Критические уязвимости в протоколе WPA2

Пакеты с исправлением сформированы для Debian и Fedora, а в ближайшие часы ожидаются для Ubuntu, RHEL и SUSE. В OpenBSD проблема была устранена ещё конце августа, так как разработчики данной системы отказались откладывать исправление до окончания эмбарго, но согласились не афишировать связь исправления с уязвимостью до общего анонса.

Что ещё известно:

- пропатченная точка доступа не спасёт непропатченных клиентов. Если у вас какой-то старенький андроид (не ниже 6, поскольку в 5 ещё не было wpa_supplicant), который не получает актуальные обновления - можете считать, что вы работаете в публичной сети без шифрования

- если режим шифрования - AES, то доступно прослушивание трафика, если TKIP - изменение трафика (и тут уже надежда лишь на https)

От себя замечу, что полагаться в наше время на транспорт - ссзб.

ээээ. TKIP и AES как бы о разных вещах.

Проблема усугубляется тем, что огромное число клиентских устройств, например, с устаревшими версиями Android (демонстрация атаки на Android) никогда не получат необходимые обновления.

Столлман сотню лет об этом глотку надрывает, и тут опять зима неожиданно подкралась

позволяющие прослушивать трафик

пфф, расходимся. оно все везеде шифрованное на три слоя

почему нет ссылок на эксплоит? сейчас васяны будут загонять хомяков в VPN.

В Дебиане уже исправили.

Интересно, сколько лет об этой уязвимости уже знали NSA&Co.

проблема усугубляется тем, что такие «расшифровочные лазейки» встречаются ВЕЗДЕ. недавно оказалось что у макбуков пароль «где-то» хранится в явном виде, и выяснилось это тупо изза рукожопия кодеров. до этого уже много лет народ писал что винда сохраняет все ключи для расшифровки. но то конспирология.

Некоторые производители (точно известно об Ubiquiti и Mikrotik) уже выпустили обновлённые прошивки.

а вы им поверьте, что всё пофикшено. вот прям все производители вай-фаев взяли в вместе наступили в одно и то же говно. или говно было вложено в стандарт? не? ну как они все-то одновременно в говно вляпались, ну задумайтесь.

я уж думал соседи смогут к моей вафле нахаляву подключаться. а так: подумаешь траффик подменят — срача на лоре это не испортит )

Если у вас какой-то старенький андроид (не ниже 6, поскольку в 5 ещё не было wpa_supplicant)

Fly с ведром 2.3.4, можно спать спокойно

В арче тоже обновление wpa_supplicant сегодня было.
Если я правильно понял - пропатченный клиент не уязвим при устаревшем роутере.

Уязвимо то, что работает в режиме клиента.

Если роутер не работает в режиме клиента, то всё определяется тем, запатчены ли клиентские устройства.

Если роутер работает в режиме клиента и не пропатчен, то даже при запатченных клиентских устройствах уязвим тот канал, которым сам роутер соединяется с вышестоящим роутером.

РЕШЕТО!

Уязвимости исправлены в LEDE

пацаны, вы же понимаете, что все эти телефоны, планшеты и роутеры никогда не обновляются. причины начинаются с того, что всем лень и пофиг и заканчиваются тем, что вообще-то эти устройства надо рефлешить чтобы обновить, а этим, разумеется никто заниматься не будет. надо просто перестать беспокоиться и начать жить.

в LEDE уже исправлено, ага. скорее наоборот, под леде появится первый публичный эксплоит и слушать роутеры на леде будет проще всего. разумеется беспроводному соединению доверять нельзя никогда, с патчами или без, также как и проводному. но может быть кто-то благодаря этим уязвимостям откроет для себя end-to-end encryption или что-то вроде того, тоже может быть польза.

а вы им поверьте, что всё пофикшено. вот прям все производители вай-фаев взяли в вместе наступили в одно и то же говно. или говно было вложено в стандарт?

Да, говно было заложено в стандарт.

The weaknesses are in the Wi-Fi standard itself, and not in individual products or implementations. Therefore, any correct implementation of WPA2 is likely affected.

в LEDE уже исправлено, ага. скорее наоборот

Что не так?

https://git.lede-project.org/?p=source.git;a=commit;h=bbda81ce3077dfade2a43a3...

Прилетит обновление пакета. Кто-то не ставит обновления? Ну, так можно на любой ОСи влететь на проблемы, хоть на винде.

На зюксель роутер ничего не прилетело. Вот и переплачивай им надеясь на качественную поддержку.

вообще-то эти устройства надо рефлешить чтобы обновить

Вы Linux тоже переустанавливаете при каждом обновлении отдельного пакета или просто пакет обновляете? Зачем рефлешить роутер, когда достаточно использовать нормальную прошивку, умеющую обновлять отдельные компоненты?

Телефоны уже тоже давно не рефлешат - откройте для себя OTA-обновления. Они даже у полуподвальных китайцев типа Doogee уже есть. Правда, если вы пользуетесь полуподвальными китайфонами, вам, вероятно, пофиг на безопаность (у тех же Doogee в системном интерфейсе зашит милый троянчик, показывающий рекламу).

На эталонные аппараты типа Nexus и Pixel обновления прилетают несколько лет, а затем их достаточно перешить на цианоген/lineage и продолжать получать обновления без перепрошивки. Дорого? А дешевые аппараты, в итоге, вам дороже обойдутся.

Модель?

На кинетик ультра2 было.

ожидаемо. как в GSM, где базовая станция может просто задать режим без шифрования. и в LTE и в WCDMA то же самое, быть может более замаскировано.

а почему я не удивлён? если быть еще более точным - я уверен что сейчас «производители железа» консультируются с АНБ что делать. как «закрыть» дыру, чтоб она осталась на месте.

Не понял, wpa2 работает через софт ? Я думал он в чип с wifi вморожен и изменить там ничего нельзя.

Если через софт то ничего ужасного, кому надо те пропатчат свои системы, в том числе андроид.

Ну и это ещё один аргумент пользоваться vpn даже просто внутри страны. :-)

П - паранойя

ты прав. кругом друзья, желающие тебе помочь. не слушай параноиков, слушай друзей.

Столлман — это просто вещая Кассандра нашей эпохи. Он предсказал едва ли не всё плохое в мире IT и копирайта за последние лет 30, а его до сих пор считают оторванным от реальности фанатиком.

F - False dilemma

где ты дилемму увидел, чубатый? я тебе говорю что нету причин для паранойи.

что вообще-то эти устройства надо рефлешить чтобы обновить, а этим, разумеется никто заниматься не будет.

Ну не надо за всех. У меня LEDE 17.01.2 (да я знаю про 17.01.3)

бздунам теперь из-за этого факапа не будут давать инфу для патчей заранее, потому что их неафишированный патч был исследован кем надо.

Столлман сотню лет об этом глотку надрывает, и тут опять зима неожиданно подкралась

Google же прислушалась. В Android 8 уже вынесли взаимодействие с драйверами в отдельную прослойку. Это шаг к возможности обновлять сам Android даже на тех аппаратах, к которым нет обновлённых драйверов.

Как минимум, это очень и очень поможет создателям кастомных прошивок.

У них может просто не очень оперативно выходят.

Хороший коммент с опеннета:

Причём тут нюанс такой. Уязвим только режим клиента (apcli) либо если включен FastTransition (802.11R).

В первом случае декодировать (после атаки) можно только трафик от клиента к АП, во втором наоборот. Ессно если уязвим клиент плюс на AP работает FT можно декодировать всё от и до.

Т.е. если ваша AP не умеет FT то атака может быть совершена только «на клиента». Грубо говоря фиксить нужно клиентскую сторону, а со стороны AP только если она использует 802.11R поддержка которого в большинстве случаев из коробки или отсутствует или отключена. Ну или сама выступает клиентом, или клиентом+ap (аля повторитель - apcli).

Куча радиомостов и прочих «удлиннителей».

Вот старые ынтырпрайзные железки купленные как раз ради поддержки 802.11R за подешевле которым объявили EOL... Нууу...

ну да, ну да. в теории всё выглядит красиво, а на практике новый пакет не встанет на старую систему. rolling релизы, обновления «каждый день», отсутствие обратной совместимости, вот это всё, в итоге это всё равно выливается в рефлеш.

тут дебиан на amd64 хрен обновишь без косяков, а вы уже на телефоны и роутеры замахнулись. пользователям леде надо приготовиться, завтра, если не сегодня, их трафик будут слушать, а им надо будет гемороиться с какими-то обновлениями и курить маны, раз уж они такие бестолковые параноики не могут в впн.

вы лучше подумайте что вы будете делать когда подобные уязвимости посыпятся из поттерингового сустемд, а этот сустемд будет стоять во всём интернете, но поттеринг даже в ченжлог будет отказываться вносить запись об уязвимости или втихаря что-то править попутно внося новые баги. а сколько уязвимостей в нём до сих пор не обнаружено благодаря тому высеру в форме спагетти которое которое он называет кодом.

это жопа, это не чинится никак, заботьтесь о себе сами, линукс уже давно перестал быть надёжной операционной системой (и это печально).

Проблема усугубляется тем, что огромное число клиентских устройств, например, с устаревшими версиями Android (демонстрация атаки на Android) никогда не получат необходимые обновления.

И поэтому со способом их взломать надо ознакомить всех заинтересованных лиц! Выбирайте СПО и обо всех его багах мы известим злоумышленников, не переключайтесь.

где ты дилемму увидел

Ложная дилемма, ложная дихотомия — ошибка в рассуждении (например, при принятии решения), заключающаяся в упущении иных возможностей, кроме некоторых двух рассматриваемых

да где ты дилемму-то увидел. нет дилеммы. алё! просыпайся, ты сам себе покушать принес

Тогда почему ты внезапно с «кругом враги» на «кругом друзья» переключился?

Если я правильно понял - пропатченный клиент не уязвим при устаревшем роутере.

Я тоже так понял.

лень читать, я смогу ломануть соседский вайфай с wpa2 или нет?

сколько времени этой дыркой пользовались? и сколько ещё таких дырок и побольше о которых мы не знаем? пользуйтесь своей системой с мыслью что она уже взломана и в ней проходной двор и всё будет в порядке...

А я что-то не понял.

Вот есть роутер пропатченный и секурный. С WPA2+AES

И к этому роутеру подключены по Wifi Вася и Петя.

У Васи дырявый ведройд, на которого обновления вообще не прилетят.

У Пети секурный iPhone, на которого прилетелеи обновления.

По близости есть какер Вова.

Вопрос: может ли Вова поиметь Петю из-за Васи?

я смогу ломануть соседский вайфай с wpa2 или нет?

Да и без этого можно давно. Секурность из всех щелей же лезет. Я от всех соседей пароли к точкам доступа знаю.

у тебя схема безопасности в какую то гей-групповуху превратилась. Где Алиса?

можно хинт, куда смотреть? wep я по молодости легко щелкал, а щас на сьемной хате халявный вайфай бы не помешал, а везде этот wpa2

у тебя схема безопасности в какую то гей-групповуху превратилась. Где Алиса?

почему сразу геи? пони-ортодоксы же

Тю. Вафля - поделка для дома, работающая в радиусе 10 метров. Не удивительно что оно дырявое как шерето, от него другого и не требуется.

Я вот сегодня нашел уязвимость в своем бойлере: оказывается если на улице оборвать провода - он перестанет греть. Ололовсепропало.

Меня смущает другое. Когда епланы начинают на заводе ставить вафлю во всякие Mitsubishi Outlander, еще и умудряются спарить это с CAN - вот тогда получается ЖОПА.

В яндекс ушла, помогает прятать тела.

нету врагов. ты о чем вообще? какие враги, что за конспирология

У Пети секурный iPhone, на которого прилетелеи обновления.

за исключением того, что новый иос тормозит на старых аппаратах и на них обновления не ставят.

Коллеги, владельцам OpenWRT 14.07 стоит напрягаться?