WPA2 on rikki (tietoturvareikä)

[Tege]

KRACK Attacks: Breaking WPA2

We discovered serious weaknesses in WPA2, a protocol that secures all modern protected Wi-Fi networks. An attacker within range of a victim can exploit these weaknesses using key reinstallation attacks (KRACKs). Concretely, attackers can use this novel attack technique to read information that was previously assumed to be safely encrypted. This can be abused to steal sensitive information such as credit card numbers, passwords, chat messages, emails, photos, and so on. The attack works against all modern protected Wi-Fi networks. Depending on the network configuration, it is also possible to inject and manipulate data. For example, an attacker might be able to inject ransomware or other malware into websites.

Saitilla löytyy lisätietoja ja esimerkki tämän käytöstä.

 

[zepi]

Ongelma näyttäisi olevan siis päätelaitteiden client-mode implementaatiossa. Käytännössä älypuhelimet, tabletit, läppärit, pleikkarit jne. tarvitsevat korjauspäivitykset.

Wireless repeatereiksi / extendereiksi kykenevät accesspointit ovat myös haavoittuvia ja tarvitsevat päivitykset.

 

[TenderBeef]

Voi v. Ei kyllä hyvältä näytä nykyään.. juuri äsken tuli esiin iso Bluetooth ongelma joka jää hyvin monelta pätsäämättä Android-puolella, ja nyt vielä perään tällainen. Ei hyvältä näytä nykytekniikan käytön puolelta.

 

[Raivo]

Ihminen on nämä tehny ja ihminen aina ne purkaa. Näin vaan on.

 

[Kerosiini]

Taitaa tämäkin jäädä korjaamatta omaan ensimmäisen sukupolven Moto G:n vaan minkäs teet. Kaippa tuo wifi täytyy ottaa pois päältä varmuuden vuoksi, eipä tuosta ole ollutkaan minulle hyötyä juuri muussa kun ohjelmien päivittämisessä. Blu-ray soitin olisi kanssa wifillä netissä mutta jos joku siihen haluaa hakkeroitua niin siinähän hakkeroi

Pitänee laittaa routerin firmwarepäivitykset tarkkailuun jos siellä päässä tekevät asialle jotain.

 

[zepi]

Routerilla ei voi korjata ongelmaa, vaan päivitys pitää saada nimenomaan päätelaitteeseen.

 

[Melbac]

Eikös toi ole wanha juttu eli että wpa2 on korkattu?.Epäilen suuresti että mitään korjauksia tulee vanhempiin laitteisiin.Uudemmissa telkkareissa on muuten aina wlan päällä eikä sitä välttämättä saa pois päältä ollenkaan.En yhtään ihmettelisi vaikka olisi päällä vaikka telkkari on ns "sammutettu".Sama juttu bt:n kanssa.

 

[Wile_E]

Nice shirt, Grasshopper. Ei kun kietomaan telkkari folioon, ettei pääse ylimääräiset tietoturvattomat signaalit läpi.

 

[tonkar]

Tietokone, TV, kannykka, lappari, kaikkea taytyy pian sailyttaa faraday-hakissa

 

[Nerkoon]

Haavoittuvuus 033/2017: WPA2-protokollan haavoittuvuudet mahdollistavat WiFi-verkkojen salauksen murtamisen

 

[Melbac]

Vuotta paria vanhemmat telkut ja soittimet tuskin tulee päivityksiä saamaan. Onkohan niistä mahdollista urkkia Netflix yms. kirjautumistiedot?

Luultavasti helposti.Tosin eipä noita uskaltaisi käyttää eikä sieltä saa luottokorttitietoja joten eipä noilla mitään tee paitsi ehkä kiusaa lopettamalla accon.Laskua naapurille tietenkin on joissain palveluissa mahdollista tehdä kun ostelee jotain >5€ leffoja.

 

[TenderBeef]

Rupeaa menemään homma sellaiseksi, että kaikki tietotekniset laitteet pitäisi heittää roskiin vuoden/kahden päästä ostosta ja hankkia uutta. Ja sitten jotkut haluaa vielä ulottaa tietotekniikan jääkaappeihin ynnä muihin. Entäs hypetetty IoT sitten?

Applen ekosysteemissä näyttäisi olevan pidempi tulevaisuus laitteille. En ole aiemmin yhtään välittänyt Applen vehkeistä mutta nyt viime aikoina on kyllä pistänyt silmään sen paremmuus tietyissä asioissa Androidiin. Android-leirin pitäisi saada palikat kasaan jotenkin, nykyinen meno on aivan hirveää kun päivityksiä ei tule kuin aivan tuliterille/kalliille laitteille.

 

[Age of Computers]

Ja sitten mietitään näitä tekijänoikeustrolleja... kiva vaan toisen netillä torrentoimaan niitä Black Sails ja ties mitä jaksoja. Oh-hoh.

 

[Nerkoon]

Rupeaa menemään homma sellaiseksi, että kaikki tietotekniset laitteet pitäisi heittää roskiin vuoden/kahden päästä ostosta ja hankkia uutta. Ja sitten jotkut haluaa vielä ulottaa tietotekniikan jääkaappeihin ynnä muihin. Entäs hypetetty IoT sitten?

Ei muuten kaukaa liippaa. Itselläni on esimerkiksi olemassa Samsung Galaxy Tab S2 (vanhempi versio). Toimii täydellisesti. Siihen vain ei taida enää tulla yhtään softapäivitystä. Minulle riittäisi ihan tietoturvafiksitkin, mutta pahalta näyttää. Missä sitä kohta enää uskaltaa käyttää?

 

[zepi]

Kannattaa muistaa, että vaikka WPA2 olisi korkattu, niin ei se tarkoita että HTTPS:ää ja certificate pinningiä käyttävät pankkipalvelut olisivat hakkereiden käytettävissä vain siksi, että menet wifissä läppärillä op.fi tai nordea.fi.

 

[TenderBeef]

Joo ei, mutta tarkkana saa olla, että on oikealla pankkisivulla. Jos kerran pystyvät injektoimaan MITM-tyyliin mitä vain.

Ja käyttävätkö kaikki appsit salattua yhteyttä?

 

[Encrypted]

Jatkossa jos haluaa pelata mahdollisimman varman päälle, niin VPN aina käyttöön kun ollaan WLAnissa niissä laitteissa missä se on mahdollista. Ja VPN client konfiguroituna niin, että mitään liikennettä ei sallita poikittain, vaan kaikki menee tunneliin. Vähän sillä mentaliteetilla, että jokainen WLAn verkko on "public".

 

[TenderBeef]

Löytyykö yli 4 vuotta vanhalle tabletille (Android versiota jotain 4.4.x, jos muistan oikein) vielä toimivaa VPN:ää? On pitänyt joskus katsella noita VPN:iä mutta ei ole ollut oikein aikaa ja eikä suurta tarvetta.. ehkä nyt sitten.

 

[TLA]

Muistelisin lukeneeni, että kyseinen wpa2-aukko on vain Android 6.x versioista alkaen, joten vanhemmista ei tämän vuoksi tarvitse vpn:ää miettiä...

 

[zepi]

Muistelisin lukeneeni, että kyseinen wpa2-aukko on vain Android 6.x versioista alkaen, joten vanhemmista ei tämän vuoksi tarvitse vpn:ää miettiä...

Ei ei ei...

Kaikki tutkitut laitteet ovat haavoittuvia jollain tavalla. Windows 7, Linux, Android, iOS, MacOS jne. Kaikki ovat haavoittuvia vähintään jollakin tavalla. Yhtä aikaa julkaistiin 6 erilaista haavoittuvuutta.

 

[TLA]

Juu no taitaa koskea about jokaista laitetta.Taisi olla tämä lähteenä: 41 percent of Android phones are vulnerable to 'devastating' Wi-Fi attack | The Verge
Sinällään ei kyllä yllätä jos misinformaatiota/puutteellista tietoa jakavat.

 

[PenttiMatikaisenKurupumi]

Microsoft has already fixed the Wi-Fi attack vulnerability

 

[samim]

Microsoft has already fixed the Wi-Fi attack vulnerability

Näin huhutaan, mutta missä tuo korjaus on? Win10:n tämän kuun päivityksissä vai WinMobilen jossakin päivityksessä?

 

[kahanse]

Näin huhutaan, mutta missä tuo korjaus on? Win10:n tämän kuun päivityksissä vai WinMobilen jossakin päivityksessä?

{{windowTitle}}

 

[samim]

{{windowTitle}}

Kiitos tästä.

 

[2112]

Varmaan myös kaikki aktiivisemmat Linux-jakelut ovat jo korjanneet ongelman?
Arch: svntogit/packages.git - Git clone of the 'packages' repository
Ubuntu: USN-3455-1: wpa_supplicant and hostapd vulnerabilities | Ubuntu

Samoin esim. OpenBSD
'OpenBSD errata, Mar 1, 2017' - MARC

 

[njake]

Näkyy LineageOs ja DD-WRT myös korjanneen koodeihinsa, buildeja odotellessa.

 

[Obi-Lan]

Eikös tuo avoimen koodin wpa_supplicant ollut tässä tapauksessa reikäinen ja paikattu. Tätä suurin osa IOT yms paskeista todennäköisesti kuitenkin käyttää, vendorit toimii vaan hit-n-run tekniikalla eli kun tuote myyty niin ei sitä tarvitse tukea.

 

[BNo1]

Eikös tuo avoimen koodin wpa_supplicant ollut tässä tapauksessa reikäinen ja paikattu. Tätä suurin osa IOT yms paskeista todennäköisesti kuitenkin käyttää, vendorit toimii vaan hit-n-run tekniikalla eli kun tuote myyty niin ei sitä tarvitse tukea.

Kylmä totuus on myös että suurimmassa osassa IoT tuotteita ei ole edes tapaa päivittää firmistä ohjelmallisesti verkon ylitse koska se vaatisi resursseja (tilaa uudelle FW imagelle, autentikoinnin, securityä, jne) joka maksaa rahaa ja on ristiriidassa halvan tuotteen kanssa.

 

[jkaart]

Varmaan myös kaikki aktiivisemmat Linux-jakelut ovat jo korjanneet ongelman?
Arch: svntogit/packages.git - Git clone of the 'packages' repository
Ubuntu: USN-3455-1: wpa_supplicant and hostapd vulnerabilities | Ubuntu

Samoin esim. OpenBSD
'OpenBSD errata, Mar 1, 2017' - MARC

Jep, Ubuntu 17.04 tuli päivitys jo!

 

[M.P.T]

Kylmä totuus on myös että suurimmassa osassa IoT tuotteita ei ole edes tapaa päivittää firmistä ohjelmallisesti verkon ylitse koska se vaatisi resursseja (tilaa uudelle FW imagelle, autentikoinnin, securityä, jne) joka maksaa rahaa ja on ristiriidassa halvan tuotteen kanssa.

Eikös tuon voisi laittaa takuuseen. 12kk takuun omaavalla laitteella ja 10kk kohdalla vetoaa, että se ei toimi. Uusi vastaava tilalle. Tietenkin sen toimiminen jatkossa turvallisesti on sama ongelma.

 

[Elvis Jagger]

Nyt tutkija/löytäjä on julkaissut python-skriptin jolla voi testata:

GitHub - vanhoefm/krackattacks-test-ap-ft

 

[khyllä]

Tottahan se on.

 

[Ville Suvanto]

lässyn lässyn. Sähän varsinainen asiantuntija olet

Jätetäänpä jatkossa tällaiset jonnin joutavat paskapostaukset väliin.