La vulnerabilità del protocollo WiFi KRACK è stata rivelata e sembra spaventosa. Il 41% dei telefoni Android è interessato dalla sua implementazione più semplice.
La sicurezza è un argomento di discussione importante negli ultimi anni, che può essere applicato a molte forme di tecnologia. Può riferirsi a cose come il bug SSL Heartbeat, l'hacking della console di gioco o la sicurezza dei tuoi dati. Sui nostri dispositivi, la sicurezza può riferirsi alla facilità di ottenere l'accesso root o al rischio di virus, ma ovviamente la sicurezza può riferirsi a una vasta gamma di argomenti. WPA2 è considerata la protezione WiFi consumer più sicura e la sicurezza di rete più utilizzata Il protocollo è stato interrotto da KRACK a causa di un grave difetto nel modo in cui la tecnologia standard WiFi stessa lavori.
WPA2 è il protocollo di sicurezza di rete standard, ampiamente utilizzato in sostituzione di WEP. Era considerato sicuro e in gran parte inattaccabile, generando dinamicamente nuove chiavi per crittografare i pacchetti. Viene utilizzato l'Advanced Encryption Standard (AES), per ulteriori barriere di sicurezza che dovrebbero ritenere il protocollo sicuro quando si adottano le consuete misure precauzionali di avere una password più lunga, disabilitare WPS e tutto il resto Quello. Tecnicamente il problema non è affatto WPA2.
Tuttavia, una prova di concetto mostrata in un documento di ricerca di Mathy Vanhoef mostra come WPA2 non sia così sicuro come potrebbe sembrare. Un exploit proof of concept chiamato Key Reinstallations Attacks (KRACK) sarà presentato il 1° novembre alla conferenza ACM sulla sicurezza informatica e delle comunicazioni a Dallas. L'attacco delineato funziona su tutte le reti WiFi moderne e, se il tuo dispositivo supporta il WiFi, probabilmente sei già interessato. Durante la loro ricerca, è emerso che Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys e altri dispositivi erano tutti suscettibili alla vulnerabilità in qualche modo.
Cosa è peggio, la cifra del 41% riguarda solo la forma più devastante di questo attacco. L'attacco può essere manipolato per un'ampia gamma di dispositivi, ma la cosa peggiore riguarda i dispositivi con Android 6.0 o versioni successive, poiché dispongono della versione 2.4 o successiva wpa_supplicant. Come funziona è semplice, guarda il video qui sotto o continua a leggere per una spiegazione.
https://www.youtube.com/watch? v=Oh4WURZoR98
Come funziona KRACK
KRACK funziona innanzitutto creando una seconda rete WiFi, copiando tutti gli attributi dell'originale tranne lavorando su un canale diverso. Tenta quindi di contattare il dispositivo preso di mira, costringendolo a connettersi alla nuova rete su un canale separato utilizzando quello che viene chiamato "CSA Beacon" o annuncio di cambio canale. Questo dice al dispositivo che il canale a cui deve connettersi è cambiato, quindi ora il dispositivo si connetterà alla rete "canaglia". La rete a cui il dispositivo è costretto a connettersi (la rete canaglia) inoltrerà Internet attraverso di essa a un'altra connessione. Ciò consente all'aggressore di rubare successivamente i dati decrittografati.
Successivamente viene eseguito il programma "sslstrip", che manipola tutto il traffico non sulla porta 80 (richieste HTTP) per spostarlo sulla porta 10000 (utilizzata dal programma per modificare i dati). Qualsiasi richiesta HTTPS (solitamente sulla porta 443, quindi viene reindirizzata alla porta 10000 quando sslstrip è in esecuzione), avrà la richiesta di dati sicuri eliminata e quindi inviata normalmente. Ciò significa che anche se visiti un collegamento HTTPS, sslstrip rimuoverà tutti i dati di crittografia nella richiesta e visiterai una versione HTTP del sito web. I siti Web configurati in modo errato consentiranno che ciò accada e un sito Web configurato correttamente rifiuterà la richiesta e non funzionerà senza HTTPS.
Successivamente, WireShark è configurato per monitorare tutto il traffico che attraversa la scheda di rete del computer. Man mano che i dati vengono inoltrati tramite il computer, verranno visualizzate anche tutte le richieste del dispositivo che si connette. Le richieste HTTPS non possono essere visualizzate in WireShark poiché sono crittografate, ma HTTP può essere facilmente letto da un utente malintenzionato. Il dimostratore mostra come possono essere facilmente letti il nome utente e la password che inserisce nel sito web, dove sono chiaramente visibili "nome utente" e "password". Questo perché il sito Web utilizzato dal dimostratore (match.com in questo caso) non obbliga l'utente a utilizzare HTTPS.
Ciò funziona perché l'aggressore può semplicemente richiedere il terzo handshake su quattro nella generazione della chiave. La connessione a una rete WiFi richiede quattro handshake tra il dispositivo e la rete. Una stretta di mano è semplicemente la connessione dei dispositivi e l'invio di dati tra entrambi. Semplicemente inviando nuovamente il terzo handshake più e più volte, è possibile manipolare la generazione della chiave di crittografia. Alla fine può essere generata una chiave tutta 0, che può consentire all'aggressore di decrittografare i dati e visualizzarli.
Questo è un perfetto sfruttamento del protocollo WiFi e può essere applicato a moltissimi dispositivi. Esistono molte varianti di questo attacco, ma la più semplice ed efficace è quella sopra descritta, che colpisce qualsiasi dispositivo Android superiore ad Android 6.0. Speriamo che una sicurezza l'aggiornamento uscirà presto per correggere la vulnerabilità, ma per ora la cosa migliore che puoi fare è fare attenzione alle reti a cui ti connetti e utilizzare una VPN se puoi volte.
KRACK
Attraverso: ArsTechnica