Преглед садржаја:
Ажурирање: Подносилац захтева Впа (метода која се користи за постављање Ви-Фи руковања у Линуку) је ажуриран и већ је доступан. Гоогле је имплементирао ово решење и безбедносна исправка 6. новембра 2017 ће га укључити. Гоогле Вифи ће аутоматски инсталирати исправку чим постане доступна.
Следи оригинални чланак.
Годинама смо сви овисили о ВПА2 (Ви-Фи Протецтед Аццесс) протоколу да бисмо заштитили наше Ви-Фи мреже. То се данас све завршава.
Истраживач безбедности Матхи Ванхоеф открио је шта је означио КРАЦК, експлозив који напада рањивост у руковању протоколом ВПА2 који највероватније користите да бисте заштитили свој Ви-Фи код куће и милионе малих предузећа широм света.
Ажурирање: Изјава коју је дао Гоогле из верге каже да, иако је на све уређаје омогућен Ви-Фи уређај, Андроид телефони који користе Марсхмаллов (Андроид 6.0) или виши представљају посебан ризик и подложни су варијанти експлоатације која може манипулирати саобраћајем. Модели старијих фирмваре-а осјетљиви су на друге начине, али убризгавање промета је озбиљно питање. Очекујте исправку од Гоогле-а у блиској будућности.
Говорећи на конференцији АЦМ о безбедности рачунара и комуникација у Даласу, Ванхоеф је објаснио да овај подвиг може да дозволи њушкање пакета, отмице веза, убризгавање злонамјерног софтвера и чак дешифровање самог протокола. Рањивост је откривена људима који морају да знају такве ствари рано да би пронашли исправку и УС-ЦЕРТ (Тим за рачунарску спремност у Сједињеним Државама) објавио је овај припремљени билтен:
УС-ЦЕРТ је постао свјестан неколико кључних рањивости управљања у четверосмјерном руковању сигурносним протоколом Ви-Фи Протецтед Аццесс ИИ (ВПА2). Утицај искоришћавања ових рањивости укључује дешифровање, поновну репродукцију пакета, отмицу ТЦП везе, убризгавање ХТТП садржаја и друге. Имајте на уму да ће, као проблем на нивоу протокола, утицати већина или исправна имплементација стандарда. ЦЕРТ / ЦЦ и истраживачки извештач КУ Леувен, јавно ће открити ове рањивости 16. октобра 2017.
Према истраживачу који је упознат са рањивошћу, то делује искоришћавањем четвеространог руковања који се користи за успостављање кључа за шифровање саобраћаја. Током трећег корака, тастер се може поново ресетирати. Када се на неке начине замери, криптографска употреба може се поново употребити на начин да у потпуности поткопа шифровање.
Како да будем сигуран?
Да будем искрен, наредних пар дана вам није на располагању мноштво јавних опција. Нећемо вам рећи како то функционише или где да нађемо више информација о томе како тачно напад делује. Али можемо вам рећи шта можете (и што треба да урадите) да бисте остали што сигурнији.
- Избегавајте јавни Ви-Фи по сваку цену. Ово укључује Гоогле-ове заштићене Ви-Фи жаришне точке док Гоогле не каже другачије. Ако ваш оператер присиљава ваш телефон на Ви-Фи када је у домету, посетите форум да бисте видели да ли постоји решење да се то спречи.
- Повежите се само на обезбеђене услуге. Веб странице које користе ХТТПС или неку другу сигурну везу укључиће ХТТПС у УРЛ. Требали бисте контактирати било коју компанију чије услуге користите и питати да ли је веза осигурана помоћу ТЛС 1.2, и ако је тако, ваша веза са том услугом за сада је сигурна.
- Ако имате плаћену ВПН услугу којој верујете, требало би да омогућите везу у пуном радном времену до даљњег. Одуприте се искушењу да пожурите и пријавите се за било коју бесплатну ВПН услугу све док не откријете да ли су проверени и чувају ли ваше податке сигурно. Већина не.
- Користите ожичену мрежу ако и ваш рутер и рачунар имају место за прикључење Етхернет кабла. Ова употреба утиче само на 802.11 саобраћај између Ви-Фи рутера и повезаног уређаја. Етхернет каблови су релативно јефтини, а наочале нанижене по тепиху су вриједне тога. Потражите Цат6 или Цат5е спец кабл и не би требало постојати никаква конфигурација када се једном укључи.
- Ако користите Цхромебоок или МацБоок, овај УСБ Етхернет адаптер је плуг-анд-плаи.
- Опусти се.
Шта би се могло догодити ако сам на нападној мрежи?
Ова хака не може да украде ваше банкарске податке или Гоогле лозинку (или било које податке о исправно обезбеђеној вези која користи шифрирање од краја до краја). Иако је уљез можда у стању да ухвати податке које шаљете и примате, то нико не може користити нити их читати. Не можете је чак ни прочитати ако не дозволите да се телефон или рачунар прво дешифрују и дешифрују.
Нападач можда може радити ствари попут преусмеравања саобраћаја на Ви-Фи мрежи или чак слати лажне податке уместо праве ствари. То значи нешто безопасно попут штампања хиљаде примерака несметаног умрежавања на мрежном штампачу или нешто опасно попут слања злонамјерног софтвера као одговора на легитиман захтев за информације или датотеку. Најбољи начин да се заштитите је да уопште не употребљавате Ви-Фи све док вас другачије не упуте.
уххх срање то је лоше иуп пиц.твиттер.цом/иЈдсвП08Д7
- ⚡ Овен Виллиамс (@ов) 16. октобра 2017
На телефонима са Андроид 6.0 Марсхмаллов и новијим, КРАЦК рањивост може приморати Ви-Фи везу да створи апсурдно лак за шифровање шифровања шифре 00: 00: 00: 00: 00. Са нечим тако једноставним, аутсајдер може лако прочитати сав саобраћај који долази и долази од клијента, попут паметног телефона или лаптопа.
Али ако се тај промет кодира помоћу сигурних ХТТПС и ТЛС протокола (а већина веб промета треба бити ових дана), подаци које садрже шифрирају се крајњим крајем и, чак и ако су пресретнути, неће бити читљиви.
Да ли је ваш рутер закрпљен ради поправљања рањивости КРАЦК-а?
Речено је да је за Убикуити већ припремљена закрпа за њихову опрему, а ако се испостави да је то тачно, то бисмо требали видети ускоро од компанија попут Гооглеа или Апплеа. Другим, мање безбедним предузећима могу бити потребно дуже и многи рутери никада неће видети закрпу. Неке компаније које праве рутере сличне су неким компанијама које праве Андроид телефоне: свака жеља да подрже производ престаје када ваш новац стигне до њихове банке.
Да ли је то заиста важно?
Ово није случај када бисте требали осећати имуност јер ваши подаци нису довољно вредни. Већина напада помоћу овог експлозива биће опортунистичка. Дјеца која живе у вашој згради, сјеновити ликови који возе кварт у потрази за Ви-Фи АП-овима и опћим произвођачима несташлука већ скенирају Ви-Фи мреже око њих.
ВПА2 је имао дуг и плодоносан живот са јавним експлоатацијом до данас. Ево у нади да ће исправка, или оно што следи, моћи да ужива у истом. Чувај се!
Можда ћемо зарадити провизију за куповину користећи наше везе. Сазнајте више.
