17/10/2017
Vulnerabilitate de tip Zero Day, pentru cea mai raspandita metoda de conectare - WiFi 😱
O vulnerabilitate in protocolul WPA2 (folosit pentru retelele wireless) permite unui atacator sa decripteze traficul de retea.
Vulnerabilitatea este ingrijoratoare pentru sistemele Linux is Android(>= 6.0).
http://www.theregister.co.uk/2017/10/16/wpa2_krack_attack_security_wifi_wireless/
Singura conditie pe care trebuie sa o indeplineasca atacatorul este sa fie in raza de acoperire a access-point-ului.
Pana acum nu a aparut un patch pentru aceasta vulnerabilitate.
Ce date sunt expuse? Desi atacatorul poate "citi" traficul de retea efectuat intre telefonul mobil si routerul wireless, aceasta nu inseamna ca poate decripta traficul criptat SSL/TLS. Adica desi poate accesa resursele din retea nu poate vedea parolele folosite de utilizatori pentru accesarea paginilor https sau continutul acestora. Majoritatea serviciilor cloud (whatsapp, facebook, google, aplicatii bancare) folosesc deja https.
Sunt vulnerabile resursele neprotejate prin mijloace suplimentare de criptare a traficului :
- situri unde va autentificati peste http si pe care nu le accesati prin VPN (de exmplu multe camere web, DVR, sisteme de alarma si control acces)
- orice protocoale "clear text" neprotejate prin SSL/TLS. De exemplu IMAP, POP3 sau SMTP (porturile 110, 143, 25)
- accesul la un storage de retea care foloseste o versiune veche de SMB sau care este accesata de pe o versiunile Android de pana la jumatatea anului.
- share pe computere cu Windows XP sau Windows 2003 server
Cu alte cuvinte, aceste trei conditii se indeplinesc simultan: (1) nu folositi servicii bazate pe SSL/TLS, (2) un atacator cu suficienta rabdare se afla in raza de acoperire a routerului vostru si (3) folositi un telefon Adnroid 6.0 sau un computer cu Linux, atacatorul poate afla:
- parola de la situl wordpress pe care il administrati
- parola de la camera web/ DVR
- parola de la alarma paradox
- parola de la NAS-ul pe care tineti pozele si filmele familiei sau informatiile firmei
- parolele de la conturile de email
- alte parole si informatii de la device-uri din retea sau de pe alte servere.
Daca incui usa, hotul intra pe fereastra...
Nu va simtiti usurati daca folositi IOS sau Windows. Daca luam in calcul ca majoritatea device-urilor WiFi de tipul camere web, NAS-uri, imprimante, etc, sunt bazate pe Linux, putem spune ca degeaba le accesati de pe Iphone sau un computer cu Windows daca sunt conectate prin WiFi. Atacatorul poate decripta comunicatia dintre aceste device-uri si router.
Ce putem face? Va sugeram, daca nu ati facut-o deja, sa renuntati la SMB v1, sa obtineti sa sa instlati ceritificate pentru deviceurile cu interfete web, sa verificati ca nu accesati email prin protocoale nesecurizate, iar pe masura ce apar update-uri de firmware le putem aplicati. Nu uitati sa schimbati paola de la WiFi d**a ce aplicati update-ul de firmware si pe ultimul device...😀
Key handshake shakedown
