O vulnerabilitate critică a fost descoperită în rețelele Wi-Fi din întreaga lume. De ce este Wi-Fi periculos? Serviciul de presă al Grupului-IB

Internetul a înghețat în așteptarea lansării unui exploit de tip proof-of-concept numit KRACK (o abreviere pentru Key Reinstallation Attacks). Cert este că weekendul trecut a devenit cunoscut faptul că un grup comun de specialiști pregătește o dezvăluire coordonată a informațiilor despre anumite probleme critice WPA2 care vă permit să ocoliți securitatea și să ascultați traficul Wi-Fi transmis între punctul de acces și computer.

Formal, cercetătorii vor vorbi despre vulnerabilitățile pe care le-au găsit abia pe 1 noiembrie 2017, la conferința ACM CCS. Evenimentul va include o prezentare intitulată Key Reinstallation Attacks: Forcing Nonce Reuse în WPA2 reutilizare nonce în WPA2").

Echipa care a lucrat la crearea KRACK și ruperea WPA2 a inclus: Mathy Vanhoef și Frank Piessens de la Universitatea Catolică din Leuven, Maliheh Shirvanian și Nitesh Saxena de la Universitatea din Alabama din Birmingham, Yong Li de la Huawei Technologies, precum și reprezentantul Ruhr Universitatea Sven Schäge.

Cu toate acestea, încă nu va trebui să așteptăm până în noiembrie. Dezvăluirea coordonată este programată pentru astăzi, 16 octombrie 2017, și este de așteptat să aibă loc în această după-amiază. Informațiile despre KRACK vor apărea pe site-ul krackattacks.com, iar cercetătorii au pregătit și un depozit pe GitHub (deocamdată gol). Însuși Mathie Vanhoof a anunțat pe Twitter că informația va fi publicată pe 16 octombrie și a postat primul „teaser” al acestui eveniment în urmă cu 49 de zile.

Ce se știe deja despre KRACK? Potrivit ArsTechnica, US-CERT a trimis deja la peste 100 de organizații următoarea descriere a problemei: Au fost găsite vulnerabilități critice în mecanismul de gestionare a cheilor în strângerea de mână Wi-Fi Protected Access II (WPA2) cu patru elemente. Prin exploatarea acestor erori, puteți decripta traficul, puteți efectua injecții HTTP, puteți intercepta conexiunile TCP și multe altele. Deoarece vulnerabilitățile au fost găsite la nivel de protocol, problemele afectează majoritatea implementărilor.

Specialistul în securitatea informațiilor Nick Lowe, aflat deja esența problemei, a raportat pe Twitter că vulnerabilităților le-au fost atribuiți următorii identificatori CVE: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017 - 13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 și CVE-2017-13088.

ArsTechnica citează, de asemenea, propria sa sursă și susține că companii precum Aruba și Ubiquiti, care furnizează puncte de acces marilor corporații și organizații guvernamentale, au început să remedieze erorile și au lansat deja actualizări.

Interesant, vara trecută, la o conferință Pălărie neagră Vanhoof și Piessens au prezentat o lucrare (PDF) dedicată găsirii problemelor în protocoale de rețea. Aparent, documentul conținea un indiciu de KRACK, de exemplu, ilustrația de mai jos arată că cercetătorii studiau deja cu atenție mecanismul modului în care funcționează strângerile de mână.

O vulnerabilitate critică în protocolul de criptare Wi-Fi WPA2. Este cel mai popular algoritm de securitate rețele moderne Wifi. Vulnerabilitatea se numește KRACK ( K ei R einstalare A tta ck s).

Cum functioneaza?

Defectul de securitate permite atacatorilor să efectueze un atac de tip om-in-the-middle printr-o strângere de mână WPA2 cu patru elemente. Această strângere de mână este efectuată atunci când clientul dorește să se conecteze la o rețea Wi-Fi sigură. Acesta confirmă faptul că ambele părți (client și punctul de acces) au acreditări valide și înregistrează o nouă cheie de criptare care va fi utilizată pentru a proteja traficul. Acum aproape toate rețelele Wi-Fi folosesc acest tip de strângere de mână, ceea ce le face vulnerabile la orice tip de atac KRACK.

Astfel, KRACK permite unui atacator să forțeze participanții la rețea să reinstaleze cheile de criptare WPA2 și să asculte traficul de pe toate dispozitivele conectate la Wi-Fi: laptopuri, tablete, smartphone-uri. În plus, dacă rețeaua folosește WPA-TKIP sau GCMP, atacatorul va putea, de asemenea, să injecteze pachete în datele victimei.

Vestea bună deocamdată este că un atacator va putea exploata vulnerabilitatea doar dacă se află în aria de acoperire a rețelei victimei.

Mathie Vanhoof a spus că a descoperit setul de probleme care alcătuiesc KRACK încă din 2016, dar a petrecut mai mult de un an perfecționându-și atacul. Cercetătorul a raportat vulnerabilitățile unor vânzători și reprezentanților US-CERT încă din iulie 2017, iar în august a împărtășit informații despre probleme cu o gamă largă de vânzători.

Detaliile tehnice complete ale vulnerabilității pot fi găsite pe site-ul web KRACK Attacks.

Cine ar putea fi rănit?

Vanhoof a subliniat că problema a fost găsită în protocolul WPA2 în sine, și nu în dispozitivele individuale, adică vulnerabilitatea poate afecta pe toată lumea. Utilizatori Wi-Fi. Toate sistemele de operare populare sunt susceptibile la atac: Windows, Android, iOS și altele. Cu toate acestea, unele sunt expuse riscului cel mai mare versiuni Linux, iar pentru dispozitivele sub Control Android 6.0 și o versiune ulterioară, vulnerabilitatea este „extrem de distructivă”. Google a spus că compania este conștientă de problemă și va lansa remedieri pentru toate dispozitivele afectate în săptămânile următoare.

Atunci când atacați alte platforme, este mai dificil să decriptați toate pachetele de date, dar cu toate acestea, atacatorii pot obține cea mai mare parte a informațiilor.

Cum să te protejezi?

Schimbarea parolei într-o rețea Wi-Fi nu va ajuta la evitarea unui atac, spune Vanhoof. Cercetătorul recomandă actualizarea firmware-ului routerelor și al tuturor dispozitivelor utilizatorului. Cu toate acestea, el încurajează pe toată lumea să continue să folosească WPA2 și să nu revină la protocolul WEP.

ArsTechnica recomandă utilizarea rețelelor VPN ca măsură suplimentară de securitate, dar ar trebui să fiți și atenți atunci când le alegeți, deoarece multe dintre ele nu pot garanta o conexiune mai sigură.

Se raportează că poate proteja împotriva KRACK în unele cazuri folosind HTTPS. Rețineți că HTTPS în sine nu poate fi numit absolut sigur (de exemplu, există metode de downgrade a conexiunii), deși va deveni un strat suplimentar de criptare. Vanhoof a remarcat:

Orice dispozitiv care utilizează Wi-Fi este probabil vulnerabil. Din fericire, diferite implementări pot fi patchizate pentru compatibilitate cu versiunile inverse.

Lista produselor vulnerabile și actualizări disponibile este deja în curs de formare pe o pagină specială US-CERT și va fi actualizată activ în zilele următoare. Vă sfătuim să monitorizați cu atenție această listă și să vă actualizați dispozitivele cât mai curând posibil.

Experții cred că dispozitivele mobile și computerele desktop vor primi corecții în viitorul foarte apropiat. Și milioane de dispozitive IoT se confruntă acum cu o soartă de neinvidiat, deoarece au devenit brusc vulnerabile și multe nu vor primi niciodată actualizări.

Cum au reacționat marile companii?

Producătorii de echipamente și companiile de tehnologie au reacționat diferit în urma știrilor despre vulnerabilitatea WPA2. De exemplu, dezvoltatorii OpenBSD au lansat actualizarea în iulie, după ce au aflat despre ea în avans. Publicația ArsTechnica citează propria sa sursă și susține că Aruba și Ubiquiti, care furnizează puncte de acces marilor corporații și organizații guvernamentale, au început să remedieze erorile și au lansat deja actualizări.

Mai jos este o listă cu companiile care au răspuns la situația actuală. Cel mai probabil, este incomplet și pentru informații mai precise ar trebui să vizitați site-ul producătorului.

Arch Linux: Au fost lansate actualizări pentru wpa_supplicant și hostapd, .
Amazon: Compania verifică dispozitivele pentru vulnerabilități și va lansa actualizări dacă este necesar.
Măr: Surse din cadrul companiei au raportat că vulnerabilitatea a fost deja închisă în versiunile beta ale tuturor sistemelor companiei (macOS, iOS, tvOS, watchOS). Cu toate acestea, pentru moment, versiunile corectate sunt disponibile numai pentru dezvoltatori testare închisă. Informatii despre Mașina timpului, AirPort Extreme și AirPort Express nu sunt încă disponibile.
ArubaRețele: Sunt disponibile informații despre patch-uri și a fost publicată și o întrebare frecventă.
Belkin, Linksys și Wemo: Echipele de securitate investighează în prezent vulnerabilitatea. Companiile vor elibera instrucțiuni detaliate pentru utilizatorii de pe o pagină specială.
Cisco: Compania a emis o alertă care conține o listă de produse vulnerabile (lista este în curs de actualizare, astfel încât utilizatorii sunt sfătuiți să verifice pagina des). În curând sunt așteptate actualizări pentru drivere și iOS, corecțiile sunt deja dezvoltate.
DD-WRT: patch-ul este deja în DD-WRT SVN, dar în în prezent Nu se știe dacă o versiune corectată a firmware-ului este disponibilă pentru descărcare.
Debian: O alertă a fost postată pe Anunțul de securitate Debian. Mesajul listează o listă de actualizări care rezolvă problemele KRACK.
Dell: Compania investighează în mod activ vulnerabilitatea și va emite o declarație în curând.
Espressif: Compania a lansat patch-uri pentru ESP-IDF, ESP8266 RTOS SDK și ESP8266 NONOS SDK.
Fedora: Actualizarea Fedora 25 este disponibilă pentru testare, în timp ce actualizările Fedora 26 și Fedora 27 așteaptă aprobare.
FreeBSD: Conform CERT, dezvoltatorii FreeBSD sunt conștienți de problemă. Utilizatorii sunt sfătuiți să verifice frecvent lista de corespondență FreeBSD-Announce și pagina Informații de securitate pentru actualizări;
Fortinet: Versiunea FortiAP 5.6.1 a remediat vulnerabilitatea KRACK.
Google: Toată lumea este vulnerabilă la KRACK versiuni Android, începând de la 6.0. Nu se știe nimic despre Google Wi-Fi, iar patch-urile pentru dispozitivele mobile sunt promise a fi lansate în săptămânile următoare.
Intel: Compania a prezentat un buletin de securitate care conține o listă de produse vulnerabile și actualizări pentru acestea.
Lede: compania că versiunea corectată a LEDE1.4 va fi lansată la scurt timp după finalizarea testării. Nu există încă informații despre OpenWRT.
LineageOS: Patch-urile au fost deja lansate.
Linux: Conform autorilor KRACK, atacul funcționează în mod special împotriva clientului wpa_supplicant versiunea 4 și mai mare. Se pot găsi patch-uri.
Meraki: Patch-urile Cisco Meraki sunt disponibile acum, informatii detaliate disponibil în Întrebările frecvente privind vulnerabilitatea 802.11r (CVE: 2017-13082).
Tehnologia Microcipului: Compania a lansat o listă de actualizări disponibile.
Microsoft: în ziua în care a fost publicată știrea despre vulnerabilitate, compania a anunțat că a închis-o Windows cel mai recent actualizare pentru versiunile 7, 8 și 10. Reprezentanții Microsoft nu au explicat dacă versiunile mai vechi ale sistemului sunt vulnerabile.
MikroTik: Se raportează că RouterOS v39.3, v6.40.4, v6.41rc nu sunt afectate de problema KRACK, precum și punctele de acces. Alte produse au primit remedieri săptămâna trecută.
Netgear: patch-urile au fost deja lansate pentru WN604, WNDAP620,

O vulnerabilitate critică a fost descoperită în cel mai comun protocol de criptare al rețelelor Wi-Fi moderne. O lacună în WPA2 care permite interceptarea datelor utilizatorului se numește KRACK. experți ruși Experții în securitate cibernetică au confirmat pentru The Village că amenințarea este reală și au spus care este esența ei și cum să reziste hackerilor.

Care este pericolul vulnerabilității descoperite?

Dmitri Katalkov

Analist la Positive Technologies

Având în vedere că WPA2 este cel mai sigur protocol de securitate pentru rețelele wireless, la care nu există alternativă, această vulnerabilitate poate fi clasificată drept foarte, foarte periculoasă. Hackerii pot avea la dispoziție toate datele pe care utilizatorii le introduc după conectarea la o rețea Wi-Fi: date de conectare și parole pentru accesarea e-mailurilor, site-urilor web, resurselor bancare, date Carduri de credit, mesaje private, corespondenta personalaȘi așa mai departe. În același timp, atacatorii pot să nu se limiteze doar la obținerea de date critice, ci și să atace în mod activ utilizatorii - de exemplu, folosind viruși de criptare deja cunoscuți.

Vladimir Kuskov

expert antivirus la Kaspersky Lab

Protocolul WPA2 a fost într-adevăr piratat, ceea ce ar putea fi potențial periculos pentru toți utilizatorii de Wi-Fi din lume. Cu un astfel de atac, atacatorii se pot conecta la retea fara fir pentru a vedea ce fac utilizatorii și pentru a modifica traficul. De exemplu, adăugarea unui link către programe malware pe un site care nu utilizează HTTPS. Teoretic, fraudatorii pot avea acces la orice date care sunt transmise în cadrul rețelei în formă deschisă. Cu toate acestea, traficul de pe site-urile care utilizează HTTPS nu poate fi interceptat de un astfel de atac.

Serviciul de presă al Grupului-IB

Hackerii vor putea avea acces la tot traficul dacă acesta nu este protejat în siguranță la nivelul aplicației sau al site-ului în sine. Cu toate acestea, în majoritatea cazurilor - cu excepția rețele corporative- se aplică criptarea suplimentară prin protocoale SSL/TLS. Cu toate acestea, atacatorul va putea întotdeauna să afle unde sunt direcționate comunicările victimei sale - de exemplu, ce site-uri și la ce oră folosește.

Luka Safonov

Director tehnic Pentestit

Pentru a efectua un atac, un atacator va avea nevoie de un laptop sau special dispozitiv mobilîn raza de acțiune a rețelei Wi-Fi selectate. În linii mari, hackerul va trebui să creeze un punct de acces fals prin care victima va trimite date, crezând că sunt în siguranță. În acest fel, atacatorul va putea intercepta datele. Utilizator obișnuit cu o probabilitate de 99% să nu observe absolut nimic.

Cum să rezist hackerilor

Actualizați software. Experții subliniază că, în primul rând, utilizatorii trebuie să își actualizeze software-ul antivirus, precum și software-ul dispozitivelor în sine cu acces Wi-Fi - routere, laptopuri, tablete, smartphone-uri și alte gadget-uri. Patch-uri au fost deja lansate pentru unele dintre ele. De exemplu, Windows deja prezentat actualizare necesară, Apple l-a inclus în versiunea beta iOS nouși macOS, iar Google promite că va închide vulnerabilitatea pe Android până la sfârșitul lunii.

Utilizați serviciile VPN. Utilizare fonduri suplimentare Criptarea traficului va reduce semnificativ probabilitatea unui atac de succes, în urma căruia atacatorii, cel mai probabil, nici măcar nu vor încerca să-l efectueze.

Nu vă conectați la Wi-Fi. Pentru a elimina complet riscul de interceptare a datelor din cauza KRACK, experții recomandă utilizarea unui cablu sau Internet mobilîn loc de o rețea fără fir.

Cu toate acestea, încă nu va trebui să așteptăm până în noiembrie. Dezvăluirea coordonată este programată pentru astăzi, 16 octombrie 2017, și este de așteptat să aibă loc în această după-amiază. Informațiile despre KRACK vor apărea pe site-ul krackattacks.com, iar cercetătorii au pregătit și un depozit pe GitHub (deocamdată gol). Însuși Mathie Vanhoff a anunțat pe Twitter că informația va fi publicată pe 16 octombrie, iar primul „teaser” al acestui eveniment a fost al lui postat acum 49 de zile.

Ce se știe deja despre KRACK? Potrivit ArsTechnica, US-CERT a trimis deja la peste 100 de organizații următoarea descriere a problemei: Au fost găsite vulnerabilități critice în mecanismul de gestionare a cheilor din strângerea de mână în patru părți Wi-Fi Protected Access II (WPA2). Prin exploatarea acestor erori, puteți decripta traficul, puteți efectua injecții HTTP, puteți intercepta conexiunile TCP și multe altele. Deoarece vulnerabilitățile au fost găsite la nivel de protocol, problemele afectează majoritatea implementărilor.

Specialistul în securitatea informațiilor Nick Lowe, deja la curent cu esența problemei, postat pe Twitter că vulnerabilităților au fost atribuiți următorii identificatori CVE: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13082. -13084 , CVE-2017-13086, CVE-2017-13087 și CVE-2017-13088.

Interesant este că vara trecută, la conferința Black Hat, Vanhoof și Piessens au prezentat un raport (PDF) dedicat găsirii problemelor în protocoalele de rețea. Aparent, documentul conținea un indiciu de KRACK, de exemplu, ilustrația de mai jos arată că cercetătorii studiau deja cu atenție mecanismul modului în care funcționează strângerile de mână.

][ va continua să monitorizeze situația. De îndată ce datele vor fi publicate, cu siguranță vă vom spune mai multe despre KRACK.
Deocamdată, putem concluziona că, cu excepția cazului în care descrierile problemelor au fost exagerate, atunci după dezvăluirea de astăzi, WPA2 nu va mai fi considerat de încredere, așa cum a fost cândva WEP. Este posibil ca milioane de oameni să fie afectați dispozitive de rețeași proprietarii lor și Utilizarea Wi-Fi va trebui evitată până când ies plasturi. Și dacă routerele sunt susceptibile de a primi actualizări pentru acestea probleme potentiale Se poate doar ghici ce se va întâmpla cu gazda dispozitivelor IoT.

Probleme critice în protocolul de securitate WPA2, care este utilizat pentru a proteja rețelele wireless personale și corporative. Din cauza vulnerabilității, potrivit experților, orice Rețea Wi-Fi poate fi piratat și obține acces la tot traficul.

Vulnerabilitățile WPA2 permit ocolirea securității și interceptarea cu urechea Trafic Wi-Fi, transmis între punctul de acces și computer, care anterior era considerat criptat. Li se atribuie următorii identificatori CVE: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13082, CVE-13081 CVE- 2017-13086, CVE-2017-13087 și CVE-2017-13088.

Vulnerabilități WPA2

Mathy Vanhoef de la Universitatea din Leuven a descoperit o vulnerabilitate gravă în protocolul WPA2 (Wi-Fi Protected Access II), care este folosit pentru a proteja rețelele Wi-Fi moderne.

Vulnerabilitatea afectează protocolul WPA2 în sine și nu are legătură cu niciun software sau hardware.

Vanhoof a numit atacul descoperit KRACK - prescurtare pentru Key Reinstallation Attack. KRACK permite unui atacator să efectueze atacuri MITM și să forțeze participanții la comunicații în rețea să resetați cheia de criptare folosită pentru a proteja traficul WPA2. Atacul nu permite obținerea parolelor rețelei Wi-Fi.

Atacatorul trebuie să se afle în raza de acțiune a rețelei wireless

Atacul funcționează numai dacă atacatorul se află în rețeaua Wi-Fi a victimei. Nu va fi posibil să efectuați un atac de la distanță.

Protocolul HTTPS poate proteja, de asemenea, traficul utilizatorilor în unele cazuri, deoarece HTTPS utilizează propriul strat separat de criptare. Cu toate acestea, HTTPS nu este 100% sigur, deoarece există atacuri care pot întrerupe conexiunea și pot oferi unui atacator acces la traficul criptat HTTPS.

Atacul KRACK este universal și funcționează împotriva tuturor tipurilor de dispozitive care utilizează o rețea Wi-Fi WPA2, inclusiv Android, Linux, iOS, MacOS, Windows, OpenBSD și chiar dispozitive IoT.

Atacul permite utilizatorilor terți să asculte cu urechea traficul WPA2. Cu toate acestea, dacă rețeaua Wi-Fi este configurată pentru utilizare Criptare WPA-TKIP sau GCMP pentru WPA2, un atacator poate efectua și injecția de pachete pentru a intercepta traficul.

Aproape toate dispozitivele sunt afectate

Deoarece vulnerabilitatea afectează protocolul WPA2 în sine și este asociată cu procedura de strângere de mână în rețea, chiar și dispozitivele cu o implementare ideală a protocolului sunt în pericol.

Schimbare Parole Wi-Fi nu va proteja utilizatorii. Utilizatorii trebuie să instaleze actualizări de firmware pentru produsele afectate.

Vanhoof a spus:

Orice dispozitiv care utilizează Wi-Fi este probabil vulnerabil. Din fericire, implementarea poate fi remediată cu compatibilitate inversă.

O listă de produse și actualizări disponibile va fi disponibilă pe pagina dedicată US-CERT, care va fi actualizată continuu.

Deși sunt așteptate actualizări pentru ambele computere desktop, iar pentru smartphone-uri, experții consideră că routerele și Dispozitive IoT va fi cel mai afectat. Pot exista întârzieri în lansarea actualizărilor de firmware pentru aceste dispozitive.

Problema a fost descoperită anul trecut

Vanhoof a descoperit problema în 2016, dar a continuat să lucreze la înțelegerea atacului. Anchetatorul a trimis notificări unor furnizori afectați în iulie 2017, iar US-CERT a trimis o notificare extinsă către Mai mult furnizori la sfârșitul lunii august.

Expertul descrie atacul mult mai detaliat pe un site web dedicat atacului KRACK și într-o lucrare de cercetare pe care expertul intenționează să o prezinte la conferința Computer and Communications Security (CCS) și Black Hat Europe din acest an.

Cum se remediază vulnerabilitatea KRACK?

În primul rând, nu intrați în panică. Deși această vulnerabilitate ar putea permite unui atacator să asculte sau să modifice datele transmise conexiuni wireless, acest atac Nu este deloc ușor de realizat, iar un exploit de lucru nu a fost încă publicat.

Se așteaptă ca furnizorii să lanseze rapid actualizări pentru a corecta acest defect. Pentru consumatorii casnici și utilizatorii de afaceri, problema poate fi rezolvată prin actualizarea routerului, punctului de acces, adaptoarelor de rețea fără fir și dispozitivelor cu firmware nouși șoferii pe măsură ce sunt eliberați.

Ați găsit o greșeală de scriere? Apăsați Ctrl + Enter