Säkerhetshål upptäckta i krypteringsstandarden WPA2

Sådär, då man har fullt Unifi nätverk hemma inkl Cloud Key så är alla accesspunkter uppdaterad med ny firmware som löser problemet utan ha lämnat kontorsstolen på jobbet.

Tack ubiquiti!
https://community.ubnt.com/t5/UniFi-Updates-Blog/FIRMWARE-3-9...

Vad jag har förstått så ska säkerhetshålet fixas genom att antingen uppdatera din accesspunkt eller att uppdatera klienterna. Om du inte kan få ny firmware till din accesspunkt/router så kan du kanske uppdatera alla dina klienter när de blir patchade? Windows lär ju få en hotfix (om det nu tar några dagar eller några veckor vet jag ej) och mobiler så som iOS eller Android lär ju också bli patchade.

https://www.windowscentral.com/microsoft-has-already-patched-...

Men nee inget från stora bolagen

*** inlägg raderade ***

Jag har raderat ett par inlägg då det ena mer tycks ämnat att hetsa igång en sidodiskussion (se § 1.5) och det andra nappade på betet.

/KimTjik

Eftersom den här svagheten har funnits rätt länge nu, så borde väl alla ha hunnit bli hackade redan, så lite sent kanske att skrika "vargen kommer". Herre jösses...låter på vissa som att tredje världskriget håller på att bryta ut. Är väl bara att stänga av wifi om oron skulle vara för stor för intrång. Gäääsp!

Detta problem ska absolut inte underskattas, rapporten nämner möjligheten att utnyttja bristen till att t.ex. ta över en HTTP session och därmed eventuellt få in JS-cryptominer eller än värre ransomware (fast måste fortfarande komma igenom eventuellt virusskydd)

Finns dock några saker där man inte behöver oroa sig, en är just bankärenden då dessa är utformade så att du ska helt säkert kunna använda tjänsten över helt osäkra nätverk. Även SweC är helt säkert att använda så länge du säkerställer att protokollet är HTTPS och inte HTTP.

Trafik som skyddas av VPN är också helt opåverkat av detta problem, även där är ju grundförutsättning att det ska vara säkert även på nätverk man inte alls kontrollerar.

Angående buggen: nu finns ju mer information. Precis som redan nämnts i tråden, är egentligen bara klienterna som ska uppdateras. Kvittar om AP uppdateras eller ej, blir något mer komplicerat att utnyttja problemet om AP uppdateras men rapporten beskriver attackvektorer som ändå fungerar. Tyvärr tror jag inte IT-avdelningar runt om i världen hoppar av glädje där, rätt många fler klienter jämfört med AP...

Vidare tål detta att repeteras: i sin värsta form resulterar detta problem i att krypteringen över WiFi kan ses som icke-existerande.

Säkerhetsprotokoll har dock än långt mer fundamental komponent, nämligen autentisering. I WPA2-Personal baseras autentiseringen på att man känner till en delad hemlighet, "WPA-lösenordet". Denna bug kan inte användas till att läsa ut detta lösenord. Så risken att okända använder din accesspunkt är varken större eller mindre nu än vad det var innan detta problem blev känt.

Autentisering är väldigt användbart även utan kryptering, kryptering utan autentisering är i det närmaste värdelöst (man vet ju inte med vem kan kommunicerar krypterat med då). Autentiseringsdelen av WPA2 är inte påverkat av detta.

Mycket matnyttigt! Tack för klargörandet!

Skickades från m.sweclockers.com

Så är det. När jag skrev inlägget fanns inte den informationen tillgänglig. Men nu känns det ju tryggt att slå på nätverket igen. Bankärenden och annat görs ju över HTTPS så då är det ju helt lugnt egentligen, om jag fattat det hela rätt alltså.. En angripare kan på sin höjd sniffa trafiken, men inte lösenordet, och därmed kan de inte heller "ta sig in" i nätverket. Så de kan på sin höjd lyssna på okrypterad trafik, och sådant som man inte vill att andra ska se sköter man ju över krypterade anslutningar.

Det blev lite av en anka av det här kan man säga.

Jag antar att du inte läst rapporten, för attacken är primärt riktad mot klienterna, inte mot access-punkten.
Faktum är att författaren till rapporten säger att du kanske inte behöver patcha din router / access-punkt alls.
Det du absolut behöver patcha är din laptop och din smart-phone.

Folk är så vana vid säkerhetsbrister i routrar att de automatiskt antar att alla nätverksrelaterade säkerhetsproblem har med routern att göra och går att fixa där.

Om jag förstår saken rätt löser en patch av routern inte problemet, då attacken inte behöver kommunicera med din router.
Väldigt grovt sett fungerar attacken genom att sätta upp en klon av din access-point och lura klienten att skicka en kopia av alla paket dit (+re-transmission, till klienten från fejk AP'n, av hand-shaken som initialt sätter upp anslutningen så att det går att avkryptera dessa paket).

Fick du ta .bin filen för dina AP's manuellt eller såg du det i CloudKey Gui:t?
Har själv bara fått uppdateringarna innan denna i Gui:t än så länge... tycker att de borde komma i Gui direkt men icke. : (

Det är väl bara att inte aktivera den funktionen. Är inte igång per default vilket är bra.

Det är helt riktigt att jag inte hade den informationen vid tidpunkten för inlägget, men nu har ju mer information släppts.

Kopierade länken till .bin och sedan klistrade in den i Cloud Key GUI't för avancerad update eller vad det heter. Sedan slurpade den i sig och körde utan problem

Har jag fattat det rätt: att det är klienterna, laptop, mobiler m.m. som måste uppdateras och inte routern?

Till 99% ja. Det är enheten som agerar klient som måste patchas. Ibland kan man sätta en AP att vara klient (om den skall agera extender exempelvis) och då skall den patchas, men annars behövs det egentligen inte.

Windows 10 är patchat enligt MS (10e oktober). Apple säger att de har patchat i beta av alla sina OS utan att säga när dessa släpps, och att det endast är i undantagsfall som iOS går att angripa överhuvudtaget.

Skickades från m.sweclockers.com

Ubuntu släppte sin patch 14:49 idag svensk tid
ls -l /sbin/wpa_supplicant
-rwxr-xr-x 1 root root 2160176 okt 16 14:49

Värst är alla Androidtelefoner där ute som måste uppdateras av varje tillverkare. Vilket tyvärr långt ifrån alla kommer göra. Någon borde ta fram en lista på vilka system som blivit uppdaterade och när det kom ut.
Edit hittade denna https://github.com/kristate/krackinfo

Intel släppte patchade drivisar idag för många av sina kretsar: https://www.intel.com/content/www/us/en/support/articles/0000...

@Ozzed: Jag kallar total bullshit på det - nu låtsas du bara.
Du vrider på det jag skriver på ett konstigt sätt för att kunna kontra med ett svar. Dina ursäkter är ologiska om du tolkar det jag skrev rätt, och jag tror du medvetet valde att inte göra det.
Sluta med det där och ge mig ett riktigt svar.
Jag är inte arg, jag vill bara inte göra en löjlig ordmärkardans med dig. Jag tror du är smartare än att ge mig ett dumt svar av misstag och jag tror de flesta som läser här vet vad jag menade, dig inkluderat. Jag vet att jag låter arg för att jag inte lindar in detta mjukt, men vi har haft banter förr så jag tycker vi kan vara ärliga mot varandra och gå rakt på utan bomull. (Om du tar för illa upp kan jag linda in min poäng mjukare, men det är en waste of time om du är ok med att borsta av det.)