16. 10. 2017

V pondělí 16. října 2017 v 11:00 CET byly zveřejněny detaily o chybě v protokolu WPA2, která útočníkům umožnuje číst šifrovanou komunikaci na bezdrátových sítích standardu IEEE 802.11 zabezpečených právě tímto protokolem. Chyba byla nazvána KRACKs (Key Reinstallation Attacks) a detaily popisující zranitelnost přináší web https://www.krackattacks.com.

Útok je veden na komunikaci, která je nutná k sestavení spojení při přihlašování klientské stanice k přístupovému bodu. Této komunikaci se říká 4-way handshake, jelikož dojde k výměně čtyř paketů za účelem ověření pravosti hesla k bezdrátové síti a sestavení šifrovacích klíčů pro další komunikaci.

Útočník donutí oběť přeinstalovat již používané klíče. Při sestavovací komunikaci (4-way handshake) dochází k zápisu šifrovacího klíče po přijmu zprávy č.3. Tato zpráva však nemusí být správně doručena, proto má protistrana možnost zprávu odeslat opakovaně. Opakovaným posláním a správným doručením však dojde k přepisování klíče a zároveň resetu hodnot jako „transmit packet number (nonce)“ a „receive packet number (replay counter)“. Útočník tak může tyto hodnoty ovlivnit a využít jejich znalosti k rozklíčování komunikace.

ŘEŠENÍ

Obranou vůči tomuto útoku je co nejdřívější aktualizace firmwaru přístupových bodů a klientských stanic. Vydání záplat však může zejména u starších zařízení určených primárně pro domácí použití trvat déle a v některých případech nemusí být aktualizace vůbec vydána.

Primární obranou při komunikaci na bezdrátových sítích je tak další šifrování. Ať už se jedná o vytvoření VPN tunelu nebo vyhýbání se nešifrovaným protokolům - typicky webovým stránkám na portu 80 (http) a upřednostnění těch, které podporují https. S tím souvisí obrana proti útokům typu SSLstrip při útocích Man in the Middle a to hlídání certifikátů webových stránek a kontrola autentičnosti webových stránek v hlavičce webového prohíižeče. Dalším opatřením, zvyšujícím bezpečnost sítě je implementace DNSSEC.

postižená zařízení

Výzkumníci z CERT Carnegie Mellon University zveřejnili na svých webových stránkách aktualizovaný seznam zařízení, které jsou zranitelností dotčeny.

ODKAZY

https://www.krackattacks.com/
http://www.kb.cert.org/vuls/id/228519
https://www.root.cz/clanky/sifrovani-wpa2-bylo-prolomeno-wi-fi-site-je-mozne-odposlouchavat/