26

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

No to w sumie linuxy połatane. big_smile

27

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

A jak wygląda sprawa z Gargoyle? Czy można tam liczyć na jakąś łatkę czy jest martwe całkowicie?

28

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

doozers napisał/a:

A jak wygląda sprawa z Gargoyle? Czy można tam liczyć na jakąś łatkę czy jest martwe całkowicie?

Wyobraź sobie  że jest już połatanie. Tak samo jak martwe od dawna CC. Czeka tylko na zbudowanie. Ale - nic ci po tym jak używasz gargoyle jako AP.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

29

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Cezary napisał/a:
doozers napisał/a:

A jak wygląda sprawa z Gargoyle? Czy można tam liczyć na jakąś łatkę czy jest martwe całkowicie?

Wyobraź sobie  że jest już połatanie. Tak samo jak martwe od dawna CC. Czeka tylko na zbudowanie. Ale - nic ci po tym jak używasz gargoyle jako AP.

Używam.

Wybacz ignorancję, czemu nic mi po tym? Buildy nigdy się nie pojawią?

30

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Bo to jest atak na klienta a nie na ap smile. Dziś pojawiło się dużo opisów tego, przeczytaj np. na sekuraku: https://sekurak.pl/krack-nowy-atak-potr … azde-wifi/

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

31

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Rozumiem. Jest spory szum informacyjny. Zaufanatrzeciastrona twierdzi że wystarczy załatać jedną stronę żeby grało.
Z resztą i tak mam jeden router działający w trybie mostu bezprzewodowego. Tam się poprawka zdecydowanie przyda.

32

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Jak będziemy mieli działający program to się dowiemy na co działa smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

33

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

O.... JA... Proszę paaaaana, taki błąd. Koniec świata i w ogóle. Jak żyć? zaraz zacznie się lament. Używam lede od Cezarego przecież....

Więc co masz zrobić jeżeli nie chcesz czekać na nowe obrazy:
- podłączasz router do internetu (!)
- robisz opkg update
- robisz opkg install wpad-mini

Możesz po prostu też odinstalować pakiet i zainstalować go ponownie, łącznie z innymi zależnościami. Ważne że pakiet miał w nazwie np. wpad-mini_2016-12-19-ad02e79d-5_mips_24kc.ipk - o tą piątkę się rozchodzi. 4 to źle, 5 lub wyżej to dobrze. I pamiętaj że telefony też trzeba zaktualizować żeby nikt nie podejrzał hasła do facebooka....

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

34 (edytowany przez morfik 2017-10-17 14:21:35)

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Hasła do fejsa nie podejrzą. Zagrożone są jedynie serwisy, gdzie admini nie potrafią zaimplementować (poprawnie) HTTPS. Większość tych topowych stron i tak jedzie od dawna na HSTS (nawet mój mały morfitronik tam figuruje od dawna) i odarcie z HTTPS im nie grozi i w zasadzie to chyba tylko lokalny ruch jest zagrożony podsłuchem, bo w LAN nikt (poza mną) nie używa HTTPS. big_smile

35

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

morfik napisał/a:

Hasła do fejsa nie podejrzą. Zagrożone są jedynie serwisy, gdzie admini nie potrafią zaimplementować (poprawnie) HTTPS. Większość tych topowych stron i tak jedzie od dawna na HSTS (nawet mój mały morfitronik tam figuruje od dawna) i odarcie z HTTPS im nie grozi i w zasadzie to chyba tylko lokalny ruch jest zagrożony podsłuchem, bo w LAN nikt (poza mną) nie używa HTTPS. big_smile

Ehh, za grosz zrozumienia smile Jak napiszę że nie ma się zbytnio czym martwić to zostanę zjechany od dołu do góry. Jak napisze że mogą przechwycić niezaszyfrowany ruch to powiedzą że przecież nie mają nic do ukrycia i że onet przeglądają. Ale że ktoś mógłby im zabrać tak z trudem hodowane marchewki na farmie na facebooku to już drżą na samą myśl.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

36

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

W zasadzie to ten cały atak nie jest czarno biały i chyba każdego dotyczy w nieco innym stopniu i pewnie stąd taka rozbieżność w opiniach. big_smile  Np. ten MITM to też może zostać przeprowadzony tylko przy specyficznej konfiguracji routera i jak ktoś używa tylko WPA2-PSK-CCMP zamiast [WPA2-PSK-CCMP+TKIP] (domyślnie), to nawet mając niezałatany router i klienta już miejsca cały ten MITM odpada. big_smile A bez niego to pozostaje jedynie podsłuch a biorąc pod uwagę, np. same certy z letsencrypt, które ostatnimi czasy umożliwiły implementowanie HTTPS praktycznie wszędzie i to za free, to napastnikowi zostanie jedynie analiza ruchu HTTP, o który obecnie trudno nawet na stronach porno. big_smile Nawet można by zainstalować jakieś dodatki pokroju httpseverywhere do przeglądarki, by mieć pewność, że "ulubione" dodane xx lat wstecz mają https a nie http. Hasła do wifi też nikt nie złamie, bo ten cały KRACK to w ogóle inna bajka, książka i gatunek literacki. A poza tym i tak już zdążyli wszystko połatać więc przeżyliśmy kolejny koniec świata wbrew tym wszystkim opiniom szeroko rozumianej "prasy internetowej", bo to co ludzie wypisują, to normalnie głowa mała. By być szczerym to spodziewałem się czegoś więcej po tym ataku, a wyszło jak zawsze, prawie jak zapowiadany nowy odcinek Game Of Thrones. big_smile

37

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Dobra zasada, to dmuchać na zimno. A poza tym, tak naprawdę poza teorią nic więcej na razie nie dostaliśmy i ja bym nie był taki hop do przodu z ignorancją i cynizmem - oczywiście, żadna skrajność nie jest w tym wypadku dobra.

WYPRZEDAJO SPRZĘT WIFI!
Modyfikacja U-Boot dla routerów (obrazy)

Naprawię routery, wymienię RAM i FLASH na większy

38 (edytowany przez morfik 2017-10-18 06:12:13)

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Nie tylko teorią, bo przecież demonstracja ataku była. Ja oczywiście się połatałem od razu jak tylko poprawki były dostępne ale ludzie naprawdę przesadzają, np. mówiąc by wyłączyć "wifi w smartfonie póki łaty na niego będą dostępne i używać tylko danych pakietowych". No chyba wszyscy wiemy, że większość androidów raczej żadnej łaty nie dostanie, a można przecie mieć włączone wifi i jechać na https w przeglądarce (bo te usługi gógle, na których andek się opiera, mają już zaszyfrowaną komunikację standardowo). No i ja zbytnio nie widzę jakiegoś problemu (używając oczywiście WPA2-PSK-CCMP), by to wifi mieć włączone w telefonie. big_smile Na niebezpieczniku porównali obecny stan WiFi domowej do publicznej i skoro ludzie łączą się bez obaw do publicznych darmowych hotspotów (ja akurat nie korzystam), to nie powinni mieć oporów przy korzystaniu ze swojego "dziurawego" teraz WiFi. big_smile

Podobnie jest w przypadku WPS, też panika, a ja używam, z tym, że PBC. smile

39

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Cezary napisał/a:

O.... JA... Proszę paaaaana, taki błąd. Koniec świata i w ogóle. Jak żyć? zaraz zacznie się lament. Używam lede od Cezarego przecież....

Więc co masz zrobić jeżeli nie chcesz czekać na nowe obrazy:
- podłączasz router do internetu (!)
- robisz opkg update
- robisz opkg install wpad-mini

Możesz po prostu też odinstalować pakiet i zainstalować go ponownie, łącznie z innymi zależnościami. Ważne że pakiet miał w nazwie np. wpad-mini_2016-12-19-ad02e79d-5_mips_24kc.ipk - o tą piątkę się rozchodzi. 4 to źle, 5 lub wyżej to dobrze. I pamiętaj że telefony też trzeba zaktualizować żeby nikt nie podejrzał hasła do facebooka....

@Cezary
Aby się uchronić przed atakiem trzeba patchować klienta i AP to zrozumiałe.
Jednak czy dobrze rozumiem że ta wersja zabezpiecza router tylko w trybie AP ?
czy też router w trybie "Bridged Client" potrzebuje osobnej poprawki czy ta załatwi sprawę ?

TP-Link TL-WDR4300 v1, Reboot (17.01-SNAPSHOT, r3876-efb6ca1)

40

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

W trybie klienta też poprawia. Własnie do tego była poprawka.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

41

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

O co chodzi, że tylko wersje >2.4 są podatne na atak? Czyli w wersjach nowszych "jednoś naprawił a drugieś k... popsuł"?

42

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

zigi napisał/a:

O co chodzi, że tylko wersje >2.4 są podatne na atak? Czyli w wersjach nowszych "jednoś naprawił a drugieś k... popsuł"?

Nie wiem czemu ale wydaje mi się że szukasz dziury w całym. Stare wersje były podatne, nowsze mają już łatki nie są. W czym problem?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

43

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Pytam się bo na krackattacks.com jest napisane, że: Our attack is especially catastrophic against version 2.4 and above of wpa_supplicant, a Wi-Fi client commonly used on Linux. Dodatkowo wersje androida 6.0+ są wymieniane jako podatne, tak jakby te starsze (ze starszymi wersjami wpa_supplicant) nie były podatne.

44

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Badacze sprawdzili takie wersje: https://papers.mathyvanhoef.com/ccs2017.pdf (rozdział 3.2) i określili na co są podatne. Nie wiem czy są dostępne testy jakichkolwiek innych wersji.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

45

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

No tam pisze przecie, że "Our attack is especially catastrophic" i nie ma info, że stare nie są podatne big_smile

46

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Zbudowałem  sobie nowy obraz  LEDE Reboot SNAPSHOT r5218-f90f94d   dla ZyXEL P-2812HNU-F3    ale   sprawdziłem  pakiet  wpad-mini    i   pokazuje

Package: wpad-mini
Version: 2017-08-24-c2d4f2eb-4
Depends: libc, libnl-tiny, hostapd-common, libubus
Status: install user installed
Section: net
Architecture: mips_24kc
Size: 253991
Filename: wpad-mini_2017-08-24-c2d4f2eb-4_mips_24kc.ipk
Description: This package contains a minimal IEEE 802.1x/WPA Authenticator and Supplicant (WPA-PSK only).
Installed-Time: 1509570494

   
i teraz  nie wiem  czy  on już  zawiera  wymagane poprawki   ( powinno byc  5  lub  6 ) 
w katalogu  ze źródłami  mam

adam@Z51 ~/lede/package/network/services/hostapd $ ls -R
.:
Config.in  files  Makefile  patches  src

./files:
hostapd-full.config  hostapd-mini.config  hostapd.sh  multicall.c  wpa_supplicant-full.config  wpa_supplicant-mini.config  wpa_supplicant-p2p.config  wps-hotplug.sh

./patches:
000-hostapd-Avoid-key-reinstallation-in-FT-handshake.patch      100-daemonize_fix.patch                     390-wpa_ie_cap_workaround.patch
001-Prevent-reinstallation-of-an-already-in-use-group-ke.patch  110-no_eapol_fix.patch                      400-wps_single_auth_enc_type.patch
002-Extend-protection-of-GTK-IGTK-reinstallation-of-WNM-.patch  120-disable_bridge_packet_workaround.patch  410-limit_debug_messages.patch
003-Prevent-installation-of-an-all-zero-TK.patch                200-multicall.patch                         420-indicate-features.patch
004-Fix-PTK-rekeying-to-generate-a-new-ANonce.patch             300-noscan.patch                            430-hostapd_cli_ifdef.patch
005-TDLS-Reject-TPK-TK-reconfiguration.patch                    310-rescan_immediately.patch                431-wpa_cli_ifdef.patch
006-WNM-Ignore-WNM-Sleep-Mode-Response-without-pending-r.patch  320-optional_rfkill.patch                   432-missing-typedef.patch
007-FT-Do-not-allow-multiple-Reassociation-Response-fram.patch  330-nl80211_fix_set_freq.patch              450-scan_wait.patch
008-WPA-Extra-defense-against-PTK-reinstalls-in-4-way-ha.patch  340-reload_freq_change.patch                460-wpa_supplicant-add-new-config-params-to-be-used-with.patch
009-Clear-PMK-length-and-check-for-this-when-deriving-PT.patch  350-nl80211_del_beacon_bss.patch            461-driver_nl80211-use-new-parameters-during-ibss-join.patch
010-Optional-AP-side-workaround-for-key-reinstallation-a.patch  360-ctrl_iface_reload.patch                 462-wpa_s-support-htmode-param.patch
011-Additional-consistentcy-checks-for-PTK-component-len.patch  370-ap_sta_support.patch                    470-survey_data_fallback.patch
012-Clear-BSSID-information-in-supplicant-state-machine-.patch  380-disable_ctrl_iface_mib.patch            600-ubus_support.patch

./src:
src

./src/src:
ap  utils

./src/src/ap:
ubus.c  ubus.h

./src/src/utils:
build_features.h

47

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

Zbudowałeś wersje rozwojową z 1 listopada. Tak, ma to, ale - ty masz klienta zaktualizować a nie tylko AP...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

48

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

tak  to  wiem   ale  widzisz  w  opisie   pakietu  pojawia sie 4   a  aktualizowałem inne routery  i  mam 5   ale  tam  obrazy od Ciebie wink  w dodatku w makefile  jest  data

PKG_NAME:=hostapd
PKG_RELEASE:=4

PKG_SOURCE_URL:=http://w1.fi/hostap.git
PKG_SOURCE_PROTO:=git
PKG_SOURCE_DATE:=2017-08-24
PKG_SOURCE_VERSION:=c2d4f2eb5dba0b5c5a8c5805823084da958a9b52
PKG_MIRROR_HASH:=c6ad9a73fc1ae0ba8bc48f71cf14394b274bc9c2c1d1b53c2775f08312597e74

 
i w sumie  nie byłem  pewny

49

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

A zauważyłeś że ja pisałem o wersji z 2016-12-19 a ty korzystasz z wersji rozwojowej która hostpad ma z 2017-08-24 i jest daleko do przodu? Czytaj całościowo a nie wyrywkami.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

50

Odp: KRACK, czyli podatność w 4-way handshake w WPA2

dziekuję  za wyjśnienia