Med teknologiens fremgang er alle vores oplysninger udsat for at være offer for en form for angreb, og selvom vi tror, at det aldrig vil ske for os, må vi være opmærksomme og erkende, at angriberne formidler deres mål uden at vælge ofre.
Vi talte for nylig og så, hvordan Ransomware påvirkede tusinder af brugere og virksomheder verden over, bogstaveligt talt kaprede deres data og bad om en monetær belønning, der ville vokse dag for dag, hvis dens krav ikke blev tiltrådt.
Ransomware blev endelig kontrolleret af de forskellige sikkerhedsopdateringer, men det satte et præg på sikkerhedsspørgsmål, og da vi troede, at alt var relativt roligt, opstår der en ny trussel, der utvivlsomt har en global indvirkning på grund af dens spredningstype og angrebsmål og er det velkendte Krack-angreb, som blev opdaget den 16. oktober i år.
Krack-angrebet er en KRACK-sårbarhed i WPA2, som vi alle ved, er den mest almindelige sikkerhedsmetode i de fleste trådløse routere, der er udgivet siden 2004. Dens natur gør det muligt for hackere at infiltrere en fuldstændig sikker Wi-Fi-forbindelse uden at lade offeret vide det, før det er for sent for dem at gøre noget ved det for at træffe sikkerhedsforanstaltninger, og på grund af bekymringen med dette enkle angreb bruger langt størstedelen af nutidens trådløse enheder, herunder vores mobile enheder, WPA2 til at forhandle om adgang til et netværk.
Hvad er og hvordan fungerer Krack -angrebet?Vi nævnte, at WPA2, er en protokol, der er designet til at sikre alle i øjeblikket beskyttede Wi-Fi-netværk, godt, med Krack kan angriberen inden for netværksområdet for et offer udnytte disse svagheder ved hjælp af centrale reinstallationsangreb (KRACK). Det vil sige, at angribere kan bruge denne nye angrebsteknik til at læse oplysninger, der tidligere skulle være sikkert krypteret. Dette kan bruges til at stjæle fortrolige oplysninger såsom kreditkortnumre, adgangskoder, chatbeskeder, e -mails, fotos osv.
Angrebet virker mod alle moderne beskyttede Wi-Fi-netværk, og afhængigt af netværkskonfigurationen er det også muligt at injicere og manipulere data. For eksempel kan en angriber injicere ransomware eller anden malware på websteder simpelthen ved at være forbundet til Wi-Fi-netværket.
To af de systemer, der er mest sårbare over for dette angreb, er Android siden version 6.0 og Linux, da det er muligt at geninstallere en krypteringsnøgle med nul data. Når man angriber andre enheder, er det vanskeligere at dekryptere alle pakker, selvom et stort antal pakker kan dekrypteres.
Den følgende video forklarer detaljeret, hvordan angriberen kan dekryptere alle de data, der er overført af offeret:
1. Hvordan Krack -angrebet fungerer detaljeret
Krack-angrebet er rettet mod 4-vejs-processen i WPA2-protokollen, der opstår, når en klient ønsker at slutte sig til et beskyttet Wi-Fi-netværk, og bruges til at bekræfte, at både klienten og adgangspunktet har de korrekte legitimationsoplysninger.
Med denne 4-vejs proces forhandles en ny krypteringsnøgle, der vil blive brugt til at kryptere al efterfølgende trafik. I øjeblikket gør alle moderne beskyttede Wi-Fi-netværk brug af 4-vejs link-protokollen, hvilket indebærer, at alle disse netværk er påvirket af eller en variant af Krack-angrebet. For eksempel virker angrebet mod personlige og forretningsmæssige Wi-Fi-netværk, mod den gamle WPA og den nyeste WPA2-standard og endda mod netværk, der kun gør brug af AES-kryptering. Alle disse angreb mod WPA2 bruger en ny teknik kaldet et key reinstallation attack (KRACK), som består af følgende trin:
Nøgle geninstallere angreb - Oversigt på højt niveauI et angreb til geninstallation af nøgler narrer angriberen offeret til at geninstallere en nøgle, der allerede er i brug. Det gør det ved at manipulere og afspille kryptografiske hejbeskeder. Når offeret geninstallerer nøglen, nulstilles de tilknyttede parametre, f.eks. Det inkrementelle transmitteringspakkenummer og modtagelsespakkenummeret til deres oprindelige værdi. Grundlæggende, for at sikre sikkerhed, bør en nøgle kun installeres og bruges en gang. Desværre er denne type praksis ikke garanteret af WPA2 -protokollen.
Nøgle geninstallation angreb - konkret eksempel mod WPA2 4 -vejs procesNår en klient slutter sig til et Wi-Fi-netværk, kører den 4-vejs-linket for at forhandle om en ny krypteringsnøgle. Du installerer denne nøgle efter at have modtaget meddelelse 3 fra 4-vejs-linket, og når nøglen er installeret, vil den blive brugt til at kryptere normale datarammer ved hjælp af en krypteringsprotokol.
Men da meddelelser kan gå tabt eller kasseres, vil Access Point (AP) videresende meddelelse 3, hvis den ikke modtog et passende svar som en bekræftelse. Som et resultat af dette kan klienten modtage besked 3 flere gange, og hver gang den modtager denne meddelelse, geninstallerer den den samme krypteringsnøgle og derved nulstiller det inkrementelle transmissionspakkenummer og modtager den afspilningstæller, der bruges af krypteringsprotokollen.
Som et resultat af dette kan krypteringsprotokollen angribes ved at tvinge genbrug af transmissionspakken og på denne måde, f.eks. Kan pakkerne reproduceres, dekrypteres og / eller forfalskes. Den samme teknik kan også bruges til at angribe gruppetasten, PeerKey, TDLS og et hurtigt BSS -overgangslink.
IndvirkningPakkedekryptering er mulig, fordi et nøgle -geninstallationsangreb får transmissionsnumrene (undertiden også kaldet pakkenumre eller initialiseringsvektorer) til at nulstille til nul. Som følge heraf bruges den samme krypteringsnøgle med transmissionspakkeværdier, der allerede er blevet brugt tidligere. Til gengæld får dette alle WPA2 -krypteringsprotokoller til at genbruge nøglestrømmen, når pakker krypteres, hvilket muliggør Krack -angrebsfaciliteten.
Evnen til at dekryptere pakker kan bruges til at dekryptere TCP SYN -pakker, så en modstander kan få TCP -sekvensnumrene på en forbindelse og kapre TCP -forbindelser. Som et resultat, selvom vi er beskyttet af WPA2, kan modstanderen nu udføre et af de mest almindelige angreb mod åbne Wi-Fi-netværk: at injicere ondsindede data i ukrypterede HTTP-forbindelser. For eksempel kan en angriber udnytte denne situation til at injicere ransomware eller malware på websteder, som offeret besøger, og som ikke er krypteret.
Hvis offeret bruger WPA-TKIP- eller GCMP-krypteringsprotokollen i stedet for AES-CCMP, er virkningen eksponentielt mere kritisk.
2. Impact Krack -angreb på Android og Linux
Krack-angrebet er stærkt påvirket af version 2.4 og højere af wpa_supplicant, som er en almindeligt anvendt Wi-Fi-klient på Linux.
I dette tilfælde installerer kunden en nulkrypteringsnøgle i stedet for at geninstallere den faktiske nøgle. Denne sårbarhed synes at skyldes en kommentar i Wi-Fi-standarden, der foreslår at slette krypteringsnøglen fra hukommelsen, når den er blevet installeret for første gang. Når klienten nu modtager en videresendt meddelelse fra WPA2 4-vejs-linket, geninstallerer den den nu slettede krypteringsnøgle og installerer effektivt en nul-nøgle.
I tilfælde af Android kan vi se, at wpa_supplicant bruges, derfor indeholder Android 6.0 og højere også denne sårbarhed, som gør det let at opfange og manipulere den trafik, der sendes af disse Linux- og Android -enheder.
Vi skal huske på, at i øjeblikket er 50% af Android -enheder sårbare over for denne ødelæggende variant af Krack, så vi skal være forsigtige og tage de nødvendige sikkerhedsforanstaltninger for at undgå at være et andet offer.
CVE (Almindelige sårbarheder og eksponeringer - Almindelige sårbarheder og eksponeringer) er blevet udviklet for at spore, hvilke produkter der er berørt af specifikke tilfælde af Krack -angrebet på det centrale geninstallationsniveau.
De tilgængelige CVE'er er:
Peer-to-peer-krypteringsnøgle (PTK-TK) geninstallation ved 4-vejs håndtryk
CVE-2017-13077
Group Key (GTK) geninstallation på 4-vejs håndtryk
CVE-2017-13078
Integrity Group Key (IGTK) Geninstallation på 4-vejs håndtryk
CVE-2017-13079
Geninstallation af gruppe -nøgler (GTK) i Group Key Exchange
CVE-2017-13080
Geninstallation af integritetsgruppenøglen (IGTK) i gruppetasthilsenen
CVE-2017-13081
Accepterer en genudsendt anmodning om hurtig BSS-overførsel-tilknytning (FT) og geninstallation af den parvise krypteringsnøgle (PTK-TK)
CVE-2017-13082 [
Geninstallation af STK -nøglen i PeerKey -processen
CVE-2017-13084
Geninstallation af Tunnel Forward Link Configuration (TDLS) PeerKey (TPK) i TDLS Handshake
CVE-2017-13086
Gruppenøgle (GTK) geninstallation ved behandling af en trådløs netværksadministration (WNM) Dvaletilstand -responsramme
CVE-2017-13087
Integritetsgruppenøgle (IGTK) Geninstallation ved behandling af en trådløs netværksadministration (WNM) Dvaletilstand -responsramme
CVE-2017-13088
Vi skal huske på, at hver CVE -identifikator repræsenterer en bestemt forekomst af et nøgle -geninstallationsangreb. Det betyder, at hvert CVE-id beskriver en specifik protokol-sårbarhed, og derfor påvirkes mange leverandører af hvert enkelt CVE-id, f.eks. Har Microsoft udviklet CVE-2017-13080 til deres Windows 10-enheder.
FORSTØRRE
Med dette angreb skal vi præcisere, at det ikke vil være muligt at stjæle adgangskoden til vores Wi-Fi-netværk, men det vil være i stand til at spionere på alt, hvad vi gør gennem det, hvilket er delikat, og Krack fungerer ikke mod Windows eller iOS-enheder .
Vi kan se, at Android er aktiveret med alle Kracks angrebsmuligheder:
FORSTØRRE
Med dette kan vi nævne, at andre sårbare platforme i mindre skala er OpenBSD, OS X 10.9.5 og macOS Sierra 10.12
4. Sådan beskytter vi os selv mod dette Krack -angreb
Som et usynligt angreb vil vi aldrig indse, om vi bliver angrebet af Krack, så vi kan tage følgende som en god praksis:
- Brug om muligt VPN -netværk
- Kontroller altid, at websteder bruger den sikre HTTP -protokol, HTTPS
- Sørg for, at alle enheder er opdaterede, og opdater også routerens firmware
- Brug producenternes sikkerhedsrettelser på følgende links:
Snart lanceres en række scripts, der vil være en stor hjælp til at afbøde virkningen af Krack og dermed stå over for denne nye trussel.
Selvom vores enheder er sårbare over for dette angreb, skal vi være opmærksomme på den måde, vi navigerer på, hvordan vi indtaster personlige oplysninger og frem for alt er opmærksomme på nye systemopdateringer.
