Siirry uusimpaan kommenttiin
Tämä viesti on vanha ja saattaa sisältää vanhentunutta tietoa.
Etsimäsi kommentti on joko siirretty toiseen keskusteluun tai poistettu kokonaan.

Miten löydettyyn WPA2-protokollan KRACK haavoittuvuuteen tulee reagoida?

Syyskuun 16. päivä WPA2-protokollassa on havaittu kriittinen haavoittuvuus, joka vaatii tukiasemien ohjelmiston päivitystä. Käytössäni on DNA Mokkula 4G WLAN MF93D. Tuleeko päivitys laitteeseen automaattisesti vai miten tilanteeseen tulisi reagoida?

https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/

Kommentit

  • Tämä kohdistuu vain asiakaslaitteisiin, eli esim. puhelimiin ja tietokoneisiin. Niissäkin pitää olla Linux/Android käyttöjärjestelmä, jotta haavoittuvuutta voidaan hyödyntää. Yksittäisen kotikäytössä olevan tukiaseman päässä ei siis tarvitse tehdä mitään, eikä ratkaisu ole tukiaseman päivittäminen.
  • HDNA Hubi on siis vaaravyöhykkeessä.
  • @kimppikoo

    Myös Windows on haavoittuva ja varmasti tulee laitepäivityksiä joilla vika tukiasemissa korjataan.
  • Eli siis tukiasemassa pitää olla joku käyttöjärjestelmä, että se on haavoittuvainen ja tavallinen "tyhmä mokkula" ei siten ole?
  • Asia on vielä toistaiseksi meillä selvityksessä
    DNA Iiro palveluneuvoja
  • Mikä hyvänsä wifiä vastaanottava laite missä hyvänsä ympäristössä on vaaravyöhykkeessä.
  • Hyväksikäyttö vaatii valetukiaseman, MAC-spooffauksen sekä tuon 802.11r ominaisuuden olemassaolon nykyisessä tukiasemassa eli aika epätodennäköistä, että jokaisessa kotiwlanissa olevat laitteet hakkeroitaisiin.
  • TheVergen mukaan Microsoft on tehnyt jo päivityksen tuetuihin Windows:iin... myös Debian on tehnyt päivityksen, joten Ubuntu saanee sen kohta. Android- puhelimet voi olla suurimmassa vaarassa, kun niihin ei välttämättä saa päivitystä.
  • Windowsin tai Ubuntun normipäivitys ei mitään auta ellei se tule nimenomaan reitittimeen. Microsoft ainakaan ei ole kiinnostunut kenenkään reitittimien päivityksistä. Se on reitittimen tekijän/operaattorin asia hoitaa se puoli kuntoon. Koneesi käyttiksen kanssa sillä ei ole mitään tekemistä.
    Tässä ketjussa puhe lienee DNA:n käyttämistä reitittimistä ja niihin sitä korjausta tarvitaan - joko softaan tai rautaan.
  • @sesa
    Koskee myös käyttöjärjestelmiä jotka Windowsin osalta on jo paikattu. Tukiasemat sekä muut käyttöjärjestelmät toki vielä haavoittuvia.
  • Hei!

    Asiasta löytyy asiakastiedote täältä: https://corporate.dna.fi/asiakastiedotteet?type=tukari3&id=356
    DNA Iiro palveluneuvoja
  • Eilen tuli Windows 10:n ohjelmistoversiopäivitys koontiversioon 1709 ja sen perään vielä kumulatiivinen päivitys kontiversiolle 1709.
  • @PW

    Windowsissa haavoittuvuus on paikattu jo viime viikon tiistaina julkaistussa päivityksessä.
  • KRACK-hyökkäyksessä tärkein hyökkäysvektori kohdistuu niihin laitteisiin, jotka 802.11 standardin mukaan ovat client-tilassa, eli päätelaittesiin kuten verkkosi tietokoneisiin ja mobiililaitteisiin, jos verkossasi on esimerkiksi jokin muu client-tilassa oleva laite kuten tulostin, WiFi-toistin, tai vaikka älykäs vedenkeitin, kohdistuu uhka myös niihin.

    Verkon tukiasemat eivät pääasiallisesti ole haavoittuvaisia.

    Suuri osa tietokoneista ja mobiililaitteista tulee saamaan haavoittuvuuden korjaavan päivityksen pian. Listalla mukana on ainakin: Windows 7, 8, 10, macOS, iOS, ja Android jonka suojauspäivityksen päivämäärä on 6. Marraskuuta 2017.

    Valitettavasti monet muut laitteet eivät ehkä koskaan saa päivitystä, tällaisa laitteita voivat olla esimerkiksi langattomat tulostimet, älytelevisiot, WiFi-toistimet ja vedenkeittimet.

    Verkon tukiasemat, jotka siis ovat 802.11 standardin mukaan AP-tilassa, eivät ole haavoittuvaisia. On kuitenkin tärkeä muistaa että joissain tukiasemissa olevaa WiFi-toistin (client) tila on haavoittuvainen jos laitetta ei ole päivitetty. Joidenkin ammattitason tukiasemien 802.11r (fast roaming) tila on myös haavoittuvainen. Hyökkäyksiltä suojautumiseksi on riittävää että näitä haavoittuvaisia toimintoja ei käytetä.

    En suosittele haavoittuvaisten ja päivitettyjen päätelaitteiden pitämistä samassa verkossa, koska yksi haavoittuvainen päätelaite voi olla joissain tapauksissa helppo valjastaa muuta verkkoa kohdistuvia hyökkäyksiä varten. En myöskään kayttäisi haavoittuvaisia laitteita enää mihinkään luottamukselliseen, siitä huolimatta että monet applikaatiot käyttävät HTTPS:ää, esimerkiksi siksi, koska: laite saattaa paljastaa verkkoon epäturvallisia palveluita, tai sen OTA-päivitysominaisuutta vastaan voitaisiin hyökätä. Myöhempi esimerkki on tosi joillekin Android puhelimille.

    Haavoittuva päätelaite on mielestäni ovi muille hyökkäyksille.


    Joissain tukiasemissa on mahdollista luoda useita toisistaan eristettyjä verkkoja, kuten salasanasuojattuja vierasverkkoja. Mielestäni kannattaa luoda kaksi eri verkkoa, yksi kaikille kodin tietokoneille ja mobiililaitteille jotka saavat päivityksen. Ja toinen verkko kaikille muille laitteille, kuten älytelevisoille ja vedenkeittimille, jotka eivät saa päivitystä.

    Käytin viestin kirjoittamiseen aikaa, joten sanotaan että se on public domainia, kopioi, muokkaa, kritisoi ja lähetä vapaasti kaikille jotka voivat hyötyä tästä.
  • @AP

    Windows sai tuo päivityksen jo viime tiistaina. Eri asia on sitten onko se jo asennettu.
  • Useampi kuukausi mennyt ja vieläkään ei ole tullut ZTE MF286:lle mitään päivityksiä. Tuleeko koskaan? Ostin laitteen kaksi päivää ennen krack uutisen julkistamista.
  • @Petri

    Niin missä tilassa se laitteesi onkaan? Huomaa, että hyökkäys on mahdollista vain jos laite client tilassa.

Kommentoi tai kirjoita uusi viesti

Nimesi ja viestisi näytetään julkisesti.Sähköpostiosoitettasi ei koskaan näytetä julkisesti.