Med teknikens framväxt exponeras all vår information för att vara offer för någon typ av attack och även om vi tror att det aldrig kommer att hända oss måste vi vara uppmärksamma och inse att angripare sprider sina mål utan att välja offer.
Vi pratade nyligen och såg hur Ransomware påverkade tusentals användare och företag över hela världen, bokstavligen kapade deras data och bad om en monetär belöning som skulle växa dag för dag om dess påståenden inte följdes.
Ransomware kontrollerades slutligen av de olika säkerhetsuppdateringarna, men det satte avtryck i säkerhetsfrågor och när vi trodde att allt var relativt lugnt uppstår ett nytt hot som utan tvekan har en global inverkan på grund av dess typ av spridning och angreppsmål och är den välkända Krack-attacken som upptäcktes den 16 oktober i år.
Krack-attacken är en KRACK-sårbarhet i WPA2, som vi alla vet är den vanligaste säkerhetsmetoden i de flesta trådlösa routrar som släppts sedan 2004. Dess natur gör att hackare kan infiltrera en helt säker Wi-Fi-anslutning utan att låta offret veta förrän det är för sent för dem att göra något åt det för att vidta säkerhetsåtgärder och på grund av oron med denna enkla attack använder de allra flesta av dagens trådlösa enheter, inklusive våra mobila enheter, WPA2 för att förhandla om inträde till ett nätverk.
Vad är och hur fungerar Krack -attacken?Vi nämnde att WPA2, är ett protokoll som är utformat för att säkra alla för närvarande skyddade Wi-Fi-nätverk. Tja, med Krack kan angriparen inom offrets nätintervall utnyttja dessa svagheter med nyckelinstallationer (KRACK). Det vill säga, angripare kan använda denna nya attackteknik för att läsa information som tidigare var tänkt att vara säkert krypterad. Detta kan användas för att stjäla konfidentiell information som kreditkortsnummer, lösenord, chattmeddelanden, mejl, foton, etc.
Attacken fungerar mot alla moderna skyddade Wi-Fi-nätverk och beroende på nätverkskonfigurationen är det också möjligt att injicera och manipulera data. Till exempel kan en angripare injicera ransomware eller annan skadlig kod på webbplatser helt enkelt genom att vara ansluten till Wi-Fi-nätverket.
Två av de system som är mest sårbara för denna attack är Android, sedan version 6.0, och Linux, eftersom det är möjligt att installera om en krypteringsnyckel med noll data. När du attackerar andra enheter är det svårare att dekryptera alla paket, även om ett stort antal paket kan dekrypteras.
Följande video förklarar i detalj hur angriparen kan dekryptera all data som överförs av offret:
1. Hur Krack -attacken fungerar i detalj
Krack-attacken riktas mot 4-vägsprocessen i WPA2-protokollet som uppstår när en klient vill ansluta sig till ett skyddat Wi-Fi-nätverk och används för att bekräfta att både klienten och åtkomstpunkten har rätt autentiseringsuppgif.webpter.
Med denna 4-vägsprocess förhandlas en ny krypteringsnyckel som kommer att användas för att kryptera all efterföljande trafik. För närvarande använder alla moderna skyddade Wi-Fi-nätverk 4-vägs länkprotokollet vilket innebär att alla dessa nätverk påverkas av, eller någon variant, av Krack-attacken. Till exempel fungerar attacken mot personliga och företags Wi-Fi-nätverk, mot den gamla WPA och den senaste WPA2-standarden, och till och med mot nätverk som bara använder AES-kryptering. Alla dessa attacker mot WPA2 använder en ny teknik som kallas en key reinstallation attack (KRACK) som består av följande steg:
Nyckelinstalleringsattacker - översikt på hög nivåI en ny nyinstallationsattack lurar angriparen offret för att installera om en nyckel som redan används. Det gör detta genom att manipulera och spela upp kryptografiska hejmeddelanden. När offret installerar om nyckeln återställs de associerade parametrarna, såsom det inkrementella sändningspaketnumret och mottagningspaketnumret till sitt ursprungliga värde. I grund och botten, för att säkerställa säkerheten, bör en nyckel bara installeras och användas en gång. Tyvärr garanteras inte denna typ av övning av WPA2 -protokollet.
Nyckelinstalleringsattacker - konkret exempel mot WPA2 4 -vägs processNär en klient ansluter sig till ett Wi-Fi-nätverk kör den 4-vägs-länken för att förhandla om en ny krypteringsnyckel. Du installerar den här nyckeln efter att ha fått meddelande 3 från 4-vägs-länken, och när nyckeln är installerad kommer den att användas för att kryptera normala dataramar med ett krypteringsprotokoll.
Eftersom meddelanden kan gå förlorade eller kasseras kommer åtkomstpunkten (AP) att sända meddelande 3 igen om det inte fick ett lämpligt svar som en bekräftelse. Som ett resultat av detta kan klienten ta emot meddelande 3 flera gånger och varje gång det tar emot detta meddelande kommer det att installera om samma krypteringsnyckel och därigenom återställa paketnumret för inkrementell överföring och ta emot återspelningsräknaren som används av krypteringsprotokollet.
Som ett resultat av detta, genom att tvinga fram återanvändning av överföringspaketet och på detta sätt kan krypteringsprotokollet attackeras, till exempel kan paketen reproduceras, dekrypteras och / eller förfalskas. Samma teknik kan också användas för att attackera gruppnyckeln, PeerKey, TDLS och snabb BSS -övergångslänk.
PåverkanPaketdekryptering är möjlig eftersom en ny nyinstallationsattack gör att överföringsnumren (ibland även kallade paketnummer eller initialiseringsvektorer) återställs till noll. Som ett resultat används samma krypteringsnyckel med överföringspaketvärden som redan har använts tidigare. I sin tur orsakar detta att alla WPA2 -krypteringsprotokoll återanvänder nyckelströmmen när paket krypteras, vilket möjliggör Krack -attackfunktionen.
Möjligheten att dekryptera paket kan användas för att dekryptera TCP SYN -paket så att en motståndare kan få TCP -sekvensnumren för en anslutning och kapa TCP -anslutningar. Som ett resultat, även om vi är skyddade av WPA2, kan motståndaren nu utföra en av de vanligaste attackerna mot öppna Wi-Fi-nätverk: injicera skadlig data i okrypterade HTTP-anslutningar. Till exempel kan en angripare dra fördel av denna situation för att injicera ransomware eller skadlig kod på webbplatser som offret besöker och som inte är krypterade.
Om offret använder WPA-TKIP- eller GCMP-krypteringsprotokollet istället för AES-CCMP är effekten exponentiellt mer kritisk.
2. Impact Krack -attack på Android och Linux
Krack-attacken påverkas starkast av version 2.4 och högre av wpa_supplicant, som är en vanligt förekommande Wi-Fi-klient på Linux.
I det här fallet installerar kunden en nollkrypteringsnyckel istället för att installera om den faktiska nyckeln. Denna sårbarhet verkar bero på en kommentar i Wi-Fi-standarden som föreslår att radering av krypteringsnyckeln tas ur minnet när den har installerats för första gången. När klienten nu får ett vidarebefordrat meddelande från WPA2 4-vägs-länken, kommer den att installera om den nu raderade krypteringsnyckeln och effektivt installera en nollnyckel.
När det gäller Android kan vi se att wpa_supplicant används, därför innehåller Android 6.0 och högre också denna sårbarhet som gör det enkelt att fånga upp och manipulera trafiken som skickas av dessa Linux- och Android -enheter.
Vi måste komma ihåg att för närvarande är 50% av Android -enheter sårbara för denna förödande variant av Krack, så vi måste vara försiktiga och vidta nödvändiga säkerhetsåtgärder för att undvika att bli ett annat offer.
CVE (Common Vulnerabilities and Exposures - Common Vulnerabilities and Exposures) har utvecklats för att spåra vilka produkter som påverkas av specifika fall av Krack -attacken på nyckelinstallationsnivån.
De aktuella CVE: erna är:
Peer-to-peer-krypteringsnyckel (PTK-TK) ominstallation vid 4-vägs handskakning
CVE-2017-13077
Gruppnyckel (GTK) ominstallation på 4-vägs handskakning
CVE-2017-13078
Integritetsgruppsnyckel (IGTK) Ominstallation på 4-vägs handslag
CVE-2017-13079
Group Key Reinstallation (GTK) i Group Key Exchange
CVE-2017-13080
Installera om integritetsgruppsnyckeln (IGTK) i gruppnyckelhälsningen
CVE-2017-13081
Acceptera en vidaresänd begäran för snabb BSS-överföringsassociering (FT) och ominstallation av Pairwise-krypteringsnyckeln (PTK-TK)
CVE-2017-13082 [
Installera om STK -nyckeln i PeerKey -processen
CVE-2017-13084
Installera om Tunnel Forward Link Configuration (TDLS) PeerKey (TPK) i TDLS Handshake
CVE-2017-13086
Gruppnyckel (GTK) ominstallation vid behandling av en trådlös nätverkshantering (WNM) vilolägesresponsram
CVE-2017-13087
Integritetsgruppsnyckel (IGTK) Ominstallation vid bearbetning av en trådlös nätverkshantering (WNM) vilolägesresponsram
CVE-2017-13088
Vi måste komma ihåg att varje CVE -identifierare representerar en specifik instans av en nyinstallationsattack. Detta innebär att varje CVE-ID beskriver ett specifikt protokoll sårbarhet och därför påverkas många leverantörer av varje enskilt CVE-ID, till exempel har Microsoft utvecklat CVE-2017-13080 för sina Windows 10-enheter.
FÖRSTORA
Med denna attack måste vi klargöra att det inte kommer att vara möjligt att stjäla lösenordet för vårt Wi-Fi-nätverk, men det kommer att kunna spionera på allt vi gör genom det, vilket är känsligt och Krack fungerar inte mot Windows eller iOS-enheter .
Vi kan se att Android är aktiverat med alla Kracks attackvägar:
FÖRSTORA
Med detta kan vi nämna att andra sårbara plattformar, i mindre skala, är OpenBSD, OS X 10.9.5 och macOS Sierra 10.12
4. Hur man skyddar oss från denna Krack -attack
Eftersom vi är en osynlig attack kommer vi aldrig att inse om vi blir attackerade av Krack så att vi kan ta följande som en god praxis:
- Använd om möjligt VPN -nätverk
- Kontrollera alltid att webbplatser använder det säkra HTTP -protokollet, HTTPS
- Se till att alla enheter är uppdaterade och uppdatera även routerns firmware
- Använd tillverkarens säkerhetsuppdateringar på följande länkar:
Snart kommer en serie skript att lanseras som kommer att vara till stor hjälp för att mildra effekterna av Krack och därmed möta detta nya hot.
Även om våra enheter är sårbara för denna attack, måste vi vara uppmärksamma på hur vi navigerar, hur vi anger personlig information och framför allt vara medvetna om nya systemuppdateringar.