Группа исследователей обнаружила серьезные недостатки в протоколе WPA2, обеспечивающем защиту всех современных Wi-Fi сетей. Злоумышленник, находящийся в зоне действия жертвы, может использовать эти недостатки, используя Key Reinstallation Attacks. Злоумышленники могут использовать этот новый метод атаки для чтения информации, которая ранее считалась зашифрованной.
UPD: пост обновлен частичными подробностями атаки и списком обновлений вендоров.
Уязвимости WPA2 позволяют обойти защиту и прослушивать Wi-Fi-трафик, передаваемый между точкой доступа и компьютером. Им присвоены следующие CVE идентификаторы:
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
In a key reinstallation attack, the adversary tricks a victim into reinstalling an already-in-use key. This is achieved by manipulating and replaying cryptographic handshake messages. When the victim reinstalls the key, associated parameters such as the incremental transmit packet number (i.e. nonce) and receive packet number (i.e. replay counter) are reset to their initial value. Essentially, to guarantee security, a key should only be installed and used once. Unfortunately, we found this is not guaranteed by the WPA2 protocol. By manipulating cryptographic handshakes, we can abuse this weakness in practice.
В качестве Proof-of-Concept предоставлена видеозапись, на которой продемострирована атака на смартфон под управлением Android:
Исследователи создали сайт, на котором в ближайшем времени обещают опубликовать более подробные детали атаки. Также создан репозиторий (пока пустующий).
Некоторые производители уже осведомлены о проблеме:
US-CERT has become aware of several key management vulnerabilities in the 4-way handshake of the Wi-Fi Protected Access II (WPA2) security protocol. The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected. The CERT/CC and the reporting researcher KU Leuven, will be publicly disclosing these vulnerabilities on 16 October 2017.
Технические детали атаки частично раскрывает статья одного из исследователей: papers.mathyvanhoef.com/ccs2017.pdf
Раскрытие информации об атаке запланировано на сегодня, 16 октября 2017 года. По мере поступления информации пост будет обновлен.
UPD:
Атака работает против частых и корпоративных Wi-Fi сетей, против устаревшего WPA и свежего стандарта WPA2, и даже против сетей, которые используют исключительно AES. Все наши атаки, направленные на WPA2, используют новаторскую технику реинсталляции ключей (key reinstallation)», — пишут авторы KRACK.
По сути, KRACK позволяет злоумышленнику осуществить атаку типа man-in-the-middle и принудить участников сети выполнить реинсталляцию ключей шифрования, которые защищают трафик WPA2. К тому же если сеть настроена на использование WPA-TKIP или GCMP, злоумышленник сможет не только прослушивать трафик WPA2, но и осуществлять инжекты пакетов в данные жертвы.
Метод KRACK универсален и работает против любых устройств, подключенных к Wi-Fi сети. То есть в опасности абсолютно все пользователи Android, Linux, iOS, macOS, Windows, OpenBSD, а также многочисленные IoT-устойства.
По словам исследователей, эксплоит не будет опубликован до момента, пока большинство вендоров не выпустит обновления.
Проверить наличие/отсутсвие патча для конкретного вендора можно здесь, либо на домашней странице производителя.
Комментарии (146)
tropico
16.10.2017 13:49+1Кстати микротики уже пропатчены
easty
16.10.2017 18:01Судя по тексту, они просто написали реализацию как надо, а не абы как) поэтому большинство уязвитмостей не подвержены any way)
INSTE
16.10.2017 18:08Ничего подобного:
The device operating as client in key exchange is affected by this issue. This means that RouterOS in station modes and APs that establish WDS links with other APs are affected.
We released fixed versions last week, so if you upgrade your devices routinely, no further action is required.
Они просто накатили патчи от вендора (Atheros) и на прошлой неделе выпустили обновление.
Никакой «магии» и «написано как надо».gban
17.10.2017 11:19Т.е. D-Link'у должен накатать патч от Marwell?
Keenetic Start II
Keenetic 4G III rev. B
Keenetic Lite III rev. B
Keenetic Giga III
Keenetic Ultra II
Keenetic Extra II
Keenetic Air
— уже включено в beta-версию, на остальные забили
gban
18.10.2017 04:41дополню — с 2.10 beta пропатчено
Keenetic Lite II
Keenetic Lite III
Keenetic Omni
Keenetic Omni II
Keenetic II
Keenetic III
Keenetic Giga II
Keenetic Ultra
Keenetic LTE
Keenetic DSL
Keenetic VOX
а вот остальные в т.ч. Viva, Extra — по мнению кинетика уже древние (и это 600 Mhz MT7620A, 128 Mb RAM 16 Mb Flash, Gigabit Ethernet + у Extra есть 5 Ггц)INSTE
18.10.2017 11:00Обновление 2.08 для практически всех 7620 уже вышло, не распространяйте дезинформацию.
И вообще, следите за новостями.gban
18.10.2017 12:36Ну я собственно и пытаюсь выяснить
2.08 вышло и у меня стоит. а пропатчено с 2.10 beta
Проблема в том, что для перечисленных в списке моделей есть 2.10 beta и даже 2.11 альфа, и они еще как-то рассматриваются на предмет багфиксов,
а вполне себе рабочие Viva и Extra — ОФИЦИАЛЬНО остановлены на 2.08 и надежды на фиксы весьма слабы.
Получается, вся надежда на 4pda? А за что простите кинетик деньги берет?
«А ну с этим не пошло, да и хрен с ним, давайте лучше новый проц залепим и цену в 2 раза поднимем»
INSTE
18.10.2017 10:59Обычно вендоры уведомляются первыми и рассылают производителям железа новые поправленные версии драйверов.
Если Marvell там не сделал, то они нехороший вендор.
А если DLink после этого не стал сам делать патчи, то он — ну сами понимаете какой производитель.
x67
17.10.2017 11:45Я правильно понимаю, что если микротик выступает в качестве точки доступа, то безопасно ею пользоваться даже без обновления?
R2D2_RnD
17.10.2017 11:19It is important to note that the vulnerability is discovered in the protocol itself, so even a correct implementation is affected.
Судя по их примечанию — уязвимость содержится в самом протоколе, т.е. даже 100% корректная реализация протокола уязвима
wholeman
16.10.2017 14:16+1Две статьи, и ни в одной не сказано простыми словами, насколько это серьёзно: любой хакер, вошедший в зону приёма сигнала, может перехватывать и подменять все пакеты, или он должен быть в сети авторизован, получив ключ другим способом, или хотя бы подключён, взломав авторизацию?
Sovigod
16.10.2017 14:22Достаточно быть в зоне стабильного сигнала.
wholeman
16.10.2017 14:30В видео, однако, происходит переключение клиента на подставную сеть, что уже не совсем перехват трафика, или я чего-то не понял (что весьма вероятно, ибо я не очень понимаю английский со слуха).
Собственно, меня больше волнует безопасность периметра, нежели клиента.lorc
16.10.2017 15:28Атака состоит в том, что можно сбросить IV (или nonce, в терминологии wifi) на клиенте. Таким образом можно заставить клиента использовать тот же самый keystream ещё раз. А потом ещё раз. И ещё. Дальше мы ксорим два потока данных с одинаковым keystream между собой и таким образом снимаем шифрование. Остаются просто расшифрованные данные, поксоренные между собой.
duger
16.10.2017 17:41Чет толи лыжи не катят, то ли я чего-то не понимаю. Если вы ксорите два пакета с одинаковым keystream вы получаете xor из двух открытых пакетов. Т.е. чтобы прочитать некий пакет вы точно должны знать содержимое второго пакета, с которым у этого пакета одинаковый keystream. Трудновато однако.
PaulAtreides
16.10.2017 18:56+1Поскольку пакеты содержат не случайные данные, то дальше можно применять разные эвристики, чтобы получать открытый текст.
lorc
16.10.2017 15:30И вот ещё прекрасное:
Our attack is especially catastrophic against version 2.4 and above of wpa_supplicant, a Wi-Fi client commonly used on Linux. Here, the client will install an all-zero encryption key instead of reinstalling the real key. This vulnerability appears to be caused by a remark in the Wi-Fi standard that suggests to clear the encryption key from memory once it has been installed for the first time. When the client now receives a retransmitted message 3 of the 4-way handshake, it will reinstall the now-cleared encryption key, effectively installing an all-zero key.
wholeman
16.10.2017 15:42Неужели в основных дистрибутивах до сих пор не пофиксили?
BiTHacK
16.10.2017 19:03Вот исправления и тесты для этих дыр в репозитории wpa_supplicant: w1.fi/cgit/hostap/log
Некоторые дистрибутивы уже подхватили эти изменения.
Pentoxide
16.10.2017 14:25Если используется AES — то прослушка всего трафика, если TKIP или GCMP — то еще и подмена.
sirocco
16.10.2017 14:16Вот блин… Это ж сколько китайроутеров теперь снова будут уязвимы. А прошивки Падавана теперь так и останутся дырявыми? Он же, вроде, бросил этим заниматься? Я ими всё дома перепрошил.
vlad007700
16.10.2017 14:40последний раз он комитил 8 дней назад, с чего бы это он бросил?
sirocco
16.10.2017 14:51Я, честно, не слежу сейчас за темой, но где-то, на Муське вроде, писали что он ушел в работать в Zyxel и больше не работает над другими прошивками. Обзор про какой то китайроутер был.
ivaaaan
16.10.2017 15:20Достаточно патча на клиенте, необязательно роутер фиксить.
https://www.krackattacks.com/
Do we now need WPA3?
No, luckily implementations can be patched in a backwards-compatible manner. This means a patched client can still communicate with an unpatched access point, and vice versa. In other words, a patched client or access points sends exactly the same handshake messages as before, and at exactly the same moments in time. However, the security updates will assure a key is only installed once, preventing our attacks. So again, update all your devices once security updates are available.mikelavr
16.10.2017 17:41То есть старые телефоны останутся без защиты. Шансов обновить роутер все же побольше.
ivaaaan
16.10.2017 18:27Ну да. Привет всем обладателям устройств Android :-)
willyd
17.10.2017 11:19Я вас умоляю. iPhone ниже 6 версии в большинстве тоже не обновляются хозяевами поскольку начинают тормозить.
LynXzp
17.10.2017 14:00Используйте правильный android: lineageos.org, мой телефон вышел со 2-м андроидом, сейчас там 7-й.
wholeman
16.10.2017 21:35У меня примерно одинаково. :-Е Разве что телефон и роутер на альтернативные прошивки.
wholeman
16.10.2017 15:25Оттуда же:
What if there are no security updates for my router?
и
Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates.our attacks do not recover the password of the Wi-Fi network
Т.е. не всё так страшно, если клиенты пропатчены.r0ck3r
16.10.2017 15:57А если обратная ситуация и пропатчен роутер, а не клиенты — клиенты все равно в опасности, насколько я понял?
wholeman
16.10.2017 16:00Я тоже так понял.
LynXzp
17.10.2017 13:54Как можно было так понять? Если клиенты пропатчены, а роутер нет, то трафик в безопасности так? Тогда зачем нужен патч на роутеры если он без патча клиента не помогает?
DaemonGloom
17.10.2017 13:56+1Роутеры тоже могут выступать в роли клиентов (подключаться к другому роутеру не по кабелю, а через wifi).
Dmitry_7
16.10.2017 14:40Носимые устройства с нормальной поддержкой от производителя автоматом обновятся? Тот же вопрос про роутеры именитых брендов, надо ли их перезагружать и т.п.
Hanabishi
16.10.2017 21:10Зависит от устройства. Телефоны как правило просто обновляются в штатном порядке (но если производитель уже положил болт на ваш девайс, то шансов на апдейт конечно мало).
А касательно роутеров, я вообще никогда не видел для них «обновлений». Есть понятие прошить новую прошивку, и это все ручками и разумеется с перезагрузкой. И опять же если производитель болт не положит.wholeman
16.10.2017 21:51У меня есть Netgear, который регулярно наличие обновлений проверяет. Толку, правда, немного, потому что последнее вышло лет пять назад.
Meklon
17.10.2017 11:16Mikrotik) Обновляются модели чуть ли не десятилетней давности, пара десятков фиксов в год. У всех устройств одна и та же актуальная версия пакетов.
Daimos
16.10.2017 14:42+1Ubiquiti выпустили обновление
We've prepared firmware 3.9.3.7537. Please see below for the changelog and links to the firmware binaries.
Firmware changes from 3.9.2:
[ACIWPro] Enable DFS support.
[UAP] Add more security details to scan info.
[UAP] Security patch for the WPA2 vulnerability called KRACK (details HERE).*
[UAP] Various backend fixes and/or improvements.
[USXG] Fix fastpath tools.
[HW] Improve error codes returned on firmware upgrade fail.dmitry_dvm
16.10.2017 18:29-3Вот одна из причин почему я теперь покупаю домой только Ubiquiti — это оперативность их обновлений. Да, дороже обычного SOHO, но и качество на порядки выше.
arheops
16.10.2017 20:18Выше написали, что обновление РОУТЕРА без обновления клиента — не помогает. Тоесть это обновление помогает в режиме клиент.
dmitry_dvm
16.10.2017 23:23Я не только про этот случай говорю. До этого уже были shell shock, heartbleed и прочие.
dmitryredkin
17.10.2017 13:09Чем вы читаете??? Не вводите в заблуждение народ! Написано же английским по белому: «Достаточно пропатчить любую из сторон коммуникации, хоть клиент, хоть роутер
aremdae
17.10.2017 16:28А вы чем?
Finally, although an unpatched client can still connect to a patched AP, and vice versa, both the client and AP must be patched to defend against all attacks!
dmitryredkin
17.10.2017 18:06Блин, сори, вчера этого не было.
Интересно, какие из атак возможны при непропатченом клиенте и насколько они вероятны…
Кто-то знает?
Daimos
16.10.2017 22:41Без контроллера девайсы эти малоинтересны. А поднимать дома виртуалку с контроллером — это оверкилл.
ЗЫ У меня на работе 12 точек этой компании используется, которые и я в том числе обслуживаю, но домой такую — не хочу.dmitry_dvm
16.10.2017 23:25EdgeRouterX и UniFi, красота. Роутер гигабит маршрутизирует без загрузки проца, что еще дома надо.
Daimos
17.10.2017 11:1590% людей дома устраивает одно устройство — AirRouter уж проще взять.
dmitry_dvm
17.10.2017 17:12Оно 2,4ггц и 100мбит. Устарело лет на 5.
Daimos
17.10.2017 17:16+1У меня Cisco LinkSys WRT160NL дома — устраивает своей работой, хотя ему лет 10 уже.
snnrman
17.10.2017 10:45Домой есть AmpliFi (для роскоши) и AirCube (для удобства). У меня AmpliFi, настроек маловато, но работает стабильно и прошивки прилетают раз в месяц.
dartraiden
16.10.2017 15:44В LEDE бекпортировали исправления. Пока только в транке, обновлений к стабильному выпуску не выходило.
r0ck3r
16.10.2017 15:54Не в курсе — стоит ли ждать, что стабильную ветку обновят? Транк накатывать как-то не очень хочется
dartraiden
16.10.2017 16:09Могут обновить и один конкретный пакет. Поэтому, периодически выполняйте
opkg update
opkg list-upgradable
и смотрите, не прилетит ли обновление hostapdr0ck3r
16.10.2017 16:28Обновления hostapd будет достаточно? Превосходно! Спасибо
dartraiden
16.10.2017 16:22Только вот пропатченная точка доступа, увы, не защищает непропатченных клиентов. Клиента (например, смартфон с Android 6/7 без соответствующих исправлений) всё равно можно заставить использовать пустой ключ шифрования.
AlexRed
16.10.2017 16:13Стоп. Так проблема актуальна только при использовании быстрого роуминга 802.11r?
KawaiDesu
16.10.2017 16:20802.11r — только один из векторов. Читайте внимательнее (или первоисточник, если тут невнятно).
dartraiden
16.10.2017 18:36FastTransition (802.11R) даёт возможность расшифровать трафик, идущий от точки до клиента.
Режим клиента (apcli) даёт возможность расшифровать трафик от клиента до точки.
Таким образом, 802.11r даёт возможность вообще всё расшифровать, а без него можно видеть только то, что идёт от уязвимых клиентов.
Ещё сама точка доступа может выступать клиентом или репетиром (повторителем). Тогда можно расшифровать трафик, который идёт от репетира до родительского устройства.
INSTE
16.10.2017 17:45
TheDarkKRONOS
17.10.2017 11:19Как я правильно понял, на Zyxel Keenetic вообще нет исправлений и придётся оставаться с «дыркой» в безопасности?
INSTE
18.10.2017 11:03Используете режим WISP или как repeater/adapter? Если нет, то вам ничего не грозит.
SkyHunter
16.10.2017 17:56Что делать простому смертному? Может ли неизвестный злоумышленник что-то сделать с ноутбуком моей мамы, и если да, то что именно?
INSTE
16.10.2017 18:11+1Прочитать ее трафик. Если она использует HTTPS для банков, всяких госуслуг и подобных вещей, то ничего страшного.
evmenkov
17.10.2017 10:28На видео как раз то https не помогает.
Т.е. внимательному он помог бы, но обычному человеку — вряд ли.
www.krackattacks.com
Although websites or apps may use HTTPS as an additional layer of protection, we warn that this extra protection can (still) be bypassed in a worrying number of situations. For example, HTTPS was previously bypassed in non-browser software, in Apple's iOS and OS X, in Android apps, in Android apps again, in banking apps, and even in VPN apps.
EvRiaL
17.10.2017 18:02Это сайты без HSTS и preload. В 2017 году такие на свалке истории.
sumanai
17.10.2017 18:54В 2017 году такие на свалке истории.
Лихо вы отправили миллиарды сайтов на свалку. В списке preload сейчас около 35к сайтов.
Интересно, что вы забыли на такой «свалке», как хабрахабр?EvRiaL
17.10.2017 19:10Хабр не читаю регулярно уже достаточно давно, только если кидают ссылку на что-то важное как эта статья. А так да, https параллельно с http как ворота в чистом поле.
dartraiden
16.10.2017 18:40+1Неизвестный может сделать то же самое, что он сделал бы, будь ноутбук вашей мамы подключён к незащищённому публичному WiFi.
Кроме, как выше сказали, «надеяться на HTTPS», можно ещё посоветовать VPN.
А ещё можно установить обновления операционной системы на ноутбуке. В дистрибутивах Linux это уже исправляют, в Windows тоже исправят, наверняка. Если операционная система пропатчена, а точка доступа, к которой подключён ноутбук, не работает в режиме репетира (повторителя), то никакой опасности нет.
sshikov
16.10.2017 22:01Ходят слухи, что патч windows выпущен 10 октября. Правда, я на сегодня не смог его найти среди установленных (как впрочем и ссылку на их KB статью).
vlx
16.10.2017 18:48А если самопальный роутер что патчить? Hostapd, atheros driver или card firmware?
dmitryredkin
16.10.2017 19:46Насколько я понимаю, достаточно пропатчить hostapd и wpa_supplicant.
Мне в 16.04 LTS уже прилетело.
technic93
17.10.2017 12:18Я тоже устал от китайских роутеров и воткнул карточку Atheros в дешевый комп на 16.04 LTS.
vlx
19.10.2017 14:04я чисто из экономических побуждений — в то время роутер с вафлей и VLAN на гигабитку плюс NAS с нормальными скоростями для торрентокачалки стоили куда дороже самосбора.
xxxgoes
16.10.2017 20:20Позволяет-ли данная уязвимость скомпрометировать ключи WPA?
Распространяется только на WPA2 или WPA2-enterprise тоже под угрозой?
ZaitsXL
16.10.2017 22:13я так понимаю что при наличии шифрования на других уровнях (https, ipsec) максимум что получит злоумышленник — кадры/пакеты в стиле абстракционизм?
sl_bug
16.10.2017 22:15всё что внутри зашифровано, таким и останется
ZaitsXL
17.10.2017 07:56+1интересно почему не с этого начинается текст статьи — что под ударом в основном окажутся корпоративные сети с местными критическими ресурсами (вроде почтовика) если доступ к ним идёт по нешифрованному протоколу, обычные домашние пользователи и те кто пользуется внешними сервисами по сути никак не пострадают даже если ничего не предпримут
Godless
16.10.2017 22:43можно хэндшейк поймать…
ruzhovt
16.10.2017 22:57чтобы влезть в https хендшейк надо самому иметь сертификат, подписанный корневым сертификатом, которому доверяет жертва, что весьма маловероятно.
abmitka
17.10.2017 11:19О том, что клиент начихал на безопасность и готов поделиться паролями, сосед вам, конечно же, не расскажет.
technic93
17.10.2017 12:14Ну нелзя же вбивать в
iotрешето учетку к которой привязаны важные данные. Помница была статья про проверку ос самсунга, там как будто програмистов на си набирали на конференции по джаваскрипт.
0ri0n
16.10.2017 22:50Не совсем.
Если надеяться на эти протоколы. — то не стоит.
Поскольку есть техники которые подменяют сертификаты. и вы не знаете, что ваше соеденение не шифруется должным образом (я говорю про https).
Но если эти протоколы не будут «подорваны», то вы в частичной безопасности :)ZaitsXL
17.10.2017 07:53в таком случае не стоит надеяться и на WPA2, поскольку есть другие способы осуществить атаку на беспроводные сети, все таки из WPA и https я бы больше надеялся на последний
wholeman
17.10.2017 08:43+1Чтобы подменить сертификат, надо полноценно влезть в середину. Здесь же можно только перехватывать и расшифровывать пакеты (у кого TKIP, тот ССЗБ).
swelf
17.10.2017 11:20А где можно почитать про подмену? Как-то это подрывает немного веру в https.
dmitryredkin
17.10.2017 13:29Ну, 0ri0n сгущает краски. Браузер как минимум выдаст предупреждение, а то и вовсе заблокирует такую страницу. Гуглите по HTTPS MITM.
aragon_sp
17.10.2017 11:20Проблем не будет у тех, у кого и раньше не было доверия к «воздуху».
Собственно, как и к провайдерскому проводу.
SinsI
17.10.2017 12:38Одно достоинство — это хорошая «проверка на вшивость» всяких «премиум-брендов», вроде Apple и Samsung — если они не выпустят апдейты для вообще своих старых устройств, что имеют поддержку WPA2, то за них не стоит переплачивать.
Daimos
17.10.2017 13:00А какие бренды выпустят прошивки для своих старых устройств? — ответ — практически никто не выпустит.
SinsI
17.10.2017 15:36Любые, которые хотят сохранить клиентов, которые готовы переплачивать за их продукцию, а не за китаефоны. В конце концов, там нужно исправить только одну библиотеку — нет больших дополнительных расходов из-за того, что её нужно ставить не на десяток моделей, а на тысячу.
Вообще, интереснее всего ситуация как раз с теми китаефонами (и их «русскими» клонами), что сейчас в продаже — ведь они обычно вообще не обновляются, а тут этот вопиющий баг в безопасности будет мешать продать их…Daimos
17.10.2017 15:44Вот увидите — ни Apple, ни Samsung, ни HTC, ни Google — не выпустят обновлений на старые девайсы — а-ля iPhone 4, Samsung S3 — флагманский телефон в свое время, ни на Nexus 1 ничего не будет.
И плевать они хотели на Ваше мнение, равно как и на мое и миллиона других людей — они даже знать не будут про эту уязвимость. И ничего не изменится — политика простая — покупайте новый девайс — поддержка старых 1-2 года и до свидания.
И ничего с этим сделать практически невозможно — правительство имеет свою долю в таких махинациях.
Viknet
17.10.2017 21:38iPhone 4 выпущен больше 7 лет назад и не производится уже 4 года.
Сколько их в мире осталось работающих? Кого из тех, кто ими ещё вдруг пользуется, волнует эта уязвимость?
А вот iPhone 5S, представленный 4 года назад (и год уже не производящийся), поддерживается и будет обновлён вместе со всеми остальными живыми устройствами.Daimos
17.10.2017 23:43Отвечайте товарищу выше, ведь это он считает, что производитель должен старые аппараты поддерживать.
А вот Time capsule похоже кинут с обновлениями, хотя их совсем недавно перестали производить.
spxnezzar
18.10.2017 16:497.7.8 приехала в начала этого года. 7.6.8 в декабре прошлого. Не исключаю, что 7.8.8 приедет в начале ноября.
remzalp
18.10.2017 10:26-1Только вот давняя тенденция — плюс к номеру версии = плюс к тормозам.
Новые прошивки на старых айфонах будто специально содержат дополнительные задержки для старых устройств
Daimos
18.10.2017 22:34Так где патчи от Apple -то? Microsoft еще две назад выпустила обновления, а Apple до сих пор не может.
Viknet
19.10.2017 20:51Где-то в пути к iOS 11.1
Вероятно, не считают критической уязвимостью, что печально, конечно.Daimos
19.10.2017 22:15Интересно, что старые версии macOS — 10.7 например, которые работают на старых маках будут обновлены, или так и кинет их Apple — ноуты те не такие уж и совсем плохие — Core2Duo и 4 гига оперативки вполне годны для браузинга, чтения почты и использования мессенджеров, но mac OS на них 10.7 остановилась — есть парочка таких ноутов на работе.
Viknet
20.10.2017 00:37Я думаю, вероятность этого где-то рядом с обновлением Apple Newton.
Но у вас всегда есть вариант поставить туда Windows XP… ах, да, она же тоже больше не обновляется.
Londoner
18.10.2017 00:08Решение —
пролоббировать законынаписать петиции, требующие от законодательных органов развитых стран принять закон, предписываюший передачу любого программного обеспечения в публичный домен, если для него в течение месяца не вышел патч, закрывающий известную вердору дыру в безопасности. Тогда патчи, я думаю, появятся подо всё, включая оригинальную нокию 3310.Daimos
18.10.2017 09:52Это — экономически нецелесообразно скажут, да и не удастся продавить такой закон.
darkprof
17.10.2017 15:25Кто знает пропатчена ли прошивка OpenWRT?
dartraiden
17.10.2017 15:35Похоже, что нет. Да и если пропатчат, то релизов ждать ещё очень не скоро, а пользоваться транком…
darkprof
17.10.2017 21:43кажется зеркало на гитхабе здесь
dartraiden
17.10.2017 21:47Точно, там старое зеркало.
Тогда да, обновили, но проблему редкого выпуска релизов это, увы, не снимает.
В LEDE (в стабильный выпуск) уже прилетели обновления wpad-mini и hostapd-common.
В DD-WRT, говорят, тоже исправили (в исходниках, по крайней мере).
dartraiden
18.10.2017 13:45Отличные новости для пользователей LEDE:
Guys, the latest update (package release 6) of the hostapd/wpad packages in LEDE 17.01 is quite a big deal. They include a new feature that will allow to mitigate the attack from the router/access point side even if your clients are not patched!
The new configuration option is wpa_disable_eapol_key_retries which is by default disabled, because it might cause compatibility issues with clients. I’d assume that issues are more likely in crowded wireless areas where you see package losses often. But I am testing this new feature now, and so far my clients haven’t had any issues.
Проще говоря, включив указанную настройку в конфиге, можно защитить уязвимых клиентов.
w1ld
20.10.2017 14:01Возможна ли такая атака, если заходить в сеть через исправленную Винду (выпустили патч 10 октября, https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/313ae481-3088-e711-80e2-000d3a32fc99) ?
EvgenT
Добавьте пожалуйста ссылки на CVE. Я пониммаю, что сейчас там пусто, но будет возможность доступа к ним с этой страницы, а не с krackattacks.com
LukaSafonov Автор
Добавил, пока все в статусе «Reserved».