KRACK: WPA2 broken

 ( toMpEr | 2017. október 16., hétfő - 2:19 )

On social media right now, strong rumours are spreading that the WPA2 encryption scheme has been broken in a fundamental way. What this means: the security built into WiFi is likely ineffective, and we should not assume it provides any security. - https://www.alexhudson.com/2017/10/15/wpa2-broken-krack-now/

Look for CVE-2017-13077, 13078, 13079, 13080, 13081, 13082, 13084, 13086, 13087, 13088 when details become available. - https://twitter.com/Nick_Lowe/status/919527451570638848

A 2 hete kijott fortinet firmware elvileg mar javitja a hibat: http://docs.fortinet.com/uploaded/files/3968/fortiap-s-fortiap-w2-v5.6.1-release-notes.pdf

Bar jelenleg meg embargos a sebezhetoseg, de feltetelezem akarmekkora a problema az otthoni routerek/iot eszkozok 80+%-a sosem lesz javitva.

Pozitívumként:
- Free wifi hotspotok száma ugrásszerűen meg fog nőni
- Ha hangos a szomszédban a jutyúbdiszkó: wifi login > 192.168.1.1 admin/admin > Max Tx Rate: 1Mbps
- A WEP-et nem érinti a hiba...

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ha jol tudom a wep kb 6-7 eve torheto volt egyszeru modon, sikerult azota javitaniuk?

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Feature by design

--
robyboy

Nem, mert nem hiba miatt sebezheto. A gyenge egetett algoritmus csak forrasztassal vagy daralassal javithato.

Kollégák azt akarják mondani, h. a wep már 15 éve egy törhetó vacak. Ezért senkinek nem lenne szabad azóta még csak gondolni se rá, hogy használja. Igazából egy mai wifi AP-nek már felajánlania se lenne szabad wep-et.

A fenti komment h. a "wpa2 törésben a wep nem érintett" ezek miatt vehető szimplán szarkasztikus megjegyzésnek.
--

Sztem csak poen volt az utolso pont. Mondjuk, en is elsutottem, es nalam poen volt.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

A WPA1 biztonságosabb lesz mint a 2? :)) Vagy ahhoz is van már valami hasonló kaliberű cukiság?

---
http://www.vultr.com/?ref=6814182

Ja, már látom, hogy a WPA1 is érintett :)

---
http://www.vultr.com/?ref=6814182

Feltehetőleg nem on-the-fly törésről van szó.

A fantázianeve KRACKS, azaz Key Reinstallation Attacks.

https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/
https://www.blackhat.com/docs/webcast/08242017-securely-implementing-network2.pdf

"One researcher told Ars that Aruba and Ubiquiti ... already have updates available to patch or mitigate the vulnerabilities."

Mikrotik What's new in 6.40.4 (2017-Oct-02 08:38):
*) wireless - improved WPA2 key exchange reliability;

A cikk alapján, akár ne is használjuk a WPA-t, hanem elég egy nyílt Wifi, amin keresztül egy VPN szervert ér csak el a mezei user és azon keresztül csatlakozzon a céges hálóra? Most már a hosszú jelszó se véd? Na szép lesz.
Ha lesz javítás, azt élg csak az AP-n eszközölni, vagy a klienseken is változtatni kell valamit?

Hát most hogy mondod valóban. :(

Jópár hibáról van szó. Valamelyik az AP-ket érinti, valamelyik a klienseket...

CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Elvileg AP oldalon csak a 802.11r/fast roaming protokolt érinti (gyorsabb halózatváltás több AP összekapcsolása esetén), így a legtöbb otthoni router nem érintett ilyen módon.

Hmm, akkor nyertem egy Mikrotik frissítést.

Szokás szerint épp csak a lényeg nem derül ki. Bocsi, de egy kicsit herótom van már az IT security-s emberkék FUD stílusából.
Nagyon nem mindegy, hogy gyengeséget találtak a protokollban (ami pl. egy hosszabb jelszóval kompenzálható), vagy olyan törést, ami percek alatt visszafejti a titkosítást. Hogyan függ a törés az elkapott csomagok számától? stb. ezek mind nem derülnek ki.

Meg arról, hogy (legalább logikailag) hogyan lehet megvalósítani, hogy patch esetén tudjunk tesztelni, vagy akár javítani is a cókmókjainkat...

November 1-én fog kiderülni a lényeg.

November 2.-án meg sokan fognak sírni? Most a részletek nélkül tényleg leírhatnának pár egyszerűbb dolgot, amivel átmenetileg nehezíthető a hiba kihasználása, VPN-en kívül :D

Nem protokoll tervezési hibák ezek, hanem implementációs problémák és több van belőlük. Azért nem derülnek ki a pontos részletek egyelőre, mert a gyártókkal most mennek az egyeztetések, hogy javítsák őket.

Az Aruba, FortiNet, Ubiquiti adott már ki javítást egyes hibákra.

Kíváncsi leszek a szappanosdoboz TPLINK routerekre megy-e majd frissítés...
...gyanítom, hogy nem.

Miért? Megszűnt a WRT és a Lede is?

Jogos, jogos, custom fw. :)
Csak alapból arra gondoltam, hogy maga a gyártó/kibocsátó fog-e a készülékeihez kiadni javítást.

Nem szűnt meg, de nem támogat minden eszközt. Nekem is olyan NAT-dobozom van, amit nem támogat egyik sem.

Engem az érdekel, hogy az ISP által adott modem/router kombók, amik szerintem a felhasználók többségénél szolgálnak, frissítve lesznek-e (illetve ha implementációs probléma, akkor egyáltalán hibásak-e).

A hivatalos infok alapjan ugy tunik, hogy a kliens oldali eszkozoket kell frissiteni:

What if there are no security updates for my router?

Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.

via https://www.krackattacks.com/

Nesze neked a sok unmaintasined android eszköz... ez a bug sokáig örökzöld lesz a kliens oldalon. Vajh a ma live android eszközök hány százaléka kap patchet?

És ebből a listából hány kínai gyártó hiányzik akinek a kütyüjeit tömegesen árulják itthon.

Hmmm. meglep a Huawei... így kellene lennie kb. Azt hiszem utána kellene járjak mi a patch policy náluk.

Meg, főként hogy két éve még huawei telefonom volt, ami egy frissítést kapott összesen, másfél év lemaradással. (Ascend P7)

Akkor valami nem kosher ezen a grafikonon... vagy a te telefonod épp rossz merítésben volt. Engem az android telefonok inkább abandonware-ekre emlékeztetnek...

Azóta változtak sokat a dolgok, tény. És remélhetőleg változni is fog az Android O-val. De még mindig messze a tökéletestől, a gyártók főleg a low end készülékeket hanyagolják nagyon. Ironikus, mert ezek a készülékek azok, amikhez a legkevésbé túrják meg az Androidot, tehát ide volna legkönnyebb elkészíteni az új verziót, vagy legalább a régi verzió patchelt változatát.

De mint mondtam, sok kínai gyártó, megannyi szar olcsó Androidos telefon, ezekkel vannak tele az üzletek polcai... nem csoda, hogy ezek vannak szem előtt, és ez alapján ítéled meg a platformot.

Mondhatsz neves gyártókat is, mert azok is leizélik az eladott telefonjaik frissítését. Jó esetben kapsz rá 1 új főverziót, és szia.
És ez marhára nem a gyártók hibája, hanem a google hibája, oldja meg, h a rendszert magát ő frissítse.

"Mondhatsz neves gyártókat is, mert azok is leizélik az eladott telefonjaik frissítését."

Mondtam is, és bár csak a Huaweit neveztem meg, de minden gyártóra igaz, hogy a drágább telefonjait jobban preferálja, és szívesebben frissítgeti. Ez érthető, és nem is lenne gond azzal, hogy egy olcsóbb telefon csak egy új főverziót kap. Ne legyünk mohók, az olcsóságnak is ára van, ami a támogatás hiányában nyilvánul meg. Ha eközben a biztonsági frissítések és hibajavítások érkeznének rendszeresen, legalább két évig ki lehetne húzni egy ilyen telefonnal.

"És ez marhára nem a gyártók hibája, hanem a google hibája, oldja meg, h a rendszert magát ő frissítse."

Ez mindenkinek a hibája.

Hibás a felhasználó, mert megveszi a telefont akkor is, ha elavult szoftverrel érkezik, és esélytelen a frisítés. De mégsem hibás, mert a többségük nem tud erről, nem ért hozzá. Az eladónak volna feladata a korrekt támogatás.

Tehát akkor hibás az eladó, mert alapjában véve elavult, nem biztonságos eszközt ad el. De az üzletét nyilván nem akarja rontani, ezért nem fogja kidobni a polcokról az elavult telefonokat. Szabályozni kellene felsőbb szinten, de erre kevés az esély.

Hibás még a gyártó is. Egyrészt eladja az elavult készüléket, és nem ad frissítést, mert miért is adjon? A felhasználó megveszi így is.

Hibás a Google, mert nem kötelezi a gyártókat a frissítések vállalására. Kérdés ezzel mennyit ártana a platformnak, és mennyivel lennének drágábbak a telefonok. Mert a gyártó nyilván leveri a plusz munkát valakin.

Egyébként a Google pont hogy tesz az ügy érdekében, az Android Oreoval elvileg megkönnyíti a gyártóknak az új frissítések előkészítését. Meglátjuk mi lesz belőle.

Ugyanis a gyártónak van még egy érdeke: Eladni az újat. Miért is akarna frissítést kiadni a régi telefonhoz (hiába egyszerűen és olcsón megoldható) ha inkább az újat adná?

Meg jo hogy tesz a google erte. Az egesz hajciho a kezdeti piactarolos, oda-se-nezunk-csak-tegyetek-ra-droidot elbas strategia miatt van.

Nem baj, hogy az Android neve osszeforrt a dzsunkaval. Egyek meg amit foztek.

Nekem is Huawei van.(P9 Lite) Míg az enyém ****nor függő, egy ismerősömé független. Az övén már a 7-es fut elég régóta. Nálam még csak 6.0 és amióta megvan egy frissítést kapott.
Ilyen esetben ki a hibás? A gyártó, vagy a szolgáltató, aki csak a sz*rjaival telerakott verziót teszi elérhetővé, ha egyáltalán kiadja.
Ha esetleg root-olom és felrakok rá egy újabb verziót, akkor meg bukom a garit.
Ilyen esetben elővehető a szolgáltató, hogy vajon miért van az én telefonomon még 6-os miközben a független telefonon már a 7-es figyel?
Vajon vállalja e a felelősséget a szolgáltató, mondjuk adatlopás miatt, ha olyan hibát használnak ki ami a már újabb verzióban javított?
Vagy lehet, hogy nem is a szolgáltató miatt nincs új verzió?

----
FreeBSD, Solaris, Debian, blackPanther

"Ha esetleg root-olom és felrakok rá egy újabb verziót, akkor meg bukom a garit."

Nem hinném. Egyrészt nem kell se rootolnod, se kinyitnod a bootloadert, semmi ilyesmit, ha csak annyi a cél, hogy a hivatalos rom új verziója kerüljön fel, az egy szimpla letöltés, telefonra felmásolás (bizonyos helyre bizonyos névvel) és egy rejtett menüben a frissítés telepítésének elindítása.

Itt találsz jó hosszú leírást, és letöltési linkeket is. Arra figyelj, hogy a telefonod modelljének megfelelőt töltsd le.
http://www.android.gs/update-huawei-p9-lite-official-android-7-0-nougat-emui-5-0-firmware/

+1

Köszöntem szépen. :)

----
FreeBSD, Solaris, Debian, blackPanther

nem is a live eszközök, hanem azok, amiket most, és a jövőben fognak eladni a *markt-ban. Büntetni kellene őket érte.

Kíváncsi vagyok UPC és társai az általuk adott routereken mikor javítják a hibát. Ha egyáltalán javítható.

Hát ha eddig volt központi FW frissítés, akkor valszeg fogják, ha meg nem, akkor IJ.

Szokott lenni, kérdés, hogy mennyire figyelnek ezekre, ők javítják-e, vagy a gyártótól érkezik valami, és azt módosítják a saját interfészükkel és speciális cuccaikkal, ki tudja.

hát erre én is, szerintem az elmúlt két évben, mióta odapakolták, egy frissítés sem érkezett rá. zte digis doboz.


"I'd rather be hated for who I am, than loved for who I am not."

Ki az aki nem bridge modban hasznalja a UPC es hasonlo dobozokat?

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Lássuk csak, lehetséges indokok
a) Tökéletesen jó az a ConnectBox, amit az UPC ad. A wifi erős, van 5 GHz, amit be akarnék állítani azt be tudtam állítani. (nem mondom, lehetne jobb, de elégséges)
b) Nem akarok random router gyártó random lyukas firmware-ével szórakozni, sem azzal, hogy saját romot telepítsek, ami lehet nem is tudja teljeskörűen kihasználni a hardvert
c) Olyan routerre, amit szívesen vennék nincs pénz, olcsóbbra, gyengébbre szórni a pénzt meg minek.
d) Nem akarok mégegy hőtermelő, porfogó eszközt a lakásomba, aminek amúgy sincs helye.
e) Mert a third party gyártók híresek a frissítéseikről :)

SEARCH-LAB Ltd evaluated five home gateway models, all of them are used by many internet service providers worldwide, but the actual devices have been operated by one of the Hungarian Cable TV operators, UPC Magyarország (https://www.upc.hu/).

| Modem              | Evaluation length | Total number of vulnerabilities |
|--------------------|-------------------|---------------------------------|
| Ubee EVW3226       | 2 days            | 11                              |
| Technicolor TC7200 | 3 hours           | 3                               |
| Cisco EPC3925      | 3 hours           | 1                               |
| Hitron CGNV4       | 3 hours           | 3                               |
| Compal CH7465LG-LC | 3 hours           | 5                               |
| Compal CH7465LG-LC | 2 weeks           | 35                              |

via http://www.search-lab.hu/advisories/secadv-20150720

gyönyörű.

ezért a digi által adott zte f668-as kíváncsi lennék milyen ebből a szempontból...


"I'd rather be hated for who I am, than loved for who I am not."

Tökéletesen jó az a ConnectBox
Vagy talán mégsem annyira jó

Ez elég gáz. Az, hogy jó én az igényeimhez, és nem ahhoz mértem, hogy mennyire lyukas. Valójában mennyivel volnék beljebb egy saját routerrel, amiben ki tudja mennyi lyuk van, és ki tudja, hogy a gyártó mikor fog rá frissítést kiadni?

Egy olyan routerrel lennél bentebb, amin LEDE (vagy hasonló) fut.

a) Nalam mar itt elbukott a ConnectBox, mert nem tudok mindent beallitani amit akarok
b) A ConnectBox-ot a Compal gyartja, taiwani ceg, eddig sosem hallottam rola, a jelenlegi dobozom szinten taiwani termek (Asus)
c) Probaltam egy jo ar/ertek aranyut talalni, en szivesen hasznalok olyat amihez opcionalisan van valamilyen custom rom is ami (talan) frissul ha a gyarto leall a hivatalos tamogatassal.
d) Ennek en sem orulok tulzottan, hogy van +1 aramfogyaszto
e) upc != gyarto, compal = gyarto

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

"a Compal gyartja, taiwani ceg, eddig sosem hallottam rola"
A vilag egyik legnagyobb laptopgyartoja, ODM (Original Design Manufacturer). Sok Acer, Dell, Asus es hasonlo termek az valojaban rebrandelt Compal cucc.
Ok a masodik legnagyobb laptopgyarto a vilagon, a legnagyobb ODM a Quanta.

https://hup.hu/node/155848#comment-2151918
A fenti hozzaszolas b) pontja szerint a Compal/UPC a kiraly, mas router gyartok a kozelebe sem erhetnek :)

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Szinte az összes előfizető?

Kicsit jobban elterjed majd a Wi-Free naluk, so what? :)

Feliratkozok

404

jah, közben kirakták a véglegest, thx

Fun-fact: OpenBSD was notified of the vulnerability on 15 July 2017, before CERT/CC was involved in the coordination. Quite quickly, Theo de Raadt replied and critiqued the tentative disclosure deadline: “In the open source world, if a person writes a diff and has to sit on it for a month, that is very discouraging”. Note that I wrote and included a suggested diff for OpenBSD already, and that at the time the tentative disclosure deadline was around the end of August. As a compromise, I allowed them to silently patch the vulnerability. In hindsight this was a bad decision, since others might rediscover the vulnerability by inspecting their silent patch. To avoid this problem in the future, OpenBSD will now receive vulnerability notifications closer to the end of an embargo.

LOL

Ahogy nézem az ismert biztonsági szakértő, Ilja Van Sprundel által jelentett infoleak és lencheck hibáit is javítgatták... :)

jaaaj...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Minap találkoztam egy tp-link dobozzal, ami 2 hibás csatlakozás után restartolt, és utána nem kért jelszót többé, kinyílt a lekódolt wifi, úgy, hogy minden más beállítás megmaradt. Feltörni se kellett :D

--
openSUSE 42.2 x86_64

Tanulhatna tőlük az Apple. Nem holmi password reminder, meg ilyesmi. Unlock és kész, ha szegény user elfelejtette.

Úgy volt vele, hogy szegény tulaj biztos elfelejtette a jelszót... SmartHome.
--
"Sose a gép a hülye."

A nagyobbik baj, hogy sokan használnak már supporttal nem rendelkező eszközt, amire sosem jön már ki a javítás. Egyébként abszolút meg tudom őket érteni, nekem is ilyenem van és egyébként nagyon jól működik... A GDPR helyett inkább érdemi hw/sw követésre kéne a gyártókat kötelezni és minimum 3 év bugfix lenne szerintem az elfogadható.

Ubuntu repoban (Linux Mint) jött ma frissítés a wpasupplicant csomagra. Ennek lehet köze ehhez?

Naná.. Debian is megkapta
--
God bless you, Captain Hindsight..

Az ESP8266-os mikrovezérlő SDK-ja már kiadta a firmware update-et 6 napja. :)
Jelenleg az openSuSE-re várok.