}w!"#$%&'()+,-./012345<ya

Transkript

1 }w!"#$%&'()+,-./012345<ya MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY Zvýšení bezpečnosti malých směrovačů a ADSL modemů DIPLOMOVÁ PRÁCE Jan Barienčík Brno, podzim 2010

2 Prohlášení Prohlašuji, že tato diplomová práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Vedoucí práce: Ing. Pavel Čeleda, Ph.D. ii

3 Poděkování Děkuji Ing. Pavlu Čeledovi, Ph.D. za jeho odborné vedení práce, cenné rady a zkušenosti, které mi předal. iii

4 Shrnutí Tato práce pojednává o HW a SW architektuře malých směrovačů a ADSL modemů. Analyzuje bezpečnost těchto zařízení a dokumentuje současný stav jejich zabezpečení. Praktickým výstupem práce je realizace systému pro zvýšení bezpečnosti a vzdálené monitorování malých směrovačů. iv

5 Klíčová slova OpenWrt, libpcap-rpcap, RPCAPd, Snort, Infosvr, NetFlow, syslog, útok, směrovač, detekce, sledování sítě v

6 Obsah 1 Úvod Architektura malých směrovačů Technické vybavení Organizace paměti Programové vybavení Operační systém VxWorks Operační systém GNU/Linux Zavaděč systému Uživatelské aplikace Systém souborů Analýza Asus WL-500g Premium Popis zařízení Technické vybavení Programové vybavení Princip konfigurace zařízení Bezpečnostní analýza firmware Použité nástroje Sdílení souborů Universal Plug and Play DNS server Webové rozhraní Přehled nalezených zranitelností Bezpečnostní zranitelnost v Infosvr Analýza Device Discovery Analýza Download Master Démon Infosvr Vývoj exploitu Použítí Ukázka výstupu Omezení Analýza zbývajících nástrojů Návrh systému pro sledování sítě

7 5.1 Motivace Požadavky na systém Výběr distribuce Dodávaný systém Olegův firmware OpenWrt Výběr nástrojů Paketové analýza Vzdálené zachytávání paketů Analýza datových toků Systémové logy Hloubková paketová analýza Shrnutí Realizace navrženého systému Úvod do kompilace OpenWrt Vytvoření nového balíčku Balíček libpcap-rpcap Instalace systému Ověření funkčnosti Tcpdump RPCAPd nprobe Snort Závěr Literatura A Obsah CD B Pakety z komunikace nástrojů B.1 Device Discovery Výzva B.2 Device Discovery Odpověd B.3 Download Master příkaz ke spuštění C Datové struktury Infosvr D Makefile pro libpcap-rpcap

8 Kapitola 1 Úvod Rozšiřování celosvětové počítačové sítě Internet je doprovázeno zvyšujícím se počtem připojených aktivních prvků. V dnešní době není nic neobvyklého se setkat s několika takovými zařízení i v malých domácích sítích obsluhovaných běžnými uživateli. Pro připojení místní sítě k Internetu se používají hlavně ADSL (Asymetric Digital Subscriber Line) modemy a malé směrovače. Jedná se o složitější aktivní prvky poskytující i další služby. Výrobci aktivních prvků se stále snaží přidávat nové funkce, čímž zvyšují pravděpodobnost zanesení dalších chyb a složitost těchto původně jednoúčelových zařízení. Zabezpečení místní počítačové sítě je zcela závislé na bezpečnosti použitých aktivních prvků, a tedy na kvalitě programového vybavení dodávaného výrobcem. Jedním z cílů této práce je prozkoumat současný stav programového vybavení malých směrovačů a ADSL modemů za účelem identifikace zranitelných míst, které jsou potenciálně napadnutelné útočníkem nebo škodlivými programy. Práce je motivována nedávným objevem nových vzdáleně řízených škodlivých programů, takzvaných botů, napadajících právě tato nezabezpečená zařízení přes počítačovou sít. Boti naslouchají příkazům řídícího uzlu a dohromady vytváří obrovskou sít označovanou jako botnet. Útočník může sít používat například k rozesílání nevyžádané pošty nebo provádění distribuovaných útoků na vybrané sít ové servery. Sítě botnet se ve světě počítačové bezpečnosti objevují už delší dobu, ale doposud využívali výhradně osobní počítače s operačním systémem Windows. Na rozdíl od osobních počítačů, malá zařízení nejsou na škodlivé programy připravena. V systému neexistují potřebné nástroje pro detekci útoků a sledování sít ové komunikace. Část práce je proto zaměřena na návrh a realizaci systému, který by takové nástroje poskytoval. První kapitola se zabývá současně používanou architekturou ADSL modemů a malých směrovačů. Je rozdělena na technické a programové vybavení. Část o technickém vybavení popisuje funkci osazených integrovaných obvodů a používané typy pamětí. Část o programovém vybavení přibližuje používané operační systémy, zavaděče a souborové systémy. 3

9 1. ÚVOD Druhá kapitola je věnována analýze vybraného malého sít ového směrovače WL-500g Premium od firmy Asus. V kapitole je produkt důkladně popsán a následně podroben bezpečnostní analýze. Kapitola a potažmo celá práce se zaměřuje hlavně na uvedené zařízení, ale popsané metody analýzy a protiopatření jsou obecně použitelné na libovolné ADSL modemy a malé směrovače založené na operačním systému GNU/Linux. Třetí kapitola popisuje nově odhalenou zranitelnost v programovém vybavení zkoumaného malého směrovače, která umožňuje spustit vzdáleně libovolný příkaz bez znalosti přístupového hesla. Součástí kapitoly je také popis vývoje a použití nástroje Asusutility, který popsaný bezpečnostní problém prakticky demonstruje. Poslední dvě kapitoly jsou zaměřeny na návrh a přípravu nového firmware pro malý směrovač WL-500gP, jehož cílem je zvýšení bezpečnosti a poskytnutí nástrojů pro monitorování činnosti směrovače. Podle výsledků předchozích analýz a získaných zkušeností jsou nejprve stanoveny klíčové požadavky. Následuje průzkum existujících firmware a výběr vhodných nástrojů z oblastí sít ové bezpečnosti. Po návrhu systému se práce věnuje přidávání nových programů do vybrané distribuce, kompilací výsledného obrazu a jeho nasazení. Závěrem je funkčnost navrženého řešení odzkoušena a zhodnocena. 4

10 Kapitola 2 Architektura malých směrovačů Sít ový směrovač je obecně zařízení, které na základě hlavičky paketu a směrovací tabulky přeposílá paket přes odpovídající sít ové rozhraní, aby se dostal ke svému adresátovi. Malé sít ové směrovače kombinují několik funkcí do jednoho zařízení. Kromě běžného směrování implementují například překlad sít ových adres, blokování nežádoucí komunikace, službu pro překlad doménových jmen na IP adresy, službu pro přidělování IP adres počítačům v místní síti a mnoho dalších. Bývají vybaveny jedním WAN (Wide Area Network) portem pro připojení směrovače do sítě poskytovatele internetových služeb a několika LAN (Local Area Network) porty pro připojení počítačů do místní sítě. Malý směrovač může navíc obsahovat Wifi modul nebo integrovaný ADSL modem. V případě malého směrovače s integrovaným ADSL modemem je WAN port nahrazen konektorem RJ-11 pro připojení modemu k digitální telefonní lince. Wifi modul slouží k rozšíření místní sítě o bezdrátovou sít. Multimediální malé směrovače přidávají USB rozhraní otevírající další směry využití zařízení. Mohou sloužit jako sítové úložiště, tiskový server nebo sít ová web-kamera. Notebook PDA Internet ADSL/Cable modem WAN WIFI USB tiskárna pevný disk LAN webkamera stolní počítač Obrázek 2.1: Možnosti zapojení malého multimediálního směrovače 5

11 2. ARCHITEKTURA MALÝCH SMĚROVAČŮ 2.1 Technické vybavení Malé směrovače jsou jednodeskové počítače. Všechny součásti včetně konektorů jsou osazené na jedné základní desce. Využívají se hlavně integrované obvody implementující určitou funkcionalitu na jednom čipu, čímž se minimalizuje složitost, velikost a energetická spotřeba celé základní desky. Flash Síťový procesor RAM 2-32 MiB MiB rádio WI-FI Ethernet PHY Ethernet Switch ANT USB WAN 4x LAN Obrázek 2.2: Blokové schéma malého směrovače Hlavním integrovaným obvodem na základní desce je sít ový procesor označovaný někdy také zkratkou SoC (System on a Chip). Obvod obsahuje vlastní mikroprocesor, různé řadiče, vnitřní sběrnici a rozhraní pro komunikaci s externími periferiemi. Mikroprocesor bývá nejčastěji 32 bitový procesor založený na MIPS nebo ARM architektuře. Každé integrované sít ové rozhraní malého směrovače má uvnitř sít ového procesoru vlastní MAC (Medium Access Controller) implementující adresaci a přístup do komunikačního kanálu. Řadiče MAC jsou napojeny přes MII (Medium Independent Interface) na další obvody, které zajišt ují převod univerzálních signálů na fyzické. Obvodem může být jednoduchý jednoportový ethernetový transceiver, víceportový integrovaný switch nebo bezdrátové rádio. Sít ový procesor může navíc obsahovat řadič USB (Universal Serial Bus) rozhraní nebo dokonce řadiče zvukových kanálů pro hlasové služby. Můžeme v něm dále nalézt řadič rozhraní UART (Universal Asynchronous Receiver Transmitter) pro sériovou komunikaci a řadič vstupně výstupního rozhraní GPIO (General Purpose Input Output) pro připojení ovládacích tlačítek a signalizačních LED diod. 6

12 2. ARCHITEKTURA MALÝCH SMĚROVAČŮ Organizace paměti Malé směrovače využívají energeticky závislé i nezávislé paměti s přímým přístupem. Operační pamět označovaná jako RAM (Random Access Memory) je rychlá energeticky závislá pamět primárně určená pro spouštění aplikací. Často se ale využívá i jako virtuální disk pro ukládání dočasných souborů, protože persistentní pamět má většinou omezený počet zápisů. Firmware malých směrovačů je uložen v pomalejší energeticky nezávislé paměti. Dříve se používala pamět typu ROM (Read Only Memory), do které byl firmware napevno nakopírován při výrobě. Nyní se používá přepisovatelná pamět typu Flash umožňující jednoduchou aktualizaci firmware přímo uživatelem. Protože původní pamět ROM neumožňovala zápis, zavedla se pro ukládání nastavení speciální zapisovatelná pamět označovaná jako NVRAM (Non-volatile) o velikosti řádově pár kilobajtů. V současné době bývá NVRAM často fyzicky realizovaná jako část adresního prostoru paměti Flash, protože je to cenově výhodnější než osazovat základní desku samostatným čipem s dražší pamětí. RAM kernel aktivní procesy tmpfs Flash zavaděč spuštění kernel aplikace NVRAM konfigurace systému a zavaděče Obrázek 2.3: Organizace paměti v malých směrovačích 2.2 Programové vybavení Firmware je programové vybavení elektronického zařízení. Může se jednat o jednoduchý program nebo složitý systém v závislosti na typu zařízení. V malých směrovačích a ADSL modemech se jako firmware označuje operační systém, uživatelské aplikace a zavaděč systému. Používají se hlavně dva typy operačních systémů. Prvním je komerční systém VxWorks, vyvinutý speciálně pro embedded zařízení. Druhým typem jsou systémy založené na svobodném operačním systému GNU/Linux s otevřeným zdrojovým kódem používaným i na běžných osobních počítačích a serverech. Tato práce se zabývá bezpečností malých směrovačů založených hlavně na operačním systému GNU/Linux, protože takových zařízení neustále přibývá a jsou čím dál častěji terčem různých sít ových útoků. 7

13 2.2.1 Operační systém VxWorks 2. ARCHITEKTURA MALÝCH SMĚROVAČŮ VxWorks byl vytvořen americkou firmou Wind River Systemes zabývající se vestavěnými systémy. Podporuje značnou řadu architektur jako například x86, MIPS, ARM nebo PowerPC. Klíčové vlastnosti systému jsou podpora multitaskingu, zpracování aplikací v reálném čase s rychlou odezvou a podpora zpracování procesů na více jádrech. K systému je dodáváno vývojové prostředí včetně cross kompilátoru umožňující překlad aplikací pro VxWorks na běžných systémech Windows nebo Linux. Běh zkompilovaných aplikací lze vyzkoušet na simulátoru zařízení VxSim. Systém VxWorks patří mezi nejrozšířenější vestavěné systémy a kromě malých směrovačů, telefonů nebo satelitních přijímačů je používán například i pro řízení umělých kosmických těles. [14] Operační systém GNU/Linux GNU/Linux je vytvářen komunitou spolupracujících vývojářů po celém světě. Vznikl spojením linuxového jádra a projektu GNU. Základ linuxového jádra naprogramoval pro architekturu x86 Linus Torvalds v roce Od té doby bylo jádro neustále vylepšováno a nyní podporuje kromě velkého množství zařízení i mnoho dalších architektur, jako například MIPS, ARM, PowerPC, x Díky tomu je GNU/Linux použitelný i v malých zařízeních. Cílem projektu GNU je vytvořit kompletní programový systém kompatibilní se systémem Unix složený pouze ze svobodných programů s otevřeným zdrojovým kódem. Projekt je šířen pod GNU GPL licencí, která umožňuje zdrojové kódy programů volně používat a modifikovat pod podmínkou, že všechny modifikace a aplikace využívající GNU programy spadají opět pod GNU GPL licenci. Výrobci malých směrovačů mohou tedy GNU/Linux používat ve svém zařízení, ale rovněž musí zpřístupnit kompletní zdrojové kódy systému, ze kterých je možné sestavit výsledný obraz firmware Zavaděč systému Zavaděč (boot loader) primárně slouží ke spuštění operačního systému. Může být ale využíván i jako servisní konzole zařízení. Konzole je přístupná přes Ethernet nebo sériovou linku. Pomocí příkazu zde lze zavaděč konfigurovat, nastavovat spouštěcí parametry operačního systému nebo stahovat firmware přes TFTP (Trivial File Transport Protocol) a instalovat jej do Flash paměti. 8

14 2. ARCHITEKTURA MALÝCH SMĚROVAČŮ Operační systém VxWorks používá svůj vlastní zavaděč. Pro systém GNU/Linux existují volně šiřitelné zavaděče například RedBoot, CFE, Das U Boot a další Uživatelské aplikace Malé směrovače založené na operačním systému GNU/Linux mohou používat GNU aplikace napsané v jazyce C. Většinou se však používají odlehčené verze, u kterých je kladen důraz na minimální velikost a spotřebu systémových prostředků. Dostupná pamět u malých směrovačů je totiž značně omezená. Základním kamenem těchto programů je knihovna uclibc poskytující nezbytné funkce pro práci se systémem. Jedná se o standardní knihovnu programovacího jazyka C, která je ovšem mnohem menší než běžná knihovna GNU C Library používaná u osobních počítačů. Menší velikost je dosažena optimalizací kódu a vypuštěním některých nevyužívaných funkcí z knihovny. Aplikace napsané v jazyce C mají určitou opakující se režii. V případě malých jednoúčelových programů zabírá tato režie značnou část ve výsledném spustitelném kódu. V malých směrovačích se proto používá projekt Busybox, který nadbytečnou režii odstraňuje elegantním způsobem. Požadované malé aplikace spojuje do jednoho spustitelného souboru, který je zastupuje. Volání jednotlivých programů je realizováno pomocí symbolických odkazů na Busybox. Spojení aplikací umožňuje další optimalizace jako sloučení stejných funkcí. Je podporováno velké množství programů, převážně nástrojů pro práci se soubory a terminálem. Programy mají většinou menší počet spouštěcích parametrů než obvykle, čímž se dosahuje ještě větší redukce velikosti výsledného kódu Systém souborů Firmware v malých směrovačích je většinou koncipován jako statický. Soubory jsou jednou vytvořeny a nepočítá se s tím, že by se dále měnily. Dostupné souborové systémy pro malé směrovače jsou proto zpravidla pouze ke čtení. Nejpoužívanější jsou CramFS a SquashFS. Jedná se o komprimované souborové systémy poskytující okamžitý přístup k souborům bez potřeby vlastního rozbalení před použitím. Využívají se kompresní algoritmy GZIP a LZMA. K dispozici jsou i další méně používané systémy souborů RomFS a JFFS2 (Journalling Flash File System). První je jednoduchý nekomprimovaný systém souborů určený pouze ke čtení. Druhý zástupce je specifický podpo- 9

15 2. ARCHITEKTURA MALÝCH SMĚROVAČŮ rou čtení i zápisu. JFFS2 byl vytvořen speciálně pro Flash paměti. Snaží se redukovat počet zápisů do stejných oblastí a zvýšit tak životnost paměti. V malých směrovačích se používá jen zřídka, protože má zbytečně vyšší režii než souborové systémy pouze ke čtení. Zápis do souborů není u malých směrovačů a ADSL modemů díky přítomnosti NVRAM navíc potřeba. [19] 10

16 Kapitola 3 Analýza Asus WL-500g Premium Na trhu je řada malých směrovačů a ADSl modemů založených na operačním systému GNU/Linux. Pro analýzu stavu bezpečnosti těchto zařízení byl zvolen často používaný malý směrovač ASUS WL-500g Premium, jelikož se jedná o hodně vybavené zařízení poskytující řadu funkcí. Momentálně existují dvě revize tohoto zařízení. K analýze byla použita novější revize identifikovatelná příponou V2, protože starší už není běžně k dispozici. Na první pohled vypadají obě revize úplně stejně, ale rozdíly jsou nezanedbatelné. Revize V2 obsahuje úplně novou řadu firmware s novým webovým rozhraním a funkcemi. Nová řada je používána u více zařízení, takže nalezené bezpečnostní problémy se týkají i dalších produktů firmy ASUS používajících stejné programové vybavení, jako například malý směrovač WL-520gu. Po stránce technického vybavení přináší revize V2 hlavně novější verzi sít ového procesoru obsahující sít ový přepínač přímo uvnitř čipu a integrované bezdrátové rádio nahrazující dražší MiniPCI slot s bezdrátovou sít ovou kartou. Nová revize některé uživatele moc nepotěšila, jelikož absence MiniPCI slotu zamezuje výměnu bezdrátového radia za lepší nebo úplně jiné MiniPCI zařízení. Frekvence mikroprocesoru byla navíc o trochu snížena z 264 MHz na 240 MHz. [9] 3.1 Popis zařízení Asus WL-500g Premium V2 je bezdrátový multimediální malý směrovač s bezdrátovým rádiem a USB portem. Může zastávat funkci internetové brány, sít ového směrovače, bezdrátového přístupového bodu, tiskového serveru, serveru pro ukládání souborů, sít ové web kamery a jiné. Zařízení je prodáváno v balení obsahující mimo vlastní malý směrovač napájecí zdroj s napětím 5 V a maximální zátěží 2.5 A, dva metry dlouhou kroucenou dvoulinku pro připojení počítače k malému směrovači, standardní všesměrovou anténku se ziskem 2 db pro vnitřní použiti, český ná- 11

17 3. ANALÝZA ASUS WL-500G PREMIUM vod k použití a CD. Kompaktní disk obsahuje zdrojové kódy včetně GPL licence, elektronickou verzi návodu k použití a speciální nástroje, kterým se práce ještě věnuje později. Malý směrovač je vybaven napájecím konektorem, dvěma USB porty, čtyřmi sít ovými konektory pro místní sít LAN, jedním konektorem WAN pro připojení k Internetu, tlačítkem pro restartování zařízení, programovatelným tlačítkem pro spuštění nastavené akce a anténním konektorem pro připojení interní nebo venkovní antény. Uvnitř zařízení jsou dále připraveny kontaktní plošky pro připojení servisní linky. Používá se sériové rozhraní s napět ovou úrovní 3,3 V. Pro připojení malého směrovače k běžnému sériovému rozhraní osobního počítače je nutné použít konvertor napět ových úrovní, který převede signály na napětí 12 V. [9] Anténa 1xWAN 4xLAN 2xUSB 2.0 Napájecí konektor Programovatelné tlačítko a reset Obrázek 3.1: Zadní panel Asus WL-500gP V2 [16] Zařízení se konfiguruje pomocí webového rozhraní poskytujícího jednoduché průvodce i pokročilé nastavení. Pokročilé nastavení je rozděleno na oblasti bezdrátové přípojení, LAN, WAN, USB aplikace, firewall, správa a systémový záznam. Bezdrátové připojení slouží k nastavení bezdrátového rádia malého směrovače. Je podporován režim přístupového bodu, bezdrátového mostu pro spojení dvou samostatných sítí a bezdrátového distribuovaného systému pro vytváření rozsáhlých bezdrátových sítí. Bezpečnost je zajištěna pomocí standardních šifrovacích algoritmů a filtrace klientů na základě jejich MAC adresy. Navíc lze aktivovat izolaci klientů, pro zamezení přímé komunikace mezi jednotlivými bezdrátovými stanicemi, a zapínání rádia podle nastaveného časového plánu. Je podporována i nová metoda snadné konfigurace silného šifrování WPS (Wireless Protected Setup) pomocí osobního identifikačního čísla nebo párovacího tlačítka na zařízení. Pro zlepšení bezdrátového přenosu multimediálních dat je do malého směrovače přidána pod- 12

18 3. ANALÝZA ASUS WL-500G PREMIUM pora WMM (Wifi Multimedia) rozšiřující bezdrátové sítě o řízení a upřednostňování datových toků, které zaručuje určitou kvalitu komunikačních služeb QoS (Quality of Service). Sekce LAN nastavuje místní sít. Je zde umístěno nastavení IP protokolu verze 4 pro odpovídající rozhraní, zapnutí podpory multicastu, nastavení statického směrování a konfigurace DHCP serveru pro přidělování IP adres připojeným klientům. DHCP server dovoluje zadaným klientům přidělovat stejnou IP adresu na základě jejich MAC adresy usnadňující identifikaci zařízení na síti. Připojení k Internetu a přesměrování portů se nastavuje v sekci WAN. IP protokol u sít ového rozhraní lze nastavit ručně nebo automaticky ze serveru poskytovatele internetových služeb. Jsou podporovány i další protokoly jako PPTP (Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol) nebo PPPoE (Point to Point Protocol over Ethernet). Sdílení internetového připojení je realizováno překladem sít ových adres. Příchozí spojení na případnou veřejnou IP adresu mohou být přesměrovány na vybraného klienta v místní síti pomocí DMZ host. Lze přesměrovávat i jednotlivé porty a využít tak veřejnou IP adresu pro více klientů. Zařízení podporuje i službu DDNS (Dynamic Domain Name System) poskytující stálé doménové jméno pro dynamicky přidělenou veřejnou IP adresu pomocí zasílání aktuální IP adresy na DDNS server. Kvalita služeb QoS je dosažena nastavitelnou prioritou pro zadané zdrojové a cílové IP adresy. Sekce USB aplikace se zabývá hlavně sdílením souborů z připojených USB disků. Jsou podporovány dvě metody. Vzdálený přístup k souborům SMB/CIFS (Server Message Block, Common Internet File System) běžně používaný u systémů Windows ke sdílení souborů a FTP (File Transfer Protocol) používaný pro přenos souborů přes Internet. Obě metody využívají jednotnou správu uživatelských účtů definující uživatele a jejich oprávnění. Kromě nastavení sdílení souborů lze na této konfigurační stránce vypnout podporu jednoduchého připojování zařízení k síti UPnP (Universal Plug and Play). Nastavení blokování nežádoucí komunikace se provádí na stránce Firewall. Najdeme zde blokování přístupu na webové rozhraní ze zóny WAN, blokování odpovědi na výzvu ICMP Echo Request, ochranu proti DoS (Denial of Service) útokům, blokování přístupu na nepovolené webové stránky a uživatelské nastavení dalších filtrů podle libovolných položek hlavičky IP paketu. Poslední dvě sekce obsahují nastavení přístupového hesla administrátora, nastavení synchronizace času pomocí NTP (Network Time Protocol), nahrání nového firmware, zobrazení systémového logu a směrovací tabulky. 13

19 3. ANALÝZA ASUS WL-500G PREMIUM Technické vybavení Asus WL-500g Premium V2 je složen ze sít ového procesoru BCM5354 firmy Broadcom, 32 MiB operační paměti a 8 MiB paměti Flash. Na desce zařízení není samostatná pamět NVRAM pro ukládání nastavení ani žádné další integrované obvody. Sít ový procesor tedy vykonává veškerou funkcionalitu malého směrovače. Integrovaný obvod obsahuje 32 bitový MIPS mikroprocesor s pracovní frekvencí 240 MHz a jednotkou pro správu operační paměti MMU (Memory Management Unit). Jednotka slouží k ochraně a virtualizaci paměti. Provádí překlad virtuálních adres na fyzické. Sít ová rozhraní malého směrovače jsou uvnitř integrovaného obvodu zastoupena vestavěným sít ovým přepínačem, který obsahuje jak řadič řízení přístupu k médiu, tak převodník signálů na fyzické signály komunikačního média. Obdobně bezdrátové sít ové rozhraní je rovněž kompletně integrováno včetně Broadcom IEEE b/g rádia. Sít ový procesor obsahuje dále řadič USB rozhraní verze 2.0, rozhraní pro komunikaci s Flash a operační pamětí, vstupně výstupní rozhraní GPIO, rozhraní JTAG pro odlad ování systému a rozhraní UART. 1 MB-32MB Flash USB 2.0 Host Flash I/F b/g MAC/PHY/Radio 16 KB I-Cache 16 KB D-Cache Encore DSP PLL GPIO 2 MB-128MB 120 Mhz DDR/SDR SDRAM SDRAM I/F 240-MHz MIPS32 with MMU JTAG UART Low-Cost Five-Port Switch 10/100 MAC/PHY Obrázek 3.2: Systémový diagram sít ového procesoru BCM5354 [1] Programové vybavení Analyzovaný malý směrovač Asus WL-500g Premium V2 má od výrobce nainstalovaný firmware verze , jehož zdrojové kódy jsou k dispozici na přiloženém CD a webových stránkách firmy Asus. Firmware obsahuje zavaděč CFE (Common Firmware Environment) od firmy Broadcom, který po zapnutí zařízení spouští operační systém GNU/Linux s linuxovým jádrem řady 2.4, konkrétně verze Pro uložení operačního systému a 14

20 3. ANALÝZA ASUS WL-500G PREMIUM programů v paměti Flash byl zvolen komprimovaný souborový systém SquashFS. Adresářová struktura je tedy pouze ke čtení. Nastavení malého směrovače je proto ukládáno v umělé vytvořené paměti NVRAM o velikosti 32 KiB. Pamět obsahuje pole proměnných a jejich hodnot. S pamětí lze pracovat explicitně pomocí nástroje nvram umožňujícího pole číst i do něj zapisovat. Jednotlivé funkce malého směrovače bývají většinou reprezentovány samostatnými programy. Například program Dproxy plní funkci serveru pro překlad doménových jmen na IP adresy. Server pro přidělování adres připojeným zařízením je pro změnu implementován programem Udhcpd. Výjimkou je program Busybox, který vykonává činnost mnoha unixových malých nástrojů. Blokování nežádoucí komunikace, překlad sít ových adres a přesměrovávání portů je řešeno přímo jádrem operačního systému. Konkrétně se jedná o vrstvu Netfilter ovlivňující průchod paketů přes TCP/IP stack na základě pravidel definovaných v příslušných tabulkách. Pravidla se většinou nastavují nástrojem iptables spuštěném v uživatelském prostoru. Firmware obsahuje pouze odlehčený nástroj iptables-restore, který tabulky dokáže obnovit ze zadaného souboru, ale neumožňuje nastavená pravidla zobrazit. Funkce malého směrovače se nastavují přes administrativní webové rozhraní běžící na http serveru milli_httpd vyvíjeným firmou Broadcom. Jedná se o server vycházející z kombinace serverů micro_httpd a mini_httpd od firmy ACME Labs Software. Webový server byl rozšířen o mnoho podpůrných funkcí pro interpretaci vlastních ASP (Active Server Pages) skriptů. Především o funkce pro práci s NVRAM pamětí. Podle vložených licencí uvnitř zdrojových kódů je webový server považován za proprietární programové vybavení firmy Broadcam. Jádro programu je ale díky licenčním podmínkám původních projektů stále volně šiřitelné. Předchozí revize zařízení podporovala kromě webového rozhraní ještě konfiguraci přes vzdálený terminál. Použitý terminálový server reprezentovaný aplikací utelnetd je dostupný i v novější revizi V2, ale z neznámých důvodů je implicitně vypnutý. Webové rozhraní neposkytuje žádnou možnost terminálový server zapnout. Nastavení malého směrovače se zpracovává programem rc zajišt ujícím spouštění a zastavování systémových služeb. Zastupuje rovněž funkci hlavního programu init, kterému se po spuštění jádra předává řízení, aby provedl inicializaci uživatelského prostoru a spustil všechny ostatní procesy. Program rc je vytvořen firmou Broadcom a ASUSTek Inc. 15

21 3.1.3 Princip konfigurace zařízení 3. ANALÝZA ASUS WL-500G PREMIUM Změna nastavení malého směrovače začíná na webovém rozhraní, kde se pomocí HTML formuláře odešlou nové hodnoty na stránku start_apply.htm. Přestože název stránky má příponu htm používanou pro statické webové stránky, jedná se o skript na straně serveru zpracovávající formulář. Skript nejprve zavolá podpůrnou funkci update_variables() aktualizující pole proměnných v pracovní kopii paměti NVRAM podle nových hodnot. Odeslaný formulář s novým nastavením obsahuje kromě vlastních hodnot také seznam skupin, kterých se změny týkají. Na základě tohoto seznamu jsou později odpovídající systémové služby restartovány. Seznam také slouží k validaci nových hodnot, protože každá skupina má definované atributy, které musí být vyplněny. Po zkontrolování správnosti nových hodnot je skriptem spuštěna podpůrná funkce asus_nvram_commit(). Funkce ukládá obsah pracovní kopie do permanentní NVRAM paměti. Nakonec skript spouští podpůrnou funkci notify_services() pro restartování příslušných systémových služeb a tím je změna konfigurace dokončena. Restart služeb provádí program rc. Funkce notify_services() informuje program rc o změně nastavení zasláním signálu SIGUSR1. Program rc provede restart služby, jejíž název je předán pomocí názvu souboru vytvořeného ve složce /tmp/rc_notification. Po restartování služby je soubor opět vymazán. Při restartování služby jsou parametry čteny z NVRAM paměti programem rc, takže aplikace reprezentující službu s ní nepotřebuje vůbec pracovat. Všechny parametry dostane od programu rc. httpd NVRAM tmpfs rc nastav: wan_ipaddr= ulož hodnoty vytvoř soubor: /tmp/rc_notification/restart_networking pošli signál: SIGUSR1 notify_services() asus_nvram_commit() update_variables() načti obsah: /tmp/rc_notification/ načti parametry restartované služby Obrázek 3.3: Interakce komponent při změně WAN IP adresy 16

22 3.2 Bezpečnostní analýza firmware 3. ANALÝZA ASUS WL-500G PREMIUM Asus WL-500g Premium revize 2 obsahuje mnoho funkcí. Obecně platí, že čím více funkcí zařízení poskytuje, tím více může obsahovat bezpečnostních problémů. Bezpečnost malých směrovačů bývá podceňována, jelikož se jedná o relativně levná zařízení pro domácí použití. Nalezené zranitelnosti mají různou důležitost, od drobných nedostatků po závažné bezpečnostní problémy. Cílem bezpečnostní analýzy bylo odhalit zranitelnosti umožňující útočníkovi získat plnou kontrolu nad zařízením a spustit v něm vlastní kód Použité nástroje Prvním a zároveň nejdůležitějším použitým nástrojem je Nessus od firmy Tenable Network Security. Jedná se o bezpečnostní skener hledající známé bezpečnostní zranitelnosti. Je určen pro skenování vzdálených strojů připojených do počítačové sítě, ale lze spustit i na stroji lokálním. Nessus obsahuje systém zásuvných modulů pro jednoduchou aktualizaci a rozšiřování databáze zranitelností. Počet zásuvných modulů je aktuálně přibližně Skener se ovládá pomocí webového rozhraní naslouchajícího na portu 8834, což umožňuje Nessus používat i vzdáleně bez instalace klientské aplikace. Pro domácí použití je program poskytován zcela zdarma, v opačném případě je třeba platit poplatek na každý rok. Druhý použitý nástroj je aplikace s otevřeným zdrojovým kódem nazvaná Nmap (Network Mapper). Aplikace je primárně určena k vyhledávání zařízení připojených k počítačové síti a skenování otevřených portů. Na základě databáze charakteristik operačních systémů a často používaných služeb je nmap schopen odhadnout typ spuštěného operačního systému a verzi jednotlivých služeb běžících na otevřených portech. Program od verze 4.2 obsahuje skriptovací mechanizmus NSE (Nmap Script Engine) pro interpretaci uživatelských skriptů v jazyce Lua. Jazyk je rozšířen o funkce programu Nmap, což umožňuje rychle vytvářet skripty pro nejrůznější sít ové úlohy, jako například vyhledávání nově objevených zranitelností, a obohatit tak funkce programu. Nmap je konzolová aplikace s textovým rozhraním. Je k dispozici i oficiální python aplikace Zenmap poskytující grafické uživatelské rozhraní. Grafické rozhraní funguje jako spouštěč a interpret výstupů. Další použitý nástroj nazvaný Wireshark neslouží přímo k analýze bezpečnosti jako takové, ale k podrobnému zkoumání probíhající sít ové komunikace. Wireshark je nejpoužívanější paketový analyzátor podporující řadu 17

23 3. ANALÝZA ASUS WL-500G PREMIUM protokolů z linkové, sít ové, transportní a aplikační vrstvy referenčního modelu ISO/OSI. Znalost protokolů dovoluje identifikovat v datovém toku jednotlivé části a vypsat je na obrazovku počítače. K dispozici je grafické i textové rozhraní programu. Wireshark zachytává sít ovou komunikaci pomocí knihovny Libpcap poskytující aplikacím jednotný přístup k surovým datům sít ové karty. Knihovna i nástroj Wireshark jsou aplikace s otevřeným zdrojovým kódem a tedy opět volně k použití. Posledním užitečným nástrojem pro bezpečnostní analýzu zařízení je volně šiřitelný paketový generátor Mausezahn s otevřeným zdrojovým kódem. Paketový generátor umožňuje vytvářet a odesílat pakety s libovolným obsahem ze zadaného sít ového rozhraní. Uplatní se při testování nestandardních situací. Konkrétně při testování reakcí služeb na příchod neočekávaného paketu, testování odolnosti proti DoS (Denial of Services) útokům nebo testování systému pro blokování nežádoucí komunikace Sdílení souborů Malý směrovač Asus WL-500gP nabízí možnost sdílení souborů z připojeného USB disku pomocí FTP (File Transfer Protocol) a SMB/CIFS (Server Message Block, Common Internet File System) protokolu. Služby jsou v systému reprezentovány volně šiřitelnými servery Vsftpd a Samba, které jsou spuštěny až po připojení USB disku a po jeho odpojení opět ukončeny. První nalezený bezpečnostní problém je skutečnost, že po připojení USB disku je celý svazek zpřístupněn pomocí FTP protokolu na WAN rozhraní pod anonymním uživatelským účtem s plným oprávněním. Pokud má malý směrovač veřejnou IP adresu, může se kdokoliv z Internetu na FTP server připojit a obsah disku číst nebo vymazat. USB disk je rovněž plně přístupný z místní sítě přes FTP i SMB/CIFS protokol, což už ale není tak závažný problém. Přístupová práva lze přes webové rozhraní malého směrovače změnit, ale uživatel si hrozící riziko nemusí uvědomit. Bezpečnostní skener v případě FTP serveru Vsftpd nenalezl, kromě anonymního přihlášení, žádný další bezpečnostní problém. Na domácí stránce programu je tedy popis pravděpodobně nejbezpečnější a nejrychlejší FTP server pro unixové systémy uveden nejspíš oprávněně. V malém směrovači je použita starší verze Vsftpd serveru označovaná řetězcem Při hledání možných zranitelností pro uvedenou verzi, byly nalezeny dvě potenciálně použitelné. Zranitelnosti umožňovaly provést DoS útok na Vsftpd server verze První zranitelnost se týkala modulu pro podporu autentizačního mechanizmu PAM (Pluggable Authentication Modules), který není v systému vůbec implementován. Druhá zranitelnost se týkala pouze 18

24 3. ANALÝZA ASUS WL-500G PREMIUM distribuce RedHat, ve které byl nevhodně upraven kód funkce pro filtrování výpisu obsahu adresáře. Obě zranitelnosti způsobovaly pád programu zaplněním dostupné operační paměti, ale u nainstalované verze Vsftpd serveru nebyly použitelné. V případě serveru Samba pro sdílení souborů přes SMB/CIFS protokol byla situace z hlediska bezpečnosti mnohem horší. Samba server podle výsledků bezpečnostního skeneru obsahuje velké množství zranitelností. V zařízení je nainstalovaná celkem zastaralá Samba verze Jde o jednu z prvních verzí nové řady 3.x obsahující ještě mnoho chyb. Následující zranitelnosti umožňují podle skeneru vzdálené spuštění vlastního kódu uvnitř zařízení i DoS útoky. Samba NDR MS-RPC Request Heap-Based Remote Buffer Overflow Samba smbd FindNextPrintChangeNotify() Request Remote DoS Samba Multiple Remote Vulnerabilities Samba Mangling Method Hash Overflow Samba < Multiple Remote DoS Pro Samba server řady 3.x existuje pouze jeden veřejně dostupný exploit, tedy program prakticky demonstrující bezpečnostní problém. Exploit je ale vytvořen pouze pro Sambu verze spuštěnou na architektuře x86. Identifikované zranitelnosti proto nebyly prakticky odzkoušeny. Pokud by výrobce malého směrovače Samba server pomocí záplat zabezpečil, ale zachoval číslování verze, byla by detekce provedena špatně. Bezpečnostní skener totiž rozpoznal zranitelnosti pouze na základě verze Samba serveru. Z toho důvodu jsem navíc provedl kontrolu zdrojových kódů a ověřil, že bezpečnostní záplaty skutečně neobsahují Universal Plug and Play Slovní spojení Universal Plug and Play označuje skupinu sít ových protokolů pro jednoduché nalezení a propojení dostupných služeb na počítačové síti, jako například tisk, sdílení dat, přenos zvuku a obrazu nebo připojení k Internetu. Pro malé směrovače je nejpodstatnější řídicí protokol IGD (Internet Gateway Device). Protokol umožňuje například dynamicky přidělovat porty externího rozhraní směrovače jednotlivým zařízením v místní síti nebo zjišt ovat informace o nastavení externího rozhraní. Nevýhodou UPnP je absence jakékoliv autentizace. Některá bezpečnostní rizika proto vyplývají přímo ze specifikace. 19

25 3. ANALÝZA ASUS WL-500G PREMIUM Asus WL-500gP používá implementaci UPnP od firmy Broadcom, která je obecně charakteristická dvěma bezpečnostními problémy. Prvním je možnost přerušení spojení malého směrovače s externí sítí poskytovatele Internetových služeb. Druhým pak možnost přesměrování portů externího rozhraní na jiná zařízení vnější sítě. Někteří výrobci malých směrovačů proto implementaci UPnP od firmy Broadcom před nasazením do svých produktů ještě upravují. Asus WL-500gP obě zranitelnosti obsahuje. Podpora UPnP je navíc v zařízení implicitně zapnuta bez jakýchkoliv varování o možných bezpečnostních rizicích. Přerušení spojení s externí sítí způsobuje zaslání signálu ForceTermination ze schématu WANIPConnection. Signál může odeslat jakékoliv zařízení v místní síti podporující UPnP. Spojení lze opět obnovit zasláním signálu RequestConnection. Problém nastává v případě, kdy administrátor malého směrovače neví o existenci této funkce. Webové rozhraní nezobrazuje informace o příčině odpojení sítě ani neobsahuje ovládací prvek pro obnovení. Administrátor musí pro obnovu spojení znovu nastavit WAN rozhraní nebo zařízení restartovat. Přesměrování portů externího rozhraní lze zneužít mnoha způsoby. Problém spočívá v neprověřování cílové IP adresy. Externí port malého směrovače lze přesměrovat na úplně jiné zařízení, než ze kterého požadavek přišel. Zadaná IP adresa může být z vnitřní nebo dokonce vnější sítě. Pokud má vnější rozhraní malého směrovače veřejnou IP adresu, může kdokoliv z vnitřní sítě zpřístupnit služby místních zařízení vnějšímu světu. Dalším příkladem zneužití je zablokování přístupu k vnější službě malého směrovače. Pokud je při přesměrování zadán port, na kterém už běží například FTP server, stane se služba nedostupnou. Vlastnost lze také využít k provedení MITM (Man in the Middle) útoku, kdy původní port je přesměrován na jiné zařízení, které se připojuje pomocí dalšího přesměrování na port původní. Posledním příkladem zneužití přesměrování je k provedení anonymní komunikace. Port malého směrovače může být přesměrován na zařízení ve vnější síti a tím poskytnout ostatním zařízením prostředníka pro anonymní komunikaci s cílovou IP adresou. Anonymní komunikace může být zneužita pro rozesílání nevyžádané elektronické pošty nebo útokům DNS server DNS (Domain Name System) server slouží k překladu doménových jmen na IP adresy. Systém doménových jmen se skládá z hierarchicky uspořádané struktury serverů, které obhospodařovávají pouze určitou zónu. Při překladu doménového jména musí být struktura prohledána postupným 20

26 3. ANALÝZA ASUS WL-500G PREMIUM zasláním dotazů do každé zóny tvořící doménové jméno. Pro snížení objemu přenášených dat a zátěže serverů se občas používají ještě pomocné DNS servery. Pomocné servery ukládají zpracované dotazy do vyrovnávací paměti pro opakované použití. Asus WL-500g Premium pro vyřizování dotazů z místní sítě používá pomocný DNS server Dproxy-nexgen. Server ukládá zpracované dotazy do dočasného textového souboru obsahujícího rovněž uživatelsky definované překlady doménových jmen. V zařízení je kromě Dproxy nainstalován program Dnsmasq poskytující obdobnou funkcionalitu. Program však není nikterak používán a je tedy nejspíš pouze pozůstatkem z vývoje programového vybavení malého směrovače. Dproxy-nexgen obsahuje bezpečnostní zranitelnost CVE [3] umožňující vzdálené spuštění kódu. Bezpečnostní skener Nessus nalezenou chybu vůbec nedetekoval. Zranitelnost byla odhalena a zdokumentována už v roce 2007, ale doposud nebyla stále odstraněna. Vývoj aplikace Dproxy-nexgen byl nejspíš ukončen. Zranitelnost lze využít pouze z místní sítě, protože přístup z externího rozhraní je blokován. Dostupný exploit není optimalizován pro MIPS architekturu, a tak způsobuje místo spuštění vzdáleného kódu pouze pád serveru Webové rozhraní Bezpečnostní skener při analýze webového serveru neobjevil žádná slabá místa. Server je realizován programem milli_httpd založeném na kombinaci mini_httpd a micro_httpd. Ani jeden z uvedených programů neobsahuje veřejně známé zranitelnosti. Analýza webového rozhraní odhalila bezpečnostní problém vyvolaný nekorektním chováním klienta. Pokud je navázáno spojení na port webového serveru bez odeslání jakýchkoliv dat, webový server nekonečně vyčkává, dokud není spojení klientem přerušeno. Při čekání nejsou obsluhovány žádné další požadavky a webové rozhraní se tak stává nedostupné. Webové rozhraní používá autentizaci typu Basic auth, která zasílá přihlašovací jméno a heslo v nekódovaném tvaru při každém načtení webových stránek. Přihlašovací údaje je proto možné snadno odposlechnout. Konkrétní podmínky vyžadování autentizace jsou definovány ve zdrojových kódech webového serveru. Dokud není implicitní přihlašovací heslo změněno, umožňuje server přístup k některým stránkám bez přihlášení. Po nastavení nového přístupového hesla je neautentizovaný přístup ke všem stránkám zablokován. Webové rozhraní tedy neumožňuje obcházet autentizaci například přímou komunikací s konfiguračními skripty nebo zadáním adresy nějaké zapomenuté konfigurační stránky. 21

27 3.3 Přehled nalezených zranitelností 3. ANALÝZA ASUS WL-500G PREMIUM Následující tabulka shrnuje zjištěné bezpečnostní problémy u malého směrovače Asus WL-500g Premium revize 2 s firmware popsané v této kapitole. Tabulka je rozdělena do čtyř sloupců stručně charakterizující zranitelnosti. Sloupec riziko je pouze orientační a snaží se vystihnout pravděpodobnost výskytu a případné následky zranitelnosti. Služba Popis zranitelnosti Riziko Rozhraní FTP Anonymní přístup k USB disku vysoké WAN (s možností čtení i zápisu) FTP Anonymní přístup k USB disku nízké LAN (s možností čtení i zápisu) Samba Anonymní přístup k USB disku nízké LAN (s možností čtení i zápisu) Samba Zablokování služby střední LAN (více zranitelností) Samba Spuštění kódu vysoké LAN (více zranitelností) UPnP Odpojení od externí sítě vysoké LAN (pomocí ForceTermination) UPnP Zpřístupnění interních služeb střední LAN (přesměrováním portů) UPnP Potenciál k MITM útoku na vnější služby nízké LAN (přesměrováním portů) DNS Spuštění kódu vysoké LAN (zasláním speciálního požadavku) Web Zablokování služby nízké LAN (při neukončeném spojení) Tabulka 3.1: Nalezené zranitelnosti 22

28 Kapitola 4 Bezpečnostní zranitelnost v Infosvr Při analýze uživatelských nástrojů dodávaných na přiloženém datovém nosiči byla nalezena dosud nezdokumentovaná zranitelnost umožnující vzdálené spuštění vlastního příkazu uvnitř zařízení. Zranitelnost je způsobena použitím nezabezpečeného protokolu při komunikaci zařízení s uživatelskými nástroji. 4.1 Analýza Device Discovery Nástroj Device Discovery slouží k nalezení zařízení na síti a zjištění základních informací. Vyhledávání je zahájeno ihned po spuštění programu, ale lze vyvolat i explicitně tlačítkem hledat. Pomocí paketového analyzátoru Wireshark bylo zjištěno, že komunikace s malým směrovačem začíná zasláním UDP paketu s neznámým obsahem 1 o velikosti 512 B na speciální adresu a port číslo Použitá adresa označuje globální všesměrové vysílání, které přijímají všechna zařízení v místní síti bez ohledu na konkrétně nastavenou IP adresu. Malý směrovač po příjmu paketu odpoví opět přes adresu globálního všesměrového vysílání s cílovým portem Odpověd 2 obsahuje textové řetězce s názvem zařízení, verzí firmware, sít ovou maskou, názvem bezdrátového přístupového bodu a informace o připojených USB zařízeních. IP adresa nalezeného zařízení je umístěna přímo v IP hlavičce jako adresa odesílatele. Další informace nebyly bez bližší znalosti formátu odpovědi srozumitelné. Protokol UDP nevytváří spojení mezi zdrojovou a cílovou IP adresou. Díky této vlastnosti je vhodný pro všesměrové vysílání, ale neposkytuje žádnou záruku doručení nebo detekci ztráty paketu. Nástroj Device Discovery proto posílá pakety se stejným obsahem opakovaně, aby tak zvýšil pravděpodobnost úspěchu. 1. Ukázka obsahu paketu zasílaného klientem viz příloha B.1 2. Obsah paketu odpovědi viz příloha B.2 23

29 4. BEZPEČNOSTNÍ ZRANITELNOST V INFOSVR Po odeslání několika paketů na adresu zkouší nástroj lokální všesměrové vysílání, jehož adresa se vypočítá z IP adresy a sít ové masky klientského počítače. Lokální všesměrové vysílání přijímají, na rozdíl od globálního, pouze zařízení ve stejné podsíti. 5x výzva na adresu port 9999 Odpověď: Asus WL500gP V2, maska , fw x výzva na adresu port Odpověď: Asus WL500gP V2, maska , fw Obrázek 4.1: Komunikace Device Discovery s malým směrovačem 4.2 Analýza Download Master Download Master je uživatelský nástroj umožnující nastavit seznam souborů, které má malý směrovač stáhnout z Internetu. Jsou podporovány protokoly HTTP, FTP a BT (BitTorrent). Soubory jsou ukládány na připojený USB disk, odkud jsou dále zpřístupněny pomocí služby sdílení souborů. Nástroj tedy umožňuje stahovat soubory bez zapnutého počítače. Chování nástroje bylo opět podrobeno zkoumání paketovým analyzátorem Wireshark. Bylo zjištěno, že samotné spuštění nástroje není doprovázeno žádnou sít ovou aktivitou. Situace se změní až po vybrání položky připojit v hlavní nabídce. Jako první je provedeno hledání malého směrovače. Hledání probíhá obdobným způsobem jako u nástroje Device Discovery. Odesílá se UDP paket na adresu všesměrového vysílání, ale tentokrát pouze globálního. Cílem hledání je zjistit IP adresu zařízení a informace o připojeném USB disku. Jestliže k malému směrovači není žádný disk připojen, program zobrazí chybovou hlášku a vrátí se do klidového stavu. Při prvním připojení je pomocí SMB/CIFS protokolu kopírováno několik programů a skriptů na vzdálený USB disk. Evidentně jde o programy nezbytné pro správnou funkci nástroje. Konkrétně například program snarf umožňující stahovat soubory z HTTP a FTP serverů, program ctorrent pro stahování souborů z výměnné sítě BitTorrent nebo server GiFT, který podle zachycené komunikace poskytuje informace o průběhu stahování souborů. Dostupnost programů je kontrolována při každém spuštění, takže při vložení nového USB disku se proces opakuje. 24

30 4. BEZPEČNOSTNÍ ZRANITELNOST V INFOSVR Po kontrole adresářové struktury byl na IP adresu malého směrovače odeslán UDP paket s cílovým portem 9999, tedy se stejným portem jako při hledání zařízení na síti. Paket obsahoval čitelný textový řetězec 1 připomínající systémový příkaz. Zachycený paket prokazatelně spouštěl nově nakopírované programy v systému malého směrovače, jelikož po odeslání paketu začal malý směrovač odesílat data protokolu GiFT. 3x výzva na adresu port 9999 Odpověď: Asus WL500gP V2, maska , fw , informace o připojeném USB disku připojit k smbfs:\\ \part0\.apps\ nakopírovat pomocné programy a skripty (ctorrent, snarf, dmathined, giftd, gshell, dmex, rcinstall,...) paket s textovým řetězcem na port 9999 (.apps\bin\ctorrent;.apps\usr\gift-nasoc\bin\asus_gift&;...) připojit na GiFT server port 1213 (request: attach() client (Download Master) version ( )) Obrázek 4.2: První připojení nástroje Download Master 4.3 Démon Infosvr Při sledování sít ové komunikace nástroje Download Master s malým směrovačem jsem zachytil paket, který uvnitř zařízení spouštěl skripty a programy. Paket byl směrován na UDP port číslo Zkoumáním dostupných zdrojových kódů programového vybavení malého směrovače se ukázalo, že uvedený port obsluhuje aplikace Infosvr. Démon Infosvr po spuštění otevírá soket protokolu UDP naslouchající na portu 9999 na všech sít ových rozhraních. Po otevření soketu program přechází do nekonečné smyčky, ve které se pomocí funkce select() průběžně dotazuje na nově příchozí data. Pokud jsou nová data k dispozici, je zavolána funkce processreq(). Cílem této funkce je načíst obsah paketu do datového pole znaků pdubuf o velikosti 512 B. Pakety s obsahem jiné délky jsou ignorovány. Pokud proběhne vše v pořádku, naplněné pole znaků pdubuf je předáno poslední funkci processpacket() zajišt ující dekódování a zpracování obsahu. 1. Ukázka paketu s textovým řetězcem viz příloha B.3 25

31 4. BEZPEČNOSTNÍ ZRANITELNOST V INFOSVR Funkce processpacket() začíná namapováním předdefinované datové struktury IBOX_COMM_PKT_HDR na datové pole znaků pdubuf. Struktura je obecně datový typ, který je složen z více jednoduchých datových typů jako například číslo nebo pravdivostní hodnota. Při dekódování paketů se struktura používá k rozdělení souvislého bloku paměti na jednotlivé proměnné. Po namapování struktury IBOX_COMM_PKT_HDR lze přistupovat ke klíčovým proměnným ServiceID, PacketType, OpCode a Info určujících typ požadavku. Podle typu se následně mapují další datové struktury na zbývající prvky pole pdubuf. typedef struct iboxpkt { BYTE ServiceID; BYTE PacketType; WORD OpCode; DWORD Info; } IBOX_COMM_PKT_HDR; 0c 15 1f d4 f a pdubuf ServiceID = 0x0c PacketType = 0x15 OpCode = 0x001f Info = 0x Obrázek 4.3: Dekódování obsahu paketu pomocí datové struktury Bylo zjištěno, že funkce processpacket() zpracovává pouze pakety, které mají nastavenou položku ServiceID na hodnotu 0x0c a položku PacketType na hodnotu 0x15 jako na obrázku výše. Komunikační protokol nevyžaduje ke zpracování paketů žádnou autentizaci, přestože zdrojové kódy nějaké pokusy o implementaci autentizace heslem obsahují. Je zde k vidění například datová strukturu IBOX_COMM_PKT_HDR_EX rozšířující základní strukturu o další dvě proměnné Password a MacAddress. Proměnné mají nejspíš sloužit pro zadání přístupového hesla a fyzické adresy malého směrovače, ale ověřovací algoritmus je zatím nedokončený. Komunikační protokol se díky absenci autentizačního mechanizmu stává nezabezpečený a může být snadno zneužit útočníkem. Po namapování základní struktury je dekódovací funkce větvena na základě hodnoty OpCode. Rozlišuje se deset konkrétních operačních kódů pokrývajících oblasti zjišt ování informací, nastavování zařízení a spuštění systémových příkazů. Operační kódy provádějící v systému nějaké změny používají proměnnou Info jako identifikátor transakce. Identifikátor zamezuje opakovanému zpracování stejných paketů. Jestliže posledně zpracovaný paket měl stejný operační kód i identifikátor, nový paket se ignoruje. Mechanismus tak určitým způsobem brání i útoku přehráním, kde se útočník snaží zopakovat zachycenou sít ovou komunikaci. 26