WPA2 protokollis tuvastati kriitiline turvanõrkus, mis lubab kasutaja ja WiFi pääsupunkti vahelist liiklust pealt kuulata. Teatud juhtudel ja rakenduste puhul võib ründajal õnnestuda ka kasutaja sessiooni ülevõtmine ning autoriseerimata toimingute tegemine kasutaja eest. Kodukasutajad peaksid eelkõige uuendama oma arvutite ja nutitelefonide tarkvara.
WPA2 on protokoll, mida kasutatakse kõikide moodsate WiFi võrkude turvamiseks, seega rünne toimib kõikide moodsate kaitstud WiFi võrkude vastu. Turvanõrkus seisneb WiFi protokollis ning eelkõige on ohustatud WiFi võrkude kasutajad (kliendid). Siiski tuleb esimesel võimalusel uuendada ka pääsupunktide püsivara.
Kaitsmaks WiFi võrgu kasutajaid pahavara süstimise rünnete eest võrguliiklusesse (lisaks liikluse potentsiaalsele pealtkuulamisele) tuleb võimalusel kasutada WiFi pääsupunktides wpa2-aes-tkip ja wpa2-aes-gcmp asemel wpa-aes-ccmp krüpteeringut.
Ründe ennetamiseks on vaja toode uuendada kohe, kui tootja on väljastanud turvapaiga.
Eelkõige on ohustatud arvutid, nutitelefonid, tahvelarvutid jt seadmed, mis kasutavad järgmisi operatsioonisüsteeme:
Linux, sealhulgas Android 6.0 ja uuemad,
MacOS ja IOS versioonid, mida Apple praegu toetab.
MS Windows 7-le ja 10-le on väljastatud juba tarkvarauuendused, mille paigaldamiseks tuleb kindlasti veenduda, et automaatne tarkvarauuendus on sisse lülitatud ja uuendused on paigaldatud.
Linuxi Ubuntu ja Debiani toetatud versioonidele on samuti olemas turvauuendused, mis tuleks kindlasti paigaldada.
Kõigile Apple'i operatsioonisüsteemide beetaversioonidele (sh MacOS ja IOS) on turvaparandus juba väljastatud ning tavaversioonile mõeldud tarkvarauuendused saabuvad oktoobri jooksul.
Kas WiFi parooli muutmine aitab?
Ei. WiFi parooli muutmine ei enneta rünnet ega aita ründe võimalust ennetada. WiFi parooli muutmise asemel tuleb kontrollida, kas füüsilistele seadmetele on olemas uuendused ning võimaluse korral tuleb uuendada ruuteri püsivara. Alles pärast ruuteri tarkvara uuendamist võib veel lisameetmena WiFi parooli muuta.
Kas WPA2 protokoll koos AESiga on ka haavatav?
Jah, rünne on teostatav nii WPA1 kui WPA2 protokollide vastu, isiklike ja ettevõtete võrkude ning kõikide kasutatavate šifrite vastu (WPA-TKIP, AES-CCMP ja GCMP).
Kas peaksin ajutiselt WEP protokolli kasutama?
Ei! WEP on haavatavam kui WPA2.
Turvalisuse huvides tuleb meeles pidada põhitõdesid:
Kasuta HTTP ühenduse asemel alati HTTPS ühendust.
Ära saada konfidentsiaalset infot üle krüpteerimata ühenduse, sest info saadetakse sel juhul edasi lihtteksti kujul.
Lisaturvalisuse tagamiseks kasuta VPN-teenust.
Ära kasuta ilma äärmise vajaduseta avalikke WiFi võrke.
Ära külasta kahtlaseid veebilehti ning ära paigalda arvutisse tundmatute tootjate tarkvara.
Telialt ei ole piiksugi tulnud mida nad teevad oma intentodega mis vigast wifi-t välja pritsivad? Minul kui kliendil oleks soov et see karp suudaks vpn-i teha, siis võib olla see wifi ka ebaturvaline. _________________ You, all gonna make me loose my mind, loose my mind
Mhh, kui rünne on teostatav ka WPA2 AES-CCMP vastu, siis mis mõte on soovitusel just seda kasutada?
tsitaat:
Kaitsmaks WiFi võrgu kasutajaid pahavara süstimise rünnete eest võrguliiklusesse (lisaks liikluse potentsiaalsele pealtkuulamisele) tuleb võimalusel kasutada WiFi pääsupunktides wpa2-aes-tkip ja wpa2-aes-gcmp asemel wpa-aes-ccmp krüpteeringut.
tsitaat:
Kas WPA2 protokoll koos AESiga on ka haavatav?
Jah, rünne on teostatav nii WPA1 kui WPA2 protokollide vastu, isiklike ja ettevõtete võrkude ning kõikide kasutatavate šifrite vastu (WPA-TKIP, AES-CCMP ja GCMP).
_________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Mhh, kui rünne on teostatav ka WPA2 AES-CCMP vastu, siis mis mõte on soovitusel just seda kasutada?
tsitaat:
Kaitsmaks WiFi võrgu kasutajaid pahavara süstimise rünnete eest võrguliiklusesse (lisaks liikluse potentsiaalsele pealtkuulamisele) tuleb võimalusel kasutada WiFi pääsupunktides wpa2-aes-tkip ja wpa2-aes-gcmp asemel wpa-aes-ccmp krüpteeringut.
tsitaat:
Kas WPA2 protokoll koos AESiga on ka haavatav?
Jah, rünne on teostatav nii WPA1 kui WPA2 protokollide vastu, isiklike ja ettevõtete võrkude ning kõikide kasutatavate šifrite vastu (WPA-TKIP, AES-CCMP ja GCMP).
Ma saan aru, et AES-CCMP ei aita pealtkuulamise vastu, kuid süstimise vastu kaitseb. St ei kaitse pealtkuulamise eest, kuid kaitseb selle eest, et pahatahtlik kasutaja midagi omalt poolt vahele sokutab.
Ubiquiti Unifi-le ja selle firmwarele tuli hiljuti mingi uuendus, äkki on see juba patchitud? Pole uurinud.
Vanadele purkidele vaevalt et midagi tuleb üldse kunagi, DD-WRT-purkidega on nagu on. Ei tea kas või millal midagi tuleb ja millele... ja kas töötab...
Klientidega aga jällegi on nagu on. PC opsüsteemidele ilmselt midagi tuleb kunagi, uuematele droiditelefonidele ka, ainult et kes uuendab ja kes mitte...
Õnneks maakohas ja teistest võrkudest suhteliselt eemal pole eriti vaja selle pärast higistada. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Dogbert, kusjuures minagi panin enda UniFi AP'le patchi peale, aga sellest pole vist mingit kasu, kui just AP ei tööta client mode's... Keegi targem võiks antud väidet muidugi kinnitada või ümber lükata.
Kas need unifi AP'd tahavad mingi kalli softi subscriptionit või kallist kasti juhtimiseks? 70€ eest tundub pidevalt uuendatava softiga asja eest liiga mõistlik. Seoses siin käsitletava auguga mõelnud, et võiks soetada.
viimati muutis sooty 18.10.2017 14:09:50, muudetud 1 kord
Ubiquiti Unifi-le ja selle firmwarele tuli hiljuti mingi uuendus, äkki on see juba patchitud? Pole uurinud.
Vanadele purkidele vaevalt et midagi tuleb üldse kunagi, DD-WRT-purkidega on nagu on. Ei tea kas või millal midagi tuleb ja millele... ja kas töötab...
Klientidega aga jällegi on nagu on. PC opsüsteemidele ilmselt midagi tuleb kunagi, uuematele droiditelefonidele ka, ainult et kes uuendab ja kes mitte...
Õnneks maakohas ja teistest võrkudest suhteliselt eemal pole eriti vaja selle pärast higistada.
Ära levita "Ebatõde".
Windowsil ja Linuxlastel on see Patch olemas juba mitu päeva.
Ning eile toimus Linuxi-maailmas juba Usin Automaatne "Vigade parandus":
Enda Linuxlastest said automaatselt Paranduse nii Manjaro kui ka Elementary OS.
Veel on parandused täiesti olemas Fedora-le, Ubuntu-le, Debian-ile, Mint-ile, Arch-ile, Solus-ile...
Ubuntu, Debian, Fedora and elementary OS All Patched Against WPA2 KRACK Bug
Linux Mint, Arch Linux and Solus are also patched
sooty, see kisub väga OTks, aga unifi AP suudab täiesti iseseisvalt wifit tekitada. Samas täiendava kontrolleri abil saad pisut lisafunktsionaalsust ning näiteks liikluse kohta statistikat koguda. Ning kui kontrollerit vaja, siis jookseb see suvalise windows/linux/mac'i peal.
Telialt ei ole piiksugi tulnud mida nad teevad oma intentodega mis vigast wifi-t välja pritsivad? Minul kui kliendil oleks soov et see karp suudaks vpn-i teha, siis võib olla see wifi ka ebaturvaline.
Wifi ise ei ole vigane, liiklus on kliendi ja ruuteri vahel. Samas viga ei eksisteeri kui ÜKS NENDEST on patchitud. Seega kui sul on Windowsi süler ja uuendused peal, siis on võrk turvaline.
Siiski paigaldab Telia parandatud tarkvara ruuterile kohe kui Seadmete tootjad need parandused väljastavad. Seda selleks, et kui kliendi klientseadmetele parandusi ei tule, oleks siiski liiklus kaitstud.
Aga nagu teemas mainitud, Telia ruuterite leviala ei ole eriti suur, seega risk on maantatud leviala suurusega
Oot oot oot... see meetod nüüd küll midagi uut ei ole.
Honeypot, rogue-AP meetodil sai juba aastaid tagasi WPA2 ühendusi "kräkkida" - võttis küll veidi aega ning liiklus pidi olema stabiilne teatud aja, aga tehtud sai.
Honeypot pole väga keeruline seadistada nii, et skänneerib olemasolevaid AP-sid, võtab korjab kõikide AP-de küljes olevad kliendid enda külge ning teostab siis MITM rünnakut.
Oot oot oot... see meetod nüüd küll midagi uut ei ole.
Honeypot, rogue-AP meetodil sai juba aastaid tagasi WPA2 ühendusi "kräkkida" - võttis küll veidi aega ning liiklus pidi olema stabiilne teatud aja, aga tehtud sai.
Honeypot pole väga keeruline seadistada nii, et skänneerib olemasolevaid AP-sid, võtab korjab kõikide AP-de küljes olevad kliendid enda külge ning teostab siis MITM rünnakut.
Ei saa aru, mis seal nii uudset on... tavaline meepurgi teema, kus saadetakse wifi klientidele "katkesta-ühendus-ning-ühenda-minu-külge" sõnum ja nii ongi.
Jajah, HV foorumi häkkeritel oli wpa2 murdmine juba aastaid selge. Sa ajad mingit udu, vii ennast teemaga kurssi
Link _________________ M: SFP Telia GPON võrgu jaoks - 40€
Oot oot oot... see meetod nüüd küll midagi uut ei ole.
Honeypot, rogue-AP meetodil sai juba aastaid tagasi WPA2 ühendusi "kräkkida" - võttis küll veidi aega ning liiklus pidi olema stabiilne teatud aja, aga tehtud sai.
Honeypot pole väga keeruline seadistada nii, et skänneerib olemasolevaid AP-sid, võtab korjab kõikide AP-de küljes olevad kliendid enda külge ning teostab siis MITM rünnakut.
Ei saa aru, mis seal nii uudset on... tavaline meepurgi teema, kus saadetakse wifi klientidele "katkesta-ühendus-ning-ühenda-minu-külge" sõnum ja nii ongi.
Jajah, HV foorumi häkkeritel oli wpa2 murdmine juba aastaid selge. Sa ajad mingit udu, vii ennast teemaga kurssi
Naera palju tahad, aga mina kräkkisin enda 16 kohalise WPA2 random parooli igatahes mõnekümne minutise jälgimise ning umbes paari ööpäevase "kräkkimisega" (ehk masin arvutas) - seda umbkaudselt 5 aastat tagasi.
Honeypot meetodil on palju lihtsam - meelitad kliendid endale.
Ubiquiti Unifi-le ja selle firmwarele tuli hiljuti mingi uuendus, äkki on see juba patchitud? Pole uurinud.
Vanadele purkidele vaevalt et midagi tuleb üldse kunagi, DD-WRT-purkidega on nagu on. Ei tea kas või millal midagi tuleb ja millele... ja kas töötab...
Klientidega aga jällegi on nagu on. PC opsüsteemidele ilmselt midagi tuleb kunagi, uuematele droiditelefonidele ka, ainult et kes uuendab ja kes mitte...
Õnneks maakohas ja teistest võrkudest suhteliselt eemal pole eriti vaja selle pärast higistada.
Ära levita "Ebatõde".
Misasi see ebatõde on? Poliitkorrektne sünonüüm valele? Minu suhtumist poliitkorrektsusesse võid lugeda mu signatuurist.
Nii et mina siis valetan sinu meelest?
Mees, õpi vahet tegema valetamisel ja oletamisel. Mina vaid esitasin küsimusi ja oletasin, ei pakkunud mitte mingisugust informatsiooni - ei õiget ega valet. Näitasin täiesti ausalt, et mul pole olnud ega ole ka hetkel aega ennast teemaga kurssi viia ja olen teadmatuses.
Ainus, kes siin "ebatõde" minu kohta levitab, oled sina.
tsitaat:
Windowsil ja Linuxlastel on see Patch olemas juba mitu päeva.
Ning eile toimus Linuxi-maailmas juba Usin Automaatne "Vigade parandus":
Enda Linuxlastest said automaatselt Paranduse nii Manjaro kui ka Elementary OS.
Veel on parandused täiesti olemas Fedora-le, Ubuntu-le, Debian-ile, Mint-ile, Arch-ile, Solus-ile...
Ubuntu, Debian, Fedora and elementary OS All Patched Against WPA2 KRACK Bug
Linux Mint, Arch Linux and Solus are also patched
Väga kena, et patchid on olemas ja veel parem, kui paigaldatud ka. Minu halduses olevatel Windowsi ja Linuxi masinatel on kõik uuendused peal, pole lihtsalt olnud aega nende sisusse süveneda.
Ka Ubiquiti Unifi kontroller-tarkvaral (töötab Linuxi-masinas) on viimane versioon ja üleeile sai ka firmware kõigil purkidel uuendatud.
Mõni vana ja ajale jalgu jäänud DD-WRT purk jookseb vana versiooni peal ja pole võimalust neid lähemal ajal uuendada. Ja on vähemalt üks veel vanem tp-linki purk, mis lihtsalt tuleb lähemal ajal minema visata. Aga siin "võsas" pole nagunii ka kedagi, kes mu võrke torkima tuleks. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Naera palju tahad, aga mina kräkkisin enda 16 kohalise WPA2 random parooli igatahes mõnekümne minutise jälgimise ning umbes paari ööpäevase "kräkkimisega" (ehk masin arvutas) - seda umbkaudselt 5 aastat tagasi.
Cool story bro
Nii pika random parooli brute force meetodil murdmiseks kulub vähemalt aastakümneid. Wpa puhul pole vaja midagi paarkümmend minutit jälgida, on vaja kinnipüüda 4way handshake, mis saadetakse siis kui klient ühendab ennast purgi külge.
Kui ma õigesti mäletan, siis üks wpa nõrkus oli sama random salt asemel ssid kasutamine, a la dd-wrt, tplink jne., siis oli võimalik protsessi kiirendada ja kasutada rainbow tabeleid. _________________ M: SFP Telia GPON võrgu jaoks - 40€
Androidile peaks parandus tulema "November 6, 2017 security update"-ga
no, kellele tuleb, kellele mitte. 95% vanematest seadmest tõenäoliselt ei saa essugi..
Kõiki taolisi uudiseid aeg-ajalt peaasjalikult just selleks genereeritaksegi, et õhutada vanemate telefonide, ruuterite jne. omanikke uuemaid ostma ja seeläbi tootjatele jätkuvaid kasumeid tagama Tootjafirmad ju ise lausa maksavad neile nn. turvaauguotsijatele, et need augud kunagi ei lõppeks ja väga võimalik, et neid ise sihilikult ka selleks otstarbeks oma toodetesse jätavad! Isiklikult ei näe siin küll endale mingit probleemi, mille pärast väga närveerida. Tõenäosus, et just minu ruuterisse keegi just selle augu kaudu ronib on igatahes väiksem, kui et mulle kodust väljudes katusekivi pähe kukub !
Tõenäosus, et just minu ruuterisse keegi just selle augu kaudu ronib on igatahes väiksem, kui et mulle kodust väljudes katusekivi pähe kukub !
Eriti, kuna katus ei ole kivikatus, eks? _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Oot oot oot... see meetod nüüd küll midagi uut ei ole.
Honeypot, rogue-AP meetodil sai juba aastaid tagasi WPA2 ühendusi "kräkkida" - võttis küll veidi aega ning liiklus pidi olema stabiilne teatud aja, aga tehtud sai.
Honeypot pole väga keeruline seadistada nii, et skänneerib olemasolevaid AP-sid, võtab korjab kõikide AP-de küljes olevad kliendid enda külge ning teostab siis MITM rünnakut.
Ei saa aru, mis seal nii uudset on... tavaline meepurgi teema, kus saadetakse wifi klientidele "katkesta-ühendus-ning-ühenda-minu-külge" sõnum ja nii ongi.
Jajah, HV foorumi häkkeritel oli wpa2 murdmine juba aastaid selge. Sa ajad mingit udu, vii ennast teemaga kurssi
Naera palju tahad, aga mina kräkkisin enda 16 kohalise WPA2 random parooli igatahes mõnekümne minutise jälgimise ning umbes paari ööpäevase "kräkkimisega" (ehk masin arvutas) - seda umbkaudselt 5 aastat tagasi.
Honeypot meetodil on palju lihtsam - meelitad kliendid endale.
Ning wifi võrkusid häirida on üpris lihtne - tulistad igale poole õhku, et kliendid peaksid nüüd võrgust lahti ühendama ja uuesti ühendama. Siis tehakse uuesti handshake ja sealt saad vajaliku info.
Uuri veidi Kali linux, airmon-ng, airodump-ng, aircrack-ng.
Siis su parool küll eriti "rändom" polnud.
tsitaat:
aircrack-ng Cracks WEP keys using the Fluhrer, Mantin and Shamir attack (FMS) attack, PTW attack, and dictionary attacks, and WPA/WPA2-PSK using dictionary attacks.
Siin teemas ka kõik mainivad, et see ja too ruuteritarkvara on uuenduse saanud, aga see rünne polegi ju ruuterite vastu suunatud vaid ruutereid kasutavate klientseadmete vastu. Sa ei saa "parandatud" ruuteriga selle vea kuritarvitamist klientides ju kaitsta või olen millesti väga valesti aru saanud.
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.