» »

Huda ranljivost v vseh napravah z Wi-Fi

1
2
»

eVro ::

Brane22 je izjavil:

V bistu je industrija hkrati žegen in prekletstvo neta.

Tržni pritiski sicer vodijo v razvoj a glavni akterji imajo tunel vision - ženejo se samo za tistim kar jih _trenutno_ zanima, ne glede na to, kaj vse medtem razbijejo.

Polsedica so pičkindim plastik-fantastik standardi.

Poglej recimo IoT. Folk je leta onaniral na to, da boš mel vezalke na čevljih v IPv6 in če si postavil kakršnokoli vprašanje ali pomislek, si obveljal pač za okosteneli fosil.

In _ZDAJ_ so se genijalci spomnili, da bi bilo fajn resno razmišljat o varnosti.

Pri tem "resno" pomeni, da morajo imeti novo učeno zvenečo frazo, ki bi jo potem njihov marketing lahko limal na reklamne pamflete.


Se čisto strinjam. Sicer pa: S in the IoT stands for security.

fujtajksel ::

fiction je izjavil:


BTW: Kako je sploh z dostopnostjo 802.11i ali 802.11r? Zakaj zaboga IEEE standardi niso javno dostopni ali samo jaz česa ne razumem?!


IEEE ni neka dobrodelna organizacija temveč bolj leglo pogoltnežev in si grdo masovno prilašča copyright vsebin ki jih pretežno sploh ne ustvarjajo sami niti zanje ne plačajo. Semtertja kej dajo tudi zastonj
http://ieeexplore.ieee.org/browse/stand...
sicer včasih pomagajo borci za svobodo publikacij
https://www.quora.com/How-can-I-downloa...

SambaShare ::

fiction je izjavil:


BTW: Kako je sploh z dostopnostjo 802.11i ali 802.11r? Zakaj zaboga IEEE standardi niso javno dostopni ali samo jaz česa ne razumem?!


Mi tudi ni jasno po katerem ključu gre to, najbrž odvisno od delovne skupine. Tale 802.11i je pa sploh cvetka, ga ne najdem niti v službi, so pa prisotni vsi ostali iz 802 družine.

fujtajksel ::

Zna kdo pojasnit kaj je s tem posodabljanjem routerjev pri kracku? Po eni strani pravijo da je ranljivost client-side in da routerji ne rabijo popravkov, po drugi obstajajo seznami popatchanih routerjev. A gre tu le za popravek tistih zadev kjer router deluje client-side kot npr repeater, ali je mogoče s popravkom na routerju onemogočit zlorabo pri ranljivem klientu?

SeMiNeSanja ::

fujtajksel je izjavil:

Zna kdo pojasnit kaj je s tem posodabljanjem routerjev pri kracku? Po eni strani pravijo da je ranljivost client-side in da routerji ne rabijo popravkov, po drugi obstajajo seznami popatchanih routerjev. A gre tu le za popravek tistih zadev kjer router deluje client-side kot npr repeater, ali je mogoče s popravkom na routerju onemogočit zlorabo pri ranljivem klientu?

Lepo povedano, da tudi kakšen laik razume (previj na 5:47):

Zgodovina sprememb…

fujtajksel ::

No reče že da je mogoče s popravkom na routerju tudi onemogočit zlorabo pri ranljivem klientu. Ampak mi še vedno ni jasno če tisti routerji ki so na seznamih navedeni kot patched to že imajo ali bo do te stopnje moralo pretečt še nekaj vode in mogoče celo treba prej popravit standard?

SeMiNeSanja ::

Problem je predvsem na strani nekaj miljard najrazličnejših Android naprav, ki so v vsakodnevni uporabi, pa zanje proizvajalci ne nudijo več nobenih popravkov.

Doma jih še nekako rešuješ tako, da posodobiš router oz. AP. Kaj pa ko greš s to isto napravo nekam ven in se priključiš na nek javni dostop, kjer ne veš, če so naložili popravke? Morda nekdo namerno ni naložil popravkov, da bi se malo 'poigral' s tabo? Kaj če mu ni le do igre, ampak ga resno zanimajo podatki, katere si izmenjuješ?

Tu se potem pokaže tisti pravi smisel, zakaj je dobro uporabljati eno od VPN rešitev. Še najbolje, če imaš doma router, ki nudi VPN povezljivost in se vedno povežeš preko njega, ko nisi doma. V principu bi bilo to dobro početi tudi če nebi odkrili teh težav WPA2 protokola.

Brane22 ::

Razen, če čez mesec ali dva ne pridejo ven s podobno ranljivostjo tudi za VPN...
On a journey of life I chose a psycho path...

predi ::

fujtajksel je izjavil:

Zna kdo pojasnit kaj je s tem posodabljanjem routerjev pri kracku? Po eni strani pravijo da je ranljivost client-side in da routerji ne rabijo popravkov, po drugi obstajajo seznami popatchanih routerjev. A gre tu le za popravek tistih zadev kjer router deluje client-side kot npr repeater, ali je mogoče s popravkom na routerju onemogočit zlorabo pri ranljivem klientu?


What if there are no security updates for my router?

Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.


https://www.krackattacks.com/

Večinoma je bolje verjeti source-u, kot pa vendorju, ki več kot očitno miri svoje stranke.

fujtajksel ::

VPN seveda je treba uštimat za drugod tudi sicer. Ampak zdejle me zanima če je mogoče domače omrežje oz omrežje firme zaflikat na nivoju routerja tudi za primer da uletavajo ljudje s starimi telefoni in tablicami. Žal pri sourcu in na spiskih zaflikanosti routerjev ni jasno.

SeMiNeSanja ::

Brane22 je izjavil:

Razen, če čez mesec ali dva ne pridejo ven s podobno ranljivostjo tudi za VPN...

Saj so bile ranljivosti na OVPN, pa so jih pokrpali in svet gre dalje.

Dokler imaš 2-3 nivoje enkripcije (WPA2+VPN+HTTPS) se ne rabiš kaj dosti sekirat, če je eden od njih začasno ranljiv.

Hudir je edino s tistimi, ki ne posodabljajo svojih naprav in tako po nepotrebnem podaljšujejo življenjsko dobo številnim ranljivostim. S tem pa ne izpostavljajo le sebe, temveč tudi druge s katerimi si delijo omrežja ali komunicirajo.

SeMiNeSanja ::

@predi - žal nisem linkal blog strani ampak samo video. Blog stran ima navedene tudi vse relevantne povezave do 'verodostojnih virov' za poglobljeno raziskovanje.

Drugače je pri teh WPA2 ranljivostih (ni samo ena, ampak kar 10 njih) najbolj pozitivno to, da so njihovo javno razkritje zadržali, dokler se glavni ponudniki niso uspeli pripraviti s popravki. Nekateri popravki so bili tako že nameščeni na napravah, še predenj so bile ranljivosti sploh javno objavljene.

Morda se je komu zdelo, da je njegov vendor noro hitro objavil popravke, dejansko pa se je šlo za dobro koordinirano objavo. Malo bolj problematični so edino proizvajalci, ki niso člani širšega konzorcija ICASI in so tako za ranljivosti izvedeli šele takrat, kot mi vsi ostali. Ti bodo seveda nekoliko zamujali s popravki...

MrStein ::

Ali pa tisti, ki popravkov sploh več ne izdajajo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

MrStein je izjavil:

Ali pa tisti, ki popravkov sploh več ne izdajajo.

Ti so pa takointako problematični.

Sicer mi po svoje ni čisto jasno.... če kupiš pralni stroj, je proizvajalec po zakonu dolžan nuditi rezervne dele zanj še 3 leta po izteku garancije. V idealnem primeru si tako pokrit za najmanj 6 let.

Čim pa kupiš nek čunglaunga mobitel, pa lahko ostaneš brez popravkov še predenj se izteče garancija, pa se bo to smatralo kot 'business as usual' in se nimaš komu žaliti? Nekako mi to ne gre skupaj....

MrStein ::

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

MrStein je izjavil:

---> https://www.dz-rs.si ;)

Ne rabiš novega zakona - če varnostne popravke pričneš tretirati kot rezervne dele.

Drugače pa poglej avtomobilsko industrijo. Tam se točno ve, kaj je 'varnostni popravek'. Razlika je le v tem, da so tu v igri življenja, ne pa osebni podatki. Ti so očitno tretjerazredna kategorija.

Na eni strani navijajo vse strožja pravila okoli ZVOP, uvajajo GDPR in grozijo z nevem kakšnimi kaznimi, če ne bomo pazili na osebne podatke tretjih oseb. Istočasno pa nam to otežujejo, ker proizvajalce ne prisilijo, da bi zagotavljali brezplačne kritične varnostne popravke za obdobje 'pričakovane življenjske dobe' nekega izdelka.

MrStein ::

SeMiNeSanja je izjavil:


Ne rabiš novega zakona - če varnostne popravke pričneš tretirati kot rezervne dele.

Kako pa država karkoli "začne", če ne z zakonom?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Uporabnix ::

Kakšna je sedaj situacija s tem WIFIjem? Omenjena ranljivost se odpravi s posodobitvijo firmwarja za router? In če proizvajalec še kar ne ponudi posodobitve (npr. tplink TL-WR841N)?
...al je pač zdej ta ranljivost vseprisotna v vseh napravah, ki uporabljajo WPA2 - in to nepopravljivo?

Qcube ::

Posodobit je potrebno cliente, ne routerje, oz. samo v primeru če ga uporabljaš kot repeater.

Uporabnix ::

Qcube je izjavil:

Posodobit je potrebno cliente, ne routerje, oz. samo v primeru če ga uporabljaš kot repeater.

S clientom pa je mišljen kaj? npr. Windows 10?

Qcube ::

Ja, naprave. Win 10 je že bil posodobljen že pred javno objavo ranljivosti.

Miha 333 ::

Linux tudi. Največji problem so starejše Android naprave, ker za nekatere nikoli več ne bo posodobitev.

SeMiNeSanja ::

Miha 333 je izjavil:

Linux tudi. Največji problem so starejše Android naprave, ker za nekatere nikoli več ne bo posodobitev.

Kakor tudi večina IoT napravic, starejših od enega leta....
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Laptop na wifi ne dosega polne hitrosti

Oddelek: Pomoč in nasveti
403562 (2286) matobeli
»

Huda ranljivost v vseh napravah z Wi-Fi (strani: 1 2 )

Oddelek: Novice / Varnost
7225368 (20333) SeMiNeSanja
»

Ranljivost v WPA2 (KRACK)

Oddelek: Informacijska varnost
183949 (2933) jukoz
»

Resna ranljivost v Bluetoothu

Oddelek: Novice / Varnost
2610198 (7092) GizmoX
»

Slabi časi za zasebnost v Androidu (strani: 1 2 )

Oddelek: Novice / Varnost
7227455 (23055) matijadmin

Več podobnih tem