E-mail | SIS | Moodle | Helpdesk | Knihovny | cuni.cz | CIS Více

česky | english Přihlášení



Informace o zranitelnosti zabezpečení bezdrátových sítí WPA – útok KRACK

V souvislosti s nedávno zveřejněným útokem na zabezpečení WPA/WPA2 pomocí metody KRACK přinášíme podrobnější informace. Problém se týká téměř všech výrobců Wi-Fi zařízení, většina zranitelností je ale na straně klientských zařízení notebooky/telefony/tablety...), ne infrastruktury (bezdrátové přístupové body, centrální kontroler) tj. je nutné aplikovat příslušné záplaty na straně klientů.

 

Potenciální útočník může zranitelnosti využít k tomu, aby mohl odposlechnout přenos mezi klientem a bezdrátovým přístupovým bodem (WPA2/AES) a nebo dokonce přímo vstoupit do komunikace (WPA/TKIP). Útočník nezíská samotná klientská přihlašovací jména/hesla nebo sdílený klíč (PSK) a nemůže je proto ani zneužít pro přihlášení do Wi-Fi sítě.

Obecně se dá řící, že je nutné k bezdrátové síti přistupovat jako k nezabezpečenému médiu a nespoléhat se pouze na šifrování na úrovni bezdrátové sítě.

Používání samostatných aplikací IS (Klient EGJE, Klient IFIS, Klient Tajemnik) z bezdrátové sítě vyžaduje použití VPN a tím je přenos dat dostatečně zabezpečen. Používání webových aplikací IS (CIS, IFIS, SIS apod.) je bezpečné díky použití HTTPS. Je ale nutné dávat pozor na varovná hlášení o změně/neplatnosti certifikátu serveru. Pokud takový případ nastane, nepřihlašujte se a kontaktujte CIT.

Doporučení pro uživatele:

- nainstalovat si na svých koncových zařízeních příslušné záplaty

Microsoft – oprava k dispozici pro Windows 7 a novější - již opatchováno v rámci pravidelné říjnové kumulativní aktualizace 2017-10 (kdo má zapnuté automatické aktualizace, tak by měl mít již nainstalováno),

Android - zranitelný Android 6.0 a výš, pro čistý Android oprava již vydána https://source.android.com/security/bulletin/2017-11-01

Linux - wpa_supplicant v "upstreamu" opraveno, v různých distribucích zřejmě patche již vydány,

Apple - nový iOS 11.1 opravuje zranitelnost KRACK,

- nepoužívat WPA+TKIP. Pro eduroam je k dispozici pro Windows 7+ konfigurační utilita pro WPA2+AES (https://www.natur.cuni.cz/fakulta/cit/navody/wifi/eduroam-natur-wpa2-aes_v4.exe),

- důsledně používat šifrovanou komunikaci implementovanou na vyšších síťových vrstvách a nezávislou na přenosovém médiu (tedy třeba HTTPS místo HTTP, SSH místo Telnet, FTPS/SFTP místo FTP apod.),

- neignorovat varovná hlášení o změně certifikátu serveru, kam se přihlašuji.

Odkazy k dalším informacím:

https://www.krackattacks.com (stránky výzkumníka, který zranitelnosti objevil včetně obecných Q&A)

http://www.kb.cert.org/vuls/id/228519 (zde jsou odkazy na stránky různých výrobců s detailními informacemi)

Publikováno: Pondělí 13.11.2017 16:30

Akce dokumentů