Hole196漏洞

在今年召開的Defcon和BlackHat黑客大會(huì)上，這些安全高手們宣布他們已經(jīng)找到了WPA2安全協(xié)議的一個(gè)漏洞。Airtight公司的MdSohailAhmad發(fā)表一次叫做WPAToo的演講。這個(gè)演講展示了新發(fā)現(xiàn)的Hole196溢出漏洞。我知道這是一個(gè)很奇怪的名字。這個(gè)命名來自于IEEE802.11標(biāo)準(zhǔn)(2007年修訂本)第196頁描述的內(nèi)容。在該頁底部的說明中給Ahmad先生提供了他所需要的線索。其內(nèi)容如下：

“支持具有TKIP(動(dòng)態(tài)密鑰完整性協(xié)議)和CCMP(計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議)的成對(duì)密鑰可以讓一個(gè)接入的STA(無線工作站)檢測(cè)出欺騙和數(shù)據(jù)偽造的MAC地址。RSNA(固安網(wǎng)路連線)架構(gòu)綁定發(fā)送和接收地址到成對(duì)密鑰。如果攻擊者創(chuàng)建一個(gè)具有欺騙性TA(發(fā)送地址)的MPDU(管理協(xié)議數(shù)據(jù)單元)，那么接收者在解密過程中將會(huì)產(chǎn)生一個(gè)錯(cuò)誤。GTKs(組臨時(shí)密鑰)不具備這個(gè)屬性。”

這意味著什么?

顯然，Airtight公司的人在這次演講后對(duì)于這個(gè)溢出漏洞一直保持沉默。盡管如此，一些專家主動(dòng)站出來發(fā)表意見。主要的線索就是這句話：

“GTKs(組臨時(shí)密鑰)不具備這個(gè)屬性”

根據(jù)我CWSP(認(rèn)證無線安全專家)學(xué)習(xí)指南的介紹，GTK或組臨時(shí)密鑰被用來在無線接入點(diǎn)和多個(gè)客戶端傳輸站之間加密所有廣播和多播通信。Wi-Fi網(wǎng)絡(luò)新聞的GlennFleishman覺得，當(dāng)使用GTKs(組臨時(shí)密鑰)時(shí)，內(nèi)部人造成的安全缺口對(duì)于企業(yè)來說是最大的泄漏源，心懷不滿的員工或者專門竊取機(jī)密數(shù)據(jù)的間諜皆可利用Hole196溢出漏洞：

“一個(gè)很明顯的方式就是一個(gè)惡意的客戶端可以利用這樣一個(gè)漏洞創(chuàng)建欺騙性的廣播或多點(diǎn)播傳送數(shù)據(jù)包，而這些欺騙性的廣播或多點(diǎn)播傳送數(shù)據(jù)包看上去是來自于其他客戶將要接收的接入點(diǎn)的傳播地址。這些具有欺騙性的數(shù)據(jù)包會(huì)在具有同等信任的網(wǎng)絡(luò)中占有有利條件，而這些具有欺騙性的數(shù)據(jù)包有可能包含惡意代碼并進(jìn)行攻擊。”

需要成為內(nèi)部用戶

我所看過的所有文章都強(qiáng)調(diào)，在Wi-Fi網(wǎng)絡(luò)中，該漏洞需要攻擊者成為一名經(jīng)過身份驗(yàn)證的用戶。這意味著WPA/WPA2網(wǎng)絡(luò)對(duì)于來自那些沒有接入許可的攻擊者仍然是安全的。因此，這是一個(gè)企業(yè)內(nèi)部工作。這應(yīng)該不是那么令人擔(dān)憂。

但事實(shí)也許不是，根據(jù)2010年網(wǎng)絡(luò)防御觀察調(diào)查的發(fā)現(xiàn)，所有網(wǎng)絡(luò)犯罪中，內(nèi)部人員占了百分之26。事情更糟的是，大部分調(diào)查的受訪者認(rèn)為，內(nèi)幕事件所需要補(bǔ)救的費(fèi)用要比外部攻擊多的多。這是一個(gè)重要問題。主要是一名內(nèi)部人員真正做了哪些事情?

正如Fleishman先生指出的，攻擊者可以利用一些漏洞和下載惡意軟件到毫無防范的電腦。更重要的是有可能會(huì)竊取一些敏感數(shù)據(jù)和個(gè)人身份識(shí)別數(shù)據(jù)。

這樣的威脅為什么能實(shí)現(xiàn)呢?直至現(xiàn)在，具有一個(gè)WPA2企業(yè)加密的Wi-Fi網(wǎng)絡(luò)的個(gè)人用戶無法訪問屬于其他用戶的Wi-Fi通信。當(dāng)使用WPA2個(gè)人加密(預(yù)共享密鑰)時(shí)，網(wǎng)絡(luò)中的任何被授權(quán)的成員可以檢測(cè)到所在范圍內(nèi)的通信。Fleishman先生指出，為什么WPA2企業(yè)加密(具有TKIP/AES-CCMP加密的802.1X驗(yàn)證)是不同的：“在WPA/WPA2企業(yè)加密中使用802.1X驗(yàn)證的機(jī)制，授權(quán)的每個(gè)用戶接收獨(dú)有的密鑰，這個(gè)密鑰令他或她的數(shù)據(jù)不透明。”看起來，這個(gè)是沒有什么問題了。

但是AirTight公司提到：“與利用Wi-Fi網(wǎng)絡(luò)的漏洞攻破TJX公司網(wǎng)絡(luò)不同，Hole196漏洞受到關(guān)注是因?yàn)樵S多公司正在使用依靠WPA2網(wǎng)絡(luò)進(jìn)行進(jìn)行加密和認(rèn)證。由于還沒有備用的802.11標(biāo)準(zhǔn)以解決這個(gè)漏洞，因此AirTight公司認(rèn)為重要的是要提高人們的防范意識(shí)。”

此外，AirTight公司還提到，這個(gè)漏洞并不是很復(fù)雜并且可以利用現(xiàn)有的軟件工具：

“實(shí)際上，Hole196漏洞可以在現(xiàn)有的開放源碼軟件的基礎(chǔ)上加以利用。而對(duì)于這種內(nèi)部攻擊范圍的傳播是有局限的，使內(nèi)部攻擊并不需要密鑰破解和強(qiáng)力攻擊工具。“

是否有解決方案?

由于并不了解這個(gè)溢出漏洞的具體細(xì)節(jié)，因此很難制定解決Hole196漏洞的方案?？磥順?biāo)準(zhǔn)需要改變，固件也需要調(diào)整，以便使客戶端不接受未經(jīng)核實(shí)的來自其他客戶端的GTKs(組臨時(shí)密鑰)。

現(xiàn)在，如果對(duì)這個(gè)擔(dān)心，那么最好的解決辦法是使用具有802.11加密協(xié)議的VPN(虛擬專用網(wǎng))通道。如果一個(gè)攻擊者正在檢測(cè)，他們所能看到都是亂碼。

Roadwarriors(移動(dòng)用戶)需要小心

我注意到Hole196溢出漏洞將令企業(yè)的IT安全感到不安。心懷不滿的員工或網(wǎng)絡(luò)訪問的任何人都可能導(dǎo)致種種問題。正如美國科技博客TechRepublic的MarkUnderwood描述的，其中一些可能導(dǎo)致財(cái)務(wù)困難。

不過，我更關(guān)注的是有關(guān)Hole196溢出漏洞對(duì)于移動(dòng)用戶或任何使用公共WPA2加密保護(hù)的Wi-Fi網(wǎng)絡(luò)的人意味著什么。這是花了很長時(shí)間去宣傳采用開放的Wi-Fi網(wǎng)絡(luò)的后果。現(xiàn)在我們不得不對(duì)那些我們假定WPA/WPA2加密網(wǎng)絡(luò)是安全的表示擔(dān)心。

有這樣一個(gè)例子。最近，我住在酒店，酒店可以提供安全的Wi-Fi網(wǎng)絡(luò)，這是很難得的，應(yīng)該受到贊許。一天晚上，在創(chuàng)建一個(gè)網(wǎng)站密碼的過程中，Chrome瀏覽器打開了一條消息(未加密密碼的警告)，提醒我說，未加密信息將被發(fā)送。

我立刻停止操作。如果沒有警告，我將會(huì)在不知不覺中不受約束的發(fā)送密碼。這就是問題所在。一個(gè)未加密的密碼在互聯(lián)網(wǎng)上發(fā)送是件很令人擔(dān)心的事情?，F(xiàn)在由于Hole196溢出漏洞的出現(xiàn)，我認(rèn)為安全的互聯(lián)網(wǎng)訪問，可能已經(jīng)不在安全，我的密碼很可能已經(jīng)被竊取。

最后總結(jié)

我了解到目前掌握的有關(guān)Hole196溢出漏洞的細(xì)節(jié)還很浮淺，并且利用VPN(虛擬專用網(wǎng))技術(shù)作為一種解決方案似乎有點(diǎn)夸大。但是，“防患于未然”這句話是非常有道理的。

【編輯推薦】

1. 五種必須知道的無線網(wǎng)絡(luò)安全設(shè)置
2. 黑客入侵 警惕4種手段攻擊無線網(wǎng)絡(luò)
3. 如何保證無線網(wǎng)絡(luò)安全
4. 對(duì)無線加密之常用的無線網(wǎng)絡(luò)加密協(xié)議的介紹