KRACK — Key Reinstallation Attacks

Kazarin KirillIT Blog, Security, Новости

Приветствую всех коллег и не только коллег! Итак, сегодня мир IT ( в частности тех, кто хоть сколько то работает с компьютерными сетями и ИБ ) потрясла новость -WPA2 пал! Все, сломали, хакнули, нашли супер дырки в протоколе, полно багов! Ааа, нам всем придет пушистый зверек! Новостные порталы просто взорвались — Вы только посмотрите ( это просто выборка из моей новостной ленты на feedly) на это:

Давайте не будем поддаваться панике и внимательно посмотрим- что случилось, и чем это нам грозит…

Итак, что мы знаем точно:

  1. Группа исследователей/ исследователь, нашел/нашли уязвимость в протоколе WPA2, доселе считавшемся не взламываемым.
  2. Уязвимость найдена именно в протоколе, а не в конкретной реализации — это несомненно плохо, я бы сказал даже ужасно, т.к. означает, что затронуто было огромное число устройств.

Все, на этом кошмар заканчивается. Просто нашли дырку в фундаменте. Это значит что сейчас по отдельности или коллективно найдут решение, повыпускают заплатки и мы забудем про это. Да, ожидается Proof-of-concept эксплоит (и имя ему KRACK — Key Reinstallation Attack ), но и производители уже в курсе. Например патчи и пакеты с исправлением уже сформированы для Debian и Fedora, а в ближайшие часы ожидаются для Ubuntu, RHEL и SUSE. По поводу аппаратных устройств — латвийцы из Mikrotik уже выпустили обновление (да да, я буду вечером обновлять свои девайсы, а те у кого гламурные китайские роутеры — ждите #довольнаяморда), да и пользователи Zyxel Keenetic могут спать спокойно — патч уже в бета версии свежей прошивки. Пруфы:

Более того, всем прочим пользователям тоже не стоит переживать — если нет патча под прошивку Вашего роутера/точки доступа- достаточно иметь обновление на клиенте, т.к. для воспроизведения проблема требует наличия уязвимости как на сервере, так и на клиенте! Эту информацию можно найти на сайте, посвященном атаке (https://www.krackattacks.com/):

«No, luckily implementations can be patched in a backwards-compatible manner. This means a patched client can still communicate with an unpatched access point, and vice versa. In other words, a patched client or access points sends exactly the same handshake messages as before, and at exactly the same moments in time. However, the security updates will assure a key is only installed once, preventing our attacks. So again, update all your devices once security updates are available.«

Более того:

«What if there are no security updates for my router?
Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates.»

А это просто сказка:

«our attacks do not recover the password of the Wi-Fi network«

Итого — атака всего лишь позволяла вынудить Ваши устройства начать шифровать пакеты кое-как, чтобы их легко можно было вскрыть после снифинга.

Тот факт, что всплыло событие такого масштаба да еще и с такой оглаской дает большую надежду на то, что дырка будет очень быстро закрыта а не будет мусолитсья и замалчиваться годами. Да вы сами видие что процесс уже пошел.

Очень порадовали меня сообщения в духе вот таких:
«Даже использование защищённого протокола HTTPS не обеспечивает защиты при просмотре сайтов.»

«Да ладно!» —  хочется воскликнуть мне!

Каким, блин, боком связан WPA2 и HTTPS? Кстати, в силу огромной распространенности последнего в наше время, польза от атаки сильно сходит на нет. нет ну серьезно- покажите мне серьезный сервис, который сейчас гоняет трафик в открытую? А для рабочих моментов, использование VPN так это вообще MUST Have!

Что делать:

  1. Если апдей есть — ставить. Нет — ждать/
  2. Выкрутите наконец мощность своих передатчиков на минимум. Давно пора- может хоть это побудит.
  3. Важную инфу и раньше рекомендовалось передавать по проводу. А wifi держать в отдельном VLAN. Вот и делайте по уму!
  4. Домашним пользователям бояться стоит еще меньше- кому Вы нужны. К моменту как эксплоит станет юзабельным и достигнет рук Скрипт-киддис, патчей уже настрогают. Ну а кто не обновляется — тем так и надо.