מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



כמה מילים לגבי חולשת האבטחה למנגנון ההצפנה WPA2 שפורסמה היום


   פורומים > HTPC ומחשוב > אינטרנט - ספקים, תשתית, סיבים fiber
מחבר הודעה
NetCHEIF (לביא שיפמן - http://www.NetCHEIF.com)
גורו רשתות
גורו רשתות

הצטרף בתאריך:
  Sep 21, 2012

מיקום: מרכז
הבעות תודה: 586
מספר הודעות: 2649

 #1  נשלח: ב' 16/10/2017 19:09
כמה מילים לגבי חולשת האבטחה למנגנון ההצפנה WPA2 שפורסמה היום

כמה מילים לגבי חולשת האבטחה למנגנון ההצפנה WPA2 שפורסמה היום:

1. מדובר בחולשת אבטחה חמורה הנוגעת במכשירי הקצה - כלומר ברוב המקרים בטלפוניים סלולריים - ואינה נוגעת לנתבים ולנקודות הגישה האלחוטיות. חומרתה נובעת מכך שהיא משפיעה על מאות מיליונים של מכשירי קצה מהם ניתן לשאוב מידע המועבר בתקשורת אלחוטית מסוג WIFI.

2. התיקון של החולשה צריך להתבצע על ידי עדכון תוכנה למכשיר הקצה. כיוון שמדובר כאן במכשירים סלולריים שעדכון over the air הוא מנגנון סטנדרטי, הוא ידחף על ידי היצרניות. בשלב זה (נכון למועד כתיבת הפוסט) אף חברה עדיין לא פרסמה עדכון שכזה, אך סביר שהגדולות - סמסונג, LG, גוגל ואחרות - יעשו זאת בקרוב.

3. על מנת לממש את החולשה על התוקף להיות בסמיכות למכשיר הקצה ובטווח הקליטה שלו מהנתב או מנקודת הגישה. המשמעות היא שהתקיפה, אם תהיה כזו, תתבצע מול יעדים ספציפיים שהתוקף חושק במידע המועבר באופן אלחוטי ממכשיר הקצה שלהם. חשוב לזכור שבשלב הזה (נכון למועד כתיבת הפוסט) אין כלי תוכנה "מן המדף" לשימוש בחולשה אך סביר שתוך ימים יפותחו כאלה.

4. עד להפצה של העדכונים הצפויים, דרכי ההתגוננות המומלצות הן שתיים - מעבר לשימוש ב-VPN או המנעות משימוש ב-WIFI ומעבר לשימוש בחיבור DATA סלולרי גם במקומות בהם יש נתב.

_________________
באתר http://www.netcheif.com תוכלו למצוא מדריכים וסקירות על רשתות ביתיות, חיבורי אינטרנט ונתבים.
(11) הבעות תודה: הקרנף , eran405 , oris74 , GuyHoresh , Fish72 , Ta_78 , Huvenster , קרוקס44 , yakovil , Itay_Pollak , gro111
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 411
מספר הודעות: 2224

 #2  נשלח: ב' 16/10/2017 20:52

התקפה ממש יפה. למי שמעוניין בעוד פרטים טכניים: https://www.krackattacks.com/

אוסיף על מה ש-netcheif ציין למעלה: (אנא תקנו אותי אם אני טועה)

כל עוד שמתמשים ב-AES-CCMP (אני משער שזה פשוט לבחור AES בראוטר), התוקף יכול להאזין ולפענח את המידע המועבר על הרשת האלחוטית. דבר שכמובן פרצת אבטחה רצינית ו-WPA2 אמור בהחלט להגן נגד פענוח המידע.

אבל אם משתמשים ב-TKIP (או GCMP שזה חלק מ-WiGig), ההתקפה הרבה יותר חמורה ואפשר לעשות התקפת man-in-the-middle שזה חמור ביותר. יש להם סרט קצר שמראה איך בעזרת ההתקפה כזו הם יכולים לקבל פרטי כניסה לאתר שכביכול מוגן ב-https. במקרה הזה ההתקפה מסתמכת על זה שה-https באתר אופציונלית ולא תעבוד על אתרים שמוגנים כמו שצריך אבל עדיין כפי שאפשר להתרשם מהסרט זו התקפה חמורה ביותר.

הנה קישור לסרט: (למיטב הבנתי זה מסתמך גם על חוסר שימוש ב-AES + האופציונליות של https באתר המדובר)


עריכה: אוסיף גם את הציטוט הבא מה-Q&A באתר שקישרתי לעיל:
ציטוט:
Should I temporarily use WEP until my devices are patched?
NO! Keep using WPA2.
(1) הבעות תודה: GuyHoresh
| פרופיל | שלח הודעה | חפש
GuyKhmel
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Jul 30, 2010
הבעות תודה: 8
מספר הודעות: 123

 #3  נשלח: ג' 17/10/2017 11:23
ש

כמו שציינת, הבעיה היא עם מכשירי הקצה, אך לפי מה שהבנתי אפשרי גם לפתור את הנושא ע״י עדכון לראוטרים עצמם.

האם באופן כללי, אנחנו צפויים לראות גם עדכונים לראוטרים השונים המטפלים בנושא הזה?
| פרופיל | שלח הודעה | חפש
jtk
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 30, 2012
הבעות תודה: 442
מספר הודעות: 4248

 #4  נשלח: ג' 17/10/2017 16:31

עדכונים ל-Windows 7 ומעלה:
https://portal.msrc.microsoft.com/en-US/security-g...

עדכון לטלפונים סלולריים? רק בהנחה שזה דגם חדש יחסית/יקר, אחרת היצרנים לא טורחים.
(1) הבעות תודה: eran405
| פרופיל | שלח הודעה | חפש
NetCHEIF (לביא שיפמן - http://www.NetCHEIF.com)
גורו רשתות
גורו רשתות

הצטרף בתאריך:
  Sep 21, 2012

מיקום: מרכז
הבעות תודה: 586
מספר הודעות: 2649

 #5  נשלח: ג' 17/10/2017 19:27
Re: ש

GuyKhmel
·
בפועל מדובר כאן על 10 חולשות (מ-CVE-2017-13077 עד CVE-2017-13086). מתוך 10 החולשות רק אחת – CVE-2017-13082 – רלוונטית לנתבים ונקודות גישה. באמצעות החולשה הזו מתאפשרת ההזרקה החוזרת של המפתחות אבל נראה שהתיקון שלה, ללא ביצוע תיקונים לחולשות הקיימות בתחנות הקצה, לא ימנע את מתקפה המתבססת על אוסף החולשות שנמצאו. מצד שני – עדכונים לתחנות הקצה שיתקנו את החולשות שנמצאו – ייתרו את העדכון לנתבים ונקודות הגישה.

_________________
באתר http://www.netcheif.com תוכלו למצוא מדריכים וסקירות על רשתות ביתיות, חיבורי אינטרנט ונתבים.
(1) הבעות תודה: GuyKhmel
| פרופיל | שלח הודעה | חפש
Hava972
עוסק בתחום
עוסק בתחום

הצטרף בתאריך:
  Nov 13, 2010
הבעות תודה: 58
מספר הודעות: 683

 #6  נשלח: ד' 18/10/2017 21:35

איך זה ישפיע על מי שמשתמש ב802.1x?
הרי גם אם יפוענך היוזר ולא רק הססמא הוא מוגבל למשתמש אחד ואפילו מוצמד לmac (אם הוגדר כך)
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 374
מספר הודעות: 2001

 #7  נשלח: ה' 19/10/2017 19:22

טוב, זה הייה מהיר. הראשונים שהגיבו ופירסמו כבר את הגירסת תוכנה שכוללת את האמצעי-נגד החולשה בהקשר של AP side workaround for key reinstallation attacks , הם Lede Project וב FirmWare העדכני שלהם כבר ייושמה גירסה של hostap שמתמודדת עם האיום זה גם בהקשר של 802.1x EAP Fast Transition . מצורף צילום מסך מאחת הנקודות גישה שלי מאלה שכבר עברו את השידרוג הנדרש ומהלקוח:




| פרופיל | שלח הודעה | חפש
ha_miki
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Jun 27, 2006
הבעות תודה: 89
מספר הודעות: 252

 #8  נשלח: א' 22/10/2017 16:21

גם יוביקוויטי הוציא כבר תיקון ל AP שלהם
| פרופיל | שלח הודעה | חפש
tbind
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Nov 27, 2007
הבעות תודה: 39
מספר הודעות: 402

 #9  נשלח: א' 22/10/2017 23:58

אינטל הוציאה ב17.10 עדכון לדרייברי wifi לwindows שלפי רשימת השינויים נראה שמכיל תיקון.
| פרופיל | שלח הודעה | חפש
l33cher
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jul 30, 2009

מיקום: לה לה לנד
הבעות תודה: 54
מספר הודעות: 1699

 #10  נשלח: ב' 23/10/2017 11:17

יש צפי מתי בזק תשחרר עדכון לראוטרים שלה? (יש לי נטגיר VVG2000 שוכב ללא שימוש לחירום,וכרגע בשימוש NB403)
_________________
th1s 1s my d1st0rt3d r34l1ty
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 374
מספר הודעות: 2001

 #11  נשלח: ב' 23/10/2017 15:43

l33cher
·
כן. כרגע, זה מתוכנן מיד אחרי ביאת משיח צידקינו. ברבעון הראשון של האחרית הימים.
(1) הבעות תודה: guy9322
| פרופיל | שלח הודעה | חפש
l33cher
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jul 30, 2009

מיקום: לה לה לנד
הבעות תודה: 54
מספר הודעות: 1699

 #12  נשלח: ג' 24/10/2017 10:11



אוטוטו מעבר לפינה..

_________________
th1s 1s my d1st0rt3d r34l1ty
| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון קיץ - ישראל (GMT+3) הצג הודעות קודמות:    
פורומים > אינטרנט - ספקים, תשתית, סיבים fiber


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht