Nul
Bestand Foto
Een cryptografie expert is van mening dat de IEEE zelf, naast problemen in de analyse van nieuwe protocollen, zijn de schuld voor het bestaan van de KRACK kwetsbaarheid.
KRACK, openbaar gemaakt, op maandag, is een ernstig probleem in de manier waarop Wi-Fi Protected Access II (WPA2) werkt.
De exploit maakt gebruik van een fundamenteel probleem in de 802.11-i (WPA2) vier-way handshake stuurde de communicatie tussen partijen. Het protocol bevat een record laag die codeert Wi-Fi frames naast de handdruk te versleutelen en beschermen van gegevens; echter, een probleem met de cryptografische nonce betekent dat één van deze berichten kunnen worden geblokkeerd om te dwingen opnieuw te toetsen op een client.
Als deze sleutel is geïnstalleerd, alle pakket tellers worden gereset naar nul, replays kan worden gedwongen en met een aantal tweaks, een aanvaller is dan in staat om het decoderen van alle verkeer, kapen communicatie, spion van gebruikers en meer — laat alles van routers smartphone communicatie en Internet of Things (IoT) apparaten openen om compromissen te sluiten.
Verkopers zijn versluiering te patches van toepassing zijn, maar het protocol was voorheen bewezen als veilig terug in 2005.PDF) door academici, hoe is deze kwetsbaarheid toegestaan om de mainstream in de eerste plaats?
Zie ook: Hier is elke patch voor KRACK Wi-Fi kwetsbaarheid nu verkrijgbaar
Volgens Matthew Green, een cryptografie expert, en professor aan de Johns Hopkins University, Institute of Electrical and Electronics Engineers (IEEE) is een goede plek om te beginnen.
De cryptografie deskundige zegt dat de instelling, — in plaats van de ingenieurs-is een reële optie om met de vinger wijzen. Groen zegt dat de instelling, die de praktijk van de gesloten deur, privé bijeenkomsten om normen op te stellen zijn “zeer complex”, en zelfs nadat het feit is, het is “hard voor gewone security onderzoekers om toegang te krijgen,” die op zijn beurt maakt het vinden van dit soort bugs en kwetsbaarheden in de goede tijd schier onmogelijk.
Als de professor merkt op, het is niet moeilijk te vinden van de specificaties voor andere protocollen, zoals de IETF TLS of IPSec-specificaties. Echter, in een poging om de 802.11-ik-normen online gewoon niet zal gebeuren.
Er is echter een IEEE programma met de naam KRIJGEN dat geeft onderzoekers de toegang tot bepaalde normen met inbegrip van 802.11 voor gratis, maar dit is alleen mogelijk zes maanden na de release.
Door dit punt, leveranciers en ontwikkelaars zijn al bakken normen in hun producten en oplossingen, waardoor de punt van de toegang nutteloos.
Groen beschrijft een dergelijk programma en IEEE ‘ s inspanningen om het gemak van de toegang probleem als “hyper-timide incrementalist bullshit.”
“Dit hele proces is stom en — in dit geval — waarschijnlijk alleen maar kosten industrie tientallen miljoenen dollars,” Groene commentaar. “Het moet stoppen.”
Een ander probleem is dat de IEEE-normen zijn niet toegelicht. Er is geen formele beschrijving beschikbaar voor 802.11 ik handdruk state machine, die kan leiden tot de gebroken implementatie van het systeem als uitvoerders zijn vertrouwen op intuïtie — dat heeft niet geholpen uitgeroeid bugs zoals KRACK.
“Één van de meest verschrikkelijke dingen over KRACK is dat de uitvoerders van de WPA supplicant (met name op Linux) is erin geslaagd om de een of andere manier te maken Citroen Pand uit citroenen,” Groen zegt. “Op Android-6, in het bijzonder, opnieuw afspelen bericht #3 eigenlijk stelt een all-nul-toets. Er is een interne logica achter waarom dit gebeurt, maar Oy Vey. Iemand daadwerkelijk nodig heeft om te kijken naar deze dingen.”
De 2005-papier, die concludeert dat de 802.11 ik standaard wordt secure is niet per se verkeerd, maar als de twee componenten, de handdruk en encryptie-protocol, zijn onderzocht in isolatie in plaats van als een geheel, kan dit leidde ook tot problemen met het vinden van bugs die aansluiten op de twee.
Het combineren en analyseren van de protocollen is het moeilijk, om niet te zwijgen van de extra problemen die door de IEEE wegversperringen — en dus is het niet per se verrassend dat bugs zoals deze nog steeds komen.
Green merkte op:
“Op het einde, we weten allemaal dat het antwoord is voor mensen om te stoppen met werken. We moeten de machine-ondersteunde verificatie van protocollen, bij voorkeur gekoppeld aan de werkelijke bron code implementeert. Dit zou ervoor zorgen dat het protocol daadwerkelijk doet wat het zegt en dat de uitvoerders niet verder verpesten, dus dat de beveiliging bewijs.
“Dit moet worden gedaan dringend, maar we zijn zo vroeg in het proces van het uitzoeken hoe dat te doen dat het niet duidelijk wat het kost om dit soort dingen te gaan wonen. Al met al, dit is een gebied dat kan veel meer werk. Ik hoop dat ik leef om te zien.”
ZDNet heeft bereikt IEEE en zal updaten als we horen terug.
Vorige en aanverwante dekking
Hier is elke patch voor KRACK Wi-Fi kwetsbaarheid nu verkrijgbaar SEC misleidende, malware gehost op ONS anc-server in de nieuwe DNS-aanval 500 miljoen Pc ‘ s worden gebruikt voor stealth cryptocurrency mijnbouw online
0