Sadržaj:
Ažuriranje: Podnositelj zahtjeva Wpa (metoda koja se koristi za postavljanje Wi-Fi stiskanja ruku u Linuxu) je ažurirana i već je dostupna. Google je implementirao ovo ispravljanje, a sigurnosno ažuriranje 6. novembra 2017. uključiće ga. Google Wifi automatski će instalirati ažuriranje čim postane dostupna.
Slijedi originalni članak.
Godinama smo svi ovisili o WPA2 (Wi-Fi Protected Access) protokolu da bismo osigurali naše Wi-Fi mreže. Svemu to danas dolazi kraj.
Istraživač sigurnosti Mathy Vanhoef otkrio je što je nazvao KRACK, eksploziv koji napada ranjivost u rukovanju protokolom WPA2 koji najvjerojatnije koristite za zaštitu vašeg Wi-Fi-a kod kuće i milijuni malih tvrtki širom svijeta.
Ažuriranje: Izjava iz Googlea izdana The Verge kaže da, iako je na sve uređaje omogućen Wi-Fi, pogođeni Android telefoni koji koriste Marshmallow (Android 6.0) ili viši predstavljaju poseban rizik i podložni su varijanti iskorištavanja koja može manipulirati prometom. Modeli starijih upravljačkih programa osjetljivi su na druge načine, ali ubrizgavanje prometa ozbiljno je pitanje. Očekujte ispravak Googlea u skoroj budućnosti.
Govoreći na konferenciji ACM o sigurnosti računala i komunikacija u Dallasu, Vanhoef je objasnio da ovaj iskorištavanje može omogućiti njuškanje paketa, otmice veza, ubrizgavanje zlonamjernog softvera i čak dešifriranje samog protokola. Ranjivost je otkrivena ljudima koji moraju znati takve stvari rano kako bi pronašli ispravku, a US-CERT (Tim za računalnu spremnost u Sjedinjenim Američkim Državama) objavio je ovaj pripremljeni bilten:
US-CERT postao je svjestan nekoliko ključnih ranjivosti upravljanja u četverosmjernom rukovanju sigurnosnim protokolom Wi-Fi Protected Access II (WPA2). Utjecaj iskorištavanja ovih ranjivosti uključuje dešifriranje, ponovnu reprodukciju paketa, otmicu TCP veze, ubrizgavanje HTTP sadržaja i druge. Imajte na umu da će, kao problem na razini protokola, utjecati većina ili ispravna implementacija standarda. CERT / CC i istraživački izvještaj KU Leuven javno će objaviti ove ranjivosti 16. listopada 2017. godine.
Prema istraživaču koji je upoznat sa ranjivošću, to djeluje iskorištavanjem četverostranog stiskanja ruke koje se koriste za uspostavljanje ključa za šifriranje prometa. Tijekom trećeg koraka ključ se može ponovo namjestiti više puta. Kad se na određeni način zamene, kriptografsko pismo ne može se ponovo upotrijebiti na način da u potpunosti naruši šifriranje.
Kako da budem siguran?
Da budem iskren, sljedećih nekoliko dana na raspolaganju vam nije ni mnogo javnih opcija. Nećemo vam reći kako funkcionira niti gdje možete pronaći više informacija o tome kako točno napada. Ali možemo vam reći što možete (i što biste trebali učiniti) da ostanete što sigurniji.
- Izbjegavajte javni Wi-Fi pod svaku cijenu. To uključuje Googleove zaštićene Wi-Fi žarišne točke dok Google ne kaže drugačije. Ako vaš mobilni operater prisiljava vaš telefon na Wi-Fi kada je u dometu, posjetite forum na svom telefonu da biste vidjeli postoji li zastoj da to spriječi.
- Povežite se samo s osiguranim uslugama. Web stranice koje koriste HTTPS ili drugu sigurnu vezu uključivat će HTTPS u URL. Trebali biste kontaktirati bilo koju tvrtku čije usluge koristite i pitati je li veza zaštićena pomoću TLS 1.2, i ako je tako, vaša veza s tom uslugom zasad je sigurna.
- Ako imate plaćenu VPN uslugu kojoj vjerujete, trebali biste omogućiti vezu s punim radnim vremenom do daljnjeg. Oduprite se iskušenju da požurite i prijavite se za bilo koju besplatnu VPN uslugu dok ne otkrijete jesu li provjereni i čuvat će vaše podatke. Većina ne.
- Koristite ožičenu mrežu ako i vaš usmjerivač i računalo imaju mjesto za priključenje Ethernet kabela. Ova eksploatacija utječe samo na 802.11 promet između Wi-Fi usmjerivača i spojenog uređaja. Ethernet kabeli su relativno jeftini, a svjetlo namotano preko tepiha vrijedi. Potražite specifikacijski kabel Cat6 ili Cat5e i nakon uključivanja ne bi trebala postojati nikakva konfiguracija.
- Ako koristite Chromebook ili MacBook, ovaj USB Ethernet adapter je plug-and-play.
- Opustiti.
Što bi se moglo dogoditi ako sam na napadnoj mreži?
Ovaj hack ne može ukrasti vaše bankovne podatke ili Google lozinku (ili bilo koje podatke na ispravno osiguranoj vezi koja koristi enkripciju od kraja do kraja). Iako uljez može snimiti podatke koje šaljete i primate, to niko ne može koristiti niti ih čitati. Ne možete ga ni pročitati ako ne dopustite da se vaš telefon ili računalo prvo dešifriraju i dešifriraju.
Napadač može raditi stvari poput preusmjeravanja prometa na Wi-Fi mreži ili čak slati lažne podatke umjesto prave stvari. To znači nešto bezopasno poput ispisa tisuće kopija brbljanja na umreženom pisaču ili nešto opasno poput slanja zlonamjernog softvera kao odgovora na zakoniti zahtjev za informacijama ili datoteku. Najbolji način da se zaštitite je da uopće ne upotrebljavate Wi-Fi dok vas drugačije ne usmjeri.
uhhh sranje to je loše yup pic.twitter.com/iJdsvP08D7
- ⚡️ Owen Williams (@ow) 16. listopada 2017
Na telefonima s Androidom 6.0 Marshmallow i novijim, ranjivost KRACK može prisiliti Wi-Fi vezu na stvaranje apsurdno jednostavnog ključa za šifriranje od 00: 00: 00: 00: 00, jednostavnog za pucanje. S nečim tako jednostavnim, nepoznati osoba lako može pročitati sav promet koji dolazi i dolazi od klijenta, poput pametnog telefona ili prijenosnog računala.
Ali ako je taj promet kodiran sigurnim HTTPS i TLS protokolima (a većina web prometa trebao bi biti ovih dana), podaci koje sadrže šifriraju se cjelovito i čak i ako su presretnuti, neće biti čitljivi.
Je li vam usmjerivač zakrpljen radi popravljanja ranjivosti KRACK?
Rečeno je da je za Ubiquiti već pripremljena zakrpa za njihovu opremu, a ako se ispostavi da je to istina, uskoro bismo je trebali vidjeti od kompanija poput Googlea ili Applea. Drugim, manje sigurnosnim tvrtkama potrebno je više vremena i mnogi usmjerivači nikada neće vidjeti zakrpu. Neke tvrtke koje proizvode usmjerivače slične su nekim tvrtkama koje proizvode Android telefone: svaka želja za podrškom proizvodu prestaje kada vaš novac stigne do njihove banke.
Je li to stvarno važno?
To nije slučaj kada biste se trebali osjećati imunološki, jer vaši podaci nisu dovoljno vrijedni. Većina napada pomoću ovog eksploziva bit će oportunistička. Djeca koja žive u vašoj zgradi, sjenoviti likovi koji voze kvart u potrazi za Wi-Fi AP-ovima i općim proizvođačima nestašluka već skeniraju Wi-Fi mreže oko njih.
WPA2 je do danas imao plodan i plodonosan život s javnim eksploatacijama. Evo u nadi da će ispravak ili ono što slijedi moći uživati u istom. Ostati siguran!
Možda ćemo zaraditi proviziju za kupovinu pomoću naših veza. Saznajte više.
