Если вы считаете, что ваше защищенное Wi-Fi в безопасности, подумайте еще раз. Новый эксплойт KRACK затрагивает почти все устройства.
Стандартные рекомендации по настройке нового беспроводного маршрутизатора или сети Wi-Fi включают защиту паролем с помощью WPA2.
Поскольку стандарт WPA2 стал доступен в 2004 году, это была рекомендуемая настройка для беспроводных сетей. Считалось, что она относительно безопасна. Тем не менее, защита паролем является лишь сдерживающим фактором. WPA2 силен настолько, насколько ваш пароль. Кроме того, опасны любые уязвимости, обнаруженные в стандарте безопасности.
Недавно такая уязвимость была обнаружена и перевернула Интернет с ног на голову.
Общественности был представлен эксплойт, доказывающий концепцию взлома, под названием KRACK (что означает Key Reinstallation Attack). Эта крипто-атака эксплуатирует уязвимость в четырехстороннем процессе рукопожатия между устройством пользователя, пытающимся подключиться, и сетью Wi-Fi. Она позволяет злоумышленнику получить несанкционированный доступ к сети без пароля, эффективно открывая возможность получения информации о кредитной карте, личных паролях, сообщениях, письмах и практически любых других данных на вашем устройстве.
Еще более страшно, что эта уязвимость затрагивает практически любую реализацию сети WPA2, и не является уязвимостью точки доступа. Вместо этого, KRACK нацелен на устройства, которые вы используете для подключения к беспроводной сети.
На веб-сайте, демонстрирующем концепцию взлома, сказано: «Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys и другие уязвимы для некоторых вариантов атак». Тем не менее, большинство современных версий Windows и iOS устройств не так восприимчивы к подобным атакам, благодаря тому, как Microsoft и Apple внедрили стандарт WPA2. Устройства Linux и
Android более уязвимы для KRACK.
Что можно сделать прямо сейчас?
Продолжайте использовать протокол WPA2 для своих сетей. Это по-прежнему самый безопасный вариант, доступный для большинства беспроводных сетей.
Обновите все свои устройства и операционные системы до последних версий. Самая эффективная вещь, которую вы можете сделать, это проверить наличие обновлений для всей своей электроники. Пользователи находятся во власти производителей и их способности обновлять существующие продукты. Microsoft, например, уже выпустила обновление безопасности, исправляющее уязвимость. В заявлении Google говорится, что в ближайшие недели она «выпустит исправления для всех затронутых устройств». Также доступны патчи для хостапов Linux и WPA Supplicant.
Изменение паролей не поможет. Всегда полезно создать более безопасный пароль, но эта атака вообще обходит пароль, поэтому это не поможет.
KRACK является локальной уязвимостью — злоумышленники должны находиться в радиусе действия беспроводной сети. Это не означает, что ваша домашняя сеть полностью невосприимчива к атаке, но вероятность широко распространенной атаки низка из-за способа работы атаки. Вероятнее всего, вы столкнетесь с этой атакой в общедоступной сети.
Доступные обновления
Хорошей новостью является то, что из-за высокой опасности данной уязвимости, многие компании быстро исправили свое программное обеспечение. Вот список компаний, которые выпустили исправления безопасности или информацию по этому поводу:
Apple уже сделала патч для эксплойта в бета-версиях iOS, MacOS, WatchOS и TVOS.
У Aruba есть патчи, доступные для скачивания, для ArubaOS, Aruba Instant, Clarity Engine и другого программного обеспечения.
Cisco уже выпустила патчи для некоторых устройств, но в настоящее время изучает, нужно ли обновлять еще что-то.
Expressif Systems выпустила исправления программного обеспечения для своих наборов микросхем, начиная с ESP-IDF, ESP8266 и ESP32.
Fortinet заявила, что FortiAP 5.6.1 больше не уязвим для эксплойта, но версия 5.4.3 все еще может быть уязвима.
Проект FreeBSD в настоящее время работает над патчем.
В ближайшие недели Google собирается исправить уязвимые устройства.
HostAP выпустила исправление программного обеспечения.
Корпорация Intel выпустила рекомендации, а также обновления для затронутых устройств.
У LEDE/OpenWRT есть патч, доступный для скачивания.
В Linux уже есть исправления программного обеспечения, а сборки Debian уже обновлены, как и Ubuntu и Gentoo.
Netgear обновила некоторые из своих маршрутизаторов.
10 октября Microsoft выпустила обновление для Windows, в котором исправлена данная уязвимость.
MicroTik RouterOS версии 6.93.3, 6.40.4 и 6.41rc не затронуты эксплойтом.
Точки доступа OpenBSD не затронуты, но был выпущен патч для клиентов.
Ubiquiti Networks выпустила обновление прошивки версии 3.9.3.7537 с исправлением уязвимости.
Wi-Fi Alliance теперь требует тестирования уязвимости и предоставляет инструмент обнаружения для членов Wi-Fi Alliance.
WatchGuard выпустила патчи для Fireware OS, точек доступа WatchGuard и CloudGuard Wi-Fi Cloud.
Список протзводителей, которые исправили эту уязвимость, можно найти на веб-сайте CERT.
Важные факты о KRACK.
К счастью, есть несколько утешительных моментов:
— Альянс Wi-Fi заявил, что сейчас «требуется тестирование на эту уязвимость в нашей глобальной сети лабораторий сертификации». Это означает тест любых новых устройств, отправляемых на полки магазинов. Он также предоставляет средство обнаружения уязвимостей членам Wi-Fi Alliance для тестирования их продуктов.
— Использование VPN зашифрует весь ваш интернет-трафик и может защитить вас от такой атаки. Не говоря уже о том, что в любом случае, использовать VPN — это хорошая практика, если вы заботитесь о конфиденциальности и безопасности в Интернете.
— Использование сайтов только с HTTPS может защитить вас от KRACK, но HTTPS также не является полностью безопасным.