Хакинг. Хакинг__искусство_эксплоита_2_е_469663841. Книга дает полное представление о программировании, машин ной архитектуре, сетевых соединениях и хакерских приемах

487
0x784 Переадресация IP
Другой способ дешифровать зашифрованные пакеты – заставить точ- ку доступа саму выполнить всю работу. Обычно точки доступа беспро- водной связи имеют в том или ином виде доступ к Интернету, и в та- ких случаях возможна атака с помощью переадресации IP. Перехва- тывается зашифрованный пакет, и адрес получателя в нем изменяет- ся на IP-адрес, которым управляет атакующий, без всякого дешифро- вания пакетов. Модифицированный пакет отправляется обратно точке доступа, которая расшифрует его и отправит на IP-адрес атакующего.
Модификация пакета возможна потому, что контрольная сумма вы- числяется с помощью функции CRC32 – линейной и бесключевой. Бла- годаря этому пакет можно модифицировать так, что контрольная сум- ма сохранится.
Успешность этой атаки также требует знания IP-адресов отправителя и получателя. Эту информацию легко получить, основываясь на стан- дартных схемах IP-адресации во внутренних сетях. Определить адреса можно также благодаря случаям повторного использования ключево- го потока при коллизиях IV.
Как только становится известным IP-адрес получателя, его величина поразрядно XOR-складывается с нужным IP-адресом, и эта сумма по- разрядно XOR-складывается с определенным участком зашифрован- ного пакета. В результате сложения аннулируется IP-адрес получа- теля и остается сумма адреса атакующего и ключевого потока. Чтобы контрольная сумма осталась неизменной, надо особым образом моди- фицировать IP-адрес отправителя.
Допустим, адрес отправителя – 192.168.2.57, а адрес получателя –
192.168.2.1. Атакующий владеет адресом 123.45.67.89 и хочет пере- адресовать туда трафик. Эти IP-адреса задаются в пакете в двоичном виде как старшее и младшее 16-разрядные слова. Преобразования весьма просты:
IP отправителя = 192.168.2.57
S
H
= 192 × 256 + 168 = 50 344
S
L
= 2 × 256 + 57 = 569
IP получателя = 192.168.2.1
D
H
= 192 × 256 + 168 = 50 344
D
L
= 2 × 256 + 1 = 513
Новый IP = 123.45.67.89
N
H
= 123 × 256 + 45 = 31 533
N
L
= 67 × 256 + 89 = 17 241
Контрольная сумма изменится на N
H
+ N
L
– D
H
– D
L
, поэтому ее следу- ет вычесть из определенного места в пакете. Поскольку известен адрес

488
0x700 Криптология отправителя, который не имеет особого значения, можно взять млад- шее 16-разрядное слово из этого адреса:
S’
L
= S
L
– (N
H
+ N
L
– D
H
– D
L
)
S’
L
= 569 – (31 533 + 17 241 – 50 344 – 513)
S’
L
= 2652
Следовательно, новым IP-адресом отправителя становится 192.168.
10.92. Адрес отправителя в зашифрованном пакете можно модифици- ровать с помощью того же приема с XOR, после чего контрольные сум- мы должны совпасть. После отправки пакета в точку беспроводного до- ступа он будет расшифрован и направлен в 123.45.67.89, где его может взять атакующий.
Если атакующий имеет возможность управлять пакетами во всей сети класса B, не надо даже модифицировать адрес отправителя. Если пред- положить, что он управляет всем диапазоном адресов 123.45.X.X, то можно выбрать младшее 16-разрядное слово IP-адреса так, что не при- дется изменять контрольную сумму. Если N
L
= D
H
+ D
L
– N
H
, то кон- трольная сумма не изменится. Например:
N
L
= D
H
+ D
L
– N
H
N
L
= 50 344 + 513 – 31 533
N’
L
= 82 390
Новым IP-адресом получателя будет 123.45.75.124.
0x785 Атака Флурера-Мантина-Шамира (FMS)
Атака Флурера-Мантина-Шамира (Fluhrer-Mantin-Shamir), или FMS- атака, чаще всего применяется против WEP и стала популярной бла- годаря таким средствам, как AirSnort. Это совершенно поразитель- ная атака. Она основана на слабости алгоритма развертывания ключей в RC4 и использовании IV.
Есть слабые значения IV, из-за которых информация о секретном клю- че попадает в первый байт ключевого потока. Поскольку один и тот же ключ многократно используется с разными IV, собрав достаточное ко- личество пакетов со слабыми IV и зная первый байт ключевого потока, можно определить ключ. Удачно, что первый байт пакета 802.11b – это
SNAP-заголовок, который почти всегда равен 0xAA. Это означает, что первый байт ключевого потока легко получить, поразрядно прибавив к первому зашифрованному байту 0xAA.
Теперь надо найти слабые IV. Размер IV в WEP составляет 24 бита, или три байта. Слабые IV имеют вид (A + 3, N – 1, X), где A – это номер взла- мываемого байта ключа, N = 256 (потому что RC4 действует по модулю
256), а X может принимать любое значение. Таким образом, для взло- ма нулевого байта ключевого потока используются 256 слабых IV вида
(3, 255, X), где X находится в диапазоне от 0 до 255. Байты ключа надо

0x780 Атаки на WEP
489
взламывать по порядку, то есть первый байт нельзя взломать, пока не станет известен нулевой.
Собственно алгоритм взлома довольно прост. Сначала он проходит
A + 3 шагов алгоритма развертывания ключа (KSA). Это можно сде- лать, не зная ключа, потому что IV занимает первые три байта масси- ва K. Если известен нулевой байт ключа и A = 1, то KSA можно продол- жить, выполнив четвертый шаг, потому что станут известны первые четыре байта массива K.
Если в результате на последнем шаге будут изменены S[0] или S[1], вся попытка прекращается. Проще говоря, попытку следует прекра- тить, если j окажется меньше 2. В противном случае берем значения j и S[A + 3] и вычитаем их из первого байта ключевого потока, разуме- ется, по модулю 256. Полученное значение будет верным байтом клю- ча примерно в 5% случаев и фактически случайным в остальных 95%.
Если взять достаточное количество слабых IV (с разными значения- ми X), можно правильно определить байт ключа. Чтобы вероятность определения превысила 50%, достаточно иметь около 60 IV. Опреде- лив байт ключа, всю процедуру надо повторить для определения сле- дующего байта, и так пока не будет взломан весь ключ.
В иллюстративных целях мы масштабируем RC4, сделав N равным 16, а не 256. Это значит, что операции будут выполняться по модулю 16, а не 256, и все массивы будут из 16 «байт» по 4 бита вместо 256 настоя- щих байт.
Предположим, что ключ равен (1, 2, 3, 4, 5) и взламывается нулевой байт ключа, то есть A = 0. Тогда слабые IV будут иметь вид (3, 15, X).
В данном примере X = 2, поэтому начальное значение – (3, 15, 2, 1, 2,
3, 4, 5). Исходя из этого значения первым байтом выходного ключево- го потока станет 9.
Выход = 9
A = 0
IV = 3, 15, 2
Ключ = 1, 2, 3, 4, 5
Начальное значение = конкатенация IV и ключа
K[ ] = 3 15 2 X X X X X 3 15 2 X X X X X
S[ ] = 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Поскольку ключ в данный момент неизвестен, в массив K записывает- ся то, что известно, а в массив S – последовательные числа от 0 до 15.
Затем j присваивается начальное значение 0 и выполняются три пер- вые шага KSA. Напомним, что все вычисления выполняются по моду- лю 16.

490
0x700 Криптология
KSA, шаг первый:
i = 0
j = j + S[i] + K[i]
j = 0 + 0 + 3 = 3
Поменять местами S[i] и S[j]
K[ ] = 3 15 2 X X X X X 3 15 2 X X X X X
S[ ] = 3 1 2 0 4 5 6 7 8 9 10 11 12 13 14 15
KSA, шаг второй:
i = 1
j = j + S[i]+ K[i]
j = 3 + 1 + 15 = 3
Поменять местами S[i]и S[j]
K[ ] = 3 15 2 X X X X X 3 15 2 X X X X X
S[ ] = 3 0 2 1 4 5 6 7 8 9 10 11 12 13 14 15
KSA, шаг третий:
i = 2
j = j + S[i] + K[i]
j = 3 + 2 + 2 = 7
Поменять местами S[i] и S[j]
K[ ] = 3 15 2 X X X X X 3 15 2 X X X X X
S[ ] = 3 0 7 1 4 5 6 2 8 9 10 11 12 13 14 15
Полученное j не меньше 2, поэтому можно продолжить процедуру.
S[3] = 1, j = 7, и первый байт ключевого потока равен 9. Поэтому нуле- вой байт ключа должен быть равен 9 – 7 – 1 = 1.
Исходя из этих данных можно определить следующий байт ключа, выбирая IV вида (4, 15, X) и прокручивая KSA через четвертый шаг.
Пусть IV равен (4, 15, 9), а первый байт ключевого потока – 6.
Выход = 6
A = 0
IV = 4, 15,9
Ключ = 1, 2, 3, 4, 5
Начальное значение = конкатенация IV и ключа
K[ ] = 4 15 9 1 X X X X 4 15 9 1 X X X X
S[ ] = 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

0x780 Атаки на WEP
491
KSA, шаг первый:
i = 0
j = j + S[i] + K[i]
j = 0 + 0 + 4 = 4
Поменять местами S[i] и S[j]
K[ ] = 4 15 9 1 X X X X 4 15 9 1 X X X X
S[ ] = 4 1 2 3 0 5 6 7 8 9 10 11 12 13 14 15
KSA, шаг второй:
i = 1
j = j + S[i]+ K[i]
j = 4 + 1 + 15 = 4
Поменять местами S[i]и S[j]
K[ ] = 4 15 9 1 X X X X 4 15 9 1 X X X X
S[ ] = 4 0 2 3 1 5 6 7 8 9 10 11 12 13 14 15
KSA, шаг третий:
i = 2
j = j + S[i] + K[i]
j = 4 + 2 + 9 = 15
Поменять местами S[i] и S[j]
K[ ] = 4 15 9 1 X X X X 4 15 9 1 X X X X
S[ ] = 4 0 15 3 1 5 6 7 8 9 10 11 12 13 14 2
KSA, шаг четвертый:
i = 3
j = j + S[i] + K[i]
j = 15+ 3 + 1 = 3
Поменять местами S[i] и
S[j]
K[ ] = 4 15 9 1 X X X X 4 15 9 1 X X X X
S[ ] = 4 0 15 3 1 5 6 7 8 9 10 11 12 13 14 2
Выход – j – S[4] = key[1]
6 – 3 – 1 =2
И снова правильно определен байт ключа. Конечно, для наглядности значения X были специально подобраны. Получить подлинное пред- ставление о статистическом характере атаки полной реализации RC4 можно из следующего исходного кода.

492
0x700 Криптология
fms.c
#include
/* Поточный шифр RC4 */
int RC4(int *IV, int *key) {
int K[256];
int S[256];
int seed[16];
int i, j, k, t;
// Начальное заполнение = IV + ключ;
for(k=0; k<3; k++)
seed[k] = IV[k];
for(k=0; k<13; k++)
seed[k+3] = key[k];
// -= Алгоритм развертывания ключей (KSA) =-
// Инициализация массивов.
for(k=0; k<256; k++) {
S[k] = k;
K[k] = seed[k%16];
}
j=0;
for(i=0; i < 256; i++) {
j = (j + S[i] + K[i])%256;
t=S[i]; S[i]=S[j]; S[j]=t; // Поменять местами(S[i], S[j]);
}
// Первый этап PRGA для первого байта ключевого потока i = 0;
j = 0;
i = i + 1;
j = j + S[i];
t=S[i]; S[i]=S[j]; S[j]=t; // Поменять местами(S[i], S[j]);
k = (S[i] + S[j])%256;
return S[k];
}
int main(int argc, char *argv[]) {
int K[256];
int S[256];
int IV[3];
int key[13] = {1, 2, 3, 4, 5, 66, 75, 123, 99, 100, 123, 43, 213};
int seed[16];

0x780 Атаки на WEP
493
int N = 256;
int i, j, k, t, x, A;
int keystream, keybyte;
int max_result, max_count;
int results[256];
int known_j, known_S;
if(argc < 2) {
printf(“Usage: %s \n”, argv[0]);
exit(0);
}
A = atoi(argv[1]);
if((A > 12) || (A < 0)) {
printf(“keybyte must be from 0 to 12.\n”);
exit(0);
}
for(k=0; k < 256; k++)
results[k] = 0;
IV[0] = A + 3;
IV[1] = N - 1;
for(x=0; x < 256; x++) {
IV[2] = x;
keystream = RC4(IV, key);
printf(“Using IV: (%d, %d, %d), first keystream byte is %u\n”,
IV[0], IV[1], IV[2], keystream);
printf(“Doing the first %d steps of KSA.. “, A+3);
// Начальное заполнение = IV + ключ;
for(k=0; k<3; k++)
seed[k] = IV[k];
for(k=0; k<13; k++)
seed[k+3] = key[k];
// -= Алгоритм развертывания ключей (KSA) =-
// Инициализация массивов.
for(k=0; k<256; k++) {
S[k] = k;
K[k] = seed[k%16];
}
j=0;
for(i=0; i < (A + 3); i++) {
j = (j + S[i] + K[i])%256;
t = S[i];

494
0x700 Криптология
S[i] = S[j];
S[j] = t;
}
if(j < 2) { // Если j < 2, то S[0] или S[1] изменилось.
printf(“S[0] or S[1] have been disturbed, discarding..\n”);
} else {
known_j = j;
known_S = S[A+3];
printf(“at KSA iteration #%d, j=%d and S[%d]=%d\n”,
A+3, known_j, A+3, known_S);
keybyte = keystream - known_j - known_S;
while(keybyte < 0)
keybyte = keybyte + 256;
printf(“key[%d] prediction = %d - %d - %d = %d\n”,
A, keystream, known_j, known_S, keybyte);
results[keybyte] = results[keybyte] + 1;
}
}
max_result = -1;
max_count = 0;
for(k=0; k < 256; k++) {
if(max_count < results[k]) {
max_count = results[k];
max_result = k;
}
}
printf(“\nFrequency table for key[%d] (* = most frequent)\n”, A);
for(k=0; k < 32; k++) {
for(i=0; i < 8; i++) {
t = k+i*32;
if(max_result == t)
printf(“%3d %2d*| “, t, results[t]);
else printf(“%3d %2d | “, t, results[t]);
}
printf(“\n”);
}
printf(“\n[Actual Key] = (“);
for(k=0; k < 12; k++)
printf(“%d, “,key[k]);
printf(“%d)\n”, key[12]);
printf(“key[%d] is probably %d\n”, A, max_result);
}
Этот код осуществляет FMS-атаку на 128-разрядный WEP (104-разряд- ный ключ, 24 бита IV), используя все возможные значения X. Един-

0x780 Атаки на WEP
495
ственный аргумент – атакуемый байт ключа, а сам ключ жестко зашит в массиве key. Следующий листинг показывает компиляцию и выпол- нение кода fms.c для взлома ключа RC4.
reader@hacking: