KRACK - Estamos seguros?

KRACK - Estamos seguros?

KRACK ou Key Reinstallation Attack é um ataque ao standard do Wi-Fi descoberto por Mathy Vanhoef, investigador de segurança da informação da universidade de KU Leuven, na Bélgica.

 

Este ataque explora a maneira na qual o Wi-Fi Protected Access (WPA e WPA2) processa o “four-way handshake” durante a conexão inicial a um Access Point possibilitando ao atacante ter acesso a informação que, de outra maneira estaria criptografada. Essa vulnerabilidade encontra se presente no WPA e WPA2 desde sua concepção há quatorze anos.

Em que consiste esse ataque?

O ataque concentra-se diretamente no four-way handshake. Este procedimento é iniciado quando um usuário deseja se conectar a uma rede Wi-Fi protegida, e é usado para confirmar que tanto o cliente como  o Access Point possuem as credenciais corretas.

O four-way handshake provê uma autenticação baseada em uma chave secreta compartilhada PMK (Pairwise Master Key) com a qual é gerada uma chave de sessão PTK (Pairwise Transient Key).

Como o cliente aceita retransmissões de mensagem 3, mesmo quando se encontra em estado “PTK-DONE”, é possível forçar uma reinstalação da PTK mediante um ataque man-in-the-middle (MitM). Um atacante que se posicione entre o receptor e o destinatário dos pacotes, pode bloquear a mensagem 4 e, desta maneira, forçar o reenvio da mensagem 3.

Finalmente, quando explorada de forma satisfatória, esta vulnerabilidade permite ao atacante reenviar, descriptografar e/ou criar pacotes, a partir dos quais podem ser gerados novos vetores de ataque, como, por exemplo, envio de malware através da rede.

Eu estou vulnerável?

A vulnerabilidade reside no standard do Wi-Fi, colocando em risco todos os dispositivos que a ele estejam conectados. Juntamente com o artigo  sobre a descoberta, Vanhoef liberou uma ferramenta desenvolvida em Python para verificar se o Access Point se encontra vulnerável.

Como hoje em dia, a maioria dos dispositivos se conecta à internet através do WiFi - por exemplo, celulares, tablets, computadores e/ou dispositivos da casa pertencentes à Internet das coisas -,  é aconselhável estar informado sobre as atualizações e atento a estas vulnerabilidades.

Como isso pode me afetar?

Se você possui um dispositivo vulnerável, os vetores de ataques são múltiplos. Um atacante poderia visualizar, em texto plano, informações que deveriam estar criptografadas. Por exemplo: as informações de um cartão de crédito logo após a realização de uma compra.

Por outro lado, poderiam ser roubadas as credenciais de acesso a emails pessoais, e-mails corporativos e de redes sociais, ou seja, o alcance do ataque é amplo e coloca em risco nossa informação mais particulares.

Como me proteger?

É altamente recomendável atualizar todos os nossos dispositivos WI-FI (celulares, tablet, notebooks, access point) tão logo as atualizações fiquem disponíveis. Convém levar em conta que os updates não ficam disponíveis ao mesmo tempo, por isso, deve-se prestar atenção a cada um dos respectivos fabricantes.

Outra solução parcial recomendável é utilizar uma VPN (Virtual Private Network) de confiança, por causa de sua criptografia de conexão até a liberação das atualizações. É possível que o Access Point não suporte o Fast BSS Transition (FT), fazendo com que o script de testes falhe, o que não quer dizer que o Access Point não seja vulnerável, já que este é um dos vetores de ataque, mas se lembre de que não é o único.

Foram atribuídos dez identificadores de Common Vulnerabilities and Exposure (CVE), os quais mantêm uma lista de produtos afetados por diferentes tipos de ataque.

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.

  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.

  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.

  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.

  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.

  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.

  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.

  • CVE-2017-13086: Reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.

  • CVE-2017-13087: Reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

  • CVE-2017-13088: Reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
MKIT se destacou na Hackers to Hackers Conference no Brasil

MKIT se destacou na Hackers to Hackers Conference no Brasil

A Mkit será patrocinadora da Conferência Internacional de Hacking H2HC, em São Paulo.

A Mkit será patrocinadora da Conferência Internacional de Hacking H2HC, em São Paulo.