Wraz z rozwojem technologii wszystkie nasze informacje stają się ofiarą pewnego rodzaju ataku i chociaż uważamy, że nam się to nigdy nie przydarzy, musimy być czujni i zdawać sobie sprawę, że napastnicy propagują swoje cele bez wybierania ofiar.
Niedawno rozmawialiśmy i widzieliśmy, jak Ransomware wpłynęło na tysiące użytkowników i firm na całym świecie, dosłownie porywając ich dane i prosząc o nagrodę pieniężną, która rosłaby z dnia na dzień, gdyby jej roszczenia nie zostały uwzględnione.
Ransomware było w końcu kontrolowane przez różne aktualizacje zabezpieczeń, ale pozostawiło ślad w kwestiach bezpieczeństwa, a kiedy pomyśleliśmy, że wszystko jest stosunkowo spokojne, pojawia się nowe zagrożenie, które niewątpliwie ma globalny wpływ ze względu na rodzaj rozprzestrzeniania się i cel ataku i jest znany atak Kracka, który został odkryty 16 października tego roku.
Atak Krack to luka w zabezpieczeniach KRACK w WPA2, która, jak wszyscy wiemy, jest najczęstszą metodą bezpieczeństwa w większości routerów bezprzewodowych wydanych od 2004 roku. Jego natura pozwala hakerom na infiltrację całkowicie bezpiecznego połączenia Wi-Fi bez powiadamiania ofiary, dopóki nie nastąpi zbyt późno, aby coś z tym zrobić, aby podjąć środki bezpieczeństwa, a ze względu na obawy związane z tym prostym atakiem, zdecydowana większość dzisiejszych urządzeń bezprzewodowych, w tym nasze urządzenia mobilne, używa WPA2 do negocjowania dostępu do sieci.
Czym jest i jak działa atak Kracka?Wspomnieliśmy, że WPA2 jest protokołem zaprojektowanym w celu zabezpieczenia wszystkich obecnie chronionych sieci Wi-Fi, cóż, w przypadku Kracka atakujący w zasięgu sieci ofiary może wykorzystać te słabości za pomocą ataków ponownej instalacji klucza (KRACK). ta nowa technika ataku do odczytywania informacji, które wcześniej miały być bezpiecznie zaszyfrowane. Może to służyć do kradzieży poufnych informacji, takich jak numery kart kredytowych, hasła, wiadomości czatu, e-maile, zdjęcia itp.
Atak działa na wszystkie nowoczesne chronione sieci Wi-Fi i, w zależności od konfiguracji sieci, możliwe jest również wstrzykiwanie i manipulowanie danymi. Na przykład atakujący może wstrzyknąć oprogramowanie ransomware lub inne złośliwe oprogramowanie do witryn internetowych, po prostu łącząc się z siecią Wi-Fi.
Dwa systemy, które są najbardziej narażone na ten atak, to Android od wersji 6.0 oraz Linux, ponieważ możliwe jest ponowne zainstalowanie klucza szyfrowania bez danych. Podczas atakowania innych urządzeń trudniej jest odszyfrować wszystkie pakiety, chociaż można odszyfrować dużą liczbę pakietów.
Poniższy film wyjaśnia szczegółowo, w jaki sposób atakujący może odszyfrować wszystkie dane przesyłane przez ofiarę:
1. Jak działa atak Kracka w szczegółach
Atak Krack jest skierowany na 4-kierunkowy proces protokołu WPA2, który ma miejsce, gdy klient chce dołączyć do chronionej sieci Wi-Fi i służy do potwierdzenia, że zarówno klient, jak i punkt dostępowy mają prawidłowe dane uwierzytelniające.
W tym 4-kierunkowym procesie negocjowany jest nowy klucz szyfrowania, który będzie używany do szyfrowania całego późniejszego ruchu. Obecnie wszystkie nowoczesne chronione sieci Wi-Fi korzystają z 4-kierunkowego protokołu łącza, co oznacza, że wszystkie te sieci są dotknięte atakiem Krack lub jego wariantem. Na przykład atak działa na osobiste i biznesowe sieci Wi-Fi, na stary standard WPA i najnowszy standard WPA2, a nawet na sieci, które wykorzystują tylko szyfrowanie AES. Wszystkie te ataki na WPA2 wykorzystują nowatorską technikę zwaną atakiem ponownej instalacji klucza (KRACK), która składa się z następujących kroków:
Kluczowe ataki polegające na ponownej instalacji - przegląd wysokiego poziomuW ataku polegającym na ponownej instalacji klucza osoba atakująca nakłania ofiarę do ponownego zainstalowania klucza, który jest już używany. Czyni to poprzez manipulowanie i odtwarzanie kryptograficznych wiadomości powitalnych. Gdy ofiara ponownie zainstaluje klucz, powiązane parametry, takie jak przyrostowy numer pakietu transmisji i numer pakietu odbioru, zostaną zresetowane do wartości początkowej. Zasadniczo, aby zapewnić bezpieczeństwo, klucz powinien być instalowany i używany tylko raz. Niestety, tego typu praktyka nie jest gwarantowana przez protokół WPA2.
Ataki związane z ponowną instalacją klucza - konkretny przykład przeciwko 4-kierunkowemu procesowi WPA2Gdy klient dołącza do sieci Wi-Fi, uruchamia 4-kierunkowe łącze w celu wynegocjowania nowego klucza szyfrowania. Zainstalujesz ten klucz po otrzymaniu wiadomości 3 z 4-kierunkowego łącza, a po zainstalowaniu klucza będzie on używany do szyfrowania normalnych ramek danych przy użyciu protokołu szyfrowania.
Jednakże, ponieważ wiadomości mogą zostać utracone lub odrzucone, punkt dostępowy (AP) ponownie prześle wiadomość 3, jeśli nie odbierze odpowiedniej odpowiedzi jako potwierdzenia. W wyniku tego klient może otrzymać wiadomość 3 wiele razy i za każdym razem, gdy otrzyma tę wiadomość, ponownie zainstaluje ten sam klucz szyfrowania, a tym samym zresetuje przyrostowy numer pakietu transmisji i odbierze licznik powtórzeń używany przez protokół szyfrowania.
W wyniku tego, wymuszając ponowne wykorzystanie pakietu transmisyjnego iw ten sposób można zaatakować protokół szyfrowania, na przykład pakiety mogą być powielane, odszyfrowywane i/lub fałszowane. Ta sama technika może być również użyta do ataku na klucz grupy, PeerKey, TDLS i szybkie łącze przejścia BSS.
UderzenieOdszyfrowanie pakietów jest możliwe, ponieważ atak polegający na ponownej instalacji klucza powoduje zerowanie numerów transmisji (czasami nazywanych również numerami pakietów lub wektorami inicjalizacji). W rezultacie ten sam klucz szyfrowania jest używany z wartościami pakietów transmisji, które były już używane w przeszłości. To z kolei powoduje, że wszystkie protokoły szyfrowania WPA2 ponownie wykorzystują strumień klucza podczas szyfrowania pakietów, umożliwiając atak Krack.
Możliwość odszyfrowywania pakietów może być wykorzystana do odszyfrowania pakietów TCP SYN, umożliwiając przeciwnikowi uzyskanie numerów sekwencyjnych TCP połączenia i przechwycenie połączeń TCP. W rezultacie, mimo że jesteśmy chronieni przez WPA2, przeciwnik może teraz przeprowadzić jeden z najczęstszych ataków na otwarte sieci Wi-Fi: wstrzykiwać złośliwe dane do niezaszyfrowanych połączeń HTTP. Na przykład atakujący może wykorzystać tę sytuację do wstrzyknięcia oprogramowania ransomware lub złośliwego oprogramowania do stron internetowych, które odwiedza ofiara i które nie są zaszyfrowane.
Jeśli ofiara używa protokołu szyfrowania WPA-TKIP lub GCMP zamiast AES-CCMP, wpływ jest wykładniczo bardziej krytyczny.
2. Wpływ ataku Kracka na Androida i Linuxa
Atak Krack jest najbardziej dotknięty wersją 2.4 i nowszą wpa_supplicant, który jest powszechnie używanym klientem Wi-Fi w systemie Linux.
W takim przypadku klient zainstaluje zerowy klucz szyfrowania zamiast ponownej instalacji rzeczywistego klucza. Ta luka wydaje się być spowodowana komentarzem w standardzie Wi-Fi, który sugeruje usunięcie klucza szyfrowania z pamięci po jego pierwszej instalacji. Gdy klient otrzyma teraz przekazaną wiadomość z 4-kierunkowego łącza WPA2, ponownie zainstaluje teraz wymazany klucz szyfrowania, skutecznie instalując klucz zerowy.
W przypadku Androida widzimy, że używany jest wpa_supplicant, dlatego też Android 6.0 i nowsze również zawierają tę lukę, która ułatwia przechwytywanie i manipulowanie ruchem wysyłanym przez te urządzenia z Linuksem i Androidem.
Musimy pamiętać, że obecnie 50% urządzeń z Androidem jest podatnych na ten niszczycielski wariant Kracka, więc musimy zachować ostrożność i podjąć niezbędne środki bezpieczeństwa, aby nie stać się kolejną ofiarą.
CVE (Common Vulnerabilities and Exposures - Common Vulnerabilities and Exposures) został opracowany w celu śledzenia, które produkty są dotknięte konkretnymi przypadkami ataku Krack na kluczowym poziomie ponownej instalacji.
Obecnie dostępne CVE to:
Ponowna instalacja klucza szyfrowania peer-to-peer (PTK-TK) przy 4-kierunkowym uzgadnianiu
CVE-2017-13077
Ponowna instalacja klucza grupowego (GTK) przy 4-kierunkowym uzgadnianiu
CVE-2017-13078
Ponowna instalacja klucza grupy integralności (IGTK) podczas 4-kierunkowego uzgadniania
CVE-2017-13079
Ponowna instalacja klucza grupowego (GTK) w wymianie kluczy grupowych
CVE-2017-13080
Ponowna instalacja klucza grupy integralności (IGTK) w powitaniu klucza grupy
CVE-2017-13081
Przyjmowanie retransmitowanego żądania szybkiego ponownego skojarzenia przejścia BSS (FT) i ponownej instalacji klucza szyfrowania parami (PTK-TK)
CVE-2017-13082 [
Ponowna instalacja klucza STK w procesie PeerKey
CVE-2017-13084
Ponowna instalacja konfiguracji łącza Tunnel Forward Link Configuration (TDLS) PeerKey (TPK) w TDLS Handshake
CVE-2017-13086
Ponowna instalacja klucza grupy (GTK) podczas przetwarzania ramki odpowiedzi trybu uśpienia zarządzania siecią bezprzewodową (WNM)
CVE-2017-13087
Ponowna instalacja klucza grupy integralności (IGTK) podczas przetwarzania ramki odpowiedzi trybu uśpienia zarządzania siecią bezprzewodową (WNM)
CVE-2017-13088
Musimy pamiętać, że każdy identyfikator CVE reprezentuje konkretną instancję ataku polegającego na ponownej instalacji klucza. Oznacza to, że każdy identyfikator CVE opisuje konkretną lukę w protokole i dlatego każdy indywidualny identyfikator CVE ma wpływ na wielu dostawców, na przykład firma Microsoft opracowała CVE-2017-13080 dla swoich urządzeń z systemem Windows 10.
POWIĘKSZAĆ
Za pomocą tego ataku musimy wyjaśnić, że nie będzie można ukraść hasła do naszej sieci Wi-Fi, ale będzie w stanie szpiegować wszystko, co przez nią robimy, co jest delikatne i Krack nie działa na urządzeniach z systemem Windows lub iOS .
Widzimy, że Android obsługuje wszystkie drogi ataku Kracka:
POWIĘKSZAĆ
W tym miejscu możemy wspomnieć, że inne wrażliwe platformy, na mniejszą skalę, to OpenBSD, OS X 10.9.5 i macOS Sierra 10.12
4. Jak uchronić się przed atakiem Kracka
Będąc niewidzialnym atakiem, nigdy nie zdamy sobie sprawy, że jesteśmy atakowani przez Kracka, więc możemy wziąć następujące rzeczy jako dobrą praktykę:
- Jeśli to możliwe, korzystaj z sieci VPN
- Zawsze sprawdzaj, czy witryny korzystają z bezpiecznego protokołu HTTP, HTTPS
- Upewnij się, że wszystkie urządzenia są aktualne, a także zaktualizuj oprogramowanie routera
- Skorzystaj z poprawek bezpieczeństwa producentów pod następującymi linkami:
Wkrótce zostanie uruchomiona seria skryptów, które będą bardzo pomocne w łagodzeniu wpływu Kracka, a tym samym w walce z nowym zagrożeniem.
Chociaż nasze urządzenia są podatne na ten atak, musimy zwracać uwagę na sposób, w jaki się poruszamy, w jaki sposób wprowadzamy dane osobowe, a przede wszystkim zwracać uwagę na nowe aktualizacje systemu.
