Phương Các Khách hàng
Hiện nay đại diện trong không gian bảo mật không dây là rủi ro cho khách hàng.
Khách hàng có thể được bảo đảm khi kết nối với mạng lưới "cơ sở" của họ (ví dụ, một mạnh mẽ
bảo đảm mạng WPA2-Enterprise tại văn phòng công ty), hệ thống tuy nhiên không dây
(Thường) cũng hệ thống điện thoại di động, và sau đó được đặt trong tay của những người dùng đưa họ
nhà, đến hiệu sách, tới quán cà phê, sân bay, vv Một số rủi ro vẫn còn ngay cả đối với
người được đào tạo (hoặc uỷ quyền) sử dụng một VPN hoặc tecnology tương tự.
Dịch vụ mà giữ lại nhà nước qua các biên giới an ninh là dễ bị tấn công
từ mở mạng. Như được thể hiện bởi Rsnake / Robert Hanson trong "RFC 1918" xanh "
(Http://www.sectheory.com/rfc1918-security-issues.htm), một tiếp xúc có ý nghĩa tồn tại trong
cơ chế trình duyệt bộ nhớ đệm.
Nếu kẻ tấn công có thể kiểm soát cả các máy chủ từ xa và điều khiển bộ nhớ cache của một
trang web, một trang độc hại có thể được lưu trữ bởi trình duyệt trên các lĩnh vực an ninh.
Khi lưu trữ, trang web được tải từ bộ nhớ cache của địa phương, ngay cả khi người sử dụng không còn
trong vòng kiểm soát của kẻ tấn công.
Để thực hiện điều này trên 802.11, chúng tôi tìm đến một công cụ lớn tuổi hơn. Ra mắt tại Defcon
nhiều năm trước của bánh mì nướng, AirPwn thực hiện phiên TCP cướp qua mạng không dây.
Bằng cách cập nhật công cụ này và tích hợp với Metasploit, chúng tôi tận dụng các fledxibility của
MSF và LORCON2.
TCP Hijacking
Các methodolgy cơ bản sử dụng cho TCP cướp là giống hệt nhau để tấn công lịch sử
chống lại phiên TCP. Một phiên TCP chỉ là "an toàn" chống lại cuộc tấn công trong nhiều như các
trình tự và thừa nhận con số chưa được biết đến một kẻ tấn công. Trên một mở,
chia sẻ mạng lưới phương tiện truyền thông này không còn là trường hợp. Các hijack phiên TCP được thực hiện
như một điều kiện man-in-the-middle đua, dựa trên thực tế là các máy chủ HTTP từ xa
có khả năng là xa hơn so với những kẻ tấn công.
Một phiên HTTP tiêu biểu:
Khách hàng → Server "GET /foo.html HTTP / 1.0"
chuỗi 123 ack 456
Máy chủ ← Client "Content-Length: 123 Content-Type: Text / HTML <html> ..."
chuỗi 456 ack 145
Một phiên HTTP như được thấy bởi Airpwn-MSF:
Khách hàng → Server "GET /foo.html HTTP / 1.0"
chuỗi 123 ack 456
Airpwn (giả mạo máy chủ) ← Client "Content-Length: 200 Content-Type:
Text / HTML nội dung trang độc hại ... "
Trình tự 456 ack 145
Airpwn (spoofing khách hàng) → Server "FIN!"
Airpwn (giả mạo máy chủ) ← Client "Fin!"
Server (Bỏ qua dữ liệu ngoài tự) ← Client "Content-Length: 123 ContentType:
Text / HTML <html> ... "
chuỗi 456 ack 145
Tác động của TCP Suối Hijacking
TCP stream cướp cho phép kẻ tấn công trong phạm vi WiFi của nạn nhân
thay thế bất kỳ dòng nội dung được mã hóa trong một cách mà nạn nhân không hề biết.
Tập trung vào các tác động đến các ứng dụng web:
1. Kiểm soát Cache. các cuộc tấn công phiên TCP cho phép kiểm soát các tiêu đề HTTP, mà
xác định các tùy chọn điều khiển bộ nhớ cache. nội dung Malcious có thể được lưu trữ trong bộ nhớ cache nạn nhân
khai thác trong tương lai.
2. khai thác trực tiếp của lỗ hổng trình duyệt. Bằng cách chèn nội dung độc hại trong
nếu không "đáng tin cậy" hay "lành tính" trang web thông qua phiên TCP cướp, trình duyệt trực tiếp
khai thác lỗ hổng trở thành có thể.
3. Kiểm soát hoàn toàn của DOM. Khi malcious Javascript được chèn vào một trang,
kiểm soát complte của trang được trao cho những kẻ tấn công. các cuộc tấn công viết lại ví dụ DOM
bao gồm:
1. Viết lại các liên kết để loại bỏ mã hóa (liên kết viết lại HTTP POST và cho HTTP
thay vì HTTPS), cho phép kẻ tấn công để sniff thông tin đăng nhập.
2. Viết lại các chỉ tiêu nộp form với một người kinh nghiệm khai thác gỗ, cho phép kẻ tấn công
truy cập tương tự để đăng nhập chi tiết.
3. Xuất khẩu dữ liệu cookie để một logger bên ngoài, cho phép truy cập tấn công người dùng
phiên.
4. thay thế động của nội dung trang web, cho phép một cơ hội để tấn công
thao tác các mục tin tức, báo cáo chứng khoán, báo cáo ngân hàng, hoặc nội dung khác như xem bởi
nạn nhân.
Các cuộc tấn công bộ nhớ cache kiểm soát
Các cuộc tấn công phiên TCP chống lại các dòng HTTP cho phép điều khiển của HTTP
tiêu đề, trong đó xác định các tùy chọn điều khiển bộ nhớ cache: Các tùy chọn đáp ứng HTTP "Cachecontrol"
và "Hết hạn" kiểm soát việc lưu giữ trình duyệt.
Bằng cách kiểm soát bộ nhớ cache của trình duyệt nạn nhân, nội dung độc hại có thể được lưu trữ
để sử dụng trong tương lai. Thao tác với bộ nhớ cache của các trang xem xét bởi người sử dụng như "lành tính" hoặc
"Không an toàn" cho phép kẻ tấn công truy cập trong tương lai cho các trình duyệt trong perimiter an toàn.
Ngộ độc bằng cách sử dụng Javascript trang "dàn dựng" cho phép điều khiển phức tạp trong tương lai
hoạt động: Cụ thể, bằng cách sử dụng Javascript cache để tự động tải những sự thật,
nội dung nước ngoài của các trang mục tiêu, sau đó viết lại nó trước khi thay thế các hiện đã được xem
tài liệu với nội dung "hợp pháp".
Kết hợp các kỹ thuật dàn dựng với một trang web từ xa điều khiển bởi những kẻ tấn công
cho phép các cuộc tấn công trong tương lai sẽ được tự động chèn vào các trang được xem bởi người dùng cho là
miễn là trang dàn dựng vẫn được lưu trữ: Ví dụ, các cuộc tấn công trình duyệt chưa được vá có thể
được thừa hưởng đối với khách hàng trong vòng một perimiter "an toàn" khi họ đã được cachepoisoned
thông qua một mạng không an toàn:
1. Người sử dụng có máy tính xách tay từ một vị trí an toàn đến một vị trí không an toàn (của công ty
mạng đến quán cà phê WiFi)
2. User duyệt đến một trang web không tin cậy (mạng xã hội, chia sẻ hình ảnh, tin tức). nơi
không cần phải yêu cầu thông tin.
3. MSF-Airpwn sử dụng để nạn nhân chất độc với cache trang "người kinh nghiệm". Dùng thấy gốc
nội dung và không có gì thay đổi. Nội dung được thực sự được nạp tự động bởi cache
Javascript. L ngưới đang kiểm tra trang web của kẻ tấn công để cập nhật từng trang mục tiêu thời gian là
nạp vào.
4. Ký trả để bảo đảm vị trí
5. lỗ hổng chưa được vá của trình duyệt được tiếp xúc. Attacker đặt mã tấn công trên
công khai trang web truy cập mã hóa thành người kinh nghiệm.
6. Thời gian tới, các người dùng xem cùng một trang web, mã tấn công được thực hiện, cho phép một
kẻ tấn công một đường dẫn vào mạng an toàn. mã tấn công có thể được gửi qua HTTPS để tránh
phát hiện bởi hệ thống IDS mạng an toàn (nên phát hiện cho các lỗ hổng tồn tại).
Các cuộc tấn công Dự báo chi tiết bộ nhớ cache
Các cuộc tấn công như đã thảo luận cho đến nay đòi hỏi các nạn nhân để truy cập vào một trang web từ một không an toàn
mạng mà không có một VPN. Trong khi điều này có khả năng là đa số người dùng, những con đường tấn công
hiện hữu:
1. Người sử dụng có máy tính xách tay từ vị trí an toàn đến địa điểm an toàn.
2. lần User hotspot hạ cánh / EULA / trang đăng nhập.
trang đích 3. Kẻ tấn công độc hotspot qua TCP session hijacking.
4. nhiễm độc tải trang hotspot trang web "có khả năng" trong nền trong khi người dùng
đang đăng nhập.
5. độc Attacker các trang web tải bởi các điểm nóng. mã cải tiến có thể được sử dụng trong
hotspot để phát hiện nếu các cuộc tấn công TCP đổ xuống, và lại yêu cầu trang cho đến khi cuộc đua tấn công
điều kiện được đáp ứng.
6. Nạn nhân chuyển sang VPN.
7. Trang thăm nạn nhân bị ngộ độc bởi các mã hotspot người kinh nghiệm.
8. Nạn nhân đã được lưu đang l ngưới cho trang web do đoán cơ hội.
Cảm tạ
Đặc biệt cảm ơn mọi người đã giúp đỡ, lắng nghe rants, và đóng góp ý kiến,
đặc biệt là HD Moore, Rsnake, bánh mì nướng, Jesse Burns, và Renderman.
http://www.blackhat.com/presentations/bh-dc-10/Kershaw_Mike/BlackHat-DC-2010-Kershaw-dragorn-wifi-security-wp.pdf
Khách hàng có thể được bảo đảm khi kết nối với mạng lưới "cơ sở" của họ (ví dụ, một mạnh mẽ
bảo đảm mạng WPA2-Enterprise tại văn phòng công ty), hệ thống tuy nhiên không dây
(Thường) cũng hệ thống điện thoại di động, và sau đó được đặt trong tay của những người dùng đưa họ
nhà, đến hiệu sách, tới quán cà phê, sân bay, vv Một số rủi ro vẫn còn ngay cả đối với
người được đào tạo (hoặc uỷ quyền) sử dụng một VPN hoặc tecnology tương tự.
Dịch vụ mà giữ lại nhà nước qua các biên giới an ninh là dễ bị tấn công
từ mở mạng. Như được thể hiện bởi Rsnake / Robert Hanson trong "RFC 1918" xanh "
(Http://www.sectheory.com/rfc1918-security-issues.htm), một tiếp xúc có ý nghĩa tồn tại trong
cơ chế trình duyệt bộ nhớ đệm.
Nếu kẻ tấn công có thể kiểm soát cả các máy chủ từ xa và điều khiển bộ nhớ cache của một
trang web, một trang độc hại có thể được lưu trữ bởi trình duyệt trên các lĩnh vực an ninh.
Khi lưu trữ, trang web được tải từ bộ nhớ cache của địa phương, ngay cả khi người sử dụng không còn
trong vòng kiểm soát của kẻ tấn công.
Để thực hiện điều này trên 802.11, chúng tôi tìm đến một công cụ lớn tuổi hơn. Ra mắt tại Defcon
nhiều năm trước của bánh mì nướng, AirPwn thực hiện phiên TCP cướp qua mạng không dây.
Bằng cách cập nhật công cụ này và tích hợp với Metasploit, chúng tôi tận dụng các fledxibility của
MSF và LORCON2.
TCP Hijacking
Các methodolgy cơ bản sử dụng cho TCP cướp là giống hệt nhau để tấn công lịch sử
chống lại phiên TCP. Một phiên TCP chỉ là "an toàn" chống lại cuộc tấn công trong nhiều như các
trình tự và thừa nhận con số chưa được biết đến một kẻ tấn công. Trên một mở,
chia sẻ mạng lưới phương tiện truyền thông này không còn là trường hợp. Các hijack phiên TCP được thực hiện
như một điều kiện man-in-the-middle đua, dựa trên thực tế là các máy chủ HTTP từ xa
có khả năng là xa hơn so với những kẻ tấn công.
Một phiên HTTP tiêu biểu:
Khách hàng → Server "GET /foo.html HTTP / 1.0"
chuỗi 123 ack 456
Máy chủ ← Client "Content-Length: 123 Content-Type: Text / HTML <html> ..."
chuỗi 456 ack 145
Một phiên HTTP như được thấy bởi Airpwn-MSF:
Khách hàng → Server "GET /foo.html HTTP / 1.0"
chuỗi 123 ack 456
Airpwn (giả mạo máy chủ) ← Client "Content-Length: 200 Content-Type:
Text / HTML nội dung trang độc hại ... "
Trình tự 456 ack 145
Airpwn (spoofing khách hàng) → Server "FIN!"
Airpwn (giả mạo máy chủ) ← Client "Fin!"
Server (Bỏ qua dữ liệu ngoài tự) ← Client "Content-Length: 123 ContentType:
Text / HTML <html> ... "
chuỗi 456 ack 145
Tác động của TCP Suối Hijacking
TCP stream cướp cho phép kẻ tấn công trong phạm vi WiFi của nạn nhân
thay thế bất kỳ dòng nội dung được mã hóa trong một cách mà nạn nhân không hề biết.
Tập trung vào các tác động đến các ứng dụng web:
1. Kiểm soát Cache. các cuộc tấn công phiên TCP cho phép kiểm soát các tiêu đề HTTP, mà
xác định các tùy chọn điều khiển bộ nhớ cache. nội dung Malcious có thể được lưu trữ trong bộ nhớ cache nạn nhân
khai thác trong tương lai.
2. khai thác trực tiếp của lỗ hổng trình duyệt. Bằng cách chèn nội dung độc hại trong
nếu không "đáng tin cậy" hay "lành tính" trang web thông qua phiên TCP cướp, trình duyệt trực tiếp
khai thác lỗ hổng trở thành có thể.
3. Kiểm soát hoàn toàn của DOM. Khi malcious Javascript được chèn vào một trang,
kiểm soát complte của trang được trao cho những kẻ tấn công. các cuộc tấn công viết lại ví dụ DOM
bao gồm:
1. Viết lại các liên kết để loại bỏ mã hóa (liên kết viết lại HTTP POST và cho HTTP
thay vì HTTPS), cho phép kẻ tấn công để sniff thông tin đăng nhập.
2. Viết lại các chỉ tiêu nộp form với một người kinh nghiệm khai thác gỗ, cho phép kẻ tấn công
truy cập tương tự để đăng nhập chi tiết.
3. Xuất khẩu dữ liệu cookie để một logger bên ngoài, cho phép truy cập tấn công người dùng
phiên.
4. thay thế động của nội dung trang web, cho phép một cơ hội để tấn công
thao tác các mục tin tức, báo cáo chứng khoán, báo cáo ngân hàng, hoặc nội dung khác như xem bởi
nạn nhân.
Các cuộc tấn công bộ nhớ cache kiểm soát
Các cuộc tấn công phiên TCP chống lại các dòng HTTP cho phép điều khiển của HTTP
tiêu đề, trong đó xác định các tùy chọn điều khiển bộ nhớ cache: Các tùy chọn đáp ứng HTTP "Cachecontrol"
và "Hết hạn" kiểm soát việc lưu giữ trình duyệt.
Bằng cách kiểm soát bộ nhớ cache của trình duyệt nạn nhân, nội dung độc hại có thể được lưu trữ
để sử dụng trong tương lai. Thao tác với bộ nhớ cache của các trang xem xét bởi người sử dụng như "lành tính" hoặc
"Không an toàn" cho phép kẻ tấn công truy cập trong tương lai cho các trình duyệt trong perimiter an toàn.
Ngộ độc bằng cách sử dụng Javascript trang "dàn dựng" cho phép điều khiển phức tạp trong tương lai
hoạt động: Cụ thể, bằng cách sử dụng Javascript cache để tự động tải những sự thật,
nội dung nước ngoài của các trang mục tiêu, sau đó viết lại nó trước khi thay thế các hiện đã được xem
tài liệu với nội dung "hợp pháp".
Kết hợp các kỹ thuật dàn dựng với một trang web từ xa điều khiển bởi những kẻ tấn công
cho phép các cuộc tấn công trong tương lai sẽ được tự động chèn vào các trang được xem bởi người dùng cho là
miễn là trang dàn dựng vẫn được lưu trữ: Ví dụ, các cuộc tấn công trình duyệt chưa được vá có thể
được thừa hưởng đối với khách hàng trong vòng một perimiter "an toàn" khi họ đã được cachepoisoned
thông qua một mạng không an toàn:
1. Người sử dụng có máy tính xách tay từ một vị trí an toàn đến một vị trí không an toàn (của công ty
mạng đến quán cà phê WiFi)
2. User duyệt đến một trang web không tin cậy (mạng xã hội, chia sẻ hình ảnh, tin tức). nơi
không cần phải yêu cầu thông tin.
3. MSF-Airpwn sử dụng để nạn nhân chất độc với cache trang "người kinh nghiệm". Dùng thấy gốc
nội dung và không có gì thay đổi. Nội dung được thực sự được nạp tự động bởi cache
Javascript. L ngưới đang kiểm tra trang web của kẻ tấn công để cập nhật từng trang mục tiêu thời gian là
nạp vào.
4. Ký trả để bảo đảm vị trí
5. lỗ hổng chưa được vá của trình duyệt được tiếp xúc. Attacker đặt mã tấn công trên
công khai trang web truy cập mã hóa thành người kinh nghiệm.
6. Thời gian tới, các người dùng xem cùng một trang web, mã tấn công được thực hiện, cho phép một
kẻ tấn công một đường dẫn vào mạng an toàn. mã tấn công có thể được gửi qua HTTPS để tránh
phát hiện bởi hệ thống IDS mạng an toàn (nên phát hiện cho các lỗ hổng tồn tại).
Các cuộc tấn công Dự báo chi tiết bộ nhớ cache
Các cuộc tấn công như đã thảo luận cho đến nay đòi hỏi các nạn nhân để truy cập vào một trang web từ một không an toàn
mạng mà không có một VPN. Trong khi điều này có khả năng là đa số người dùng, những con đường tấn công
hiện hữu:
1. Người sử dụng có máy tính xách tay từ vị trí an toàn đến địa điểm an toàn.
2. lần User hotspot hạ cánh / EULA / trang đăng nhập.
trang đích 3. Kẻ tấn công độc hotspot qua TCP session hijacking.
4. nhiễm độc tải trang hotspot trang web "có khả năng" trong nền trong khi người dùng
đang đăng nhập.
5. độc Attacker các trang web tải bởi các điểm nóng. mã cải tiến có thể được sử dụng trong
hotspot để phát hiện nếu các cuộc tấn công TCP đổ xuống, và lại yêu cầu trang cho đến khi cuộc đua tấn công
điều kiện được đáp ứng.
6. Nạn nhân chuyển sang VPN.
7. Trang thăm nạn nhân bị ngộ độc bởi các mã hotspot người kinh nghiệm.
8. Nạn nhân đã được lưu đang l ngưới cho trang web do đoán cơ hội.
Cảm tạ
Đặc biệt cảm ơn mọi người đã giúp đỡ, lắng nghe rants, và đóng góp ý kiến,
đặc biệt là HD Moore, Rsnake, bánh mì nướng, Jesse Burns, và Renderman.
http://www.blackhat.com/presentations/bh-dc-10/Kershaw_Mike/BlackHat-DC-2010-Kershaw-dragorn-wifi-security-wp.pdf
Comments
Post a Comment