Názory k článku Útoky na Wi-Fi sítě: WPA3 je velkým posunem, ale další díry přijdou

WPA 3 je velký krok špatným směrem. Dělat dneska nový protokol bez pořádné krypto analýzy je šlendrián a dragonblood ukazuje co všechno je v něm špatně. Některé implementační důsledky jakože heslo musí být na obou zařízeních někde uloženo v plaintextu už jsou totální facepalm.

Standart WPA3 by měl hlavně obsahovat podmínku, že nejstarší legacy protokol, který na zařízení bude fungovat, bude WPA2. Dál by měli preventivně stanovit povinné striktní default nastavení, které by mělo mít všechny nepotřebné fíčury vypnuté (například remote management přes wifi s defaultním heslem).

Co myslíte tím, že by měl být vypnut remote managment přes wifi s defaultním heslem?

Spousta routerů umožňuje nastavení webovým rozhraním, a ještě k tomu i klientům připojeným přes wifi. Chyby umožňující resetování nastavení routeru nejsou žádnou výjimkou. Původní heslo se často používá trvale, nebo zařízení neudrží nastavení po krátkém odpojení od elektrické sítě. Pak stačí zjistit defaultní heslo k wifi (to lze občas odvodit z SSID, MAC adresy či dalších údajů. Někde na webu jsem viděl generátor hesel k 7-číselným sítím UPCxxxxxxx) a je to.

Ideální by bylo, kdyby router neumožňoval nastavení přes wifi, dokud by se nezměnilo heslo. Respektive by se defaultní heslo mělo použít pouze k nastavení nového. Občas vídávám routery, které mají v defaultním nastavení vypnutou wifi. Některá zařízení Mikrotik (aspoň ty co jsem viděl) jdou ještě dál, můj switch jde v původním nastavení konfigurovat jen na jednom portu, ze sítě 192.168.88.0 a to ještě bez DHCP.

O to smutnější je, když se připojím k wifi v MHD, vidím router Mikrotik a adresu dostanu 192.168.88.15 :-(

A jak byste takové zařízení jako běžný uživatel nakonfiguroval? Notebooky už dávno ethernet obvykle nemívají, spousta spotřebitelů navíc dnes doma nemá ani žádný počítač, jen smartphony a tablety.

Některá zařízení Mikrotik (aspoň ty co jsem viděl) jdou ještě dál, můj switch jde v původním nastavení konfigurovat jen na jednom portu, ze sítě 192.168.88.0 a to ještě bez DHCP.
To je IMHO mnohem lepší, než když na to potřebujete RS232 a to ještě, když máte smůlu, máte na proprietárním konektoru.

Letos mi Seminar o bezpecností siti a sluzeb utekl :-(

Nechapu, proc nemuzou posilat lidem, kteri se kazdy rok pravidelne ucastni mailem nejaky newsletter.

Protože k rozesílaní newsletteru je nutný souhlas se zpracováním osobních údajů.

Můžete se přihlásit k odběru zde: https://www.cesnet.cz/sdruzeni/zpravy/enews/.

A na webu akce jsou k dispozici vybrané prezentace.

Mně by zajímala jedna věc - je pro WPA3 potřeba podpora v HW, nebo je to jen SW věc?

Tak já bych si tipnul že na 99% hw a že to řeší jednoúčelové zákaznické obvody, z laického pohledu nějaká pokročilá zařízení by to mohla zvládnout s novým fw, pokud mají do větší míry software-defined radiovou část... V každém případě zajímavá otázka.

Zdravím, díky za článek, jen si dovolím doplnění:

" Pro adresář Dokumenty tak zvolíte jen Word, Průzkumník a dalších pár aplikací a ransomware má smůlu. Jenže ve Windows je staré dosovské volání, které dovoluje vytvořit takzvané junction points v souborovém systému. Útočník tak má možnost si požadované soubory přejmenovat a pak do nich může zapisovat."

Junction points může vytvářet pouze lokální administrátor, nebo uživatel v systému který je v "developer modu". Ransomware spuštěný bez práv administrátora má tedy smůlu.

"Ještě nedávno byla platnost certifikátu omezena na tři roky, poté se hlasovalo o dalším zkrácení až na rok. To zatím neprošlo, tvůrci prohlížečů jsou pro, ale proti jsou téměř všechny autority. "

Safari bude od podzimu akceptovat jen certifikáty s délkou do jednoho roku. https://www.michalspacek.cz/maximalni-delka-platnosti-https-certifikatu-bude-zkracena-na-1-rok

Brzy uvidíme, jestli Apple s těmi 13 měsíci (přesněji 398 dny) prorazil, certifikáty miscrosoft.com jsou vystavovány na 2 roky, jestli to MS nezmění, máme se na co těšit.
Office356.com expiruje v dubnu 2021, ale nejspíš budou i jiné, co vyexpirují dřív.

23. 2. 2020, 15:50 editováno autorem komentáře

Zdravím, jsem rád že se dlouho používané útoky zveřejňují. Dokud budou AP multifunkční a uživatelsky přívětivé, tak se nám přes PXE ještě nějaká ta síťová karta nakazí. Nespočet možností pak přináší API(voice) a komunikace polovodič - polovodič. Vypíchnul bych agresivně nastavený ARM v zařízeních od Jablka. MediaTek! Všeobecně CPU jsou pro mě zatím neřešitelný problém další co ”update_fw_core”

Dokud si někdo myslí že problém „lidového“ wifi vyřeší tím že vytvoří něco jako Turris Omnia již od 9999,- za stavebnici bez Wifi tak to dopadne jak to dopadá.

Tohle není o filozofickém cvičení jestli existuje, nebo neexistuje technické a metodické řešení. Ale o tom že výsledek je router který storcí 100% nebo 175% či víc ceny HW který má chránit.

Tedy ano ono je to o penězích. Nikdo když to před xxlety vymýšleli nemyslím na problémy, které přinese že tu věc bude vlastní a používat pomocný dělník. A bude její pořizovací cena tak nízká. Tedy něco co před xx lety byla ohromná investice dnes je krabička za pár dolarů.

Tedy nešla naho vzdělanost ani ti lidé nejsou bohatší naopak došle jen k poklesu ceny a rozšíření mezi lidi kteří nedají ani menu televize pokud je v angličtině. Né všechny firmy stojí ale na B2B a zisky v B2C nejde ignorovat.

A těď jak z toho ven? 200€ a víc místo 20€ za wifi router z nich nedostanete. Nedostanete z nich ani nic víc za certifikát, ipv6, placený cloud a jiné služby.

Podobné teoretizování nad technickou stránkou problému ukazuje spíš onu odtrženost a neschopnost problém řešit.

já se obávám že jediné "lidové" řešení by byl nějaký shitty hw router manageovaný a updatovaný z cloudu.

To není až tak blbý nápad, akorát to už nemusí být sra*kový (zapracujte na té češtině), když Mikrotik je za 500 Kč. Mohla by to být služba poskytovatele připojení. Otázkou je, zda to půjde v ceně, nebo zda za to bude chtít lůza těch pár korun měsíčně zaplatit.

Opravdu po stránce Wifi není vždy MKT za 500,- s DPH řešením. díky mobilním zařízením, videu ve vyšším rozlišení a absenci 5GHz a zarušení. Mnohokrát ten router co je děravý jak řešeto má co se týká hruhých vlastností hw stejně nebo lépe za stejnou nebo menší cenu.

A rozhodně s problémem nepomůže ani ta pasivní agrese odkazováním na lůzu. To že běžně jedinci a rodiny nemají v rozpočtu na It, nebo připojení takový budget je prosto normální. Stejně je normální že neplatí pravidelné částky za servis IT nebo navázané služby tedy ( pevná\veřejná, vpn, cloud, vlastní doména atd...) Spíš tim jen utvrzujete to odtržení a neschopnost to řešit. Vzpomenme jak naivnní jedinci se podivovali na d zdražením netflixu a Spotyfi vždyť to platí přeci každý... ... no asi každý ne.

Věřím že než nějaké normy na banány nebo tlačenka DAB+ a DVBT2 pomohli i normy na koncová zařízení pro ISP . A že asijští výrobci by byly schopni taková levná zařízení s patřičnou technickou funkcionalitou dodat. Samozřejmě nebylo by to nic open free GNU GPL , nemělo by to ani podporu xx let, nebo stavebnice pro DIY úchylky. Ale leší stav než dnešní krabičky za 20$ by to přineslo.

Kvalitní zařízení za 500 s 5GHz wifi jsem ještě neviděl, třeba se mýlím - zkuste poslat.

Pasivní agrese... Co to je za slovní spojení???
Že nemá mnoho Čechů peníze, chápu dobře, ale o ty tu vůbec nejde, mnoho z nich vynakládá hodně peněz za kdejakou čínu, hlavně že to drsně vypadá. Zde se jedná o vymezení se k všelijakým pseudoodborníkům. Na druhou stranu nemůžete chtít kvalitu či bezpečnost zadarmo - kupujete čínu, máte čínu.