Zero
File Di Foto
Una crittografia di esperti ritiene che l’IEEE stesso, a fianco di difficoltà nell’analisi di nuovi protocolli, sono da biasimare per l’esistenza di KRACK vulnerabilità.
KRACK, reso pubblico il lunedì, è un grave problema in modo Wi-Fi Protected Access II (WPA2) opera.
L’exploit sfrutta una questione fondamentale nel 802.11 i (WPA2) four-way handshake inviati tra le parti comunicanti. Il protocollo include un strato di registrazione che consente di crittografare la connessione Wi-Fi gratuita fotogrammi al fianco la stretta di mano, per crittografare e proteggere i dati; tuttavia, un problema con la crittografia nonce significa che uno di questi messaggi può essere bloccato per forzare la reinstallazione di tasti su un client.
Se questo tasto viene reinstallato tutti i pacchetti contatori vengono azzerati, replay può essere forzato e con alcune modifiche, un aggressore è quindi in grado di decifrare tutto il traffico, dirottare la comunicazione, spiare gli utenti e oltre-lasciando tutto dal router per smartphone di comunicazione e Internet delle Cose (IoT) dispositivi di aprire a un compromesso.
I fornitori stanno rimescolando per applicare le patch, ma il protocollo è stato precedentemente dimostrato sicuro nel 2005 (per.PDF) da accademici, così come è stata questa vulnerabilità permesso entrare nel mainstream, in primo luogo?
Vedere anche: Ecco tutti i patch per KRACK Wi-Fi vulnerabilità disponibile in questo momento
Secondo Matteo Verde, un esperto di crittografia, e professore alla Johns Hopkins University, Institute of Electrical and Electronics Engineers (IEEE) è un buon posto per iniziare.
La crittografia esperto dice che l’istituzione, piuttosto che i tecnici-è una fiera opzione di puntare il dito. Green dice che l’istituzione della pratica a porte chiuse, incontri privati per la creazione di standard sono “molto complesso” e anche dopo il fatto, è “difficile per ordinario i ricercatori di sicurezza di accesso”, che a sua volta rende la ricerca di questi tipi di bug e vulnerabilità, in tempo utile, quasi impossibile.
Come il professore note, non è difficile trovare le specifiche per altri protocolli, come IETF TLS, IPSec specifiche. Tuttavia, cercando di trovare 802.11 i norme online, semplicemente non accadrà.
C’è, tuttavia, IEEE programma chiamato OTTENERE che offre ai ricercatori l’accesso ad alcune norme tra cui 802.11 gratis, ma questo è possibile solo sei mesi dopo il rilascio.
Da questo punto di vista, i fornitori e gli sviluppatori sono già cottura norme in prodotti e soluzioni, rendendo il punto di accesso e inutile.
Verde viene descritto un programma e di IEEE gli sforzi per alleviare il problema di accesso come “iper-timido incrementalist bullsh*t.”
“Tutto questo processo è muto e, in questo specifico caso-probabilmente solo costo settore decine di milioni di dollari,” Green ha commentato. “Si deve smettere.”
Un altro problema è che gli standard IEEE sono spiegato bene. In assenza di un formale descrizione disponibile per 802.11 ho stretta di mano macchina di stato, che può portare a rotto la realizzazione del sistema di attuatori sono basandosi su congetture — che non ha aiutato sradicato bug come KRACK.
“Uno dei veramente cose terribili su KRACK è che gli implementatori di WPA supplicant (in particolare Linux) è riuscito in qualche modo a rendere Limone Pegno di limoni, il Verde”, dice. “Su Android 6 in particolare, la riproduzione del messaggio #3 imposta effettivamente un tasto zero. C’è una logica interna dietro perché questo accade, ma Oy Vey. Qualcuno in realtà ha bisogno di guardare questa roba.”
Il 2005 carta con la quale si conclude che il protocollo 802.11 i standard è sicuro non è necessariamente sbagliato, ma come le due componenti, la stretta di mano e il protocollo di crittografia, sono stati studiati in isolamento, piuttosto che come un insieme, questo può essere anche portato a problemi di ricerca di bug che collega i due.
La combinazione e l’analisi dei protocolli è difficile-per non parlare di ulteriori problemi creati da IEEE posti di blocco in modo che non è necessariamente sorprendente che i bug come questo continuano ad emergere.
Verde ha commentato:
“Alla fine, sappiamo tutti che la risposta è per l’uomo di smettere di fare questo lavoro. Abbiamo bisogno macchina assistita verifica di protocolli, preferibilmente legata al codice sorgente che li implementa. Questo dovrebbe garantire che il protocollo fa effettivamente quello che dice e che gli esecutori non ulteriormente vite, così da invalidare la verifica di sicurezza.
“Questo deve essere fatto con urgenza, ma siamo così presto nel processo di cercare di capire come fare che non è chiaro che cosa ci vorrà per fare questa roba andare a vivere. Tutto sommato, questo è un settore che potrebbe usare un sacco di lavoro in più. Spero di vivere fino a vedere”.
ZDNet ha raggiunto IEEE e di aggiornamento, se sentiamo di ritorno.
Precedente e relativa copertura
Qui ogni patch per KRACK Wi-Fi vulnerabilità disponibile subito SEC contraffatti, malware ospitato su NOI gov’t server DNS nuovo attacco di 500 milioni di Pc vengono utilizzati per stealth cryptocurrency di data mining online
0