Мэти Ванхофом (Mathy Vanhoef) и Эяль Ронен (Eyal Ronen (https://eyalro.net/)) выявили (https://wpa3.mathyvanhoef.com/#new) новый метод атаки (CVE-2019-13377) на беспроводные сети, использующие технологию защиты WPA3, позволяющий получить сведения о характеристиках пароля, которые можно использовать для проведения его подбора в offline-режиме. Проблема проявляется в актуальной версии Hostapd (https://w1.fi/security/).Напомним, что в апреле теми же авторами были выявлены (https://www.opennet.ru/opennews/art.shtml?num=50493) шесть уязвимостей в WPA3, для противодействия которым объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, внесло изменения в рекомендации по обеспечению безопасных реализаций WPA3, в которых было предписано использовать защищённые эллиптические кривые Brainpool (http://bada55.cr.yp.to/brainpool.html), вместо ранее допустимых эллиптических кривых P-521 и P-256.
Тем не менее, анализ показал, что использование Brainpool приводит к возникновению нового класса утечек по сторонним каналам в применяемом в WPA3 алгоритме согласования соединений Dragonfly (https://sarwiki.informatik.hu-berlin.de/WPA3_Dragonfly_Hands... предоставляющем (https://www.opennet.ru/opennews/art.shtml?num=48854) защиту от подбора паролей в offline-режиме. Выявленная проблема демонстрирует, что создание реализаций Dragonfly и WPA3, избавленных от утечек данных по сторонним каналам, является чрезвычайно сложной задачей, а также показывает несостоятельность модели развития стандартов за закрытыми дверями без проведения общедоступного обсуждения предлагаемых методов и аудита сообществом.
При использовании эллиптической кривой Brainpool при кодировании пароля алгоритмом Dragonfly выполняется несколько предварительных итераций с паролем, связанных с быстрым вычислением короткого хэша до начала применения эллиптической кривой. До нахождения короткого хэша выполняемые операции напрямую зависят от пароля и MAC-адреса клиента. Время выполнения (коррелирует с числом итераций) и задержки между операциями в ходе выполнения предварительных итераций могут быть измерены и использованы для определения характеристик пароля, которые можно использовать в offline для уточнения правильности выбора частей пароля в процессе его подбора. Для проведения атаки необходимо наличие доступа к системе пользователя, подключающегося к беспроводной сети.
Дополнительно, исследователями выявлена вторая уязвимость (CVE-2019-13456), связанная с утечкой информации в реализации протокола EAP-pwd (https://en.wikipedia.org/wiki/Extensible_Authentication_Prot... использующего алгоритм Dragonfly. Проблема специфична для RADIUS-сервера FreeRADIUS и на основании утечки сведений по сторонним каналам также как и первая уязвимость позволяет существенно упростить подбор пароля.
В сочетании с улучшенным методом отсеивания шумов в процессе измерения задержек для определения числа итераций достаточно провести 75 измерений для одного MAC-адреса. При использовании GPU затраты на ресурсы для подбора одного словарного пароля оцениваются в $1. Методы по повышению безопасности протоколов, позволяющие блокировать выявленные проблемы, уже внесены в черновые варианты будущих стандартов Wi-Fi (WPA 3.1 (https://mentor.ieee.org/802.11/dcn/19/11-19-1173-08-000m-pwe... и EAP-pwd (https://tools.ietf.org/html/draft-harkins-eap-pwd-prime-00). К сожалению, без нарушения обратной совместимости в текущих версиях протоколов устранить утечки по сторонним каналам не получится.URL: https://twitter.com/vanhoefm/status/1157315169263005696
Новость: https://www.opennet.ru/opennews/art.shtml?num=51216
Всех с новым урожаем!
"It's almost a harvesting season"
Харлаус ехидно улыбается: он надёжно спрятал все свои запасы масла.
Уязвимость в запасах уже обнаружена.
Значит пришло время объявлять пир.
> Для проведения атаки необходимо наличие доступа к системе пользователя, подключающегося к беспроводной сети.А не проще ли тогда пароль в сетевых настройках посмотреть?
Может там пароль от контакта можно узнать через баг?
Возможно под "доступом" подразумевается "JS в браузере".
С каких это пор фичи называются уязвимостью.
> затраты на ресурсы для подбора одного словарного пароля оцениваются в $1Больше дырок, удобных и влажных^[3^Wхороших и важных!
> выявили новый метод атаки на беспроводные сети, использующие технологию защиты WPA3, позволяющий получить сведения о характеристиках пароля, которые можно использовать для проведения его подбора в offline-режиме.
> Напомним, что в апреле теми же авторами были выявлены шесть уязвимостей в WPA3
> Методы по повышению безопасности протоколов, позволяющие блокировать выявленные проблемы, уже внесены в черновые варианты будущих стандартов Wi-Fi (WPA 3.1) и EAP-pwd. К сожалению, без нарушения обратной совместимости в текущих версиях протоколов устранить утечки по сторонним каналам не получится.WPA3 задумывался как безопасная альтернатива дырявому WPA2! Агитировали на каждом углу, что нужно срочно всем переходить на WPA3 для всеобщей безопасности. А тут уязвимость находят одну за другой. Не знаю, хорошо или плохо то, что уязвимости находят в безопасном WPA3? И какой выход из сложившейся ситуации, плюнуть на всё и сидеть дальше на WPA2, отключить совсем WI-FI и проложить везде эзернет, оптику?
К большому сожалению гадское по android не принимает ethernet по проводу и это прям грусть.
И телефон и планшет через USB-Ethernet адаптер работают прекрасно. Зачем оно нужно... это уже другой вопрос.
Прекрасно, да? Вот прям у всех и везде? А если аппаратно нет поддержки OTG? А если андроид 4?
Ну так что ждать, если нет ни аппаратной, ни программной поддержки?
>И какой выход из сложившейся ситуации, плюнуть на всё и сидеть дальше на WPA2, отключить совсем WI-FI и проложить везде эзернет, оптику?Воспринимать любой WiFi как открытую публичную недоверенную сеть.
Исключить или максимально ограничить использование нешифрованных коммуникационных протоколов.
> Воспринимать любой WiFi как открытую публичную недоверенную сеть.Вот. Лучший ответ.
В смысле использовать VPN до роутера? С телефонами/ноутбуками/планшетами ОК, а что делать с устройствами типа принтеров? Или там нечего защищать?
очевидно то же самое. обновлять прошивку, требовать от производителя нужный функционал...не покупать барахло :)
подключать принтер через принт-сервер (такая маленькая коробочка за 200-300 рублей) который умеет нужный vpn
Интересно что за "небарахло" и как его найти среди недорогих домашних МФУ. Чтобы производитель через 5 и более лет обновлял прошивку/реализовал там VPN и оно ещё выполняло свои прямые обязанности (печатало)?
> дырявому WPA2Не такой уж он дырявый. Другое дело, что почти все "общественные" сети без шифрования, вот это да. И WPA3 это решал.
Вместо того чтобы сделать просто и надежно, напихали каких то фигней для интернета вещей...
На впа2 все останутся еще на долго.
Выход только один - пора внедрять WPA4.
лучше смотреть вооруженным глазом и сразу внедрять WPA 5
через бинокль это сразу WPA 360
Да не важно какой версии...
Главное вовремя торговую марку запатентовать и держать адвокатов наготове.
А будет оно работать или нет, разве кому интересно?
Не все так просто, говорит нам история ANT и ANT+
В общем, используйте длинные (хотя бы 20 символов) несловарные пароли.
>в рекомендации по обеспечению безопасных реализаций WPA3, в которых было предписано использовать защищённые эллиптические кривые Brainpool, вместоИ кто же такие вредные предписания давал?
Чем вредны эллиптические кривые и Brainpool в частности?Ксли вы намекаете на Dual_EC_DRBG, то это логическая ошибка вида "если одмн элемент множества плох, то каждый элемент множества плох"
> Чем вредны эллиптические кривые и Brainpool в частности?тем что кривая с э...особенностями, известными ограниченному кругу лиц - сводит все шифрование к #ю.
Причем прецедентов такого рода было уже несколько, начиная с NIST. Собственно, на мой взгляд это достаточное условие чтобы забраковать всю технологию на корню и дальше не копаться.
> Ксли вы намекаете на Dual_EC_DRBG, то это логическая ошибка вида "если одмн
> элемент множества плох, то каждый элемент множества плох"нет. Если технология позволяет подобные фокусы, которые не поддаются хотя бы относительно простой математической проверке - она, определенно, никуда не годится. Потому что все упирается в честность автора или авторов.
Но это цветочки - ягодки в том, что и безопасную EC можно реализовать небезопасным образом - причем сделать это, как ни странно, гораздо легче, чем правильно. С brainpool пока именно последнее, и, да, это _тоже_ принципиальный неизлечимый дефект технологии.
https://safecurves.cr.yp.to/ - изучайте (нет, это не повод хвататься за кривую самого djb. Потому что ее тоже никто не может проверить.)
> особенностями, известными ограниченному кругу лицНу и особенности S-боксов DES тоже были известны ограниченному кругу лиц. Лет эдак много. Не в конкретной же загогулине дело. А всё если браковать - поломается кровать, останетесь с таблицей умножения чисел от 1 до 10.
Сразу видно что ты не в теме.
Браинпул был создан немецким универом по заданию ихнего правительства, основной целью была полная прозрачность процедуры генерации, чтобы было понятно что они специально туда ничего не подбирали.
ты же понимаешь, что тут опять есть место где джентльменам верят на слово, и это _помимо_ варианта что все сделали правильно и колода была не крапленая, просто кто-то зоркий вовремя (раньше тебя) заметит, что у туза треф замят немножко уголок.Ну и речь, собственно, о том, что даже если протокол идеальный - все равно альянсовцы не справились реализовать аккуратно.
P.S. а djb мы за это и не любим - за fud которым он кормится всю сознательную жизнь.
Понятно, что иначе ему не дадут любимых грантов и ему не на что будет кормить еще и Таню, и это было приемлемо во времена, когда он нас учил писать безопасный софт. Который как-то был проверяем и понимаем, а когда обнаруживались проблемы - каждый раз ты сам типа виноват, что не следовал линии партии (пусть и вовсе непригодной ни для чего практического).
А с шифропротоколами это невозможно, и верить такому джентльмену на слово что-то и не очень хочется.
Но для первого ответа на заданный аноном вопрос "что вообще не так со всей эллиптикой" - вполне подходит.
DJB очень много тролит таймингатаками элиптику, но очень скромно молчит что его 25519 - это 128 бит кривая (как минимум по секурности), из которой он ещё два бита отгрыз для каких то своих нужд.
Ничем.
Это старый троллинг ассиметричной крипты на элиптике через тайминг атаки.
Суть такова что используются длинные числа, вплоть до 1к+ бит, поэто нужная своя либа с матекой, ибо из коробки си такое не умеет.Либа с матекой имеет оптимизации вида: нафига я буду умножать на 1 когда ответ и так очевиден. И таких оптимизаций там 100500 обычно, ибо без них можно легко потерять заметно производительности, особенно в некоторых задачах.
https://github.com/rozhuk-im/liblcb/blob/master/include/math...Над либой с матекой либа с элиптикой.
https://github.com/rozhuk-im/liblcb/blob/master/include/math...
В либе с элиптикой тоже есть всякие оптимизации.https://github.com/rozhuk-im/liblcb/blob/master/include/cryp...
Braipool - это набор параметров от немцев, фишка в том что они описали подробно откуда и как они это всё нагенерили.
А вот NIST не для всех secp (насколько я помню) может таким похвастатся, ровно как и наши госты.В этом плане мне кажется подозриетльным наезд на браинпул параметры.
По всей видимости, провода так и останутся самым надёжным соединением. Печально.
witetaping существует больше лет, чем этот ваш интернет, но вы продолжайте, продолжайте молиться на свои провода.Проблема wifi - в том что он находится под контролем "ассоциации" п-сов в самом плохом смысле - тех что денег не вернут.
Иначе бы он был надежнее проводов с первой же попытки - но нет, они очень боятся что нормальный механизм ассоциации и нормальное шифрование нанесут непоправимый ущерб их бизнесам по производству китайского г-неца.Поэтому его не будет никогда, а будут накручивать один поверх другого "обратносовместимые" недоделки.
Консипирология это увлекательно, конечно. Возьмите вообще любой протокол, хоть SMTP. Никакие ассоциации его не трогали, и ни копейки на нём не заработали. Лучше он от этого не стал, ни в теории, ни в единственной существовавшей долгие годы реализации.
И сколько-сколько из более-менее живых протоколов прикладного уровня, говорите, с ним могут сравниться по долгоживучести? DNS? Ещё что-нибудь?
Вы, вероятно, предполагаете в своём вопросе какую-либо корреляцию долгоживучести с чем-либо, а может быть даже и каузацию?
да, и что не так с smtp? Просто, эффективно, и вполне надежно. В нем нет, к примеру, идиотского SNI, в нем есть выбор, нужна ли мне ненужная дополнительная фича или нет, при этом пользоваться ими ничто не мешает.Ну да, этот софт предназначен все же для админов, а не для альтернативно-одаренных, и, к счастью, альтернативно-одаренные пока и не добрались до исходников этих проектов (хотя насчет exim уже не факт) - немодно, немолодежно.
Двестиписят пищалкопердельных "мессенджеров" с каждый раз из пальца высосанным протоколом и непременно мегасупернадежным шифрованием но без офлайновой доставки - это они могут, да.
> к счастью, альтернативно-одаренные пока и не добрались до исходников этих проектовУ меня совсем простой вопрос. Вы исходники Sendmail читали когда-нибудь?
я их еще и правил, вы не поверите.
Когда-то не казалось зазорным, если имеющихся средств недостаточно, добавить что-то свое в collect.c, без всякого маразма с libmilter и прочими порождениями сна разума.
Про мелочи типа MAXBADCOMMANDS, которые, конечно, можно переопределять через сборочные cf, но таки проще и удобнее раз и навсегда изменить умолчания - уж и не говорю.
И да, это не требовало сверхусилий, хотя документацию - "не manpage, а документацию!"(c) таки да, желательно было к этому моменту хотя бы с пятого на десятое прочитать.
Человек скорее всего имел в виду "Планируемое, запланированное или плановое устаревание".
А Вы "Консипирология это увлекательно".
https://ru.wikipedia.org/wiki/%D0%9F%D0%...
Изучайте, это увлекательно!
"Возможно, эта статья содержит оригинальное исследование"
Обсуждение:Планируемое устаревание ->"довольно примитивная теория заговора"
"набор умозрительных шаблонов теории "заговора корпораций""
"Запланированное устаревание исходит не из фактов, а из мотиваций производителя, которые приписываются ему произвольно, так приписать можно все что угодно"
"вижу пропаганду коммунизма на страницах вики, что очень печально и с этой маргинальщиной надо бороться"
...
Да Бог с ней с Викой, Вы днище своего авто проверьте ;)
> Да Бог с ней с Викой, Вы днище своего авто проверьте ;)Неужели кто-то пластит прилепил?!
Ничего печального. По-другому безопасность никак не гарантировать.
К проводам просто особо не присматривались, т.к. они не модные. А так - какая-нибудь клемма, улавливающая электро-магнитное излучение - вот тебе и атака по сторонним каналам.
> клемма, улавливающая электро-магнитное излучениеТак достаточно её нагреть и всё постороннее сгорит.
кого нагреть? кабельную систему? в надежде что сгорят жучки? так все остальное тоже сгорит. весь квартал возможно а дом уж точно..
Вы не в курсе, что даже без постороннего, просто меряя напряжение в щитке за пределами вашей квартиры вполне извлекают информацию о том что в данный момент вычисляет ЦПУ? Об этом даже на опеннете новости были.
https://www.opennet.ru/opennews/art.shtml?num=48432 ?
если об этой новости - то требуется наличие вредоносного ПО на стороне жертвы, и тут все-таки не "просто меряя напряжение в щитке за пределами вашей квартиры вполне извлекают информацию о том что в данный момент вычисляет ЦПУ", а по нагрузке на сеть сопоставляют нагрузку на CPU (что не позволяет узнать какие именно вычисления производит процессор).
> По всей видимости, провода так и останутся самым надёжным соединением. Печально.Самое надежное соединение - на 127.0.0.1
Все остальное, от лукавого ;-)
К сожалению, в РФии и других странах wi-fi вообще по паспорту.
Так что, без ВПН как без штанов.
> К сожалению, в РФии и других странах wi-fi вообще по паспорту.
> Так что, без ВПН как без штанов.Им анб, гугль, интел и камарилья сделали дырявый-открытый wifi.
Казалось бы, бери и пользуйся?
Нет они всё своё талдычат "нам тыщ майора сказала по паспорту"...
[///]
теперь еще и за использование дырки - ответишь ты, поскольку именно твой паспорт остался на память товарищмайору, а не того чувака, который дебе подсунул disassociate и перехватил твой линк.
Удобно, чо.
Послушайте многоуважаемый пох, как Вы думаете, почему не рекомендуют закрывать форточку когда загоняют собаку в угол?