С порастом технологије све су наше информације изложене жртвама неке врсте напада и иако мислимо да нам се то никада неће догодити, морамо бити опрезни и препознати да нападачи пропагирају своје циљеве без одабира жртава.
Недавно смо разговарали и видели како је Рансомваре утицао на хиљаде корисника и компанија широм света, буквално отимајући њихове податке и тражећи новчану награду која би расла из дана у дан ако се не би прихватило њено потраживање.
Рансомваре су коначно контролирали различита сигурносна ажурирања, али је оставила трага на сигурносна питања и када смо мислили да је све релативно мирно, појављује се нова пријетња која несумњиво има глобални утјецај због своје врсте ширења и циља напада и добро познати Крацк напад који је откривен 16. октобра ове године.
Крацк напад је КРАЦК рањивост у ВПА2 која је, сви знамо, најчешћи безбедносни метод у већини бежичних рутера објављених од 2004. године. Његова природа омогућава хакерима да се инфилтрирају у потпуно сигурну Ви-Фи везу, а да жртви то не саопште док не постане прекасно је да учине нешто по том питању како би подузели сигурносне мјере, а због забринутости због овог једноставног напада, велика већина данашњих бежичних уређаја, укључујући и наше мобилне уређаје, користи ВПА2 за преговарање о уласку у мрежу.
Шта је и како функционише Крацк напад?Споменули смо да је ВПА2 протокол дизајниран за заштиту свих тренутно заштићених Ви-Фи мрежа, па с Крацком нападач у домету мреже жртве може искористити ове слабости користећи кључне нападе поновне инсталације (КРАЦК). То јест, нападачи могу користити ова нова техника напада за читање информација које су раније требале бити сигурно шифроване. Ово се може користити за крађу поверљивих информација као што су бројеви кредитних картица, лозинке, поруке за ћаскање, е -поруке, фотографије итд.
Напад делује против свих савремених заштићених Ви-Фи мрежа, а у зависности од конфигурације мреже могуће је и убризгавање и манипулација подацима. На пример, нападач би могао да убаци рансомваре или други злонамерни софтвер у веб странице једноставним повезивањем на Ви-Фи мрежу.
Два система која су најугроженија овом нападу су Андроид, од верзије 6.0, и Линук, јер је могуће поново инсталирати кључ за шифровање са нула података. Приликом напада на друге уређаје теже је дешифровати све пакете, иако се велики број пакета може дешифровати.
Следећи видео детаљно објашњава како нападач може дешифровати све податке које жртва пренесе:
1. Детаљно како Крацк напад функционише
Крацк напад је усмерен ка четворосмерном процесу ВПА2 протокола који се јавља када се клијент жели придружити заштићеној Ви-Фи мрежи, а користи се за потврду да и клијент и приступна тачка имају исправне акредитиве.
Овим четворосмерним процесом договара се нови кључ за шифровање који ће се користити за шифровање целог наредног саобраћаја. Тренутно све модерне заштићене Ви-Фи мреже користе протокол четворосмерне везе који имплицира да су све ове мреже погођене Краков нападом или неком другом варијантом. На пример, напад делује против личних и пословних Ви-Фи мрежа, против старог ВПА и најновијег ВПА2 стандарда, па чак и против мрежа које користе само АЕС шифровање. Сви ови напади на ВПА2 користе нову технику која се назива кључни напад поновне инсталације (КРАЦК) која се састоји од следећих корака:
Напади поновне инсталације кључева - преглед на високом нивоуУ нападу поновне инсталације кључа, нападач превари жртву да поново инсталира кључ који је већ у употреби. То чини манипулацијом и поновном репродукцијом криптографских поздравних порука. Када жртва поново инсталира кључ, повезани параметри, као што је инкрементални број пакета за пренос и број пакета за пријем, биће враћени на почетну вредност. У основи, како би се осигурала сигурност, кључ би требало инсталирати и користити само једном. Нажалост, ова врста праксе није загарантована протоколом ВПА2.
Кључни напади поновне инсталације - конкретан пример против четворосмерног процеса ВПА2Када се клијент придружи Ви-Фи мрежи, он покреће четворосмерну везу ради договора о новом кључу шифровања. Овај кључ ћете инсталирати након што примите поруку 3 са четворосмерне везе, а након што се кључ инсталира, користиће се за шифровање нормалних оквира података помоћу протокола за шифровање.
Међутим, пошто се поруке могу изгубити или одбацити, приступна тачка (АП) ће поново послати поруку 3 ако није примила одговарајући одговор као потврду. Као резултат тога, клијент може примити поруку 3 више пута и сваки пут када прими ову поруку, поново ће инсталирати исти кључ за шифровање и на тај начин ресетовати број инкременталног пакета преноса и примити бројач поновљених порука који користи протокол за шифровање.
Као резултат тога, присилним поновним коришћењем пакета за пренос и на овај начин, протокол шифровања може бити нападнут, на пример, пакети се могу репродуковати, дешифровати и / или фалсификовати. Иста техника се такође може користити за напад на групни кључ, ПеерКеи, ТДЛС и брзу БСС прелазну везу.
УтицајДешифровање пакета је могуће јер напад поновне инсталације кључа доводи до тога да се бројеви преноса (који се понекад називају и бројеви пакета или вектори иницијализације) ресетују на нулу. Као резултат тога, исти кључ за шифровање се користи са вредностима пакета преноса који су већ коришћени у прошлости. Заузврат, ово доводи до тога да сви протоколи шифровања ВПА2 поново користе ток кључа приликом шифровања пакета, омогућавајући Крацк напад.
Могућност дешифровања пакета може се користити за дешифровање ТЦП СИН пакета омогућавајући противнику да добије ТЦП редне бројеве везе и отме ТЦП везе. Као резултат тога, иако смо заштићени ВПА2, противник сада може извести један од најчешћих напада на отворене Ви-Фи мреже: убризгавање злонамерних података у нешифроване ХТТП везе. На пример, нападач може искористити ову ситуацију да убаци рансомваре или злонамерни софтвер на веб локације које жртва посећује и које нису шифроване.
Ако жртва користи ВПА-ТКИП или ГЦМП протокол за шифровање, уместо АЕС-ЦЦМП, утицај је експоненцијално критичнији.
2. Утицај Крацк напада на Андроид и Линук
На Крацк напад најјаче утиче верзија впа_супплицант верзије 2.4 и новије, која је често коришћен Ви-Фи клијент на Линуку.
У овом случају, корисник ће инсталирати нулти кључ за шифровање уместо поновног инсталирања стварног кључа. Чини се да је ова рањивост последица коментара у Ви-Фи стандарду који предлаже брисање кључа за шифровање из меморије када се први пут инсталира. Када клијент сада прими пренесену поруку са ВПА2 4-смерне везе, он ће поново инсталирати сада избрисани кључ за шифровање, ефикасно инсталирајући нулти кључ.
У случају Андроида можемо видети да се користи впа_супплицант, па Андроид 6.0 и новије верзије такође садрже ову рањивост која олакшава пресретање и манипулацију саобраћајем који шаљу ови Линук и Андроид уређаји.
Морамо имати на уму да је тренутно 50% Андроид уређаја рањиво на ову погубну варијанту Крацк -а, па морамо бити опрезни и подузети потребне сигурносне мјере како не бисмо били још једна жртва.
ЦВЕ (Заједничке рањивости и изложености - Уобичајене рањивости и изложености) развијен је како би пратио на које производе утичу одређени случајеви Крацк напада на кључном нивоу поновне инсталације.
Тренутни ЦВЕ -ови доступни су:
Пеер-то-пеер кључ за шифровање (ПТК-ТК) поновно инсталирање при 4-смерном руковању
ЦВЕ-2017-13077
Поновна инсталација групног кључа (ГТК) на 4-смерно руковање
ЦВЕ-2017-13078
Поновна инсталација кључа групе интегритета (ИГТК) на 4-смерно руковање
ЦВЕ-2017-13079
Поновна инсталација групних кључева (ГТК) у размени групних кључева
ЦВЕ-2017-13080
Поновна инсталација кључа групе интегритета (ИГТК) у поздраву кључа групе
ЦВЕ-2017-13081
Прихватање захтева за брзу поновну везу БСС транзиције (ФТ) и поновну инсталацију упареног кључа за шифровање (ПТК-ТК)
ЦВЕ-2017-13082 [
Поновна инсталација СТК кључа у процесу ПеерКеи
ЦВЕ-2017-13084
Поновно инсталирање ПеерКеи -а тунела за прослеђивање везе (ТДЛС) (ТПК) у ТДЛС руковање
ЦВЕ-2017-13086
Поновна инсталација групног кључа (ГТК) при обради оквира за одговор у режиму спавања у режиму спавања за управљање бежичном мрежом (ВНМ)
ЦВЕ-2017-13087
Поновна инсталација кључа групе интегритета (ИГТК) при обради оквира за одговор у режиму спавања за управљање бежичном мрежом (ВНМ)
ЦВЕ-2017-13088
Морамо имати на уму да сваки ЦВЕ идентификатор представља посебну инстанцу напада на поновну инсталацију кључа. То значи да сваки ЦВЕ ИД описује одређену рањивост протокола и стога сваки појединачни ЦВЕ ИД утиче на многе добављаче, на пример Мицрософт је развио ЦВЕ-2017-13080 за своје Виндовс 10 уређаје.
ЕНЛАРГЕ
Овим нападом морамо разјаснити да неће бити могуће украсти лозинку наше Ви-Фи мреже, али ће моћи да шпијунира све што радимо преко ње, што је деликатно и Крацк не ради против Виндовс или иОС уређаја .
Можемо видети да је Андроид омогућен са свим Краковим путевима напада:
ЕНЛАРГЕ
Овим можемо напоменути да су друге угрожене платформе, у мањем обиму, ОпенБСД, ОС Кс 10.9.5 и мацОС Сиерра 10.12
4. Како се заштитити од овог Крацк напада
Будући да смо невидљиви напад, никада нећемо схватити ако нас нападне Крацк, па следеће можемо узети као добру праксу:
- Ако је могуће, користите ВПН мреже
- Увек проверите да ли веб локације користе безбедни ХТТП протокол, ХТТПС
- Уверите се да су сви уређаји ажурирани, а такође ажурирајте и фирмвер рутера
- Користите сигурносне закрпе произвођача на следећим линковима:
Ускоро ће бити покренут низ скрипти које ће бити од велике помоћи за ублажавање утицаја Крацка и тако се суочити са овом новом претњом.
Иако су наши уређаји подложни овом нападу, морамо бити пажљиви на начин на који се крећемо, како уносимо личне податке и, изнад свега, бити свесни нових ажурирања система.
