Ataques de DoS em redes Wi-Fi Resumo Neste trabalho, primeiramente são expostos os principais elementos de uma rede sem fio e discutidos alguns aspectos da arquitetura e da segurança do padrão IEEE 802.11. Em seguida, são abordados esquemas de ataques de DoS neste contexto, dando ênfase para a maneira como estes são executados e quais suas conseqüências. Por fim, é estabelecida uma breve conclusão acerca de quando se pode adotar o uso de redes Wi-Fi. 1- As redes Wi-Fi Presentes no local de trabalho, em casa, em instituições educacionais, em cafés, aeroportos e esquinas, as LANs sem fio agora são uma das mais importantes tecnologias de rede de acesso na Internet de hoje. Embora muitas tecnologias e padrões para LANs sem fio tenham sido desenvolvidos na década de 1990, uma classe particular de padrões surgiu claramente como a vencedora: a LAN sem fio IEEE 802.11, também conhecida como Wi-Fi. Nesta seção, examinaremos os principais elementos de uma rede sem fio, a arquitetura 802.11 e os padrões de segurança para redes 802.11. Esta pequena introdução, bem como as subseções 1.1 e 1.2, foram fortemente baseadas no capítulo 6 de [1]. Já a subseção 1.3 é apoiada no conteúdo de [2]. 1.1 - Elementos básicos de uma rede sem fio Tipicamente, uma rede sem fio possui os seguintes elementos: Hospedeiros sem fio: Como no caso de redes cabeadas, hospedeiros (também chamados de estações ou hosts) são os equipamentos de sistemas finais que executam aplicações. Um hospedeiro sem fio pode ser um laptop, um palmtop, um PDA, um telefone ou um computador de mesa. Os próprios hospedeiros podem ser móveis ou não. Enlaces sem fio: Um hospedeiro se conecta a uma estação-base (definida mais adiante) ou a um outro hospedeiro sem fio por meio de um enlace de comunicação sem fio. Tecnologias de enlace sem fio diferentes têm taxas de transmissão diferentes e podem transmitir a distâncias diferentes. Estação base: A estação-base é uma parte fundamental da infra-estrutura de rede sem fio. Diferentemente dos hospedeiros e enlaces sem fio, uma estação-base não tem nenhuma contraparte óbvia em uma rede cabeada. Uma estação-base é responsável pelo envio e recebimento de dados (por exemplo, pacotes) de e para um hospedeiro sem fio que está associado com ela. Uma estação-base freqüentemente será responsável pela coordenação da transmissão de vários hospedeiros sem fio com os quais está associada. Quando dizemos que um hospedeiro sem fio está “associado” com uma estação-base, isso quer dizer que o hospedeiro está dentro do alcance de comunicação sem fio da estação-base e o hospedeiro usa a estaçcão-base para retransmitir dados entre ele (o hospedeiro) e a rede maior. Torres celulares em redes 1 celulares e pontos de acesso (access points - APs) em uma LAN sem fio 802.11 são exemplos de estações-base. Na figura 1, uma estação-base está conectada à rede maior (isto é, à Internet, à rede empresarial ou residencial ou à rede telefônica) e, portanto, funciona como uma retransmissora de camada de enlace entre o hospedeiro sem fio e o resto do mundo com o qual o hospedeiro se comunica. Quando hospedeiros estão associados com uma estação-base, em geral diz-se que estão operando em modo infra-estrutura (infrastructure-mode), já que todos os serviços tradicionais de rede (por exemplo, atribuição de endereço e roteamento) são fornecidos pela rede com a qual estiverem conectados por meio da estação-base. Cada particular rede Wi-Fi é identificada por um nome que chamamos de identificador de conjunto de serviços (service set identifier) ou, mais popularmente, SSID. Os APs anunciam seus SSIDs através de mensagens de broadcast, de modo que hospedeiros dentro da área de alcance possam escolher a rede a qual desejam se conectar. Em redes ad-hoc, hospedeiros sem fio não dispõem de nenhuma infra-estrutura desse tipo com a qual se conectar. Na ausência de tal infra-estrutura, os próprios hospedeiros devem prover serviços como roteamento, atribuição de endereço, traduação de endereços semelhante ao DNS e outros. Neste trabalho, concentraremonos em ataques de DoS em redes em modo infra-estrutura. Figura 1 - Elementos de uma rede sem fio 2 1.2 - Arquitetura 802.11 A figura 2 ilustra os principais componentes da arquitetura de LAN sem fio 802.11. O bloco construtivo fundamental da arquitetura 802.11 é o conjunto básico de serviço (basic service set – BSS). Um BSS contém uma ou mais estações sem fio e uma estação-base central (AP). A figura 2 mostra o AP em cada um dos dois BSSs conectando-se a um dispositivo de interconexão (tal como um hub, um comutador ou um roteador), que, por sua vez, leva à Internet. Em uma rede residencial típica, há apenas um AP e um roteador (quase sempre acompanhado de um modem a cabo ou ADSL, formando um só pacote) que conecta o BSS à Internet. Como acontece com dispositivos Ethernet, cada estação sem fio 802.11 tem um endereço MAC de 6 bytes que é armazenado no firmware do adaptador da estação (isto é, na placa de interface de rede 802.11). Cada AP também tem um endereço MAC para sua interface sem fio. Como na Ethernet, esses endereços MAC são administrados pelo IEEE e são (em teoria) globalmente exclusivos. Como vimos anteriormente, as LANs sem fio que disponibilizam APs normalmente são denominadas LANs sem fio de infra-estrutura e, nesse contexto, infra-estrutura que dizer os APs juntamente com a infra-estrutura de Ethernet cabeado que interconecta os APs e um roteador. Também, hospedeiros móveis em redes Wi-Fi podem se agrupar e formar uma rede ad-hoc – rede sem nenhum controle central e sem nenhuma conexão com o “mundo externo”. Nesse caso, a rede é formada conforme a necessidade, por equipamentos móveis que, por acaso, estão próximos uns dos outros, têm necessidade de se comunicar e não dispõem de infra-estrutura de rede no lugar em que se encontram. Figura 2 – A arquitetura da rede 802.11 Há também diversos padrões 802.11 para a tecnologias de LAN sem fio, entre eles 802.11b, 802.11a e 802.11g. A tabela abaixo apresenta um resumo das principais características desses padrões: 3 Padrão Faixa de freqüência Taxa de transmissão de dados 802.11b 802.11a 802.11g 2.4 – 2.485 GHz 5.1 – 5.8 GHz 2.4 – 2.485 GHz até 11 Mbps até 54 Mbps até 54 Mbps Uma lista completa de padrões e suas respectivas características básicas está disponível em [3] 1.3 - Protocolos de segurança O mecanismo original de segurança do padrão IEEE 802.11 não foi desenhado para ser forte e é comprovadamente insuficiente para a maior parte das redes que requerem algum nível de segurança. O grupo de segurança (task group 1) do IEEE 802.11 tem trabalhado para endereçar as falhas do padrão e em prática completou seu trabalho em Maio de 2004. A emenda de nome IEEE 802.11i para o padrão IEEE 802.11 foi aprovada em Junho de 2004 e publicada em Julho de 2004. O Wi-Fi Alliance utilizou uma versão de rascunho do trabalho IEEE 802.11i para definir um subconjunto das melhorias de segurança que podiam ser implementadas com o hardware existente encontrado em redes Wi-Fi. Este projeto recebeu o nome de Wi-Fi Protected Access (WPA) e se tornou um componente de teste de interoperabilidade e certificação feito pelo Wi-Fi Alliance. O padrão IEEE 802.11 definiu o algoritmo Wired Equivalent Privacy (WEP) para proteção de redes wireless. O WEP utiliza o algoritmo de criptografia RC4 com chaves de 40 bits, um vetor de inicialização (initialization vector – IV) de 24 bits e CRC32 para proteção contra falsificação de pacotes. Todas estas escolhas foram provadas serem insuficientes: o espaço de chaves é muito pequenos contra ataques atuais, o escalonamento de chave no RC4 é insuficiente, o espaço do IV é muito pequeno e o reúso do IV faz com que os ataques fiquem mais fáceis, não existe replay protection [4] e autenticação sem chaves não protege contra ataques de Bit-Flipping [5]. A criptografia WEP foi depreciada em 2004 pelo IEEE 802.11 por não atingir os objetivos esperados. O WPA é uma solução intermediária para os problemas de segurança. Ele utiliza o Temporal Integrity Protocol (TKIP) para substituir o WEP. O TKIP tem por objetivo o aumento a segurança da rede sem troca de hardware (apenas um eventual update de firmware). Ele ainda usa o RC4 para a criptografia como o WEP, mas com criação de chaves RC4 por pacote. Além disso, ele implementa replay protection e um mecanismo que avalia a integridade de mensagens chamado Michael. Apesar das melhorias proporcionadas, o recente trabalho [6] exibe algumas falhas e fraquezas do WPA. O interessante artigo mostra que é possível descriptografar alguns pacotes e também enviar pacotes com conteúdo diferenciado em redes que utilizam TKIP. O Wi-Fi Alliance está utilizando a versão final do IEEE 802.11i como a nova versão do WPA, chamada de WPA2. Este novo padrão inclui, por exemplo, suporte para um algoritmo de criptografia bastante robusto chamado CCMP que substitui o TKIP e otimizações nos processos de hand-off. O padrão IEEE 802.1x também possui um papel importante na composição do IEEE 802.11i. Mais informações sobre WPA2 podem ser encontradas em [7]. 4 2 - Ataques de DoS Segundo [8], um ataque de DoS (denial-of-service attack) é essencialmente uma tentativa de fazer com que um recurso computacional fique indisponível para seus usuários. Embora os meios, os motivos e os alvos de um ataque de DoS possam variar, ele geralmente consiste do esforço concentrado e malevolente de uma pessoa ou grupo de pessoas para fazer prevenir que um site da Internet ou um serviço funcione eficientemente. Ataques mais violentos tem como objetivo tirar o serviço do ar. Perpetradores de ataques de DoS tipicamente miram sites ou serviços hospedados em servidores web grandes como bancos, gateways para pagamento de cartões de crédito e até servidores raíz de DNS (DNS root servers). Um método comum de ataque envolve saturar a máquina alvo (vítima) com requisições externas de comunicação, tal que o alvo não consegue responder ao tráfego legítimo ou responde tão lentamente que é como se o serviço estivesse indisponível. Em termos gerais, ataques de DoS são implementados objetivando o reset da máquina alvo ou então consumindo os seus recursos. Também, pode ser possível obstruir o meio de comunicação entre os usuários e a máquina alvo, de modo que eles não possam mais se comunicar adequadamente. Vale ressaltar que ataques de DoS são considerados violações da “Política de Uso Adequado da Internet” proposta pelo Internet Architectural Board – IAB. A seguir, discutiremos sobre ataques de DoS no contexto de redes Wi-Fi. 3 - Ataques de DoS em redes 802.11 Embora novos padrões e protocolos tenham sido desenvolvidos nos últimos anos, alguns recentes trabalhos e projetos mostram que as redes 802.11 ainda parecem bastante vulneráveis a ataques de DoS. De fato, como as redes sem fio não tem fronteiras físicas bem definidas, uma estação maliciosa pode simplesmente aparecer na área de cobertura de tal rede e disparar ataques para perturbar ou intererromper qualquer comunicação legítima. Assim, na subseção 3.1 analisaremos o trabalho de [9] e na subseção 3.2 discutiremos uma falha grave encontrada recentemente no protocolo 802.11b. 3.1 - Vulnerabilidades em APs a ataques de DoS em redes 802.11 O artigo descreve formas simples de ataque de DoS em redes 802.11b em modo infra-estrutura. Mais precisamente, os ataques abordados tem sempre como único alvo um AP, já que este pode ser considerado um nó central e um possível ponto de falha único (gargalo) para toda uma rede Wi-Fi. Analisa-se assim, ao longo do trabalho, os impactos causados pelos ataques quando tomados APs de diferentes fabricantes. O design dos esquemas de ataque levaram em conta os seguintes aspectos: - Protocolo 802.11 é baseado na troca de mensens request/response: cada request dispara um response no destino (que pode ser outra estação ou um AP). - Redes em modo infra-estrutura dependem de um AP: nó central através do qual toda comunicação é roteada. - Simplicidade: aplicabilidade tanto para redes abertas quanto para redes 5 criptografadas com chave WEP (embora existam protocolos de segurança muito melhores e mais avançados, optou-se pelo WEP devido a sua popularidade ainda grande). Também, espera-se que uma estação maliciosa possa disparar ataques sem estar associada ou autenticada na rede de destino. As formas de ataque estudadas no trabalho exploram a interação entre os hospedeiros e o AP. Tal interação pode ser descrita de forma concisa através da seguinte máquina de estados: Figura 3 - Interação entre Estação e Access AP em redes 802.11 No estado 1 – não autenticado e desasssociado - apenas quadros de gerenciamento (management frames) da classe 1 podem ser enviados. Este estado representa as estações que ainda não adiquiriram nenhum privilégio e é portanto um cenário comum para estações maliciosas desejando disparar ataques contra APs. No estado 2 – autenticado e não associado - quadros das classes 1 e 2 podem ser enviados. Finalmente, no estado 3 – autenticado e associado - quadros das classes 1, 2 e 3 podem ser enviados. Vale ressaltar que todo quadro de gerenciamento enviado para um AP dispara um processamento com consequente consumo de recursos computacionais. 6 3.1.1 - Formas de ataque As seguintes formas de ataque foram exploradas: - Inundação de Probe Requests (Probe Request Flood - PRF) Quadros de probe request são aqueles utilizados para se varrer ativamente uma área (active scan) em busca de redes wireless. Um AP sempre responde um probe request com um quadro probe response (que contém informações sobre a capacidade da rede, taxas de transferência de dados suportada e outros). Assim, enviando uma rajada de probe requests, cada um com um MAC Address diferente (MAC spoofing) para simular uma grande quantidade de estações fazendo varredura simultaneamente, pode-se induzir uma carga de trabalho grande no AP, resultando em consumo de seus recursos computacionais. - Inundação de Authentication Requests (Authentication Request Flood – ARF) O tipo de resposta do AP para um authentication request depende do tipo de autenticação que está sendo utilizado. Em redes abertas, o AP processa cada request e responde com o resultado (provavelmente consultando uma lista de controle de acesso, também conhecida pelo termo em inglês access control list – ACL). Em redes com chave WEP, as chaves são inseridas manualmente nas estações e no AP. Assim, após o AP receber um authentication request, ele gera uma “charada” (challenging text) e a envia para a estação. A estação deve então criptografar o texto com uma chave WEP adequada para obter acesso ao meio. Em ambos os casos, o AP deve alocar memória para guardar informações sobre cada nova estação que é autenticada com sucesso. Logo, o ataque ocorre enviando uma rajada de authentication requests usando MAC spoofing. - Inundação de Association Requests (Association request flood - ASRF) De acordo com a máquina de estados da figura 3, quadros de association requests não deveriam ser respondidos pelo AP quando a estação se encontra no estado 1 (não autenticada e desasssociada), porém a pesquisa mostrou que diversos APs respondem a esse pedido com um quadro de disassociation (desassociação) ou com um quadro de deauthentication (desautenticação). Assim, devido a uma falha na implementação do protocolo de interação entre as estações e o AP, pode-se também realizar ataques com rajadas de association requests. Vale ressaltar que em [10] foram estudadas formas alternativas de ataque que tem por objetivo derrubar a conexão de clientes legítimos específicos (através da injeção de quadros de deauthentication e de disassociation) ou previnir que estação legítimas ganhem acesso ao meio (manipulação maliciosa do Network Allocation Vector). 3.1.2 - Ambiente de Teste O ambiente de teste consiste de dois clientes legítimos, uma estação maliciosa e um Access Point. Os clientes são dois laptops idênticos equipados com placa de rede Netgear MA401 PCMCIA, rodando Linux (kernel 2.4.20) e HostAP device driver. O HostAP 7 é um dos mais populares device drivers para dispositivos IEEE 802.11 no Linux. Este driver suporta o Host AP Mode, que permite que uma placa wi-fi execute todas as funções de um AP. Mais informações sobre esse software podem ser encontradas em [11]. A estação maliciosa é um laptop idêntico ao dos clientes e roda um software chamado wfit (wireless frame injection tool) que foi criado pelos autores do artigo em questão. Esta ferramenta permite a criação de todos os tipos de quadros de gerenciamento e de dados. Os quadros criados são passados para o firmware da placa de rede através de um netlink socket [12]. A tabela a seguir mostra a taxa máxima de injeção de frames obtida com o wfit na ausência de outras estações e/ou APs: Esquema de Ataque Probe Request Flood (PRF) Authentication Request Flood (ARF) Association Request Flood (ASRF) Quadros/segundo ~ 810 260 / 280 260 / 280 Testes preliminares indicaram que estes limites não dependem da velocidade da máquina, mas sim da velocidade com que os quadros são passados da camada de aplicação para o netlink socket. A figura abaixo ilustra o ambiente considerado: Figure 4 - Ambiente de teste/simulação 3.1.3 – Ataque contra Enterasys RoamAbout R2 O ataque PRF realizado na taxa máxima bloqueia totalmente a rede. O AP parece ficar 100% ocupado com o gerenciamento dos quadros de probe request, de forma que a comunicação legítima entre os clientes é interrompida. Interessantemente, desabilitando o MAC spoofing, os ataques não funcionam mais. A razão para tal se encontra num parâmetro chamado de retry limit. Para enterdermos este parâmetro, tomemos um dump de um trecho do monitoramento feito pelo software Ethereal durante o ataque com MAC Spoofing: 8 Figura 5 - Trecho do monitoramento feito durante o ataque Note que, como a origem envia quadros com endereços MAC diferentes do seu endereço real, os quadros de probe response enviados pelo AP não são reconhecidos pela estação maliciosa. Assim, como consequência, para cada probe request, o AP envia quatro probe responses até poder descartar o quadro recebido. O número de vezes que o AP tenta responder é justamente o valor do parâmetro retry limit. Esta é possívelmente a causa do ataque de DoS, já que o comportamento do AP implica em ele reservar uma quantidade relevante de memória e processar mais informações para guardar e retransmitir os quadros. Assim, devido a alta taxa de injeção de quadros, o AP fica completamente sobrecarregado e deixa de servir à rede. Porém, quando o MAC Spoofing é desabilitado, os quadros são reconhecidos pela estação maliciosa e então o fenômeno deixa de existir. Curiosamente, o Ethereal consegue “traduzir” o prefixo de alguns endereços MAC gerados durante a injeção de quadros (vide retângulo azul na figura 5). Este AP não se mostrou vulnerável aos ataques de ASRF e PRF (com ou sem chave WEP). Acredita-se que isto aconteça devido a baixa taxa de injeção de quadros destes dois tipos. Abaixo, mostramos uma figura com as estatísticas dos ataques: Figura 6 - Estatísticas dos ataques contra Enterasys RoamAbout R2 - Nreq: requests únicos enviados pela estação maliciosa - Ndup: requests duplicados enviados pela estação maliciosa - Nresp: número de requests respondidos pelo AP - Nlost: número de requests não respondidos by the AP - Nrr: número de quadros response para cada quadro request 9 - Trr: tempo médio decorrido (em segundos) desde um quadro request até o primeiro quadro response correspondente Com o objetivo de melhorar o nível de segurança do AP, foi feita uma atualização de seu firmware. Surpreendentemente e de forma contra-intuitiva, após tal upgrade, o AP tornou-se vulnerável aos três tipos de ataque (a introdução de chave WEP não mudou os resultados): Figura 7 - Novas estatísticas após upgrade de firmware 3.1.4 – Ataque contra Netgear ME102 Os testes iniciais foram feitos a criptografia WEP de 128 bits ativada. O ataque PRF não surtiu efeito, pois o retry limit para probe requests é igual a 1. Contudo, o ataque ARF faz o AP travar e parar de funcionar. Acredita-se que por conta do retry limit para authorization requests ser igual a 11, pode haver um problema na geração de muitos challenge texts ou então uma sequência anômala de operações de cripgrafia acaba ocorrendo. Não se sabe precisamente qual é o motivo do travamento. Já o ataque ASRF esgota os recursos do AP e acaba por impossibilitar a comunicação entre os clientes legítimos. Acredita-se que isto ocorra pelo fato do retry limit para association requests ser igual a 11. Logo, mesmo a taxa de injeção de quadros de association request sendo bem mais baixa (comparada à taxa de injeção de probe requests), o ataque funciona. Isto sugere que este AP tenha um desempenho geral mais baixo que o anterior. Seguem as estatísticas para os ataques realizados: Figura 8 - Estatísticas dos ataques contra Netgear ME102 Em seguida, foram realizados testes com a criptografia WEP desativada. Neste novo cenário, não há interrupção de comunicação em qualquer ataque (embora vários quadros continuem sendo perdidos). Logo, conclui-se que a retransmissão não é a única origem para o efeito de DoS, pois o resultado do ataque depende também do desempenho geral do AP. Acredita-se que, neste caso, desativar a criptografia WEP libera memória e recursos do AP, de modo que ele se torna capaz de “aguentar” os ataques. 10 3.1.5 – Ataque contra 3COM Access Point 8000 O ataque PRF bloqueia completamente a rede, mesmo o retry limit deste AP para probe requests sendo igual a 1. A explicação reside na maneira como o AP lida com os requests recebidos. Enquanto o Netgear ME102 respondia os probes em uma taxa quase constante (um response para cada 2-4 requests), o AP da 3COM permite que o fluxo de requests tomem conta de todo o meio (estação maliciosa consegue enviar mais de 10000 quadros em 10s), acarretando no sucesso do ataque de DoS. O ataque ARF bloqueia a rede (mas não trava o AP), pois o retry limit neste caso é igual a 8. Nota-se que, neste cenário, a quantidade de pacotes perdidos é bastante grande e o response time atinge 3 segundos. É importante observar que vulnerabilidades a ataques com baixa taxa de injeção de quadros (como o ARF) sugerem uma implementação de baixa qualidade do AP. O ataque ASRF não surtiu efeito, pois o retry limit nesta situação é igual a 1. De forma semelhante, a criptografia WEP não mudou os resultados significativamente. Segue abaixo as estatísticas para os ataques realizados (note o alto NRec para o ataque PRF): Figura 9 - Estatísticas dos ataques contra 3COM Access Point 8000 3.1.6 – Ataque contra outros Access Points Ao longo do artigo são analisados os comportamentos de vários outros APs sob estes mesmos ataques. Listo a seguir os resultados que julguei mais interessantes para cada AP: - D-Link DWL-1000AP+ Demorou mais tempo para ataque surtir efeito - Linksys WRT54G Vulnerável a todos os tipos de ataque! - Netgear WG602 Ataques previnem que novos clientes legítimos consigam se conectar (possui limite para authentication/association requests) - Cisco AP 350 AP perde acesso ao meio (similar ao AP da 3COM) - Compaq/HP WL520 Quando AP percebe ataque, ele troca de canal (não se sabe se isso é uma feature real ou bug) 11 3.1.7 – Conclusões do artigo Após os resultados experimentais, podemos claramente enumerar uma série conclusões acerca dos APs: - Nenhum AP está totalmente imune aos três tipos de ataque estudados - Os três tipos de ataques podem ser executados por máquinas que não estejam nem associadas e nem autenticadas ao AP - A taxa mínima de injeção de quadros necessária para causar um efeito DoS pode ser surpreendentemente baixa (3COM Access Point 8000) - A principal vulnerabilidade parece residir no momento de retransmissão de quadros, esgotando buffers de memória e congelando funcionalidades do AP - Implementações fracas do protocolo 802.11 permitem que ataques travem o AP ou impossibilitem que clientes legítimos consigam se conectar - Ataques analizados não precisam de hardwares ou softwares avançados para serem realizados - Versões mais recentes de firmware não necessariamente são mais seguras - Mecanismos de proteção contra ataques de DoS devem estar localizadas no firmware (nem sempre é possível resolver os problemas apenas com o código do device driver) 3.2 - O Ataque Indefensável Em maio de 2004, um trio de estudantes PhDs da Queensland University of Technology (Austrália) descobriram uma séria falha no protocolo 802.11b que o torna vulnerável a um tipo específico de ataque de DoS [13]. O grupo, liderado pelo professor Mark Looi, descobriu acidentalmente tal vulnerabilidade em novembro de 2003 quando estavam investisgando uma outra falha já conhecida em redes sem fio. Looi imediamente contactou o Australian Computer Emergency Response Team (AusCERT) e este, por sua vez, contactou outras organizações de segurança de computadores ao redor do globo, incluindo a US-CERT. Depois de mais algumas semanas de estudos realizados pela equipe de Looi, constatou-se que a falha era, de fato, fatal. Imediatamente, Looi e seus alunos, as CERTs e grandes fabricantes de dispositivos wireless tentaram exaustivamente encontrar uma solução para tal falha e todos chegaram a mesma conclusão de que o problema era irreparável. A vulnerabilidade reside no protocolo de rede sem fio 802.11, que usa um algoritmo chamado Clear Channel Assessment (CCA) para determinar se canais de rádio estão livres de modo que os dispositivos wireless possam usá-los para transmitir dados. O grupo descobriu que o algoritmo CCA, que trabalha em conjunto com a transmissão Direct Sequence Spread Spectrum (DSSS) [14], era vulnerável a um ataque relativamente simples, que consistia, a grosso modo, no disparo de um certo tipo de sinal de rádio que fazia com que o CCA acreditasse que os canais de 12 transmissão estavam sempre ocupados. Como resultado, nenhum dispositivo no alcance deste sinal (jamming signal) conseguiria transmitir dados. Ao contrário do jamming tradicional [15], a exploração da falha no CCA (camada física) não requer mais poder do que a operação normal de um dispositivo wireless. De fato, o ataque pode ser implementado por uma placa de rede modificada de $35 e um laptop (ou até um PDA que tenha suporte à transmissão wireless). Devido a natureza low-power do ataque, localizar a estação maliciosa é quase impossível. Surpreendemente, este ataque é capaz de desativar todas as transmissões wireless num raio de um quilômetro em um intervalo de cinco a oito segundos. Os padrões IEEE 802.11, 802.11b e 802.11g (com banda inferior a 20Mbps) são todos vulneráveis – isto significa que quase todas as redes wireless são afetadas, já que estes padrões são os mais populares. Ademais, o ataque opera no nível do hardware, de maneira que WEP, WPA e WPA2 não tem nenhum efeito. Segundo o professor Looi, qualquer organização que continuar a utilizar o IEEE 802.11b para operar infraestrutura crítica pode ser considerada negligente. A falha descoberta é herdada do padrão IEEE 802.11 e de seu uso do algoritmo CCA, de forma que não depende da implementação específica da rede. Até o momento, acredita-se não existir solução para a falha. O professor acrescenta que, em geral, é impossível proteger totalmente uma rede sem fio contra ataques de DoS baseados em jamming de frequências de rádio. 4 - Conclusão Apesar das notórias qualidades das redes sem fio, devemos considerar com cautela a sua adoção. Devido a especial suscetibilidade a ataques de DoS, aplicações de missão crítica não devem depender exclusivamente de tecnologia Wi-Fi para transmissão de dados. Vale ressaltar também que outras formas de ataque não abordadas neste trabalho, como man-in-the-middle attack, podem provocar sérios danos de propriedade (como roubo de informações confidenciais). Também, conforme [16], ultimamente diversos hot-spots tem sido alvo de ataques por hackers. Assim, embora os recursos e baixo custo desta tecnologia sejam consideravelmente atraentes, devemos estar cientes das suas limitações de segurança, robustez e disponibilidade. 13 5 - Referências 1. KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet. 3ª edição, Addison-Wesley 2006 2. 802.11 Tutorial. Disponível em <http://www.geocities.com/backgndtest/wlan_tut.html>. Acesso em: dezembro/2008. 3. IEEE 802.11. Disponível em <http://pt.wikipedia.org/wiki/IEEE_802.11>. Acesso em: dezembro/2008. 4. Replay Protection. Disponível em <http://www.mobile.ifi.lmu.de/common/Literatur/MNMPub/Fopras/treu03/HTMLVersion/node28.html>. Acesso em: dezembro/2008. 5. Bit-flipping Attack. Disponível em <http://hq.alert.sk/~wilder/CVTSS/foil12.html>. Acesso em: dezembro/2008. 6. Practical attacks against WEP and WPA. Disponível em: <http://dl.aircrack-ng.org/breakingwepandwpa.pdf>. Acesso em: dezembro/2008. 7. Knowledge Center – WPA2 (Wi-Fi Protected Access 2). Disponível em: <http://www.wi-fi.org/knowledge_center/wpa2>. Acesso em: dezembro/2008 8. Denial-of-service Attack. Disponível em: <http://en.wikipedia.org/wiki/Denial-of-service_attack>. Acesso em: dezembro/2008 9. BERNASCHI, Massimo; FERRERI Francesco; VALCAMONICI Leonardo. Access points vulnerabilities to DoS attacks in 802.11 networks. Springer Science+Business Media, LLC 2006 10. BELLARDO, J.; SAVAGE S. 802.11 Denial-of-Service Attacks. Real vulnerabilities and practical solutions, em: Proceedings of the 12th USENIX Security Symposium, Washington, D.C. (Agosto 2003) 11. Host AP driver for Intersil Prism2/2.5/3, hostapd, and WPA Supplicant. Disponível em: <http://hostap.epitest.fi>. Acesso em: dezembro/2008 12. Netlink Sockets – Overview. Disponível em: <http://qos.ittc.ku.edu/netlink/html/>. Acesso em: dezembro/2008 13. Living in Wireless Denial. Disponível em: <http://www.cio.com.au/index.php/id;533928229;pp;1>. Acesso em: dezembro/2008 14. Direct Sequence Spread Spectrum. Disponível em: <http://www.ele.uri.edu/Courses/ele436/labs/DSSS.pdf>. Acesso em: dezembro/2008 15. Radio jamming. Disponível em <http://en.wikipedia.org/wiki/Radio_jamming>. Acesso em: dezembro/2008 14 16. Hackers target wi-fi hotspots in new phishing attack. Disponível em <http://technology.timesonline.co.uk/tol/news/tech_and_web/the_web/article1728634 .ece>. Acesso em: dezembro/2008. 15