战争从未改变: 对 WPA3“增强开放”的攻击ーー第一部分: 我们是如何走到这一步的

李白资讯 2020-01-10 10:00:00

679804

导语：本系列博客文章包含了大量的信息。因此，我将其分为三个部分，旨在满足非技术受众和不同技术水平受众的需求。

2019年初，我和另一位安全研究员 Steve Darracott (@thedarracott)开始回答这个问题——“机会无线加密(OWE)容易被滥用和攻击吗? 如果是，又该如何执行攻击? ” . 最终，我们成功地实现了多种可工作的攻击PoC，去年夏天我们在 DEF CON 小型的无线安全分享会议上进行了演示。本系列博客文章记录了我们的研究成果和结论，并讨论了 OWE 如何适应当前的无线威胁模型。

如何阅读本系列博文

本系列博客文章包含了大量的信息。因此，我将其分为三个部分，旨在满足非技术受众和不同技术水平受众的需求。具体的章节如下:

· 第一部分: 我们是如何走到这一步的ー介绍性的帖子(也就是你正在阅读的这篇文章)。历史背景和背景信息说明为什么这项研究很重要。适合那些关心大局的非技术受众和技术受众。这可以说是本系列中最重要的一篇文章

· 第二部分: 理解 OWEーーOWE与OWE 过渡模式的技术深入探究。适合技术人员使用

· 第三部分: 攻击概念证明和关键途径ーー概念证明攻击的技术演示和演练。请注意，这一节相对简短一些并且读起来可能有点虎头蛇尾，因为我们只是在字面上重新利用现有的无线攻击来对付 OWE。我们还讨论了 OWE 的正确性ーー即设备使用PMF的要求。

请不要觉得有义务阅读所有这些部分，如果你要这样做，那么我建议你按照顺序阅读这些文章。

引言

2018年1月，Wi-Fi 联盟宣布即将发布 WPA3[1]。本公告披露的一个关键特性是支持个性化数据加密，这将解决影响开放无线网络的一个长期的安全问题[1]。人们广泛猜测，机会无线加密(OWE)将被用于实现这一特性，这一点后来在2018年6月 WPA3认证开始时得到了证实。

到2019年初，WPA3 将 OWE 的实现重新命名为“ Wi-Fi 认证的增强开放”模式，并转换为一个单独的可选标准，与 WPA3一起发布[3]。然而，尽管 OWE 作为硬件认证的一个可选要求的地位，它仍然是无线专业人士和爱好者兴奋的主要来源。包括三星、思科和 Aruba Networks 在内的多家主要设备制造商都宣布将在2019年春季前支持 OWE。 Aruba Networks 博客的一位撰稿人甚至将 OWE 命名为“与 WPA3相关的最重要特性”[3]。

随着关于 OWE 的大肆宣传开始渗透到主流科技出版物中，我和安全研究人员史蒂夫 · 达拉科特(Steve Darracott)都对这个问题产生了兴趣——“ OWE 是否容易被滥用和攻击，如果是这样，又是怎么样的呢?所以，我们决定联合起来寻找答案。

我们最初的问题很快引出了第二个更基本的问题: 究竟什么是 OWE？我们首先进行了一些相当广泛的背景研究，试图从技术层面理解 OWE，以及它打算解决的问题。由于缺乏公开的书面文档，这些文档最初被转化为在 YouTube 上花费数小时观看一些几乎毫不掩饰的供应商推销视频(这种时间我们再也找不回来了)。经过大约一个星期后，我们依旧没有真正的进展，我们决定最好的选择就是像“真正的”研究人员一样阅读 RFC 文档(我们也这样做了)。

尽管我们也从 Mathy Vanhoef 博士最近发表的关于 WPA3[8][9][10]的研究论文中获得了一些关于 OWE 的评论，但 RFC 最终证明是关于该协议最有用的信息来源。从最后两个来源，我们最终得出了一个可行的假设: 由于 OWE 不提供验证接入点身份的手段，受 OWE 保护的无线网络容易受到过去20年来影响开放式网络的流氓 AP 攻击。

有人说，直到今天，他仍然在寻找答案。

请注意，我们并不是第一个得出这种假设的人—— 这些安全问题的潜在可能性实际上已在 RFC 文档中被承认，该章节的标题是“安全考虑”[10]。 Vanhoef 博士似乎也有同样的担忧，并在他的博客文章“ WPA3: 技术细节和讨论”[8]中简要地提到了这些担忧。他没有进一步追究这些问题的事实，说明了一个道理——他显然有更重要的事情要做。

然而，据我们所知，还没有人真正尝试过通过创建一个有效的概念验证攻击来检验这个假设。我们认为这样做是一个很好的开始。

最终，我们成功地实现了多种概念攻击的可行证明(所有这些都涉及到802.11的漫游和网络选择功能的滥用) :

· 针对 OWE 的开放式 AP 克隆: 我们证明，这种攻击是可能的，强制客户端设备使用 wpa_supplicant 连接到一个流氓开放访问。目前我们不确定这是一个实现上的特定的问题还是协议本身的问题

· OWE 过渡模式攻击: 我们证明 OWE 过渡模式容易受到过渡模式和开放式 OWE 的攻击，但是 OWE 过渡 AP 不会受到影响。

我们还证实了 OWE 授权的保护管理框架(PMF)的使用，使得流氓 AP 攻击更难执行。然而，我们也指出，强制 PMF 的引入也将使目前的威胁遏制方法失效。

我们是如何走到这一步的

OWE 最终变成了一种失望，不是因为它未能解决它应该解决的问题，而是因为它试图解决错误的问题。为了理解我的意思，我们真的需要讨论一下当前的无线威胁模型。这是很多人都会犯的错误: 有很多过时的信息，还有很多对现代无线谍报技术的误解。

为了理解威胁模型，我们需要了解历史，正是这段历史塑造了今天的现状。我知道你可能想跳到血淋淋的技术细节(你也许可以)。但是如果你允许的话，我请求你在我们开始之前陪我上一堂简短的历史课。

WiFi 安全简史

802.11标准于1999年发布。不到一年，它就被多家主要设备制造商采用。因此，不久之后，它就被一般公众采用了。这个标准的第一个版本有两个最初的修订: 802.11 a 和802.11 b。

最初，无线安全有两种形式: 未加密的“开放”网络和受有线等效加密保护（WEP）的网络。有趣的是，在这两个最初的选择中，只有开放网络今天仍在使用。这似乎违反直觉，因为“开放”网络的安全性不如 WEP，即使按照今天的标准。那么为什么会这样？

这个问题的答案既与安全有关，也与心理学有关。具体来说，这是一个人为因素的工程问题。 WEP 和 WPA/2 (其后续版本)都是为加密网络流量而设计的。是的，我们也使用它们作为身份验证机制，但那只是因为没有更好的选择(通过成功地加密和解密流量，你可以对 WiFi 网络进行“身份验证”)。

WEP 和 WPA/2 都要求用户进行身份验证以建立加密连接[15][16]。使用 HTTPS 作为类比，想象一下如果用户必须通过验证才能通过加密的 HTTPS 加载网页内容。更明确地说: 想象一下，如果你每次想使用加密的 HTTPS 访问一个新网站，比如 Google 或 Buzzfeed，都必须输入一个密码。显然，如果是这样的话，大多数人会出于方便而倾向于使用纯文本 HTTP。但是因为 HTTPS 能够以一种对用户完全透明的方式提供加密，它的采用已经变得非常普遍。

OWE 是为满足类似的需要而发展起来的。绝大多数公共无线网络不受加密保护，因为历史上不可能以透明和不引人注目的方式加密无线通信。如果开放网络可以比作 HTTP，那么 OWE 就是 IEEE 对无线网络 HTTPS 的回答。

稍后将详细介绍。

初始威胁模型(1999年至2000年代初)

让我们回顾一下1999年802.11发布时出现的一些安全问题。没过多久，离线密码 / 数据嗅探就成了一个严重的问题。正如我们提到的，从可用性的角度来看，使用 WEP 为公共网络提供加密是没有意义的。因此，那个时代的大多数公共无线通信都是透明的。请记住，WiFi 流量最终是无线通信的一种形式，当你传输 WiFi 数据包时，如果附近的任何人在监听，他们都可以捕捉到。没有加密，任何捕获这些数据包的人也可以查看正在传输的数据。这包括密码、信用卡信息和其他敏感信息。窃听攻击在802.11的早期十分猖獗。

到2002年，攻击者发现802.11实际上没有提供任何关于如何选择接入点的指导[18]。相反，这个过程的实现由各个设备制造商自己决定。为实现这一目的而开发的算法没有提供任何真正的手段来验证附近接入点的身份，这种做法使得接入点容易受到被称为“邪恶双子”(Evil Twins)的冒充攻击[18]。在一个邪恶的双胞胎中，一个对手冒充一个可信接入点，以强制附近的无线设备连接到攻击者的硬件。这将创建一个中间人(Person-In-The-Middle，PITM)的场景，攻击者可以利用该场景拦截和篡改网络流量[18]。

有关流氓 AP 攻击的更多细节，请参见: https://posts.specterops.io/modern-wireless-attacks-pt-i-basic-rogue-AP-theory-evil-twin-and-karma-attacks-35a8571550ee

初始应用层缓解措施(2000年初至2012年左右)

这些早期的无线攻击，以及其他一些常见的 PITM 攻击(比如 ARP欺骗) ，催化了应用层加密技术的广泛应用。简而言之: 未经身份验证的无线安全状态不会很快得到改善，因此应用程序开发人员决定自己实现部署在协议栈更高层的加密。

到21世纪初，加密应用层协议(如 SSH 和 HTTPS)的使用已经成为技术领域公认的最佳实践。应用程序层加密很快被广泛采用，有效地结束了被动嗅探攻击的黄金时代[19]。

这些应用层缓解了“邪恶双子”攻击的威胁，至少目前是这样。然而，在2009年马克西·马林史派克发现 HTTP 降级攻击之后，“邪恶双子”的攻击再次成为一个问题。这项技术允许敌人使用 “邪恶双子” 攻击来降低 HTTPS 连接到明文 HTTP 的级别，并且在至少5年的时间里仍然是一个严重而广泛的威胁[20]。

要详细了解 HTTP 降级攻击，请参阅 Moxie 最初的 BlackHat 演示: https://youtu.be/mfol6imbz7y

中间应用层缓解措施(大约2012年至2016年)

流氓 AP 攻击一直是开放无线网络的主要威胁，直到至少2012年引入了 HTTP 严格传输层安全(HSTS)[21]。事实上，HSTS 直到很久以后才广泛传播。此时，使用“Certificate Pinning”的情况也很普遍。

要详细了解 HSTS，请参阅 http://solstice.sh/workshops/advanced-wireless-attacks/iv-wireless-man-in-the-middle-attacks/ 中的相关章节:

当前的无线安全威胁模型

这就把我们带到了今天。大多数公共网络仍然使用开放的 WiFi。大约从2005年开始，被动嗅探攻击就不起作用了。 HTTP 降级攻击在很大程度上是无关的，因为 HSTS 被在线银行、电子邮件提供商等高价值目标广泛使用，一般来说，任何人只要有一个中等规模的安全预算都可以实现防御。

让我们从攻击者的角度来谈谈什么对开放网络仍然有效:

· 静态内容注入: 攻击者使用流氓 AP 建立 PITM，并向静态 web 内容注入有效载荷。攻击者甚至不会尝试降级 HTTPS，也不需要降级——混合内容问题是一个猖獗的问题

· 捕获门户攻击: 攻击者使用一个流氓 AP 将受害者发送到捕获门户页面。然后，攻击者利用捕获门户为恶意软件提供服务，或利用社会工程技术捕获证书

基本上就是这样，除非攻击者可以欺骗用户安装一个流氓 CA 证书(要做到这一点并不难，用到的方法可能令你大吃一惊）: https://sensepost.com/blog/2016/too-easy-adding-root-cas-to-ios-devices/)。但是，可以使用“Certificate Pinning”来缓解这种攻击。

最后，20年后，WiFi 联盟决定推出一种加密公共 WiFi 流量的方法。他们称这种新的协议为机会无线加密(OWE)。

总结

本系列的下两篇文章将研究 OWE 如何在技术层面上工作以及讨论我们的研究方法，并演示我们对 OWE 的概念攻击的证明。

· https://posts.specterops.io/war-never-changes-attacks-against-wpa3s-enhanced-open-part-2-understanding-owe-90fdc29126a1

参考资料

[1] https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements

[2] https://www.networkworld.com/article/3247658/wi-fi-alliance-announces-wpa3-to-secure-modern-networks.html

[3] https://blogs.arubanetworks.com/solutions/a-look-into-whats-behind-wpa3/

[4] https://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-8/Cisco_Catalyst_9800_Series_Wireless_Controllers_WPA3.pdf

[5] https://www.cisco.com/c/en/us/td/docs/wireless/controller/release/notes/crn810.html

[6] https://wificoops.com/2019/08/05/wi-fi-security-enhancements-part-2-enhanced-open-owe/

[7] https://www.arubanetworks.com/assets/wp/WP_WPA3-Enhanced-Open.pdf