Niespełna parę tygodni temu mieliśmy poważny problem z protokołem Bluetooth (chodzi o atak Blueborne), który narobił niezłego bigosu w środowisku urządzeń komunikujących się bezprzewodowo, to teraz mamy jeszcze większy problem, bo właśnie zostały opublikowane szczegóły ataku na protokół WPA/WPA2 używany obecnie praktycznie we wszystkich routerach i punktach dostępowych WiFi. Mowa tutaj o ataku KRACK. Problem jest o tyle poważny, że dotyczy również stacji klienckich, w tym też tych nieszczęsnych smartfonów, które znane są z faktu iż producenci bardzo rzadko wypuszczają aktualizację ROM'ów, przez co po raz kolejny cała masa urządzeń zostanie niezałatanych. I o ile bez BT można się z grubsza obejść o tyle bez WiFi obecnie ani rusz.
Poniżej jest prezentacja ataku:
Tutaj z kolei znajduje się PDF z dokładnymi informacjami na temat tego całego KRACK:
Autorzy tego przedsięwzięcia skontaktowali się z producentami sprzętu WiFi już jakiś czas temu i powiadomili ich o wszystkim. Cześć producentów już połatała swój sprzęt, choć nie znam stanowiska TP-Link w tej kwestii.
To co cieszy nas linux'iarzy (min. mnie) to fakt, że w zasadzie mam pewność, żę routery działające pod kontrolą OpenWRT/LEDE zostaną załatane i w zasadzie już stosowne poprawki trafiły gdzie trzeba:
Można zaktualizować stosowne pakiety ręcznie lub też poczekać aż zostaną zbudowane gotowe obrazy i jedyne co użytkownicy będą musieli zrobić, to zaktualizować firmware w swoich routerach WiFi. Oczywiście kwestia klientów to całkiem inna bajka.
Bardzo mnie ciekawi reakcja TP-Linka, choć z tego co zrozumiałem, to problem jest głównie (ale nie tylko) po stronie klienta, a nie AccessPointa.
Co ciekawe Ubiquiti i Mikrotik już jakieś patche udostępniają lub wydali fixy jakiś czas temu, jednak wszystko dotyczy to tylko i wyłącznie działania urządzeń w trybie klienta.
Nie widzę info na stronie wpa_supplicant - główna aplikacja OpenSource do obsługi połączeń szyfrowanych WiFi stosowana praktycznie w 90% urządzeń opartych na Linuksie, OpenWRT itd.
W zasadzie to problem dotyczy całego protokołu WPA/WPA2, więc podatne są i AP i klienty, z tym, że sama funkcjonalność AP raczej nie jest przedmiotem ataku a jedynie jej cześć, np. WDS czyli gdy jeden AP jest klientem drugiego.
W linuxach już to połatali i np. w debianie pakiety już wczoraj były do pobrania.
Co do stanowiska TP-Link, to nie wygląda najlepiej. Tutaj jest ciekawe zestawienie:
No i jak można wyczytać w tym linku:
When I contacted TP-Link tech support, I was told "Our seniors are keeping an eye on this issue. Currently we haven't received any feedback that TP-Link product is affected by that. We will offer an update on our official website once we have any new info."
Błąd był w specyfikacji WiFi, to się zgadza. Ale problemem jest przede wszystkim zachowanie klienta - bez poprawienia algorytmu działania klienta poprawka po stronie APków nic nie zmieni. I to jest poważny problem i tutaj chyba największy, bo 70% sprzętu na rynku nigdy poprawek nie dostanie - patrz przede wszystkim stare telefony.
W przypadku TP-Link chodzi więc przede wszystkim o nowe sterowniki do urządzeń klienckich WiFi oraz tych routerów, które mają tryb klienta AP. Jeżeli sterowniki zostały dobrze napisane, to być może wystarczy poprawka obsługi WiFi dla samego Windows, którą M$ wypchnął do Windowsów już 10-tego - u mnie na wszystkich komputerach już poprawka jest i działa.
A taki załatany klient jak się podłączy do niezałatanego AP, to będzie wszystko ok? Bo z tego co pisali, to obecnie ten 4-way handshake działa teraz w dwojaki sposób -- jeden ten zbugowany i drugi załatany -- no i ten załatany ma być wstecznie kompatybilny z tym zbugowanym. Ale czy to nie oznacza czasem, że jak AP będzie podatny, to klient się "dostosuje" i również będzie podatny?
Na niebezpieczniku dali info o tym ataku i tam można wyczytać min. coś takiego:
Załatanie tylko AP lub tylko klienta uniemożliwi tylko część z wariantów ataku KRACK.
Czyli trzeba łatać oba.
I jest też info o "niezałatanym załatanym" windowsie:
Microsoft po cichu załatał błąd 10 października (miniony wtorek), ale zaznacza, że nawet z łatką, w niektórych przypadkach Windowsy mogą być celem ataku, jeśli w trybie oszczędzania energii przekażą część zadań związanych z obsługą Wi-Fi chipowi. Dlatego trzeba też niezależnie zaktualizować też sterowniki do swojej karty sieciowej.