Professional Documents
Culture Documents
Ács Gergely
Sebezhetőségek és támadások
Összegzés
2
Mi az a szenzorhálózat?
Specifikus alkalmazások
• Monitorozás
• pl., bodynets
• Riasztás
• pl. behatolás-detektálás,
autóvezetést segítő
információs rendszerek
• Igény szerinti információkérés
• pl. pozíciómeghatározó rendszerek
Redundancia
• tipikusan nagy számú szenzor node
Hálózati architektúra
• Flat
• egyenrangú csomópontok
• Hierarchikus
• klaszterek létrehozása klaszter-vezetővel
• adat-aggregació támogatása Úttest
állapota
• Hibrid tegnap este? 3
Mi az a szenzorhálózat?
Bázisállomás → “agy”
• adatok begyűjtése, elemzése
• kontroll információk továbbítása
• nagyobb számítási kapacitás
• korlátlan energia-ellátás
• alkalmazástól függően mobilis vagy helyhez kötött 4
Sebezhetőségek és támadások 1.
Támadó rendelkezhet
• laptop típusú eszközzel
• korlátlan számítási és energia-kapacitás
• szenzor node típusú eszközzel (kompromittált szenzor node)
• meglévő csomópontokat foglalhat el
• fizikai feltöréssel
• kód injektálással
• vagy újakat telepíthet
Összetett támadások
• DoS támadások (minden réteg)
6
Szimmetrikus és publikus kulcsú primitívek
Szimmetrikus primitívek
• MAC (Message Authentication Code)
• rejtjelezés és dekódolás
Hash függvények
• fix méretű digitális lenyomat előállítása
• cél az ősképellenállás (OWHF) és ütközésellenállás (CRHF)
7
Szimmetrikus primitívek
Rejtjelezés és dekódolás
• Skipjack, RC5, AES
• alkalmazás üzenethosszától függően
CBC mód vagy CTR mód
MAC: CBC-MAC
Hash függvény
• Merkle-Damgard konstrukció
• f kompressziós függvény konstrukciója
blokkrejtjelezőt felhasználva
• pl. Davies-Mayer séma
Hardware támogatás
• CC2420: beépített kriptográfiai coprocesszor, viszont legtöbb esetben az MCU ezt nem
tudja használni, így mindent software-ben kell megvalósítani 8
Publikus kulcsú primitívek - kriptográfiai sémák
Aláírás-sémák
• RSA, méret = kulcshossz
• ECDSA, méret = kulcshossz * 2
• One-time signature, méret az aláírandó üzenet nagyságrendjébe esik
10
Broadcast hitelesítés szimmetrikus kulcsú kriptográfiával
...
m1 c1 m2 m3 c5 Küldő
T1 T2 T3 T4 T5 T6 T7 T8 d=2
m1 c1 m2 m3 c5 Vevő
11
Kulcsmenedzsment - fázisok, csoportosítás
Kulcsmenedzsment fázisai
1. Kulcskiosztás
• kihelyezés előtti (node-ok nagy száma miatt) feltöltés kulcsokkal, vagy ún. kulcsrészekkel
2. Szomszédok felfedezése
• akiknek még nincsenek közös kulcsaik
3. Közös kulcsok létrehozása
• közvetlenül, vagy olyan node-okon keresztül, akikkel mindketten megosztanak közös kulcsokat
4. Időközönként a közös kulcsok frissítése
Protokollok csoportosítása
• Kommunikációs minta alapján
• dedikált páronkénti kulcsok
• újra-felhasznált páronkénti kulcsok
• csoportkulcsok
• hálózati kulcsok
• Kulcskiosztás jellege szerint
• probabilisztikus kulcskiosztás
• determinált kulcskiosztás
12
Dedikált páronkénti kulcsmenedzsment 1.
Alapmegoldás: minden node minden más node-dal megoszt egy közös kulcsot
(kapcsolatonként különböző kulcs)
• nem skálázható, viszont biztonságos Node A (3,4) KA,B = (3,11)
Determinisztikus kulcskiosztás
• m × m méretű kulcsmátrix generálása
• minden node rendelkezik egy (i, j) pozícióval
• minden node tárol 2*N1/2 kulcsot
• nem biztonságos
Determinisztikus kulcsgenerálás
• minden node rendelkezik egy
KA,B = (6,4) Node B (6,11)
P(x,y)=P(y,x) szimmetrikus részpolinommal
• a polinom együtthatóinak száma k+1
• node i polinomja P(i,y), node j polinomja P(j,y), közös kulcs: P(i,j)
• k-biztonságos: k+1-nél kevesebb node nem képes mások kulcsát meghatározni
13
Dedikált páronkénti kulcsmenedzsment 2.
KA = HashKM(IDA), KB = HashKM(IDB)
1. A → *: IDA
2. B → A: IDB, MACKB(IDA || IDB)
3. KA,B = HashKB (IDA)
4. KM törlése
Probabilisztikus kulcskiosztás
• cél: tárolt kulcsok számának csökkentése
• minden node tárol N*p különb. kulcsot, ahol p annak a valószínűsége hogy két node
megoszt egy kulcsot
• ha két node nem oszt meg közös kulcsot, akkor valószínűleg kell lennie egy útvonalnak a
kettő között, amelyek mentén minden szomszédos pár megoszt egy kulcsot 14
Újrahasznált páronkénti kulcsmenedzsment
Véletlen kulcskiosztás
• egy közös key-pool generálása KP darab különböző kulccsal
• minden node választ k kulcsot visszatevés nélkül a poolból (key-ring)
• a valószínűség, hogy két node megoszt legalább egy kulcsot:
15
Link-layer biztonság
TinySec
• Két működési mód: Auth (csak hitelesítés), AE (hitelesítés és rejtjelezés)
• szemantikus biztonság: 8 byte (2 byte counter + 2 byte forráscím + 4 byte header) hosszú
IV változó értékű minden nyílt szövegre
• IV rövid mérete és a kódméret csökkentése miatt CBC módot használnak (CTR helyett)
• CBC-MAC (4 byte): nem biztonságos változó hosszúságú üzenetek esetén, ezért az üzenet
hosszának rejtjelezettjét hozzáadják az első nyíltszöveg blokkhoz
• Visszajátszásos támadás ellen:
• AE módban IV-t belefoglalják a MAC számításba
• Auth módban felsőbb rétegekben oldják meg Rejtjelezett
Hitelesített
egyéb software csomagok: SenSec, SNEP, MiniSec, SecureSense, L3Sec, stb.
16
Routing biztonsága
Támadás célja
• kézbesítési ráta csökkentése
• hálózat élettartamának csökkentése
• késleltetés növelése
• támadó kontrolljának növelése
Replikáció! 18
W
Féreglyuk detektálása - statisztikai detekció
Centralizált megoldás
• a bázis begyűjt minden szomszédossági világos – támadott
listát sötét – nem támadott
világos – támadott
sötét – nem támadott
19
Routing biztonsága - Hitelesített TinyOS beaconing
20
Adat-aggregáció biztonsága
Kérés-alapú rendszerek
• a bázis kérésére a szenzor node-ok periódikusan vagy one-shot jelleggel válaszolnak
Esemény alapú rendszerek
• a szenzor node-ok csak akkor küldenek üzenetet ha a célesemény bekövetkezik
21
Interleaved Hop-by-hop Authentication
Feltevések
• nincs in-network processing, esemény detekciója
• a kompromittált node-ok száma kisebb mint t paraméter
• a node-ok klaszterekbe szerveződnek, minden klasztertag megoszt egy kulcsot a bázissal
• minden node megoszt egy kulcsot t+1 upstream és t+1 downstream node-dal
Célok
• a bázis képes legyen az adat hitelességét ellenőrizni
• a hamis adatokat már a közbenső node-ok is ki tudják szűrni (DoS, komp. node-ok
lokalizációja)
t=3
BS
v1
u7 u2 u1
u5 u4 u3
v2
CH
u6
v3
22
Rugalmas aggregátor függvények, outlierek detekciója 1.
Feltevés
• aggregáció csak a bázison történik
f(23,…,1000)
23°C Átlaghőmérséklet
21°C kiszámítása
22°C 25°C 22°C
23
Rugalmas aggregátor függvények, outlierek detekciója 2.
• Letörési pont:
Pl. a MAX, MIN, és AVERAGE letörési pontja 0 (már egy db hamis érték is végtelen
torzítást okozhat), de MEDIAN esetén ez 1/2.
Outlierek
• truncation: minden mért értéket [a,b] intervallum közé csonkolunk
(x = a ha x < a, x = b ha x > b)
• trimming: eldobjuk a mért értékek alsó ρ és felső ρ hányadát
• RANBAR: RANSAC algoritmus használata (nagy számú kompromittált node-ok esetén)
24
Összegzés
Szenzor hálózatok
• speciális mérési, riasztási, felügyeleti feladatok ellátása
• korlátozott erőforrással rendelkező csomópontok
Biztonság kulcsfontosságú
• a szenzor node-ok könnyen hozzáférhetőek
• vezetéknélküli csatorna könnyen hozzáférhető, kommunikáció könnyen manipulálható
• változatos összetett támadások, pl. Sybil, node replikáció, féreglyuk, aggregáció elleni
támadások, stb.
Diverzifikált megoldások, melyek figyelembe veszik az erőforrás-korlátokat
• hagyományos kripto. primitívek hatékony megvalósítása
• skálázható és hatékony kulcskiosztás nagyméretű hálózatokban
• korlátozottan használható end-to-end biztonság helyett hatékony link-layer biztonság
• hatékony védekezés a szövevényes routing támadások ellen
• rugalmas adat-aggregáció megvalósítása
EU kutatási projektek
• EU-FP6, Ubiquitous Sensing and Security in the European Homeland (UbiSec&Sens)
http://www.ist-ubisecsens.org/ (STReP)
• EU-FP7, Wireless Sensor and Actuator Networks for Critical Infrastrures Protection
(WSAN4CIP), http://www.wsan4cip.eu/ (STReP) 25
Irodalomjegyzék
Wireless Sensor Network Security, ISBN: 978-1-58603-813-7, IOS Press, Cryptology and Information Security
Series, 2007. Editors: J. Lopez and J. Zhou
L. Buttyán and J.-P. Hubaux. Security and Cooperation in Wireless Networks, Cambridge University Press,
2008.
A. Perrig, R. Szewczyk, J. Tygar, V. Wen, D. Culler. SPINS: Security Protocols for Sensor Networks. In
Wireless Networks, 2002.
C. Karlof, N. Sastry, D. Wagner. TinySec, A link layer security architecture for wireless sensor networks.
Proceedings of the 2nd international conference on Embedded networked sensor systems, pp. 162-175, 2004.
L. Eschenauer and V. D. Gligor. A key-management scheme for distributed sensor networks. In Proceedings
of the ACM Conference on Computer and Communication Security (CCS), 2002.
P. Bryan and A. Perrig and V. Gligor. Distributed Detection of Node Replication Attacks in Sensor Networks.
In Proceedings of the IEEE Symposium on Security and Privacy, 2005.
J. Newsome, E. Shi, D. Song, A. Perrig. The sybil attack in sensor networks: analysis & defenses. In
Proceedings of the third international symposium on Information processing in sensor networks (IPSN), 2004.
I. Vajda, L. Buttyán, L. Dóra. Statistical Wormhole Detection in Sensor Networks. In Proccedings of the
Security and Privacy in Ad-hoc and Sensor Networks: Second European Workshop (ESAS), 2005.
S. Zhu, S. Setia, S. Jajodia, P. Ning. An Interleaved Hop-by-Hop Authentication Scheme for Filtering of
Injected False Data in Sensor Networks. In Proceedings of IEEE Symposium on Security and Privacy, 2004.
S. Zhu, S. Setia, S. Jajodia. LEAP: efficient security mechanisms for large-scale distributed sensor
networks. In Proceedings of the 10th ACM conference on Computer and communications security, 2003.
L. Buttyán, P. Schaffer, I. Vajda. RANBAR: RANSAC-Based Resilient Aggregation in Sensor Networks
In Proceedings of the Fourth ACM Workshop on Security of Ad Hoc and Sensor Networks (SASN), 2006.
26