В протоколе WPA2 нашли критическую уязвимость, которая ставит под удар большинство сетей Wi-Fi в мире

Американское бюро реагирования на киберинциденты US CERT опубликовало информацию об уязвимости протокола WPA2, который используется в большинстве существующих в мире Wi-Fi сетей. Данная уязвимость эксплуатирует технологию авторизацию пользовательских устройств в сети и может быть использована для получения доступа ко всем типам устройств, включая компьютеры, смартфоны, планшеты, беспроводные наушники и проч. Уязвимость позволяет атаковать в первую очередь Wi-Fi сети, не использующие технологию VPN, то есть подавляющее большинство публичных точек доступа, домашние сети и сети небольших компаний.

Генеральный директор Qrator Labs Александр Лямин говорит, что решение проблемы может занять очень значительное время.

Основная проблема с обнаруженной уязвимостью - это не ошибка в коде  Google или Microsoft, а ошибка в самой спецификации протокола. Фактически все  корректные реализации WPA2 выполненные "по букве стандарта" - уязвимы. Также важно, что существующая уязвимость позволяет не только прослушивать трафик, но и модифицировать его. Поэтому важно как можно скорее получить от производителя патч и установить его на все устройства которые являются/могут являтся точками доступа, а до тех пор по возможности или отказаться от использования Wi-Fi вообще или передавать данные по каналам с дополнительным шифрованием ( VPN/TLS/HTTPS).

Необходимо не только выработать рекомендации по устранению уязвимости, но и выпустить обновления для всех основных операционных систем для ПК, IoT и мобильных устройств. Также нужно чтобы производители устройств портировали изменения в свои решения, а пользователи установили обновления. Похоже мы имеем дело с уязвимостью которая будет существовать и эксплуатироваться следующие несколько лет, даже при удачном стечении обстоятельств, - сказал Лямин.

Директор по продукту компании HotWiFi, поставщика решения для организации сетей Wi-Fi в общественных местах, Наджиб Муаббат говорит, что его компания не ждет каких-то проблем, связанных с обнаруженной уязвимостью.

Формально исследователи расскажут о найденных ими уязвимостях лишь 1 ноября 2017 года, на конференции ACM CCS. Подробности об уязвимости пока не раскрыты. Что касается решений подобных нашему - наши сети не запаролены. Мы проводим авторизацию пользователя на сервере, а доступ к самому роутеру открыт. Взлом в этом случае не является опасностью, - сказал Муаббат.

Добавить 16 комментариев

  • Ответить

    там самое важное в одном из комментов:

    > aleph_nought wrote:
    > WEP is dead, WPA2 is crackable, what other options are there for consumer WiFi?

    There’s enterprise WPA2, or RADIUS, or your own VPN server at home. None of those are something that regular users can realistically do though.

    в общем судя по статье, простым человекам единственный выход — не пользоваться вайфаем вообще. пичалька

  • Ответить

    Плохая новость заключается в том, что с большой вероятностью уязвимы все современные wifi-устройства. Хорошая — в том, что для устранения уязвимости достаточно исправить любого из участников взаимодействия: пропатченная точка доступа выводит из-под удара подключающихся к ней уязвимых клиентов, а пропатченный клиент может спокойно подключаться к уязвимой точке доступа.
    https://bugtraq.ru/rsn/archive/2017/10/03.html

  • Ответить

    Что-то в этой новости не так… Сообщили бы для начала всем производителям устройств для подготовки патчей.
    Разработчик протокола решил напомнить о себе? :-)

  • Ответить

    >> в общем судя по статье, простым человекам единственный выход — не пользоваться вайфаем вообще. пичалька

    У подавляющего большинства простых, скорее всего, все еще хуже изначально (admin/admin по умолчанию и т. п.).

  • Ответить
    Альтер Эго > контекст

    1. Насколько я понял, «критическая уязвимость» является разновидностью Man-in-the-middle, с поднятием своей точки доступа, и с перенаправлением на нее трафика в момент key renegotiation.

    2. Я не согласен с так, что WPA по сертификатам является чем-то невозможным для обычных пользователей. Здесь многое зависит от критериев «обычности». Для обычных пенсионеров возраста за 60 — вероятно да. Но обычные школьники старших классов, уверен, с настройкой своего CA справятся, а заодно своим бабушкам и дедушкам настроят.

  • Ответить

    Все не так страшно. Если подломить клиентское соединение, то можно прослушать трафик только от клиента к роутеру. Если подломить роутер, то можно будет прослушать трафик только от роутера к клиенту. И только если подломить первое и второе, можно будет полноценно снифать трафик.

    Пожизненно уязвимы половина смартфонов-планшетов, на которые уже никогда не придут обновления (привет, «открытый» андроед!). Роутеры не подвержены этой атаке, если они не работают в режиме клиента (радиоудлинители, мосты и прочее) или 802.11R (ох весело будет энтерпрайзникам, которые понакупили оборудования под EOL).

  • Ответить

    По описанию https://www.krackattacks.com/ Enterprise WPA2 так же уязвим. Частичная митигация — отказаться от TKIP в пользу AES, это снимает возможность прямой модификации трафика на канальном уровне, но не снимает возможности дешифровки трафика и, как следствие, перехвата TCP-соединений.

  • Ответить

    Шифрование, при правильной реализации, перекроет проблему, и на сетевом (IPsec) и на транспортном (TLS) и на прикладном.

    Переход на IPv6 никак не повлияет. Разница исключительно в том, что в IPv6 есть изначальная поддержка IPSec на сетевом уровне, в то время как в IPv4 IPSec реализуется отдельными протоколами. Но и в том и в другом случае, сам по себе трафик шифроваться не начнет, IPsec надо внедрять и сам по себе между двумя произвольными узлами в сети он не заработает.

  • Ответить

    Делать VPN с шифрованием.

    Если вы конектитесь со своего ноутбука в общественных сетях, вас подобные атаки заботить вообще не должны. Если у вас есть хотя бы одна общественная сеть, к которой вы конектитесь по дефолту, то все, что позволяет эта атака, с вами и так можно сделать.

    Поэтому, для домашней сети, в 99% случаев можно ничего не делать, т.к. у атакующего должно быть либо специальное оборудовние либо стечение обстоятельств + желание смотреть за трафиком внутри вашей сети, а в вашей сети должен ходить какой-то интересный трафик, который не выходит за ее пределы.

  • Ответить

    И сменить пароль на роутере. И закрыть доступ к админке с WAN, если он вдруг был открыт — часто железо имеет технологические учетки с админскими правами. Правда, это не сильно вам поможет, если пароль от wifi уже ушел, подменить mac — как два пальца об асфальт, и вы это заметите разве что по падению скорости (на самом деле — потере пакетов).