KRACK - WiFi WPA2 utoky

[JohnSnow 1]

Dobry den,

rad bych se zeptal, zda (a kdy priblizne) bude k dispozici firmware upgrade pro Vami poskytovane routery eliminujici moznost WPA2 utoku "KRACK" jak je popsano v nasledujicim clanku:

https://www.krackattacks.com/

 

Dekuji

[David - UPC 328]

@JohnSnow Zdravím. Snažíme se na takové situace reagovat co možná nejrychleji. V tuto chvíli ale neumím říct, kdy přijde oprava. Jakmile budu mít vice informací, napíšu Vám. 

[David - UPC 328]

Ještě doplním aktuální informace. V současné době nebyly známy žádné známky výskytu této zranitelnosti používané proti  Liberty Global, pod níž UPC spadá. Jedná se o mezinárodní standard používaný sítěmi WiFi po celém světě. Naše bezpečnostní týmy jsou vždy v pohotovosti pro případné problémy našich zákazníků a aktuálně celou situaci řeší. 
 

[JohnSnow 1]

Dekuji za odpoved. Objevi se informace o dostupnych aktualizacich take na webu UPC, pripadne bude zaslana uzivatelum e-mailem aby mohli vcas zaplaty nainstalovat?

[David - UPC 328]

@JohnSnow Určitě ano. I já Vás budu průběžně informovat  

[Dragokazov 7]

před 1 hodinou, David - UPC napsal:

Ještě doplním aktuální informace. V současné době nebyly známy žádné známky výskytu této zranitelnosti používané proti  Liberty Global,

Pokud nemonitorujete a nelogujete, co se děje v domácích sítích uživatů, tak to ani zjistit nemůžete. Pokud se tak děje, tak je to na prošetření úřady.

[tinkeruser 0]

před 2 hodinami, David - UPC napsal:

Ještě doplním aktuální informace. V současné době nebyly známy žádné známky výskytu této zranitelnosti používané proti  Liberty Global, pod níž UPC spadá. Jedná se o mezinárodní standard používaný sítěmi WiFi po celém světě.

Záměr byl snad dobrý, ale musel jsem si to přečíst třikrát, abych z té věty dedukoval zamýšlený smysl.  Každopáně, ano, "mezinárodní standard používaný sítěmi WiFi po celém světě" WPA2 je od včerejška oficálně otevřen kryptografickým útokům. Jediná "dobrá" zpráva snad je, že Andorid a Linux jsou na první ráně, protože předvídatelně nulují nonce.
Také se těším na velký firmwarový upgrade 2017... :-)

[FirmwareUpdate 1]

Dobrý den,

všichni velcí výrobci (Aruba, Cisco, Ubuntu, Fedora, Microsoft, Extreme Networks atd.) již mají update několik dní vydaný. Kdy máme očekávat patch pro statísíce zákazníků, kteří využívají zranitelné zařízení od UPC?

Děkuji.

[quadra2030 11]

Ako je zranitelne zariadenie od UPC? Chyba je na strane klientov.. nie na access pointe! Neviem o tom, ze by sa dal UPC router prepnut do wifi klienta.. a pokial viem, nepodporuje ani roaming!

[FirmwareUpdate 1]

4 minutes ago, quadra2030 napsal:

Ako je zranitelne zariadenie od UPC? Chyba je na strane klientov.. nie na access pointe! Neviem o tom, ze by sa dal UPC router prepnut do wifi klienta.. a pokial viem, nepodporuje ani roaming!

Aha, takže modem s wifi není Access Point? Zajímavá teorie. Patch stačí být aplikovaný na jedné straně - není tedy snažší opravit firmware síťového prvku, než všechny klienty, kteří se k němu připojují? Co když na klienta není patch k dispozici?

PS: Ještě k těm vykřičníkům přidejte velká písmena, ať všichní ví, že jste odborník.

[quadra2030 11]

Patch musi byt aplikovany vzdy na klientovi.. na access pointe nie je co opravovat.. treba si to lepsie nastudovat.

[Evzen 94]

@FirmwareUpdate: A jakeho presne mas klienta, ze na nej neni patch k dispozici?

Nejbeznejsi klienti - Windows - maji uz patch vetsinou nainstalovany: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
Linuxari a jablickari pocitam taky...

A treba TP-LINK tvrdi, ze pokud jsou jejich WiFi routery v klasickem "Router Mode" nebo "AP Mode" bez zapnuteho WDS (coz je default), tak jsou se zaplatovanym klientskym OS v pohode.
Je to tedy nejak jinak?

[FirmwareUpdate 1]

10 minutes ago, quadra2030 napsal:

Patch musi byt aplikovany vzdy na klientovi.. na access pointe nie je co opravovat.. treba si to lepsie nastudovat.

Pokud není na access pointu není co opravovat, proč tedy výrobci zveřejnili seznam afektovaných access pointů?

Např: Extreme Networks:

Affected Devices

AP3900 Series

AP3800 Series

AP3700 Series

Aruba:

Affected Products =================

-- ArubaOS (all versions prior to 6.3.1.25)

-- ArubaOS 6.4 prior to 6.4.4.16

-- ArubaOS 6.5.x prior to 6.5.1.9

-- ArubaOS 6.5.2.x

-- ArubaOS 6.5.3 prior to 6.5.3.3

-- ArubaOS 6.5.4 prior to 6.5.4.2

-- ArubaOS 8.x prior to 8.1.0.4

Pokud je chyba pouze na straně klienta, tak takové seznamy a nové firmwary pro takové zařízení jsou zbytečné, že?

14 minutes ago, Evzen napsal:

@FirmwareUpdate: A jakeho presne mas klienta, ze na nej neni patch k dispozici?

Nejbeznejsi klienti - Windows - maji uz patch vetsinou nainstalovany: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
Linuxari a jablickari pocitam taky...

A treba TP-LINK tvrdi, ze pokud jsou jejich WiFi routery v klasickem "Router Mode" nebo "AP Mode" bez zapnuteho WDS (coz je default), tak jsou se zaplatovanym klientskym OS v pohode.
Je to tedy nejak jinak?

Třeba Android. Google sice vydá opravu, ale teď je na výrobci konkrétního typu mobilu, zda opravu vydá či nikoliv.

Garážovka TP-LINK tvrdí, že jejich wifi routery patch nepotřebují? LOL

[Evzen 94]

20 minutes ago, FirmwareUpdate napsal:

Garážovka TP-LINK tvrdí, že jejich wifi routery patch nepotřebují? LOL

Takhle to nikde formulovane neni, pokud dobre ctu.

Tak co kdybys to nam, hloupym a nezkusenym laikum, zkusil nejak vysvetlit... nejak polopate, abychom to pochopili.

[quadra2030 11]

Zeby tie access pointy podporovali aj WDS ci roaming alebo station mode (ktore bezny uzivatel nepouziva)? A aj s opravenym firmware bude stale problem, ak sa bude na taky access point pripajat nepatchovany klient! A ano, najvacsi problem ma linux/android - resp. deravy wpa supplicant od verzie 2.4.. Windows/BSD/MacOS X/iOS su ovela tazsie zneuzitelne (aj bez opravy), kedze maju inak implementovany wpa handshake.

Mimochodom, routery/AP s Broadcom chipsetom nie su postihnute vobec (od UPC je to Technicolor 7200) - kedze Broadcom nepouziva wpa supplicant z linuxu :-)

 

Upraveno 23. října 2017 uživatelem quadra2030

[sodekcz 15]

quadra2030 : nerozumím jak je to mezi aktualizací klientů a WiFi zařízení ale vím, že výrobci jako např. Mikrotik a Ubiquiti také vydali opravy pro svoje zařízení.

[quadra2030 11]

Vydali opravy, pretoze Mikrotik/Ubiquiti/etc. podporuju aj WDS, 802.11r (fast transition roaming) alebo klientsky rezim (station mode) - ale v cistom AP rezime (co prevadzkuje drviva vacsina uzivatelov) nie je co opravovat.. teoreticky moze AP pri otvorenej handshake session zhodit 3. pokus, ale to nepomoze, pokial utocnik cielene vyuziva chybu na MITM utok.

TP-Link nemusim, ale napisali to spravne - AK su ich routery prevadzkovane v cistom AP mode, NIET co opravovat na strane AP!

Vacsina vyrobcov WiFi routerov/AP musi pockat na opravene verzie v upstreame od dodavatelov SoC (Broadcom, Qualcomm, Mediatek, Realtek).. hlavne ti, co nepouzivaju standardny linux wpa supplicant - preto su opravene ako prve ucLinux distribucie (LEDE/OpenWRT, DD-WRT, Mikrotik), ktore pouzivaju linux wpa supplicant..

Upraveno 23. října 2017 uživatelem quadra2030

[Evzen 94]

To vcelku odpovida tomu, co vyplyva z toho, jsem si precetl u toho TP-LINKu - ze pokud zarizeni podporuje rezim, kdy se chova jako klient (tj. typicky WiFi extendery... nebo i routery, ktere primo od vyrobce podporuji tento rezim), tak patch pro provoz v tomto rezimu potrebuje. Pokud ho ale uzivatel v tomto rezimu neprovozuje, neni nutne ho patchovat (samozrejme do te doby, nez se uzivatel rozhodne zarizeni v tomto rezimu provozovat).

Takze vzhledem tomu, ze Mikrotik i Ubiquiti patri do kategorie tech univerzalnich zarizeni, je logicke, ze vyrobce pro ne patch vydal...

Ale napr. muj TP-LINK WDR4300 nic takoveho ve stock firmware nepodporuje, takze ho TP-LINK ani na zminene strance neuvadi.

Tak tomu rozumim ja. Jestli se mylim, necham se rad poucit.

[tomas.jakl 0]

Pokud někoho zajímají podrobnosti, tak doporučuji pročíst stránky autora zmiňovaného KRACK útoku. Pro vědátory je pak k dispozici podrobný dokument Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 od objevitelezranitelnosti KRACK útoku (Mathy Vanhoef).

Jinak @quadra2030 má pravdu. Má smysl opravovat z principu jen zařízení, která umí pracovat v módu klienta. Na stránkách krackattacks.com je ve spodní části "Q & A" sice zmíněna možnost modifikace Access Point, která by řeší i bezpečnost připojování zranitelných (nepatchovaných) klientů, ale pokud jsem tomu dobře rozumněl, tak toto řešení aktuálně není předmětem firmwarových aktualizací.

Upraveno 23. října 2017 uživatelem tomas.jakl

[quadra2030 11]

Este jeden citat z LEDE/OpenWRT:

Some client devices might never receive an update, an optional AP-side workaround was introduced in hostapd to complicate these attacks, slowing them down. Please note that this does not fully protect you from them. As this workaround can cause interoperability issues and reduced robustness of key negotiation, this workaround is disabled by default.

Cize neexistuje 100% oprava na strane AP (navyse moze sposobit problemy s kompatibilitou WiFi), treba opravit klientov.. problem je, ze je (a bude) velka skupina WPA2-PSK klientov, ktori z roznych dovodov nedostanu opravu.

Upraveno 23. října 2017 uživatelem quadra2030

[R3gi 0]

@David - UPC Už máme listopad. Jak to, prosím, vypadá s vydáním opravné aktualizace?

[quadra2030 11]

Aka opravna aktualizacia? Na Technicolor nema dovod, pretoze:

1. Broadcom platforma

2. Bezi iba v AP mode bez rozsirenych vlastnosti

Samozrejme moze vyrobca vydat novu verziu fw, ale urcite nie kvoli KRACKu! Radsej odporucam venovat pozornost update vsetkych WiFi klientskych zariadeni (telefony, tablety, notebooky, SmartTV, IoT), to je skutocny problem!

Bolo by vhodne venovat par minut precitaniu celeho vlakna (nie je take dlhe), usetri zbytocne otazky aj cas..

[R3gi 0]

Zajímala mě nějaká oficiální reakce UPC. Takže tento modem s UPC FW je bezpečný?

[Evzen 94]

23 minutes ago, R3gi napsal:

Takže tento modem s UPC FW je bezpečný?

Definuj, co chapes jako "bezpecny". A uved, co konkretne te vede k domnence, ze by mohl nebyt "bezpecny".

Nechapani podstaty problemu vede k nesmyslnym otazkam...

[David - UPC 328]

@R3gi Zdravím, zatím nemám nové konkrétní informace. Jakmile budu něco mít, UPC Zone bude první, kam to napíšu.