Аааа!!! Все пропало!!! Что делать???
Краткое описание сути атаки
Все защищенные WiFi сети используют 4-ходовый алгоритм «рукопожаний» для генерации нового ключа. До сегоднешнего дня этот алгоритм считался безопасным. Но мы выяснили что он подвержен атаке с переопределением ключа. Это
Но pewpew захотел перевести :)
Во время переопределения ключа, соответствующие параметры, такие как накопительное количество переданных пакетов (nonce) и количество переданных пакетов (replay counter) сбрасываются на начальные значения. Наша атака переопределения ключа также ломает PeerKey, групповой ключ, и рукопожатие Fast BSS Transition (FT). Воздействие зависит от атакованного рукопожатия, а также от используемого протокола конфиденциальности данных. Проще говоря, злоумышленник может воспроизводить и расшифровывать (но не подделывать) пакеты против AES-CCMP. Это позволяет захватывать и вводить вредоносные данные в потоки TCP. Против WPATKIP и GCMP воздействие катастрофично: пакеты могут быть воспроизведены, дешифрованы и подделаны. Поскольку GCMP использует тот же ключ аутентификации в обоих направлениях связи, это особенно заметно.
All protected Wi-Fi networks use the 4-way handshake to generate a fresh session key. So far, this 14-year-old handshake has remained free from attacks, and is even proven secure. However, we show that the 4-way handshake is vulnerable to a key reinstallation attack. Here, the adversary tricks a victim into reinstalling an already-in-use key. This is achieved by manipulating and replaying handshake messages. When reinstalling the key, associated parameters such as the incremental transmit packet number (nonce) and receive packet number (replay counter) are reset to their initial value. Our key reinstallation attack also breaks the PeerKey, group key, and Fast BSS Transition (FT) handshake. The impact depends on the handshake being attacked, and the data-confidentiality protocol in use. Simplified, against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPATKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.
Комментарии автора
Описанная уязвимость кроется в самом WiFi стандарте на уровне протокола, а не в каких-то конкретных устройствах с поддержой WiFi, поэтому атаке поддается практически любой продукт с корректной реализацией WPA2 шифрования. Чтобы защитится от атак всем нужно как можно скорее обновить прошивки устройств.
На вашем устройстве есть WiFi? Скорее всего вы подвержены атаке. В процессе исследования проблемы мы выяснили, что можно успешно атаковать устройства Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys и подобные.
Особенно «больно» можно атаковать владельцев устройств с Android 6.0. Атака на них позволяет перехватывать и подменять передаваеммые по WiFi данные. 41% андроид устройств подвержены «особенно разрушительной» версии атаки. (
“The weaknesses are in the Wi-Fi standard itself, and not in individual products or implementations. Therefore, any correct implementation of WPA2 is likely affected,” he further writes. “To prevent the attack, users must update affected products as soon as security updates become available.
“Note that if your device supports Wi-Fi, it is most likely affected. During our initial research, we discovered ourselves that Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, and others, are all affected by some variant of the attacks. For more information about specific products, consult the database of CERT/CC, or contact your vendor.”
“Because Android uses wpa_supplicant, Android 6.0 and above also contains this vulnerability. This makes it trivial to intercept and manipulate traffic sent by these Linux and Android devices,” he writes on the Krackattacks site explaining the flaw. “Note that currently 41% of Android devices are vulnerable to this exceptionally devastating variant of our attack.”
Ответ от WiFi Alliance
Опубликованное исследование показало, что некоторые устройства в некоторых обстоятельствах могут значительно ослабнуть в плане безопасности.…
Recently published research identified vulnerabilities in some Wi-Fi devices where those devices reinstall network encryption keys under certain conditions, disabling replay protection and significantly reducing the security of encryption. This issue can be resolved through straightforward software updates, and the Wi-Fi industry, including major platform providers, has already started deploying patches to Wi-Fi users. Users can expect all their Wi-Fi devices, whether patched or unpatched, to continue working well together.
There is no evidence that the vulnerability has been exploited maliciously, and Wi-Fi Alliance has taken immediate steps to ensure users can continue to count on Wi-Fi to deliver strong security protections. Wi-Fi Alliance now requires testing for this vulnerability within our global certification lab network and has provided a vulnerability detection tool for use by any Wi-Fi Alliance member. Wi-Fi Alliance is also broadly communicating details on this vulnerability and remedies to device vendors and encouraging them to work with their solution providers to rapidly integrate any necessary patches. As always, Wi-Fi users should ensure they have installed the latest recommended updates from device manufacturers.
As with any technology, robust security research that pre-emptively identifies potential vulnerabilities is critical to maintaining strong protections. Wi-Fi Alliance thanks Mathy Vanhoefand Frank Piessens of the imec-DistriNet research group of KU Leuven for discovering and responsibly reporting this issue, allowing industry to proactively prepare updates. Wi-Fi Alliance also thanks Mathy Vanhoef for his support during the coordinated response, especially his contributions to the vulnerability detection tool.
For more information, please refer to statements from ICASI and CERT.
twitter.com/vanhoefm/status/919852548516909056
papers.mathyvanhoef.com/ccs2017.pdf
www.krackattacks.com
Q&A
Нужен ли теперь WPA3?
Нет не нужен. Пропатченые устройства будут работать используя точно тот же протокол, просто будут блокировать атаку с переопределением ключа.
Нужно ли менять мой пароль от WiFi?
Нет, не нужно. Атака ничего не знает про используемый пароль и никак не эксплуатирует его.
Что делать если на мой роутер не выходит апдейт прошивки?
Достаточто обновить клиентские устройства, чтобы злоумышленник не мог подменить реальную точку доступа фальшивой.
Как была обнаружена уязвимость?
Случайно.
Но ведь 4х-шаговое рукопожатие математически невзламываемое???
Так атака и не крадет ключи, а подменяет :)
Я пользуюсь WPA2 только с AES
Атаке подвержены любые протоколы шифрования (WPA-TKIP, AES-CCMP, GCMP)
Может вернуться на WEP шифрование?
НЕТ! Это еще хуже.
Защищены ли сайты с https?
Да, но человека можно перенаправить на версию сайта без https.
И что теперь менять WiFi стандарт?
Да.
Денег за репорт критической баги дали?
Нет.
Когда были оповещены производители железа?
28 августа 2017.
Почему OpenBSD зарелизила патч раньше чем можно было всем (одновременно) обьявить о баге?
Негодяи. Теперь они будут получать информацию об уязвимостях последними.
Update 1:
Aruba и Ubiquiti, продающие точки доступа крупным корпорациям и правительственным организациям, уже выпустили обновление для снятия уязвимостей, проходящих под кодовыми именами: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.
Update 2:
Патчи для wpa_supplicant уже есть.
w1.fi/security/2017-1
w1.fi/security/2017-1/wpa-packet-number-reuse-with-replayed-messages.txt
Update 3:
Роутеры Mikrotik на актуальных версиях прошивки (RouterOS v6.39.3, v6.40.4, v6.41rc) уже пропатчены. Счастливым обладателям можно спать спокойно.
Комментарии (43)
vanxant
16.10.2017 19:03Копипаста даже без перевода, с мотивацией «нет смысла переводить» —
это что-то новое.
ruzhovt Автор
16.10.2017 19:06Серьезно хотите перевести?
When reinstalling the key, associated parameters such as the incremental transmit packet number (nonce) and receive packet number (replay counter) are reset to their initial value. Our key reinstallation attack also breaks the PeerKey, group key, and Fast BSS Transition (FT) handshake. The impact depends on the handshake being attacked, and the data-confidentiality protocol in use. Simplified, against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPATKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.
pewpew
16.10.2017 21:35Во время переопределения ключа, соответствующие параметры, такие как накопительное количество переданных пакетов (nonce) и количество переданных пакетов (replay counter) сбрасываются на начальные значения. Наша атака переопределения ключа также ломает PeerKey, групповой ключ, и рукопожатие Fast BSS Transition (FT). Воздействие зависит от атакованного рукопожатия, а также от используемого протокола конфиденциальности данных. Проще говоря, злоумышленник может воспроизводить и расшифровывать (но не подделывать) пакеты против AES-CCMP. Это позволяет захватывать и вводить вредоносные данные в потоки TCP. Против WPATKIP и GCMP воздействие катастрофично: пакеты могут быть воспроизведены, дешифрованы и подделаны. Поскольку GCMP использует тот же ключ аутентификации в обоих направлениях связи, это особенно заметно.
Dmitri-D
17.10.2017 08:18+1transmit packet number
-> не «количество переданных пакетов», а номер переданного пакета
receive packet number
-> не «количество переданных пакетов», а номер принятого пакета
it is especially affected.
-> не «это особенно заметно», а «он наиболее подвержен» (уязвим)
wholeman
16.10.2017 19:38К тому же это — третья статья на данную тему, ничем принципиально не отличающаяся от первых двух.
ruzhovt Автор
16.10.2017 19:52Я пользовался поиском и не нашел статьи с WPA2. Можно ссылки на «первые две» статьи?
arheops
16.10.2017 20:20+1ruzhovt Автор
16.10.2017 20:38+1спасибо, странный поиск… хотя наверное изза доменов разных.
в общем у меня в статье 1000 слов, у статьи по ссылке — 600, при том что она была записана на 3 часа раньше и половина воды. я же сознательно воду не переводил, но для тех кому очень хочется — есть куски оригиналов.
+ у меня хотя и перевод весьма «художественный» ( зато с душой :) ) он всравно ближе к оригиналу, чем у той статьи.
В общем жалобу про «отсутсвие принципиальных отличий» я пропускаю ;)arheops
16.10.2017 20:42Зато за эти три часа там дали дельные коментарии — переключится на AES, патчить клиенты. А тут — нет.
ruzhovt Автор
16.10.2017 20:531 — тут написано про патчи клиентов в секции QA. Там ниодного вопроса из QA секции нет.
2 — атакам на TKIP больше 4 лет. давно еще надо было перейти на AES.
3 — могли бы сами сюда написать про переключение на AES, если считаете этот совет полезным, вместо того чтобы жаловаться.
4 — ответ от автора по поводу AES-only режима.
I'm using WPA2 with only AES. That's also vulnerable?
Yes, that network configuration is also vulnerable. The attack works against both WPA1 and WPA2, against personal and enterprise networks, and against any cipher suite being used (WPA-TKIP, AES-CCMP, and GCMP). So everyone should update their devices to prevent the attack!arheops
16.10.2017 21:47AES дает только читать, другие режимы — читать и писать.
Я, например, не в курсе про «давно надо было перейти на AES».
Собственно я и написал и дал кросс-ссылку.
Konachan700
16.10.2017 19:33Печально весьма, ибо множество устройств не обновить принципиально. Если выпустят доступный широкой аудитории эксплойт-пак (а его выпустят), то придется использовать vpn поверх любого wifi, а не только открытого.
altervision
16.10.2017 19:35+3Мало кто знает, что буква S в аббревиатуре IoT означает Security
lostmsu
16.10.2017 20:38В Android тоже.
wholeman
16.10.2017 21:21+1Осталось всего четыре версии подождать.
dobergroup
17.10.2017 02:45Зачем же сидеть на стоковых прошивках?
wholeman
17.10.2017 08:33+1А на альтернативных прошивках Android S выйдет раньше? (Шутка была о букве 'S' в названии, если кто не понял.)
Diordna
17.10.2017 16:10Затем что не все пользователи в состояние прошить свое Android устройствo. У меня например при обновлении через OTA с 5 на 6 Android английская версия сменилась китайской без Google сервисов. Очень нравишься куча устройств останутся дырявыми
Diordna
17.10.2017 16:21Почему не реализована защита основанная на мощности излучение от точки доступа. Hапример зная расстояние между роутером и клиентам типичное значение пинга и скорость распространения радиоволн можно запретить любoe другое подключение с иными параметрами на стороне клиента или сервера.
arheops
16.10.2017 20:20Нормальное обсуждение есть тут habrahabr.ru/company/pentestit/blog/340182
Если коротко, то патч роутера не помогает, надо пропатчить все клиенты или просто работать с вайфай как с открытым соединением — тоесть https, vpn(что я всегда и делаю).
willmore
16.10.2017 21:07Достаточно обновить клиенты, если на роутер нет прошивки, а верно ли обратное, будет ли достаточно обновить роутер, не трогая клиентов?
arheops
16.10.2017 21:47Нет, недостаточно. Уязвимость в клиентской части.
Wizard_of_light
17.10.2017 12:21Мой внутренний параноик пытается самоубиться после таких новостей.
Inine
17.10.2017 17:08… но не разрешает себе открыть сейф с револьвером, потому что подозревает, что это может быть опасно.
Wizard_of_light
17.10.2017 20:33С другой стороны, есть и плюсы — вай-фай внезапно стал открыт как никогда :)
Cedric
17.10.2017 18:50Написал в саппорт Д-линка, самому стало интересно-пришлют-ли новую прошивку на роутер.
Samoglas
18.10.2017 14:24У меня DIR-300 самой первой ревизии, теперь, похоже, превратился в тыкву.
Нет, в саппорт писать не буду, я не такой оптимист. ) Да и вспоминая, с каким скрипом эти люди из Dlink наконец-то написали прошивку, которая наконец перестала блокировать некоторые сайты…
Жаль его, все что могло сломаться, уже сломалось — блок питания и после замены, девайс уже скоро как 10 лет работает 24/7 без нареканий.
Ё-маё, теперь и в ноутах wifi убит, и в телевизоре, в старой нокии, все эти устройства не получат обновлений. Но я хотя бы знаю об этом всём, а глядючи в inSSder на сетки моих любимых соседей, загадивших весь эфир (абсолютно ненамеренно), нет никаких сомнений, что о происходящем они не узнают еще лет 10.Cedric
18.10.2017 14:26Ответили оперативно.Молодцы.
Здравствуйте.
Спасибо за ваше обращение.
Если вы используете модель Вашего роутера в классическом режиме работы — беспроводной маршрутизатор, то данная уязвимость не распространяется на это устройство. Если вы используете устройство в режиме WDS, пожалуйста сообщите нам об этом.
Условия возникновения уязвимости:
— Физические ограничения: атака происходит только тогда, когда злоумышленник находится в непосредственной близости от беспроводного диапазона вашей сети.
— Ограничение по времени: атака происходит только при подключении или повторном подключении к сети существующей Wi-Fi.
Описание уязвимости:
TP-LINK знает об уязвимостях на уровне протокола, которые влияют на некоторые из продуктов, реализованных в WPA-2. Злоумышленник в пределах сети Wi-Fi может использовать слабые стороны протокола, используя атаки на повторную установку ключей (KRACK). По словам автора исследования KRACKs Mathy Vanhoef, атака направлена против «рукопожатия» WPA-2 и не использует точки доступа и роутеры, а вместо этого нацелена на клиентов.
В первую очередь Вам нужно побеспокоиться об обновлении для своих клиентских устройств, т.к. обновление роутера проблемы никак не решит. Злоумышленник «перехватывает» данные, которые до роутера не доходят.
retnuoc
17.10.2017 22:49Это фича :), недавно был пост про гигиену использования WiFi в рамках жилых домов и большой плотности устройств, теперь ничто не мешает зайти на точки к соседям выставить «правильно» необходимые каналы и мощности передачи согласно доктрине :).
П.С. Поскольку досаточно быть в радиусе действия точек, а все любят мощность ставить повыше, «один маленький но гордый» специалист сможет перенастроить полдома.
ursaa
17.10.2017 22:50А когда я больше года назад говорил, что в «стране обетованной» есть железка, которая перехватывает весь трафик WiFi — меня заминусовали. Естественно что техническими подробностями они не делились, ибо железки используются «все_в_курсе_какими_службами» — ошибка же на уровне протокола…
barbanel
18.10.2017 14:11Правильно ли я понимаю, что если использовать тот же самый уязвиный и необновленный роутер, но подключившись к нему по кабелю — мы не будем уязвимы этой атаке?
vsarakoff
Осталось дождаться обновления Kali дистрибутива =)