O protocolo utilizado para comunicar entre as redes sem fios, que estamos a analisar, é o IEEE 802.11. Neste protocolo existem várias tramas que são transmitidas pelos dispositivos para diversos propósitos. O gerenciador de tramas é um tipo utilizado para estabelecer e manter as comunicações entre as estações e tem vários subtipos:[22]
• trama de autenticação • trama de deautenticação
• trama de resposta de associação • trama de resposta de reassociação • trama de resposta de disassociação • trama beacon
• trama de solicitação de averiguação do ponto • trama de resposta de averiguação do ponto
Por outro lado as tramas de controlo são o tipo utilizado para auxiliar a entrega das tramas de dados entre as estações e também contém alguns subtipos:
• Request to Send (RTS) • Clear to Send (CTS) • Acknowledgment (ACK)
Finalmente as trama de dados são utilizadas para transportar dados entre as estações. Estas tramas encapsulam os pacotes de camadas mais altas, como os TCP/IP e os UDP. É possivel ver qual o conteúdo transportado na trama utilizando um analisador de pacotes como o Wireshark [22]. As tramas beacon são aquelas que neste caso nos irão suscitar particular interesse de analisar. Isto, porque são enviadas pelo ponto de acesso de forma períodica de forma a este anunciar a sua presença no meio bem como alguns parâmetros de configuração necessários para a ligação à rede. Dentro da informação que estas tramas transportam destacamos o Service Set Identifier (SSID), o endereço MAC, o canal, e algumas configurações de segurança (tipo de encriptação, chaves de grupo, etc). A placa de rede faz uma busca contínua entre todos os canais, em que opera o protocolo 802.11, e fica à escuta de beacons enviados pelos pontos de acesso para que possa
2.5. Informação contida nas tramas 802.11 17 então escolher a qual deles se ligar. Estas tramas possuem um tamanho de aproximadamente 50 bytes e o campo de destinatário será sempre preenchido como broadcast, isto é para todos que se encontrem nas redondezas e sejam capaz de o escutar [23]. A informação que pode ser obtida por estas tramas é:
• Intervalo de beacon, tempo entre o qual são transmitidas estas tramas;
• Timestamp, de forma a poderem sincronizar o relógio local entre todas as estações; • SSID, o nome que identifica a rede;
• Taxas de débito de dados suportadas, qual é quantidade de trafego por unidade de tempo que o ponto de acesso opera;
• Conjunto de parâmetros que informam sobre o esquema de modulação que é utilizado para transmitir as ondas rádio, entre outras informações;
• Informação de capacidade, quais os requisistos que as estações necessitam possuir para participar e entrar na rede;
• Mapa de indicação de tráfego, que contém informações úteis para as estações em modo de poupança de energia
O protocolo 802.11 opera em 14 canais diferentes sendo que cada canal corresponde a uma parte do espetro que é utilizado nas comunicações sem fios. Apenas o Japão utiliza todos os canais do protocolo e no caso da América do Norte são utilizados 11, ao passo que no resto do mundo são utilizados 13 canais [1]. A placa de rede tem de percorrer todos os canais e classificar as redes que encontra pela sua potência de sinal e com a restante informação que é necessária para se ligar à rede. Mesmo após a placa de rede já se encontrar conectada a uma rede, esta irá permanecer à escuta no meio de forma a actualizar as informações que possui respeitante às redes, nomeadamente a força de sinal e a qualidade do mesmo. Além disso a placa de rede recebe periodicamente as tramas beacon de forma a poder sincronizar o seu relógio com o do ponto de acesso e as restantes estações. É também necessário fazer algumas mudanças conforme a rede assim o exija, tais como a taxa de débito de dados [23].
2.5.1 Identificação do modelo do ponto de acesso
Um dos principais objetivos dos atacantes é identificar ao máximo o alvo que pretendem atacar, isto porque quanto mais informação obtiverem mais são as hipóteses de conseguir encontrar algum tipo de falha. Por exemplo uma informação bastante pertinente neste campo será identificar qual o modelo e o fabricante do ponto de acesso de forma a explorar possiveís falhas conhecidas sobre eles[21]. Este tipo de tarefa nem sempre é assim tão simples. No caso de identificar o tipo de fabricante, dado que cada ponto de acesso possui um endereço MAC que é único em cada placa de rede, é possível deduzi-lo pois é atribuído um intervalo de endereços a cada um dos
18 Capítulo 2. Estado de Arte
fabricantes. Esse intervalo corresponde ao prefixo do endereço MAC que cada placa de rede e ponto de acesso possui, sendo representado pelos 3 primeiros bytes [46].
Apesar dos avanços efectuados na descoberta do fabricante do ponto de acesso, não se torna suficiente saber apenas essa informação quando pretendemos explorar vulnerabilidades que acabam por ser mais específicas. Para isso necessitamos de mais detalhes sobre o equipamento de forma a ver se para aquele dispositivo em específico houve alguma falha de segurança já detetada e que possa ser investigada. Mas, não é apenas quem está “direcionado para o mal“ que tem interesse nesta situação de encontrar o máximo de informação sobre os dispositivos. Também existem, do lado das empresas e de “pessoas que agem para o bem“, interesse em detetar pontos de acesso falsos, denominados de evil-twin. Isto porque se existir algo semelhante nas suas redes, compromete a segurança das comunicações, pois nesse caso estão perante uma intercepção de tráfego [3]. Este tipo de tarefa não se torna de todo tão fácil quanto a primeira, pois não existe um parâmetro específico que permita classificar unicamente os dispositivos. Contudo têm-se vindo a implementar várias técnicas na tentativa de identificar o modelo em específico dos dispositivos.
Os autores em [3] mencionam que era relativamente fácil configurar um ponto de acesso de forma a este imitar outro, porque os campos do SSID, Basic Service Set Identifier (BSSID) e endereço MAC podem facilmente ser alterados para os valores que o atacante pretenda. É também possível persuadir os clientes a juntarem-se a um ponto de acesso falso bastando oferecer um sinal com uma potência maior à do verdadeiro. Portanto a proposta deles foi um modelo que utiliza clock
skews para identificar se um ponto de acesso é ou não autêntico. Basicamente o termo significa
desfasamento de relógio, e este tende, nos dispositivos sem fios, a permanecer consistente durante o tempo e a fatores externos, como a temperatura. Os cálculos para esta análise baseiam-se no tempo de chegada das tramas beacon em relação ao timestamp que estas continham. A particularidade deste cálculo advém deste ser feito na primeira vez que nos conectamos ao ponto de acesso e logo a seguir existe uma desconexão do ponto de acesso. Tal pode também ser feito do lado do cliente removendo e recarregando os módulos da placa de rede. No estudo deles verificaram que 100 medições eram suficientes para detetar se se tratava de um ponto de acesso falso.
Por outro lado os autores em [21] fizeram outra abordagem para identificar pontos de acesso únicos. Nesta experiência eles recolhiam e analisavam uma enorme quantidade de tráfego normal da rede, em particular aquele que vinha do ponto de acesso. Apartir dessa informação mediam o tempo de espera entre pacotes sucessivos (Inter Arrival Time (IAT)) tentando achar um padrão e com isso associar ao ponto de acesso devido. Basicamente este processo media com mais exatidão a taxa de fluxo de tráfego.