KRACK - poważny atak na WPA2
#1
[Obrazek: logo-472x600.png]

Wiadomość o ataku nazwanym KRACK (Key Reinstallation Attacks) już od dwóch dni obiega internet i to nie tylko branżowe serwisy czy fora. Do nas dobiega dziś, ale pewnie wielu z Was widziało newsy w tym temacie. Sporo materiałów jest napisanych za bardzo sensacyjnie i raczej budują niepotrzebny niepokój czy wręcz panikę, więc lepiej nieco ochłonąć, bo nie jest to chyba jeszcze...taką trzeba mieć nadzieję...armagedon Smile
Niezła analiza na Niebezpieczniku...stamtąd też obrazek, który jest "oficjalnym" logo szkodnika...poniżej cytat z tego artykułu
Cytat:Zanim opiszemy na czym dokładnie atak polega, chcieliśmy Was uspokoić — to nie jest “internetowa apokalipsa“, jak przedstawiają to niektórzy. Bo choć atak faktycznie dotyczy prawie wszystkich urządzeń korzystających z Wi-Fi w standardzie 802.11i (czyli WPA2), to aby przeprowadzić udany atak, spełnione muszą być te warunki:

    1. Atakujący musi być w zasięgu sieci Wi-Fi którą atakuje, przy czym nie ma znaczenia czy sieć to WPA, WPA2 i czy skonfigurowana jako personal czy enterprise. Ktoś musi więc podejść pod drzwi Waszego mieszkania albo zaparkować czarnym wanem przed Waszym domem.
    2. Ofiara nie może znajdować się blisko oryginalnego Access Pointa. Jeśli jest blisko (oryginalny, prawdziwy sygnał AP jest “silny”) to złośliwe komunikaty potrzebne do przeprowadzenia udanego ataku, a wysyłane przez atakującego zostaną zignorowane. I nici z przechwycenia ruchu.
    3. Ofiara musi korzystać z nieszyfrowanych protokołów bo tylko te da się podsłuchać. I dobrze by było, aby korzystała z Androida lub Linuksa, bo te dwa systemy najłatwiej jest zaatakować KRACK-iem. W rzeczywistości jednak, większość ruchu stacji roboczych jest zaszyfrowana — do serwisów łączymy się przez HTTPS. Na filmie badacz celowo pokazał serwis match.com, w którym HTTPS nie jest poprawnie wdrożone i dlatego jest podatne na atak sslstrip.

Podsumowując najważniejsze, po udanym ataku, można podsłuchać tylko to, co w ramach swojej sieci Wi-Fi wysyłasz jako niezaszyfrowane (czyli np. wejścia na strony po HTTP, ale nie HTTPS). Innymi słowy, ktoś atakujący Cię KRACK-iem może robić praktycznie to samo co każdy, kto kiedykolwiek znajdował się razem z Tobą w jednej sieci Wi-Fi, czy to tej hotelowej czy w kawiarnianej.
(...)
Żeby uchronić się przed atakiem KRACK wystarczy wgrać aktualizację oprogramowania zarówno na Access Poincie jak i na klientach ale przede wszystkim na klientach (komputerach, laptopach, smartfonach), bo to ich dotyczą najpoważniejsze warianty ataku. Prawie każda platforma jest podatna na co najmniej jeden z wariantów ataku:

Załatanie tylko AP lub tylko klienta uniemożliwi tylko część z wariantów ataku KRACK. I nie martw się o niekompatybilność załatanego klienta z niezałatanym AP i na odwrót. Dziurawe i załatane AP mogą bez problemu komunikować się z dziurawymi i załatanymi klientami — łatka jest kompatybilna wstecznie. Większość producentów informacje podatności otrzymała jeszcze w lipcu i z tego powodu albo zaraz ją udostępni, albo już udostępniła odpowiednie łatki:

    Microsoft po cichu załatał błąd 10 października (miniony wtorek), ale zaznacza, że nawet z łatką, w niektórych przypadkach Windowsy mogą być celem ataku, jeśli w trybie oszczędzania energii przekażą część zadań związanych z obsługą Wi-Fi chipowi. Dlatego trzeba też niezależnie zaktualizować też sterowniki do swojej karty sieciowej.
    Najpoważniejszy z wariantów ataku nie dotyka urządzeń iOS i macOS. Na mniej istotny wariant Apple już wypuściło łatkę w wersjach beta swoich systemów, które w przeciągu najbliższych dni pewnie zostaną udostępnione wszystkim.
    Najpoważniejszy z wariantów ataku dotyka urządzenia z Androidem. Google ma wydać patcha dopiero 6 listopada i to tylko na swojego Pixela. Stworzenie i rozpropagowanie łatek na telefony innych producentów pewnie zajmie lata. Ale to nic nowego… tak więc na większości niepobłogosławionych przez Google urządzeniach z Androidem poza wyłączeniem bluetootha będziesz pewnie musiał wyłączyć także Wi-Fi.
    *nix. OpenBSD już zapatchowane, Debian też. Inne dystrybucje pewnie niebawem. Co ciekawe, OpenBSD nie dotrzymało embarga i załatało się wcześniej ujawniając kod łatki i tym samym obnażając istotę błędu, co ktoś mógł wykorzystać do ataków. Z tego powodu OpenBSD w przyszłości nie będzie otrzymywało od tego badacza wcześniejszych ostrzeżeń o zagrożeniu.
    Mikrotik też się załatał po cichu tydzień temu
    Są także dostępne patche na urządzenia Cisco (niektóre z podatnych), Aruba i Ubiquiti

Pełną listę podatnych producentów (lub informacje o tym, kiedy się załatali) znajdziecie w komunikacie amerykańskiego CERT-u. Warto obserwować jak szybko reagują — to może być dobra wskazówka, jakiemu producentowi ufać.

Jeśli na Twoje urządzenie nie ma jeszcze patcha, to:

    Włącz VPN-a i skonfiguruj go tak, aby cały ruch z Twojego urządzenia przez niego przechodził. Atakujący wtedy nie będzie w stanie niczego zobaczyć, ani złośliwie zmodyfikować. Na urządzenia mobilne dostępna jest darmowa aplikacja OperaVPN.
    Dodatki do przeglądarki typu HTTPS Everywhere powinny ograniczyć ryzyko wycieku informacji. Warto je zainstalować nawet jeśli nie obawiacie się KRACK-a.
    W przypadku braka patcha na Twój AP: wyłącz w nim funkcje klienta (używana np. w trybach repeatera) oraz wyłącz 802.11r
    W ostateczności, zostaje ci rozwiązanie najprostsze. Porzucenie Wi-Fi


[Aby zobaczyć linki, zarejestruj się tutaj]


-----------------
edit:
Informacja na temat aktualizacji i łatek od producentów oprogramowania i sprzętu

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Popraw link do obrazka.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#3
HTTPS everywhere taki zalecany jest? zainstalować?
Odpowiedz
#4
(19.10.2017, 11:19)korbennn napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

HTTPS everywhere taki zalecany jest? zainstalować?
Wygląda, że to może być jakieś rozwiązanie, ale nie ma całkowitej pewności...za AVLab
Cytat:Nie da się podsłuchać użytkowników, którzy szyfrują komunikację tunelem VPN (np. OperaVPN lub OpenVPN), ale da się taką komunikację przechwycić. To podobnie jak z atakami MiTM — jeżeli komunikacja nie jest szyfrowana, „widać wszystko” — wysyłanie maili protokołem IMAP, surfowanie po stronach z „kłódką i HTTPS” da się przechwycić, ale nie da się rozszyfrować komunikacji opisywanym KRAK-iem, jeśli protokół jest poprawnie zaimplementowany i nie jest podatny np. na ssltrip, gdzie przestępca będzie w stanie zmusić przeglądarkę do komunikacji z podstawionym serwerem WWW nieszyfrowanym kanałem.

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Według Cert Orange rutery Orange są bezpieczne
Eset Internet Security + CatchPulse
Odpowiedz
#6
TheShadow im więcej takich gadek od komercyjnych korporacji tym większy szajs dziwny zbieg okoliczności
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#7
TheShadow - w przypadku Krack podatne były przede wszystkim urządzenia klienckie, czyli lapki z Linuksem i urządzenia z Androidem, a nie routery.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości