Národní úřad pro kybernetickou a informační bezpečnost - KRACK - zranitelnost protokolu WPA2 umožňuje čtení šifrovaných dat

16. říjen 2017

16. 10. 2017

V pondělí 16. října 2017 v 11:00 CET byly zveřejněny detaily o chybě v protokolu WPA2, která útočníkům umožnuje číst šifrovanou komunikaci na bezdrátových sítích standardu IEEE 802.11 zabezpečených právě tímto protokolem. Chyba byla nazvána KRACKs (Key Reinstallation Attacks) a detaily popisující zranitelnost přináší web https://www.krackattacks.com.

Útok je veden na komunikaci, která je nutná k sestavení spojení při přihlašování klientské stanice k přístupovému bodu. Této komunikaci se říká 4-way handshake, jelikož dojde k výměně čtyř paketů za účelem ověření pravosti hesla k bezdrátové síti a sestavení šifrovacích klíčů pro další komunikaci.

Útočník donutí oběť přeinstalovat již používané klíče. Při sestavovací komunikaci (4-way handshake) dochází k zápisu šifrovacího klíče po přijmu zprávy č.3. Tato zpráva však nemusí být správně doručena, proto má protistrana možnost zprávu odeslat opakovaně. Opakovaným posláním a správným doručením však dojde k přepisování klíče a zároveň resetu hodnot jako „transmit packet number (nonce)“ a „receive packet number (replay counter)“. Útočník tak může tyto hodnoty ovlivnit a využít jejich znalosti k rozklíčování komunikace.

ŘEŠENÍ

Obranou vůči tomuto útoku je co nejdřívější aktualizace firmwaru přístupových bodů a klientských stanic. Vydání záplat však může zejména u starších zařízení určených primárně pro domácí použití trvat déle a v některých případech nemusí být aktualizace vůbec vydána.

Primární obranou při komunikaci na bezdrátových sítích je tak další šifrování. Ať už se jedná o vytvoření VPN tunelu nebo vyhýbání se nešifrovaným protokolům - typicky webovým stránkám na portu 80 (http) a upřednostnění těch, které podporují https. S tím souvisí obrana proti útokům typu SSLstrip při útocích Man in the Middle a to hlídání certifikátů webových stránek a kontrola autentičnosti webových stránek v hlavičce webového prohíižeče. Dalším opatřením, zvyšujícím bezpečnost sítě je implementace DNSSEC.

postižená zařízení

Výzkumníci z CERT Carnegie Mellon University zveřejnili na svých webových stránkách aktualizovaný seznam zařízení, které jsou zranitelností dotčeny.

ODKAZY

https://www.krackattacks.com/
http://www.kb.cert.org/vuls/id/228519
https://www.root.cz/clanky/sifrovani-wpa2-bylo-prolomeno-wi-fi-site-je-mozne-odposlouchavat/

Aktuality

Vydali jsme přehled kybernetických incidentů pohledem NÚKIB za březen 2024

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) evidoval v březnu totožný počet incidentů jako uplynulý měsíc. Jednalo se tak již o pátý měsíc v řadě s podprůměrnými hodnotami evidovaných incidentů. Stejně jako v únoru byl zaznamenán i jeden významný kybernetický incident. Zbylých 17 incidentů pak spadalo do kategorie méně významných. I nadále v přehledu dominují incidenty spojené s dostupností. Evidovány byly také incidenty z kategorií Průnik a Informační bezpečnost a oproti únoru i Škodlivý kód.

V kapitole Zaměřeno na hrozbu se tentokrát věnujeme odhalení kompromitace nástroje XZ, který je využíván většinou operačních systémů Unix. Dosud neznámý aktér do něj v rámci komplexní a dlouholeté operace umístil backdoor s cílem získat přístup k vysokému počtu zařízení. V reakci na incident došlo k vydání řady varování, zejména ze strany firem distribuujících různé varianty systému Linux.

Celý dokument naleznete zde: https://nukib.gov.cz/download/publikace/vyzkum/Kyberneticke-incidenty-pohledem-NUKIB-brezen-2024.pdf

12.04.2024