Odată cu creșterea tehnologiei, toate informațiile noastre sunt expuse victimei unui anumit tip de atac și, deși credem că nu ni se va întâmpla niciodată, trebuie să fim atenți și să recunoaștem că atacatorii își propagă obiectivele fără a selecta victimele.
Am vorbit recent și am văzut cum Ransomware a afectat mii de utilizatori și companii din întreaga lume, deturnându-și literalmente datele și cerând o recompensă monetară care ar crește zi de zi dacă revendicările sale nu ar fi respectate.
Ransomware-ul a fost în cele din urmă controlat de diferitele actualizări de securitate, dar a lăsat o amprentă asupra problemelor de securitate și când am crezut că totul este relativ calm, apare o nouă amenințare care are, fără îndoială, un impact global datorită tipului său de răspândire și țintei de atac și este cunoscutul atac Krack care a fost descoperit pe 16 octombrie anul curent.
Atacul Krack este o vulnerabilitate KRACK în WPA2 care, știm cu toții, este cea mai comună metodă de securitate în majoritatea routerelor fără fir lansate din 2004. Natura sa permite hackerilor să se infiltreze într-o conexiune Wi-Fi complet sigură fără a anunța victima până când nu este prea târziu pentru ca aceștia să facă ceva pentru a lua măsuri de securitate și din cauza îngrijorării cu acest atac simplu, marea majoritate a dispozitivelor fără fir de astăzi, inclusiv a dispozitivelor noastre mobile, folosesc WPA2 pentru a negocia intrarea într-o rețea.
Ce este și cum funcționează atacul Krack?Am menționat că WPA2, este un protocol conceput pentru a securiza toate rețelele Wi-Fi protejate în prezent, ei bine, cu Krack, atacatorul din raza de acțiune a victimei poate exploata aceste puncte slabe folosind atacuri cheie de reinstalare (KRACK). Adică atacatorii pot folosi această nouă tehnică de atac pentru a citi informații care anterior trebuia să fie criptate în siguranță. Acesta poate fi folosit pentru a fura informații confidențiale, cum ar fi numerele cardului de credit, parolele, mesajele de chat, e-mailurile, fotografiile etc.
Atacul funcționează împotriva tuturor rețelelor Wi-Fi protejate moderne și, în funcție de configurația rețelei, este posibilă și injectarea și manipularea datelor. De exemplu, un atacator ar putea injecta ransomware sau alte programe malware pe site-uri web doar prin conectarea la rețeaua Wi-Fi.
Două dintre sistemele care sunt cele mai vulnerabile la acest atac sunt Android, începând cu versiunea 6.0 și Linux, deoarece este posibilă reinstalarea unei chei de criptare cu zero date. Când atacați alte dispozitive, este mai dificil să decriptați toate pachetele, deși un număr mare de pachete pot fi decriptate.
Următorul videoclip explică în detaliu modul în care atacatorul poate decripta toate datele transmise de victimă:
1. Cum funcționează în detaliu atacul Krack
Atacul Krack este direcționat către procesul cu 4 căi al protocolului WPA2 care are loc atunci când un client dorește să se alăture unei rețele Wi-Fi protejate și este utilizat pentru a confirma că atât clientul, cât și punctul de acces au acreditările corecte.
Cu acest proces cu 4 căi, se negociază o nouă cheie de criptare care va fi utilizată pentru a cripta tot traficul ulterior. În prezent, toate rețelele Wi-Fi protejate moderne utilizează protocolul de legătură în 4 direcții, ceea ce implică faptul că toate aceste rețele sunt afectate de atacul Krack sau de o variantă a acestuia. De exemplu, atacul funcționează împotriva rețelelor Wi-Fi personale și de afaceri, împotriva vechiului WPA și a celui mai recent standard WPA2 și chiar împotriva rețelelor care folosesc doar criptarea AES. Toate aceste atacuri împotriva WPA2 utilizează o tehnică nouă numită atac de reinstalare cheie (KRACK) care constă din pașii următori:
Atacuri de reinstalare cheie - Prezentare generală la nivel înaltÎntr-un atac de reinstalare a cheii, atacatorul păcălește victima în reinstalarea unei chei care este deja utilizată. Face acest lucru prin manipularea și redarea mesajelor de salut criptografice. Când victima reinstalează cheia, parametrii asociați, cum ar fi numărul de pachet de transmisie incremental și numărul de pachet de primire vor fi resetați la valoarea inițială. Practic, pentru a asigura securitatea, o cheie ar trebui instalată și utilizată o singură dată. Din păcate, acest tip de practică nu este garantat de protocolul WPA2.
Atacuri cheie de reinstalare - exemplu concret împotriva procesului cu 4 căi WPA2Când un client se alătură unei rețele Wi-Fi, acesta rulează linkul cu 4 căi pentru a negocia o nouă cheie de criptare. Veți instala această cheie după ce primiți mesajul 3 de la linkul cu 4 direcții și, odată ce cheia este instalată, aceasta va fi utilizată pentru a cripta cadre de date normale folosind un protocol de criptare.
Cu toate acestea, deoarece mesajele pot fi pierdute sau eliminate, punctul de acces (AP) va retransmite mesajul 3 dacă nu a primit un răspuns adecvat ca confirmare. Ca urmare, clientul poate primi un mesaj de 3 ori de mai multe ori și de fiecare dată când primește acest mesaj, va reinstala aceeași cheie de criptare și, prin urmare, va reseta numărul de pachete de transmisie incremental și va primi contorul de redare utilizat de protocolul de criptare.
Ca urmare, prin forțarea reutilizării pachetului de transmisie și în acest fel, protocolul de criptare poate fi atacat, de exemplu, pachetele pot fi reproduse, decriptate și / sau falsificate. Aceeași tehnică poate fi folosită și pentru a ataca cheia de grup, PeerKey, TDLS și legătura de tranziție BSS rapidă.
ImpactDecriptarea pachetelor este posibilă deoarece un atac de reinstalare a cheii determină resetarea numerelor de transmisie (uneori numite și numere de pachete sau vectori de inițializare). Ca urmare, aceeași cheie de criptare este utilizată cu valorile pachetelor de transmisie care au fost deja utilizate în trecut. La rândul său, acest lucru face ca toate protocoalele de criptare WPA2 să reutilizeze fluxul de chei atunci când criptează pachete, permițând facilitatea de atac Krack.
Capacitatea de decriptare a pachetelor poate fi utilizată pentru decriptarea pachetelor TCP SYN, permițând unui adversar să obțină numerele de secvență TCP ale unei conexiuni și să deturneze conexiunile TCP. Drept urmare, chiar dacă suntem protejați de WPA2, adversarul poate efectua acum unul dintre cele mai frecvente atacuri împotriva rețelelor Wi-Fi deschise: injectarea de date rău intenționate în conexiunile HTTP necriptate. De exemplu, un atacator poate profita de această situație pentru a injecta ransomware sau malware pe site-urile pe care victima le vizitează și care nu sunt criptate.
Dacă victima folosește protocolul de criptare WPA-TKIP sau GCMP, în locul AES-CCMP, impactul este exponențial mai critic.
2. Impactul atacului Krack pe Android și Linux
Atacul Krack este cel mai puternic afectat de versiunea 2.4 și mai mare a wpa_supplicant, care este un client Wi-Fi utilizat în mod obișnuit pe Linux.
În acest caz, clientul va instala o cheie de criptare zero în loc să reinstaleze cheia reală. Această vulnerabilitate pare a se datora unui comentariu din standardul Wi-Fi care sugerează ștergerea cheii de criptare din memorie odată ce a fost instalată pentru prima dată. Când clientul primește acum un mesaj transmis de la linkul WPA2 în 4 direcții, acesta va reinstala cheia de criptare ștearsă acum, instalând efectiv o cheie zero.
În cazul Android, putem vedea că se folosește wpa_supplicant, prin urmare, Android 6.0 și versiunile ulterioare conțin, de asemenea, această vulnerabilitate, ceea ce face simplă interceptarea și manipularea traficului trimis de aceste dispozitive Linux și Android.
Trebuie să avem în vedere că în prezent 50% dintre dispozitivele Android sunt vulnerabile la această variantă devastatoare a lui Krack, deci trebuie să fim prudenți și să luăm măsurile de securitate necesare pentru a evita să fim o altă victimă.
CVE (Vulnerabilități și expuneri comune - Vulnerabilități și expuneri comune) a fost dezvoltat pentru a urmări ce produse sunt afectate de instanțe specifice ale atacului Krack la nivelul reinstalării cheie.
Actualele CVE disponibile sunt:
Reinstalarea cheii de criptare peer-to-peer (PTK-TK) pe strângere de mână în 4 direcții
CVE-2017-13077
Reinstalarea cheii de grup (GTK) pe strângere de mână în 4 direcții
CVE-2017-13078
Reinstalarea cheii de grup de integritate (IGTK) pe o strângere de mână în 4 direcții
CVE-2017-13079
Reinstalarea cheii de grup (GTK) în schimbul de chei de grup
CVE-2017-13080
Reinstalarea cheii de grup de integritate (IGTK) în salutul cheii de grup
CVE-2017-13081
Acceptarea unei cereri retransmise pentru reasocierea rapidă a tranziției BSS (FT) și reinstalarea cheii de criptare în perechi (PTK-TK)
CVE-2017-13082 [
Reinstalarea cheii STK în procesul PeerKey
CVE-2017-13084
Reinstalarea PeerKey (TPK) Tunel Forward Link Configuration (TDLS) în TDLS Handshake
CVE-2017-13086
Reinstalarea cheii de grup (GTK) la procesarea unui cadru de răspuns în modul Repaus de gestionare a rețelei wireless (WNM)
CVE-2017-13087
Reinstalarea cheii de grup de integritate (IGTK) când se procesează un cadru de răspuns în modul Repaus de gestionare a rețelei wireless (WNM)
CVE-2017-13088
Trebuie să avem în vedere că fiecare identificator CVE reprezintă o instanță specifică a unui atac de reinstalare a cheii. Aceasta înseamnă că fiecare ID CVE descrie o vulnerabilitate specifică a protocolului și, prin urmare, mulți furnizori sunt afectați de fiecare ID CVE individual, de exemplu Microsoft a dezvoltat CVE-2017-13080 pentru dispozitivele lor Windows 10.
MARI
Cu acest atac trebuie să clarificăm că nu va fi posibil să furăm parola rețelei noastre Wi-Fi, dar va putea spiona tot ceea ce facem prin el, ceea ce este delicat și Krack nu funcționează împotriva dispozitivelor Windows sau iOS .
Putem vedea că Android este activat cu toate căile de atac ale lui Krack:
MARI
Cu aceasta putem menționa că alte platforme vulnerabile, la o scară mai mică, sunt OpenBSD, OS X 10.9.5 și macOS Sierra 10.12
4. Cum să ne protejăm de acest atac Krack
Fiind un atac invizibil, nu ne vom da seama niciodată dacă suntem atacați de Krack, astfel încât să putem lua următoarele ca o bună practică:
- Dacă este posibil, utilizați rețele VPN
- Verificați întotdeauna dacă site-urile utilizează protocolul HTTP securizat, HTTPS
- Asigurați-vă că toate dispozitivele sunt actualizate și, de asemenea, actualizați firmware-ul routerului
- Utilizați patch-urile de securitate ale producătorilor la următoarele linkuri:
În curând, va fi lansată o serie de scripturi care vor fi de mare ajutor pentru a atenua impactul lui Krack și, astfel, să facă față acestei noi amenințări.
Deși dispozitivele noastre sunt vulnerabile la acest atac, trebuie să fim atenți la modul în care navigăm, la modul în care introducem informații personale și, mai ales, să fim conștienți de noile actualizări ale sistemului.
