Російські ЗМІ датують виявлення уразливості KRACK восени 2017 року. Це не правда. Меті Ванхоф, дослідник Університету Левена, виявив неполадки в 2016. Однак терпляче таємно продовжував вивчення питання. Влітку (липень 2017) експерт обережно почав попереджати відповідальні організації. US-CERT розіслав нотації виробникам (результат серпня 2017). Широкій публіці інформацію донесли (8 годині ранку) 16 жовтня: левова частка виробників заліза вже встигла убезпечити бездротовий доступ, випустивши свіжі дрова.
Це цікаво! Ключовим моментом успішності атаки є використання горезвісного QoS, що з'їдає 20% пропускної здатності каналу.
Корінь зла
Проблемі присвячений тепер спеціалізований сайт krackattacks.com. Першопроходець описує враження:
- Виявлена критична уразливість. Атака експлуатує недосконалість технології захищеної аутентифікації WPA2 при підключенні. Протокол четирёхходового рукостискання допомагає точки доступу оцінити правильність введеного ключа безпеки мережі .. Методика експлуатується всіма бездротовими мережами: приватними, корпоративними. Досить навіть просто застосування AES, щоб зробитися жертвою атаки, яку я запропонував назвати проникнення шляхом підміни ключа.
Принцип дії
Бездротова мережа постійно обмінюється шифром, змінним згідно псевдовипадковим функцій. Інформація циркулює туди-сюди два рази (разом, 4 в обидві сторони), припиняючи розбіжність коду безпеки. Взломщику доведеться просторово наблизитися. Оскільки йде перехоплення радіочастотного трафіку. Використання HTTPS, TLS збільшує стійкість, проте вже знайдені методики обходу захисту. Простіше кажучи, восени 2017 будь-яка Wi-Fi мережу може бути зламана локальним шпигуном. Зловмисник здатний:
- Імітувати трафік-інтернет, здійснюючи підроблення.
- Перехоплювати пакети.
- Розшифровувати TCP трафік.
Уразливі будь платформи, включаючи Windows 7, Linux, Android. Особливо страждають Сторони, що застосовують шифрування TKIP, GCMP. Останнє дозволяє зацікавленим особам імітувати трафік. Простіше кажучи, надавати власні сайти замість таргетингової.
Атака відбувається прозоро. Зловмисник змушує пристрої застосовувати старі ключі. Знайдено 10 методик, особливо небезпечними стануть наслідки щодо Android, Linux старше 6 версії. Можлива установка ключа, що містить суцільно нулі. Маршрутизатор, забезпечені портами USB, адаптерами до Wi-Fi, вимагають захищати трафік.
щасливчики
Частина брендів горі (частково) обійшло стороною (згідно з інформацією американських друзів):
- MikroTik.
- VMWare.
- Dell EMC.
- Internet Systems Consortions.
- SonicWall.
- F5 Networks, Inc.
- Arista Networks.
Переважна більшість брендів, включаючи топові Cisco, вражені недугою. Тепер загальновідомо: електромагнітні випромінювання можуть читатися супутниками, отже, всі секретні напрацювання, які брали будь-яким чином бездротові технології ... розкриті гіпотетичним супротивником.
Детальніше читайте рекомендації офіційних виробників, опубліковані US-CERT. Деякі запевняють: регулярно оновлюють програмне забезпечення в повній безпеці.
перемогти зло
UC-CERT жваво почав повідомляти виробників. Велика частина отримала листа 28-30 серпня 2017 року. Розробка латочок зайняла більше часу, деякі понині відсутні. Дати виходу оновлень опубліковані офіційним сайтом проекту kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4.
Відкиньте ідею замінити пароль. Допоможе програмна латочка. US-CERT негайно відкрили сторінку, де будуть описувати випущені латки. Спочатку, зрозуміло, список виявився абсолютно порожній. Деякі старі модеми залишені без уваги. Наводимо адреса сторінки проекту kb.cert.org/vuls/id/228519. Можете переконатися: старі моделі просто закинуті виробником.
Створюється цікава ситуація: деяким системним адміністраторам пощастило, інші тепер змушені прикрити бездротову мережу, або модернізувати апаратну частину (роутери).
оновлення
Намагайтеся відразу купувати нову техніку, в протоколі якої загроза усунута. Власники пристроїв зобов'язані захиститися від Wi-Fi шпигунів шляхом установки оновлень. Майкрософт потихеньку (10 жовтня) захистила копії Windows. Однак зловмисники не дрімають. Відзначено випадки відмови системи ставити латку.
власникам Windows
Серйозна уразливість загрожує підключенню по обидва боки. Недостатньо оновити прошивку на роутері для мережі Wi-Fi. Слід визначити негайно результат спроби установки пакетів Windows. Дізнатися загальний підсумок можете наступним чином:
- Win + I.
- Тисніть Оновлення та безпеку.
- Перевірте Журнал (KB4048953).
Про всяк випадок наводимо сторінку офіційного сайту Майкрософт, перераховуються пакети для свіжих типів операційних систем catalog.update.microsoft.com/Search.aspx?q=KB4048953. Якщо сервер компанії не підключається, або прибрано автоматичне оновлення, відкрийте посилання, виконайте процедуру вручну.
Наводимо також рекомендації для Ubuntu help.ubnt.com/hc/en-us/articles/115013737328.
Org/vuls/byvendor?Aspx?