С развитието на технологиите цялата ни информация е изложена на жертва на някакъв вид атака и въпреки че смятаме, че това никога няма да се случи с нас, трябва да бъдем нащрек и да признаем, че нападателите пропагандират целите си, без да избират жертви.
Наскоро говорихме и видяхме как Ransomware засяга хиляди потребители и компании по целия свят, буквално отвличайки техните данни и поискайки парична награда, която да расте с всеки изминал ден, ако не се уважат претенциите му.
Ransomware най -накрая беше контролиран от различните актуализации на защитата, но остави следа по въпросите на сигурността и когато сметнахме, че всичко е относително спокойно, възниква нова заплаха, която несъмнено има глобално въздействие поради вида си на разпространение и целта на атаката и е добре известната атака на Krack, която беше открита на 16 октомври тази година.
Атаката на Krack е уязвимост на KRACK в WPA2, която, всички знаем, е най-често срещаният метод за сигурност в повечето безжични рутери, пуснати от 2004 г. Нейната природа позволява на хакерите да проникнат в напълно сигурна Wi-Fi връзка, без да уведомяват жертвата, докато не стане твърде късно те да направят нещо по въпроса, за да вземат мерки за сигурност и поради загрижеността за тази проста атака, по -голямата част от днешните безжични устройства, включително нашите мобилни устройства, използват WPA2, за да преговарят за влизане в мрежа.
Какво представлява и как действа атаката Krack?Споменахме, че WPA2 е протокол, предназначен за защита на всички защитени понастоящем Wi-Fi мрежи, добре, с Krack, нападателят в обхвата на мрежата на жертва може да използва тези слабости, използвайки ключови атаки за преинсталиране (KRACK). Тоест, нападателите могат да използват тази нова техника на атака за четене на информация, която преди това трябваше да бъде сигурно криптирана. Това може да се използва за кражба на поверителна информация като номера на кредитни карти, пароли, съобщения в чата, имейли, снимки и т.
Атаката работи срещу всички съвременни защитени Wi-Fi мрежи и в зависимост от мрежовата конфигурация е възможно също да се инжектират и манипулират данни. Например, нападателят може да инжектира рансъмуер или друг злонамерен софтуер в уебсайтове, просто като е свързан към Wi-Fi мрежата.
Две от системите, които са най -уязвими за тази атака, са Android, от версия 6.0 и Linux, тъй като е възможно да се преинсталира ключ за криптиране с нулеви данни. Когато атакувате други устройства, е по -трудно да декриптирате всички пакети, въпреки че голям брой пакети могат да бъдат декриптирани.
Следващият видеоклип обяснява подробно как нападателят може да декриптира всички данни, предадени от жертвата:
1. Подробно как действа атаката на Krack
Атаката Krack е насочена към 4-посочния процес на WPA2 протокола, който възниква, когато клиент иска да се присъедини към защитена Wi-Fi мрежа, и се използва за потвърждаване, че и клиентът, и точката за достъп имат правилните идентификационни данни.
С този 4-посочен процес се договаря нов ключ за шифроване, който ще се използва за криптиране на целия последващ трафик. Понастоящем всички съвременни защитени Wi-Fi мрежи използват протокола за 4-посочна връзка, което предполага, че всички тези мрежи са засегнати или някакъв вариант на атаката Krack. Например атаката работи срещу лични и бизнес Wi-Fi мрежи, срещу стария WPA и най-новия стандарт WPA2 и дори срещу мрежи, които използват само AES криптиране. Всички тези атаки срещу WPA2 използват нова техника, наречена ключова атака за преинсталиране (KRACK), която се състои от следните стъпки:
Ключови атаки за преинсталиране - Общ преглед на високо нивоПри атака за преинсталиране на ключ нападателят подвежда жертвата да преинсталира ключ, който вече се използва. Той прави това чрез манипулиране и възпроизвеждане на криптографски поздравителни съобщения. Когато жертвата преинсталира ключа, свързаните параметри, като инкременталният номер на пакета за предаване и номерът на пакета за приемане, ще бъдат възстановени до първоначалната им стойност. По принцип, за да се гарантира сигурността, ключът трябва да се инсталира и използва само веднъж. За съжаление, този тип практика не е гарантиран от протокола WPA2.
Ключови атаки за преинсталиране - конкретен пример срещу 4 -пътен процес на WPA2Когато клиент се присъедини към Wi-Fi мрежа, той стартира 4-посочната връзка, за да договори нов ключ за шифроване. Ще инсталирате този ключ след получаване на съобщение 3 от 4-посочната връзка и след като ключът бъде инсталиран, той ще се използва за криптиране на нормални рамки от данни, използвайки протокол за криптиране.
Въпреки това, тъй като съобщенията могат да бъдат загубени или изхвърлени, точката за достъп (AP) ще препредаде съобщение 3, ако не получи подходящ отговор като потвърждение. В резултат на това клиентът може да получи съобщение 3 многократно и всеки път, когато получи това съобщение, той ще преинсталира същия ключ за шифроване и по този начин ще нулира номера на пакета за допълнително предаване и ще получи брояча за повторение, използван от протокола за криптиране.
В резултат на това, чрез принудително повторно използване на пакета за предаване и по този начин, протоколът за криптиране може да бъде атакуван, например пакетите могат да бъдат възпроизведени, декриптирани и / или фалшифицирани. Същата техника може да се използва и за атака на груповия ключ, PeerKey, TDLS и бърза BSS преходна връзка.
ВъздействиеДекриптирането на пакети е възможно, тъй като атака за преинсталиране на ключ кара номера на предаване (понякога наричани също номера на пакети или вектори за инициализация) да се нулират. В резултат на това същият ключ за криптиране се използва със стойности на пакети за предаване, които вече са били използвани в миналото. От своя страна това кара всички протоколи за криптиране на WPA2 да използват повторно ключовия поток при шифроване на пакети, което дава възможност за атака на Krack.
Възможността за декриптиране на пакети може да се използва за декриптиране на TCP SYN пакети, което позволява на противника да получи TCP последователните номера на една връзка и да отвлече TCP връзки. В резултат на това, въпреки че сме защитени от WPA2, противникът вече може да извърши една от най-често срещаните атаки срещу отворени Wi-Fi мрежи: инжектиране на злонамерени данни в некриптирани HTTP връзки. Например, нападателят може да се възползва от тази ситуация, за да инжектира ransomware или злонамерен софтуер в уебсайтове, които жертвата посещава и които не са криптирани.
Ако жертвата използва WPA-TKIP или GCMP протокол за криптиране, вместо AES-CCMP, въздействието е експоненциално по-критично.
2. Въздействието на Krack атака върху Android и Linux
Атаката Krack е най-силно засегната от версия 2.4 и по-нова на wpa_supplicant, който е често използван Wi-Fi клиент в Linux.
В този случай клиентът ще инсталира нулев ключ за криптиране, вместо да преинсталира действителния ключ. Изглежда, че тази уязвимост се дължи на коментар в стандарта Wi-Fi, който предполага изтриване на ключа за шифроване от паметта, след като е бил инсталиран за първи път. Когато клиентът сега получи ретранслирано съобщение от 4-посочната връзка WPA2, той ще инсталира отново изтрития ключ за шифроване, като ефективно ще инсталира нулев ключ.
В случая с Android можем да видим, че се използва wpa_supplicant, следователно Android 6.0 и по -нова версия също съдържа тази уязвимост, която улеснява прихващането и манипулирането на трафика, изпратен от тези устройства с Linux и Android.
Трябва да имаме предвид, че в момента 50% от устройствата с Android са уязвими към този опустошителен вариант на Krack, така че трябва да бъдем предпазливи и да вземем необходимите мерки за сигурност, за да избегнем поредната жертва.
CVE (Общи уязвимости и експозиции - Общи уязвимости и експозиции) е разработен, за да проследява кои продукти са засегнати от конкретни случаи на атака Krack на ключовото ниво на преинсталиране.
Текущите налични CVE са:
Peer-to-peer ключ за шифроване (PTK-TK) преинсталиране при 4-посочно ръкостискане
CVE-2017-13077
Преинсталиране на групов ключ (GTK) при 4-посочно ръкостискане
CVE-2017-13078
Ключ на групата за цялост (IGTK) Преинсталиране при 4-посочно ръкостискане
CVE-2017-13079
Преинсталиране на групов ключ (GTK) при обмен на групови ключове
CVE-2017-13080
Преинсталиране на груповия ключ на целостта (IGTK) в поздрава на груповия ключ
CVE-2017-13081
Приемане на заявка за повторно предаване за бързо пренасочване на BSS преход (FT) и преинсталиране на ключ за шифроване по двойки (PTK-TK)
CVE-2017-13082 [
Преинсталиране на STK ключа в процеса на PeerKey
CVE-2017-13084
Преинсталиране на тунелна конфигурация за препращане (TDLS) PeerKey (TPK) в TDLS ръкостискане
CVE-2017-13086
Преинсталиране на групов ключ (GTK) при обработка на кадър за реакция в режим на заспиване за управление на безжична мрежа (WNM)
CVE-2017-13087
Ключ на групата за цялост (IGTK) Преинсталиране при обработка на кадър за реакция в режим на заспиване за управление на безжична мрежа (WNM)
CVE-2017-13088
Трябва да имаме предвид, че всеки CVE идентификатор представлява конкретен екземпляр на ключова атака за преинсталиране. Това означава, че всеки CVE ID описва специфична уязвимост на протокола и следователно много доставчици са засегнати от всеки отделен CVE ID, например Microsoft е разработила CVE-2017-13080 за своите устройства с Windows 10.
Увеличете
С тази атака трябва да изясним, че няма да е възможно да открадне паролата на нашата Wi-Fi мрежа, но тя ще може да шпионира всичко, което правим чрез нея, което е деликатно и Krack не работи срещу устройства с Windows или iOS .
Можем да видим, че Android е активиран с всички начини за атака на Krack:
Увеличете
С това можем да споменем, че други уязвими платформи, в по -малък мащаб, са OpenBSD, OS X 10.9.5 и macOS Sierra 10.12
4. Как да се предпазим от тази атака на Krack
Като невидима атака никога няма да осъзнаем, ако сме атакувани от Крак, за да можем да приемем следното като добра практика:
- Ако е възможно, използвайте VPN мрежи
- Винаги проверявайте дали сайтовете използват защитен HTTP протокол, HTTPS
- Уверете се, че всички устройства са актуални, а също така актуализирайте фърмуера на рутера
- Използвайте пачовете за сигурност на производителите на следните връзки:
Скоро ще бъде пусната поредица от скриптове, които ще бъдат от голяма помощ за смекчаване на въздействието на Krack и по този начин да се изправят пред тази нова заплаха.
Въпреки че нашите устройства са уязвими за тази атака, трябва да сме внимателни към начина, по който се движим, как въвеждаме лична информация и най -вече да сме наясно с новите системни актуализации.
