Объединение Wi-Fi Alliance, развивающий стандарты для беспроводных сетей, сообщил (https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-in... о принятии мер для приведения технологии WPA (Wi-Fi Protected Access) к современным требованиям безопасности и устранении недоработок, выявленных авторами атаки KRACK (https://www.opennet.me/opennews/art.shtml?num=47392) против WPA2. Для пользователей и провайдеров организация Wi-Fi Alliance предоставит набор рекомендаций по усилению защиты и упрощению создания безопасных конфигураций. Новые рекомендации для построения безопасных сетей Wi-Fi будут представлены в 2018 году в рамках новой спецификации WPA3. Первый черновик спецификации планируется опубликовать в ближайшие месяцы.WPA3 обеспечит надёжную защиту даже при установке пользователем ненадёжного пароля доступа. Для защиты от атак по подбору пароля (brute-force) будет введено ограничение на число попыток аутентификации. Для упрощения настройки параметров безопасности на устройствах, лишённых экранного интерфейса, в WPA3 планируется реализовать возможность настройки с соседних устройств, уже подключенных к беспроводной сети (например, параметры для IoT-устройства без экрана можно будет задать со смартфона).
Кроме того, WPA3 будет включать средства для защиты приватности пользователя в общедоступных открытых сетях, предоставляя слой для шифрования всех потоков данных между клиентом и точкой доступа. Для шифрования будет предложен набор на основе 192-разрядных ключей, соответствующий требованиям CNSA (Commercial National Security Algorithm), выработанным комитетом NSS (https://en.wikipedia.org/wiki/Committee_on_National_Security... для защиты правительственных, военных и промышленных сетей.
URL: https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-in...
Новость: http://www.opennet.me/opennews/art.shtml?num=47875
Да, и будет новый повод обновлять всю (!) инфраструктуру.
opkg update
> opkg updateИ что?
> update Update list of available packagesА если имел в виду upgrade, то
> Since LEDE firmware stores the base system in a compressed read-only partition, any update to base system packages will be written in the read-write partition and therefore use more space than it would if it was just overwriting the older version in the compressed base system partitionк тому же
> The package repositories in the development snapshots are updated by the build bots to new versions very often, so it's very likely you won't be able to upgrade some packages due to broken dependencies with kernel or kernel-related packages. In that case, it's recommended to use the Image Builder and make a new firmware image with all packages you need and flash that instead of upgrading through opkg.https://lede-project.org/docs/user-guide/opkg#package_manipu...
Хоспаде, скачай новую прошивку вручную.
А ему-то зачем? У него своя безупречная v0.0.
Без апдейта нет апгрейда.
Да, да. Тоже подумалось, как бывает просто ледить за безопасностью :)
> ледитьУже опять опенвртить.
c N на AC переползли же как то, не обломались. Вот и тут. Что, не переползли? Ну постепенно, постепенно. Я хочу сказать, что резких переходов со сменой всей аппаратуры давно не наблюдалось, на самом делле!
Можно массово заливать обновления через трояны в операционных системах процессоров.
> Да, и будет новый повод обновлять всю (!) инфраструктуру.Большая часть инфраструктуры кладется одним чудаком с MDK3. Потому что послать disconnect якобы от точки доступа может кто угодно, лишь бы клиент слышал пакет. Идея сделать protected management frames обязательными очень здравая в контексте защиты инфраструктуры. Сейчас wi-fi можно обрушить кому угодно в любой момент.
Как же я теперь буду жить без соседского фай-фая?
Какой продвинутый у тебя сосед, что следит за последними достижениями в сфере беспроводной связи.
Пока до соседей дойдёт WPA3......
Не волновайся, соседа тебя без халявного фай-фая не оставит, продолжит собирать на тебя компромат и пароли от онлайн-сервисов.
https передаёт ему привет.
Ой насмешил... Какой глупый нынче анон пошел. Мельчает анон!
Для параноиков есть VPN. Обычноанону хватит https.
> Для параноиков есть VPN. Обычноанону хватит https.Только полный идиот будет пользоваться скомпрометированным узлом, гоняя через него конфиденциальщину, в надежде что пресвятой HTTPS и апостол VPN спасут его. :)))
> Только полный идиот будет пользоваться скомпрометированным узлом, гоняя через него конфиденциальщину,Отключите себе интернет, провайдер скомпрометирован СОРМ поставил и сам слушает.
> Отключите себе интернет, провайдер скомпрометирован СОРМ поставил и сам слушает.СОРМ-у порносайты не особо интересны, как и пароли от интернет-кошельков. Там покрупней рыбку отлавливают. А вот соседа, который может быть даже и не соседой, а хонейспотом для таких как ты, установленным в подъезде вполне себе прошаренными ребятами. :)
Сделай свой VPN и перехвати все мои пароли по https полностью. Слабо?
VPN MITM? Если ты в скомпроментированном туннеле, то у тебя скомроментированный трафик DNS. Редирект на соседний хост с фейковой страничкой с сертификатом Let's Encrypt. Твои логин и пароль оседают в логах веб-сервера.
DNS на моей стороне прописан. Что дальше?
iptables -t nat -A PREROUTING -j DNAT -d 8.8.8.8 --to-destination 192.168.0.2
DNSCrypt, говорили они.
> DNSCrypt, говорили они.Зачем возиться, с теми же трудозатратами можно зашифровать весь трафик в впне
MITM не поможет при асинхронном шифровании и не скомпрометированных ключах
а при алкогольном шифровании как?
> а при алкогольном шифровании как?инсталяция активированного угля через клизму
Ты уже получил от letsencrypt подписанный сертификат vk.com? Или ты просто не в курсе, как работает https и какую роль в нем играют CA?
"Сервис Let's Encrypt экстренно отключил поддержку проверки владения доменом с использованием метода TLS-SNI-01 из-за разбора сведений о наличии уязвимости в его реализации. Достоверность информации о проблеме оценивается как высокая, но детальные данные о сути уязвимости пока не сообщаются. Упоминается только то, что уязвимость позволяла получить неправомерный сертификат от Let's Encrypt."
> "Сервис Let's Encrypt экстренно отключил поддержку проверки владения доменом с использованием
> метода TLS-SNI-01 из-за разбора сведений о наличии уязвимости в его реализации.
> Достоверность информации о проблеме оценивается как высокая, но детальные данные о
> сути уязвимости пока не сообщаются. Упоминается только то, что уязвимость позволяла
> получить неправомерный сертификат от Let's Encrypt."Т.е. на самом деле у vk виртуальный хостинг?
Я всегда подозревал что-то эдакое, спасибо за инсайт!
--------
https://community.letsencrypt.org/t/2018-01-09-issue-with-tl...
> However, Frans noticed that at least two large hosting providers combine two properties that together violate the
> assumptions behind TLS-SNI:
> Many users are hosted on the same IP address, and
> Users have the ability to upload certificates for arbitrary names without proving domain control.
> When both are true of a hosting provider, an attack is possible.
>
>> Отключите себе интернет, провайдер скомпрометирован СОРМ поставил и сам слушает.
> СОРМ-у порносайты не особо интересны, как и пароли от интернет-кошельков.СОРМу вообще всё пофиг, об без разбора трафик снифает. А вот что интересно тем, кто имеет к нему доступ, это ещё большой вопрос.
> СОРМу вообще всё пофиг, об без разбора трафик снифает. А вот что
> интересно тем, кто имеет к нему доступ, это ещё большой вопрос.Ну и корми СОРМ, зачем тебе еще и соседа до кучи?
>хонейспотомМамкины ибэпэшники не палятся.
>СОРМ-у порносайты не особо интересны, как и пароли от интернет-кошельков.Серьёзно, пароли от кошельков и пины от карт не интересны? Вы так безоговорочно доверяете, так называемым, правохранителям?
Кому же еще доверять? Тебе что ли, анон?
>> Для параноиков есть VPN. Обычноанону хватит https.
> Только полный идиот будет пользоваться скомпрометированным узлом, гоняя через него конфиденциальщину,
> в надежде что пресвятой HTTPS и апостол VPN спасут его. :)))Вася Т. видит скомпрометированный узел. В Интернет... (здесь следует быть гомерическому хохоту. Но не получилось как следует)...
> Для параноиков есть VPN. Обычноанону хватит https.Чуть не забыл, ко всему прочему для соседы не секрет где географически раположен твой фай-фай. :) Так шта тебе лучше быть на 146% уверенным что соседа такой же "специалист" как и большинство любителей "халявы".
Почему банки не отказались от TLS, если это так небезопасно?
> Почему банки не отказались от TLS, если это так небезопасно?Они и от магнитной полосы на карте не отказались, хоть там все и записано без шифрования и любой уважающий себя кардер по этому поводу перехватывает все параметры как только вы сунете карту в банкомат со скимером. Более того - ряд транзакций пройдет даже без запроса пинкода, на радость кардерам опять же. Слухи о безопасности банкинга несколько преувеличены.
Подними VPN, я зайду через тебя в VK. Если сможешь перехватить пароль, тогда аккаунт твой.
> Подними VPN, я зайду через тебя в VK. Если сможешь перехватить пароль,
> тогда аккаунт твой.И зачем оно мне? В чем профит?
Как всегда, когда нечем подтвердить свои слова, отвечают фразами "а мне оно зачем", "зачем мне тратить на тебя время" и т.п. Слился короче.
Тот случай, когда школота не знают цену времени. ;)
Затем что ты трепло.
Вы некачественно применяете знаки препинания.
> Подними VPN, я зайду через тебя в VK.В чем прикол? Если впн поднимает обладатель точки то он может показать вместо вконтакта любое фуфло, vpn в этом может даже немного помочь. Вот если владелец точки не контролирует впн, ему придется обломаться с снифингом и тем более манипуляцией трафика.
> Если впн поднимает обладатель точки то он может показать вместо вконтакта любое фуфлоЕсли спор о TLS, то не сможет, ибо браузер отругается на невалидный сертификат (если заходим через https).
Ну, если сосед - CA или из трёхбуквенной конторы - тогда, конечно, не поможет
> https передаёт ему привет.Гы-гы-гы! Блаженны верующие! Соседа багтреки отслеживает.
WPA3 же не запрещает соседу использовать пароль "111111". Он лишь ограничивает число попыток подбора подключающимся.
Да, но в WPA2 возможен оффлан-перебор пароля (стырили хеш и больше wifi соседа нам пока не нужен для подбора пароля). А скорость оффланй-перебор пароля по известному хешу ограничена только ресурсами доступными взломщику.Если же пароль можно будет подбирать только постоянно общаясь с wifi-точкой и количество попыток в секунду будет ограничено, то это существенно повышает безопасность.
Через Spectre вытянешь пароль.
Для этого нужно хотя бы иметь возможность запускать произвольный код на машине с сохранённым паролем или на wifi-точке доступа :)
> Как же я теперь буду жить без соседского фай-фая?А что, WPS таки уберут? :)
Я так в живую и не увидел ни одного роутера с уязвимым WPS включенным по-умолчанию.
Обычно там везде кнопку нужно нажимать.
Как интересно
Сначала была веселуха, что wpa2 всё же тухляк и легко ломается
Легко перехватываются данные и прочее
Причём не так давно
А таперь, на те вам wpa3
Вот же производители "железок" радоваться будут)
Ибо хорошим конторам, хош не хош, затаривайся
Интересно, что же будет вскоре от интела с амд, прям жду не дождусь
Если хорошей конторе жалко денег на нормального админа, который способен обновить прошивку, пускай тратится на железо, фигли.
Учитывая, как долго тянется переход на ас (в бюджетных мобильных устройствах до сих пор редкость), на WPA3 всё будет ещё дольше, так как поддерживать технологию должно всё. И если на корпоративном дорогом оборудовании все решится обновлением прошивки, то с домашними устройствами дела обстоят похуже.
Что интересно, нормальные домашние устройства уже давно тоже умеют обновляться. Вопрос в том, интересно ли производителям их обновить.
У меня дома Asus'ы, для них обновки выходят. С полгода назад обновлял RT-N16, который куплен аж в 10-м или 11-м году.
Да, Асус постоянно выкладывает обновления для роутеров, мобилы, билсы и прочие хрения так же обновляет часто. Одна из немногих контор, которая это делает не на отвали.
> Учитывая, как долго тянется переход на ас (в бюджетных мобильных устройствах до
> сих пор редкость), на WPA3 всё будет ещё дольше, так как
> поддерживать технологию должно всё. И если на корпоративном дорогом оборудовании все
> решится обновлением прошивки, то с домашними устройствами дела обстоят похуже.AC и WPA как бэ на разных уровнях живут. Первое "лечится" исключительно заменой "железа", а для второго достаточно прошивку обновить, если проц позволит новые алгоритмы без ущерба для производительности "осилить". На дешевках домашних вряд ли будут что менять, им продажи поддерживать нужно. А на энтерпрайзе выпустят могучее обновление и всего-то делов, а там админам решать, допускать ли в политиках WEP/WPA/WPA2.
> новые алгоритмы без ущерба для производительности "осилить".На домашних мыльницах с дохлым MIPSом - все тормознется донельзя. Вот если какой-нибудь ARM на 1-2 ГГц да 64-битный взять, как в одноплатниках, там и в софте можно...
>Для защиты от атак по подбору пароля (brute-force) будет введено ограничение на число попыток аутентификации.а причем тут спецификация, если это делается на уровне фаерволла?
Очевидно теперь это будет прям в железяке. Ибо по другому не осилят...
>>Для защиты от атак по подбору пароля (brute-force) будет введено ограничение на число попыток аутентификации.
> а причем тут спецификация, если это делается на уровне фаерволла?подробнее, пожалуйста.
>>Для защиты от атак по подбору пароля (brute-force) будет введено ограничение на число попыток аутентификации.
> а причем тут спецификация, если это делается на уровне фаерволла?Ну давай, расскажи нам про файрвол, работающий на канальном уровне.
>Для защиты от атак по подбору пароля (brute-force) будет введено ограничение на число попыток аутентификации в рамках одного handshake (ограничение не позволит подбирать пароль в offline-режиме)Внимательно читаем процитированное до просветвления.
Commercial National Security Algorithm - еще 1 зонд NSA? https://3dnews.ru/961118/print
>Для шифрования будет предложен набор на основе 192-разрядных ключей, соответствующий требованиям CNSA (Commercial National Security Algorithm), выработанным комитетом NSS для защиты правительственных, военных и промышленных сетей.Ну конечно на те же грабли надо наступить при разработке стандарта, который метит на международный уровень, использовав вещи, соответствующие требованиям организации со словом "национальной" в названии. И, конечно под нацией там подразумевается известно что. А значит, раз это организация в составе правительства (вообще, ныне же это можно к любой стране можно отнести), то можно ждать новых закладок, как это обычно бывает в эти времена, и этим открытым сетям всё так же нельзя будет доверять, даже если ключи эти будут хоть миллионразрядные.
> метит на международный уровень, использовав вещи, соответствующие требованиям организации
> со словом "национальной" в названииБлагородный дон конечно же знает такую абреввиатуру как ANSI?
:)
У "благородного дона", похоже, условный рефлекс на слово выработан, так что спорить бессмысленно. То, что подобная защита вообще не от спецслужб благородному дону, кажется, тоже в голову не пришло
Слова "национальный" как и "федеральный" "там" ничего не подразумевают. Федеральный резерв - яркий тому пример. Частная компания не имющая отношения к правительству.
А как ограничение на число попыток аутентификации в рамках одного handshake будет влиять на подбор пароля по словарю в оффлайн режиме? Сдампил пакетик себе на диск, и подбирай хоть over 9000 паролей в секунду, как в WPA2.
Разработчики об этом не подумали.
он будет шифранут одноразовым сеансов. ключом от подбора которого нет толка
Только не понятно, требуется ли аппаратная поддержка или чисто софтовая.
> Для упрощения настройки параметров безопасности на устройствах, лишённых экранного интерфейса, в WPA3 планируется реализовать возможность настройки с соседних устройств, уже подключенных к беспроводной сетиПохоже, будет та же история, что и с WPS - дыра дырявая. Запилили бы лучше модный NFC - было бы куда безопаснее.
> Похоже, будет та же история, что и с WPS - дыра дырявая.
> Запилили бы лучше модный NFC - было бы куда безопаснее.Как ты думаешь, через сколько окажется что "near" field при желании вовсе не такой уж и near? :) Рекорды NFC-линков уже измеряются десятками метров вроде. Near он достаточно условно - на сколько хватит мощности передатчика и чуйки приемника, настолько и near. Хакеру ничего не мешает взять лучший приемник, мощный передатчик и сделать антенну в стиле "винтовка для wi-fi" (длинный глист по типу яги с кучей элементов и диким усилением, чтобы светить узким лучом в адресата).
Мда, прощай Hashcat и соседский вифи. :(
Вот откуда здесь столько уродцев-халявщиков, которым на интернет денег жалко?
это не для того чтобы себе халявы -- это чтобы соседу было бы меньше скорости :-)
А могли бы поселком реализовать loadbalancer на wifi гриде.
Кому как. Я вот от всех соседских точек пароли знаю, но не пользуюсь...
Потому что у меня мания всё взламывать. В детстве заболел локпикингом, ибо у меня были простые замки 🔒 от почтовых ящиков, кейсы и прочие. Самые простые открывал с помощью скрепок поначалу, потом начал делать отмычки. А дальше пошло и поехало...
Ого, брат... Да ты уголовник со стажем! наверно уже на десяточку наработал (не windows). :)
десяточку iphone? :-)
> Ого, брат... Да ты уголовник со стажем! наверно уже на десяточку наработал
> (не windows). :)Само по себе вскрытие замков преступлением не является. Преступно вскрыть замок в чужой двери без согласия владельца помещения. А с согласия... полно тех кто легально вскрывает замки. Актуально если ключи потеряли, замок заело и прочее. С компьютерами идея примерно та же.
Да осиль ты уже установку пароля на свою вафлю!
> Для защиты от атак по подбору пароля (brute-force) будет введено ограничение на число попыток аутентификацииА потом что?
заход на след. 3 попытки через довольно_долгое_время
день через год строгача.
> заход на след. 3 попытки через довольно_долгое_времяА это идея. Делаешь auth от MAC соседа. Соседа надолго посылает роутер. И наверное даже MFP от такой диверсии не поможет. Ведь до того как им пользоваться надо сначала шифрование согласовать. Для этого несколько фреймов полетят без шифрования...
А потом покупай новый роутер.
нет сначала покупай новый роутер с WPA3
Закрывают одни дыры и тут же пишут 3 новых вектора атаки.
Безопасность через неясность всегда была самым тупым методом защиты. В криптографии это давно усекли. Так что от того, что они перечислят векторы атак, взломать проще не станет, лол.
Безопасность через усложнение же. ну анон.
Расшарил доступ к часам через зх что, а потом и сосед твой расшарит.
"Нет времени обьяснять!" (c)
> Закрывают одни дыры и тут же пишут 3 новых вектора атаки.Расскажи теперь про их эксплуатацию. А то даже черновик не опубликовали, а ты уже всё сломал, молодец такой.
Мне вот интересно на счёт подбора пароля по словарю для WPA2: неужели разработчики стандарта не могли это учесть уже в WPA2 ведь если хорошенько подумать некоторое время, то этот вектор атаки придёт в голову через некоторое время и можно было бы его учесть в готовящемся стандарте, а не выпускать его в свет по-скорее и уже потом на набитых шишках исправлять. Ведь все эти WEP, WPA1 могли бы вообще не появиться если бы времени и ресурсов на обдумывание выделили бы больше.
Вообщем херак, херак и в продакшен, блин какой-то.
>Ведь все эти WEP, WPA1 могли бы вообще не появиться если бы времени и ресурсов на обдумывание выделили бы больше.Точно, до сих пор бы думали и сидели бы мы на голом WiFi.
> херак, херак и в продакшенТак и живут. Если долго вылизывать, то можно не успеть.
Ну как бэ да, в IT технологиях действительно трудно что-то продумать на 15 лет вперёд.
>неужели разработчики стандарта не могли это учесть уже в WPA2Конечно же могли. Но ты же понимаешь - всемирный заговор производителей против хомячков, жидорептилоидное лобби там и всё такое...
В программирование есть ооп, так вот инфорструктура тоже должна быть оопшной чтобы обновление было простым и интересным делом(так как внедряешь что-то новое). Пора бы паттерны программирования адаптировать под паттерны нормальной инфроструктуры и продавать вместе с win enterprise/server. Kek :\
Не беспокойтесь, АНБ уже позаботилось о том, чтобы можно было легко хакнуть. Соседский вайфай в "безопасности", а задницы вайфайщиков - нет. Умные люди ходят в инет только через провод, остальные будут страдать, ибо такова их судьба.
Ну да, у майоров работа такая - страшными врагами пугать... чтобы на них самих повнимательнее не посмотрели
> и устранению концептуальных недоработок, выявленных авторами атаки KRACK против WPA2.В оригинале ни слова про KRACK.
Включение PMF (Protected Management Frames) и переделка handshake - этот и есть ответ на KRACK.
Ну и естественно никто опять не подумал про wifi roaming. Четырёхтактный шендшейк они придумали, сеансовые ключи, блдь… а роаминга как не было в стандарте, так и до сих пор все делают вид, что он никому не нужен.
Очень прошу сделайте только уже единую какую-то схему работы под Linux, а то все эти iwlist iwspy wpa_supplicant wicd и просто раздражают. Вот круто же сделал Cisco с единой командой "ip". Хочеться единого инструмента с единым интерфейсом пользователя под все платформы и системы. А то из года в год цель одна и таже, а инструметов наплодили ....