Ca mai toți sysadminii leneși care se respectă ieri am început săptămâna calm urmărind cu atenție știrile și informațiile referitoare la KRACK. Pentru ăia din afara domeniului care mă citesc, KRACK este un atac al metodei de criptare folosită la momentul actual în rețelele wireless și vine de la Key Reinstallation AttaCK.

Mai întâi au apărut știrile pe sursele uzuale de știri din tech, arstehnica, the register. Apoi au fost preluate de către mass-media unde evident că știrea (de la început incompletă pentru că nu se știau foarte multe elemente) a fost denaturată și suna ceva de genul “toate rețelele wireless pot fi sparte”. Un pic mai târziu lucrurile s-au mai lămurit pentru că a apărut online site-ul creat de Mathy Vanhoef (care, alături de Frank Piessens a descoperit problema din protocolul wireless).

Ușor-ușor s-au lămurit problemele și am aflat că vulnerabili sunt în primul rând clienții, nu device-urile din infrastructură. Asta nu i-a împiedicat însă pe ăia din presă sau pe unii bloggeri să vorbească prostii în continuare și să bată apa în piuă cu update-urile pentru routerele de apartament. Mai pe seară s-a aflat că Microsoft a “astupat” vulnerabilitățile din Windows încă de pe 10 octombrie într-un update. Apple la fel, prin Linux au apărut deja patch-uri, singurii cu curul lăsat încă gol și în bătaia vântului fiind ăia cu Android (auch).

În ceea ce privește device-urile din infrastructură, singura vulnerabilitate este legată de activarea 802.11r Fast-BSS Transition, un amendament la standardul utilizat în conexiunile wireless care permite roaming-ul rapid al clienților între access-point-uri. Cu alte cuvinte o funcție care nu e activă și nici nu prea există în device-urile întâlnite prin casele oamenilor normali (că or fi câțiva care și-or fi făcut rețea de wireless-uri cu controller și pe acasă dacă au ditai vila). Așa că majoritatea update-urilor apărute pe echipamentele de infrastructură remediază DOAR vulnerabilitatea în cauză însă nu rezolvă problema clienților care nu au aplicate încă patch-uri.

Și aici e durerea mare. Pentru că cei doi care au anunțat vulnerabilitatea ieri public, au anunțat o parte din vendori încă de prin iulie iar Cert a trimis o notificare către toți vendorii prin august. Ăsta fiind și motivul pentru care Microsoft și alții au împins update-uri care remediază problemele înainte de a fi făcute publice vulnerabilitățile și metoda de atac. Însă nu toți. Există o grămadă de jucării din gama IoT afectate, de la televizoare până la diverși senzori și altele care încă nu au primit update-uri și nu se știe dacă vor primi curând. Și evident și Android care nu e folosit numai pe telefoane ci și pe alte device-uri (televizoare, media-playere, car audio etc.). Și cum bine știți, chiar dacă apare update oficial în Android, durează până când fiecare vendor în parte integrează update-ul în firmware-ul propriu. Plecând de aici, hai să ne aducem aminte că cel mai mare attack DDoS din istorie (până acum) a fost lansat utilizând botnet format din device-uri IoT. Se anunță vremuri interesante…

Ca posesor de Samsung S7 edge pot să spun că mârâi de aseară la faptul că Samsung nici măcar nu s-a deranjat să publice ceva (măcar un “închideți wireless-ul băi proștilor până când vă trimitem update). Și nu sunt singurii în situația asta. Cred că-i prima oară când înjur serios Androidul.

Nici o încheiere nu mi se pare mai potrivită decât cea de pe krackattacks.com :

So you expect to find other Wi-Fi vulnerabilities?

“I think we’re just getting started.”  — Master Chief, Halo 1