تحديث: تم تحديث Wpa supplicant (الطريقة المستخدمة لإعداد اتصال Wi-Fi في Linux) و متاح بالفعل. نفذت Google هذا الإصلاح وسيتضمنه التحديث الأمني بتاريخ 6 نوفمبر 2017. سيقوم Google Wifi تلقائيًا بتثبيت التحديث بمجرد توفره.
المقال الأصلي يتبع.
لسنوات ، اعتمدنا جميعًا على بروتوكول WPA2 (الوصول المحمي بتقنية Wi-Fi) لتأمين شبكات Wi-Fi الخاصة بنا. كل هذا ينتهي اليوم.
كشف الباحث الأمني ماثي فانهوف ما أسماه KRACK ، وهو استغلال يهاجم ثغرة أمنية في المصافحة من بروتوكول WPA2 الذي تستخدمه على الأرجح لحماية شبكة Wi-Fi في المنزل والملايين من الشركات الصغيرة حول العالم ، جدا.
تقدم Verizon Pixel 4a مقابل 10 دولارات شهريًا فقط على خطوط جديدة غير محدودة
تحديث: بيان من جوجل معين الحافة يقول أنه على الرغم من تأثر كل جهاز تم تمكين Wi-Fi به ، فإن هواتف Android تستخدم مرشملوو (Android 6.0) أو إصدار أحدث يشكل خطرًا خاصًا وهو عرضة لمجموعة متنوعة من الثغرات التي يمكنها التعامل مع حركة المرور. النماذج الموجودة على البرامج الثابتة الأقدم عرضة بطرق أخرى ، لكن إدخال حركة المرور يمثل مشكلة خطيرة. توقع إصلاحًا من Google في المستقبل القريب.
في حديثه في مؤتمر ACM حول أمن الكمبيوتر والاتصالات في دالاس ، أوضح فانهوف ذلك قد يسمح الاستغلال باستنشاق الحزم واختطاف الاتصال وإدخال البرامج الضارة وحتى فك تشفير البروتوكول بحد ذاتها. تم الكشف عن الثغرة الأمنية للأشخاص الذين يحتاجون إلى معرفة هذه الأنواع من الأشياء في وقت مبكر للعثور عليها أصدر الإصلاح و US-CERT (فريق الاستعداد لطوارئ الكمبيوتر بالولايات المتحدة) هذه النشرة المعدة:
لقد أصبح فريق US-CERT على علم بالعديد من نقاط الضعف في الإدارة الرئيسية في عملية الاتصال الرباعي لبروتوكول أمان الوصول المحمي بتقنية Wi-Fi II (WPA2). يشمل تأثير استغلال هذه الثغرات الأمنية فك التشفير وإعادة عرض الحزم واختطاف اتصال TCP وإدخال محتوى HTTP وغير ذلك. لاحظ أنه نظرًا لقضايا مستوى البروتوكول ، ستتأثر معظم أو جميع عمليات التنفيذ الصحيحة للمعيار. سيكشف CERT / CC والباحث المراسل KU Leuven علنًا عن نقاط الضعف هذه في 16 أكتوبر 2017.
وفقًا للباحث الذي تم إطلاعه على الثغرة الأمنية ، فإنه يعمل من خلال استغلال المصافحة الرباعية التي تُستخدم لإنشاء مفتاح لتشفير حركة المرور. خلال الخطوة الثالثة ، يمكن أن يستاء المفتاح عدة مرات. عندما يتم الاستياء بطرق معينة ، يمكن إعادة استخدام تشفير nonce بطريقة تقوض التشفير تمامًا.
كيف أبقى آمنا؟
بصراحة ، لن يكون هناك الكثير من الخيارات العامة المتاحة لك في اليومين المقبلين. لن نخبرك كيف يعمل أو أين تجد المزيد من المعلومات حول كيفية عمل الهجوم بالضبط. لكن يمكننا إخبارك بما يمكنك (وما يجب عليك فعله) للبقاء بأمان قدر الإمكان.
- تجنب شبكة Wi-Fi العامة بأي ثمن. يتضمن ذلك نقاط اتصال Wi-Fi المحمية من Google حتى تقول Google خلاف ذلك. إذا كان مشغل شبكة الجوال يجبر هاتفك على الاتصال بشبكة Wi-Fi عندما يكون في النطاق ، فتفضل بزيارة المنتدى لهاتفك لمعرفة ما إذا كان هناك حل بديل لمنعه من الحدوث.
- اتصل فقط بالخدمات المؤمنة. ستتضمن صفحات الويب التي تستخدم HTTPS أو اتصال آمن آخر HTTPS في عنوان URL. يجب عليك الاتصال بأي شركة تستخدم خدماتها وتسأل عما إذا كان الاتصال مؤمنًا باستخدام TLS 1.2 ، وإذا كان الأمر كذلك ، فإن اتصالك بهذه الخدمة آمن في الوقت الحالي.
- إذا كانت لديك خدمة VPN مدفوعة وتثق في أنه يجب عليك تمكين الاتصال بدوام كامل حتى إشعار آخر. مقاومة إغراء التسرع والاشتراك في أي VPN مجاني الخدمة حتى يمكنك معرفة ما إذا كان قد تم فحصها وسيحافظ على أمان بياناتك. معظمهم لا يفعلون.
- استخدم شبكة سلكية إذا كان لكل من جهاز التوجيه والكمبيوتر نقطة لتوصيل كابل إيثرنت. يؤثر هذا الاستغلال فقط على حركة مرور 802.11 بين موجه Wi-Fi وجهاز متصل. كبلات إيثرنت رخيصة نسبيًا وقبيح العين الممتد عبر السجادة يستحق ذلك. ابحث عن كبل مواصفات Cat6 أو Cat5e ويجب ألا تكون هناك حاجة للتكوين بمجرد توصيله.
- إذا كنت تستخدم ملف Chromebook أو ماك بوك, محول USB Ethernet هذا قابل للتوصيل والتشغيل.
- الاسترخاء.
ماذا يمكن أن يحدث إذا كنت على شبكة تعرضت للهجوم؟
لا يمكن لهذا الاختراق سرقة معلوماتك المصرفية أو كلمة مرور Google (أو أي بيانات على اتصال آمن بشكل صحيح يستخدم التشفير من طرف إلى طرف). في حين أن الدخيل قد يكون قادرًا على التقاط البيانات التي ترسلها وتتلقاها ، لا يمكن لأي شخص استخدامها أو حتى قراءتها. لا يمكنك حتى قراءتها إلا إذا سمحت لهاتفك أو جهاز الكمبيوتر الخاص بك بفك تشفيرها وفك تشفيرها أولاً.
قد يكون المهاجم قادرًا على القيام بأشياء مثل إعادة توجيه حركة المرور على شبكة Wi-Fi أو حتى إرسال بيانات زائفة بدلاً من الشيء الحقيقي. هذا يعني شيئًا غير ضار مثل طباعة ألف نسخة من gibberish على طابعة متصلة بالشبكة أو شيء خطير مثل إرسال برامج ضارة كرد على طلب شرعي للحصول على معلومات أو ملف ملف. أفضل طريقة لحماية نفسك هي عدم استخدام Wi-Fi على الإطلاق حتى يتم توجيهك بطريقة أخرى.
آه ، هذا شيء سيء pic.twitter.com/iJdsvP08D7
- ⚡️ أوين ويليامز (ow) 16 أكتوبر 2017
على الهواتف التي تعمل بنظام التشغيل Android 6.0 Marshmallow والإصدارات الأحدث ، يمكن لثغرة KRACK أن تفرض اتصال Wi-Fi لإنشاء مفتاح تشفير سهل الكسر من 00: 00: 00: 00: 00. بشيء بسيط للغاية ، من السهل على شخص خارجي قراءة كل حركة المرور القادمة من وإلى العميل ، مثل الهاتف الذكي أو الكمبيوتر المحمول.
ولكن إذا تم ترميز حركة المرور هذه باستخدام بروتوكولات HTTPS و TLS الآمنة (وينبغي لمعظم حركة مرور الويب في هذه الأيام) ، يتم تشفير البيانات التي تحتوي عليها من طرف إلى طرف ، وحتى إذا تم اعتراضها ، فلن يتم مقروء.
هل تم تصحيح جهاز التوجيه الخاص بك لإصلاح ثغرة KRACK؟
قيل أن Ubiquiti لديها بالفعل تصحيح جاهز للنشر لمعداتهم ، وإذا تبين أن هذا صحيح ، فيجب أن نرى الشيء نفسه من شركات مثل جوجل أو تفاحة قريبا جدا. قد تستغرق الشركات الأخرى الأقل وعيًا بالأمان وقتًا أطول ولن ترى العديد من أجهزة التوجيه أي تصحيح. بعض الشركات التي تصنع أجهزة التوجيه تشبه إلى حد كبير بعض الشركات التي تصنع هواتف Android: تتوقف أي رغبة في دعم المنتج عندما تصل أموالك إلى بنوكها.
هل هذا مهم حقا؟
هذه ليست حالة يجب أن تشعر فيها بالحصانة لأن بياناتك ليست ذات قيمة كافية. ستكون غالبية الهجمات التي تستخدم هذا الاستغلال انتهازية. الأطفال الذين يعيشون في المبنى الخاص بك ، والشخصيات المشبوهة التي تقود الحي تبحث عن شبكات Wi-Fi AP وصانعي الأذى العام يفحصون بالفعل شبكات Wi-Fi من حولهم.
يتمتع WPA2 بحياة طويلة ومثمرة مع استغلال عام حتى اليوم. هنا نأمل أن الإصلاح ، أو ما يأتي بعد ذلك ، يمكن أن يتمتع بنفس الشيء. ابق بأمان!
هل استمعت إلى Android Central Podcast لهذا الأسبوع؟
كل أسبوع ، يقدم لك Android Central Podcast آخر أخبار التكنولوجيا والتحليلات والأحداث الساخنة مع مضيفين مشاركين مألوفين وضيوف مميزين.
- الاشتراك في Pocket Casts: الصوت
- اشترك في Spotify: الصوت
- اشترك في iTunes: الصوت
قد نربح عمولة على المشتريات باستخدام روابطنا. أعرف أكثر.
هذه هي أفضل سماعات أذن لاسلكية يمكنك شراؤها بكل سعر!
أفضل سماعات الأذن اللاسلكية مريحة ، وذات صوت رائع ، ولا تكلف الكثير ، ويمكن وضعها بسهولة في الجيب.
كل ما تحتاج لمعرفته حول PS5: تاريخ الإصدار والسعر والمزيد.
أكدت شركة Sony رسميًا أنها تعمل على PlayStation 5. إليك كل ما نعرفه عنها حتى الآن.
أطلقت نوكيا هاتفين جديدين يعملان بنظام Android One بسعر أقل من 200 دولار.
يعد Nokia 2.4 و Nokia 3.4 أحدث الإضافات إلى مجموعة الهواتف الذكية ذات الميزانية المحدودة من HMD Global. نظرًا لأن كلاهما يعمل بنظام Android One ، فمن المضمون تلقي تحديثين رئيسيين لنظام التشغيل وتحديثات أمنية منتظمة لمدة تصل إلى ثلاث سنوات.
قم بتأمين منزلك باستخدام أجراس وأقفال أبواب SmartThings.
أحد أفضل الأشياء في SmartThings هو أنه يمكنك استخدام عدد كبير من أجهزة الجهات الخارجية الأخرى على نظامك ، بما في ذلك أجراس الباب والأقفال. نظرًا لأنهم جميعًا يشتركون بشكل أساسي في نفس دعم SmartThings ، فقد ركزنا على الأجهزة التي تتمتع بأفضل المواصفات والحيل لتبرير إضافتها إلى ترسانة SmartThings الخاصة بك.