Závažná chyba v protokole WPA2 umožňuje odpočúvanie WiFi
Chyba by mala byť zverejnená dnes, ale už teraz sa hovorí o vážnej chybe, pomocou ktorej sa dá prelomiť šifrovanie v súčasne používanom WiFi protokole WPA2:
The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others.
Podrobnosti ešte nie sú verejne známe, ale takáto chyba by mala obrovský dopad na bezpečnosť všetkých používateľov WiFi routerov.
Takže sa čoskoro zrejme dočkáme WPA3
(inak našiel som zaujímavý blbý kus textu call-for-wpa3 , který som ešte ani neprečetl)
podle všeho jde (opět) o útok na výměnu klíčů.
Co se týká Mikrotiků, je aktuální verze už opatchnutá: https://forum.mikrotik.com/viewtopic.php?f=21&t=126695
Prelomit asi velmi nie, podla popisu je princip podobny ako pri wepku.
Ide o chybu v navrhu protokolu a o to viac ma zaujala reakcia Mikrotiku, ktory sa chvali tym, ze dieru zapatchoval v novych ROS. Vzhladom na to, ze uz verzia 6.39.3 je zapatchovana vedeli o chybe uz pomerne dlho.
Divne mi je, ze opravili implemetnaciu WPA2 so zachovanim spatnej kompatibility, takze ta chyba asi nie je fatalna.
Klasika...
To uz je popisane v tom clanku od losa, ze ide o IV ramce, ale hlava mi neberie ako to ten MT opravil vo svojich ROS? Zeby upravil pocet moznych zaslani IV ramca len na urcity pocet za min?
přesně to předpokládám.
A safra
Tak som si precital clanok priamo od objavitela a mozny je len MitM utok a nie je mozne desifrovat ziadne packety vratane hesla. Patchovat sa navyse daju aj klienti, nielen AP, takze zranitelnost to nie je az taka hrozna, povedal by som dokonca az smiesna.
Je mozne odposlouchavat komunikaci, protoze se dostanes ke klici, abys to desifroval.
A to spouste "organizaci" staci. Nepotrebuji hesla ani se k tobe pripojovat.
Naopak. KRAK se týká výhradně klienta. A tam je třeba patchovat. Router je zranitelný pouze v případě, že slouží jako klient. Aktualizovat router v režimu AP nijak zranitelnost neomezí.
Zde je seznam dotcenych zarizeni a systemu:
https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4
Jen se mi potvrdilo, ze Mikrotik je dobra volba
Sítím vůbec nerozumím a můj jediný pokus o upgrade ROS dopadl "brickoidně"..
A tak se jako laik zeptám: Je postiženo pouze wifi mezi (domácím) routerem a (na něj) připojenými zařízeními? Nebo také mezi providerem, od jehož x km vzdáleného "vysílače" a anténou/bridge na baráku? Může se MitM s KRACKem dostat mezi to?
Díky
Napadnutelné to máš mezi 2 WiFi zařízeními. Nevím, zda budeš schopný to napadnout u providera - tam je omezení na MAC adresy apod. Spíš se jedná o nějaké domácí a veřejné wiFi sítě.
Vyjma Mikrotiku budou zaplaty na routerech co jsou maximalne v zaruce pod 2 roky stary, na zbytek se vyrobci vykaslou, takze bude Wi-fi nebezpecny, ale svet pojede dal a k internet bankingu se budou lidi pripojovat stejne jako dnes pres verejne wi-fi a nikdo to neresi.
to je mj. jeden z dalších důvodů proč kupovat síťová zařízení s podporou (již MKT má hodně silnou). Narozdíl od blikajících rádoby-tech krabiček s mega plastikovými anténami, mají mikrotiky skvělou a rychlou podporu...
Mé taliře Unifi už také aktualizaci mají. ty totiž vystupují jako klient v režimu Mesh a Wirless Uplink. Na AirOS jsem se nekoukal, ale předpokládám že aktualizace je již také k dispozici.
No tak dobre, opravu budou mit Mikrotik a Ubiquiti, jenze tech vyrobcu je mnohem vic a obe vyjmenovane znacky (+ Turris) si kupuji spis profici, bezny frkulin z zive (a ja nakonec taky) ma doma Asus, TP-Link, Linksys, Netgear a u tech se tipuju opravy nedockame.
tomu se říká lessons learned.
Tahle chyba se fakt tyka (a je opravitelna) pouze klienta. Nejvetsi hrozbou nejspis budou starsi androidy, na ktere uz nebudou aktualizace.
To jsem nevedel ovsem moc mi to nepomohlo.
Mam SGS4 (Android 5.1) a SGS5 (Android 5.0) a mamka ma SGS3 Neo (Android4.4) a tablet Prestigio (Android4.0). Menit doma nehodlame telefon, neda se sviti, holt to budeme mit deravy.