Mastodon
Zdjęcie okładkowe wpisu Apple bezpieczny wobec KRACKa

Apple bezpieczny wobec KRACKa

14
Dodane: 6 lat temu

Jak donosi Cult of Mac za AppleInsider, najnowsze wersje beta iOS oraz macOS są zabezpieczone przed exploitem KRACK.

Poprawka zabezpieczająca przed KRACKiem została dodana do systemów już w poprzedniej “becie” iOS, tvOS, watchOS oraz macOS.

Niestety nadal narażone są AirPorty, Time Machine, AirPort Extreme oraz AirPort Express. Ostatnie aktualizacje ich firmware’u były w grudniu 2016, czyli długo przed znalezieniem luki. Nie wiadomo czy i kiedy Apple wypuści aktualizację oprogramowania do tych urządzeń, tym bardziej, że oficjalnie zakończyła się już ich produkcja.

Liczę na to, że poprawka zostanie jednak wypuszczona dość szybko.

Dominik Łada

MacUser od 2001 roku, rowery, fotografia i dobra kuchnia. Redaktor naczelny iMagazine - @dominiklada

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .

Komentarze: 14

Apple bezpieczny wobec KRACKa

Tytuł jak na Onecie ;-) A w treści, że większość użytkowników Apple jest ZAGROŻONYCH.
Do tego część z nich (Sierra, iOS10), będzie żyć z dziurą już zawsze…chyba że kupią nowy sprzęt.

No w tym rzecz – nie jest bezpieczna; urządzenia wymagają aktualizacji jak najbardziej, bo dziura tkwi w protokole (aktualizacja musi objąć punkt dostępu i hosta), więc nie wypisuj bzdur. No chyba, że korzystasz po kablu i masz wyłączone Wi-Fi. Nawet HTTPS nie ratuje tyłka, bo jednak nie wszędzie jest on stosowany.

No widzisz, musisz sobie gipsem zakleić tyłek, wtedy może twój protokół będzie bardziej uodporniony

To jest atak “typu klienckiego”, więc wystarczy, że wyjdziesz ze swoim urządzeniem do kawiarni, lotnisko, gdziekolwiek.

Trzeba połatać klientów (aby nie korzystał drugi raz z tego samego nonce), a nie AP.

Swoją drogą aż dziw, że ktoś jeszcze wspomina o AirPort. Przecież uśmiercają ten produkt od dawna. Ostatnia aktualizacja firmware w zeszłym roku, brak rozwoju cudnych Express. A i nic nowego nie pokazali od 2013 roku.

“Atak kliencki”? Niby można to tak nazwać, ale czym ten atak różni się od podpięcia się do Wi-Fi np. w kawiarni? Absolutnie niczym. W jednym i drugim przypadku możemy trafić na kogoś kto sniffinguje po sieci…

Dla spokojnego snu, uważam, że należy połatać też punkty dostępy. Dla Kowalskiego taki punkt może nie ma większego znaczenia (w końcu większość połączeń obsługiwana jest po HTTPS), ale dla firm powinien być już priorytetem. Zwłaszcza, że spotkałem się z sytuacjami, w których po intranecie puszczane były pakiety bez szyfrowania.

Ale przecież komunikacja jest szyfrowana p2p.
KRACK umożliwia przechwycenie klucza do komunikacja konkretnego klienta z AP (poprzez powiedzmy “zapętlenie” w dużym skrócie), a przy tym nie zdradza shared key (hasła wifi).
Dlatego nie wydaje mi się, że miałoby to kompromitować całą sieć.

Poważniejszym problemem moim zdaniem, jest brak rotacji “haseł wifi” i brak świadomości przy konfiguracji AP. Jeśli już jesteśmy jako klient zabezpieczeni przed KRACK (Key Reinstallation Attack)

Tak, w znakomitej większości przypadków komunikacja jest szyfrowana (dotyczy to głównie dużych portali, banków etc.). Jednak pomniejsze blogi czy fora mogą nie oferować szyfrowania. Ponadto, jak widać na zamieszczonym przez autorów KRACKa nagraniu, niepoprawnie zaimplementowane szyfrowanie na stronie da się pominąć i uzyskać dostęp do wrażliwych danych (a naszym bankom to się już niestety zdarzało).

Natomiast wszystkie dane nieszyfrowane są na wyciągniecie ręki. W domowych warunkach wystarczy wypatrywać czarnego vana parkującego pod oknem, ale pomyśl o urzędach, sądach, policji czy bankach. W każdej z tych instytucji na pewno znajduje się jakiś router, a nie jedna z wymienionych instytucji ma np. drukarkę bezprzewodową. Skany dokumentów, umów, wyciągi z konta i inne wrażliwe dane.

@Buthimild : miałem na myśli szyfrowanie na poziomie komunikacji z AP, a nie już na poziomie warstwy aplikacji.
Ujawniony błąd dotyczy właśnie komunikacji szyfrowanej Klient <> AP, inne urządzenia komunikujące się z AP powinny być bezpieczne (dalej bezpiecznie szyfrowane).

No w tym rzecz – nie są bezpieczne, właśnie dlatego, że złamano standard szyfrujący; atakujący nie ma dostępu do hasła PD, ale bezpośrednio do przesyłanych poprzez niego pakietów danych (do tych, które nie zostały zaszyfrowane w inny sposób). Drukarka bezprzewodowa jest tak samo podatna jak każde inne urządzenie łączące się z punktem dostępu za pomocą WPA2. Na chwilę obecną wyjątkiem są urządzenia, które zostały wpięte po kablu lub szyfrowanie z PD rozwiązano za pomocą np. warstwy prezentacji, powiedzmy protokołu SSL (tunelowanie VPN czy trasowanie cebulowe też się zda).

Nie jest to błąd kryptograficzny (!), ale błąd protokołu i to dość oczywisty – losowe “klucze” nie są do końca losowe.

EOT

Jest to błąd w implementacji standardu i nie chodzi tu o jakąkolwiek jakość generowanych kluczy, a o możliwość ponownego użycia tego samego klucza. Załatanie tylko jednego urządzenia uniemożliwi tylko część ataków, bo wariantów atkowego powstało aż 6 rodzai: http://bit.ly/2hLow6O

EOT!

Dokładnie jednak mylny jest ten nagłówek. Urządzenia będą bezpieczne, kiedy wejdą nowe aktualizacje (11.1 i 10.13.1); na dzień dzisiejszy tak nie jest. Co do starszych systemów podejrzewam, że zostanie wypuszczona odpowiednia łatka, jak to miało miejsce w przeszłości (np. bug w openSSL).