Все, що вам потрібно знати про крак, вразливість Wi-Fi wpa2

Оновлення: заявник Wpa (метод, що використовується для налаштування рукостискання Wi-Fi в Linux) був оновлений і вже доступний. Google застосував це виправлення, і оновлення безпеки 6 листопада 2017 року включить його. Google Wifi автоматично встановить оновлення, як тільки воно стане доступним.

Далі йде оригінальна стаття.

Протягом багатьох років ми всі залежали від протоколу WPA2 (Wi-Fi Protected Access) для захисту наших Wi-Fi мереж. Це все закінчується сьогодні.

Дослідниця з питань безпеки Меті Ванхоеф виявила, що він назвав KRACK - підривом, який атакує вразливість при рукостисканні протоколу WPA2, який ви, швидше за все, використовуєте для захисту свого Wi-Fi вдома та мільйонів малого бізнесу в усьому світі.

Оновлення: У заяві від Google за версією The Verge йдеться про те, що, хоча кожен пристрій із підтримкою Wi-Fi впливає, телефони Android, які використовують Marshmallow (Android 6.0) або вище, становлять особливий ризик і вразливі до варіанту експлуатації, який може маніпулювати трафіком. Моделі старих прошивок чутливі й іншими способами, але введення трафіку є серйозною проблемою. Очікуйте виправлення від Google найближчим часом.

Виступаючи на конференції ACM з питань захисту комп'ютерів і комунікацій у Далласі, Vanhoef пояснив, що цей подвиг може дозволити обнюхування пакетів, викрадення з’єднань, введення зловмисних програм і навіть розшифрування самого протоколу. Уразливість була розкрита людям, яким потрібно знати такі речі рано, щоб знайти виправлення, і US-CERT (Сполучена команда з комп'ютерної готовності до США) випустила цей підготовлений бюлетень:

US-CERT дізнався про декілька ключових вразливих місць управління в 4-х напрямках протоколу безпеки Wi-Fi Protected Access II (WPA2). Вплив використання цих вразливих місць включає дешифрування, відтворення пакетів, викрадення з'єднання TCP, введення вмісту HTTP та інші. Зауважте, що як проблеми на рівні протоколу, це стосується більшості або всіх правильних реалізацій стандарту. CERT / CC та дослідник-звітник KU Leuven публічно розкриють ці вразливості 16 жовтня 2017 року.

За словами дослідника, який ознайомився з уразливістю, він працює, використовуючи чотиристороннє рукостискання, яке використовується для встановлення ключа для шифрування трафіку. Під час третього кроку ключ можна повторно повторити. Якщо воно обурюється певними способами, криптографічне поняття можна повторно використовувати таким чином, що повністю підриває шифрування.

Як я залишаюся в безпеці?

Якщо чесно, наступні пару днів вам не доступні багато публічних варіантів. Ми не збираємось розповідати вам, як це працює, або де знайти більше інформації про те, як саме працює атака. Але ми можемо сказати вам, що ви можете (і що слід зробити), щоб бути максимально безпечним.

• Уникайте загальнодоступного Wi-Fi за будь-яку ціну. Це стосується захищених точок доступу Wi-Fi від Google, поки Google не скаже інше. Якщо ваш оператор змушує ваш телефон до Wi-Fi, коли він знаходиться в зоні дії, відвідайте форум для свого телефону, щоб дізнатися, чи існує рішення, яке може зупинити його.
• Підключайтеся лише до захищених служб. Веб-сторінки, які використовують HTTPS або інше захищене з'єднання, включатимуть HTTPS у URL-адресу. Вам слід зв’язатися з будь-якою компанією, послугами якої ви користуєтесь, і запитати, чи захищено з'єднання за допомогою TLS 1.2, і якщо так, ваш зв’язок із цією службою на даний момент безпечний.
• Якщо у вас є платна VPN-послуга, якій ви довіряєте, вам слід дозволити підключення на повний робочий день до подальшого повідомлення. Не встояйте перед спокусою поспішити та зареєструйтесь на будь-якій безкоштовній VPN-службі, поки ви не зможете дізнатися, чи були вони перевірені та захищатимуть ваші дані. Більшість ні.
• Використовуйте провідну мережу, якщо у вашого маршрутизатора та комп'ютера є місце для підключення кабелю Ethernet. Цей подвиг впливає лише на 802.11 трафік між маршрутизатором Wi-Fi та підключеним пристроєм. Кабелі Ethernet коштують порівняно дешево, і нанизаний на всьому килима кінець того вартий того. Шукайте специфікаційний кабель Cat6 або Cat5e, і після підключення не повинно бути потрібної конфігурації.
• Якщо ви користуєтеся Chromebook або MacBook, цей USB-адаптер Ethernet підключається.
• Розслабтесь.

Що може статися, якщо я перебуваю в атакованій мережі?

Цей злом не може вкрасти вашу банківську інформацію або пароль Google (або будь-які дані на правильно захищеному з'єднанні, яке використовує шифрування в кінці). Хоча зловмисник може мати можливість захоплювати дані, які ви надсилаєте та отримуєте, їх ніхто не може використовувати і навіть не читати. Ви навіть не можете його прочитати, якщо не дозволите спочатку телефон або комп'ютер розшифрувати та розшифрувати його.

Зловмисник може робити такі речі, як перенаправлення трафіку в мережі Wi-Fi, або навіть надсилати неправдиві дані замість реальної речі. Це означає щось нешкідливе, як надрукувати тисячу примірників гнучкості на мережевому принтері або щось небезпечне, як надіслати зловмисне програмне забезпечення у відповідь на законний запит на інформацію чи файл. Найкращий спосіб убезпечити себе - взагалі не користуватися Wi-Fi, поки вас не вкажуть на інше.

ухх, лайно, це погано, так, pic.twitter.com/iJdsvP08D7

- ⚡️ Оуен Вільямс (@ow) 16 жовтня 2017 року

На телефонах під керуванням Android 6.0 Marshmallow та новіших версіях вразливість KRACK може змусити Wi-Fi-з'єднання створити безглуздо легкий для розлому ключ шифрування 00: 00: 00: 00: 00. Завдяки чомусь такому простому, сторонньому користувачеві легко прочитати весь трафік, який надходить до клієнта та від нього, як-от смартфон чи ноутбук.

Але якщо цей трафік кодується за допомогою захищених протоколів HTTPS і TLS (і більшість веб-трафіків має бути в ці дні), дані, які вони містять, шифруються в кінці і навіть якщо їх перехоплюють, не читаються.

Чи був виправлений ваш маршрутизатор, щоб виправити вразливість KRACK?

Як сказано, у Ubiquiti вже є патч, готовий до розгортання свого обладнання, і якщо це виявиться правдою, ми повинні побачити те саме в таких компаніях, як Google або Apple. Інші, менш безпечні компанії можуть зайняти більше часу, і багато маршрутизатори ніколи не побачать виправлення. Деякі компанії, які роблять маршрутизатори, схожі на деякі компанії, що виробляють телефони Android: будь-яке бажання підтримувати продукт припиняється, коли ваші гроші доходять до їх банку.

Це насправді має значення?

Це не той випадок, коли ви повинні відчувати імунітет, оскільки ваші дані недостатньо цінні. Більшість нападів, що використовують цей подвиг, будуть сприятливими. Діти, які живуть у вашій будівлі, тінисті персонажі, які їздять по сусідству, шукаючи AP-адреси Wi-Fi та загальні зловмисники , вже сканують мережі Wi-Fi навколо них.

WPA2 прожив довге та плідне життя із загальним публічним подвигом до сьогодні. Ось сподівання, що виправлення, або що наступне, може насолоджуватися тим же. Залишатися в безпеці!

Ми можемо заробляти комісію за покупки, використовуючи наші посилання. Вчи більше.