Obsah:
Aktualizácia: Žiadateľ Wpa (metóda použitá na nastavenie handshake Wi-Fi v systéme Linux) bol aktualizovaný a je už k dispozícii. Spoločnosť Google implementovala túto opravu a aktualizácia zabezpečenia zo 6. novembra 2017 ju bude obsahovať. Google Wifi automaticky nainštaluje túto aktualizáciu, len čo bude k dispozícii.
Nasleduje pôvodný článok.
Celé roky sme všetci záviseli na protokole WPA2 (Wi-Fi Protected Access), aby sme zabezpečili naše siete Wi-Fi. To všetko dnes končí.
Výskumník bezpečnosti Mathy Vanhoef odhalil to, čo označil KRACK, zneužívanie, ktoré útočí na zraniteľnosť pri podávaní protokolu WPA2, ktorú s najväčšou pravdepodobnosťou použijete na ochranu vášho Wi-Fi doma a milióny malých podnikov na celom svete tiež používajú.
Aktualizácia: Vyhlásenie spoločnosti Google poskytnuté Verge hovorí, že hoci je ovplyvnené každé zariadenie s podporou Wi-Fi, telefóny so systémom Android využívajúce Marshmallow (Android 6.0) alebo novšie verzie predstavujú osobitné riziko a sú zraniteľné voči variantu zneužitia, ktorý môže manipulovať s prevádzkou. Modely na staršom firmvéri sú citlivé inými spôsobmi, ale dopravné injekcie sú vážnym problémom. Očakávajte opravu od spoločnosti Google v blízkej budúcnosti.
Vo svojom vystúpení na konferencii ACM o počítačovej a komunikačnej bezpečnosti v Dallase Vanhoef vysvetlil, že toto zneužívanie môže umožniť šnupanie paketov, odcudzenie spojenia, injekciu škodlivého softvéru a dokonca aj dešifrovanie samotného protokolu. Táto chyba bola odhalená ľuďom, ktorí potrebujú vedieť čoskoro tieto veci, aby našli opravu a US-CERT (tím pre pohotovosť v prípade počítačovej pohotovosti v Spojených štátoch) vydal tento pripravovaný bulletin:
US-CERT sa dozvedel o niekoľkých kľúčových chybách správy pri štvorcestnom handshake bezpečnostného protokolu Wi-Fi Protected Access II (WPA2). Medzi dôsledky zneužitia týchto zraniteľností patrí dešifrovanie, opakované prehrávanie paketov, odcudzenie spojenia TCP, vstrekovanie obsahu HTTP a ďalšie. Všimnite si, že pri problémoch na úrovni protokolu bude ovplyvnená väčšina alebo všetky správne implementácie normy. CERT / CC a výskumný pracovník KU Leuven, ktorý podáva správy, tieto zraniteľné miesta zverejní 16. októbra 2017.
Podľa výskumníka, ktorý bol poučený o zraniteľnosti, funguje to tak, že využíva štvorsmerné podanie ruky, ktoré sa používa na vytvorenie kľúča na šifrovanie prenosu. Počas tretieho kroku môže byť kľúč znova odoslaný viackrát. Ak je to určitým spôsobom neznášané, môže sa kryptografické nete znovu použiť spôsobom, ktorý šifrovanie úplne podkopáva.
Ako zostanem v bezpečí?
Úprimne povedané, v najbližších dňoch nemáte k dispozícii veľa verejných možností. Nechceme vám hovoriť, ako to funguje alebo kde nájdete ďalšie informácie o tom, ako presne útok funguje. Môžeme vám však povedať, čo môžete (a mali by ste urobiť), aby ste zostali čo najbezpečnejšie.
- Za každú cenu sa vyhnite verejnému Wi-Fi. To sa týka aj chránených prístupových bodov Wi-Fi spoločnosti Google, pokiaľ spoločnosť Google nerozhodne inak. Ak váš operátor vynúti telefón k sieti Wi-Fi, keď je v dosahu, navštívte fórum pre svoj telefón, aby ste zistili, či existuje riešenie na zastavenie jeho fungovania.
- Pripojte sa iba k zabezpečeným službám. Webové stránky, ktoré používajú protokol HTTPS alebo iné zabezpečené pripojenie, zahrnú do adresy URL protokol HTTPS. Mali by ste sa spojiť s akoukoľvek spoločnosťou, ktorej služby používate, a opýtať sa, či je pripojenie zabezpečené pomocou TLS 1.2, a ak áno, vaše spojenie s touto službou je zatiaľ bezpečné.
- Ak máte platenú službu VPN, ktorej dôverujete, mali by ste pripojenie povoliť na plný úväzok až do ďalšieho upozornenia. Odolajte pokušeniu ponáhľať sa a zaregistrovať sa pre akúkoľvek bezplatnú službu VPN, kým nezistíte, či boli skontrolované a či vaše údaje zostanú v bezpečí. Väčšina nie.
- Ak smerovač aj počítač majú miesto na pripojenie ethernetového kábla, použite káblovú sieť. Toto využitie má vplyv iba na prenos 802.11 medzi smerovačom Wi-Fi a pripojeným zariadením. Ethernetové káble sú relatívne lacné a oplatenie očí po koberci sa oplatí. Vyhľadajte kábel Cat6 alebo Cat5e a po pripojení by nemala byť potrebná žiadna konfigurácia.
- Ak používate Chromebook alebo MacBook, tento ethernetový adaptér USB je plug-and-play.
- Odpočívajte.
Čo by sa mohlo stať, keby som bol na napadnutej sieti?
Tento hack nedokáže ukradnúť vaše bankové informácie alebo heslo Google (ani žiadne údaje o správne zabezpečenom pripojení, ktoré používa šifrovanie typu end-to-end). Aj keď môže útočník zachytiť údaje, ktoré odosielate a prijímate, nikto nemôže použiť ani prečítať. Nemôžete to ani prečítať, pokiaľ svojmu telefónu alebo počítaču nedovolíte dešifrovať ho a dešifrovať ho ako prvé.
Útočník môže byť schopný robiť veci, ako je presmerovanie prenosu v sieti Wi-Fi alebo dokonca odosielať falošné údaje namiesto skutočnej veci. To znamená niečo neškodné, ako napríklad tlač tisícky kópií bradaviek na sieťovej tlačiarni, alebo niečo nebezpečné, ako napríklad posielanie škodlivého softvéru ako odpoveď na legitímnu žiadosť o informácie alebo súbor. Najlepším spôsobom, ako sa chrániť, je nepoužívanie Wi-Fi vôbec, kým nebudete nasmerovaní inak.
uhhh sračky je to zlé yup pic.twitter.com/iJdsvP08D7
- ⚡️ Owen Williams (@ow) 16. októbra 2017
Na telefónoch so systémom Android 6.0 Marshmallow a novším môže zraniteľnosť KRACK prinútiť Wi-Fi pripojenie k vytvoreniu absurdne ľahko rozlúskateľného šifrovacieho kľúča 00: 00: 00: 00: 00. S niečím tak jednoduchým je pre cudzinca ľahké prečítať všetku komunikáciu prichádzajúcu a od klienta, ako napríklad smartphone alebo laptop.
Ak je však táto prevádzka kódovaná pomocou zabezpečených protokolov HTTPS a TLS (a väčšina webového prenosu by mala byť v týchto dňoch), údaje, ktoré obsahujú, sú šifrované medzi koncovými bodmi a aj keď sú zachytené, nebudú čitateľné.
Bol váš router opravený, aby opravil zraniteľnosť KRACK?
Ubiquiti už bolo povedané, že už má patch pripravený na nasadenie pre svoje vybavenie, a ak sa ukáže, že je to pravda, mali by sme to isté vidieť od spoločností ako Google alebo Apple veľmi skoro. Iné spoločnosti, ktoré si menej uvedomujú bezpečnosť, môžu trvať dlhšie a mnoho smerovačov nikdy neuvidí záplatu. Niektoré spoločnosti, ktoré vyrábajú smerovače, sú podobne ako niektoré spoločnosti, ktoré vyrábajú telefóny s Androidom: akákoľvek snaha o podporu produktu sa zastaví, keď sa vaše peniaze dostanú do banky.
Naozaj na tom záleží?
Toto nie je prípad, kedy by ste sa mali cítiť imunní, pretože vaše údaje nie sú dostatočne cenné. Väčšina útokov využívajúcich toto zneužitie bude oportunistická. Deti, ktoré žijú vo vašej budove, tienisté postavy, ktoré jazdia po okolí a hľadajú Wi-Fi AP a tvorcovia všeobecne nešťastia, už skenujú Wi-Fi siete okolo nich.
WPA2 prežil dlhý a plodný život s verejným využívaním až do súčasnosti. Tu dúfame, že oprava alebo to, čo bude ďalej, sa môže páčiť rovnako. Zostať v bezpečí!
Môžeme získať províziu za nákupy pomocou našich odkazov. Uč sa viac.
