Med teknologiens fremvekst blir all informasjon vår utsatt for å være offer for noen form for angrep, og selv om vi tror at det aldri vil skje oss, må vi være på vakt og innse at angriperne forplanter sine mål uten å velge ofre.
Vi snakket nylig og så hvordan Ransomware påvirket tusenvis av brukere og selskaper over hele verden, bokstavelig talt kapret dataene sine og ba om en pengebelønning som ville vokse dag for dag hvis kravene ikke ble etterkommet.
Ransomware ble endelig kontrollert av de forskjellige sikkerhetsoppdateringene, men det satte et preg på sikkerhetsspørsmål, og da vi trodde at alt var relativt rolig, oppstår det en ny trussel som utvilsomt har en global innvirkning på grunn av dens type spredning og angrepsmål og er det velkjente Krack-angrepet som ble oppdaget 16. oktober i år.
Krack-angrepet er et KRACK-sårbarhet i WPA2, som vi alle vet er den vanligste sikkerhetsmetoden i de fleste trådløse rutere utgitt siden 2004. Dens natur gjør at hackere kan infiltrere en helt sikker Wi-Fi-tilkobling uten å la offeret få vite det før det er for sent for dem å gjøre noe med det for å ta sikkerhetstiltak, og på grunn av bekymringen med dette enkle angrepet bruker de aller fleste av dagens trådløse enheter, inkludert våre mobile enheter, WPA2 for å forhandle om inngang til et nettverk.
Hva er og hvordan fungerer Krack -angrepet?Vi nevnte at WPA2, er en protokoll designet for å sikre alle nåværende beskyttede Wi-Fi-nettverk. Vel, med Krack kan angriperen innen et nettverksområde for et offer utnytte disse svakhetene ved hjelp av viktige reinstallasjonsangrep (KRACK). Det vil si at angriperne kan bruke denne nye angrepsteknikken for å lese informasjon som tidligere skulle være sikkert kryptert. Dette kan brukes til å stjele konfidensiell informasjon som kredittkortnummer, passord, chat -meldinger, e -post, bilder, etc.
Angrepet virker mot alle moderne beskyttede Wi-Fi-nettverk, og avhengig av nettverkskonfigurasjonen er det også mulig å injisere og manipulere data. For eksempel kan en angriper injisere ransomware eller annen skadelig programvare på nettsteder bare ved å være koblet til Wi-Fi-nettverket.
To av systemene som er mest sårbare for dette angrepet er Android, siden versjon 6.0, og Linux, siden det er mulig å installere en krypteringsnøkkel på nytt med null data. Når du angriper andre enheter, er det vanskeligere å dekryptere alle pakker, selv om et stort antall pakker kan dekrypteres.
Følgende video forklarer i detalj hvordan angriperen kan dekryptere alle dataene som er overført av offeret:
1. Hvordan Krack -angrepet fungerer i detalj
Krack-angrepet er rettet mot 4-veis-prosessen i WPA2-protokollen som oppstår når en klient ønsker å bli med i et beskyttet Wi-Fi-nettverk, og brukes til å bekrefte at både klienten og tilgangspunktet har de riktige legitimasjonene.
Med denne 4-veisprosessen forhandles en ny krypteringsnøkkel som skal brukes til å kryptere all etterfølgende trafikk. For øyeblikket bruker alle moderne beskyttede Wi-Fi-nettverk 4-veis koblingsprotokollen som innebærer at alle disse nettverkene er påvirket av eller en variant av Krack-angrepet. For eksempel virker angrepet mot personlige og forretningsmessige Wi-Fi-nettverk, mot den gamle WPA og den siste WPA2-standarden, og til og med mot nettverk som bare bruker AES-kryptering. Alle disse angrepene mot WPA2 bruker en ny teknikk kalt et key reinstallation attack (KRACK) som består av følgende trinn:
Nøkkelinstallere angrep - Oversikt på høyt nivåI et angrep for gjeninstallering av nøkler lurer angriperen offeret til å installere en nøkkel som allerede er i bruk. Det gjør dette ved å manipulere og spille av kryptografiske hei -meldinger. Når offeret installerer nøkkelen på nytt, blir de tilknyttede parametrene, for eksempel det inkrementelle overføringspakkenummeret og mottakspakkenummeret, tilbakestilt til sin opprinnelige verdi. I utgangspunktet, for å sikre sikkerhet, bør en nøkkel bare installeres og brukes en gang. Dessverre er ikke denne typen praksis garantert av WPA2 -protokollen.
Nøkkelinstallasjoner angrep - konkret eksempel mot WPA2 4 -veis prosessNår en klient blir med i et Wi-Fi-nettverk, kjører den 4-veis koblingen for å forhandle om en ny krypteringsnøkkel. Du vil installere denne nøkkelen etter å ha mottatt melding 3 fra 4-veis lenken, og når nøkkelen er installert, vil den bli brukt til å kryptere normale datarammer ved hjelp av en krypteringsprotokoll.
Siden meldinger kan gå tapt eller kastes, vil tilgangspunktet (AP) imidlertid sende meldingen 3 på nytt hvis den ikke mottok et passende svar som en bekreftelse. Som et resultat av dette kan klienten motta melding 3 flere ganger, og hver gang den mottar denne meldingen, vil den installere den samme krypteringsnøkkelen på nytt og derved tilbakestille det inkrementelle overføringspakkenummeret og motta avspillingstelleren som brukes av krypteringsprotokollen.
Som et resultat av dette, ved å tvinge gjenbruk av overføringspakken og på denne måten, kan krypteringsprotokollen angripes, for eksempel kan pakkene reproduseres, dekrypteres og / eller forfalskes. Den samme teknikken kan også brukes til å angripe gruppetasten, PeerKey, TDLS og rask BSS -overgangskobling.
innvirkningPakkryptering er mulig fordi et angrep for gjeninstallering av nøkkler får overføringsnumrene (noen ganger også kalt pakkenumre eller initialiseringsvektorer) til å nullstilles. Som et resultat blir den samme krypteringsnøkkelen brukt med overføringspakkeverdier som allerede har blitt brukt tidligere. I sin tur får dette alle WPA2 -krypteringsprotokoller til å gjenbruke nøkkelstrømmen ved kryptering av pakker, noe som muliggjør Krack -angrepsanlegget.
Muligheten til å dekryptere pakker kan brukes til å dekryptere TCP SYN -pakker slik at en motstander kan få TCP -sekvensnumrene til en tilkobling og kapre TCP -tilkoblinger. Som et resultat, selv om vi er beskyttet av WPA2, kan motstanderen nå utføre et av de vanligste angrepene mot åpne Wi-Fi-nettverk: å injisere ondsinnede data i ukrypterte HTTP-tilkoblinger. For eksempel kan en angriper dra nytte av denne situasjonen for å injisere ransomware eller skadelig programvare på nettsteder som offeret besøker og som ikke er kryptert.
Hvis offeret bruker WPA-TKIP- eller GCMP-krypteringsprotokollen, i stedet for AES-CCMP, er virkningen eksponensielt mer kritisk.
2. Impact Krack -angrep på Android og Linux
Krack-angrepet er sterkest påvirket av versjon 2.4 og nyere av wpa_supplicant, som er en vanlig Wi-Fi-klient på Linux.
I dette tilfellet vil kunden installere en nullkrypteringsnøkkel i stedet for å installere den faktiske nøkkelen på nytt. Dette sikkerhetsproblemet ser ut til å skyldes en kommentar i Wi-Fi-standarden som foreslår å slette krypteringsnøkkelen fra minnet når den er installert for første gang. Når klienten nå mottar en videresendt melding fra WPA2 4-veis koblingen, vil den installere den nå slettede krypteringsnøkkelen og effektivt installere en nullnøkkel.
Når det gjelder Android kan vi se at wpa_supplicant brukes, derfor inneholder Android 6.0 og nyere også denne sårbarheten som gjør det enkelt å fange opp og manipulere trafikken som sendes av disse Linux- og Android -enhetene.
Vi må huske på at for tiden er 50% av Android -enhetene sårbare for denne ødeleggende varianten av Krack, så vi må være forsiktige og ta nødvendige sikkerhetstiltak for å unngå å bli et nytt offer.
CVE (Common Sårbarheter og eksponeringer - Vanlige sårbarheter og eksponeringer) er utviklet for å spore hvilke produkter som er berørt av spesifikke tilfeller av Krack -angrepet på nøkkelinstallasjonsnivået.
Gjeldende CVE -er er:
Peer-to-peer-krypteringsnøkkel (PTK-TK) installeres på nytt på 4-veis håndtrykk
CVE-2017-13077
Group Key (GTK) Reinstallation on 4-Way Handshake
CVE-2017-13078
Integrity Group Key (IGTK) Reinstallasjon på 4-veis håndtrykk
CVE-2017-13079
Group Key Reinstallation (GTK) i Group Key Exchange
CVE-2017-13080
Installer integritetsgruppenøkkelen (IGTK) på nytt i gruppetasthilsenen
CVE-2017-13081
Godta en gjenutsendt forespørsel for rask BSS-overgangsassosiasjon (FT) og reinstallering av Pairwise Encryption Key (PTK-TK)
CVE-2017-13082 [
Installer STK -nøkkelen på nytt i PeerKey -prosessen
CVE-2017-13084
Installere Tunnel Forward Link Configuration (TDLS) PeerKey (TPK) på nytt i TDLS Handshake
CVE-2017-13086
Gruppenøkkel (GTK) på nytt ved behandling av en trådløs nettverksadministrasjon (WNM) hvilemodusresponsramme
CVE-2017-13087
Integritetsgruppenøkkel (IGTK) Reinstallering ved behandling av en trådløs nettverksadministrasjon (WNM) hvilemodus -svarramme
CVE-2017-13088
Vi må huske på at hver CVE -identifikator representerer en bestemt forekomst av et angrep for gjeninstallering av nøkler. Dette betyr at hver CVE-ID beskriver en bestemt sårbarhet for protokollen, og derfor påvirkes mange leverandører av hver individuelle CVE-ID, for eksempel har Microsoft utviklet CVE-2017-13080 for sine Windows 10-enheter.
FORSTØRRE
Med dette angrepet må vi klargjøre at det ikke vil være mulig å stjele passordet til vårt Wi-Fi-nettverk, men det vil kunne spionere på alt vi gjør gjennom det, noe som er delikat og Krack fungerer ikke mot Windows eller iOS-enheter .
Vi kan se at Android er aktivert med alle Kracks angrepsveier:
FORSTØRRE
Med dette kan vi nevne at andre sårbare plattformer, i mindre skala, er OpenBSD, OS X 10.9.5 og macOS Sierra 10.12
4. Hvordan beskytte oss mot dette Krack -angrepet
Som et usynlig angrep vil vi aldri innse om vi blir angrepet av Krack, slik at vi kan ta følgende som en god praksis:
- Hvis mulig, bruk VPN -nettverk
- Kontroller alltid at nettstedene bruker den sikre HTTP -protokollen, HTTPS
- Sørg for at alle enheter er oppdaterte, og oppdater også fastvare for ruteren
- Bruk produsentenes sikkerhetsoppdateringer på følgende lenker:
Snart lanseres en serie skript som vil være til stor hjelp for å dempe virkningen av Krack og dermed møte denne nye trusselen.
Selv om enhetene våre er sårbare for dette angrepet, må vi være oppmerksomme på måten vi navigerer på, hvordan vi legger inn personlig informasjon og fremfor alt er klar over nye systemoppdateringer.
