEP adequada para obter acesso ao meio.
Em ambos os casos, o AP deve alocar memória para guardar informações sobre
cada nova estação que é autenticada com sucesso. Logo, o ataque ocorre enviando
uma rajada de authentication requests usando MAC spoofing.
- Inundação de Association Requests (Association request flood - ASRF)
De acordo com a máquina de estados da figura 3, quadros de association
requests não deveriam ser respondidos pelo AP quando a estação se encontra no
estado 1 (não autenticada e desasssociada), porém a pesquisa mostrou que diversos
APs respondem a esse pedido com um quadro de disassociation (desassociação) ou
com um quadro de deauthentication (desautenticação). Assim, devido a uma falha na
implementação do protocolo de interação entre as estações e o AP, pode-se também
realizar ataques com rajadas de association requests.
Vale ressaltar que em [10] foram estudadas formas alternativas de ataque que
tem por objetivo derrubar a conexão de clientes legítimos específicos (através da
injeção de quadros de deauthentication e de disassociation) ou previnir que estação
legítimas ganhem acesso ao meio (manipulação maliciosa do Network Allocation
Vector).
3.1.2 - Ambiente de Teste
O ambiente de teste consiste de dois clientes legítimos, uma estação maliciosa
e um Access Point.
Os clientes são dois laptops idênticos equipados com placa de rede Netgear
MA401 PCMCIA, rodando Linux (kernel 2.4.20) e HostAP device driver. O HostAP
7
é um dos mais populares device drivers para dispositivos IEEE 802.11 no Linux. Este
driver suporta o Host AP Mode, que permite que uma placa wi-fi execute todas as
funções de um AP. Mais informações sobre esse software podem ser encontradas em
[11].
A estação maliciosa é um laptop idêntico ao dos clientes e roda um software
chamado wfit (wireless frame injection tool) que foi criado pelos autores do artigo em
questão. Esta ferramenta permite a criação de todos os tipos de quadros de
gerenciamento e de dados. Os quadros criados são passados para o firmware da placa
de rede através de um netlink socket [12]. A tabela a seguir mostra a taxa máxima de
injeção de frames obtida com o wfit na ausência de outras estações e/ou APs:
Esquema de Ataque
Probe Request Flood (PRF)
Authentication Request Flood (ARF)
Association Request Flood (ASRF)
Quadros/segundo
~ 810
260 / 280
260 / 280
Testes preliminares indicaram que estes limites não dependem da velocidade
da máquina, mas sim da velocidade com que os quadros são passados da camada de
aplicação para o netlink socket.
A figura abaixo ilustra o ambiente considerado:
Figure 4 - Ambiente de teste/simulação
3.1.3 – Ataque contra Enterasys RoamAbout R2
O ataque PRF realizado na taxa máxima bloqueia totalmente a rede. O AP
parece ficar 100% ocupado com o gerenciamento dos quadros de probe request, de
forma que a comunicação legítima entre os clientes é interrompida. Interessantemente,
desabilitando o MAC spoofing, os ataques não funcionam mais. A razão para tal se
encontra num parâmetro chamado de retry limit. Para enterdermos este parâmetro,
tomemos um dump de um trecho do monitoramento feito pelo software Ethereal
durante o ataque com MAC Spoofing:
8
Figura 5 - Trecho do monitoramento feito durante o ataque
Note que, como a origem envia quadros com endereços MAC diferentes do
seu endereço real, os quadros de probe response enviados pelo AP não são
reconhecidos pela estação maliciosa. Assim, como consequência, para cada probe
request, o AP envia quatro probe responses até poder descartar o quadro recebido. O
número de vezes que o AP tenta responder é justamente o valor do parâmetro retry
limit.
Esta é possívelmente a causa do ataque de DoS, já que o comportamento do
AP implica em ele reservar uma quantidade relevante de memória e processar mais
informações para guardar e retransmitir os quadros. Assim, devido a alta taxa de
injeção de quadros, o AP fica completamente sobrecarregado e deixa de servir à rede.
Porém, quando o MAC Spoofing é desabilitado, os quadros são reconhecidos pela
estação maliciosa e então o fenômeno deixa de existir.
Curiosamente, o Ethereal consegue “traduzir” o prefixo de alguns endereços
MAC gerados durante a injeção de quadros (vide retângulo azul na figura 5).
Este AP não se mostrou vulnerável aos ataques de ASRF e PRF (com ou sem
chave WEP). Acredita-se que isto aconteça devido a baixa taxa de injeção de quadros
destes dois tipos.
Abaixo, mostramos uma figura com as estatísticas dos ataques:
Figura 6 - Estatísticas dos ataques contra Enterasys RoamAbout R2
- Nreq: requests únicos enviados pela estação maliciosa
- Ndup: requests duplicados enviados pela estação maliciosa
- Nresp: número de requests respondidos pelo AP
- Nlost: número de requests não respondidos by the AP
- Nrr: número de quadros response para cada quadro request
9
- Trr: tempo médio decorrido (em segundos) desde um quadro request até o primeiro
quadro response correspondente
Com o objetivo de melhorar o nível de segurança do AP, foi feita uma
atualização de seu firmware. Surpreendentemente e de forma contra-intuitiva, após tal
upgrade, o AP tornou-se vulnerável aos três tipos de ataque (a introdução de chave
WEP não mudou os resultados):
Figura 7 - Novas estatísticas após upgrade de firmware
3.1.4 – Ataque contra Netgear ME102
Os testes iniciais foram feitos a criptografia WEP de 128 bits ativada. O
ataque PRF não surtiu efeito, pois o retry limit para probe requests é igual a 1.
Contudo, o ataque ARF faz o AP travar e parar de funcionar. Acredita-se que
por conta do retry limit para authorization requests ser igual a 11, pode haver um
problema na geração de muitos challenge texts ou então uma sequência anômala de
operações de cripgrafia acaba ocorrendo. Não se sabe precisamente qual é o motivo
do travamento.
Já o ataque ASRF esgota os recursos do AP e acaba por impossibilitar a
comunicação entre os clientes legítimos. Acredita-se que isto ocorra pelo fato do retry
limit para association requests ser igual a 11. Logo, mesmo a taxa de injeção de
quadros de association request sendo bem mais baixa (comparada à taxa de injeção de
probe requests), o ataque funciona. Isto sugere que este AP tenha um desempenho
geral mais baixo que o anterior.
Seguem as estatísticas para os ataques realizados:
Figura 8 - Estatísticas dos ataques contra Netgear ME102
Em seguida, foram realizados testes com a criptografia WEP desativada. Neste
novo cenário, não há interrupção de comunicação em qualquer ataque (embora vários
quadros continuem sendo perdidos). Logo, conclui-se que a retransmissão não é a
única origem para o efeito de DoS, pois o resultado do ataque depende também do
desempenho geral do AP. Acredita-se que, neste caso, desativar a criptografia WEP
libera memória e recursos do AP, de modo que ele se torna capaz de “aguentar” os
ataques.
10
3.1.5 – Ataque contra 3COM Access Point 8000
O ataque PRF bloqueia completamente a rede, mesmo o retry limit deste AP
para probe requests sendo igual a 1. A explicação reside na maneira como o AP lida
com os requests recebidos. Enquanto o Netgear ME102 respondia os probes em uma
taxa quase constante (um response para cada 2-4 requests), o AP da 3COM permite
que o fluxo de requests tomem conta de todo o meio (estação maliciosa consegue
enviar mais de 10000 quadros em 10s), acarretando no sucesso do ataque de DoS.
O ataque ARF bloqueia a rede (mas não trava o AP), pois o retry limit neste
caso é igual a 8. Nota-se que, neste cenário, a quantidade de pacotes perdidos é
bastante grande e o response time atinge 3 segundos. É importante observar que
vulnerabilidades a ataques com baixa taxa de injeção de quadros (como o ARF)
sugerem uma implementação de baixa qualidade do AP.
O ataque ASRF não surtiu efeito, pois o retry limit nesta situação é igual a 1.
De forma semelhante, a criptografia WEP não mudou os resultados
significativamente.
Segue abaixo as estatísticas para os ataques realizados (note o alto NRec para
o ataque PRF):
Figura 9 - Estatísticas dos ataques contra 3COM Access Point 8000
3.1.6 – Ataque contra outros Access Points
Ao longo do artigo são analisados os comportamentos de vários outros APs
sob estes mesmos ataques. Listo a seguir os resultados que julguei mais interessantes
para cada AP:
- D-Link DWL-1000AP+
Demorou mais tempo para ataque surtir efeito
- Linksys WRT54G
Vulnerável a todos os tipos de ataque!
- Netgear WG602
Ataques previnem que novos clientes legítimos consigam se conectar (possui
limite para authentication/association requests)
- Cisco AP 350
AP perde acesso ao meio (similar ao AP da 3COM)
- Compaq/HP WL520
Quando AP percebe ataque, ele troca de canal (não se sabe se isso é uma
feature real ou bug)
11
3.1.7 – Conclusões do artigo
Após os resultados experimentais, podemos claramente enumerar uma série
conclusões acerca dos APs:
- Nenhum AP está totalmente imune aos três tipos de ataque estudados
- Os três tipos de ataques podem ser executados por máquinas que não estejam
nem associadas e nem autenticadas ao AP
- A taxa mínima de injeção de quadros necessária para causar um efeito DoS pode
ser surpreendentemente baixa (3COM Access Point 8000)
- A principal vulnerabilidade parece residir no momento de retransmissão de
quadros, esgotando buffers de memória e congelando funcionalidades do AP
- Implementações fracas do protocolo 802.11 permitem que ataques travem o AP
ou impossibilitem que clientes legítimos consigam se conectar
- Ataques analizados não precisam de hardwares ou softwares avançados para
serem realizados
- Versões mais recentes de firmware não necessariamente são mais seguras
- Mecanismos de proteção contra ataques de DoS devem estar localizadas no
firmware (nem sempre é possível resolver os problemas apenas com o código do
device driver)
3.2 - O Ataque Indefensável
Em maio de 2004, um trio de estudantes PhDs da Queensland University of
Technology (Austrália) descobriram uma séria falha no protocolo 802.11b que o torna
vulnerável a um tipo específico de ataque de DoS [13]. O grupo, liderado pelo
professor Mark Looi, descobriu acidentalmente tal vulnerabilidade em novembro de
2003 quando estavam investisgando uma outra falha já conhecida em redes sem fio.
Looi imediamente contactou o Australian Computer Emergency Response Team
(AusCERT) e este, por sua vez, contactou outras organizações de segurança de
computadores ao redor do globo, incluindo a US-CERT. Depois de mais algumas
semanas de estudos realizados pela equipe de Looi, constatou-se que a falha era, de
fato, fatal. Imediatamente, Looi e seus alunos, as CERTs e grandes fabricantes de
dispositivos wireless tentaram exaustivamente encontrar uma solução para tal falha e
todos chegaram a mesma conclusão de que o problema era irreparável.
A vulnerabilidade reside no protocolo de rede sem fio 802.11, que usa um
algoritmo chamado Clear Channel Assessment (CCA) para determinar se canais de
rádio estão livres de modo que os dispositivos wireless possam usá-los para transmitir
dados. O grupo descobriu que o algoritmo CCA, que trabalha em conjunto com a
transmissão Direct Sequence Spread Spectrum (DSSS) [14], era vulnerável a um
ataque relativamente simples, que consistia, a grosso modo, no disparo de um certo
tipo de sinal de rádio que fazia com que o CCA acreditasse que os canais de
12
transmissão estavam sempre ocupados. Como resultado, nenhum dispositivo no
alcance deste sinal (jamming signal) conseguiria transmitir dados.
Ao contrário do jamming tradicional [15], a exploração da falha no CCA
(camada física) não requer mais poder do que a operação normal de um dispositivo
wireless. De fato, o ataque pode ser implementado por uma placa de rede modificada
de $35 e um laptop (ou até um PDA que tenha suporte à transmissão wireless).
Devido a natureza low-power do ataque, localizar a estação maliciosa é quase
impossível. Surpreendemente, este ataque é capaz de desativar todas as transmissões
wireless num raio de um quilômetro em um intervalo de cinco a oito segundos. Os
padrões IEEE 802.11, 802.11b e 802.11g (com banda inferior a 20Mbps) são todos
vulneráveis – isto significa que quase todas as redes wireless são afetadas, já que estes
padrões são os mais populares. Ademais, o ataque opera no nível do hardware, de
maneira que WEP, WPA e WPA2 não tem nenhum efeito. Segundo o professor Looi,
qualquer organização que continuar a utilizar o IEEE 802.11b para operar infraestrutura crítica pode ser considerada negligente.
A falha descoberta é herdada do padrão IEEE 802.11 e de seu uso do
algoritmo CCA, de forma que não depende da implementação específica da rede. Até
o momento, acredita-se não existir solução para a falha. O professor acrescenta que,
em geral, é impossível proteger totalmente uma rede sem fio contra ataques de DoS
baseados em jamming de frequências de rádio.
4 - Conclusão
Apesar das notórias qualidades das redes sem fio, devemos considerar com
cautela a sua adoção. Devido a especial suscetibilidade a ataques de DoS, aplicações
de missão crítica não devem depender exclusivamente de tecnologia Wi-Fi para
transmissão de dados. Vale ressaltar também que outras formas de ataque não
abordadas neste trabalho, como man-in-the-middle attack, podem provocar sérios
danos de propriedade (como roubo de informações confidenciais). Também, conforme
[16], ultimamente diversos hot-spots tem sido alvo de ataques por hackers.
Assim, embora os recursos e baixo custo desta tecnologia sejam
consideravelmente atraentes, devemos estar cientes das suas limitações de segurança,
robustez e disponibilidade.
13
5 - Referências
1. KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet. 3ª
edição, Addison-Wesley 2006
2. 802.11 Tutorial. Disponível em
<http://www.geocities.com/backgndtest/wlan_tut.html>. Acesso em: dezembro/2008.
3. IEEE 802.11. Disponível em
<http://pt.wikipedia.org/wiki/IEEE_802.11>. Acesso em: dezembro/2008.
4. Replay Protection. Disponível em
<http://www.mobile.ifi.lmu.de/common/Literatur/MNMPub/Fopras/treu03/HTMLVersion/node28.html>. Acesso em: dezembro/2008.
5. Bit-flipping Attack. Disponível em
<http://hq.alert.sk/~wilder/CVTSS/foil12.html>. Acesso em: dezembro/2008.
6. Practical attacks against WEP and WPA. Disponível em:
<http://dl.aircrack-ng.org/breakingwepandwpa.pdf>. Acesso em: dezembro/2008.
7. Knowledge Center – WPA2 (Wi-Fi Protected Access 2). Disponível em:
<http://www.wi-fi.org/knowledge_center/wpa2>. Acesso em: dezembro/2008
8. Denial-of-service Attack. Disponível em:
<http://en.wikipedia.org/wiki/Denial-of-service_attack>. Acesso em: dezembro/2008
9. BERNASCHI, Massimo; FERRERI Francesco; VALCAMONICI Leonardo.
Access points vulnerabilities to DoS attacks in 802.11 networks. Springer
Science+Business Media, LLC 2006
10. BELLARDO, J.; SAVAGE S. 802.11 Denial-of-Service Attacks. Real
vulnerabilities and practical solutions, em: Proceedings of the 12th
USENIX Security Symposium, Washington, D.C. (Agosto 2003)
11. Host AP driver for Intersil Prism2/2.5/3, hostapd, and WPA Supplicant.
Disponível em: <http://hostap.epitest.fi>. Acesso em: dezembro/2008
12. Netlink Sockets – Overview. Disponível em:
<http://qos.ittc.ku.edu/netlink/html/>. Acesso em: dezembro/2008
13. Living in Wireless Denial. Disponível em:
<http://www.cio.com.au/index.php/id;533928229;pp;1>. Acesso em: dezembro/2008
14. Direct Sequence Spread Spectrum. Disponível em:
<http://www.ele.uri.edu/Courses/ele436/labs/DSSS.pdf>. Acesso em: dezembro/2008
15. Radio jamming. Disponível em
<http://en.wikipedia.org/wiki/Radio_jamming>. Acesso em: dezembro/2008
14
16. Hackers target wi-fi hotspots in new phishing attack. Disponível em
<http://technology.timesonline.co.uk/tol/news/tech_and_web/the_web/article1728634
.ece>. Acesso em: dezembro/2008.
15