Keep calm and don’t smoke krack

Ca mai toți sysadminii leneși care se respectă ieri am început săptămâna calm urmărind cu atenție știrile și informațiile referitoare la KRACK. Pentru ăia din afara domeniului care mă citesc, KRACK este un atac al metodei de criptare folosită la momentul actual în rețelele wireless și vine de la Key Reinstallation AttaCK.

Mai întâi au apărut știrile pe sursele uzuale de știri din tech, arstehnica, the register. Apoi au fost preluate de către mass-media unde evident că știrea (de la început incompletă pentru că nu se știau foarte multe elemente) a fost denaturată și suna ceva de genul “toate rețelele wireless pot fi sparte”. Un pic mai târziu lucrurile s-au mai lămurit pentru că a apărut online site-ul creat de Mathy Vanhoef (care, alături de Frank Piessens a descoperit problema din protocolul wireless).

Ușor-ușor s-au lămurit problemele și am aflat că vulnerabili sunt în primul rând clienții, nu device-urile din infrastructură. Asta nu i-a împiedicat însă pe ăia din presă sau pe unii bloggeri să vorbească prostii în continuare și să bată apa în piuă cu update-urile pentru routerele de apartament. Mai pe seară s-a aflat că Microsoft a “astupat” vulnerabilitățile din Windows încă de pe 10 octombrie într-un update. Apple la fel, prin Linux au apărut deja patch-uri, singurii cu curul lăsat încă gol și în bătaia vântului fiind ăia cu Android (auch).

În ceea ce privește device-urile din infrastructură, singura vulnerabilitate este legată de activarea 802.11r Fast-BSS Transition, un amendament la standardul utilizat în conexiunile wireless care permite roaming-ul rapid al clienților între access-point-uri. Cu alte cuvinte o funcție care nu e activă și nici nu prea există în device-urile întâlnite prin casele oamenilor normali (că or fi câțiva care și-or fi făcut rețea de wireless-uri cu controller și pe acasă dacă au ditai vila). Așa că majoritatea update-urilor apărute pe echipamentele de infrastructură remediază DOAR vulnerabilitatea în cauză însă nu rezolvă problema clienților care nu au aplicate încă patch-uri.

Și aici e durerea mare. Pentru că cei doi care au anunțat vulnerabilitatea ieri public, au anunțat o parte din vendori încă de prin iulie iar Cert a trimis o notificare către toți vendorii prin august. Ăsta fiind și motivul pentru care Microsoft și alții au împins update-uri care remediază problemele înainte de a fi făcute publice vulnerabilitățile și metoda de atac. Însă nu toți. Există o grămadă de jucării din gama IoT afectate, de la televizoare până la diverși senzori și altele care încă nu au primit update-uri și nu se știe dacă vor primi curând. Și evident și Android care nu e folosit numai pe telefoane ci și pe alte device-uri (televizoare, media-playere, car audio etc.). Și cum bine știți, chiar dacă apare update oficial în Android, durează până când fiecare vendor în parte integrează update-ul în firmware-ul propriu. Plecând de aici, hai să ne aducem aminte că cel mai mare attack DDoS din istorie (până acum) a fost lansat utilizând botnet format din device-uri IoT. Se anunță vremuri interesante…

Ca posesor de Samsung S7 edge pot să spun că mârâi de aseară la faptul că Samsung nici măcar nu s-a deranjat să publice ceva (măcar un “închideți wireless-ul băi proștilor până când vă trimitem update). Și nu sunt singurii în situația asta. Cred că-i prima oară când înjur serios Androidul.

Nici o încheiere nu mi se pare mai potrivită decât cea de pe krackattacks.com :

So you expect to find other Wi-Fi vulnerabilities?

“I think we’re just getting started.”  — Master Chief, Halo 1

 

Leave a Reply

7 Comments

  1. Bogdand

    Booon, păi pentru “sysadmin leneși și posesori de s7 edge” am înțeles dar pentru profani? două întrebări :
    1. posesor de s7, note3 ce poate face (asta în cazul în care mai are și mobile banking pe telefon)?
    2. pentru routerul pocnitoare ubee aparținând upc înțeleg că nu este o problema?
    O scurtă lămurire cu mulțumirile de rigoare!

    • Radu

      1. Închizi wireless-ul, folosești doar mobile data. Cel puțin pâna la următorul update în care să fii sigur că rezolvă problemele astea.
      2. Cu routerul nu, dar dacă ai un smart tv, un media player, altceva, cu alea sunt probleme.

  2. Raiiar

    Citeam pe site-ul cert.org că Samsung a reglat-o pe 12 octombrie.
    Nu știu amănunte.

  3. Licaon_Kter

    32% Android 6
    15.8% Android 7
    0.2% Android 8

    Cate sunt telefoane care nu mai primesc update de >1an deja?
    Sa facem pariu cati din astia or sa primesaca fixu?

    eh, de’ar fi asta un “StageFright 2017″…. visez

    • Radu

      Și să ne mai gândim și că în scurt timp probabil vor apărea tool-uri cu care va fi floare la ureche să “testezi” vulnerabilitățile…

  4. ABS

    Daca inteleg corect ce zice nenea ala pe site, vulnerabilitatea apare in momentul handshake-ului. Adica poti fi atacat doar cand incerci sa te conectezi la un wifi, corect?
    Adica nu mergi pe strada linistit, cu telefonul in buzunar cu wifi-ul pornit, si te ataca unu’ si iti fura parolele.
    Sau am inteles eu gresit?

Next ArticleMâna care-ntinde cartea