Vastattu

WPA2-salauksen haavoittuvuus (KRACK-hyökkäys)

  • 16 lokakuu 2017
  • 28 kommenttia
  • 3045 katselukerrat

Käyttäjätaso 1
  • Uusi OmaYhteisön jäsen
  • 1 kommentti
WPA2-salauksen haavoittuvuudessa kyseessä on KRACK-hyökkäys, jossa nelivaiheisen kättelyn luoma salausavain voidaan lähettää useasti ja siten tekee salaamisen hyödyttömäksi.

Onko Elisalla reagoitu tähän uuteen haavoittuvuuteen ja onko tiedossa päivityksiä? Osa laitevalmistajista on jo alkanut toimittamaan firmware-päivityksiä reitittimiin, joten on toimittajat ollut yhteydessä Elisaan? Haavoittuvuus on aika vakava, joten päivitys pitäisi saada heti, kun tarkemmat tiedot on julkisia.

https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/

Tarkemmat tiedot julkaistaan illalla pidettävässä tiedotustilaisuudessa ja sen lisätiedot tulevat tänne: https://www.krackattacks.com/
icon

Vastauksen tähän kysymykseen jakoi eBin 17 lokakuu 2017, 16:17

Laitamme firmware-päivitykset jakeluun heti kun saamme ne laitevalmistajilta.

Elisa suosittelee huolehtimaan päätelaitteiden ohjelmistopäivityksistä aina kun uusi ohjelmisto-päivitys on saatavilla. Sisäisessä jakelussa olleet ohjeetkin voinee tähän jakaa:

•Huolehdi, että langattomia lähiverkkoja käyttävien laitteiden ohjelmistopäivitykset ovat aina ajan tasalla
•Turvallisuutta voi lisätä käyttämällä VPN-palveluita
•Käytä langallisia yhteyksiä, mikäli mahdollista
•Selatessasi internetiä, suosi salattuja HTTPS-yhteyksiä mahdollisuuksien mukaan
Katso alkuperäinen viesti

28 kommenttia

Kiitos linkeistä.
Elisan kannanottoa ja ohjeita käyttäjälle odotellen.

Tietoja patcheista on myös osoitteessa
http://www.zdnet.com/article/here-is-every-patch-for-krack-wi-fi-attack-available-right-now/?loc=newsletter_large_thumb_related&ftag=TREc64629f&bhid=62306535
Käyttäjätaso 7
Kunniamerkki +1
Tämä on niin tuore haavoittuus, että kaikki laitevalmistajatkaan eivät ole ongelmaan vielä heränneet. Elisalta tuskin muuta kommentia tulee vielä pitkään aikaan, kun että selvitellään :D

T: Tuokki
Nyt olisi todella sopiva ajankohta poistaa Elisan ADSL/VDSL purkeista lukitus, että sinne saisi itse asennettua toimivan firmiksen heti kun laitevalmistaja sellaisen julkaisee!
Nyt olisi todella sopiva ajankohta poistaa Elisan ADSL/VDSL purkeista lukitus, että sinne saisi itse asennettua toimivan firmiksen heti kun laitevalmistaja sellaisen julkaisee!

Ja tätä päivää saadaan odottaa tuomiopäivään saakka. Eli eivät anna koskaan asentaa valmistajan omaa ohjelmistoa
Vielä pahempi haavoittuvuus on tuore ASLR-hyökkäys. Sitä ei rajoita Wlanin kuuluvuus, riittää kun laitteella on Internet-yhteys ja mikä tahansa prosessori (todistettu toimivuus 22:lla tähän mennessä).
Wiki: A side-channel attack utilizing branch target buffer was demonstrated to bypass ASLR protection.[36] In 2017, an attack named "ASLR⊕Cache" was demonstrated which could defeat ASLR in a web browser using JavaScript.
Tämä vielä edellyttää sen, että vierailet hyökkäyssivustolla javascript päällä. Jos alypuhelimessasi on automaattinen MMS-viestien nouto päällä, puhelin voidaan hakkeroida nukkuessasi.
https://www.howtogeek.com/225834/stagefright-what-you-need-to-know-and-how-to-protect-yourself/
Olisiko syy yritysten haluttomuuteen auttaa miestä mäessä tässä:
https://fi.wikipedia.org/wiki/Suunniteltu_vanheneminen
Käyttäjätaso 5
Kunniamerkki
Vielä pahempi haavoittuvuus on tuore ASLR-hyökkäys.
...
https://www.howtogeek.com/225834/stagefright-what-you-need-to-know-and-how-to-protect-yourself/

Vuoden 2015 reikä on edelleen tuore?

Update! Vai viittasitko kenties tähän ASLRay'hin? Tuo näyttää toimivan tällaisilla alustoilla:


Linux 2.6.12+ - will work on any x86-64 Linux-based OS


En sitten tiedä, koskeeko myös Android-puhelimia, mutta esim. Windowsiin tai Applen tuotteisiin tuolla ei pitäisi olla mitään vaikutusta.
En osaa sanoa tämän päivän tilannetta tuosta Stagefright asiasta. Tähän mennessä ei ole kuulunut mitään matoepidemioita asiaan liittyen. Mutto tuo ALSR paikkaaminen vaatisi, että prosessorit suunnitellaan uudelleen. Toimii laitteella kuin laitteella, jos vain on tapa toimittaa haittaohjelma laitteen muistiin.

https://www.youtube.com/watch?v=c8aRHLhQGBc
Käyttäjätaso 7
Kunniamerkki +1
Tässä yksi pääsääntöinen syy miksi en käytä operaattorin (lukitsemia) laitteita mihinkään. Jos jostain syystä sellaisen laitteen olen saanyt, jonkin tarjouksen kylkiäisenä olen lempannut sen heti SER- kierrätykseen.

Kaikki laitteet joihin tuo haavoittuvuus voisi vaikuttaa on jo omassa verkossa päivitetty 🆒

T: Tuokki
Pitäisikö olla huolissaan. Tässä on Androlyzer-raportti Mobiili OmaElisa -sovelluksesta:
Privavy Leaks
Call number leak
IMEI to HTTP Header leak
IMEI to Network leak
IMEI to Socket leak
IMSI to HTTP Header leak
IMSI to Network leak
IMSI to Socket leak
Location to HTTP leak
Location to Network leak
Location to Socket leak
User Input to HTTP leak
User Input to Network leak
User Input to Socket leak
Confidental Sources
Calendar
Call logs
Current Wifi info
IMEI
IMSI
Location
Screenshot
Telephone number
User Input
Wifi MAC address
Suspicious Functions
Make Call
Puuttumatta mitenkään noihin yksityisyysasetuksiin, jotka sallivat puhelimen identifioimisen auringontarkasti tutkin vielä tuota Make Call toimintaa Permission Check -ohjelmalla. Se ilmoitti seuraavaa punaisella korostettuna android.permission.CALL_PHONE.
Tarkoittaako tämä sitä, että ASLR-työkaluilla varustettu hakkeri voi soittaa maksullisiin numeroihin ottamalla haltuun Mobiili OmaElisa -sovelluksen?
https://androidforums.com/threads/android-permissions-explained-security-tips-and-avoiding-malware.36936/
Käyttäjätaso 7
Kunniamerkki +1
Pitäisikö olla huolissaan. Tässä on Androlyzer-raportti Mobiili OmaElisa -sovelluksesta:
[b]/


... mutta kukaanhan ei laita Elisa viihde- laitetta suoraan kiinni julkiseen nettiin.. Eijän :?

Ehkä laite pitäisi kuitenkin sijoitaa omaan vlan- segmenttiin palomuurin DMZ-Elisa viihde alueelle, kun on tuollainen matolaatikko. Näin ainakin voisi määritellä mihin laite saa olla yhtedessä ja mikä taho siihen saa olla yhtydessä !!!

T: Tuokki
Käyttäjätaso 5
Kunniamerkki

Puuttumatta mitenkään noihin yksityisyysasetuksiin, jotka sallivat puhelimen identifioimisen auringontarkasti tutkin vielä tuota Make Call toimintaa Permission Check -ohjelmalla. Se ilmoitti seuraavaa punaisella korostettuna android.permission.CALL_PHONE.
Tarkoittaako tämä sitä, että ASLR-työkaluilla varustettu[b] hakkeri voi soittaa maksullisiin numeroihin ottamalla haltuun Mobiili OmaElisa -sovelluksen?

Ehkä se äärimmilleen vietynä saattaa olla mahdollista. Oman järkeilyni mukaan kuitenkin todennäköisyys tuollaiselle on häviävän pieni. Tuo lupa puheluihin on ymmärtääkseni sen takia, että suoraan siitä sovelluksesta on mahdollista soittaa kovakoodattuun asiakaspalvelunumeroon. Uusimmissa Android-versioissa noita sovelluksen vaatimia käyttöoikeuksia voi kai varsin yksityiskohtaisesti sallia tai estää. Joten jos ei koe tarvetta soitella aspalle OmaElisa-sovelluksesta, kannattaa se puheluiden tekeminen estää asetuksista.
Käyttäjätaso 6
Kunniamerkki +3
Laitamme firmware-päivitykset jakeluun heti kun saamme ne laitevalmistajilta.

Elisa suosittelee huolehtimaan päätelaitteiden ohjelmistopäivityksistä aina kun uusi ohjelmisto-päivitys on saatavilla. Sisäisessä jakelussa olleet ohjeetkin voinee tähän jakaa:

•Huolehdi, että langattomia lähiverkkoja käyttävien laitteiden ohjelmistopäivitykset ovat aina ajan tasalla
•Turvallisuutta voi lisätä käyttämällä VPN-palveluita
•Käytä langallisia yhteyksiä, mikäli mahdollista
•Selatessasi internetiä, suosi salattuja HTTPS-yhteyksiä mahdollisuuksien mukaan
Käyttäjätaso 7
Kunniamerkki +1
Käyttämäni Wlan/Reitittimen valmistaja sai KRACK- päivityksen jakoon n. 24 tunnin kuluessa KRACK- julkistustilaisuudesta. Tämä on ihan OK- suoritus, kun huomioi että osa laittoi jakoon heti (siis päivitys oli valmiina) ja osa olen piilossa joitanut päivityksen etukäteen kuten Microsoft Windowsin kohdalta.

... mutta mitä tekee vaikk Zyxel, jota käyttää mm. Elisa ja Telia ??

http://www.zyxel.com/support/announcement_wpa2_key_management.shtml

Päivitys tullee joskus ensivuoden alussa 😉 EDIT: Zyxel on lisännyt or Sooner- kohdan aikatauluihin. On vissiin saaneet vähän hitaudesta kritiikkiä

Muiden valmistajien tilanne täältä: https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/

T: Tuokki
Käyttäjätaso 7
Kunniamerkki +1
Mitä haittaa KRACK- haavoittuvuudesta ylipäätään on ?

Pian tulee helppokäyttöisä työkaluja, jolla jokaisen (päivittämättömän) Wlan- tukiaseman kautta pääsee vapaasti nettiin.

a) Naapurin "Pertsa" latailee vertaisverkosta leffoja, mutta uhkauskirje sisällän haltijalta tuleekin sinulle
b) Ulkopuolinen taho kuuntelee Wlan- liikennettäsi ja noukkii sieltä salasanojasi
c) Ulkopuolinen taho voi asentaa "sisäverkon" laitteile haittaohjelmia (sisäverkon laittee usein huonosti suojattuja ja ei päivitettyjä)
d) Ylipäätään joku menee sinun wlan- verkon kautta ja tekee jotain rikollista. Jäljet johtavat siihen verkkoon josta rikollinen toiminta on lähtenyt. Ikävä tilanne ja selvittely (jopa kotietsinsä poliisin toimesta).
e) Oma verkko voi hidastu naapuerin käytön seurauksena (menee siivellä)

T: Tuokki

Ps. Minulle yksi Wlan-Reitttimen tärkeimmistä valintakriteereistä on a) kuinka nopeasti päivityksiä tulee (varsinkin kriittisten päivityste osalta) ja b) kuinka kauan laitetta ylipäätään keskimäärin päivitetään. Edullinen hinta + ei pävityksiä ollenkaan tai pari kk on sama kun heittäisin seteleitä tuuleen. Sopii tosin kysyä mitä operaattorin tästä tuumaa koska he tekevät tämän laitevalinnan monen asiakaansa puolesta :?

... mutta mitä tekee vaikk Zyxel, jota käyttää mm. Elisa ja Telia ??

http://www.zyxel.com/support/announcement_wpa2_key_management.shtml

Päivitys tullee joskus ensivuoden alussa 😉 EDIT: Zyxel on lisännyt or Sooner- kohdan aikatauluihin. On vissiin saaneet vähän hitaudesta kritiikkiä
T: Tuokki


Jos en nyt ihan väärin lue tuota sinunkin linkkaamaa Zyxelin tiedoitetta, niin Elisan pääasialliset Zyxel laitteet eli VMG392x eivät ole ollenkaan KRACK haavoittuvuuden piirissä.

Olisi kiva saada vielä Elisaltakin tähän vahvistus erikseen.
Käyttäjätaso 7
Kunniamerkki +1

Jos en nyt ihan väärin lue tuota sinunkin linkkaamaa Zyxelin tiedoitetta, niin Elisan pääasialliset Zyxel laitteet eli VMG392x eivät ole ollenkaan KRACK haavoittuvuuden piirissä.

Olisi kiva saada vielä Elisaltakin tähän vahvistus erikseen.


EI taida Zyxel itsekkään puhumattakaan Elisasta tietää miten asia on ? Zyxelin sisuilta luin, että selvittävät asiaa laitteidensa piirivalmistajien (firmware toimittajien) kanssa.

Kommentini ei pelkästän koskenut Zyxelin laitteita tai Elisan toimintaa. Otin myös kantaa siihe, että jos itse hankkiin Wlan/reitittimen, niin kannattaa selvittää miten nopeasti (historiallisesti) laitevalmistaja on laitetta päivittynyt vastaavissa tilanteisa ja kuinka monta vuotta päivityksiä laitteelle keskimäärin saa. Tämän jälkeen vasta vertailee hintoja. Totta kai olisi toivottavaa, että operaattorin tekisivät samoin, mutta laitteen hinta ohjaa (liikaakin ?) myös heidän laitevalintojaan.

T: Tuokki

EI taida Zyxel itsekkään puhumattakaan Elisasta tietää miten asia on ? Zyxelin sisuilta luin, että selvittävät asiaa laitteidensa piirivalmistajien (firmware toimittajien) kanssa.
T: Tuokki


Zyxel kuitenkin sanoo: "For products not listed, they are not affected to the attacks either because they are not designed to act as WiFi clients or do not support 802.11r Fast-BSS Transition handshake by default."

Suhteellisen suoralta vastaukseltahan tuo vaikuttaa VMG392x laitteiden kohtalosta. VMG3925 ja VMG3926 ovat kuitenkin Zyxelin omia mallimerkintöjä, eikä edes erikseen mitään Elisan alle tehtyjä
Käyttäjätaso 7
Kunniamerkki +1

Suhteellisen suoralta vastaukseltahan tuo vaikuttaa VMG392x laitteiden kohtalosta. VMG3925 ja VMG3926 ovat kuitenkin Zyxelin omia mallimerkintöjä, eikä edes erikseen mitään Elisan alle tehtyjä


Missä siis Elisan kuittaus, jos asia on näin ?

"or do not support 802.11r Fast-BSS Transition handshake by default." By default on myös tässä yksi "taikasana", operaattoreille modatuissa malleissa on olla eroja siihen malliin, jota myydään kaupassa yleisesti.

T: Tuokki
Naapurin "Pertsa" latailee vertaisverkosta leffoja, mutta uhkauskirje sisällän haltijalta tuleekin sinulle

http://www.digilelut.fi/2014/03/katsotko-laittomia-elokuvia-nain-et-joudu-maksamaan-korvauksia/
Ihan lotolla ja ilman mitään varmuutta asiasta veikkaisin, että kuluttajamallit eivät edes tue Fast-BBS:ää ja jos tukevat, niin tuskin on päällä. Koko tekniikan tarkoitus on kuitenkin tarjota katkeamatonta tukiaseman vaihdosta, mikä ei yleensä ole kuluttaja ongelma.

Ihmettelen kyllä missä Elisan oma tiedote on, koska heidän laitetoimittajansa on antanut omansa.
Tässä vielä avoin kirje naapurin Pertsalle:
Vaikka sinä lähdet joka aamu kouluun reppu selässä, niin kyllä setä tietää ettei repussasi ole kirjoja vaan spray-pulloja.
Kun sinä olet sotkemassa talon seiniä radan varresssa niin kyllä setä tietää, että seuraavaksi aiot katsoa elokuvia sedän kotiverkon kautta.
Minäpä kerron mitä setä on tähän mennessä tehnyt.
Setä on sulkenut modeemin Wlan-yhtyden ja liittänyt erillisen Wifi-toistimen langalliseen porttiin. Näin setä näkee, että langattomassa verkossa katselet elokuvia, koska modeemin valo vilkkuu hullun lailla. Sitten setä katsoo montako Wifi-yhteyttä on kuuluvuusalueella. Setä näkee, että useimmiten SSID sisältää tietoja MAC-osoitteesta. Kun sinä olet nukkumassa, niin setä hiiviskelee porraskäytävässä läppärin kanssa ja tallentaa Wireshark-ohjelmalla kaiken liikenteen omasta Wifi-verkostasi. Näin setä saa tietää mikä MAC-osoite kuuluu kenellekin naapurille. Sitten setä soittaa poliisille. Mutta poliisiapa ei kiinnosta kun olisi oikeitakin hommia tiedossa. Sitten setä pyytää apua toiselta sedältä jonka tapasi ravintolassa. Tämän sedän takissa lukee Harley-Davidson ja rintapielessä on merkki 1%:ers:D
Onkohan Pertsan sukunimi Lempinen.
Lempinen, "poika hyvästä perheestä", laiskuri, vankikarkuri ja huijarisaarnaaja, jota ikimuistoisesti esittää jo Maa on syntinen laulu -elokuvasta Jussilla palkittu Aimo Saukko:P
Takaisin asiaan.
Modeemin pohjassa lukee Bewan.
Osoite www.bewan.com on myytävänä.
Onko lupa odottaa, että Bewan boxit saavat päivityksen kaikesta huolimatta?
Eikä pitäisi seurata linkkjejä, koska nähtyä ei saa näkemättämäksi🆒
https://www.youtube.com/watch?v=16hdjyP4Zjc

Osallistu keskusteluun