Беспроводные сети как оружие: Утилита для совершения атак против сенсорных сетей (Часть I)

Танассис Гианнетсос, Athens Information Technology 19.5 km Markopulo Ave. Афины, Греция agia@ait.edu.gr

Тассос Димитриоу, Athens Information Technology 19.5 km Markopulo Ave. Афины, Греция tdim@ait.edu.gr

Неели Р. Прасад, Олборгский университет Fr. Bajers Vej 7A5 DK-9220, Дания np@es.aau.dk

Краткий обзор

Всепроникающая взаимосвязь независимых сенсорных устройств приводит к возникновению широкого класса новых интересных приложений. В то же время, полностью автономная сущность и ограниченные ресурсы сенсорных узлов приводят к появлению соответствующих уязвимостей, которые могут эксплуатировать злоумышленники с целью получения доступа к сети и информации, передающейся с их помощью. В то время, пока проводится большая работа для защиты этих сетей, можно ограничиться малым, используя специализированные утилиты для определения уровня уязвимости сенсорных сетей. В данной статье демонстрируется утилита, позволяющая проводить как пассивный мониторинг данных, передающихся в сенсорных сетях, в ходе которого определяются уровень сигнала, частота отправки, маршрутизация сообщений и т.д., так и осуществлять различные атаки против них. По нашим данным, это первая реализация утилиты для атак, которые могут быть использованы злоумышленником для компрометации конфиденциальности и функциональности сенсорной сети. Результаты показывают, что наши инструменты могут гибко применяться в различных операционных системах для сенсорных сетей и сетевых протоколов, позволяя злоумышленнику получить дополнительные привилегии. Мы надеемся, что наша утилита будет использована для изучения недостатков новых протоколов безопасности и, возможно, даже для повышения уровня безопасности использования подобных решений при их дальнейшем развитии.

1. Предпосылки и мотивация

В последнее время беспроводные сенсорные сети нашли множество применений, начиная с военных и заканчивая гражданскими и коммерческими, и ожидается, что их популярность в будущем будет только расти. Такие сети играют важную роль в мониторинге людей, объектов и инфраструктур, оценивании состояния окружающей среды [1, 2], в выполнении ухода за больными, находящимися дома [3], и решении множества подобных задач. Популярность сенсорных сетей связана с возможностью работать автономно и без помощи какой-либо инфраструктуры или взаимодействия с человеком. Использование беспроводных технологий представляет множество преимуществ ввиду повышенной доступности информационных ресурсов.

Однако беспроводная технология и автономность сенсорных сетей порождает новые угрозы и увеличивает риск информационной безопасности. Неадекватная физическая защита делает их чувствительными к перехвату, компрометации и взлому [4]. В результате, любые зашифрованные данные, содержащиеся в этих сетях, могут быть использованы злоумышленниками для совершения атак из сети, компрометируя конфиденциальность информации. Кроме того, раз в системах связи имеет место передача «по воздуху» посредством радиоволн, то возможно проведение широкого класса атак, начиная с пассивного прослушивания и заканчивая активным [5].

В публикациях последних лет [6, 7] описано несколько механизмов защиты, и не требуется большого труда для демонстрации того, насколько уязвима конфиденциальность информации и доступность сетей. В данной работе мы продемонстрируем утилиту для совершения атак, полезную не только для защиты приложений в сенсорных сетях, но также для изучения последствий атак для сенсорных сетей, что приводит к разработке более защищённых приложений и механизмов определения/предупреждения.

Утилиты позволяет обследовать функциональность сенсорной сети с помощью анализа прослушиваемых радиосигналов, совершить различные атаки против сети, помогают определить наиболее часто применяемые протоколы и использовать эту информацию для совершения таких атак как Атака воронки (Sinkhole attack)[10], Атака повторного воспроизведения (Replay attack) [11] или Инъекция вредоносного кода (Injecting malicious code) [12, 13] с целью получения контроля над сетью. Инструменты позволяют извлечь полезную информацию о сети, например, о выходе узлов из строя, перезагрузках, проблемах маршрутизации в подсетях и анализировать трафик (весь трафик сети или прослушиваемый трафик конкретного сенсорного узла).

Основная цель представленной статьи – создание инструментов, которые могут быть использованы, в конечном итоге, для компрометации функциональности и конфиденциальности [14] такой сети. Под функциональностью мы понимаем корректную работу всех узлов сети, включая основное приложение, маршрутизацию и физический уровень. Описываемая утилита может нарушить нормальную работу посредством осуществления множества атак, упомянутых ранее (более подробно см. Раздел 4). Конфиденциальность определяется как гарантия того, что информация доступна только уполномоченным лицам. Утилита угрожает секретности передаваемых данных, поскольку даёт злоумышленнику возможность просматривать информацию в виде полного содержимого передаваемого сообщения. Собираемые из сетей данные могут быть проанализированы для выявления важной информации относительно объектов, событий и людей.

В целом, цель настоящей работы – показать, как уязвимые сенсорные сети противостоят специализированным утилитам для совершения атак, сделать акцент на необходимости подходящих механизмов предотвращения и/или обнаружения.

Наши достижения

В ходе данной работы предпринимаются попытки обнаружить уязвимости беспроводной сети с помощью создания утилиты для компрометации всей безопасности сенсорной сети. Набор совершённых атак включает наиболее серьёзные из существующих атак маршрутизации [5], таких как Атака Воронки, Атака повторного воспроизведения, Избирательная пересылка (Selective Forwarding), и Атака флуда HELLO-сообщений (HELLO-flood attack). Мы достигли результатов по двум направлениям:

Это первая завершённая реализация утилиты, предлагающей множество атак, которые может воспроизвести злоумышленник, наряду с рабочей средой для обследования и модификации передаваемых данных. Наша цель состоит в том, чтобы определить «наилучшие» пути осуществления атак, и продемонстрировать их на практике. Мы также показываем, как уязвимости, связанные с памятью, могут привести к инъекции и запуску кода произвольной длины в сенсорных устройствах, следуя архитектуре фон Неймана, как в Tmote Sky [15], Telos [16], EyesIFX [17]. Атака осуществляется благодаря эксплуатации утечек переполнения буфера для того, чтобы повредить стек вызовов и взломать удалённый узел через радиоканал. С помощью отсылки множества специально подготовленных пакетов, злоумышленник может внедрить само воспроизводимого червя, который распространяет себя и инфицирует сеть методом «прыжок за прыжком».

Во-вторых, мы хотим предоставить дополнительную информацию по обнаружению недостатков основных протоколов, которые наиболее широко используются сообществом исследователей сенсорных сетей. Мы надеемся, что наша работа будет полезной для демонстрации и обучения пользователей, а также покажет необходимость появления более эффективных протоколов безопасности.

1.1. Структура статьи

Оставшаяся часть данной статьи организована следующим образом. В Разделе 2 мы перечисляем способы, с помощью которых злоумышленник может скомпрометировать конфиденциальность данных. Способы включают в себя несущую частоту, размер сообщения, уровень сигнала и сведения о маршрутизации информации, наряду с классификацией атак, которые поддерживаются утилитой. Раздел 3 является сердцем этой работы; в нем содержатся общие представления об архитектуре утилиты наряду с подробным изложением возможностей всех компонентов системы. Описание всех поддерживаемых атак представлено в Разделе 4. Наконец, Раздел 5 подводит итоги статьи. Разделы 3, 4 и 5 будут опубликованы во второй части статьи.

2. Угрозы конфиденциальности Сети и беспроводные атаки

Для беспроводных сетей основные цели безопасности остаются такими, как и для проводных сетей: сохранение конфиденциальности, гарантия неприкосновенности и обеспечения доступности информации. Определение рисков для конфиденциальности сенсорных сетей представляет собой степень доступности передаваемых данных, которые представляют наивысшую ценность.

В попытке определить угрозы для конфиденциальности сети мы расширили функциональность нашей утилиты для совершения атак сетевым сниффером для прослушивания сетевого трафика (Раздел 3.1). В результате, злоумышленник может обрабатывать пакеты с целью извлечения важной информации, такой как идентификаторы узлов или передаваемые данные. Анализ трафика может предоставить больше информации об узлах сети и их использовании, чем простое декодирование любых данных, содержащихся в пакетах.

Паи (Pai) и др. [14] обрисовали пути, с помощью которых злоумышленник может компрометировать конфиденциальность сети, включая несущую частоту, уровень сигнала и размер сообщения, а также информацию о маршрутизации. Представленная утилита может использовать несущую частоту для запуска атаки побочного канала (side-channel attack) [18]в попытке определить аппаратную платформу сенсора сети. Злоумышленник может использовать либо спектральный анализатор, либо сенсор с другим аппаратным обеспечением в совокупности с нашей утилитой с целью определить используемый функционал передачи данных. Когда он будет определён, злоумышленник может узнать по нему, какое используется аппаратное обеспечение, таким образом, получив возможность эксплуатировать все уязвимости протокола, присущие этой конкретной платформе.

Утилита также может скомпрометировать конфиденциальность сети с помощью мониторинга важности и размера любых передаваемых/принимаемых сообщений. Уровень сигнала может открыть информацию о применении сети и частоте отслеживаемых событий. Данные процессы создают серьёзную угрозу для некоторых применений сенсоров, таких как мониторинг состояния здоровья, что может привести к вмешательству в частную жизнь пользователя. Злоумышленник может исследовать уровень сигналов, приходящих из окружения, которые он прослушивает, и оценить расстояние до обнаруженного события. Исследование показывает, что уровень приёма сигнала возрастает, когда расстояние до узла, сообщающего о событии, сокращается.

Прослушивание информации о маршрутизации данных позволяет компоненту под названием сетевой сниффер построить ориентированный граф всех соседних узлов. Прослушиваемые пакеты проходят через границы графа, открывая ценную информацию об основной схеме маршрутизации. При изучении схемы прохождения трафика сенсорной сети можно проследить расположение базовой станции или другого стратегически расположенного узла. Протоколы маршрутизации многоскачковой связи (multihop communication routing protocols) предоставляют возможность злоумышленнику проследить за потоком сообщений, возвращающихся к источнику информации.

Указанная утилита может производить множество атак в попытке определить функциональность сенсорной сети. Мы предоставляем рабочую среду потоков данных, которая позволяет создавать и передавать специально подготовленные пакеты. Большинство поддерживаемых в настоящее время беспроводных атак подпадают под одну из следующих категорий:

• Атаки на конфиденциальность: Эти атаки пытаются перехватить секретную информацию, отправляемую средствами беспроводной передачи.
• Атаки на целостность: Данные атаки посылают фреймы (структурные единицы информации) ложного контроля, управления или содержащие данные для возникновения сбоя на получателе, или используются для облегчения проведения другого типа атак.
• Атаки на доступность: Эти атакипрепятствуют доставке беспроводных сообщений для легализации пользователей посредством вывода из строя сетевых ресурсов.

В Таблице 1 перечислены опасные атаки, которые могут быть проведены этой утилитой для совершения атак (для актуальной версии). Более подробное описание архитектуры компонентов сетевой утилиты для совершения атак может быть найдено в Разделе 3. В будущем мы планируем усилить её эксплуатированием большего количества сетевых уязвимостей и разработать новые типы атак.

Таблица 1: Поддерживаемые беспроводные атаки

Вид атаки	Описание
Прослушивание	Перехват и декодирование незащищённого сетевого трафика для получения потенциально чувствительной информации
Повторное воспроизведение данных	Перехват и/или модификация данных фреймов для последующего повторного воспроизведения
Воронка	Извлечение такого количества сетевого трафика, какое только возможно, из определенных зон
Выборочное продвижение данных	Задерживает прослушиваемые сообщения и пересылает их выборочно получателю
Флуд	Отправка фальшивых HELLO-сообщений (или других данных) с узла со случайным идентификатором для вывода из строя сетевых ресурсов.
Распространение образа программы	Отправка образов новой программы на сенсорные узлы, с перезаписыванием уже существующих
Инъекция кода	Подделка и отправка фальшивых фреймов, содержащих код с вредоносными инструкциями

Данная публикация является первой частью статьи “Беспроводные сети как оружие: Утилита для совершения атак против сенсорных сетей”. Во второй части будут опубликованы разделы 3, 4 и 5 . Раздел 3 является сердцем этой работы; в нем содержатся общие представления об архитектуре утилиты наряду с подробным изложением возможностей всех компонентов системы. Описание всех поддерживаемых атак представлено в Разделе 4. Наконец, Раздел 5 подводит итоги статьи.

Ссылки

[1] A. Mainwaring, D. Culler, J. Polastre, R. Szewczyk, and J. Anderson. Wireless sensor networks for habitat monitoring. In WSNA '02: Proceedings of the 1st ACM international workshop on Wireless sensor networks and applications, pages 88{97, New York, NY, USA, 2002. ACM.

[2] J. Tateson, C. Roadknight, A. Gonzalez, T. Khan, S. Fitz, I. Henning, N. Boyd, C. Vincent, and I. Marshall. Real World Issues in Deploying a Wireless Sensor Network for oceanography. In Workshop on Real-World Wireless Sensor Networks REALWSN'05, Stockholm, Sweden, June 2005.

[3] D. Trossen, D. Pavel, G. Platt, J. Wall, P. Valencia, C. A. Graves, M. S. Zamarripa, V. M. Gonzalez, J. Favela, E. Livquist, and Z. Kulcs Sensor networks, wearable computing, and healthcare applications. IEEE Pervasive Computing, 6:58{61, 2007.

[4] A. Becher, Z. Benenson, and M. Dornseif. Tampering with motes: Real-world physical attacks on wireless sensor networks. In J. A. Clark, R. F. Paige, F. Polack, and P. J. Brooke, editors, SPC, volume 3934 of Lecture Notes in Computer Science, pages 104{118. Springer, 2006.

[5] C. Karlof and D. Wagner. Secure routing in wireless sensor networks: Attacks and countermeasures. AdHoc Networks Journal, 1(2{3):293{315, September 2003.

[6] I. Krontiris, Z. Benenson, T. Giannetsos, F. C. Freiling, and T. Dimitriou. Cooperative intrusion detection in wireless sensor networks. In EWSN '09: Proceedings of the 6th European Conference on Wireless Sensor Networks, pages 263{278, Berlin, Heidelberg, 2009. Springer-Verlag.

[7] A. Perrig, J. Stankovic, and D. Wagner. Security in wireless sensor networks. Communications of the ACM, 47(6):53{57, 2004.

[8] V. Bhuse and A. Gupta. Anomaly intrusion detection in wireless sensor networks. J. High Speed Netw., 15(1):33{51, 2006.

[9] G. Li, J. He, and Y. Fu. Group-based intrusion detection system in wireless sensor networks. Comput. Commun., 31(18):4324{4332, 2008.

[10] I. Krontiris, T. Giannetsos, and T. Dimitriou. Launching a sinkhole attack in wireless sensor networks; the intruder side. Wireless and Mobile Computing, Networking and Communication, IEEE International Conference on, 0:526{531, 2008.

[11] D. R. Raymond and S. F. Midki®. Denial-of-service in wireless sensor networks: Attacks and defenses. IEEE Pervasive Computing, 7:74{81, 2008.

[12] A. Francillon and C. Castelluccia. Code injection attacks on harvard-architecture devices. In 15th ACM Conference on Computer and Communications Security (CCS), Alexandria, VA, USA, 2008.

[13] T. Giannetsos, T. Dimitriou, I. Krontiris, and N. R. Prasad. Arbitrary code injection in sensor networks through self-propagating worms in von neumann architecture devices. Accepted to be published in the Computer Oxford Journal for the Algorithms, Protocols, and Future Applications of Wireless Sensor Networks special issue, 2010.

[14] S. Pai, M. Meingast, T. Roosta, S. Bermudez, S. B. Wicker, D. K. Mulligan, and S. Sastry. Transactional con¯dentiality in sensor networks. IEEE Security and Privacy, 6(4):28{35, 2008.

[15] Tmote Sky Quick Start Guide. Technical report.

[16] J. Polastre, R. Szewczyk, and D. Culler. Telos: enabling ultra-low power wireless research. In IPSN '05: Proceedings of the 4th international symposium on Information processing in sensor networks, page 48, Los Angeles, California, 2005.

[17] V. Handziski, J. Polastre, J.-H. Hauer, and C. Sharp. Flexible hardware abstraction of the TI MSP430 microcontroller in TinyOS. In SenSys '04: Proceedings of the 2nd international conference on Embedded networked sensor systems, pages 277{278, Baltimore, MD, USA, 2004.

[18] C. C. Tiu and C. C. Tiu. A new frequency-based side channel attack for embedded systems. master degree thesis, deparment of electrical and computer engineering,university of waterloo,waterloo. Technical report, 2005.

[19] S. Kim, S. Pakzad, D. Culler, J. Demmel, G. Fenves, S. Glaser, and M. Turon. Wireless sensor networks for structural health monitoring. In SenSys '06: Proceedings of the 4th international conference on Embedded networked sensor systems, pages 427{428, 2006.

[20] TinyOS. http: //www.tinyos.net/tinyos-1.x/tos/lib/MultiHopLQI, 2004.

[21] J. W. Hui and D. Culler. The dynamic behavior of a data dissemination protocol for network programming at scale. In SenSys '04: Proceedings of the 2nd international conference on Embedded networked sensor systems, pages 81{94, New York, NY, USA, 2004. ACM.

[22] I. Krontiris and T. Dimitriou. Authenticated in-network programming for wireless sensor networks. In Proceedings of the 5th International Conference on AD-HOC Networks & Wireless (ADHOC-NOW '06), pages 390{403, 2006.