S porastom tehnologije sve su naše informacije izložene žrtvama neke vrste napada i iako mislimo da nam se to nikada neće dogoditi, moramo biti oprezni i prepoznati da napadači propagiraju svoje ciljeve bez odabira žrtava.
Nedavno smo razgovarali i vidjeli kako je Ransomware utjecao na tisuće korisnika i tvrtki diljem svijeta, doslovno otimajući njihove podatke i tražeći novčanu nagradu koja bi rasla iz dana u dan ako se ne bi udovoljilo njezinim potraživanjima.
Ransomware su napokon kontrolirali različita sigurnosna ažuriranja, no ostavila je traga na sigurnosnim pitanjima, a kad smo pomislili da je sve relativno mirno, pojavljuje se nova prijetnja koja nesumnjivo ima globalni utjecaj zbog svoje vrste širenja i cilja napada. dobro poznati Krack napad koji je otkriven 16. listopada ove godine.
Krack napad je KRACK ranjivost u WPA2 koja je, svi znamo, najčešća sigurnosna metoda u većini bežičnih usmjerivača objavljenih od 2004. godine. Njegova priroda dopušta hakerima da se infiltriraju u potpuno sigurnu Wi-Fi vezu, a da žrtvi to ne učine do znanja prekasno je da učine nešto po tom pitanju kako bi poduzeli sigurnosne mjere, a zbog zabrinutosti zbog ovog jednostavnog napada, velika većina današnjih bežičnih uređaja, uključujući i naše mobilne uređaje, koristi WPA2 za pregovaranje o ulasku u mrežu.
Što je i kako djeluje Krack napad?Spomenuli smo da je WPA2 protokol osmišljen za zaštitu svih trenutno zaštićenih Wi-Fi mreža, pa s Krackom napadač u dometu mreže žrtve može iskoristiti te slabosti pomoću ključnih napada na ponovnu instalaciju (KRACK). To znači da napadači mogu koristiti ova nova tehnika napada za čitanje informacija koje su prije trebale biti sigurno šifrirane. To se može koristiti za krađu povjerljivih podataka, poput brojeva kreditnih kartica, lozinki, poruka chata, e -pošte, fotografija itd.
Napad djeluje protiv svih suvremenih zaštićenih Wi-Fi mreža, a ovisno o konfiguraciji mreže moguće je i ubrizgavanje i manipuliranje podacima. Na primjer, napadač bi mogao ubaciti ransomware ili drugi zlonamjerni softver u web stranice jednostavno povezivanjem na Wi-Fi mrežu.
Dva od sustava koji su najugroženiji ovom napadu su Android, od verzije 6.0, i Linux, budući da je moguće ponovno instalirati ključ za šifriranje s nula podataka. Prilikom napada na druge uređaje teže je dešifrirati sve pakete, iako se veliki broj paketa može dešifrirati.
Sljedeći video detaljno objašnjava kako napadač može dešifrirati sve podatke koje žrtva prenese:
1. Detaljno kako Krack napad funkcionira
Krack napad usmjeren je prema četverosmjernom procesu WPA2 protokola koji se događa kada se klijent želi pridružiti zaštićenoj Wi-Fi mreži, a koristi se za potvrdu da i klijent i pristupna točka imaju ispravne vjerodajnice.
Ovim četverosmjernim procesom dogovara se novi ključ za šifriranje koji će se koristiti za šifriranje cijelog kasnijeg prometa. Trenutno sve moderne zaštićene Wi-Fi mreže koriste protokol četverosmjerne veze koji podrazumijeva da su sve te mreže pogođene Krack napadom ili nekom drugom varijantom. Na primjer, napad djeluje protiv osobnih i poslovnih Wi-Fi mreža, protiv starog WPA i najnovijeg WPA2 standarda, pa čak i protiv mreža koje koriste samo AES enkripciju. Svi ti napadi na WPA2 koriste novu tehniku koja se naziva ključni napad ponovne instalacije (KRACK) koja se sastoji od sljedećih koraka:
Ključni napadi ponovne instalacije - pregled na visokoj raziniU napadu ponovne instalacije ključa napadač prevari žrtvu da ponovno instalira ključ koji je već u upotrebi. To čini manipulacijom i ponovnom reprodukcijom kriptografskih pozdravnih poruka. Kad žrtva ponovno instalira ključ, pridruženi parametri, poput inkrementalnog broja paketa za prijenos i broja paketa za primanje, bit će vraćeni na početnu vrijednost. U osnovi, kako bi se osigurala sigurnost, ključ bi trebalo instalirati i koristiti samo jednom. Nažalost, ova vrsta prakse nije zajamčena protokolom WPA2.
Ključni napadi ponovne instalacije - konkretan primjer protiv WPA2 4 -smjernog procesaKada se klijent pridruži Wi-Fi mreži, on pokreće četverosmjernu vezu radi dogovora o novom ključu šifriranja. Ovaj ćete ključ instalirati nakon što primite poruku 3 s četverosmjerne veze, a nakon što se ključ instalira, on će se koristiti za šifriranje normalnih okvira podataka pomoću protokola za šifriranje.
Međutim, budući da se poruke mogu izgubiti ili odbaciti, pristupna točka (AP) će ponovno poslati poruku 3 ako nije primila odgovarajući odgovor kao potvrdu. Kao rezultat toga, klijent može primiti poruku 3 više puta i svaki put kad primi ovu poruku, ponovno će instalirati isti ključ za šifriranje i na taj način poništiti broj inkrementalnog paketa prijenosa i primiti brojač ponavljanja koji koristi protokol za šifriranje.
Kao rezultat toga, prisilnim ponovnim korištenjem prijenosnog paketa i na taj način, protokol šifriranja može biti napadnut, na primjer, paketi se mogu reproducirati, dešifrirati i / ili krivotvoriti. Ista se tehnika može koristiti i za napad na grupni ključ, PeerKey, TDLS i brzu BSS vezu za prijelaz.
UdaracDešifriranje paketa moguće je jer napad ponovne instalacije ključa uzrokuje poništavanje brojeva prijenosa (koji se ponekad nazivaju i brojevi paketa ili inicijalizacijski vektori) na nulu. Kao rezultat toga, isti ključ za šifriranje koristi se s vrijednostima paketa prijenosa koji su već korišteni u prošlosti. To pak dovodi do toga da svi protokoli šifriranja WPA2 ponovno koriste tok ključa pri šifriranju paketa, omogućujući mogućnost napada Krack.
Sposobnost dešifriranja paketa može se koristiti za dešifriranje TCP SYN paketa dopuštajući protivniku da dobije TCP redne brojeve veze i otme TCP veze. Kao rezultat toga, iako smo zaštićeni WPA2, protivnik sada može izvesti jedan od najčešćih napada na otvorene Wi-Fi mreže: ubrizgavanje zlonamjernih podataka u nešifrirane HTTP veze. Na primjer, napadač može iskoristiti ovu situaciju da ubaci ransomware ili zlonamjerni softver u web stranice koje žrtva posjećuje i koje nisu šifrirane.
Ako žrtva koristi WPA-TKIP ili GCMP protokol šifriranja, umjesto AES-CCMP, utjecaj je eksponencijalno kritičniji.
2. Utjecaj Krack napada na Android i Linux
Na Krack napad najjače utječe verzija 2.4 i novija wpa_supplicant, koja je često korišteni Wi-Fi klijent na Linuxu.
U tom slučaju kupac će instalirati nulti ključ enkripcije umjesto ponovnog instaliranja stvarnog ključa. Čini se da je ova ranjivost posljedica komentara u Wi-Fi standardu koji sugerira brisanje ključa za šifriranje iz memorije nakon što je prvi put instaliran. Kada klijent sada primi prenesenu poruku s 4-smjerne veze WPA2, ponovno će instalirati sada izbrisani ključ za šifriranje, učinkovito instalirajući nulti ključ.
U slučaju Androida možemo vidjeti da se koristi wpa_supplicant, stoga Android 6.0 i novije verzije također sadrže ovu ranjivost koja olakšava presretanje i manipulaciju prometom koji šalju ovi Linux i Android uređaji.
Moramo imati na umu da je trenutno 50% Android uređaja ranjivo na ovu razornu varijantu Kracka, stoga moramo biti oprezni i poduzeti potrebne sigurnosne mjere kako ne bismo postali još jedna žrtva.
CVE (Zajedničke ranjivosti i izloženosti - Uobičajene ranjivosti i izloženosti) razvijen je kako bi pratio na koje proizvode utječu određeni slučajevi Krack napada na ključnoj razini ponovne instalacije.
Trenutni CVE -ovi dostupni su:
Peer-to-peer ključ za šifriranje (PTK-TK) ponovno instaliranje pri 4-smjernom rukovanju
CVE-2017-13077
Ponovna instalacija grupnog ključa (GTK) na 4-smjerno rukovanje
CVE-2017-13078
Ponovna instalacija ključa grupe integriteta (IGTK) na četverosmjerno rukovanje
CVE-2017-13079
Ponovna instalacija grupnih ključeva (GTK) u razmjeni grupnih ključeva
CVE-2017-13080
Ponovna instalacija ključa grupe integriteta (IGTK) u pozdravu ključa grupe
CVE-2017-13081
Prihvaćanje ponovnog slanja zahtjeva za brzo povezivanje BSS tranzicije (FT) i ponovnu instalaciju ključa za šifriranje u paru (PTK-TK)
CVE-2017-13082 [
Ponovna instalacija STK ključa u procesu PeerKey
CVE-2017-13084
Ponovna instalacija PeerKey -a tunela za prosljeđivanje veze (TDLS) (TPK) u rukovanju TDLS -om
CVE-2017-13086
Ponovna instalacija grupnog ključa (GTK) pri obradi okvira za odgovor u načinu mirovanja za upravljanje bežičnom mrežom (WNM)
CVE-2017-13087
Ponovna instalacija ključa grupe integriteta (IGTK) pri obradi okvira za odgovor u načinu mirovanja za upravljanje bežičnom mrežom (WNM)
CVE-2017-13088
Moramo imati na umu da svaki CVE identifikator predstavlja posebnu instancu napada na ponovnu instalaciju ključa. To znači da svaki CVE ID opisuje određenu ranjivost protokola pa stoga svaki pojedinačni CVE ID utječe na mnoge dobavljače, na primjer Microsoft je razvio CVE-2017-13080 za svoje Windows 10 uređaje.
POVEĆAJTE
Ovim napadom moramo pojasniti da neće biti moguće ukrasti lozinku naše Wi-Fi mreže, ali će moći špijunirati sve što kroz nju radimo, što je osjetljivo i Krack ne radi protiv Windows ili iOS uređaja .
Možemo vidjeti da je Android omogućen sa svim Krakovim mogućnostima napada:
POVEĆAJTE
S ovim možemo spomenuti da su druge ranjive platforme, u manjem opsegu, OpenBSD, OS X 10.9.5 i macOS Sierra 10.12
4. Kako se zaštititi od ovog Krack napada
Budući da smo nevidljivi napad, nikada nećemo shvatiti ako nas napadne Krack, pa možemo uzeti sljedeće kao dobru praksu:
- Ako je moguće, koristite VPN mreže
- Uvijek provjerite koriste li web lokacije zaštićeni HTTP protokol, HTTPS
- Provjerite jesu li svi uređaji ažurirani te ažurirajte i firmver usmjerivača
- Koristite sigurnosne zakrpe proizvođača na sljedećim vezama:
Uskoro će biti pokrenut niz skripti koje će biti od velike pomoći za ublažavanje utjecaja Kracka i tako se suočiti s ovom novom prijetnjom.
Iako su naši uređaji osjetljivi na ovaj napad, moramo biti pažljivi na način na koji se krećemo, kako unosimo osobne podatke i, iznad svega, biti svjesni novih ažuriranja sustava.