Ujawniono lukę w protokole Wi-Fi KRACK i wygląda to przerażająco. Najprostsza implementacja dotyczy 41% telefonów z Androidem.
Bezpieczeństwo to główny temat rozmów w ostatnich latach, który można zastosować do wielu form technologii. Może odnosić się do takich rzeczy, jak błąd Heartbeat SSL, włamanie do konsoli do gier lub bezpieczeństwo Twoich danych. Na naszych urządzeniach bezpieczeństwo może odnosić się do łatwości uzyskania dostępu do konta root lub możliwości wystąpienia wirusów, ale oczywiście bezpieczeństwo może odnosić się do szerokiego zakresu tematów. WPA2 uważany jest za najbezpieczniejszą ochronę sieci Wi-Fi dla konsumentów i najczęściej stosowane zabezpieczenia sieci protokół został złamany przez KRACK z powodu poważnej wady w działaniu samej standardowej technologii WiFi Pracuje.
WPA2 to standardowy protokół bezpieczeństwa sieci, w dużej mierze zastępujący protokół WEP. Był uważany za bezpieczny i w dużej mierze niemożliwy do złamania, dynamicznie generujący nowe klucze do szyfrowania pakietów. Zaawansowany standard szyfrowania (AES) jest używany w przypadku większej liczby barier bezpieczeństwa, które powinny uwzględniać protokół bezpieczne, jeśli zastosujesz zwykłe środki ostrożności, takie jak dłuższe hasło, wyłączenie WPS i tak dalej To. Technicznie rzecz biorąc, problemem wcale nie jest WPA2.
Jednakże dowód słuszności przedstawiony w artykule badawczym Mathy Vanhoefa pokazuje, że WPA2 nie jest tak bezpieczny, jak mogłoby się wydawać. Exploit weryfikujący koncepcję o nazwie Key Reinstallations Attacks (KRACK) zostanie zaprezentowany 1 listopada podczas konferencji ACM na temat bezpieczeństwa komputerów i komunikacji w Dallas. Opisany atak działa we wszystkich nowoczesnych sieciach Wi-Fi, a jeśli Twoje urządzenie obsługuje Wi-Fi, prawdopodobnie już Cię to dotyczy. Podczas ich badań odkryto, że urządzenia z systemami Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys i inne były w jakiejś formie lub formie podatne na tę lukę.
Co gorsza, liczba 41% dotyczy tylko najbardziej niszczycielskiej formy tego ataku. Atak może zostać zmanipulowany w przypadku szerokiej gamy urządzeń, ale najgorszy jest w przypadku urządzeń z systemem Android 6.0 lub nowszym, ponieważ mają one wersję wpa_supplicant w wersji 2.4 lub nowszej. Zasada działania jest prosta. Obejrzyj poniższy film lub przeczytaj dalsze wyjaśnienia.
https://www.youtube.com/watch? v=Oh4WURZoR98
Jak działa KRACK
KRACK działa najpierw tworząc drugą sieć WiFi, kopiując wszystkie atrybuty oryginału za wyjątkiem pracy na innym kanale. Następnie próbuje skontaktować się z urządzeniem, na które jest celem, zmuszając je do połączenia się z nową siecią na oddzielnym kanale za pomocą tak zwanego „sygnału CSA” lub ogłoszenia o zmianie kanału. To informuje urządzenie, że zmienił się kanał, z którym musi się połączyć, więc teraz urządzenie połączy się z „nieuczciwą” siecią. Sieć, z którą urządzenie jest zmuszone się połączyć (nieuczciwa sieć), przekieruje Internet przez nią do innego połączenia. Dzięki temu atakujący może później ukraść odszyfrowane dane.
Następnie uruchamiany jest program „sslstrip”, który manipuluje całym ruchem nie na porcie 80 (żądania HTTP), aby przenieść go na port 10000 (wykorzystywany przez program modyfikujący dane). Wszelkie żądania HTTPS (zwykle na porcie 443, więc są przekierowywane na port 10000, gdy działa sslstrip), zostaną usunięte, a następnie przesłane w normalny sposób. Oznacza to, że nawet jeśli odwiedzisz łącze HTTPS, sslstrip usunie wszystkie dane szyfrowania z żądania i odwiedzisz wersję witryny HTTP. Źle skonfigurowane strony internetowe pozwolą na to, a prawidłowo skonfigurowana strona odrzuci żądanie i nie będzie działać bez protokołu HTTPS.
Następnie WireShark jest konfigurowany do monitorowania całego ruchu przechodzącego przez kartę sieciową komputera. W miarę przesyłania danych przez komputer widoczne będą również wszelkie żądania wysyłane przez podłączane urządzenie. Żądań HTTPS nie można przeglądać w WireShark, ponieważ są szyfrowane, ale atakujący może łatwo odczytać protokół HTTPS. Demonstrator pokazuje, w jaki sposób można łatwo odczytać nazwę użytkownika i hasło, które wprowadza na stronie internetowej, gdzie wyraźnie widoczne są „nazwa użytkownika” i „hasło”. Dzieje się tak dlatego, że strona internetowa, z której korzysta demonstrator (w tym przypadku match.com) nie wymusza na użytkowniku korzystania z protokołu HTTPS.
Działa to, ponieważ atakujący może po prostu poprosić o trzeci z czterech uścisków dłoni w generacji klucza. Podłączenie do sieci Wi-Fi wymaga czterech uścisków dłoni między urządzeniem a siecią. Uzgadnianie to po prostu połączenie urządzeń i przesyłanie wymaganych danych między obydwoma urządzeniami. Po prostu wysyłając raz za razem trzeci uścisk dłoni, można manipulować generowaniem klucza szyfrowania. Ostatecznie można wygenerować klucz o wartości 0, co umożliwi atakującemu odszyfrowanie danych i ich przeglądanie.
Jest to doskonałe wykorzystanie protokołu WiFi i można je zastosować na wielu urządzeniach. Istnieje wiele wariantów tego ataku, ale najprostszym i najskuteczniejszym jest ten opisany powyżej, atakujący każde urządzenie z Androidem powyżej wersji 6.0. Mam nadzieję, że zabezpieczenie wkrótce pojawi się aktualizacja, która naprawi lukę, ale na razie najlepszą rzeczą, jaką możesz zrobić, to uważać na sieci, z którymi się łączysz i korzystać z VPN, jeśli w ogóle możesz czasy.
KRACK
Przez: ArsTechnica