Segurança verissimo@ravel.ufrj.br ernando Verissimo http://www.ravel.ufrj.br/~verissimo rientação : Prof. Luís elipe M. de Moraes moraes@cos.ufrj.br http://www.cos.ufrj.br/~moraes presentação para o G Grupo de tuação em edes sem io eferências Bibliográficas. Barbosa,.S. and e Moraes, L..M. urso de Sistemas de Segurança de Informação.. Borisov,., Goldberg, I. nd Wagner,.. Intercepting Mobile ommunications: The Insecurity of 8.. The Seventh nnual International onference on Mobile omputing and etworking. July 6-,, ome, Italy.. ampello,.s. and Weber,.. Minicurso de Sistemas de etecção de Intruso. In: 9º Simpósio Brasileiro de edes de omputadores. lorianópolis, a 5 de maio de. 4. e arvalho,.b.. Segurança de ados com riptografia: Métodos e lgoritmos. io de Janeiro:Book xpress; 5. llison,.. xploiting and Protecting 8.b Wireless etworks. In: xtremetech. Sep. 4, ; 6. luhrer, S., Mantin, I. nd Shamir,.. Weakness in the Key Scheduling lgorithm of 4. Presented at 8th nnual Workshop on Selected reas in ryptography. pp; eferências Bibliográficas 7. Mariano, I. a S.. IPSec e os, spectos de Segurança em edes TP/IP. Seminário de Tópicos speciais em edes Integradas aixa Larga. PP/Sistemas. 8. Meredith, G.. Securing the Wireless L. Packet magazine. vol. no. Pp 74-77. 9. egus, K.J., Stephens,.P. and Lansford, J. Home: Wireless etworking for the onnected Home. http://www.homerf.org. rman, H. K. The KLY Key etermination Protocol. http://www.imib.med.tu-dresden.de/imib/internet/literatur/iskmp/draftietf-ipsec-oakley-.txt. Last ccess: 6-ec-.. Paulson, L... xploring the Wireless Lscape. omputer Magazine, utubro/. Shannon,.. 948. Mathematical Theory of ommunication. The Bell System Technical Journal. Vo.7,pp.79-4, 6-656,Julho,utubro de 948.
eferências Bibliográficas. Soares, L..G., Lemos, G. and olcher, S. 995. edes de omputadores: das Ls, Ms e Ws às redes TM. io de Janeiro: ampus. 4. Stallings, W. 998. ryptography and etwork Security. nd ed. ew Jersey: Prantice-Hall. pp. 9-9;99-44; 5. Stubblefield,., Ioannidis, J. and ubin,... Using the luhrer, Mantin, and Shamir ttack to Break WP. T T& T Labs Technical eport T-4ZPZZ. ev.. ug., ; 6. Tanembaum,.S. 944. edes de omputadores. 997.Tradução da Terceira dição. io de Janeiro:ampus. 7. Terada,.. Segurança de ados: riptografia em edes de omputadores. São Paulo:dgard Blücher. riptografia riptografia Surgiu da necessidade de se enviar informações sensíveis através de meios de comunicação não confiáveis. forma de contornar esse problema é utilizar um método que modifique o texto original através de um processo de codificação definido por um método de criptografia. riptografia É a idéia de esconder ou camuflar informações sigilosas de qualquer pessoa desautorizadas a lê-las, isto é, de qualquer pessoa que não conheça a chave secreta de criptografia
riptografia Texto normal P Método de riptografia/ Procedimento de odificação Texto riptografado Método de riptografia/ Procedimento de odificação Texto normal P riptografia omo foi apresentado na figura anterior, bastaria ao hacker ou o cracker descobrir o método de criptografia e ele poderia acessar todas as informações. Um novo método de criptografia teria que ser construído. riptografia haves o método de criptografia com chaves, a saída do procedimento: texto criptografado, não é mais só função do texto normal, mas função da chave de codificação também. xiste uma chave de codificação e outra, que pode ser distinta ou não, chamada chave de decodificação. riptografia simétrica riptografia assimétrica
4 riptografia: ifra de æsar =MLYUHUKV have=9 --- Total de chaves=5 T S Q P M L K J I H M L K J I H G B G B Z Y X W V U Z Y X W V U T S Q P riptografia té o fim da década de 7, todos os algoritmos eram secretos. Hoje em dia, os algoritmos são abertos e, publicados, principalmente nas reuniões técnicas (YPT, nos U, e a UYPT) té hoje não se conhece um método matemático para provar que o algoritmo é seguro. riptografia: Substituição Simples Substituição simples =SBQIQG 5! chaves Z P J X W M S K I M L K J I H G B U L V H B Y T G Q Z Y X W V U T S Q P
riptografia ifra de Vigenère 5 5+ 7 H 4 4 4+4 8 S 7 7+ 5 4 + 5 + 6 4 +4 B 7 + 6 Q 8 4 4+ 4 have: Total de chaves=6 n, onde n é o tamanho da chave ifra de Vigenère-Vernam have não repete, do mesmo tam. riptografia Transposição n = 4 4 4 4 4 have: (,, 4, ) Total de chaves = n!- lgoritmo riptográfico omposição maioria dos algoritmos modernos consiste em compor várias funções, de forma que o resultado de uma seja o parâmetro da próxima. f (x)=t f (t )=t f n- (t n- )=t n- f n (t n- )=y 5
lgoritmo riptográfico S ata ncryption Standard esenvolvido pela IBM e adotado pelo governo americano. odifica blocos de 64 bits. algoritmo de codificação parametrizado por chave de 56 bits e possui estágios diferentes. Um dos principais problemas desse método e dos algoritmos de criptografia simétricos é a exigência que o transmissor e o receptor de uma mensagem conheçam a única chave secreta usada na codificação e na decodificação. lgoritmo riptográfico S (ivest-shamir-dleman) Método de criptografia assimétrico Baseia-se na dificuldade de se fatorar números grandes. Segundo os autores do método na sua publicação na Method for btaining igital Signatures and Public Key ryptosystems a fatoração de um número de dígitos leva aproximadamente 4 bilhões de anos em tempo de computação. WP Wired quivalent Privacy Utiliza a mesma chave para codificar e decodificar Possui três objetivos principais: onfidencialidade: Garantir que ninguém lerá a mensagem ontrole de cesso: Garantir que só pacotes confiáveis trafegarão pelo sistema. Integridade dos dados: Garantir que não haverá modificações na mensagem. 6
lgoritmo WP M Mensagem legível c(m) esultado da submis são de M à um algoritmo de checksum (), com intuito de garantir a integridade da mensagem P <M,c(M)> Submissão de P à um algoritmo de geração de n pseudo-aleatório (4), que recebe como parâmetro, a chave, k, e um vetor de inicialização, v lgoritmo WP M c(m) X = 4(v,k) v Texto Ilegível () 4 on s ipher 4 riado por on ivest em 987 Pertence hoje à S Security É um algoritmo de fluxo Gera ilimitados bytes pseudo-aleatórios Tem chave de tamanho variado 7
4 KS (Key Scheduling lgorithm) 4 recebe chave ch de n ch bits (máx.48) Tem que gerar S de 56 bytes (S=s,s,,s 55 ) lgortimo:. Para i de a 55 faz-se: a. s i i. Seja o vetor de 56 bytes(48 bits) K=(k,k,,k 55 ). opia a chpara K, bit a bit, repetindo-se quantas vezes forem necessárias 4. j 5. Seja t um byte 6. Para I de a 55 faz-se a. j (j+s i +k i ) mod 56 b. t s i c. s i s j d. s j t onte: [] S é uma permuta dos números de a 55 4 PG (Pseudo-andom Generating lgorithm). i. j. Seja t um byte 4. nquanto forem necessários bytes b aleatórios faz-se: a. i (i+) mod 56 b. j (j+s i ) mod 56 c. t s j d. s i s j e. s j t f. t (s i +s j ) mod 56 g. b s t h. byte aleatório seráb nálise da ragilidade do Protocolo WP aumento da chave faz o uso da força bruta quase impossível. isco da reutilização da chave composta = P 4( v, k) = P 4( v, k) ( P 4( v, k) ) ( P 4( v, k) ) P P B ( B) (B ) elembrando propriedades do X 8
nálise da ragilidade do Protocolo WP k é constante em todos os pacotes padrão WP recomenda (não exige) que v varie para cada pacote padrão não diz como gerar v, algumas implementações faz isso de forma pobre. v tem 4 bits de comprimento. Imagine uma implementação que envia pacotes de 5 bytes à uma taxa média de 5Mbps (o máximo é Mbps) e a cada envio de pacotes ele incrementa o v retornando a zero após o último valor. sse processo demorar menos de meio dia. Veja: 5Mbits 8 5 46 pac/ s 4 46 4.9s ou hm 5% de chances de colisão depois de 48 pacotes nálise da ragilidade do Protocolo WP om o tempo o criptoanalista pode criar um dicionário de chaves compostas. Supondo um pacote de 5 bytes com 4 diferentes valores de v, o espaço necessário para montar o dicionário é de 4GB s se dicionário não depende do valor de k, mas somente de v. nálise da ragilidade do Protocolo WP utenticação de mensagem: WP usa o algoritmo de checksum para garantir a integridade. algoritmo utilizado é o -, que é criptografado junto com a mensagem. sse algoritmo é linear, ou seja, = 4( v, k) M, c( M ) M' = M =, c( ) = 4( v, k) M, c( M ), c( ) = = 4( v, k) M, c( M ) c( ) = 4( v, k) M', c( M ) c( ) = 4 ( v, k) M ', c( M ) 4 ( v, k) M ', c( M ' ) Tráfego novo também pode ser criado. 9
WP IV tem 8 bits permanece 5Mbits 8 5 46 pac/ s 8 46 Segundo ataque ao WP Baseado no artigo Using the luhrer, Mantin, and Shamir ttack to Break WP de Stubblefield et al escobriram uma correlação muito forte no primeiro byte da cadeia pseudoaleatória do algoritmo 4 com os bytes da chave; Também utilizaram o trabalho de Borisov, Goldberg e Wagner (Berkeley). ovas comprovações da vulnerabilidade do WP raig llison, da xtremetech, ric McIntyre, da TZ.com, hristopher Hose, da Stevens Tech University; les percorreram Manhathamcom um otebook, um cartão Wi-fi I8.b rinoco-gold, uma antena, bisbilhotando as redes. Utilizaram o etstumbler e o irsnort
esultados da pesquisa de campos Primeiro resultado mostrou que dos 6 pontos de acessos capturados pelo equipamento no quarteirão em que eles fizeram o primeiro teste, 48 deles não tinham o protocolo WP habilitado. /WP % /WP 44% S/WP 56% S/WP 79% Manhathan e Silicon Valley esultados da pesquisa de campos les pegaram uma rede ao acaso; HP dessa rede enviou um número IP; a mesma rede eles apontaram o browser do notebook para o roteador, que estava com a senha default do roteador. om o auxílio do GPS; P atrás do irewall P Intruso Laptop Laptop P omp. abeado ede abeada Internet irewall omp abeado Impressora
Sugestões para a melhoria da segurança Habilitar o WP. Todas as implementações vem utilizando tecnologia Wi-i; ltere o S SI dos produtos. les encontraram muitos roteadores com os S S I defaults, e por coinscidência, ou não, com as senhas defaults. não altere para coisa que estejam relacionadas com o nome da empresa, o nome da rua, nome do produto principal da empresa; esabilite a opção broadcast SSI. om o broadcast SSI habilitado, o ponto de acesso aceitará qualquer um SSI; vite colocar o ponto de acesso perto da janelas. Instale-o próximo ao centro do prédio; rie uma tabela de endereços M nos Ps; Sugestões para a melhoria da segurança Use um nível adicional de protocolo de autenticação (x.: IUS); esligue o serviço de HP para os dispositivos wireless. rie uma subrede diferente só para os dispositivos wireless; ão compre dispositivos de rede que só aceitem WP de 64 bits; Somente compre Ps que têm firmwares atualizáveis. xiste um grande número de melhorias sendo desenvolvidas e que você desejará atualizar no seu P. m defesa de ivest artigo Weaknesses in the Key Scheduling lgorithm of 4 diz que o algoritmo de seleção da chave é muito simples; on ivest responde que o que foi quebrado é o protocolo WP, e que o algoritmo 4, que está inserido em outros protocolos não é tão trivial; S aconselha uso de um algoritmo de segurança em camadas mais altas e a troca do por um algoritmo de espalhamento (hash), como por exemplo o M5; W (Wireless thernet compatibility lliance) diz já ter predito que uma camadade segurançaend-to-enddeveria ser instalada, mesmo se o WP não tivesse sido comprometido.
Passando a régua 4 é seguro? Porque o WP insiste com o 4 e não coloca um algoritmo mais seguro, como, por exemplo o 5 e M5 (ou SHS)? WP pode ser mais seguro? Soluções IS studarvp aminho do I PK [S] ast Packet Keying TKIP [W] Temporary Key Integrity Protocol IST/US quer S (dvanced ncryption Standard)