Domanda:
Per proteggersi sufficientemente da KRACK è necessario applicare una patch al client, all'AP o a entrambi?
Jon Bentley
2017-10-16 21:25:21 UTC
view on stackexchange narkive permalink

A seguito di questa domanda, non sono chiaro quale dei seguenti passaggi sia sufficiente per proteggere una connessione Wi-Fi basata su WPA2 dal difetto KRACK:

  1. Patch dell'AP (ad es. router)
  2. Patch del client (ad es. dispositivo mobile)
  3. Patch dell'AP e del client

La risposta attualmente più votata, citando https://www.krackattacks.com, afferma:

Sia i client che i punti di accesso sono elencati nel documento come vulnerabili.

e:

le implementazioni possono essere patchate in modo retrocompatibile [ ...] Per prevenire l'attacco, gli utenti devono aggiornare i prodotti interessati non appena gli aggiornamenti di sicurezza diventano disponibili. [...] un client con patch può ancora comunicare con un punto di accesso senza patch e viceversa.

Ma questo sembra lasciare aperta la questione di quale combinazione (i) di patch sarebbe una soluzione efficace. È chiaro, ad esempio, che se dovessi patchare il mio telefono, sarebbe comunque in grado di comunicare con un AP senza patch, ma quella comunicazione sarebbe sicura?

Questa è una domanda importante, perché sebbene sia relativamente è facile assicurarsi che i miei client siano patchati una volta che la patch è disponibile (poiché il numero di fornitori di sistemi operativi è relativamente piccolo), garantire che tutti i router siano patchati (in particolare negli AP Wi-Fi pubblici) sembra un compito molto più difficile a causa del numero e delle dimensioni i fornitori e la mancanza di controllo sull'hardware di terze parti.

Un altro modo per proteggere senza applicare patch è utilizzare VPN.Vedi https://security.stackexchange.com/q/171431/22488 Assicurati di utilizzare una soluzione VPN adeguata come OpenVPN to home, o F-Secure Freedome, e non uno dei tanti che inseriscono javascript o installano certificati.
Nove risposte:
#1
+85
Citricguy
2017-10-17 09:31:50 UTC
view on stackexchange narkive permalink

Per proteggere completamente la tua rete, sarà necessario applicare una patch sia al dispositivo che al punto di accesso:

Fonte: https://www.krackattacks.com/#faq

Infine, sebbene un client senza patch possa comunque connettersi a un AP con patch e viceversa, sia il client che l'AP devono essere aggiornati per difendersi da tutti gli attacchi!

Questa citazione fornisce un'implicazione unidirezionale.Se non dice se applicare la patch solo al client è sufficiente.In caso contrario, tutti sono fregati e possiamo chiudere tutte le mogli.Non puoi controllare i router nell'eduroam locale o in altre reti sul posto di lavoro.
@VladimirF Mi sembra abbastanza esplicito: "sia il client che l'AP devono essere aggiornati per difendersi da tutti gli attacchi"
L'applicazione di patch al router è necessaria solo se il router funziona anche come client, ovvero quando è un ripetitore o supporta il roaming.La stessa FAQ solo in seguito: * "E se non ci sono aggiornamenti di sicurezza per il mio router? ... potrebbe essere che il tuo router non richieda aggiornamenti di sicurezza." *.
A proposito, la citazione in questa risposta non era su krackattacks.com quando ieri ho letto il sito e ho scritto il mio post.Ho ancora la pagina non aggiornata caricata in una scheda del browser.Mi chiedevo come mi mancasse vederlo ...
È importante notare che l'applicazione di patch agli AP protegge dall'attacco FT 802.11r che viene solitamente utilizzato solo su reti aziendali con più AP in un'unica posizione e in roaming.Non sono sicuro che il tipico AP o router di casa / ufficio supporti anche 802.11r, ma potrebbe essere disabilitato senza perdita di funzionalità invece di applicare patch al router / AP.Se il router / AP è anche un client (ad es. In qualche tipo di extender o configurazione mesh), sarà comunque necessario applicare la patch al router / AP come client.
@JeffAlyanak Sembra così, ma allo stesso tempo https://security.stackexchange.com/a/171549/52150
@Vladimir F Penso che ciò che la risposta sta dicendo in quella risposta è che a volte l'AP può agire anche come client e poiché questo è un attacco al client, in alcuni casi anche l'AP avrà bisogno di un aggiornamento.Pertanto, "Sia il client che l'AP devono essere aggiornati per difendersi da TUTTI gli attacchi".Non sempre ... ma a volte.In definitiva, "siamo tutti fottuti, a volte"
@VladimirF, ma quella risposta dice "non sempre".Che ne dici di stare sul sicuro e patchare sempre il client e patchare sempre il router?
@NH.A casa e al lavoro di sicuro.All'aeroporto?O su un treno?Come controllerai che siano patchati?E anche a casa il router spesso appartiene ed è amministrato dall'ISP.
@VladimirF, non puoi.Ma puoi e dovresti usare https ovunque ed evitare di condividere file e dispositivi quando sei negli aeroporti (perché dovresti, comunque?).
@NH Ho menzionato il router di proprietà dell'ISP (** molto ** comune), non solo l'aeroporto ...
#2
+50
Steffen Ullrich
2017-10-17 23:49:44 UTC
view on stackexchange narkive permalink

TL; DR: spesso (ma non sempre) è sufficiente patchare correttamente il client WiFi.
È necessario patchare anche il router perché funziona anche come client WiFi (ad es. un ripetitore) o ha il roaming veloce (802.11r) abilitato.

La parte essenziale degli attacchi è che il client accetti nuovamente il messaggio 3 dell'handshake a 4 vie che fa sì che il client lo reinstalli chiave di crittografia e per reimpostare la protezione nonce e replay - in questo modo rendendo possibile la riproduzione e talvolta anche l'iniezione.

Ciò significa che se il client è patchato per non accettare un messaggio 3 che contiene la stessa chiave già installata, lo farà non reinstallare la chiave e non ripristinare nonce e protezione replay. Questo dovrebbe essere sufficiente per contrastare l'attacco, indipendentemente dal fatto che il server sia patchato o meno.

Inoltre, preso direttamente da https://www.krackattacks.com:

E se non ci fossero aggiornamenti di sicurezza per il mio router?

Il nostro attacco principale è contro l'handshake a 4 vie e non sfrutta i punti di accesso, ma invece si rivolge ai clienti. Quindi è possibile che il tuo router non richieda aggiornamenti di sicurezza . Ti consigliamo vivamente di contattare il tuo venditore per maggiori dettagli. In generale, però, puoi provare a mitigare gli attacchi contro router e punti di accesso disabilitando la funzionalità client (che viene ad esempio utilizzata nelle modalità ripetitore) e disabilitando 802.11r (roaming veloce). Per gli utenti domestici ordinari, la tua priorità dovrebbe essere l'aggiornamento di client come laptop e smartphone .

#3
+28
mobill
2017-10-16 22:05:33 UTC
view on stackexchange narkive permalink

Secondo questo post di IBM XForce:

[...] Gli attacchi devono essere nel raggio del punto di accesso e del client. Sia il client che il punto di accesso devono essere patchati per essere protetti da questi attacchi. Se il punto di accesso è patchato, ma non il client, lo sfruttamento è ancora possibile.

Prima di Tuesday @ 2017-10-17 10: 42a CDT: IBM ha detto: sub>

[...] se anche solo uno dei dispositivi (client o punto di accesso) è stato patchato, la coppia non è vulnerabile a questa forma di attacco. sup>

Ho lasciato il testo originale per scopi storici.

Per cercare di spiegare ulteriormente, la mia comprensione è che l'attacco si basa sulla "reinstallazione" di una chiave che è conosciuta dall'aggressore (in particolare, la chiave è 0).L'AP e la stazione necessitano della stessa chiave per comunicare.Se la chiave viene modificata solo su uno della coppia, non saranno in grado di comunicare quindi non ci sarebbero comunicazioni da intercettare per l'attaccante.
Ciò è in contrasto con [krackattacks.com] (https://www.krackattacks.com/#faq), che afferma: * Infine, sebbene un client senza patch possa comunque connettersi a un AP con patch e viceversa, entrambi i cliente AP deve essere patchato per difendersi da tutti gli attacchi! *
Guarda questo commit: https://github.com/vanhoefm/krackattacks/commit/1b32c02dd7371dbbd09912f1b3159c02b4c6ee61.Questo è stato fatto per chiarire il b ***** del post di IBM XForce.
Questa risposta ha la maggior parte dei voti positivi, ma è sbagliata e inganna le persone, quindi dovrebbe essere chiarita.
@WillVousden Questa citazione dà un'implicazione unidirezionale.Se non dice se applicare la patch solo al client è sufficiente.In caso contrario, tutti sono fregati e possiamo chiudere tutte le mogli.Non puoi controllare i router nell'eduroam locale o in altre reti sul posto di lavoro.
@VladimirF Immagino sia ambiguo;non è chiaro se ciò significhi che per una data coppia (dispositivo, AP), la sicurezza viene raggiunta solo quando entrambi sono patchati, o che affinché tutti i dispositivi e gli AP siano protetti, devono essere tutti patchati (il che non è molto utiledi consulenza).Per me la prima interpretazione ha più senso.
@WillVousden Non dice nemmeno questo.Dice che se l'AP è patchato e il client no, è vulnerabile.Non dice nulla su un AP senza patch e un client senza patch.
Ecco come lo analizzo: 1) l'AP con patch può ancora connettersi a un dispositivo senza patch.2) (e viceversa) il dispositivo con patch può ancora connettersi a un AP senza patch.3) Per difendersi dall'insieme completo di vulnerabilità, l'AP E il dispositivo devono essere patchati.Dato che un AP / un dispositivo senza patch è vulnerabile a qualche sottoinsieme delle vulnerabilità E un dispositivo / AP senza patch è vulnerabile a un (possibilmente) sottoinsieme diverso.
@mobill Questa è anche la mia comprensione.
Mi sembra che dovrebbe essere possibile mitigare le vulnerabilità del client senza patch con le giuste modifiche sul lato AP, come notare un messaggio 3 ACK aggiuntivo (per un pacchetto non rispedito) e / o rifiutare un messaggio aggiuntivo 4 (rispostaa 3?).
@mobill: Sarebbe fantastico se potessi riformulare la tua risposta con * prima * un TL; DR, e poi solo la prospettiva storica.Il TL; DR all'inizio garantirebbe che nessuno interpreti accidentalmente la tua risposta, mentre la prospettiva storica aiuta le persone che hanno ascoltato le dichiarazioni precedenti a capire che erano sbagliate (la modifica nel collegamento alla patch in risposta alla dichiarazione IBM sarebbe un vantaggio,poiché i commenti sono effimeri).
#4
+10
Luc
2017-10-16 23:35:30 UTC
view on stackexchange narkive permalink

Sento le cose in entrambi i modi, è difficile da dire. Il documento che menziona sia i client che gli AP sembra che ci sia almeno qualcosa da fare su entrambi i lati. Questo commento ha senso per me: "la maggior parte dei punti di accesso andrà bene, ma quelli che eseguono funzioni client (ad es. ripetitori) dovranno essere aggiornati."

Mi dispiace non poter dare una risposta definitiva, aggiornerò se ne trovo una. Spero che questo abbia aiutato almeno.

Penso che dipenda anche dalle funzionalità di WPA2 che stai utilizzando."Quando si attacca l'handshake Fast BSS Transition (FT), possiamo decrittare (e falsificare) i pacchetti inviati * verso * il client" (https://www.krackattacks.com/).
#5
+4
gnasher729
2017-10-17 03:50:20 UTC
view on stackexchange narkive permalink

Un punto che potrebbe essere dimenticato sono i ripetitori. Se la configurazione è il computer <-> ripetitore <-> router <-> linea a banda larga, e il ripetitore / router sono entrambi senza patch e collegati tramite WiFi, quindi qualsiasi traffico tra router e ripetitore potrebbe essere intercettato indirettamente, incluso tutto ciò che il computer invia o riceve.

In quella situazione, se viene patchato solo il ripetitore, tutto è al sicuro. In caso contrario, è necessario applicare una patch al computer e al router perché entrambi si connettono al ripetitore senza patch.

Ho pensato che fosse computer e ripetitore perché entrambi accettano il terzo passaggio della stretta di mano.
Presumo che si inizi con un modem a banda larga o un altro modem, che si connette a un router (no WiFi, e spesso il modem è all'interno del router), che ha una connessione WiFi al ripetitore, quindi uno tra router o ripetitore deve esserepatchato, e il ripetitore ha una connessione WiFi al client, quindi è necessario patchare il ripetitore o il client.
A quanto mi risulta, non è "uno di": l'attaccante invia un duplicato del terzo passaggio al client e questo mette il client in uno stato inaspettato -> l'attaccante vince.Un _connectee_ patchato non lo risolverebbe.
Lo "stato imprevisto" dovrebbe creare una connessione con una crittografia che l'attaccante può attaccare.Se l'altro lato rifiuta semplicemente la connessione, non importa quanto sia confuso il connectee.Non ci sarà una connessione.
#6
+3
Ajedi32
2017-10-24 19:01:40 UTC
view on stackexchange narkive permalink

Il sito web ufficiale di krackattacks.com ora ha questa voce di FAQ:

È sufficiente patchare solo il punto di accesso? O patchare solo i client?

Attualmente, tutti i dispositivi vulnerabili dovrebbero essere patchati. In altre parole, l'applicazione di patch all'AP non impedirà gli attacchi contro i client vulnerabili. Allo stesso modo, l'applicazione di patch a tutti i client non impedirà gli attacchi contro i punti di accesso vulnerabili. Tieni presente che solo i punti di accesso che supportano l'handshake di transizione Fast BSS (802.11r) possono essere vulnerabili.

Detto questo, stiamo lavorando su modifiche dei punti di accesso che impediscono gli attacchi contro i client vulnerabili. Queste modifiche sono diverse dalle patch di sicurezza per i punti di accesso vulnerabili! Quindi, a meno che il fornitore del tuo punto di accesso non menzioni esplicitamente che le sue patch prevengono gli attacchi contro i client, devi anche applicare patch ai client.

Questo spiega perché c'è stata così tanta confusione intorno a questa domanda, sia qui che altrove su il Web.

Tecnicamente parlando, solo i client (compresi i punti di accesso che fungono da client, come i ripetitori) e i punti di accesso che supportano l'handshake di transizione Fast BSS sono vulnerabili e devono essere riparati.

Tuttavia, è possibile modificare i punti di accesso in modo da prevenire attacchi contro i client anche se i client sono vulnerabili (sebbene il punto di accesso stesso non lo sia). Questa modifica è completamente diversa dalla modifica necessaria per "riparare" i punti di accesso vulnerabili (quelli che agiscono come ripetitori o supportano le transizioni BSS veloci), quindi una patch per i punti di accesso può o meno impedire gli attacchi contro i client vulnerabili a seconda del tipo esattamente di "aggiustare" la patch contiene.

Quindi, a seconda delle capacità del tuo punto di accesso e del tipo di patch disponibili per esso, come minimo potresti aver bisogno di patchare solo il tuo punto di accesso, solo i tuoi client o entrambi per difenderti da questo attacco. Ovviamente nello scenario ideale, tutti i dispositivi vulnerabili dovrebbero essere patchati, indipendentemente da quali ulteriori mitigazioni sono state implementate sul punto di accesso.

+1, bella cattura dell'aggiornamento alla situazione.Tuttavia, sottolineerò anche che solo perché c'è lavoro su un aggiornamento che proteggerà anche i clienti non significa che tale lavoro avrà successo o se avrà successo si applicherà a tutti i clienti.In combinazione con il fatto che la maggior parte dei dispositivi wireless si connetterà a più reti wireless nel corso della loro vita e l'applicazione di patch al client dovrebbe essere ancora considerata una priorità.
@YLearn Tale aggiornamento esiste già per alcuni dispositivi: https://w1.fi/cgit/hostap/commit/?id=6f234c1e2ee1ede29f2412b7012b3345ed8e52d3 Sono d'accordo però, ovviamente patchare tutto è l'ideale, indipendentemente da quali soluzioni sono state implementate sulpunto di accesso.
Poiché ci sono nove CVE lato client, risolverne cinque non risolve la vulnerabilità lato client, anche se mitiga il peggiore di essi.
#7
+2
javaPhobic
2017-10-17 04:26:47 UTC
view on stackexchange narkive permalink

In risposta al fatto che la patch dell'AP da sola sia sufficiente:

Riferimento: Patch WIP in "wpa_supplicant" utilizzata nella maggior parte delle distribuzioni Linux

Secondo il commit di cui sopra - sembra possibile prevenire l'attacco applicando una patch solo all'AP:

Questa opzione può essere utilizzata per aggirare gli attacchi di reinstallazione delle chiavi sul lato della stazione (supplicant) nei casi in cui i dispositivi della stazione non può essere aggiornato per qualche motivo. Rimuovendo le ritrasmissioni, l'attaccante non può causare la reinstallazione della chiave con una trasmissione di frame ritardata. Ciò è correlato alle vulnerabilità lato stazione CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080 e CVE-2017-13081.

Tuttavia questo è facoltativo, una build predefinita di questo modulo potrebbe non avere questa opzione abilitata.

Sulla base degli altri commit / commenti correlati, sembra che l'opzione migliore sia patchare il client.

Possibile prevenire la maggior parte delle vulnerabilità, non tutte.Come applicare una patch a un client previene la maggior parte delle vulnerabilità, ma non tutte.
#8
+1
Wagde Zabit
2017-10-18 10:54:57 UTC
view on stackexchange narkive permalink

L'applicazione di patch all'AP è necessaria solo se l'AP agisce come un client.

Ad esempio:

  1. Se supporta il roaming veloce (802.11r).

  2. Fa parte di una rete (foglia di rete) come nei prodotti fortinet

  3. Può agire come un ripetitore

  4. Supporta il traffico da stazione a stazione

In questi casi anche l'AP dovrebbe essere patchato.

MA ... L'applicazione di patch all'AP mitigherà anche l'attacco ai client senza patch che si connettono a questo AP (non inviando un Msg3 azzerato), quindi forse è necessario patchare l'AP per proteggere i tuoi client.

802.11r non è l'AP che funge da client.Inoltre, anche nel traffico da STA a STA, l'AP funge ancora da AP per entrambi i client, in tal caso non funge da client.
#9
  0
WhiteWinterWolf
2017-10-26 19:24:32 UTC
view on stackexchange narkive permalink

Mathy Vanhoef, la ricercatrice che ha scoperto la vulnerabilità KRACK e quindi la fonte più autorevole disponibile su questo argomento, ha rimosso ogni ambiguità in una video intervista per Tech News Weekly:

Come utente domestico, se hai aggiornato il tuo Windows e i tuoi dispositivi IOS, in quel caso direi che sei sicuro.

Quando ti connetti a un'azienda più o a un più rete aziendale, ad esempio un'università o un'azienda che ha molti punti di accesso, quindi molti luoghi in cui viene trasmessa la tecnologia wireless, potrebbe esserci ancora un vantaggio nelle apparecchiature che utilizzano.

Ma, per la tua rete domestica, se aggiorni solo Windows, i tuoi laptop e i tuoi smartphone, allora sei già al sicuro.

Inoltre, ha aggiunto in seguito :

La maggior parte degli attacchi KRACK contro client vulnerabili può essere prevenuta modificando il router / punto di accesso. Ciò potrebbe essere possibile anche solo tramite modifiche alla configurazione dell'AP (senza aggiornamenti). L'esempio è soluzioni alternative Cisco. Sebbene ciò possa influire sull'affidabilità delle strette di mano in alcuni casi limite (ad esempio con client lenti o connessioni inaffidabili).



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...