Här följer lite sammanställd information angående WPA2 KRACK (Key Reinstallation Attack)
Övergripande åtgärd:
Sårbarheten kan avhjälpas med patchning. Vissa tillverkare har redan släppt patch medan andra håller på och ta fram. Vissa har fullt upp med att utreda om sårbarheten är applicerbar på respektive produkt/modell.
Sårbarhetens ursprung:
Sårbarheten ligger i WPA2 krypteringsmetod, inte i en specifik produkt eller tillverkare. Dock är vissa sämre än andra. Android och Linux är särskilt utsatta.
Tillvägagångssätt för att utnyttja sårbarheten:
För att utnyttja sårbarheten behöver en angripare sätta sig fysiskt nära Wifi-nätet emellan en klient och accesspunkt. Angriparen utför sedan en Man-in-the-middle attack då han spelar in handskakningen mellan systemen. Om systemen är opatchade finns en möjlighet att komma över den krypteringsnyckel som förhandlas fram under handskakningen. I så fall har angriparen viss möjlighet att avlyssna trafiken. Angriparen befinner sig då på samma nät och kan lyssna på trafiken. Konsekvensen av detta är beroende av vilken typ av trafik som skickas. Ofta krypteras paketen på ett Wifi ytterligare en gång, tex. när man använder HTTPS, TLS, SSH eller VPN.
Det räcker med att ett av systemen är patchade för att förhindra sårbarheten, men det är viktigt att båda patchas. Tänk på att att en sårbar klient kan koppla upp sig mot en router utom vår kontroll, tex. hemma-router, så det är viktigt att alla klienter patchas, inte bara routrarna.
Mer material / länkar:
Här finns en lista över tillverkare och status:
https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4
Microsoft släppte en patch redan förra tisdagen:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
Vidare läsning om WPA2-Krack:
https://www.krackattacks.com
https://www.theregister.co.uk/2017/10/16/wpa2_krack_attack_security_wifi_wireless/
https://thehackernews.com/2017/10/wpa2-krack-wifi-hacking.html
Poddavsnitt om säkerhet:
Machine Learning, IoT och säker säkerhet? (avsnitt 45)
IT-säkerhet. Varför ska jag bry mig? (avsnitt 11)