Pastrati-va calmul si Wi-Fi-ul pornit: O abordare obisnuita a unei probleme neobisnuite.

Pastrati-va calmul si Wi-Fi-ul pornit: O abordare obisnuita a unei probleme neobisnuite.

Noul exploit se numeste KRACK, iar detaliile despre aceasta vulnerabilitate au fost publicate intr-un mod “white-hat” autentic, de catre grupul de cercetare Imec-DistriNet al KU-Leuven. Mathy Vanhoef a identificat pana la 10 vulnerabilitati in protocoalele WPA/WPA2 ce securizeaza toate retele moderne Wi-Fi protejate. Aceste vulnerabilitati au fost documentate si raportate responsabil, intr-o maniera ce permite industriei sa pregateasca “update”-uri proactiv.

Ruckus Wireless a pregatit o serie de intrebari si raspunsuri intalnite frecvent pentru a adresa potentialele nelamuriri ce pot aparea: KRACK Vulnerability – Ruckus FAQ

In mare, exploit-ul adreseaza modul in care protocolul WPA/WPA2 utilizeaza cererile de reinstalare ale cheilor de criptare folosite pentru codificarea/decodificarea traficului dintre un client wireless si AP. Aceste vulnerabilitati pot fi cuprinse in 2 grupuri. Primul set poate permite reinstalarea unei chei PTK (Pairwise Transient Key), a unei chei de grup, sau a unei chei de integritate pe oricare dintre client sau access point wireless. A nu se confunda cu PSK-ul (Pre-shared Key) sau cu credentialele utilizate la autentificarea intr-o retea Wi-Fi, cheia PTK este derivata ca parte a criptarii unei sesiuni client individuale, fiind o cheie temporara ce variaza atat in functie de clienti, cat si de sesiuni diferite.

Al doilea set de vulnerabilitati poate afecta clientii wireless ce suporta oricare din standardele 802.11z (Extensions to Direct-Link Setup) sau 802.11v (Wireless Network Management). Si acesta poate permite reinstalarea unei chei PTK, a unei chei de grup, sau a unei chei de integritate.

Daca o cheie compromisa este instalata (printr-o procedura de reinstalare), un atacator poate decripta, in teorie, comunicatia dintre un client si AP. A se retine, totusi, ca fiecare client wireless genereaza o cheie de criptare temporara diferita, utilizata cu un AP, fiind astfel, mai degraba, un mecanism de atac specific pentru o anumita tinta, decat global.

Ce inseamna toate astea pentru un utilizator?

  1. Nu va panicati. Nu, nu trebuie sa va inchideti reteaua Wi-Fi. Internetul nu a suferit echivalentul unui atac EMP.
    1. Vulnerabilitatile exista la ambele parti ale relatiei de tip “4-way handshake” (client si AP) si amandoua necesita un “patch”.
    2. Microsoft, Apple, Google, Intel si alti vendori de renume lucreaza deja de cateva luni pentru a rezolva aceste vulnerabilitati.
    3.  Pana la aparitia update-urilor pentru clienti, dezactivarea 802.11r poate contribui la impiedicarea atacurilor prin eliminarea uneia dintre vulnerabilitati (“Fast BSS Transitions”, cunoscut si ca roaming 802.11r).
    4. Unele tipuri de clienti, precum Android 6, sunt mai vulnerabile decat altele.
    5. Clientii iOS si Windows nu sunt susceptibili la primul set de exploit-uri pentru ca nu accepta reincercari ale mesajului 3 de “hand-shake”.
  2. Nu pica cerul. In primul rand, atacul trebuie sa se petreaca “on-premises”. In al doiea, atacatorul poate decripta traficul client-catre-AP, dar nu poate injecta trafic arbitrar intr-o sesiune WPA2-AES si nici nu poate obtine o cheie sau un “token” de autentificare.
    1. Pentru a reusi, atacatorul ar avea nevoie sa fie on-site si in posesia catorva tool-uri hardware si software specializate. In plus, in acest moment, nu exista cod inregistrat public ce ar putea specula aceste atacuri.
    2. Toate certificatele si parolele WiFi curente sunt in continuare securizate. Atacul nu poate decripta parole.
    3. Desi retelele ce utilizeaza TKIP sunt vulnerabile la injectarea pachetelor in fluxul de comunicare, AES nu permite injectarea de cod. (Mecanismele TKIP si WEP au fost compromise de ani intregi, deci daca inca le mai aveti prezente in retea, ar cam fi cazul sa luati masuri pentru a le elimina).
    4. Un atac de tip MitM (Man-in-the-Middle) este necesar anterior executarii atacului, pentru a preveni/intercepta cel de-al 4-lea mesaj EAPOL, pas obligatoriu in fortarea retransmisiei mesajului al 3-lea din “hand-shake”. Ceea ce inseamna ca un atacator trebuie sa impersoneze AP-ul prin “MAC spoofing”.
    5. Conexiunile de tip “mesh” si PtP pot fi vulnerabile.

Pasi de minimizare a impactului:

  1. Preveniti riscurile cauzate de un atac MitM. AP-urile Ruckus au mecansimul de “rogue detection” activ “by default” si clasifica automat MAC-urile “spoofed” ca tip de atac ce genereaza, inclusiv, alarme catre administratori. Aditional, se poate activa mecanismul de deautentificare al clientilor conectati la un “rogue AP”, conditie necesara in cadrul atacului.
  2. Eliminati vulnerabilitatea 802.11r. Ruckus dezactiveaza 802.11r “by default” in cadrul tuturor SSID-urilor. Daca il aveti deja activ in retea, luati in considerare dezactivarea acestuia pana va aparea o corectare a acestei vulnerabilitati.
  3. AP-urile Ruckus au o protectie aditionala impotriva atacurilor MitM pe conexiunile de tip “mesh” – pentru ca un atacator sa poata compromite un link Ruckus Mesh, ar avea nevoie de unelte complexe de hacking. Pentru o securizare aditionala, functionalitatea de “mesh” poate fi dezactivata per nod, daca nu este necesara.
  4. Accesati Ruckus Security Bulletin pentru a fi la curent cu masurile Ruckus de securizare si cu informatiile la zi legate de “patch releases”.

Protocolul WPA/WPA2 nu este fudamental defectuos. Ceea ce inseamna ca expunerea este limitata, si corectabila, fara a renunta complet la WPA2. Patch-uri de software/firmware care adreseaza vulnerabilitatile sunt deja eliberate de producatori. Este important sa retineti ca, desi fezabile, aceste atacuri au nevoie atat de acces fizic in retea, cat si de un nivel de cunostinte si de o complexitate operationala, intr-atat de ridicate, incat majoritatea atacatorilor ar putea fi descurajati. Totusi, ca procedeu de securizare al retelelor wireless, se recomanda auditarea regulata a infrastructurii de securitate si a procedurilor, pentru a asigura complianta cu “best-practice”-urile din industrie si recomandarile de vendor.

Pentru o perspectiva avizata asupra impactului vulnerabilitatilor KRACK, puteti citi acest Wi-Fi vendor neutral blog, scris de cunoscutul analist Wi-Fi, Peter Mackenzie, si acest post al arhitectului de securitate Kevin Beaumont.

Articol comunicat de Ruckus Wireless.

 

Share this post