תוכן עניינים:
עדכון: מבקש Wpa (השיטה המשמשת להגדרת לחיצת יד של Wi-Fi בלינוקס) עודכן וכבר זמין. גוגל יישמה את התיקון הזה ועדכון האבטחה של ה- 6 בנובמבר 2017 יכלול אותו. Google Wifi יתקין את העדכון באופן אוטומטי ברגע שיהיה זמין.
להלן המאמר המקורי.
במשך שנים היינו כולנו תלויים בפרוטוקול WPA2 (Wi-Fi Protected Access) כדי לאבטח את רשתות ה- Wi-Fi שלנו. כל זה מסתיים היום.
חוקרת האבטחה מת'י וונהוף חשפה את מה שהוא תייג את KRACK, ניצול התוקף פגיעות בלחיצת היד של פרוטוקול WPA2 בו אתה ככל הנראה משתמש כדי להגן על ה- Wi-Fi שלך בבית ומיליוני עסקים קטנים ברחבי העולם משתמשים גם כן.
עדכון: הצהרה מגוגל שניתנה ל- The Verge אומרת שלמרות שכל מכשיר המותאם לרשת Wi-Fi מושפע, טלפונים אנדרואיד המשתמשים במרשמלו (אנדרואיד 6.0) ומעלה מהווים סיכון מיוחד והם חשופים לגרסא של ניצול שיכול לתמרן את התנועה. דגמים בקושחה ישנה רגישים בדרכים אחרות, אך הזרקת תנועה היא נושא רציני. צפו לתקן מגוגל בעתיד הקרוב.
ואנהוף דיבר בוועידת ACM בנושא אבטחת מחשבים ותקשורת בדאלאס והסביר כי ניצול זה עשוי לאפשר ריחוף של מנות, חטיפת חיבורים, הזרקת תוכנות זדוניות ואפילו פענוח הפרוטוקול עצמו. הפגיעות נחשפה לאנשים שצריכים לדעת דברים כאלה מוקדם בכדי למצוא פתרון, ו- US-CERT (צוות מוכנות לשעת חירום של ארצות הברית) פרסמה את העלון המוכן הזה:
US-CERT התוודע למספר פגיעויות בניהול המפתח בלחיצת היד הידנית של פרוטוקול האבטחה Wi-Fi Protected Access II (WPA2). ההשפעה של ניצול פגיעויות אלה כוללת פענוח, הפעלה חוזרת של מנות, חטיפת חיבור TCP, הזרקת תוכן HTTP ואחרים. שים לב כי כבעיות ברמת הפרוטוקול, רוב היישומים הנכונים או התקנים הנכונים של התקן יושפעו. ה- CERT / CC והחוקר המדווח KU Leuven יחשפו בפומבי את הפגיעויות הללו ב -16 באוקטובר 2017.
לדברי חוקר שעודכן על הפגיעות, זה עובד על ידי ניצול לחיצת יד ארבע כיוונית המשמשת להקמת מפתח להצפנת תנועה. במהלך השלב השלישי, ניתן לשלוח שוב את המפתח מספר פעמים. כאשר הוא נשלח שוב בדרכים מסוימות, ניתן לעשות שימוש חוזר בקריפטוגרפיה באופן שמערער לחלוטין את ההצפנה.
כיצד אוכל להישאר בטוח?
למען האמת, במשך היומיים הקרובים אין המון אפשרויות ציבוריות העומדות לרשותך. אנחנו לא מתכוונים לספר לכם איך זה עובד או היכן ניתן למצוא מידע נוסף על איך בדיוק ההתקפה עובדת. אבל אנחנו יכולים לומר לך מה אתה יכול (וצריך לעשות) כדי להישאר הכי בטוחים שאפשר.
- הימנע מ- Wi-Fi ציבורי בכל מחיר. זה כולל נקודות חמות Wi-Fi מוגנות של גוגל עד שגוגל אומרת אחרת. אם הספק שלך מכריח את הטלפון שלך ל- Wi-Fi כשהוא נמצא בטווח, בקר בפורום של הטלפון שלך כדי לבדוק אם יש דרך לעקוף אותו.
- התחבר רק לשירותים מאובטחים. דפי אינטרנט המשתמשים ב- HTTPS או בחיבור מאובטח אחר יכללו HTTPS בכתובת האתר. עליך ליצור קשר עם כל חברה ששירותיהם אתה משתמש ולשאול אם החיבור מאובטח באמצעות TLS 1.2, ואם כן הקשר שלך עם אותו שירות בטוח לעת עתה.
- אם יש לך שירות VPN בתשלום שאתה סומך עליו, עליך לאפשר את החיבור במשרה מלאה עד להודעה חדשה. התנגד לפיתוי למהר ולהירשם לשירות VPN בחינם, עד שתוכל לגלות אם הם נקבעו וישמור על אבטחת הנתונים שלך. הרוב לא.
- השתמש ברשת חוטית אם לשני הנתב והמחשב שלך יש מקום לחיבור כבל Ethernet. ניצול זה משפיע רק על תנועת 802.11 בין נתב Wi-Fi למכשיר מחובר. כבלי אתרנט זולים יחסית וכדאי להחריף את פני השטיח. חפש כבל מפרט Cat6 או Cat5e ולא אמור להיות צורך בתצורה לאחר החיבור אליו.
- אם אתה משתמש ב- Chromebook או ב- MacBook, מתאם אתרנט USB זה הוא פלאג-און-הפעל.
- תירגע.
מה יכול לקרות אם אני נמצא ברשת מותקפת?
גרזן זה אינו יכול לגנוב את פרטי הבנק שלך או את סיסמת Google (או כל מידע על חיבור מאובטח כראוי המשתמש בהצפנה מקצה לקצה). בעוד שפורץ עשוי להצליח ללכוד את הנתונים שאתה שולח ומקבל, אף אחד לא יכול לשמש אותם ואפילו לקרוא אותו. אינך יכול אפילו לקרוא אותו אלא אם כן אתה מאפשר לטלפון או למחשב שלך לפענח ולבטל את הטרחה קודם.
תוקף עשוי להיות מסוגל לעשות דברים כמו לנתב מחדש תנועה ברשת Wi-Fi או אפילו לשלוח נתונים מזויפים במקום הדבר האמיתי. המשמעות היא משהו לא מזיק כמו הדפסת אלף עותקים של ג'יבריש במדפסת ברשת או משהו מסוכן כמו שליחת תוכנות זדוניות כתשובה לבקשה לגיטימית למידע או לקובץ. הדרך הטובה ביותר להגן על עצמך היא לא להשתמש בכלל ב- Wi-Fi עד שתפנה אחרת.
אהה חרא שזה רע כן. pic.twitter.com/iJdsvP08D7
- ⚡️ אוון וויליאמס (@ow) 16 באוקטובר 2017
בטלפונים המריצים אנדרואיד 6.0 מרשמלו וחדשים יותר, הפגיעות של KRACK יכולה לאלץ את חיבור ה- Wi-Fi ליצור מפתח הצפנה קל להפליחה להפליא של 00: 00: 00: 00: 00. עם משהו כל כך פשוט, קל מבחוץ מבחוץ לקרוא את כל התעבורה שמגיעה אל לקוח וממנו, כמו סמארטפון או מחשב נייד.
אבל אם תנועה זו מקודדת באמצעות פרוטוקולי HTTPS ו- TLS המאובטחים (ורוב התעבורה באינטרנט צריכה להיות בימינו), הנתונים שהם מכילים מוצפנים מקצה לקצה, ואפילו אם יורטו אותם, לא ניתן יהיה לקרוא אותם.
האם התיק שלך טופל כדי לתקן את הפגיעות של KRACK?
אומרים כי ל- Ubiquiti כבר יש תיקון מוכן לפריסה עבור הציוד שלהם, ואם זה יתברר כנכון, עלינו לראות אותו ממש מחברות כמו גוגל או אפל בקרוב מאוד. חברות אחרות, פחות מודעות לאבטחה עשויות להימשך זמן רב יותר ונתבים רבים לעולם לא יראו תיקון. יש חברות שמייצרות נתבים דומות לחברות שמייצרות טלפונים אנדרואיד: כל רצון לתמוך במוצר נפסק כאשר הכסף שלך מגיע לבנק שלהם.
האם זה באמת משנה?
זה לא מקרה בו אתה צריך להרגיש חסין מכיוון שהנתונים שלך לא מספיק בעלי ערך. מרבית הפיגועים המשתמשים בניצול זה יהיו אופורטוניסטים. ילדים שגרים בבניין שלך, דמויות מפוקפקות שמסעות את השכונה ומחפשות מכשירי Wi-Fi ומייצבי שובבות כללית כבר סורקים סביבם רשתות Wi-Fi.
WPA2 עבר חיים ארוכים ופוריים עם ניצול ציבורי עד היום. הנה מקווה שהתיקון, או שיבוא לאחר מכן, יוכל ליהנות מאותו דבר. להישאר בטוח!
אנו עשויים להרוויח עמלה לרכישות באמצעות הקישורים שלנו. למד עוד.
