#7 Muchas veces los investigadores antes de publicar un error de este tipo informan a los fabricantes y/o desarrolladores, de esta manera tienen algo de tiempo para intentar arreglar el problema antes de que sea publico.
Si navego por sitios con https habilitado no habría mayor preocupación, porque WPA cifraba lo ya cifrado.
¿Cuál es la amenaza en sí?
#5 con estos parches de Microsoft, corrijame si me equivoco, podría obligar al cliente y al router a renovar continuamente las claves y en la práctica sería una denegación de servicio. Luego dejaría sin wifi a muchos
#7 Dicen que FreeBSD lo parcheo en Julio, que no te estrañe que microsoft incluyese el parche entre Julio y ahora sin avisar a peticion de los que descubrieron la vulnerabilidad.
#10 Sí, se podría convertir en un ataque de denegación de servicio, que es una categoría completamente distinta con una importancia e impacto también muy distintos.
#9 Siempre he pensado que Google hizo una cagada de campeonato con el sistema de distribución de Android. Eso de tener que actualizar a través de los fabricantes y no desde un repo central es una burrada a nivel de seguridad. Entiendo que las pijadas de cada fabricante sean cosa de cada uno pero los parches de seguridad deberían ser para todos.
Ahí explica y demuestra lo que se puede hacer. Que es un "man in the middle" entre un cliente y el AP (el atacante crea una SSID en falso y "fuerza" al cliente a conectarse a él), al resetear la conexión dice que en Linux y Android no vuelven a usar la clave, sino que usan todo ceros. Remueve lo que queda de https y para los sitios mal configurados (que tienen activado http y https en lugar de sólo https), captura todo en texto (http)...
#18 buena teoria, mala realidad, ejecutado info.nowsecure.com/VTS-for-Android.html en un telefono android 4.2.2 con los componentes de la play store actualizados a tope, da 8 vulnerabilidades.
#18 Ten en cuenta que eso, por lo que leo en el enlace, funciona de Lollipop (5.0) en adelante y aún hay demasiados 4.4 y 4.2, concretamente un 15.1% de 4.4 y un 3.5% de 4.2 con lo que tienes a un 20% (aprox) de móviles sin protección.
#10 es muy probable que no todos los sitios que visites usen https y los que lo usen no usen hsts lo que en la practica los hace vulnerables en este escenario tambien.
Ademas hay otro trafico que va siempre sin cifrar, por ejemplo dns o dhcp que dejan la puerta abierta a mas ataques.
¿La actualización en Windows es desde windows defender?
Tengo Windows 8 y sólo se actualiza mi Windows defender. Las demás actualizaciones siempre se quedan congeladas, nunca avanzan. Estoy pensando actualizarlo por medio del command prompt. ¿O qué me recomiendan?
#24
¿¿??
Debian y Ubuntu ya publicaron actualizaciones. Fedora estaba en eso. Y el Exploit no fue desarrollado por delincuentes sino por investigadores.
Es cierto que el software libre no se reveló tan útil en materia de prevenir problemas de seguridad como podría serlo. Pero en este caso respondió tan rápido como el software privativo www.debian.org/security/2017/dsa-3999wiki.ubuntu.com/Security/Upgrades
#13 la vulnerabilidad viene en la implementación del wpa en el lado del cliente. Por lo tanto no hay ninguna necesidad de actualizar el router, solo el cliente (ordenadores, tablets, etc). Lo jugoso aquí es hacerte con la conexion de camaras wifi qje esas seguro que nunca serán actualizadas.
#19#20 Android tiene muchas cosas malas pero la decisión del SO es del usuario te puedes comprar un Android puro y no tienes esos problemas pero si te compras un Android descafeinado no es culpa de Google por mal que me caigan sus políticas.
Bien por Microsoft aunque a los de Windows 7 lleva un tiempo abandonando nos y yo no quiero el w10 y eso que no me parece tan malo como el 8
#10 El problema está en que el atacante secuestra tu punto de acceso y se hace pasar por el mismo. Esto le permitiría por ejemplo hacer de proxy entre el sitio http y tu dispositivo, pudiendo redirigir los contenidos https como contenidos http. Tu casi no te darías cuenta porque en la mayoría de casos no nos fijamos en el estado de seguridad de la conexión.
En el vídeo de la presentación está muy bien explicado y ponen como ejemplo un sniff a una visita a match.com, que en principio es https.
#11 en principio el parcheo era coordinado y suelen respetar para tener a todos los vendor con el parche listo más o menos al mismo tiempo de manera que no se parchee en un sw libre y entonces se conozca la vulnerabilidad y la aprovechen otros mientras el resto parchea o es contactado.
Aquí es OpenBSD quien actuó, en mi opinión, bastante mal.
Why did OpenBSD silently release a patch before the embargo?
OpenBSD was notified of the vulnerability on 15 July 2017, before CERT/CC was involved in the coordination. Quite quickly, Theo de Raadt replied and critiqued the tentative disclosure deadline: “In the open source world, if a person writes a diff and has to sit on it for a month, that is very discouraging”. Note that I wrote and included a suggested diff for OpenBSD already, and that at the time the tentative disclosure deadline was around the end of August. As a compromise, I allowed them to silently patch the vulnerability. In hindsight this was a bad decision, since others might rediscover the vulnerability by inspecting their silent patch. To avoid this problem in the future, OpenBSD will now receive vulnerability notifications closer to the end of an embargo.
#31 No seas así con él... si tiene un móvil con Android lo más probable es que no reciba ninguna actualización de seguridad así que le seguirá dando igual
#10 denegar servicio en una WiFi es bastante sencillo. Un inhibidor de frecuencia, por ejemplo. O más sutil, enviando deauths de las Mac que quieres tirar
#1 jajajajajaja mira mira "Los móviles Android y otros sistemas operativos basados en Linux son los que son más vulnerables ante este exploit"
Linux ya se puso a trabajar Google lo hará en unas semanas
#38 ese escenario, que es en el que se basaba la primera version del sslstrip por ejemplo, ya no funciona con sitios que usen hsts, especialmente si estan precargados en el navegador, como decia por arriba esto puede pasar en sitios que no usen eso, pero el 90% de los que use la gente normal (facebook, google, twitter etc) estan a salvo de esa tecnica
#31 Apple ya lo ha parcheado en las versiones beta de iOS, macOS, tvOS y WatchOS que ha sacado, y que actualizará a todos los usuarios en los próximos días.
#45 +10000 por el inhibidor, la peña no se da cuenta de que ademas de ser infalible se consiguen facilmente en cualquier tienda online china por menos de 10€
#51 pues teniendo en cuenta que la mayoria actuan como cliente del ap principal y que no reciben actualizaciones de firmware jamas salvo en contadisimas ocasiones, es muy probable que sean vulnerables en mayor medida que los so de cliente.
#4 No es un fallo del router, sino del protocolo. Básicamente han encontrado una forma de inyectarle comandos a los clientes que estén conectados a routers con cierta funcionalidad. Comandos como "oye, cambiate al canal 7 y enchufate al punto de acceso 11:22:33:44...".
A partir de ahí es como el ataque al FBI con la phemtocell en Mr Robot: quien controle ese punto de acceso maligno puede inyectarte redirecciones que te saquen de https, puede cambiarte la resolución de nombres, puede pillar la contraseña de tu correo si no va cifrado el login... hacer mil historias.
#1 Pues la vulnerabilidad más grave, con diferencia, es en Linux precisamente. Resulta que hostap versiones 2.4 y 2.5 tiene un bug que no es que renueve la clave, es que pone la clave a cero, destruyendo por completo cualquier atisbo de seguridad. Android lleva una versión ligeramente modificada de hostap por lo que también es desastrosamente vulverable. Hostap es el proceso que se encarga de implementar las funciones de punto de acceso.
Corregidme si me equivoco. La encriptación como tal de wpa2 no ha sido reventada, sino ciertos fallos en los protocolos del uso de este sistema, concretamente, en el momento de conectarse a la red.
#55 Y te esperan años de cárcel si te pillan. Eso es como decir "la peña no se da cuenta de que un cuchillo cuesta 10€ y puedes matar a gente con ello".
#47 ¿Qué le pasa al titular? No le falta razón. Google es un puto desastre con actualizaciones de seguridad (por no hablar de las que no son de seguridad). En Windows la actualización llegó según se publicó el ataque (ya estaba implementado el parche de antes, pero estaban esperando al disclosure). A Android tardará, en el mejor de los casos, semanas en llegar. Probablemente meses.
#7 La mayoría de vendors ya lo tenían implementado desde hace días/semanas/meses. Cuando encuentras una vulnerabilidad y haces responsible disclosure, contactas a los responsables de parchear y les das un tiempo (normalmente hasta 6 meses) para que preparen los parches. Después, cuando está todo listo, publicas. Esto se hace para no dejar a millones de usuarios con el culo al aire.
En este caso probablemente contactaron hace meses con Microsoft, Apple, Google, Linux, etc. Y la mayoría publicaron las actualizaciones a los pocos minutos del deadline establecido. La excepción son Google, que por el puto desastre que es el sistema de actualizaciones de Android, a pesar de tener ellos el parche hecho, tardará semanas o meses en llegar a los terminales (si es que llegan), y OpenBSD que son unos gilipollas y no esperaron al deadline (publicaron meses atrás).
#64 Perdona, el comentario de #79 iba para #23, no para ti. Para ti era esto:
Es una (muy) mala actitud de OpenBSD porque no ha respetado el deadline. El resto lo ha respetado. Al hacer esto pone en riesgo a millones de usuarios. La próxima vez lo que posiblemente pase es que directamente no les avisen. Ojo por ojo.
Es como si decidimos hacer una carrera popular desde la Puerta del Sol, y como tú vives al lado decides empezar sin el resto, y claro, "ganas". Pues quedas como un estúpido.
#84 El titular es un ataque gratuíto contra Google, y no veo que arremeta de igual forma contra Cisco, Lenovo, Netgear, Asus y tantos otros fabricantes responsables. El titular es la definición exacta de agravio comparativo, y más que informar objetivamente, es un título malintencionado.
#92 El artículo no habla de routers, habla de terminales clientes. Actualizar infraestructura siempre es muchísimo más difícil que terminales de usuario.
Dentro de los equipos de usuario, Google es comparativamente muchísimo peor en este aspecto que el resto, no solo por el corto soporte (muchas veces ni 2 años, frente a los 15 de XP) y la segmentación si no por la tardanza en actualizar. Es objetivo y justo que reciba un escarnio público.
#25 Afortunadamente porque a linux le afectaba especialmente el problema, mientras que windows tenía el bug pero en la práctica no era rentable hacerle el ataque.
El problema está en todos esos Androids afectados tanto como linux pero que nunca verán un parche.
Google no sé pero LineageOS ya tiene el código parcheado para que los mantenedores lo compilen. Y otros sistemas operativos ayer o antes ya tenían las actualizaciones en los repositorios.
#74 Creia que estabas de cachondeo... Claro que existen y son muy comunes. Son como routers pero mas pequeños y permiten conectar a una red wifi a la vez que ellos generan otra y gestionan el trafico entre ambas.
Se utilizan para dar cobertura a aquellos puntos en los que la red wifi principal no llega. La verdad es que su uso está tan extendido que por eso creia que estabas de cachondeo.
Un router podrá hacer de repetidor si tiene ese modo de funcionamiento, sino no. Pero normalmente son aparatos diferenciados de los routers. Si se pueden encontrar puntos de acceso que puedan trabajar a la vez como repetidores.
En esta pagina tienes ejemplos de repetidores, aunque los llaman extensores de cobertura: www.tp-link.es/products/list-10.html
#93 Todos los que te he indicado son clientes. Eso ya me da una pista de tu conocimiento del medio.
Pero oye, si quieres proclamar tu odio a Google, adelante, sin excusas.
Y lo del escarnio público, creo que es mear fuera del tiesto. ¿Objetivo y justo? Claro, señoría, tú eres juez y jurado, como entidad competente en la materia
Si no estás de acuerdo con la política de un fabricante, no la uses. Pero si aceptas sus 18 meses de soporte, luego no me vengas con pataletas.
Insisto que no se trata de información objetiva, es un ataque gratuíto igual que el tuyo. Si tu odio a Google te ciega, es otro tema.
Basta con que el cliente o el router cuando se produce esa circunstancia intercambien claves nuevas para que el ataque fracase.
Aquí explican los detalles técnicos del ataque: techcrunch.com/2017/10/16/wpa2-shown-to-be-vulnerable-to-key-reinstall [ENG]
Basta con que el cliente o el router cuando se produce esa circunstancia intercambien claves nuevas para que el ataque fracase.
Aquí explican los detalles técnicos del ataque: techcrunch.com/2017/10/16/wpa2-shown-to-be-vulnerable-to-key-reinstall [ENG]
Cualquier wifi está comprometida si acceden con el móvil.
¿Cuál es la amenaza en sí?
#5 con estos parches de Microsoft, corrijame si me equivoco, podría obligar al cliente y al router a renovar continuamente las claves y en la práctica sería una denegación de servicio. Luego dejaría sin wifi a muchos
www.youtube.com/watch?v=Oh4WURZoR98
Ahí explica y demuestra lo que se puede hacer. Que es un "man in the middle" entre un cliente y el AP (el atacante crea una SSID en falso y "fuerza" al cliente a conectarse a él), al resetear la conexión dice que en Linux y Android no vuelven a usar la clave, sino que usan todo ceros. Remueve lo que queda de https y para los sitios mal configurados (que tienen activado http y https en lugar de sólo https), captura todo en texto (http)...
Ademas hay otro trafico que va siempre sin cifrar, por ejemplo dns o dhcp que dejan la puerta abierta a mas ataques.
Tengo Windows 8 y sólo se actualiza mi Windows defender. Las demás actualizaciones siempre se quedan congeladas, nunca avanzan. Estoy pensando actualizarlo por medio del command prompt. ¿O qué me recomiendan?
¿¿??
Debian y Ubuntu ya publicaron actualizaciones. Fedora estaba en eso. Y el Exploit no fue desarrollado por delincuentes sino por investigadores.
Es cierto que el software libre no se reveló tan útil en materia de prevenir problemas de seguridad como podría serlo. Pero en este caso respondió tan rápido como el software privativo www.debian.org/security/2017/dsa-3999 wiki.ubuntu.com/Security/Upgrades
Bien por Microsoft aunque a los de Windows 7 lleva un tiempo abandonando nos y yo no quiero el w10 y eso que no me parece tan malo como el 8
Respecto a lo de la denegación no tengo una respuesta clara, pero entiendo que el cliente simplemente rechazara renegociar y no debería pasar nada.
En el vídeo de la presentación está muy bien explicado y ponen como ejemplo un sniff a una visita a match.com, que en principio es https.
Aquí es OpenBSD quien actuó, en mi opinión, bastante mal.
De www.krackattacks.com
Why did OpenBSD silently release a patch before the embargo?
OpenBSD was notified of the vulnerability on 15 July 2017, before CERT/CC was involved in the coordination. Quite quickly, Theo de Raadt replied and critiqued the tentative disclosure deadline: “In the open source world, if a person writes a diff and has to sit on it for a month, that is very discouraging”. Note that I wrote and included a suggested diff for OpenBSD already, and that at the time the tentative disclosure deadline was around the end of August. As a compromise, I allowed them to silently patch the vulnerability. In hindsight this was a bad decision, since others might rediscover the vulnerability by inspecting their silent patch. To avoid this problem in the future, OpenBSD will now receive vulnerability notifications closer to the end of an embargo.
¿Google hater? Seriedad, hombre.
Linux ya se puso a trabajar Google lo hará en unas semanas
A partir de ahí es como el ataque al FBI con la phemtocell en Mr Robot: quien controle ese punto de acceso maligno puede inyectarte redirecciones que te saquen de https, puede cambiarte la resolución de nombres, puede pillar la contraseña de tu correo si no va cifrado el login... hacer mil historias.
Microsoft ha confirmado que el fallo fue parcheado el 10 de octubre.
PS. es broma, no miro fútbol
En este caso probablemente contactaron hace meses con Microsoft, Apple, Google, Linux, etc. Y la mayoría publicaron las actualizaciones a los pocos minutos del deadline establecido. La excepción son Google, que por el puto desastre que es el sistema de actualizaciones de Android, a pesar de tener ellos el parche hecho, tardará semanas o meses en llegar a los terminales (si es que llegan), y OpenBSD que son unos gilipollas y no esperaron al deadline (publicaron meses atrás).
Es una (muy) mala actitud de OpenBSD porque no ha respetado el deadline. El resto lo ha respetado. Al hacer esto pone en riesgo a millones de usuarios. La próxima vez lo que posiblemente pase es que directamente no les avisen. Ojo por ojo.
Es como si decidimos hacer una carrera popular desde la Puerta del Sol, y como tú vives al lado decides empezar sin el resto, y claro, "ganas". Pues quedas como un estúpido.
Dentro de los equipos de usuario, Google es comparativamente muchísimo peor en este aspecto que el resto, no solo por el corto soporte (muchas veces ni 2 años, frente a los 15 de XP) y la segmentación si no por la tardanza en actualizar. Es objetivo y justo que reciba un escarnio público.
El problema está en todos esos Androids afectados tanto como linux pero que nunca verán un parche.
Se utilizan para dar cobertura a aquellos puntos en los que la red wifi principal no llega. La verdad es que su uso está tan extendido que por eso creia que estabas de cachondeo.
Un router podrá hacer de repetidor si tiene ese modo de funcionamiento, sino no. Pero normalmente son aparatos diferenciados de los routers. Si se pueden encontrar puntos de acceso que puedan trabajar a la vez como repetidores.
En esta pagina tienes ejemplos de repetidores, aunque los llaman extensores de cobertura: www.tp-link.es/products/list-10.html
mastodon.social/@stsp/98837563531323569
Un saludo.
Además, los de Mikrotik habían hecho un jugada similar anteriormente, pero ahora la toman con OpenBSD.
twitter.com/mulander/status/920007339037614080
Pues OK, iros a tomar por culo. Ya llorarán cuando tengan un lío gordo con OpenSSH y Theo los despache a lo Torvalds pero por 20000.
Pero oye, si quieres proclamar tu odio a Google, adelante, sin excusas.
Y lo del escarnio público, creo que es mear fuera del tiesto. ¿Objetivo y justo? Claro, señoría, tú eres juez y jurado, como entidad competente en la materia
Si no estás de acuerdo con la política de un fabricante, no la uses. Pero si aceptas sus 18 meses de soporte, luego no me vengas con pataletas.
Insisto que no se trata de información objetiva, es un ataque gratuíto igual que el tuyo. Si tu odio a Google te ciega, es otro tema.