E-mailTen adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. telefon: +48226466873

"Keep Calm and Wi-Fi on" - nieco o ataku KRACK

.

Gorący temat ostatnich dni* w bezpieczeństwie IT dotyczy błędu w implementacji protokołu WPA2 będącego kluczowym elementem zabepieczeń współczesnych sieci Wi-Fi. Ujawniony w ostatnich dniach atak KRACK jest wyjątkowo niebezpieczny, gdyż nie jest wymierzony w konkretnego producenta, model czy też wersję oprogramowania, ale dotyczy implementacji protokołu zabezpieczeń, która wykorzystywana jest w zasadzie we wszystkich urządzeniach Wi-Fi: telefonach komórkowych, notebookach, komputerach stacjonarncyh, ale także w ruterach i punktach dostępowych Wi-Fi. Dokładny opis ataku dostępny jest na poświęconej mu stronie: https://www.krackattacks.com/ Protokokół WPA2 jest zalecanym protokołem do zastosowań "Enterprise" i nie posiada alternatywy, dlatego też ujawnienie ataku KRACK niesie za sobą poważne konsekwencje.

W niniejszym artykule omówimy po krótce istotę ataku KRACK oraz przedstawimy kilka wskazówek dotyczących wskazanych reakcji na to zagrożenie. (*) Artykuł opublikowany 17/10/2017.

Na czym polega podatność i wykorzystujący ją atak KRACK? Niektóre źródła błędnie podają, że ujawnieniu ulega klucz szyfrujący transmitowane dane. Jest to jednak półprawda. W rzeczywistości odgadnięty przez atakującego może być tzw. klucz tymczasowy (Temporal Key), który jest okresowo renegocjowany pomiędzy punktem dostępowym a urządzeniem klienckim w trakcie tzw. 4-o stronnego ustalenia kluczy protokołu WPA2 (WPA2 4-way handshake). Urządzenie sieciowe można zmusić do wyzerowania teoretycznie losowych parametrów inicjalizujacych sesję kryptograficzną (nonce) co prowadzi do wielokrotnego użycia tego samego klucza. W efekcie ruch sieciowy może zostać odszyfrowany. Podatność ta w połączeniu z niewielkim błędem implementacyjnym, który obecny jest w systemach Linux i Android prowadzi do możliwości przeprowadzenia udanego ataku na zaszyfrowany strumień danych transmitowancyh przez Wi-Fi i w konsekwencji do jego odszyfrowania.  Zakres zagrożenia zależy od rodzaju systemu operacyjnego oraz dokładnej konfiguracji parametrów kryptograficznych. W przypadku stosowania algorytmu AES-CCMP atakujący może maksymalnie deszyfrować komunikację; w przypadku wykorzystania starszych WPA-TKIP oraz GCMP możliwe jest pełne i obustronne fałszowanie ruchu sieciowego (tu należy jednak dodać, że stosowanie tych szyfrów od dawna jest już niezalecane). Po więcej szczegółów odsyłamy do artykułu na Sekuraku: https://sekurak.pl/krack-nowy-atak-potrafiacy-rozszyfrowaczlamac-kazde-wifi/

Informacja o podatności WPA2 i ataku KRACK została wcześniej przekazana producentom sprzętu i oprogramowania, dlatego też już teraz dostępne są łatki producentów, które eliminują zagrożenie. W szczególności odsyłamy do poniższych opracowań: Ruckusa (Brocade) Aruby (HPE).

Producenci Wi-Fi udostępnili już poprawki do oprogramowania, które całkowicie niwelują podatnosć na atak KRACK. Dotyczy to także takich firm jak: Microsoft, Apple, Google, Intel. Niektóre produkty nie są podatne na atak, lub też są podatne w stopniu minimalnym, dotyczy to systemów iOS oraz Windows. Z kolei system Android 6 wydaje się być szczególnie narażony na atak.
Jednocześnie warto pamiętać, że:

  • atakujący musi być fizycznie obecny w danej lokalizacji sieciowej (w zasięgu sieci Wi-Fi), nie jest możliwy atak zdalny (przez internet);
  • nie jest obecnie publicznie dostępny kod eksploitu;
  • hasła użytkowników i certyfikaty nie są przez atak kompromitowane i nie ma potrzeby (ani sensu) ich zmiany;
  • wykorzystanie szyfrowania AES (domyślne w przeważającej liczbie implementacji) nie pozwala na modyfikację danych, a jedynie na podsłuch;
  • połączenia bezprzewodowe w trybie mesh oraz ptp też są podatne!

Podsumujmy: w sieciach enterprise zalecane jest:

  • sięgnięcie na portal producenta, przeczytanie informacji o podatności KRACK i instalacja odpowiednich łatek;
  • włączenie na kontrolerze Wi-Fi funkcji wykrywania intruzów, co ograniczy możliwosć prowadzenia ataków MitM (Man-in-the-Middle);
  • wyłączenie opcji  roamingu 802.11r (o ile to możliwe).



Tags: wifi punkty dostępowe bezpieczeństwo Enterprise ruckus aruba autoryzacja 802.11r

Kontakt

sprzedaż:

e-mail: sales@cc.com.pl

 


pomoc techniczna:

e-mail: support@cc.com.pl

 

CC Otwarte Systemy Komputerowe Sp. z o.o.

Dostarczamy bezpieczne rozwiązania sieciowe oraz oprogramowanie od 2001 roku. Projektujemy i wdrażamy infrastrukturę bezpieczeństwa sieciowego: systemy firewall, content security oraz systemy autoryzacji; wdrażamy infrastrukturę sieci LAN, WAN i WiFi. Nasi inżynierowie posiadają certyfikację producentów takich jak: Check Point, HPE / Aruba Networks, Juniper Networks, Palo Alto Networks, Ruckus Networks (Arris), Arista, Fortinet, Flowmon, Fudo Security, Gemalto, Sophos, Vasco, i innych a także certyfikaty CISSP i PRINCE2.

Oferta

  • Dostawa i wdrożenia sieci WiFi
  • Dostawa i wdrożenia sieci LAN i WAN
  • Dostawa i wdrożenie systemów bezpieczeństwa
  • Wsparcie techniczne
  • Outsouring w zakresie administracji systemów IT
  • Oprogramowanie na zamówienie: portale internetowe, aplikacje biznesowe, aplikacje naukowe, aplikacje specjalizowane

Lokalizacja

world-map

Rakowiecka 36, 02-532 Warszawa

tel. +48 22 646-68-73

faks. +48 22 6063780

sprzedaż - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

pomoc techniczna - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.