Lahat ng kailangan mong malaman tungkol sa krack, ang wpa2 wi-fi kahinaan

Update: Wpa supplicant (ang pamamaraan na ginamit upang mag-set up ng isang Wi-Fi handshake sa Linux) ay na-update at magagamit na. Ipinatupad ng Google ang pag-aayos na ito at isasama dito ang pag-update ng seguridad ng Nobyembre 6, 2017. Awtomatikong mai-install ng Google Wifi ang pag-update sa lalong madaling magagamit.

Sumusunod ang orihinal na artikulo.

Sa loob ng maraming taon kaming lahat ay nakasalalay sa WPA2 (Wi-Fi Protected Access) protocol upang ma-secure ang aming mga Wi-Fi network. Natapos na ang lahat ngayon.

Ang tagapagpananaliksik ng seguridad na si Mathy Vanhoef ay nagsiwalat ng kung ano ang binansagan niya na KRACK, isang pagsasamantala na umaatake sa isang kahinaan sa handhake ng protocol ng WPA2 na malamang na ginagamit mo upang maprotektahan ang iyong Wi-Fi sa bahay at milyon-milyong mga maliliit na negosyo sa buong mundo.

Update: Isang pahayag mula sa ibinigay ng Google Ang Verge ay nagsasabi na habang ang bawat aparato na pinagana ng Wi-Fi ay apektado, ang mga teleponong Android na gumagamit ng Marshmallow (Android 6.0) o mas mataas na magdulot ng isang espesyal na peligro at mahina laban sa isang variant ng pagsasamantala na maaaring manipulahin ang trapiko. Ang mga modelo sa mas matandang firmware ay madaling kapitan sa ibang mga paraan, ngunit ang pag-iniksyon sa trapiko ay isang seryosong isyu. Asahan ang isang pag-aayos mula sa Google sa malapit na hinaharap.

Sa pakikipag-usap sa ACM Conference on Computer and Communications Security sa Dallas, ipinaliwanag ni Vanhoef na ang pagsasamantala na ito ay maaaring magpahintulot sa packet sniffing, pag-hijack ng koneksyon, iniksyon ng malware, at kahit na ang pag-decryption ng protocol mismo. Ang kahinaan ay isiniwalat sa mga tao na kailangang malaman ang mga ganitong uri ng mga bagay nang maaga upang makahanap ng isang pag-aayos at inilabas ng US-CERT (United States Computer Emergency Kahandaang Koponan) ang inihandang bulletin na ito:

Napag-alaman ng US-CERT ang ilang mga mahahalagang kahinaan sa pamamahala sa 4-way na handshake ng Wi-Fi Protected Access II (WPA2) protocol. Ang epekto ng pagsasamantala sa mga kahinaan na ito ay may kasamang decryption, packet replay, TCP connection hijacking, HTTP content injection, at iba pa. Tandaan na bilang mga isyu sa antas ng protocol, ang karamihan o lahat ng tamang pagpapatupad ng pamantayan ay maaapektuhan. Ang CERT / CC at ang nag-uulat ng mananaliksik na si KU Leuven, ay ihayag sa publiko sa mga kahinaan na ito noong 16 Oktubre 2017.

Ayon sa isang mananaliksik na na-briefed sa kahinaan, gumagana ito sa pamamagitan ng pagsasamantala sa isang apat na paraan na handshake na ginagamit upang magtatag ng isang susi para sa pag-encrypt ng trapiko. Sa ikatlong hakbang, ang susi ay maaaring magalit nang maraming beses. Kapag nagalit ito sa ilang mga paraan, ang isang cryptographic nonce ay maaaring magamit muli sa isang paraan na ganap na nasisira ang pag-encrypt.

Paano ako mananatiling ligtas?

Upang maging matapat, sa susunod na ilang araw ay walang isang toneladang opsyon sa publiko na magagamit mo. Hindi namin sasabihin sa iyo kung paano ito gumagana o kung saan makakahanap ng karagdagang impormasyon sa kung paano eksaktong gumagana ang pag-atake. Ngunit masasabi namin sa iyo kung ano ang maaari mong (at dapat gawin) upang manatiling ligtas hangga't maaari.

• Iwasan ang mga pampublikong Wi-Fi sa lahat ng mga gastos. Kasama dito ang protektado ng Wi-Fi hotspot ng Google hanggang sa sabihin ng Google kung hindi. Kung pinipilit ng iyong tagadala ang iyong telepono sa Wi-Fi kapag nasa saklaw, bisitahin ang forum para sa iyong telepono upang makita kung mayroong isang workaround upang mapigilan itong mangyari.
• Kumonekta lamang sa mga ligtas na serbisyo. Ang mga web page na gumagamit ng HTTPS o isa pang ligtas na koneksyon ay isasama ang HTTPS sa URL. Dapat kang makipag-ugnay sa anumang kumpanya na ang mga serbisyo na iyong ginagamit at tanungin kung ang koneksyon ay ligtas gamit ang TLS 1.2, at kung gayon ang iyong koneksyon sa serbisyong iyon ay ligtas sa ngayon.
• Kung mayroon kang isang bayad na serbisyo sa VPN na pinagkakatiwalaan mo dapat mong paganahin ang koneksyon sa buong-oras hanggang sa karagdagang paunawa. Tumanggi sa tukso na magmadali at mag-sign up para sa anumang libreng serbisyo ng VPN hanggang sa malaman mo kung sila ay na-vetted at panatilihing ligtas ang iyong data. Karamihan ay hindi.
• Gumamit ng isang wired network kung ang iyong router at computer ay parehong may lugar na mai-plug sa isang Ethernet cable. Ang pagsasamantala na ito ay nakakaapekto lamang sa 802.11 trapiko sa pagitan ng isang Wi-Fi router at isang konektadong aparato. Ang mga Ethernet cable ay medyo mura at isang strore ng baybayin sa buong karpet ay sulit. Maghanap para sa isang cat6 o Cat5e spec cable at hindi dapat na kailangan ng pagsasaayos sa sandaling mai-plug in.
• Kung gumagamit ka ng isang Chromebook o MacBook, ang USB Ethernet adapter na ito ay plug-and-play.
• Mamahinga.

Ano ang maaaring mangyari kung ako ay nasa isang naatake na network?

Ang hack na ito ay hindi maaaring magnakaw ng iyong impormasyon sa pagbabangko o password ng Google (o anumang data sa isang wastong ligtas na koneksyon na gumagamit ng end-to-end encryption). Habang ang isang intruder ay maaaring makunan ang data na iyong ipinadala at natanggap, hindi ito magamit o kahit na basahin ng sinuman. Hindi mo pa ito mabasa maliban kung pinahintulutan mo ang iyong telepono o computer na i-decrypt at i-uncramble muna ito.

Ang isang magsasalakay ay maaaring magawa ang mga bagay tulad ng pag-redirect ng trapiko sa isang Wi-Fi network o kahit na magpadala ng mga maling data sa lugar ng tunay na bagay. Nangangahulugan ito ng isang bagay na hindi nakakapinsala tulad ng pag-print ng isang libong kopya ng gibberish sa isang naka-network na printer o isang bagay na mapanganib tulad ng pagpapadala ng malware bilang isang tugon sa isang lehitimong kahilingan para sa impormasyon o isang file. Ang pinakamahusay na paraan upang maprotektahan ang iyong sarili ay ang hindi gumamit ng Wi-Fi nang lahat hanggang sa ikaw ay ituro sa kabilang banda.

uhhh shit masamang yup pic.twitter.com/iJdsvP08D7

- ⚡️ Owen Williams (@ow) Oktubre 16, 2017

Sa mga teleponong tumatakbo sa Android 6.0 Marshmallow at mas bago, ang kahinaan ng KRACK ay maaaring pilitin ang koneksyon sa Wi-Fi upang lumikha ng isang walang katotohanan na madaling keyk na pag-encrypt ng 00: 00: 00: 00: 00. Sa isang napaka-simple, madali para sa isang tagalabas na basahin ang lahat ng trapiko na darating at mula sa isang kliyente, tulad ng isang smartphone o laptop.

Ngunit kung ang trapiko na na-encode gamit ang ligtas na protocol ng HTTPS at TLS (at ang karamihan sa trapiko sa web ay dapat sa mga araw na ito), ang data na naglalaman ng mga ito ay naka-encrypt na end-to-end at, kahit na naaapektuhan, hindi mababasa.

Na-patched ba ang iyong router upang ayusin ang kahinaan ng KRACK?

Ang Ubiquiti ay sinabi na mayroon nang isang patch na handa nang mag-deploy para sa kanilang kagamitan, at kung ito ay totoo na dapat nating makita ang pareho mula sa mga kumpanya tulad ng Google o Apple sa lalong madaling panahon. Ang iba pa, mas kaunting mga kumpanya na walang kamalayan sa seguridad ay maaaring mas matagal at maraming mga router ay hindi kailanman makakakita ng isang patch. Ang ilang mga kumpanya na gumagawa ng mga router ay katulad ng ilang mga kumpanya na gumawa ng mga teleponong Android: ang anumang pagnanais na suportahan ang produkto ay hihinto kapag ang iyong pera ay umabot sa kanilang bangko.

Mahalaga ba ito?

Hindi ito isang kaso kung saan dapat kang makaramdam ng immune dahil hindi sapat ang iyong data. Ang karamihan ng mga pag-atake gamit ang pagsasamantala na ito ay magiging oportunista. Ang mga bata na nakatira sa iyong gusali, mga malilim na character na nagmamaneho sa kapitbahayan na naghahanap ng mga Wi-Fi AP at mga pangkalahatang gumagawa ng kamalian ay na-scan ang mga network ng Wi-Fi sa paligid nila.

Ang WPA2 ay nagkaroon ng mahaba at mabunga na buhay na may nary isang pampublikong pagsasamantala hanggang ngayon. Narito ang pag-asa sa pag-aayos, o kung ano ang susunod, ay maaaring tamasahin ang pareho. Manatiling ligtas!

Maaari kaming kumita ng komisyon para sa mga pagbili gamit ang aming mga link. Dagdagan ang nalalaman.