Bedoel je dat mijn veiligheidsdeken niet veilig is? Een next-gen standaard "werd verondersteld het kraken van wachtwoorden tot het verleden te maken, "kakelde Ars Technica , nadat hij vernam dat er kwetsbaarheden werden gevonden in het WPA3-protocol waardoor kwaadwillenden toegang konden krijgen tot wifi-wachtwoorden en toegang konden krijgen tot het doelnetwerk.

"Helaas, " zeiden de twee onderzoekers, we ontdekten dat zelfs met WPA3, een aanvaller binnen het bereik van een slachtoffer kan nog steeds het wachtwoord van het netwerk herstellen. Hierdoor kan de tegenstander gevoelige informatie stelen, zoals creditcards, wachtwoord, e-mails, enzovoort, wanneer het slachtoffer geen extra beschermingslaag zoals HTTPS gebruikt."

WPA3 kwam op het toneel in 2018, vrijgegeven door de Wi-Fi Alliance, ontworpen om wifi-netwerken te beschermen tegen indringers. Welke mannen lekt het? Donker lezen verwees naar "gebreken in het handshake-proces" die zouden kunnen leiden tot "voordelige aanvallen op de wachtwoorden die worden gebruikt als onderdeel van netwerkreferenties."

Goedkope aanvallen? Wat betekent dat? Dan Goodin in Ars Technica schreef dat de ontwerpfouten in WPA3 vragen opriepen over draadloze beveiliging "vooral bij goedkope internet-of-things-apparaten".

De aanval omvat een proces waarmee een verouderd WPA2-apparaat kan worden aangesloten op een WPA3-toegangspunt; de resulterende operatie opent het proces "voor een brute-force woordenboekaanval op de wachtwoorden die worden gebruikt voor authenticatie, " zei Donker Lezing .

Hoe erg is dit, over invloed? Donker lezen citeerde Kevin Robinson, vice-president marketing voor de Wi-Fi Alliance. Niet alle persoonlijke WPA3-apparaten werden getroffen, en zelfs het "kleine aantal apparaten" dat kon worden gepatcht via software-updates.

Dat inlogproces heeft de kwetsbaarheden die WPA3 minder veilig kunnen maken. specifiek, Donker lezen meldde "problemen met zijkanaalkwetsbaarheid voor de Simultaneous Authentication of Equals (SAE)-handshake." De laatste werd verder beschreven als "een belangrijk onderdeel van de verbetering van WPA3 ten opzichte van WPA2."

Omdat de SAE-handdruk Dragonfly wordt genoemd; de onderzoekers noemen de reeks kwetsbaarheden Dragonblood.

Het paar dat de fout ontdekte, waren Mathy Vanhoef van de New York University Abu Dhabi en Eyal Ronen van de Universiteit van Tel Aviv en de KU Leuven.

(Bij een zijkanaal-aanval op het lekken van informatie, verklaarde Catalin Cimpanu, ZDNet , "WiFi WPA3-compatibele netwerken kunnen apparaten misleiden om zwakkere algoritmen te gebruiken die kleine hoeveelheden informatie over het netwerkwachtwoord lekken. Bij herhaalde aanvallen, het volledige wachtwoord kan uiteindelijk worden hersteld.")

Niet dat er iets aan deze ontdekking schokkend was voor Dan Goodin. "De huidige WPA2-versie (in gebruik sinds het midden van de jaren 2000) heeft last van een verlammende ontwerpfout die al meer dan tien jaar bekend is, " Hij schreef.

Hij zei dat de handdruk in vier richtingen een cryptografisch proces was dat werd gebruikt om computers te valideren. telefoons, en tablets naar een toegangspunt en vice versa - en bevat een hash van het netwerkwachtwoord. "Iedereen binnen het bereik van een apparaat dat verbinding maakt met het netwerk kan deze handdruk opnemen. Korte wachtwoorden of wachtwoorden die niet willekeurig zijn, zijn dan triviaal om in een kwestie van seconden te kraken."

Gelukkig, zij blogden, we verwachten dat ons werk en onze coördinatie met de Wi-Fi Alliance leveranciers in staat zullen stellen onze aanvallen af ​​te zwakken voordat WPA3 wijdverbreid wordt."

Op 10 april bracht de Wi-Fi Alliance een verklaring uit met betrekking tot wat zij beschreven als "een beperkt aantal vroege implementaties van WPA3-Personal, waar die apparaten het mogelijk maken om zijkanaalinformatie te verzamelen op een apparaat waarop de software van een aanvaller wordt uitgevoerd, bepaalde cryptografische bewerkingen niet correct uitvoeren, of ongeschikte cryptografische elementen gebruiken."

Ze zeiden dat het kleine aantal getroffen apparaatfabrikanten "al is begonnen met het implementeren van patches om de problemen op te lossen. Deze problemen kunnen allemaal worden verholpen door software-updates zonder enige invloed op het vermogen van apparaten om goed samen te werken. Er is geen bewijs dat deze kwetsbaarheden zijn uitgebuit."

De Wi-Fi Alliance bedankte de twee onderzoekers, Vanhoef en Ronen, voor het ontdekken en "op verantwoorde wijze rapporteren van deze problemen, waardoor de industrie proactief updates kan voorbereiden voorafgaand aan de wijdverbreide industriële implementatie van WPA3-Personal."

Ze vertelden wifi-gebruikers dat ze ervoor moesten zorgen dat ze de nieuwste aanbevolen updates van apparaatfabrikanten hebben geïnstalleerd.

© 2019 Wetenschap X Netwerk