PDA

Ver la versión completa : El protocolo WPA2 ha sido hackeado



kapi2454
16-10-2017, 04:07 PM
Una serie de errores en el núcleo del protocolo WPA2 podrían dejar expuestas las conexiones que se realizan a través de tu WiFi. Esto permitiría que un atacante pudiera "escuchar" todo el tráfico que pasa entre los ordenadores y los puntos de acceso mediante un exploit diseñado para aprovecharlos.


Y de hecho el exploit ya existe, y ha sido desarrollado como prueba de concepto para demostrar que las vulnerabilidades son reales. Se llama KRACK, abreviatura de Key Reinstallation Attacks, y funciona explotando el "handshake de cuatro vías" de las WPA2. Los investigadores que lo han desarrollado han estado guardando en secreto estas vulnerabilidades para divulgadas de forma coordinada en unas horas.


El CERT de los Estados Unidos ya ha emitido un comunicado a cerca de 100 organizaciones advirtiéndoles de la investigación. (https://www.us-cert.gov/ncas/current-activity/2017/10/16/CERTCC-Reports-WPA2-Vulnerabilities)

Cómo funciona la vulnerabilidad


Hasta dentro de unas horas no tendremos todos los detalles de cómo funciona este crack y qué vulnerabilidades aprovecha, pero por las informaciones iniciales parece aprovecharse del handshake a cuatro vías que se utiliza la primera vez que te conectas a una red con uan red WiFi, y mediante la que se establecen las claves con las que se cifra tu tráfico.


Durante el tercero de estos pasos la clave puede reenviarse múltiples veces, y las vulnerabilidades hacen que reenviándolas de determinadas maneras se puede socavar completamente el cifrado de la conexión. De esta manera, un atacante que esté físicamente cerca de tu red o router podría robarte la contraseña de la WiFi, consultar tu actividad en Internet, interceptar conexiones sin encriptar


Los investigadores ya han advertido a las empresas que les venden los puntos de acceso a corporaciones y gobiernos de la vulnerabilidad, de manera que estos ya han tenido tiempo para parchearlas o mitigarlas de manera que desvelarlas no suponga un peligro de seguridad para ellos. Sin embargo, los parches podrían tardar en llegar a nivel doméstico.

Por el momento parece que únicamente los fabricantes Aruba y Ubiquiti, que se dedican a la fabricación de este tipo de dispositivos para grandes corporaciones, son los únicos que tienen preparado un parche para mitigar o solucionar, en la medida de lo posible, esta grave vulnerabilidad.

Fuente. (https://www.xataka.com/seguridad/el-protocolo-wpa2-ha-sido-vulnerado-la-seguridad-de-todas-las-redes-wifi-queda-comprometida)

Master of the Wind
16-10-2017, 04:55 PM
Lindo garron

zuji
16-10-2017, 08:29 PM
Microsoft, Apple y las distros grandes de Linux ya sacaron o ya están sacando parches, la cagada son todos los dispositivos chotos o Androids viejos que nunca van a recibir un update o lo van a recibir en seis meses...

kapi2454
17-10-2017, 03:24 PM
No me quedo muy claro, unos dicen que si uno de los dispositivos en la red que no se actualiza, vulnera toda la red.
Por otro lado traté de entender su funcionamiento y saque en limpio lo siguiente.

'La vulnerabilidad se debe a la forma en que trabaja WPA y WPA2. Al acercar un dispositivo al router (que tenga la red guardada o no), los dos corroboran credenciales para saber si puede establecerse un enlace. Luego se envían un paquete con una nueva clave de cifrado para esa conexión.

El hack consiste en crear un AP falso con el mismo SSID, MAC pero diferente canal. Este le pide al dispositivo (Cel, PC, XBOX, CAMARA IP, Enchufe inalambrico, etx) que vuelva a re trasmitir la clave de cifrado. Y con esto ya tiene para poder escuchar lo que suceda dentro de la red.

Ahora:
1 - No podes sacar la clave wifi, solo escuchar.
2 - Si usas Https o una VPN no pueden ver un carajo.
3 - Si usas app que no cifren datos pueden ver lo que hagas en ella. (Whatsapp cifra, por l oque las fotos de sus penes están a salvo)
4 - Activar el filtrado por MAC no sirve para un carajos.
5 - Para safar de esto tendrian que actualizar todo lo de la casa.

PD: Ayer revise un Router Mikrotik y el 2 de octubre sacaron una update que cubre este problema.

ShonaZan
17-10-2017, 03:35 PM
traduciéndolo al idioma "vieja que tiene internet solo para chusmear las fotos de los nietos y compartir cadenas en face". cualquier bobo se puede descargar una app y ser re hackeador de wifi o es mas complicado ?

kapi2454
17-10-2017, 03:45 PM
De momento no se libero la herramienta que lo hace. Fuera de eso no se si sea fácil de usar. Luego que tienes la info tienes que saberla interpretar para poder encontrar lo que sirve.
Por ejemplo el típico cuadro de "Usuario" y "Contraseña". En todo el enjambre de info que logres escuchar va metido el nombre y la clave. Solo si usas Http o una aplicación de celular mal protegida, en el video los hacker usan una app de citas que no usa encriptacion. Y así muestra como se usa la vulnerabilidad.

SEndero Luminoso
17-10-2017, 03:50 PM
traduciéndolo al idioma "vieja que tiene internet solo para chusmear las fotos de los nietos y compartir cadenas en face". cualquier bobo se puede descargar una app y ser re hackeador de wifi o es mas complicado ?No existe tal app para hackerar WPA2, y aunque existiera eso no te serviría para mas que conectarte a dicho Wifi, otra cosa totalmente diferente es hacer sniffing. 99,9999999% de la población no tiene de que preocuparse por esta noticia ya que no hacen nada relevante ni que valga la pena ser robado y nadie los va a hackear, igual que siempre.

Cualquiera que use SSL o TLS esta cubierto si hay alguien haciendo sniffing.

ShonaZan
17-10-2017, 03:57 PM
No existe tal app para hackerar WPA2, y aunque existiera eso no te serviría para mas que conectarte a dicho Wifi, otra cosa totalmente diferente es hacer sniffing. 99,9999999% de la población no tiene de que preocuparse por esta noticia ya que no hacen nada relevante ni que valga la pena ser robado y nadie los va a hackear, igual que siempre.

Cualquiera que use SSL o TLS esta cubierto si hay alguien haciendo sniffing.

impeca eso queria saber, le voy a sacar el papel aluminio a la pc y al router

kapi2454
17-10-2017, 04:11 PM
Nunca me dieron las bolas pero por ejemplo podría probar si la app del BROU cifra la clave cada vez que te la pide, de ultima sin el llavero digital tampoco pueden sacarte guita.
No se si santander u otro banco tiene app o llavero como medida de seguridad adicional.
Lo mas seguro es usar todo desde la web y siempre en https.

PD: GameOver tiene el certificado de seguridad vencido hace un tiempo?

Master of the Wind
18-10-2017, 01:16 AM
No existe tal app para hackerar WPA2, y aunque existiera eso no te serviría para mas que conectarte a dicho Wifi, otra cosa totalmente diferente es hacer sniffing. 99,9999999% de la población no tiene de que preocuparse por esta noticia ya que no hacen nada relevante ni que valga la pena ser robado y nadie los va a hackear, igual que siempre.

Cualquiera que use SSL o TLS esta cubierto si hay alguien haciendo sniffing.


Pfff sabes la cantidad de empresas que usan aplicaciones web por HTTP y no garpan certificado SSL ni generan uno autofirmado para no dar continuar cada vez que entran, "porque esta en la intranet y en la intranet no entra nadie!"? Ni hablar la cantidad de gente que para gastar poca plata en un certificado SSL, en vez de comprar un wildcard para todo el dominio, solamente te compra uno para el login o un formulario puntual.

Sin ir mas lejos, hace dos meses en la utu hicieron un censo como con 90 preguntas personales para todos los estudiantes, el tipo de utu que abrio el censo encajo el verso "quedense tranquilos que sus datos estan protegidos por la ley de proteccion de datos personales Num 2342353456234534542 bla bla bla bla bla"... iba todo por HTTP, y cuando le pregunte si al menos sabia a que base de datos terminaba, me dijo "esta instalada en el mismo servidor web"... Uno pincha la wifi y se hace arto guiso.

A nivel domestico podes no dar bola. A nivel serio corporativo, desestimar un agujero que puede permitir que cualquier chorizo se meta en tu red, es una brutalidad tremenda, pueden no verte nada, como hacerte un spoofing de MAC del gateway y afanarte todo el trafico en un rato y ver que sale.

Sobre la seguridad suprema de SSL, cada tanto van cagando los ciphers que usan las versiones mas viejas, y te desencriptan todo a la mierda, actualizando o usando las versiones mas nuevas (hoy en dia usar TLSv1.2 minimo) tampoco te garantiza seguridad, ya que hay sistemas que siguen usando ciphers viejos. Sin ir mas lejos, el ultimo exploit que se encontro de ese tipo fue hace un año maso, y en mi laburo tuve pila de problemas porque habia un procesador de tarjetas de credito de EEUU y uno de Mexico que usaban TLSv1.0, si cortaba esa canilla no se facturaba, hubo que informarlos y rogarles para que actualicen la version porque era un regalo. Nunca sabes que retrasado mental puede estar usando algo vulnerable y no enterarte.



PD: GameOver tiene el certificado de seguridad vencido hace un tiempo?

Nunca tuvimos certificado para usar HTTPS, el error que salta es porque el dominio gameover . com .uy entro varias blacklists de phishing porque habian encajado un exploit que si entrabas a un enlace desde google te metia redirect a otro dominio con basura. Por eso ahora el dominio que usamos es gameover.uy.

Convengamos que un foro para romper los huevos que ni deja plata ni maneja datos personales, no amerita un certificado.

Mullen
18-10-2017, 04:50 AM
En la explicación lo hace con wireshark, pero seguramente alguien saque una aplicación para indexar más facilmente lo que se sniffea, sacar el password o para meter malware. La mayoría no actualiza lo que no se actualice automáticamente así que hay vulnerabilidad para rato.

Parece que los más perjudicados son Linux y Android. Android directamente vacía la clave de encriptación lol. good guy wpa_supplicant

Gbolso
18-10-2017, 10:56 AM
El foro no usa certificado y esta bien ya que no tiene sentido. Pero manda las contraseñas usando un hash MD5 que hace que sea muy facil recpuerar la contraseña si tenes el hash.
Asi que si conocen a alguien que use gameover y estan en su red, pueden sniffear los datos y mandarlo pa wireshark, despues con este filtro van a encontrar el paquete que tiene el hash de la contraseña: (http.request.method == "POST") && (http.request.uri == "/login.php?do=login")

Y ahi es meter ese hash en un programita de fuerza bruta y va a devolver la password. (Si la password es facil, una pagina online con una buena database de palabras ya te devuelve la password, me paso con la mia :/)

zuji
18-10-2017, 06:40 PM
Asi que si conocen a alguien que use gameover y estan en su red, pueden sniffear los datos y mandarlo pa wireshark,

No alcanza solo con que esté en tu red, en condiciones "normales" vos no ves el tráfico de otros equipos al router. Por wifi tenés que ponerte en monitor y desencriptar los paquetes en Wireshark (https://wiki.wireshark.org/HowToDecrypt802.11) suponiendo que tenés la clave, hasta que bueno, apareció esta vulnerabilidad.

zuji
18-10-2017, 06:50 PM
Cualquiera que use SSL o TLS esta cubierto si hay alguien haciendo sniffing.

Eso no es infalible. La mayoría de la gente no mira el candado y otro tipo de notificaciones del browser para asegurarse que está en el sitio que dice ser, y este ataque (entre otros tantos) te permite hacer man in the middle y meter cualquier cosa en el medio.


99,9999999% de la población no tiene de que preocuparse por esta noticia ya que no hacen nada relevante ni que valga la pena ser robado

99.99% de la gente no usa home banking? Vos le podés asegurar a cualquier persona de este foro que no tiene un vecino mal intencionado?

SEndero Luminoso
18-10-2017, 06:57 PM
99.99% de la gente no usa home banking? Vos le podés asegurar a cualquier persona de este foro que no tiene un vecino mal intencionado?Te puedo asegurar un 99,99% que si lo tiene pero también puedo asegurar que un 99,99% de esos vecinos no tiene idea como hacer esto, así que es irrelevante si tu vecino es Satanas si no sabe ni prender un PC, de allí el 99,99%.

Y puede ser que un "99,99% ni vea la cuenta del banco desde su casa" sea alto, pero quizá un 95% esta por ahí, y de ese 5 % posiblemente otro 95% no pueda hacer otra cosa que consultar su saldo o estado de cuenta, eso es en base a mi experiencia en mis negocios y la gente que conozco.

zuji
18-10-2017, 07:13 PM
Te puedo asegurar un 99,99% que si lo tiene pero tambien puedo asegurar que 99,99% no tiene idea como hacer esto el vecino asi que es irrelevante si tu vecino es Satanas si no sabe ni prender un PC.

Y puede ser que un 99,99% para ver la cuenta del banco sea alto, pero quizá un 95 esta por ahí, y de ese 5 % posiblemente otro 95% no pueda hacer otra cosa que consultar su saldo o estado de cuenta, eso es en base a mi experiencia en mi negocios y la gente que conozco.

Si vamos a argumentar con porcentajes inventados en base a percepción no vamos a llegar nada.

Igual no digo que no tengas razón en que no hay que caer en la paranoia, pero a alguien que no tiene mucho conocimiento y que te puede considerar un referente no podés aconsejarle que "da igual". Además tampoco te tienen que robar la cuenta del banco para que sea molesto, el simple hecho de tener un gil viendo mi tráfico, y potencialmente sacando la clave de algún servicio (ej. netflix) ya es excusa suficiente para perder 5 minutos en ver si puedo actualizar mi PC o dispositivo, tampoco es que tengo que hacer un curso de Criptografía.

Master of the Wind
19-10-2017, 01:14 AM
El foro no usa certificado y esta bien ya que no tiene sentido. Pero manda las contraseñas usando un hash MD5 que hace que sea muy facil recpuerar la contraseña si tenes el hash.
Asi que si conocen a alguien que use gameover y estan en su red, pueden sniffear los datos y mandarlo pa wireshark, despues con este filtro van a encontrar el paquete que tiene el hash de la contraseña: (http.request.method == "POST") && (http.request.uri == "/login.php?do=login")

Y ahi es meter ese hash en un programita de fuerza bruta y va a devolver la password. (Si la password es facil, una pagina online con una buena database de palabras ya te devuelve la password, me paso con la mia :/)

La fuerza bruta es muy relativa. Puede salir en 10 minutos, como en 40 años.

Gbolso
19-10-2017, 02:05 AM
La fuerza bruta es muy relativa. Puede salir en 10 minutos, como en 40 años.

Para MD5 y con contraseñas de no muchos digitos, siempre vas a estar mas cerca de los 10 minutos. Por eso se usan hash mas nuevos, que si llevarian 40 años sacarlos.