Уязвимость Wi-Fi - KRACK

Недавно обнаруженная Wi-Fi уязвимость KRACK вызвала обеспокоенность как среди специалистов по информационным технологиям и информационной безопасности, так и среди простых пользователей. Поскольку практически все мы ежедневно так или иначе используем беспроводные сети.

В данной записи мы расскажем подробнее о данной уязвимости и поделимся советами по повышению безопасности Wi-Fi сетей.

KRACK

Информация об уязвимости была опубликована бельгийским исследователем в области безопасности Мэйти Ванхофом, 16 октября этого года.

Суть уязвимости связана с возможностью злоумышленников при физическом подключении к Wi-Fi сети атакующего устройства перехватывать пользовательский трафик и даже модифицировать его (в случае нешифрованного HTTP-трафика). Например, подменять легитимные ссылки на содержащие вредоносное ПО.

Фактически, под одним брендом были объединены несколько уязвимостей (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088), основанные на одной и той же технике подмены ключа в момент его обновления. Попутно эта техника затрагивает уязвимости демона wpa_supplicant, который используется почти на всех клиентских и мобильных Wi-Fi устройствах (кроме iPhone/iPad), многих Wi-Fi роутерах, радиомостов и других коммерческих решениях, основанных на Wi-Fi.

Несмотря на довольно большой список уязвимостей и реальную возможность эксплуатации, давайте трезво взглянем на ситуацию и проанализируем возможные риски.

• Наиболее "лакомые" для злоумышленников веб-приложения: клиент-банки, почтовые клиенты и веб-почта, социальные сети - используют SSL-шифрование, поэтому перехват беспроводного трафика не приведет к перехвату информации и учетных данных.
• Большинство Wi-Fi Hot-Spot точек являются открытыми и не используют шифрование.
• При использовании WPA2 практически никак нельзя защититься от уязвимости Evil Twin, когда хакер притворяется легитимной точкой доступа с аналогичным именем сети (SSID). Такие методы защиты как Management Frame Protection, EAP-TLS/TTLS, EAP-POTP, WPA-EAP-GTC и другие методы аутентификации с дополнительным использованием сертификатов или одноразовых ключей, практически нигде не используются. Таким образом, если у злоумышленников действительно есть цель совершить атаку на абонентов - они это уже давно могли это сделать с использованием более простых и давно известных методов.
• Наиболее уязвимыми к данной технике являются устаревшие и уже небезопасные протоколы TKIP и GCMP.
  

Наши рекомендации:

• Если в вашей сети используется WPA2, то необходимо запланировать обновление прошивок точек доступа на время, когда это будет максимально удобно для вас и минимально навредит работе сети. Большинство производителей уже выпустили обновления прошивок для своих устройств.
• Разумно обновлять устройства не все разом, а частично, ведь, как было отмечено выше, при использовании WPA2 дополнительных рисков ИБ практически нет.
• Кроме точек доступа, необходимо также обновить прошивку пользовательских устройств.
• Если у вас развернута инфраструктура PKI, и вы используете ее для аутентификации в вашей Wi-Fi сети - необходимо как можно скорее перейти на безопасную версию прошивки ваших Wi-Fi устройств, так как в этом случае риск взлома значительно возрастает.
• Обязательно используйте контентную фильтрацию для защиты как физической, так и беспроводной сети на интернет-шлюзе. Таким образом вы сможете заблокировать модифицированный злоумышленниками трафик: ссылки на фишинговые, мошеннические и распространяющие вирусы и другое потенциально опасное содержимое сайты. Это особенно актуально для мобильных устройств, для которых антивирусное ПО не получило широкого распространения.