Informace o zranitelnosti zabezpečení bezdrátových sítí WPA – útok KRACK
Potenciální útočník může zranitelnosti využít k tomu, aby mohl odposlechnout přenos mezi klientem a bezdrátovým přístupovým bodem (WPA2/AES) a nebo dokonce přímo vstoupit do komunikace (WPA/TKIP). Útočník nezíská samotná klientská přihlašovací jména/hesla nebo sdílený klíč (PSK) a nemůže je proto ani zneužít pro přihlášení do Wi-Fi sítě.
Obecně se dá řící, že je nutné k bezdrátové síti přistupovat jako k nezabezpečenému médiu a nespoléhat se pouze na šifrování na úrovni bezdrátové sítě.
Používání samostatných aplikací IS (Klient EGJE, Klient IFIS, Klient Tajemnik) z bezdrátové sítě vyžaduje použití VPN a tím je přenos dat dostatečně zabezpečen. Používání webových aplikací IS (CIS, IFIS, SIS apod.) je bezpečné díky použití HTTPS. Je ale nutné dávat pozor na varovná hlášení o změně/neplatnosti certifikátu serveru. Pokud takový případ nastane, nepřihlašujte se a kontaktujte CIT.
Doporučení pro uživatele:
- nainstalovat si na svých koncových zařízeních příslušné záplaty
Microsoft – oprava k dispozici pro Windows 7 a novější - již opatchováno v rámci pravidelné říjnové kumulativní aktualizace 2017-10 (kdo má zapnuté automatické aktualizace, tak by měl mít již nainstalováno),
Android - zranitelný Android 6.0 a výš, pro čistý Android oprava již vydána https://source.android.com/security/bulletin/2017-11-01
Linux - wpa_supplicant v "upstreamu" opraveno, v různých distribucích zřejmě patche již vydány,
Apple - nový iOS 11.1 opravuje zranitelnost KRACK,
- nepoužívat WPA+TKIP. Pro eduroam je k dispozici pro Windows 7+ konfigurační utilita pro WPA2+AES (https://www.natur.cuni.cz/fakulta/cit/navody/wifi/eduroam-natur-wpa2-aes_v4.exe),
- důsledně používat šifrovanou komunikaci implementovanou na vyšších síťových vrstvách a nezávislou na přenosovém médiu (tedy třeba HTTPS místo HTTP, SSH místo Telnet, FTPS/SFTP místo FTP apod.),
- neignorovat varovná hlášení o změně certifikátu serveru, kam se přihlašuji.
Odkazy k dalším informacím:
https://www.krackattacks.com (stránky výzkumníka, který zranitelnosti objevil včetně obecných Q&A)
http://www.kb.cert.org/vuls/id/228519 (zde jsou odkazy na stránky různých výrobců s detailními informacemi)
Akce dokumentů