18.10.2017

Z napadom KRACK lahko napadalci prestrezajo tudi šifriran brezžični promet in se na ta način dokopljejo do vaših občutljivih informacij, kot so gesla, številke kreditnih kartic, osebni podatki, poslovne skrivnosti, če te prek brezžičnega omrežja potujejo nekodirane. Zaradi ranljivosti je potrebna posodobitev IT-infrastrukture in naprav, tveganje pa lahko bistveno zmanjšamo z doslednim šifriranjem omrežnih podatkov.

16. oktobra 2017 je bilo z javno objavo raziskovalnega članka Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 razkritih 10 kritičnih ranljivosti v brezžičnih varnostnih protokolih WPA in WPA2. Napadalci jih lahko z napadom KRACK (angl. Key Reinstallation AttaCK) izkoristijo in tako brez vaše vednosti prisluškujejo brezžični komunikaciji in izmenjavi podatkov.

Napad KRACK v praksi

Napad KRACK se lahko izvede le z neposredno povezavo na ranljivo brezžično omrežje – zloraba z oddaljene lokacije tako ni možna. Napadalec lahko s prestrezanjem in analizo prometa brezžičnega omrežja pridobi informacije, s katerimi preslepi ostale odjemalce, da se na omrežje prijavijo z že uporabljenimi kriptografskimi ključi. To nato napadalcu omogoči dostop do prometa v nekodirani obliki. Odjemalci med prijavo na omrežje zlorabe ne zaznajo, možna pa je detekcija na strani omrežne infrastrukture, če ta omogoča beleženje tega tipa dogodkov.

 
Prikaz KRACK napada v praksi (vir: https://www.krackattacks.com)

Običajno se proti podobnim napadom zaščitimo z uporabo gesel za šifriranje brezžičnih omrežij, vendar ta obramba v  primeru napada KRACK ni učinkovita, saj ta napadalcu omogoča dešifriranje prometa brez poznavanja šifrirnega ključa. Napadalec lahko zato prestreza tudi vaše občutljive informacije, kot so gesla, številke kreditnih kartic, osebni podatki, poslovne skrivnosti itd., če te prek brezžičnega omrežja potujejo nekodirane. Ob tem še posebej poudarjamo, da samo menjava gesla za dostop do brezžičnega omrežja ne odpravi omenjene ranljivosti.

Najbolj so ogroženi uporabniki sistemov Android in Linux

Ranljivosti so znanstveniki z belgijske univerze KU Leuven odkrili že pred časom, a so pred javno objavo obvestili proizvajalce opreme in naprav, da so ti lahko oziroma bodo v kratkem pripravili ustrezne posodobitve. Velja poudariti, da gre za ranljivost na strani protokola, in ne naprav. V sklopu odgovornega razkritja ranljivosti je za pripomniti, da so za platformi Windows in iOS Beta že na voljo popravki za napad KRACK, medtem ko večina platform Android in Linux še vedno omogoča zlorabo ranljivosti. Ogroženi so predvsem uporabniki, ki ne šifrirajo omrežnega prometa prek brezžičnih povezav z uporabo protokola VPN ali drugih protokolov za šifriranje prometa (SSL, TLS, SSH ipd.).

Kako odpravite ranljivost KRACK?

Ranljivost je treba odpraviti na strani klienta in infrastrukture. V primeru naprav Windows in iOS sta proizvajalca že izdala potrebne popravke (iOS trenutno le v programu Beta). Za nekatere Linuxove distribucije (Debian) in OpenBSD že obstajajo popravki, medtem ko je platforma Android v veliki meri odvisna od popravkov proizvajalca. Proizvajalci omrežne opreme že izdajajo popravke, ki so deloma že na voljo, US-CERT pa ima na voljo seznam znanih ranljivih produktov in proizvajalcev.

Uporabnikom brezžičnih omrežij tako svetujemo čimprejšnjo namestitev varnostnih popravkov proizvajalcev in striktno kodiranje omrežnega prometa, predvsem pri prenosu občutljivih podatkov. Zaradi značilnosti odkrite ranljivosti lahko namreč predvidevamo, da ta ne bo nikoli v celoti odpravljena na vseh točkah brezžičnega dostopa, na katere se kot uporabniki povezujemo.

Skrbnikom brezžične infrastrukture in končnih odjemalcev svetujemo sledenje obvestilom proizvajalcev omrežne opreme in operacijskih sistemov na končnih točkah ter dosledno nameščanje varnostnih popravkov, ki to ranljivost odpravljajo. Predlagamo tudi uvedbo mehanizmov, ki zagotovijo dosledno šifriranje omrežnega prometa odjemalcev znotraj in zunaj omrežja lastnih organizacij.

Seznam naprav in programske opreme našega partnerja Cisco, ki omogočajo zlorabo ranljivosti, in potrebni popravki so na spletni strani. NIL bo vsem svojim strankam, ki uporabljajo storitev asistence, pomagal pri odpravi te težave, hkrati pa nudil tudi širši sklop svetovalnih storitev na področju informacijske varnosti za kompleksne informacijske sisteme.

Avtor: Stojan Rančić, Urban Jurca