my cognition

Cognitiveはよいぞ。電波伝搬はよいぞ。

FragAttacksに関する覚書

先日、WiFi脆弱性であるFragAttacks (fragmentation and aggregation attacks)のサイトが公開された。

www.fragattacks.com

欠陥は二通り。

  • Design flaws(WiFi設計上の欠陥)
  • Implementation flaws(実装上の欠陥)

結論としてはNetwork World のこの文章と同じことを感じた。そこまで騒ぐ感じでもないかな~ということ。

‘FragAttack’ flaws threaten Wi-Fi, but not too seriously | Network World

“Is it something that would keep me up at night? Heck no,” Kindness said. “It’s like an Oceans 11 or Mission: Impossible scenario—you’d have to know what someone has. You’d have to encounter the perfect scenario where someone didn’t do something right in the firmware for the device or AP, and you’d have to be in radio distance.”

振り返り: KRACKs(Key Reinstallation AttaCKs)

詳しくはクラスメソッドさんがまとめていたり、Google検索をしてもらうとわかるが、AndroidLinuxで使われる wpa_supplicant の実装上におけるバグがあったため結構話題になった。WEPの脆弱性と違い、傍受での解読はできない。

dev.classmethod.jp

デモ

パッと見のインパクトが強い。

www.youtube.com

WiFi設計上の欠陥デモ: ログイン情報の窃取

  • victimがトップページ がHTTP http://example.com で、ログインページがHTTPS https://s.example.com/login のようなサイトを普段から利用しているとする
  • victimが使用するAPのクローンを設置する
  • victimがWiFiに接続しているのを傍受する
  • victimへ、メール等でattackerのWebサーバへHTTP接続させる
  • フレームを挿入し、ICMPv6 RAを利用してDNSを書き換える
  • attackerの HTTP ページである http://s.example.com/login に接続する
  • (ほとんどのユーザは普段 HTTPS https://s.example.com/login であるページではなく、HTTPで接続しているサーバと気づかずに、ログイン情報を入力してしまう可能性があるため、)サーバにログインに使用された情報が記録される。

実装上の欠陥デモとして、WiFiから操作できる電源タップやBlueKeep(Windows脆弱性)の利用があるが、割愛(BlueKeep自体には興味がないが、NAT越えした後、任意の脆弱性を利用すれば大きな攻撃となることを伝えたいのだと感じた)。

802.11のフレームが挿入できることで実現できること

サクッとみるにはoverviewに詳しい。

https://papers.mathyvanhoef.com/fragattacks-overview.pdf

DNS設定の書き換え

802.11のフレームが挿入できることで実現できることは何か、という点で面白い。

  • IPv6のICMPv6 RAがステーとレスなため、ユーザのDNS書き換えに都合が良い点は以下の資料で触れられている。
  • IPv4については、xidが推測可能であるか、IPv6とのデュアルスタックであればICMPv6 RAを通じて設定可能である点に触れている。

NAT Hole Punching

一般的に言われるNAT越え。挿入したフレームの扱いをTCPパケットSourceアドレスを設定したTCP-SYNを送り込める。それを受信したWindows等のOSは、NATの内側から外側のSourceアドレスへ通信を行う。そのため、ルータにIPアドレスとポートの組が記憶されるので、NAT外から通信が可能となる。

まとめ

WiFi脆弱性はたまに出てくるが、基本的にその場にいないといけないし、ある程度の victim の情報が無いと成り立たないことが多いので、攻撃が困難であるため、そこまで騒ぐ必要もなさそう。

感想

一方で、WiFiフレームの取り扱い不備に関しての実装上の問題が多くのメーカーで発生していることは驚きなので、自宅で使用している機器のセキュリティアップデートやファームウェアアップデートはしておこうというところではある。

付記するとすれば、WEPのようにすぐに解読できるような内容ではないし、たとえフレームが見れたとしても、昨今はHTTPSに代表されるエンドポイント暗号化によって守られているので、それ自体はあまり脅威ではないことも良い世の中になったと感じる。