Обнаружена серьезная уязвимость в протоколе защиты данных WPA2

[BaBL]

черт… я так и думал =(

[bigbaraboom]

Хехе… Пока весь мир в ожидании раскрытия этой уязвимости, Matolch раскрывает тайну =) Респект!

[adontz]

А броадскаст отключатьн ельзя из-за DHCP… Жопа.

[loginex]

броадкаст это не только dhcp, но и arp запросы такие бывают, они необходимы для верной работы IP протокола. хотя можно при желании и статикой их прописать, но тогда возникнут проблемы с подключением новых устройств в эту сеть.

[loginex]

а я говорил, что надо что-то делать с ARP протоколом? я имел ввиду, что надо на всех машинах жестко прописать все адреса из подсети этих машин(включая и сам шлюз) в их арп таблицу, дальше любым доступным способом отключаем ответы на арп-броадкасты и, собственно, все.

[0Lexx0]

Если бы только DHCP :-/

[OLS]

В таком случае получается, что слушать чужой трафик невозможно (т.к. PTK для каждой пары абонентов свой собственный); возможно лишь взаимодействовать с компьютерами, подключенными к сети, например, сканировать их уязвимости и т.д.?

[DiS]

Не совсем понял новизну и революционность этого открытия… Если человек знает preshared key от access point-а, то он может без проблем сниффать весь траффик всех клиентов этого access point-а. Для этого ему нужно только поймать three way handshake между конкретным клиентом и access point-ом. И это уже много лет как не новость, методики отлажены, равно как и способы потиводействия.
Или тут обсуждается какая-то совсем другая ситуация?

[Ilya_Smelykh]

я так понимаю и к просто WPA применима эта атака поскольку суть не в уязвимости алгоритма шифрования, а в архитектуре протокола?

[kurokikaze]

Главного не написали — чем теперь WiFi шифровать-то?

[BaBL]

стандартно… PPTP over WiFi

[payalnic]

PPTP? Ну уж нет.

[cst]

почему?

[bondbig]

мб человеку не нравится оверхед: нагрузка на железо, канал, доп. серваки, лишний гемор с найтройкой/сопровождением.

[sleepnow]

Скрытый сид + фильтрация по MAC + сислог.

[kurokikaze]

Сурово. Впрочем, на войне как на войне.

[bondbig]

скрытый ссид — это как ключ под ковриком. Выяснить его не составляет труда. Фильтрация по мак — тоже иллюзия защиты. Эти действия не гарантируют ничего, лишь немного затрудняют работу злоумышленника. А что имелось в виду под сислогом — непонятно, протоколирование всего трафика?

[sleepnow]

Протоколирование авторизаций, DHCP и т.д. не всего трафика конечно же.

[bondbig]

у нас, помимо протоколирования, специализированная ips-ка стоит в беспроводном сегменте, полезная вещь.

[ilder]

Кстати, как узнать разрешенные mac адреса? Вот в чем вопрос…

[trix]

ждать, когда кто-то ими воспользуется

[reff]

SSH, например.

[alexxxst]

«авторизованный в сети пользователь» — вроде полегче стало...)

[olegsuv]

Все равно пользователь, не знающий пароль сети, не сможет ничего сделать.
Поэтому пользоваться дома можно и дальше, и не бояться.

[Kastrulya]

бухгалтерия яростно ждет окончания defcon :))

[Rubaka]

любой не может, об этом мало кто знает из обычных работников офиса и воспользоваться тоже надо знать как.

[Amlor]

Если какой-то крысе нужно будет, она найдет у кого узнать как)

[AVET]

Отключить DHCP, добавить МАС-фильтрацию — это ну хоть как-то усложнит процесс для не особо знающих.

[loginex]

для проведения атаки не нужен никакой dhcp и мак фильтрация ничуть не изменит ситуации.

[nitro80]

Стальной крысе :)

[andyfreeze]

А поможет ли в этом случае включение на access point-е режима изоляции L2? Если, конечно, можно пожертвовать отсутствием прямого взаимодействия станций.

[RussianNeuroMancer]

Как реализована поддержка WPA2 в железе? В чипах или софте, который с ними работает? Например после конференции выкатывают супер-защищённый WPA3. Смогут ли производители железа предоставить пользователям его поддержку через обновления системы/драйверов/прошивок?

[madgnu]

Производители скажут покупать их супер неуязвимые новые железки, очевидно же.

[RussianNeuroMancer]

Ну да, очевидно, но вопрос не об этом. Если реализация всё же софтовая, то линукоиды и владельцы роутеров со всякими DD-WRT и OpenWRT получат защиту просто обновив драйвера и прошивки для железа.

[Mentor]

Линуксоиды и владельцы роутеров со всякими DD-WRT точно также покупают новые железки, потому что прошивка радиомодуля в них пропиетарная и в сырцах не поставляется.

[RussianNeuroMancer]

У Atheros, к примеру, разве закрытые прошивки? Помнится, их то ли открывали, то ли для них написали открытую замену.

[loginex]

у них открытые спецификации и прошивки пишут к ним многие проекты, я даже знаком с таким проектом, при котором на обычном модуле 802.11a удалось добиться очень хорошей производительности(до 40мбит реальных) на очень дальние расстояния(до 50км) при использовании повышенной мощности передачи.

[Stalker_RED]

пора стирать пыль со старых ethernet свичей.

[eek]

Паранойя везде найдет. Комрады выше писали же простой путь Ipsec/pptp+mppe овер чего угодно. Ну или 802.1x для богатых :)

[grokinn]

однако рано поднимать панику, если у вас надежный пароль то снаружи я так понимаю не залезут, а изнутри сети возможности поснифать трафик и так предостаточно, если сотрудник этого сильно захочет.

[Ilya_Smelykh]

какая разница, это уязвимость все равно. для меня например это означает что в проекте над которым я работаю и который по сути является wifi сетью специальный приватных устройств защищенных WPA/WPA2 кража одного устройства предоставит доступ ко всему трафику сети, это ужасно.

[catharsis]

атаки Man-In-The-Middle и подмена мак-адресов делается и в Ethernet, а узнать ключ WPA2 по-прежнему крайне затруднительно.

[loginex]

в случае раздельной коммутации портов свитча и фильтрации arp ответов(по маске на определенный offset) на порту в эзернете такое не провернуть. а вот с вайрелсом уже не так все хорошо…

[catharsis]

про L2 изолюцию в WiFi выше уже писали. Не исключено, что это поможет

[loginex]

что за L2 изоляция? если имеется ввиду dmz, то не поможет

[catharsis]

это технология, выделяющая каждому пользователю что-то вроде отдельного VLAN'a. Таким образом, клиенты не видят друг друга. Это препятствует прохождению прямого трафика между ними, который обычно не важен

[loginex]

а, с этом вещью знаком, она далеко не во всех устройствах возможна. Но вообще это не поможет, если я правильно понял суть: нехороший человек становится посередине и для точки отвечает от имени хорошего дяди(или не очень), а для дяди от имени точки. изоляция поможет лишь если она будет на физическом уровне — экранируя пространство распространения радиосигнала каким либо материалом.

[Gol]

Если ничего не путаю, свич (одно из отличий которого от хаба состоит именно в раздельной коммутации портов) тоже можно перевести в promisc режим, в результате чего он превратится в обычный хаб со всеми вытекающими. Причём перевести можно удалённо, вроде бы хитрым образом переполнив таблицу MAC-адресов.

[loginex]

свитчи разные бывают, бывают «тупые» и «умные». то, что я описал выше, реализуется на умных свитчах, на которых можно настроить раздельную коммутацию портов, скажем пакеты с 1ого порта будут идти только на 5 и 6, на 5ом будет разрешена передача пакетов только на 1ый порт, так же и на 6ом только на 1ый, в итоге пакеты, пришедшие на 1ый порт свитча и которые должны идти на 6ой порт, никак не попадут на 5ый, если все хорошо в таблица мак адресов свитча. а чтобы там было все хорошо, надо фильтровать арп ответы на порту по конкретной маске. Все это настраивать лучше вручную, не видел еще ни одной нормально работающей опции, способной противостоять в автоматическом режиме против арп спуфинг\поизинг

[loginex]

на самом деле интереснее всего как зафиксировать проведение подобной атаки на уязвимой сети и совершить контр меры(хоть вплоть до отключения вайфая). Не зная технических подробностей атаки, могу лишь предположить, что можно попробовать по сектору охвата радиосигнала расставить анализаторы спектра и в случае выявления двух сигналов(с одним маком) с разной мощностью(или на значительном расстоянии друг от друга, так же стоит учесть погрешности, накладываемые местностью) бить тревогу.

[catharsis]

или вылавливать специфические broadcast пакеты.
Или просто не пускать в свою сеть кого попало :)

[loginex]

чтобы понять на сколько они специфические, надо узнать сначала технические детали. будем ждать дефкон, спорю это будет там самая обсуждаемая тема в этом году.

[fsrs]

Мда… Про эту уязвимость известно ой как давно. Сам не раз это видел

[Nastradamus]

Не забываем про сети вроде билайновского wi-fi…

[catharsis]

большинство пользователей пользуются открытым билайн-вайфаем :)

[AstonMartin]

SSL наше все?

[nshopik]

Hole 196, потому что про ключи GTK Описано на 196 странице IEEE 802.11 стандарта

[System32]

Человек, авторизовавшийся в такой сети, и воспользовавшийся эксплоитом

То есть, если я правильно понял — для начала надо авторизоваться. То есть ключик подобрать. А это — та еще задачка, если preshared-key достаточной длины. А тем более если юзаются всякие radius'ы. Так что бояться, в принципе, нечего. В открытых сетях а-ля Билайн — там все равно никакого шифрования нет, так что достаточно просто wi-fi-карточки, поддерживающей promiscous mode и какого-нить wireshark'а.

[entze]

ключ к закрытой сети можно получить и легально (например купить, получить на конференции и т.п.) и использовать против тех, что подключился к этой же точке.

[System32]

Ну в таком случае, тот, кто передает по открытой сети важные данные в открытом виде — ССЗБ.

[Richard]

Guest WLAN на точке доступа для ненадёжных пользователей — и проблема исчерпана?

[VAE]

>Мда… Про эту уязвимость известно ой как давно. Сам не раз это видел
Зато сколько разговоров (есть о чем?). Присмотритесь к другим решениям и там ой как давно что-то найдется. Ходим мимо и не видим. У хакеров рук на все не хватает, не успевают они по всем уязвимостям пройтись…

[isden]

Тот самый момент, когда в ленте появляется статья "Обнаружена серьезная уязвимость в протоколе защиты данных WPA2", ты такой бежишь читать, и только дойдя до комментариев понимаешь, что статья от 2010 года O_o