Copyright 2018 - Regiotel Fiľakovo

WPA2 Critical Vulnerability - Takmer všetky WiFi siete majú veľkú bezpečnostnú dieru

V protokoloch WPA a WPA2 (Wi-Fi Protected Access II protocol) bola objavená kritická zraniteľnosť, ktoré umožňujú útočníkovi vykonať útok “KRACK” (key reinstallation attack).

vpn router contestProtokol WPA2 sa používa ako štandardný nástroj na zabezpečenie Wi-Fi spojenia medzi zariadením a klientom. Jedinou alternatívou je používanie nešifrovaných WIFI sietí. Uvedená
zraniteľnosť umožňuje útočníkovi prístup k informáciám, ktoré sú prenášané medzi zariadením a klientom, ktoré mali byť bezpečne šifrované. Zraniteľnosť sa nachádza vo
všetkých zariadeniach, ktoré používajú pre šifrovanie komunikácie WPA2 protokol. Uvedená zraniteľnosť taktiež umožňuje útočníkovi, v závislosti na konfigurácii siete a zariadení,
vykonávať aj iné typy útokov, vrátane pozmenenia prenášaných údajov. Zraniteľnosť bola detekovaná vo Wi-Fi štandarde, nie v konkrétnych produktoch alebo
implementáciách. Znamená to, že zraniteľné je každé zariadenie, ktoré používa WPA2 protokol na šifrovanie Wi-Fi siete.

 

 

 

Počas pripájania klienta k Wi-Fi sieti si klient s access pointom vymenia štyri pakety, čím sa dohodne nový šifrovací kľúč. Tento kľúč a vnútorné počítadlo (replay counter) sa následne

použijú na šifrovanie bežných dátových rámcov pomocou jedného zo šifrovacích protokolov, ktoré definuje štandard IEEE 802.11i. Ak však prístupový bod (access point)

nedostal zodpovedajúcu odpoveď ako potvrdenie spojenia, môže odoslať tretiu správu viac krát. Štandard definuje, že po prijatí tretej správy si klient má vynulovať replay counter.
Útočník môže toto vynulovanie vynútiť, čo spôsobí, že viac rámcov bude zašifrovaných rovnako. Porovnaním takýchto zachytených rámcov je následne veľmi jednoduché získať
pôvodné nešifrované dáta. Útočník môže napadnúť šifrovací protokol za účelom dešifrovania alebo falšovania paketov. Rovnaká technika môže byť použitá na útok na group
key, PeerKey, TDLS a fast BSS transition handshake.

 

Zasiahnuté systémy

Všetky zariadenia s aktivovaným WPA2 protokolom. Príklady takýchto zariadení:
- počítače s OS Windows, Linux, Mac OS
- zariadenia s OS Android, iOS, Windows Mobile a “bez OS”, ak podporujú Wi-Fi
- Wi-Fi IP telefóny, bezdrôtové IP kamery, tlačiarne, osobní asistenti, domový vrátnik,
osobné váhy, hodinky a všetky ostatné inteligentné zariadenia s Wi-Fi
- prístupové body (access point) v režime repeater (WDS) alebo klient.

 

Následky

Únik citlivých informácií, neoprávnené vykonanie škodlivého kódu, neoprávnený prístup
do systémov.

 

Odporúčania

Z krátkodobého hľadiska, tam, kde je to možné, odporúčame používať na prístup do lokálnej počítačovej siete iba fyzické káblové pripojenie a na pripojenie na Internet používať mobilné
dáta.
Zraniteľnosť je možné vyriešiť len úpravou spracovania WPA2 rámcov vo firmvéri klientských zariadení. Odporúčame sledovať, či výrobca zariadenia, ktoré používate, vydal
aktualizáciu, ktorá adresuje túto zraniteľnosť, a túto aktualizáciu aplikovať. V prípade, že aktualizácie pre daný typ zariadenia nie sú dostupné, treba považovať všetku
Wi-Fi komunikáciu z/do takéhoto zariadenia za verejnú, podobne ako pri využití nešifrovaných verejných sietí, a vyhnúť sa pripájaniu takýchto Wi-Fi zariadení do
korporátnych a domácich sietí. Aby sa bezpečnosť pri prístupe do korporátnej siete nespoliehala iba na jedno technické
opatrenie, neodporúčame Wi-Fi sieť so šifrovaním WPA2 pripojiť do samostatného sieťového segmentu, z ktorého bude na spojenie s firemnou LAN potrebné nadviazať VPN
spojenie. NEODPORÚČAME prechod z WPA2 na WPA alebo WEP, nakoľko takáto zmena neprinesie
žiadny bezpečnostný benefit. Na zmiernenie následkov tiež odporúčame dodržiavať zaužívané opatrenia “best practices”,
medzi ktoré patrí: aj v domácej sieti nastaviť firewall do režimu “verejná sieť”; pri komunikácii používať šifrované protokoly https, imaps, ssh a podobne; dôsledne overovať
platnosť certifikátov a iné bezpečnostné varovania 

ZDROJ: NBÚ

f t g m