Ažuriraj: Wpa supplicant (metoda koja se koristi za postavljanje Wi-Fi rukovanja u Linuxu) je ažuriran i je već dostupan. Google je implementirao ovo rješenje, a sigurnosno ažuriranje 6. studenog 2017. će ga uključiti. Google Wifi automatski će instalirati ažuriranje čim postane dostupno.
Slijedi izvorni članak.
Godinama smo svi ovisili o WPA2 (Wi-Fi Protected Access) protokolu kako bismo zaštitili svoje Wi-Fi mreže. Svemu tome danas dolazi kraj.
Istraživač sigurnosti Mathy Vanhoef otkrio je što je nazvao KRACK, eksploatacijom koja napada ranjivost u stisku ruke WPA2 protokola koji najvjerojatnije upotrebljavate za zaštitu svog Wi-Fi-ja kod kuće i milijuni malih tvrtki širom svijeta, isto.
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
Ažuriraj: Izjava od Googlea dana Granica kaže da, iako to utječe na svaki uređaj s omogućenom Wi-Fi mrežom, Android telefoni koriste Bijeli slez (Android 6.0) ili noviji predstavljaju poseban rizik i ranjivi su na varijantu eksploatacije koja može manipulirati prometom. Modeli starijih firmware-a osjetljivi su i na druge načine, ali ubrizgavanje prometa je ozbiljan problem. Očekujte Googleov popravak u bliskoj budućnosti.
Govoreći na konferenciji ACM o računalnoj i komunikacijskoj sigurnosti u Dallasu, Vanhoef je objasnio da je to exploit može dopustiti njuškanje paketa, otmicu veze, ubrizgavanje zlonamjernog softvera, pa čak i dešifriranje protokola sebe. Ranjivost je otkrivena ljudima koji takve stvari trebaju znati rano kako bi ih pronašli Ispravka i US-CERT (Američki tim za pripravnost na računala) objavio je ovaj pripremljeni bilten:
US-CERT postao je svjestan nekoliko ključnih ranjivosti upravljanja u četverosmjernom rukovanju sigurnosnim protokolom Wi-Fi Protected Access II (WPA2). Učinak iskorištavanja ovih ranjivosti uključuje dešifriranje, ponovnu reprodukciju paketa, otmicu TCP veze, ubrizgavanje HTTP sadržaja i druge. Imajte na umu da će kao problemi na razini protokola to utjecati na većinu ili sve ispravne implementacije standarda. CERT / CC i istraživač izvještavanja KU Leuven javno će otkriti ove ranjivosti 16. listopada 2017. godine.
Prema istraživaču koji je upoznat s ranjivošću, to funkcionira iskorištavanjem četverosmjernog rukovanja koje se koristi za uspostavljanje ključa za šifriranje prometa. Tijekom trećeg koraka, ključ se može ponovno poslati više puta. Kad se zamjeri na određene načine, kriptografski se izvor može ponovno upotrijebiti na način koji u potpunosti potkopava šifriranje.
Kako mogu ostati siguran?
Da budem iskren, sljedećih nekoliko dana nema vam na raspolaganju puno javnih mogućnosti. Nećemo vam reći kako to funkcionira niti gdje pronaći više informacija o tome kako točno djeluje napad. Ali možemo vam reći što možete (i trebate učiniti) kako biste bili što sigurniji.
- Izbjegavajte javni Wi-Fi pod svaku cijenu. To uključuje Googleove zaštićene Wi-Fi žarišne točke dok Google ne kaže drugačije. Ako vaš operater prisiljava vaš telefon na Wi-Fi kada je u dometu, posjetite forum da vaš telefon vidi postoji li zaobilazno rješenje da se to ne dogodi.
- Povežite se samo sa osiguranim uslugama. Web stranice koje koriste HTTPS ili drugu sigurnu vezu uključit će HTTPS u URL. Trebali biste kontaktirati bilo koju tvrtku čije usluge koristite i pitati je li veza osigurana pomoću TLS-a 1.2 i je li vaša veza s tom uslugom zasad sigurna.
- Ako imate plaćenu VPN uslugu u koju imate povjerenja, trebali biste omogućiti vezu do daljnjeg do daljnjeg. Oduprite se iskušenju da požurite i prijavite se za bilo koga besplatni VPN uslugu dok ne saznate jesu li provjereni i zaštitit će vaše podatke. Većina nema.
- Koristite žičanu mrežu ako vaš usmjerivač i računalo imaju mjesto za priključivanje Ethernet kabela. Ovo iskorištavanje utječe samo na promet 802.11 između Wi-Fi usmjerivača i povezanog uređaja. Ethernet kabeli su relativno jeftini a isplaka za oči nanizana preko tepiha vrijedi. Potražite specifikacijski kabel Cat6 ili Cat5e i nakon priključenja ne bi trebala biti potrebna konfiguracija.
- Ako koristite Chromebook ili MacBook, ovaj USB Ethernet adapter je plug-and-play.
- Opustiti.
Što bi se moglo dogoditi ako sam na napadnutoj mreži?
Ovaj hak ne može ukrasti vaše bankovne podatke ili Googleovu lozinku (ili bilo koje podatke na ispravno osiguranoj vezi koja koristi end-to-end enkripciju). Iako uljez možda može hvatati podatke koje šaljete i primate, nitko ih ne može koristiti niti čak pročitati. Ne možete ga ni pročitati ako ne dopustite telefonu ili računalu da ga prvo dešifriraju i dešifriraju.
Napadač možda može raditi stvari poput preusmjeravanja prometa na Wi-Fi mreži ili čak slati lažne podatke umjesto stvarne stvari. To znači nešto bezazleno poput tiskanja tisuću primjeraka nerazumljivosti na umreženom pisaču ili nešto opasno poput slanja zlonamjernog softvera kao odgovora na legitimni zahtjev za informacijama ili a datoteka. Najbolji način da se zaštitite je da uopće ne upotrebljavate Wi-Fi dok vam se ne naloži drugačije.
uhhh sranje to je loše yup pic.twitter.com/iJdsvP08D7
- en Owen Williams (@ow) 16. listopada 2017
Na telefonima s Androidom 6.0 Marshmallow i novijim, ranjivost KRACK može prisiliti Wi-Fi vezu da stvori apsurdno jednostavan ključ za šifriranje od 00: 00: 00: 00: 00. S nečim tako jednostavnim, autsajderu je lako pročitati sav promet koji dolazi od i do klijenta, poput pametnog telefona ili prijenosnog računala.
Ali ako je taj promet kodiran pomoću sigurnih HTTPS i TLS protokola (a većina web prometa trebala bi ovih dana), podaci koje sadrže kriptirani su od kraja do kraja i, čak i ako se presretnu, neće biti čitljiv.
Je li vaš usmjerivač zakrpan kako bi popravio ranjivost KRACK?
Rečeno je da Ubiquiti već ima zakrpu spremnu za upotrebu za njihovu opremu, a ako se to pokaže istinitim, isto bismo trebali vidjeti i od tvrtki poput Google ili Jabuka Uskoro. Drugim, manje sigurnosno osviještenim tvrtkama može trebati više vremena, a mnogi usmjerivači nikada neće vidjeti zakrpu. Neke tvrtke koje proizvode usmjerivače slične su tvrtkama koje proizvode Android telefone: svaka želja za podrškom proizvoda prestaje kad vaš novac stigne u njihovu banku.
Je li ovo stvarno važno?
Ovo nije slučaj kada biste se trebali osjećati imuno jer vaši podaci nisu dovoljno vrijedni. Većina napada koji koriste ovaj exploit bit će oportunistički. Djeca koja žive u vašoj zgradi, mračni likovi koji voze susjedstvom tražeći Wi-Fi pristupne točke i općenite zlonamjernike već skeniraju Wi-Fi mreže oko sebe.
WPA2 je imao dug i plodonosan život, javno do danas. Nadamo se da će ispravak ili ono što slijedi moći uživati u istom. Ostati siguran!
Jeste li slušali ovotjedni Android Central Podcast?
Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.
- Pretplatite se na Pocket Casts: Audio
- Pretplatite se na Spotify: Audio
- Pretplatite se na iTunes: Audio
Proviziju za kupnju možemo zaraditi putem naših poveznica. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će primati dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Osigurajte svoj dom ovim SmartThings zvonima i bravama.
Jedna od najboljih stvari o SmartThings je ta što možete koristiti mnoštvo drugih uređaja treće strane na vašem sustavu, uključujući zvona na vratima i brave. Budući da svi oni u osnovi dijele istu podršku za SmartThings, usredotočili smo se na to koji uređaji imaju najbolje specifikacije i trikove kako bi opravdali njihovo dodavanje u vaš arsenal SmartThings.