Pieaugot tehnoloģijām, visa mūsu informācija ir pakļauta kāda veida uzbrukuma upuriem, un, lai gan mēs domājam, ka tas nekad ar mums nenotiks, mums jābūt modriem un jāatzīst, ka uzbrucēji izvirza savus mērķus, neatlasot upurus.
Mēs nesen runājām un redzējām, kā Ransomware ietekmēja tūkstošiem lietotāju un uzņēmumu visā pasaulē, burtiski nolaupot viņu datus un lūdzot naudas atlīdzību, kas pieaugtu katru dienu, ja tās prasībām netiktu pievienota.
Ransomware beidzot tika kontrolēts ar dažādiem drošības atjauninājumiem, taču tas atstāja zīmi drošības jautājumos, un, kad mēs domājām, ka viss ir samērā mierīgi, rodas jauns drauds, kuram, neapšaubāmi, ir globāla ietekme izplatības veida un uzbrukuma mērķa dēļ. plaši pazīstamais Kraka uzbrukums, kas tika atklāts šī gada 16. oktobrī.
Krack uzbrukums ir KRACK ievainojamība WPA2, kas, kā mēs visi zinām, ir visizplatītākā drošības metode lielākajā daļā bezvadu maršrutētāju, kas izlaisti kopš 2004. gada. Tā raksturs ļauj hakeriem iefiltrēties pilnīgi drošā Wi-Fi savienojumā, neinformējot upuri, kamēr tas nav izdarīts. par vēlu, lai viņi varētu kaut ko darīt, lai veiktu drošības pasākumus, un šī vienkāršā uzbrukuma satraukuma dēļ lielākā daļa mūsdienu bezvadu ierīču, tostarp mūsu mobilās ierīces, izmanto WPA2, lai vienotos par piekļuvi tīklam.
Kas ir un kā darbojas Krack uzbrukums?Mēs minējām, ka WPA2 ir protokols, kas paredzēts visu pašlaik aizsargāto Wi-Fi tīklu aizsardzībai, un Krack, uzbrucējs upura tīkla diapazonā, var izmantot šos trūkumus, izmantojot galvenos pārinstalēšanas uzbrukumus (KRACK). Tas ir, uzbrucēji var izmantot šo jauno uzbrukuma paņēmienu, lai nolasītu informāciju, kas iepriekš bija droši šifrēta. To var izmantot, lai nozagtu konfidenciālu informāciju, piemēram, kredītkaršu numurus, paroles, tērzēšanas ziņas, e -pastus, fotoattēlus utt.
Uzbrukums darbojas pret visiem mūsdienu aizsargātajiem Wi-Fi tīkliem, un atkarībā no tīkla konfigurācijas ir iespējams arī ievadīt un manipulēt ar datiem. Piemēram, uzbrucējs vietnēs var ievadīt izpirkuma programmatūru vai citu ļaunprātīgu programmatūru, vienkārši pieslēdzoties Wi-Fi tīklam.
Divas no sistēmām, kuras ir visneaizsargātākās pret šo uzbrukumu, ir Android, sākot no versijas 6.0, un Linux, jo ir iespējams pārinstalēt šifrēšanas atslēgu ar nulles datiem. Uzbrūkot citām ierīcēm, visu pakešu atšifrēšana ir grūtāka, lai gan lielu skaitu pakešu var atšifrēt.
Šajā videoklipā ir sīki izskaidrots, kā uzbrucējs var atšifrēt visus upura pārraidītos datus:
1. Kā Krack uzbrukums darbojas detalizēti
Krack uzbrukums ir vērsts uz WPA2 protokola četrvirzienu procesu, kas notiek, kad klients vēlas pievienoties aizsargātam Wi-Fi tīklam, un tiek izmantots, lai apstiprinātu, ka gan klientam, gan piekļuves punktam ir pareizi akreditācijas dati.
Izmantojot šo četrvirzienu procesu, tiek apspriesta jauna šifrēšanas atslēga, kas tiks izmantota, lai šifrētu visu turpmāko trafiku. Pašlaik visi mūsdienu aizsargātie Wi-Fi tīkli izmanto četrvirzienu saišu protokolu, kas nozīmē, ka visus šos tīklus ietekmē vai kāds no Kraka uzbrukuma variantiem. Piemēram, uzbrukums darbojas pret personālajiem un biznesa Wi-Fi tīkliem, pret veco WPA un jaunāko WPA2 standartu un pat pret tīkliem, kas izmanto tikai AES šifrēšanu. Visos šajos uzbrukumos WPA2 tiek izmantota jauna tehnika, ko sauc par atslēgas pārinstalēšanas uzbrukumu (KRACK), kas sastāv no šādām darbībām:
Atslēgu pārinstalēšanas uzbrukumi - augsta līmeņa pārskatsAtslēgas atkārtotas instalēšanas uzbrukumā uzbrucējs maldina upuri pārinstalēt jau lietotu atslēgu. Tas tiek darīts, manipulējot un atkārtoti atskaņojot kriptogrāfiskos sveiciena ziņojumus. Kad cietušais pārinstalē atslēgu, saistītie parametri, piemēram, pārraides pakešu numurs un saņemšanas pakešu numurs, tiks atiestatīti uz sākotnējo vērtību. Būtībā, lai nodrošinātu drošību, atslēgu vajadzētu uzstādīt un lietot tikai vienu reizi. Diemžēl šāda veida praksi negarantē WPA2 protokols.
Galvenie pārinstalēšanas uzbrukumi - konkrēts piemērs WPA2 četrvirzienu procesamKad klients pievienojas Wi-Fi tīklam, tas palaiž četrvirzienu saiti, lai vienotos par jaunu šifrēšanas atslēgu. Jūs instalēsit šo atslēgu pēc 3. ziņojuma saņemšanas no četrvirzienu saites, un, kad atslēga ir instalēta, tā tiks izmantota, lai šifrētu parastos datu rāmjus, izmantojot šifrēšanas protokolu.
Tomēr, tā kā ziņojumus var pazaudēt vai izmest, piekļuves punkts (AP) atkārtoti nosūtīs ziņojumu 3, ja tas nesaņems atbilstošu atbildi kā apstiprinājumu. Tā rezultātā klients var saņemt ziņojumu 3 vairākas reizes, un katru reizi, saņemot šo ziņojumu, tas atkārtoti instalēs to pašu šifrēšanas atslēgu un tādējādi atiestatīs pārraides paketes numuru un saņems šifrēšanas protokola izmantoto atkārtošanas skaitītāju.
Tā rezultātā, piespiežot pārraides paketes atkārtotu izmantošanu un šādā veidā, var uzbrukt šifrēšanas protokolam, piemēram, paketes var reproducēt, atšifrēt un / vai viltot. To pašu paņēmienu var izmantot, lai uzbruktu grupas atslēgai, PeerKey, TDLS un ātrai BSS pārejas saitei.
IetekmePakešu atšifrēšana ir iespējama, jo atslēgas pārinstalēšanas uzbrukuma dēļ pārraides numuri (dažreiz saukti arī par pakešu numuriem vai inicializācijas vektoriem) tiek atiestatīti uz nulli. Rezultātā tā pati šifrēšanas atslēga tiek izmantota ar pārraides pakešu vērtībām, kas jau ir izmantotas agrāk. Tas savukārt liek visiem WPA2 šifrēšanas protokoliem atkārtoti izmantot atslēgu straumi, šifrējot paketes, iespējojot Krack uzbrukuma iespēju.
Iespēju atšifrēt paketes var izmantot, lai atšifrētu TCP SYN paketes, ļaujot pretiniekam iegūt savienojuma TCP kārtas numurus un nolaupīt TCP savienojumus. Tā rezultātā, pat ja mūs aizsargā WPA2, pretinieks tagad var veikt vienu no visbiežāk sastopamajiem uzbrukumiem atvērtiem Wi-Fi tīkliem: ļaunprātīgu datu ievadīšanu nešifrētos HTTP savienojumos. Piemēram, uzbrucējs var izmantot šo situāciju, lai injicētu izpirkuma programmatūru vai ļaunprātīgu programmatūru vietnēs, kuras upuris apmeklē un kuras nav šifrētas.
Ja cietušais izmanto WPA-TKIP vai GCMP šifrēšanas protokolu, nevis AES-CCMP, ietekme ir eksponenciāli kritiskāka.
2. Ietekmējiet Krack uzbrukumu Android un Linux
Krack uzbrukumu visspēcīgāk ietekmē versija wpa_supplicant 2.4 un jaunāka versija, kas ir Linux parasti lietots Wi-Fi klients.
Šajā gadījumā klients instalēs nulles šifrēšanas atslēgu, nevis pārinstalēs faktisko atslēgu. Šķiet, ka šī ievainojamība ir saistīta ar komentāru Wi-Fi standartā, kas iesaka dzēst šifrēšanas atslēgu no atmiņas, kad tā ir instalēta pirmo reizi. Kad klients tagad saņem pārsūtītu ziņojumu no četrvirzienu saites WPA2, tas pārinstalēs tagad izdzēsto šifrēšanas atslēgu, efektīvi instalējot nulles atslēgu.
Android gadījumā mēs redzam, ka tiek izmantots wpa_supplicant, tāpēc operētājsistēmā Android 6.0 un jaunākās versijās ir arī šī ievainojamība, kas ļauj vienkārši pārtvert un manipulēt ar šo Linux un Android ierīču sūtīto trafiku.
Jāpatur prātā, ka patlaban 50% Android ierīču ir neaizsargātas pret šo postošo Krack variantu, tāpēc mums jābūt piesardzīgiem un jāveic nepieciešamie drošības pasākumi, lai nebūtu citi upuri.
CVE (kopējās ievainojamības un riska darījumi - kopējās ievainojamības un iedarbības) ir izstrādāts, lai izsekotu, kurus produktus galvenie pārinstalēšanas līmeņi ietekmē konkrēti Krack uzbrukuma gadījumi.
Pašreiz pieejamie CVE ir:
Vienādranga šifrēšanas atslēgas (PTK-TK) pārinstalēšana četrvirzienu rokasspiedienā
CVE-2017-13077
Grupas atslēgas (GTK) pārinstalēšana, izmantojot četrvirzienu rokasspiedienu
CVE-2017-13078
Integrity Group Key (IGTK) atkārtota instalēšana, izmantojot četrvirzienu rokasspiedienu
CVE-2017-13079
Grupas atslēgu atkārtota instalēšana (GTK) grupas atslēgu apmaiņā
CVE-2017-13080
Integritātes grupas atslēgas (IGTK) atkārtota instalēšana grupas atslēgas sveicienā
CVE-2017-13081
Atkārtoti pārsūtīta pieprasījuma pieņemšana ātrai BSS pārejas atkārtotajai savienošanai (FT) un pāra šifrēšanas atslēgas (PTK-TK) atkārtotai instalēšanai
CVE-2017-13082 [
STK atslēgas atkārtota instalēšana PeerKey procesā
CVE-2017-13084
Tunel Forward Link Configuration (TDLS) PeerKey (TPK) pārinstalēšana TDLS rokasspiedienā
CVE-2017-13086
Grupas atslēgas (GTK) atkārtota instalēšana, apstrādājot bezvadu tīkla pārvaldības (WNM) miega režīma atbildes rāmi
CVE-2017-13087
Integritātes grupas atslēgas (IGTK) atkārtota instalēšana, apstrādājot bezvadu tīkla pārvaldības (WNM) miega režīma atbildes rāmi
CVE-2017-13088
Mums jāpatur prātā, ka katrs CVE identifikators ir konkrēts atslēgas pārinstalēšanas uzbrukuma gadījums. Tas nozīmē, ka katrs CVE ID apraksta konkrētu protokola ievainojamību, un tāpēc katrs pārdevējs ir pakļauts katram atsevišķam CVE ID, piemēram, Microsoft ir izstrādājis CVE-2017-13080 savām Windows 10 ierīcēm.
PALIELINĀT
Ar šo uzbrukumu mums jāpaskaidro, ka nebūs iespējams nozagt mūsu Wi-Fi tīkla paroli, taču tas varēs izspiegot visu, ko mēs darām caur to, kas ir delikāts un Krack nedarbojas pret Windows vai iOS ierīcēm .
Mēs redzam, ka Android ir iespējots ar visām Krack uzbrukuma iespējām:
PALIELINĀT
Ar to mēs varam pieminēt, ka citas neaizsargātas platformas mazākā mērogā ir OpenBSD, OS X 10.9.5 un macOS Sierra 10.12
4. Kā pasargāt sevi no šī Kraka uzbrukuma
Būdami neredzams uzbrukums, mēs nekad nesapratīsim, vai mums uzbrūk Kraks, lai mēs varētu uzskatīt par labu praksi:
- Ja iespējams, izmantojiet VPN tīklus
- Vienmēr pārbaudiet, vai vietnes izmanto drošo HTTP protokolu HTTPS
- Pārliecinieties, vai visas ierīces ir atjauninātas, kā arī atjauniniet maršrutētāja programmaparatūru
- Izmantojiet ražotāju drošības ielāpus, izmantojot šīs saites:
Drīz tiks uzsākta virkne skriptu, kas ļoti palīdzēs mazināt Krack ietekmi un tādējādi saskarties ar šiem jaunajiem draudiem.
Lai gan mūsu ierīces ir neaizsargātas pret šo uzbrukumu, mums jābūt uzmanīgiem attiecībā uz navigācijas veidu, personas datu ievadīšanu un, pirmkārt, jāapzinās jaunie sistēmas atjauninājumi.
