Ako sme upozorňovali už v článku predtým, ako boli verejne oznámené zraniteľnosti umožňujúce prekonať bezpečnosť WiFi, dnes boli oznámené vážne zraniteľnosti umožňujúce prekonať bezpečnosť WiFi s nasadenou najnovšou ochranou WPA2.
V aktuálnom článku prinášame detaily aj s odpoveďami v oblasti praktickej bezpečnosti.
Zraniteľnosti odhalil Mathy Vanhoef z belgickej univerzity KU Leuven.
Popis problému
Ako sme informovali už doobeda, problém nie je problémom niektorých implementácií ale problémom samotného WiFi protokolu a je tak široko prítomný.
Dokonca nie je prítomný špecificky len v hlavnej šifrovacej schéme CCMP postavenej na AES používanej WPA2 ale ešte hlbšie v protokole WPA2, prítomný je na viacerých miestach protokolu a umožňuje niekoľko podobných ale odlišných útokov.
Zraniteľnosti je dokonca možné z nejakého pohľadu označiť za nový typ zraniteľností zodpovedajúci ich označeniu, KRACK, Key Reinstallation AttaCK.
Demonštrácia útoku proti Androidu (video: Mathy Vanhoef)
Nachádzajú sa vo fáze autentifikačného protokolu, kedy sa klient a prístupový bod dohadujú na používanom kľúči pre prenášané dáta. Útočníkovi umožňujú prinútiť buď klienta alebo AP aby zresetoval svoje nastavenia kľúča spolu s počítadlami pozície v dátovom streame.
Toto neumožní útočníkovi zistiť kľúč, keď vo všeobecnosti zostane rovnaký a útočník ho ani nevie ovplyvniť. Klient alebo AP začne ale z kľúča generovať rovnaký tzv. keystream používaný na šifrovanie prenášaných dát.
Ak útočník pozná obsah prenášaný dát na niektorých pozíciách v streame, vie tak zistiť hodnotu keystreamu na tomto mieste a následne odšifrovať dáta prenášané na rovnakej pozícii po každom zresetovaní keystreamu.
Útok vo všeobecnosti neumožňuje útočníkovi zistiť použitý kľúč ani nastavené heslo.
Vzhľadom na miesto výskytu je účinný ako na WPA2-PSK so spoločným zdieľaným heslom tak na WPA2-Enterprise používaným vo firmách s individuálnymi prihlasovacími údajmi pre rozličných užívateľov, nachádza sa totiž v mieste kde už protokol funguje rovnako.
Rovnako nezávisí na používanej šifrovacej schéme a použiť sa dá aj pri CCMP / AES, aj pri už inak prekonanom TKIP / RC4 aj pri novej schéme GCMP používanej v novej verzii 60 GHz WiFi.
Detaily zraniteľností
Primárne bola zraniteľnosť objavená v základnej štvorkrokovej autentifikácii klienta na WiFi prístupový bod.
Po tretej správe v poradí poslanej prístupovým bodom klient nastaví svoj kľúč aj s počiatočnými pozíciami v streame a začne ich využívať pre odosielané dáta.
Dopady jednotlivých zraniteľností, kliknite pre zväčšenie (tabuľka: Mathy Vanhoef)
Priamo WPA protokol ale definuje, že klient musí byť pripravený akceptovať tretiu správu aj opakovane ak ju napríklad AP znovu pošle pre neprijatie záverečnej štvrtej správy schémy.
Implementácie v súlade so štandardom tak tretiu správu autentifikačnej schémy opakovane príjmu a spracujú a zresetujú nastavenia kľúča, čo vyústi do popísaného problému.
Konkrétne to umožní útočníkovi dešifrovať dáta posielané z klienta na AP a znovu poslať klientovi dáta, ktoré mu už skôr poslal AP. Pri TKIP a GCMP je možné aj falšovať správy.
Dešifrovanie ale už umožňuje aj niektoré aktívne útoky, najmä prevzatie TCP spojení.
Na klienta nie sú kladené žiadne nároky, iba aby riadne podporoval WPA štandard. To ako sa ukázalo u niektorých OS neplatí, v jednom prípade k horšiemu a v dvoch ďalších k lepšiemu. Bližšie informácie je možné nájsť v nasledujúcej časti.
Prakticky rovnaká zraniteľnosť sa nachádza ale aj v protokole Fast BSS Transition, ktorý je určený pre rýchle prepojenie sa a roaming medzi viacerými AP tej iste WiFi siete.
Jej podobným využitím je možné dosiahnuť rovnaký efekt na opačnú stranu komunikácie, dešifrovať dáta posielané z AP na klienta a znovu poslať rovnaké dáta z klienta na AP. Podobne je u TKIP a GCMP možné falšovať ľubovoľné pakety.
Požiadavkou v tomto prípade je prístupový bod s podporou WiFi roamingu.
Podobná zraniteľnosť je ešte na niekoľkých ďalších miestach vo WiFi / WPA.
U WPA bola kuriózne dokázaná bezpečnosť
Na zraniteľnostiach je kuriózne, že u základnej štvorkrokovej autentifikačnej schémy bola matematicky dokázaná jej bezpečnosť.
Dôkaz si nekládol ale všetky potrebné otázky. Dokázal totiž iba, že schéma neumožní odšifrovať kľúč, čo sa pri týchto zraniteľnostiach nedeje.
Nedokazoval ale, že nie je možné zresetovať keystream a dešifrovať dáta takýmto spôsobom.
Útoky našťastie nie sú úplne jednoduché
Naštastie ako vyplýva z povahy zraniteľnosti, tieto vyžadujú aktívne útoky a dáta nie je možné dešifrovať pasívnym odpočúvaním sietí.
Je tomu tak ako v prípade odšifrovania dát posielaných klientom tak u dát posielaných AP a útočník musí simulovať iné AP. V prípade dešifrovania dát z klienta musí realizovať MITM, Man In The Middle, útok, v prípade útoku na AP mu stačí ale vedieť podvrhnúť pakety.
Nedá sa tak vylúčiť, že pre niektoré alternatívy útoku vzniknú aj jednoduché nástroje.
Zabezpečené WiFi siete je tak v súčasnosti až do inštalovania záplat potrebné považovať bezpečnosťou za takmer ekvivalentné otvoreným WiFi sieťam.
V dnešnej dobe sú užívatelia typicky chránení aj na aplikačnej úrovni, keď väčšina aplikácií používa TCP spojenia zabezpečené TLS. Na druhej strane umožňuje kontrola útočníka nad dátovou prevádzkou uskutočňovať útoky, ktoré si užívateľ nemusí všimnúť, napríklad náhradu HTTPS odkazov za HTTP.
Tragédia na Linuxe a najmä Androide
Či sú zraniteľné konkrétne zariadenia závisí na konkrétnej implementácii protokolu, ktorá sa môže od štandardu líšiť. Táto časť protokolu je implementovaná väčšinou v operačnom systému a stav tak závisí od OS.
Čo sa týka klientov, podporované verzie Windows a iOS pre iPhony štandard nedodržiavajú a znovu poslanú tretiu autentifikačnú správu ignorujú. To je v tomto prípade naprospech, keď vďaka tomu nie sú zraniteľné.
Unixové operačné systému a špeciálne Linux a Android používajú na implementáciu tohto protokolu softvér označený wpa_supplicant.
Tento od verzie 2.4 ale navyše obsahuje chybu, pre ktorú po opätovnom spracovaní tretej správy nastaví kľúč na samé nuly. Tým ruší absolútne celú bezpečnosť WiFi a útočník môže kompletne odpočúvať celú dátovú prevádzku a falšovať ju.
Túto verziu používa Android 6.0.1 a novší a špeciálne užívatelia Androidu týchto verzií a Linuxu s takto zraniteľným wpa_supplicant by mali zvážiť riziká, či budú do dostupnosti aktualizácie pre ich zariadenie používať svoje zariadenie cez WiFi s hrozbou útoku znamenajúceho nulovú bezpečnosť.
Riešenie
Problém sa dá vyriešiť napríklad tak, že zariadenia budú akceptovať tretiu autentifikačnú správu ale nezresetujú počítadlá súvisiace s používaným kľúčom.
Jednotlivé OS a výrobcovia vydávajú aktualizácie riešiace problém a riešením je samozrejme aktualizovať operačný systém respektíve zariadenie na najnovšiu verziu softvéru alebo firmvéru.
U operačných systémov pre PC samozrejme nebude s aktualizáciami problém, najhoršie opäť dopadnú domáce routery a staršie už nepodporované Android smartfóny, pre ktoré výrobcovia aktualizácie nesprístupnia. Aj tento prípad ukazuje, že inštalácia alternatívneho firmvéru pre obe tieto kategórie zariadení, napríklad LEDE pre routery a LineageOS pre smartfóny, môže byť vhodným riešením.
btw celkom by ma zaujiimalo preco sa ludia okolo routerovych FW nevedia dohodnut na jednom projekte, ale muselo vzniknut milion projektov, ako je openwrt, dd-wrt, LEDE...
Presne pre to iste preco sa nevedia ludia dohodnut na x dalsich veciach.
Vyhoda open source je to, ze sa nemusia dohodnut a vyvoj pojde dalej ako fork.
U closed source toto nieje mozne.
Klud! V drvivej vacsine sa jedna len o distribucie + build systemy + prebuildnute package na jednotlive kusy HW. Pouzivaju sa +- standardne baliky, standardny kernel a cele je to osolene nejakym systemom skriptov a konfiguracnym rozhranim. Specialita su niektore patche do kernelu, ktore su tak invazivne, ze ich kernelovy team nechce zaclenit do mainline.
Prave vdaka tomu, ze sa dohodnut nemusia si kazda komunita robi svoje svojim sposobom a vysledok ich prace sa prevazne sharuje.
a co UPC
Od: Jozko zo Senkvic
|
Pridané:
16.10.2017 22:08
a co UPC router taky biely co teraz davaju? Bude updatnuty? Alebo mam si napojit na ten UPC router nejaky svoj router a tam nainstalovat Lineage alebo wow?
Package wpa_supplicant
Status Fixed
Severity High
Type man-in-the-middle
Affected 1:2.6-10
Fixed 1:2.6-11
Current 1:2.6-11 [core]
Ticket None
Created Mon Oct 16 12:28:04 2017
Paranoja z Windows 10
Od: pherel
|
Pridané:
16.10.2017 22:18
Aha, takže je to jasné. Za všetko môže Microsoft s jeho nehynúcou snahou pretlačiť Windows 10 za každú cenu. Stačí si prečítať: "podporované verzie Windows... ...nie sú zraniteľné."
Už len očakávam oznámenie MS o tom, že záplatu na toto dostane len W10.
$ sudo apt-get upgrade
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
The following packages will be upgraded:
wpasupplicant
1 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 902 kB of archives.
After this operation, 4,096 B of additional disk space will be used.
Do you want to continue? [Y/n]
>>
Čo sa týka klientov, podporované verzie Windows a iOS pre iPhony štandard nedodržiavajú a znovu poslanú tretiu autentifikačnú správu ignorujú. To je v tomto prípade naprospech, keď vďaka tomu nie sú zraniteľné.
Ale nedavno vysiel clanok:
"KRACK WPA2 Wi-Fi exploit already fixed in iOS, macOS, tvOS, watchOS betas"[1] (imore.com)
Ak Apple vydal patch na KRACK, tak je potom zranitelny aj iOS?
Re: archlinux
Od reg.: quix_
|
Pridané:
17.10.2017 11:27
nemusis citat cele, treba pozriet na hlavnej strankehttps://www.krackattacks.com/ a stlacit ctrl+f cve
vsetky cvecka to fixlo, len to by si musel pan autor dat tu robotu a aj ich sem vypisat.
takze tu mas:
- CVE-2017-13077
- CVE-2017-13078
- CVE-2017-13079
- CVE-2017-13080
- CVE-2017-13081
- CVE-2017-13082
- CVE-2017-13084
- CVE-2017-13086
- CVE-2017-13087
- CVE-2017-13088
a vsetky sa ti v tom update fixli, ak sa na to vztahovali
este mozno VU#228519 pozriet
mikrosoft
Od reg.: milan.ko
|
Pridané:
17.10.2017 10:20
MS vydal zaplatu 10.10. spolu s pravidelnymi aktualizaciami, to znamena, ze Win bol pravdepodobne zranitelny a je mozne, ze tou zaplatou urobili to, ze Win neakceptuje 3. spravu viackrat. Ak to niekto sledujete podrobne a viete detaily, opravte ma.
"Tento od verzie 2.4 ale navyše obsahuje chybu, pre ktorú po opätovnom spracovaní tretej správy nastaví kľúč na samé nuly. Tým ruší absolútne celú bezpečnosť WiFi a útočník môže kompletne odpočúvať celú dátovú prevádzku a falšovať ju."
To znamená, že nižšie verzie 2.3 a menej nenastavia kľúč na samé nuly a tým pádom nie sú kompletne odpočúvateľné, ale stále ešte zraniteľné?
Možno iba zhoda okolností, ale na ASUS ZenFone 3 práve vyšla bezpečnostná aktualizácia. Vzhľadom na dosť časté aktualizácie to vyzerá tak, že už som asi za vodou. :)
Tak isto už mám patch aj na mojom AP, aj keď ten je ohrozený iba v klientskom režime, alebo pri zapnutom roamingu.
tak a zas to tu mate vy androidáci, ale vam je jedno ze uz je na androide asi 3500 bezpecnostnych rizík, ten vas najlepsí systém je deravejší ako sito :D :D
neprihlásený 
