Přejít na obsah
  • Sdělení

    • David - UPC

      Vítejte na diskuzním fóru UPC Zone   19.7.2017

      UPC Zone je nezávislé internetové fórum, kde mohou uživatelé mezi sebou diskutovat, sdílet zkušenosti a rady. Kritika zde není cenzurována, avšak chovejte se slušně a dodržujte pravidla fóra.
    • David - UPC

      Výpadek služby zpětného zhlédnutí   26.11.2017

      Vážení zákazníci, aktuálně registrujeme výpadek služby zpětného zhlédnutí na všech platformách. Omlouvám se za nepříjemné komplikace. David - UPC 

Recommended Posts

Ještě doplním aktuální informace. V současné době nebyly známy žádné známky výskytu této zranitelnosti používané proti  Liberty Global, pod níž UPC spadá. Jedná se o mezinárodní standard používaný sítěmi WiFi po celém světě. Naše bezpečnostní týmy jsou vždy v pohotovosti pro případné problémy našich zákazníků a aktuálně celou situaci řeší. 
 

  • lokalitaPraha
  • internetInternet 500
  • televizeTV Komplet
  • telefon-
  • zařízeníCompal, CA Modul, HD DVR Mediabox

Sdílet toto téma


Link to post
před 1 hodinou, David - UPC napsal:

Ještě doplním aktuální informace. V současné době nebyly známy žádné známky výskytu této zranitelnosti používané proti  Liberty Global,

Pokud nemonitorujete a nelogujete, co se děje v domácích sítích uživatů, tak to ani zjistit nemůžete. Pokud se tak děje, tak je to na prošetření úřady.

  • lokalitaOstrava
  • internetFiber Business 500
  • televizeBusiness Exclusive
  • telefon-
  • zařízeníModem Compal, HD PVR, Horizon, CA modul

Sdílet toto téma


Link to post
před 2 hodinami, David - UPC napsal:

Ještě doplním aktuální informace. V současné době nebyly známy žádné známky výskytu této zranitelnosti používané proti  Liberty Global, pod níž UPC spadá. Jedná se o mezinárodní standard používaný sítěmi WiFi po celém světě.

Záměr byl snad dobrý, ale musel jsem si to přečíst třikrát, abych z té věty dedukoval zamýšlený smysl.  Každopáně, ano, "mezinárodní standard používaný sítěmi WiFi po celém světě" WPA2 je od včerejška oficálně otevřen kryptografickým útokům. Jediná "dobrá" zpráva snad je, že Andorid a Linux jsou na první ráně, protože předvídatelně nulují nonce.
Také se těším na velký firmwarový upgrade 2017... :-)

  • lokalitaostrava privoz
  • internet-
  • televize-
  • telefon-
  • zařízeníUPC66AE21B

Sdílet toto téma


Link to post

Dobrý den,

všichni velcí výrobci (Aruba, Cisco, Ubuntu, Fedora, Microsoft, Extreme Networks atd.) již mají update několik dní vydaný. Kdy máme očekávat patch pro statísíce zákazníků, kteří využívají zranitelné zařízení od UPC?

Děkuji.

  • lokalitaOstrava
  • internetInternet 100
  • televize-
  • telefon-
  • zařízeníTechnicolor

Sdílet toto téma


Link to post

Ako je zranitelne zariadenie od UPC? Chyba je na strane klientov.. nie na access pointe! Neviem o tom, ze by sa dal UPC router prepnut do wifi klienta.. a pokial viem, nepodporuje ani roaming!

  • lokalitaBratislava
  • internetInternet 300
  • televizeTV Komfort
  • telefonTelefón 120
  • zařízeníTechnicolor TC7200 v2, CA moduly

Sdílet toto téma


Link to post
4 minutes ago, quadra2030 napsal:

Ako je zranitelne zariadenie od UPC? Chyba je na strane klientov.. nie na access pointe! Neviem o tom, ze by sa dal UPC router prepnut do wifi klienta.. a pokial viem, nepodporuje ani roaming!

Aha, takže modem s wifi není Access Point? Zajímavá teorie. Patch stačí být aplikovaný na jedné straně - není tedy snažší opravit firmware síťového prvku, než všechny klienty, kteří se k němu připojují? Co když na klienta není patch k dispozici?

PS: Ještě k těm vykřičníkům přidejte velká písmena, ať všichní ví, že jste odborník.

  • lokalitaOstrava
  • internetInternet 100
  • televize-
  • telefon-
  • zařízeníTechnicolor

Sdílet toto téma


Link to post

@FirmwareUpdate: A jakeho presne mas klienta, ze na nej neni patch k dispozici?

Nejbeznejsi klienti - Windows - maji uz patch vetsinou nainstalovany: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
Linuxari a jablickari pocitam taky...

A treba TP-LINK tvrdi, ze pokud jsou jejich WiFi routery v klasickem "Router Mode" nebo "AP Mode" bez zapnuteho WDS (coz je default), tak jsou se zaplatovanym klientskym OS v pohode.
Je to tedy nejak jinak?

  • lokalitaBrno
  • internetInternet 300
  • televizeTV Komfort
  • telefonTelefon 30 minut
  • zařízenímodem Cisco EPC3208, CA modul SMIT CI+

Sdílet toto téma


Link to post
10 minutes ago, quadra2030 napsal:

Patch musi byt aplikovany vzdy na klientovi.. na access pointe nie je co opravovat.. treba si to lepsie nastudovat.

Pokud není na access pointu není co opravovat, proč tedy výrobci zveřejnili seznam afektovaných access pointů?

Např: Extreme Networks:

Affected Devices

AP3900 Series

AP3800 Series

AP3700 Series

Aruba:

Affected Products =================

-- ArubaOS (all versions prior to 6.3.1.25)

-- ArubaOS 6.4 prior to 6.4.4.16

-- ArubaOS 6.5.x prior to 6.5.1.9

-- ArubaOS 6.5.2.x

-- ArubaOS 6.5.3 prior to 6.5.3.3

-- ArubaOS 6.5.4 prior to 6.5.4.2

-- ArubaOS 8.x prior to 8.1.0.4

Pokud je chyba pouze na straně klienta, tak takové seznamy a nové firmwary pro takové zařízení jsou zbytečné, že?

14 minutes ago, Evzen napsal:

@FirmwareUpdate: A jakeho presne mas klienta, ze na nej neni patch k dispozici?

Nejbeznejsi klienti - Windows - maji uz patch vetsinou nainstalovany: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
Linuxari a jablickari pocitam taky...

A treba TP-LINK tvrdi, ze pokud jsou jejich WiFi routery v klasickem "Router Mode" nebo "AP Mode" bez zapnuteho WDS (coz je default), tak jsou se zaplatovanym klientskym OS v pohode.
Je to tedy nejak jinak?

Třeba Android. Google sice vydá opravu, ale teď je na výrobci konkrétního typu mobilu, zda opravu vydá či nikoliv.

Garážovka TP-LINK tvrdí, že jejich wifi routery patch nepotřebují? LOL

  • lokalitaOstrava
  • internetInternet 100
  • televize-
  • telefon-
  • zařízeníTechnicolor

Sdílet toto téma


Link to post
20 minutes ago, FirmwareUpdate napsal:

Garážovka TP-LINK tvrdí, že jejich wifi routery patch nepotřebují? LOL

Takhle to nikde formulovane neni, pokud dobre ctu.

Tak co kdybys to nam, hloupym a nezkusenym laikum, zkusil nejak vysvetlit... nejak polopate, abychom to pochopili.

  • lokalitaBrno
  • internetInternet 300
  • televizeTV Komfort
  • telefonTelefon 30 minut
  • zařízenímodem Cisco EPC3208, CA modul SMIT CI+

Sdílet toto téma


Link to post

Zeby tie access pointy podporovali aj WDS ci roaming alebo station mode (ktore bezny uzivatel nepouziva)? A aj s opravenym firmware bude stale problem, ak sa bude na taky access point pripajat nepatchovany klient! A ano, najvacsi problem ma linux/android - resp. deravy wpa supplicant od verzie 2.4.. Windows/BSD/MacOS X/iOS su ovela tazsie zneuzitelne (aj bez opravy), kedze maju inak implementovany wpa handshake.

Mimochodom, routery/AP s Broadcom chipsetom nie su postihnute vobec (od UPC je to Technicolor 7200) - kedze Broadcom nepouziva wpa supplicant z linuxu :-)

 

Upraveno uživatelem quadra2030
  • lokalitaBratislava
  • internetInternet 300
  • televizeTV Komfort
  • telefonTelefón 120
  • zařízeníTechnicolor TC7200 v2, CA moduly

Sdílet toto téma


Link to post

quadra2030 : nerozumím jak je to mezi aktualizací klientů a WiFi zařízení ale vím, že výrobci jako např. Mikrotik a Ubiquiti také vydali opravy pro svoje zařízení.

  • lokalitaBrno
  • internetInternet 100
  • televizeTV Start
  • telefon-
  • zařízeníTC7200

Sdílet toto téma


Link to post

Vydali opravy, pretoze Mikrotik/Ubiquiti/etc. podporuju aj WDS, 802.11r (fast transition roaming) alebo klientsky rezim (station mode) - ale v cistom AP rezime (co prevadzkuje drviva vacsina uzivatelov) nie je co opravovat.. teoreticky moze AP pri otvorenej handshake session zhodit 3. pokus, ale to nepomoze, pokial utocnik cielene vyuziva chybu na MITM utok.

TP-Link nemusim, ale napisali to spravne - AK su ich routery prevadzkovane v cistom AP mode, NIET co opravovat na strane AP!

Vacsina vyrobcov WiFi routerov/AP musi pockat na opravene verzie v upstreame od dodavatelov SoC (Broadcom, Qualcomm, Mediatek, Realtek).. hlavne ti, co nepouzivaju standardny linux wpa supplicant - preto su opravene ako prve ucLinux distribucie (LEDE/OpenWRT, DD-WRT, Mikrotik), ktore pouzivaju linux wpa supplicant..

Upraveno uživatelem quadra2030
  • lokalitaBratislava
  • internetInternet 300
  • televizeTV Komfort
  • telefonTelefón 120
  • zařízeníTechnicolor TC7200 v2, CA moduly

Sdílet toto téma


Link to post

To vcelku odpovida tomu, co vyplyva z toho, jsem si precetl u toho TP-LINKu - ze pokud zarizeni podporuje rezim, kdy se chova jako klient (tj. typicky WiFi extendery... nebo i routery, ktere primo od vyrobce podporuji tento rezim), tak patch pro provoz v tomto rezimu potrebuje. Pokud ho ale uzivatel v tomto rezimu neprovozuje, neni nutne ho patchovat (samozrejme do te doby, nez se uzivatel rozhodne zarizeni v tomto rezimu provozovat).

Takze vzhledem tomu, ze Mikrotik i Ubiquiti patri do kategorie tech univerzalnich zarizeni, je logicke, ze vyrobce pro ne patch vydal...

Ale napr. muj TP-LINK WDR4300 nic takoveho ve stock firmware nepodporuje, takze ho TP-LINK ani na zminene strance neuvadi.

Tak tomu rozumim ja. Jestli se mylim, necham se rad poucit.

  • lokalitaBrno
  • internetInternet 300
  • televizeTV Komfort
  • telefonTelefon 30 minut
  • zařízenímodem Cisco EPC3208, CA modul SMIT CI+

Sdílet toto téma


Link to post

Pokud někoho zajímají podrobnosti, tak doporučuji pročíst stránky autora zmiňovaného KRACK útoku. Pro vědátory je pak k dispozici podrobný dokument Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 od objevitelezranitelnosti KRACK útoku (Mathy Vanhoef).

Jinak @quadra2030 má pravdu. Má smysl opravovat z principu jen zařízení, která umí pracovat v módu klienta. Na stránkách krackattacks.com je ve spodní části "Q & A" sice zmíněna možnost modifikace Access Point, která by řeší i bezpečnost připojování zranitelných (nepatchovaných) klientů, ale pokud jsem tomu dobře rozumněl, tak toto řešení aktuálně není předmětem firmwarových aktualizací.

Upraveno uživatelem tomas.jakl
  • lokalitaPraha 5
  • internetInternet 100
  • televizeTV Start
  • telefon-
  • zařízeníConnect Box

Sdílet toto téma


Link to post

Este jeden citat z LEDE/OpenWRT:

Some client devices might never receive an update, an optional AP-side workaround was introduced in hostapd to complicate these attacks, slowing them down. Please note that this does not fully protect you from them. As this workaround can cause interoperability issues and reduced robustness of key negotiation, this workaround is disabled by default.

Cize neexistuje 100% oprava na strane AP (navyse moze sposobit problemy s kompatibilitou WiFi), treba opravit klientov.. problem je, ze je (a bude) velka skupina WPA2-PSK klientov, ktori z roznych dovodov nedostanu opravu.

Upraveno uživatelem quadra2030
  • lokalitaBratislava
  • internetInternet 300
  • televizeTV Komfort
  • telefonTelefón 120
  • zařízeníTechnicolor TC7200 v2, CA moduly

Sdílet toto téma


Link to post

Aka opravna aktualizacia? Na Technicolor nema dovod, pretoze:

1. Broadcom platforma

2. Bezi iba v AP mode bez rozsirenych vlastnosti

Samozrejme moze vyrobca vydat novu verziu fw, ale urcite nie kvoli KRACKu! Radsej odporucam venovat pozornost update vsetkych WiFi klientskych zariadeni (telefony, tablety, notebooky, SmartTV, IoT), to je skutocny problem!

Bolo by vhodne venovat par minut precitaniu celeho vlakna (nie je take dlhe), usetri zbytocne otazky aj cas..

  • lokalitaBratislava
  • internetInternet 300
  • televizeTV Komfort
  • telefonTelefón 120
  • zařízeníTechnicolor TC7200 v2, CA moduly

Sdílet toto téma


Link to post
23 minutes ago, R3gi napsal:

Takže tento modem s UPC FW je bezpečný?

Definuj, co chapes jako "bezpecny". A uved, co konkretne te vede k domnence, ze by mohl nebyt "bezpecny".

Nechapani podstaty problemu vede k nesmyslnym otazkam...

  • lokalitaBrno
  • internetInternet 300
  • televizeTV Komfort
  • telefonTelefon 30 minut
  • zařízenímodem Cisco EPC3208, CA modul SMIT CI+

Sdílet toto téma


Link to post

Pokud chcete odpovídat, musíte se přihlásit nebo si vytvořit účet.

Pouze registrovaní uživatelé mohou odpovídat

Vytvořit účet

Vytvořte si nový účet. Je to snadné!

Vytvořit nový účet

Přihlásit se

Máte již účet? Zde se přihlašte.

Přihlásit se


  • Kdo si právě prohlíží tuto stránku   0 registrovaných uživatelů

    Žádný registrovaný uživatel si neprohlíží tuto stránku

×