כמה מילים לגבי חולשת האבטחה למנגנון ההצפנה WPA2 שפורסמה היום

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
NetCHEIF (פותח השרשור)
סמל אישי של משתמש
גורו רשתות
גורו רשתות
הודעות: 2678
הצטרף: ספטמבר 2012
מיקום: מרכז
נתן תודות: 10 פעמים
קיבל תודות: 597 פעמים
יצירת קשר:

כמה מילים לגבי חולשת האבטחה למנגנון ההצפנה WPA2 שפורסמה היום

נושא שלא נקרא #1 

כמה מילים לגבי חולשת האבטחה למנגנון ההצפנה WPA2 שפורסמה היום:

1. מדובר בחולשת אבטחה חמורה הנוגעת במכשירי הקצה - כלומר ברוב המקרים בטלפוניים סלולריים - ואינה נוגעת לנתבים ולנקודות הגישה האלחוטיות. חומרתה נובעת מכך שהיא משפיעה על מאות מיליונים של מכשירי קצה מהם ניתן לשאוב מידע המועבר בתקשורת אלחוטית מסוג WIFI.

2. התיקון של החולשה צריך להתבצע על ידי עדכון תוכנה למכשיר הקצה. כיוון שמדובר כאן במכשירים סלולריים שעדכון over the air הוא מנגנון סטנדרטי, הוא ידחף על ידי היצרניות. בשלב זה (נכון למועד כתיבת הפוסט) אף חברה עדיין לא פרסמה עדכון שכזה, אך סביר שהגדולות - סמסונג, LG, גוגל ואחרות - יעשו זאת בקרוב.

3. על מנת לממש את החולשה על התוקף להיות בסמיכות למכשיר הקצה ובטווח הקליטה שלו מהנתב או מנקודת הגישה. המשמעות היא שהתקיפה, אם תהיה כזו, תתבצע מול יעדים ספציפיים שהתוקף חושק במידע המועבר באופן אלחוטי ממכשיר הקצה שלהם. חשוב לזכור שבשלב הזה (נכון למועד כתיבת הפוסט) אין כלי תוכנה "מן המדף" לשימוש בחולשה אך סביר שתוך ימים יפותחו כאלה.

4. עד להפצה של העדכונים הצפויים, דרכי ההתגוננות המומלצות הן שתיים - מעבר לשימוש ב-VPN או המנעות משימוש ב-WIFI ומעבר לשימוש בחיבור DATA סלולרי גם במקומות בהם יש נתב.
באתר http://www.netcheif.com תוכלו למצוא מדריכים וסקירות על רשתות ביתיות, חיבורי אינטרנט ונתבים.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #2 

התקפה ממש יפה. למי שמעוניין בעוד פרטים טכניים: https://www.krackattacks.com/

אוסיף על מה ש-netcheif ציין למעלה: (אנא תקנו אותי אם אני טועה)

כל עוד שמתמשים ב-AES-CCMP (אני משער שזה פשוט לבחור AES בראוטר), התוקף יכול להאזין ולפענח את המידע המועבר על הרשת האלחוטית. דבר שכמובן פרצת אבטחה רצינית ו-WPA2 אמור בהחלט להגן נגד פענוח המידע.

אבל אם משתמשים ב-TKIP (או GCMP שזה חלק מ-WiGig), ההתקפה הרבה יותר חמורה ואפשר לעשות התקפת man-in-the-middle שזה חמור ביותר. יש להם סרט קצר שמראה איך בעזרת ההתקפה כזו הם יכולים לקבל פרטי כניסה לאתר שכביכול מוגן ב-https. במקרה הזה ההתקפה מסתמכת על זה שה-https באתר אופציונלית ולא תעבוד על אתרים שמוגנים כמו שצריך אבל עדיין כפי שאפשר להתרשם מהסרט זו התקפה חמורה ביותר.

הנה קישור לסרט: (למיטב הבנתי זה מסתמך גם על חוסר שימוש ב-AES + האופציונליות של https באתר המדובר)


עריכה: אוסיף גם את הציטוט הבא מה-Q&A באתר שקישרתי לעיל:
Should I temporarily use WEP until my devices are patched?
NO! Keep using WPA2.
...

GuyKhmel
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 224
הצטרף: יולי 2010
נתן תודות: 37 פעמים
קיבל תודות: 31 פעמים

ש

נושא שלא נקרא #3 

כמו שציינת, הבעיה היא עם מכשירי הקצה, אך לפי מה שהבנתי אפשרי גם לפתור את הנושא ע״י עדכון לראוטרים עצמם.

האם באופן כללי, אנחנו צפויים לראות גם עדכונים לראוטרים השונים המטפלים בנושא הזה?

jtk
חבר מביא חבר
חבר מביא חבר
הודעות: 4973
הצטרף: דצמבר 2012
נתן תודות: 454 פעמים
קיבל תודות: 533 פעמים

נושא שלא נקרא #4 

עדכונים ל-Windows 7 ומעלה:
https://portal.msrc.microsoft.com/en-US ... 2017-13080

עדכון לטלפונים סלולריים? רק בהנחה שזה דגם חדש יחסית/יקר, אחרת היצרנים לא טורחים.

NetCHEIF (פותח השרשור)
סמל אישי של משתמש
גורו רשתות
גורו רשתות
הודעות: 2678
הצטרף: ספטמבר 2012
מיקום: מרכז
נתן תודות: 10 פעמים
קיבל תודות: 597 פעמים
יצירת קשר:

Re: ש

נושא שלא נקרא #5 

@GuyKhmel
·
בפועל מדובר כאן על 10 חולשות (מ-CVE-2017-13077 עד CVE-2017-13086). מתוך 10 החולשות רק אחת – CVE-2017-13082 – רלוונטית לנתבים ונקודות גישה. באמצעות החולשה הזו מתאפשרת ההזרקה החוזרת של המפתחות אבל נראה שהתיקון שלה, ללא ביצוע תיקונים לחולשות הקיימות בתחנות הקצה, לא ימנע את מתקפה המתבססת על אוסף החולשות שנמצאו. מצד שני – עדכונים לתחנות הקצה שיתקנו את החולשות שנמצאו – ייתרו את העדכון לנתבים ונקודות הגישה.
באתר http://www.netcheif.com תוכלו למצוא מדריכים וסקירות על רשתות ביתיות, חיבורי אינטרנט ונתבים.

Hava972
עוסק בתחום
עוסק בתחום
הודעות: 683
הצטרף: נובמבר 2010
נתן תודות: 7 פעמים
קיבל תודות: 58 פעמים

נושא שלא נקרא #6 

איך זה ישפיע על מי שמשתמש ב802.1x?
הרי גם אם יפוענך היוזר ולא רק הססמא הוא מוגבל למשתמש אחד ואפילו מוצמד לmac (אם הוגדר כך)

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #7 

טוב, זה הייה מהיר. הראשונים שהגיבו ופירסמו כבר את הגירסת תוכנה שכוללת את האמצעי-נגד החולשה בהקשר של AP side workaround for key reinstallation attacks , הם Lede Project וב FirmWare העדכני שלהם כבר ייושמה גירסה של hostap שמתמודדת עם האיום זה גם בהקשר של 802.1x EAP Fast Transition . מצורף צילום מסך מאחת הנקודות גישה שלי מאלה שכבר עברו את השידרוג הנדרש ומהלקוח:

ha_miki
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 252
הצטרף: יוני 2006
נתן תודות: 2 פעמים
קיבל תודות: 89 פעמים

נושא שלא נקרא #8 

גם יוביקוויטי הוציא כבר תיקון ל AP שלהם

tbind
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 432
הצטרף: נובמבר 2007
נתן תודות: 471 פעמים
קיבל תודות: 46 פעמים

נושא שלא נקרא #9 

אינטל הוציאה ב17.10 עדכון לדרייברי wifi לwindows שלפי רשימת השינויים נראה שמכיל תיקון.

l33cher
חבר ותיק
חבר ותיק
הודעות: 1809
הצטרף: יולי 2009
מיקום: לה לה לנד
נתן תודות: 14 פעמים
קיבל תודות: 61 פעמים

נושא שלא נקרא #10 

יש צפי מתי בזק תשחרר עדכון לראוטרים שלה? (יש לי נטגיר VVG2000 שוכב ללא שימוש לחירום,וכרגע בשימוש NB403)
th1s 1s my d1st0rt3d r34l1ty

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #11 

@l33cher
·
כן. כרגע, זה מתוכנן מיד אחרי ביאת משיח צידקינו. ברבעון הראשון של האחרית הימים.

l33cher
חבר ותיק
חבר ותיק
הודעות: 1809
הצטרף: יולי 2009
מיקום: לה לה לנד
נתן תודות: 14 פעמים
קיבל תודות: 61 פעמים

נושא שלא נקרא #12 

:lol::lol:

אוטוטו מעבר לפינה..
th1s 1s my d1st0rt3d r34l1ty

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”