20T19 WPA3 – Luki Bezpieczeństwa

W tym odcinku pokazuję jakie luki bezpieczeństwa zostały wykryte w WPA3:

👉Transition Mode
👉Time-Based Side-Channel Attack
👉Strong Password

Chcesz więcej informacji?

Dołącz do naszej strony fanów na Facebook:

Grupa na facebooku

#netadminpro_pl #networksecurity #wireless #wifi #bezpieczeństwosieci #WPA3

Więcej miejsc do posłuchania:

Spotify

 

Transkrypcja filmu:

0:00:00.000,0:00:03.460
Cześć, witam Cię w dzisiejszym odcinku.
0:00:03.460,0:00:05.860
Dzisiaj opowiem o WPA 3
0:00:06.020,0:00:08.060
i lukach bezpieczeństwa w   tym protokole.
0:00:08.720,0:00:11.800
Jeżeli ten temat Cię interesuje, to to jest właśnie odcinek dla Ciebie.

WPA3 – Luki Bezpieczeństwa

0:00:11.800,0:00:15.760
Dlaczego ten temat się pojawił w ogóle na moim kanale.
0:00:15.760,0:00:19.020
Ponieważ, publikując WPA 3, Wi-Fi Alliance
0:00:19.020,0:00:23.140
opublikowało nowy sposób podejścia do szyfrowania zabezpieczenia ruchu.
0:00:23.140,0:00:28.520
I w dość krótkim terminie po tej publikacji, pojawiła się
0:00:28.520,0:00:30.680
publikacja dotycząca podatności.
0:00:30.680,0:00:32.680
I tutaj ciekawa rzecz.
0:00:32.680,0:00:35.580
Ta podatność głównie dotyczyła protokołu SAE,
0:00:35.580,0:00:38.540
czyli protokołu znanego wcześniej jako dragonfly.
0:00:39.040,0:00:42.240
Protokołu, który jest związany z zabezpieczaniem ruchu
0:00:42.240,0:00:44.240
dla sieci meshowych.
0:00:44.240,0:00:48.360
I to był powód, dla którego szybko pojawiły się różne takie wątpliwości
0:00:48.360,0:00:51.020
dotyczące bezpieczeństwa WPA 3.
0:00:51.480,0:00:54.240
Przede wszystkim jednak to WPA 3
0:00:54.240,0:00:56.240
zawiera dużo więcej
0:00:56.240,0:00:58.700
różnych elementów niż sam protokół SAE.
0:00:58.700,0:01:00.700
A te zgłoszone
0:01:00.700,0:01:02.640
wątpliwości dotyczyły
0:01:02.640,0:01:04.300
tylko tego protokołu.
0:01:04.300,0:01:05.960
Też wynikało to z tego, że
0:01:05.960,0:01:08.100
ten protokół po prostu był już znany dłuższy czas
0:01:08.120,0:01:11.240
i podatności tego protokołu SAE
0:01:11.500,0:01:15.180
czyli dragonfly były również wcześniej już znane,
0:01:15.180,0:01:17.600
przetestowane i sprawdzone.
0:01:17.600,0:01:21.120
Więc warto sobie najpierw wyjaśnić,
0:01:21.120,0:01:24.680
dlatego że tutaj nie dotyczy,
0:01:24.680,0:01:27.420
ten zbiór podatności, który został opublikowany,
0:01:27.420,0:01:29.100
nie dotyczy wszystkiego.
0:01:29.480,0:01:33.880
Przede wszystkim te sposoby szyfrowania, dotyczące
0:01:33.880,0:01:37.200
wersji korporacyjnej, czyli w oparciu o radiusa
0:01:37.520,0:01:41.360
w ogóle tutaj nie są poruszane i nie są wskazywane jako podatne na
0:01:41.740,0:01:44.300
jakieś ataki, które są opisane
0:01:44.300,0:01:47.620
w ramach dzisiaj zgłoszonych podatności.
0:01:48.240,0:01:51.180
Zacznijmy więc od tego, co jest dzisiaj znane
0:01:51.180,0:01:53.500
jako podatność dla protokołu WPA 3.
0:01:53.500,0:01:55.700
Czyli jakie luki znaleziono.
0:01:56.480,0:01:59.180
Do każdego z tych podanych
0:01:59.180,0:02:01.240
typów ataków czy podatności
0:02:01.240,0:02:03.240
powiem jakie są rekomendacje
0:02:03.240,0:02:06.340
Wi-Fi Alliance, odpowiadające na
0:02:06.600,0:02:09.580
ten dokument publikujący podatności,
0:02:09.580,0:02:14.500
bo można już zapoznać się z tym, w jaki sposób implementować
0:02:14.500,0:02:16.720
rozwiązanie WPA 3, które jest
0:02:17.160,0:02:19.260
odporne na te poziomy
0:02:19.440,0:02:22.360
podatności, które zostały do tej pory opisane.
0:02:22.360,0:02:24.840
Czyli pokażę, jakie są rekomendacje.
0:02:24.840,0:02:27.480
Zacznijmy od trybu transition mode.
0:02:28.180,0:02:30.560
Transition mode to jest tryb, który pozwala
0:02:30.560,0:02:33.140
punktowi dostępowemu połączyć
0:02:33.140,0:02:35.920
jednocześnie urządzenia starszej generacji,
0:02:35.920,0:02:37.920
czyli próbujące się łączyć WPA 2.
0:02:38.340,0:02:41.580
Jak i urządzenia, które się łączą w ramach WPA 3
0:02:41.780,0:02:44.400
No i jak się należy spodziewać, tego typu
0:02:44.400,0:02:46.760
konstrukcja też umożliwia
0:02:46.760,0:02:48.760
ataki, związane z obniżeniem
0:02:48.760,0:02:50.740
poziomu zabezpieczenia.
0:02:50.900,0:02:52.800
I tak dokładnie się tutaj dzieje.
0:02:53.100,0:02:54.640
Czyli, jeżeli jest
0:02:54.720,0:02:56.220
urządzenie, które może pracować
0:02:56.220,0:02:58.220
w trybie WPA 2 i WPA 3
0:02:58.220,0:03:00.220
to ono oczywiście proponuje
0:03:00.220,0:03:04.560
ten możliwie najwyższy swój schemat połączenia.
0:03:04.940,0:03:07.540
Nawiązując komunikację z punktem dostępowym.
0:03:07.540,0:03:09.540
Punkt dostępowy odpowiada również
0:03:09.540,0:03:11.480
swoimi możliwościami
0:03:11.680,0:03:15.720
i odpowiada możliwymi schematami SA.
0:03:16.000,0:03:19.820
Czyli, jeżeli dogadają się ten punkt dostępowy
0:03:19.820,0:03:21.820
i ten telefon
0:03:21.820,0:03:25.040
na możliwie wysokim poziomie szyfrowania
0:03:25.040,0:03:27.600
no to ta komunikacja jest zabezpieczona.
0:03:27.600,0:03:32.300
Co można zrobić, atakując tego typu komunikację.
0:03:32.400,0:03:35.460
Można przysłuchiwać się, czyli
0:03:35.460,0:03:38.640
atakujący może zbierać sobie informacje
0:03:38.640,0:03:44.780
z obu stron, jaki typ połączenia jest teraz nawiązywany.
0:03:44.780,0:03:46.780
Co więcej, może
0:03:46.780,0:03:48.560
ingerować w tą komunikację
0:03:48.560,0:03:50.040
czyli może próbować wysyłać
0:03:50.040,0:03:51.740
pewne ramki
0:03:51.740,0:03:53.820
do urządzenia końcowego, które
0:03:53.820,0:03:56.980
odrzuca silniejsze typy szyfrowania.
0:03:56.980,0:03:58.980
Czyli załóżmy, że tutaj WPA 3
0:03:59.000,0:04:00.360
zostało wynegocjowane.
0:04:00.360,0:04:03.440
Ale w ramach tego WPA 3 też mamy dostępny
0:04:03.520,0:04:06.160
zestaw SA, który może być użyty.
0:04:06.320,0:04:08.960
I ten atakujący, wysyłając poszczególne ramki
0:04:08.960,0:04:10.960
do urządzenia końcowego,
0:04:10.960,0:04:14.360
które odrzuca silniejsze typy SA.
0:04:14.520,0:04:16.760
Pozostawia po prostu tylko te słabsze.
0:04:17.140,0:04:19.140
No i jeżeli to urządzenie sądzi, że
0:04:19.140,0:04:21.860
ten punkt dostępowy może się skomunikować,
0:04:21.860,0:04:24.760
ale tylko ze słabszymi schematami SA.
0:04:24.760,0:04:28.660
No to wtedy mamy słabszy poziom zabezpieczenia
0:04:28.660,0:04:30.160
tego połączenia.
0:04:30.160,0:04:32.380
To jest jeden z wariantów
0:04:32.380,0:04:33.500
tego ataku.
0:04:33.500,0:04:35.700
Drugi z wariantów tego ataku
0:04:35.860,0:04:37.520
będzie polegał na tym, że
0:04:37.600,0:04:42.240
będzie próba odrzucenia połączenia w trybie WPA 3,
0:04:42.300,0:04:43.860
czyli urządzenie końcowe
0:04:43.860,0:04:45.680
będzie się próbowało podłączyć
0:04:45.680,0:04:47.120
tylko w trybie WPA 2
0:04:47.120,0:04:48.920
a to oznacza z kolei
0:04:48.920,0:04:51.620
słabszy poziom zabezpieczenia, czyli znany wcześniej
0:04:51.700,0:04:53.360
protokół fourway handshake
0:04:53.360,0:04:57.620
czyli protokół o większych podatnościach, jeżeli chodzi o
0:04:57.620,0:04:59.440
odgadywanie haseł.
0:04:59.440,0:05:01.800
Jak może tego typu atak przebiegać.
0:05:01.800,0:05:04.360
Czyli w WPA 3 jest negocjowane,
0:05:04.360,0:05:07.480
od urządzenia końcowego tutaj do punktu dostępowego
0:05:07.480,0:05:12.100
i ten atakujący może wysyłać pewne,
0:05:12.100,0:05:14.800
w odpowiednim momencie pakiety,
0:05:14.840,0:05:17.700
które wskazują, że WPA 3 nie może być
0:05:17.700,0:05:20.100
nawiązane. W związku z tym, ten punkt
0:05:20.100,0:05:24.240
dostępowy, do którego się próbujemy podłączyć,
0:05:24.600,0:05:26.480
będzie czekał nadal na komunikację.
0:05:26.480,0:05:28.780
Natomiast ten telefon, który jest tutaj
0:05:28.780,0:05:30.780
z prawej strony, on będzie sądził,
0:05:30.780,0:05:34.100
że punkt dostępowy pracuje tylko w trybie WPA 2.
0:05:34.100,0:05:36.100
Czyli w trybie tym.
0:05:36.100,0:05:38.100
Jako konsekwencja tego ataku,
0:05:38.100,0:05:40.060
telefon będzie próbował już tylko
0:05:40.060,0:05:42.860
w trybie WPA 2 się podłączyć do punktu dostępowego.
0:05:42.860,0:05:45.960
No a punkt dostępowy stwierdzi, aaa to urządzenie
0:05:45.960,0:05:47.960
komunikuje się tylko w trybie WPA 2.
0:05:48.260,0:05:51.340
W związku z tym stosujemy tryb WPA 2.
0:05:51.340,0:05:54.380
No i tym sposobem, mimo że
0:05:54.380,0:05:57.320
i urządzenie końcowe, czyli telefon
0:05:57.560,0:06:00.660
i punkt dostępowy, obsługują WPA 3
0:06:00.860,0:06:02.860
to ten atakujący jest w stanie
0:06:02.860,0:06:04.800
zmylić te urządzenia
0:06:04.800,0:06:06.960
na fazie negocjacji
0:06:06.960,0:06:09.920
i spowodować połączenie w trybie WPA2.
0:06:10.040,0:06:14.480
Co rekomenduje Wi-Fi Alliance, żeby zapobiegać tego typu atakom.
0:06:15.320,0:06:18.140
Wi-Fi Alliance proponuje, żeby tworzyć
0:06:18.260,0:06:20.940
dwie osobne sieci, jeżeli chcemy
0:06:20.940,0:06:24.080
zniwelować zagrożenie związane z transition mode.
0:06:24.080,0:06:27.300
Czyli jeżeli stworzymy SSID
0:06:27.500,0:06:29.960
dla WPA 3, to konfigurujemy na punkcie dostępowym
0:06:29.960,0:06:31.540
tylko taki tryb
0:06:31.540,0:06:33.880
dostępu dla urządzeń końcowych.
0:06:33.880,0:06:35.840
A dla urządzeń starszych
0:06:35.840,0:06:39.480
konfigurujemy osobne SSID, tylko pod WPA 2.
0:06:40.120,0:06:42.920
No i to podejście, bez wątpienia eliminuje
0:06:42.920,0:06:46.420
zagrożenie związane z tym trybem transition mode.
0:06:46.420,0:06:48.420
Ale jednocześnie zwiększa
0:06:48.420,0:06:50.720
poziom trudności dla użytkownika końcowego.
0:06:51.200,0:06:53.800
Dla urządzeń, które wspierają WPA 2, to nie będzie
0:06:53.800,0:06:56.120
widoczne, dlatego że nie zobaczą tego
0:06:56.120,0:06:58.300
SSID, związanego z WPA 3.
0:06:58.300,0:07:02.060
Natomiast jeżeli chodzi o urządzenia z WPA 3, no to
0:07:02.060,0:07:05.080
będą widziały obie sieci, no i tutaj
0:07:05.080,0:07:07.320
jest element taki
0:07:07.320,0:07:09.320
trudności dla użytkownika końcowego.
0:07:09.560,0:07:13.440
A jak wiadomo, tego typu akurat konstrukcji należałoby unikać.
0:07:13.680,0:07:15.680
W związku z tym, w zależności od tego,
0:07:15.680,0:07:17.400
na ile uważasz, że
0:07:17.400,0:07:19.280
ten tryb jest dla Ciebie
0:07:19.280,0:07:22.000
problematyczny, jest zagrożeniem.
0:07:22.260,0:07:23.560
No to należy wybrać
0:07:23.560,0:07:26.600
rekomendację Wi-Fi Alliance, rozdzielić te sieci
0:07:26.600,0:07:30.520
lub utrzymać ten tryb transition mode,
0:07:30.520,0:07:32.200
ale wtedy zakładamy, że
0:07:32.200,0:07:34.840
ta sieć jest podatna na tego typu ataki.
0:07:35.540,0:07:37.780
Warto mieć na uwadze, że te ataki,
0:07:37.780,0:07:39.560
o których tutaj rozmawiamy
0:07:39.560,0:07:42.080
one wymagają bezpośrednio bycia w zasięgu
0:07:42.080,0:07:43.900
punktu dostępowego danej sieci.
0:07:44.500,0:07:46.920
Czyli, jeżeli mówimy o ataku na transition mode,
0:07:46.920,0:07:48.920
o przełączaniu trybów, no to
0:07:48.920,0:07:50.400
nie da się tego ataku wykonać
0:07:50.580,0:07:53.960
nie mając zasięgu bezpośrednio z punktem dostępowym
0:07:53.960,0:07:55.560
i z urządzeniem końcowym.
0:07:55.760,0:07:56.980
Co też oznacza, że
0:07:56.980,0:07:58.980
no nie jest to atak jakiś
0:07:58.980,0:08:00.700
bardzo łatwy do wykonania.
0:08:00.700,0:08:02.340
I wymaga większych nakładów
0:08:02.340,0:08:03.880
czasu i środków.
0:08:03.880,0:08:05.640
Czyli w zależności od
0:08:05.640,0:08:07.620
ważności informacji, które są przesyłane w tej sieci
0:08:07.620,0:08:11.160
będzie sens atakować w ten sposób taką instalację lub nie.
0:08:11.160,0:08:13.700
Więc dobieramy środki do
0:08:13.700,0:08:16.460
ważności informacji, które przesyłamy.
0:08:16.460,0:08:19.220
Bo założenie oczywiście podstawowe w bezpieczeństwie
0:08:19.220,0:08:21.180
jest takie, że nie ma rozwiązań
0:08:21.180,0:08:22.920
stuprocentowo bezpiecznych.
0:08:22.920,0:08:26.940
Jest tylko kwestia, jak dużo czasu i środków trzeba przeznaczyć, żeby
0:08:27.180,0:08:29.760
daną informację odszyfrować, pozyskać.
0:08:30.040,0:08:31.900
Przejdźmy teraz do drugiego typu
0:08:31.900,0:08:34.580
ataku, To jest atak
0:08:34.760,0:08:37.380
timing-based side-channel attack.
0:08:37.380,0:08:41.200
I to jest typ podatności, który jest związany
0:08:41.200,0:08:44.580
z ograniczaniem słownika haseł, które zgadujemy.
0:08:44.580,0:08:47.740
Czyli, jeżeli popatrzymy sobie na to, że
0:08:47.740,0:08:50.140
całe WPA 3 opiera się na tym, że
0:08:50.140,0:08:52.140
ten hash przesyłany
0:08:52.140,0:08:55.300
pomiędzy punktem dostępowym a urządzeniem końcowym
0:08:55.300,0:08:57.300
nie jest bezpośrednio związany z hasłem.
0:08:57.300,0:09:01.480
No to oznacza, że nie możemy
0:09:01.480,0:09:03.480
skopiować tego ruchu
0:09:03.480,0:09:05.480
tak jak to ma miejsce w WPA 2
0:09:05.480,0:09:08.480
przenieść w jakieś swoje bezpieczne miejsce i tam
0:09:08.720,0:09:11.100
offlinowo odszyfrowywać, tylko
0:09:11.100,0:09:13.860
w przypadku tego typu ataków musimy
0:09:14.240,0:09:17.460
mieć możliwość dostępu do punktu dostępowego, czyli być w zasięgu
0:09:17.460,0:09:20.360
tej sieci i urządzenia końcowego.
0:09:20.360,0:09:23.420
Więc jeżeli chodzi o timing-based side-channel atack
0:09:23.420,0:09:25.480
to jest to atak, który jest
0:09:25.480,0:09:27.460
związany z pozyskiwaniem
0:09:27.460,0:09:28.780
częściowej informacji o haśle.
0:09:28.780,0:09:31.000
Polega to na tym, że jeżeli
0:09:31.000,0:09:33.400
komunikuje się punkt dotępowy
0:09:33.400,0:09:35.260
z urządzeniem końcowym
0:09:35.260,0:09:37.280
w jedną i w drugą stronę.
0:09:37.460,0:09:41.780
To monitorując tutaj, ze strony tego atakującego
0:09:42.000,0:09:43.480
tą komunikację.
0:09:43.480,0:09:45.420
Mamy możliwość
0:09:45.420,0:09:48.580
zbierania informacji, w jakim czasie
0:09:48.580,0:09:52.640
poszczególne kroki są wykonywane
0:09:52.640,0:09:56.780
pomiędzy punktem dostępowym a urządzeniem końcowym,
0:09:56.780,0:09:58.780
czyli w tym przypadku telefonem komórkowym.
0:09:58.780,0:10:02.040
I bazując na czasie, który mierzymy
0:10:02.040,0:10:04.040
tych odpowiedzi pomiędzy 1 i 2,
0:10:04.040,0:10:06.040
tych komunikacji jest oczywiście więcej, ale
0:10:06.040,0:10:09.320
mierząc czas odpowiedzi
0:10:09.320,0:10:12.240
i czas wysyłania komunikatów pomiędzy
0:10:12.240,0:10:14.240
stacją końcową a punktem dostępowym
0:10:14.240,0:10:17.100
na stacji atakującej, która jest w zasięgu tej sieci.
0:10:17.100,0:10:19.800
Mamy możliwość oszacowania
0:10:19.800,0:10:21.800
pewnych parametrów haseł.
0:10:21.800,0:10:23.800
Czyli możemy sobie wtedy
0:10:23.800,0:10:25.800
oszacować jaka jest
0:10:25.800,0:10:28.120
na przykład złożoność, długość hasła.
0:10:28.120,0:10:30.480
Parametry, które nam ułatwiają,
0:10:30.480,0:10:32.480
jak mamy nasz słownik,
0:10:32.480,0:10:36.180
ułatwiają nam ograniczenie po prostu ilości haseł, która jest
0:10:36.180,0:10:37.860
do sprawdzenia.
0:10:37.860,0:10:39.860
A to znacznie przyspiesza
0:10:39.860,0:10:41.860
przeprowadzenie ataku.
0:10:41.860,0:10:42.880
Czyli to jest
0:10:42.880,0:10:45.920
typ takiej podatności, która
0:10:46.200,0:10:49.840
ogranicza nam po prostu czas, który jest potrzebny do pozyskania
0:10:49.840,0:10:52.360
czy zgadnięcia tak naprawdę tego hasła.
0:10:52.780,0:10:55.220
Czyli tutaj mamy taki element wspomagający.
0:10:55.220,0:10:57.940
To nie jest podatność, która bezpośrednio powoduje
0:10:57.940,0:10:59.860
odszyfrowanie komunikacji.
0:10:59.860,0:11:04.120
Natomiast jeżeli mówimy już o takich wieloetap owych
0:11:04.160,0:11:06.240
krokach do tego, żeby odszyfrować komunikację
0:11:06.240,0:11:07.960
no to automatycznie przenosimy
0:11:07.960,0:11:10.200
poziom trudności tego całego zagadnienia
0:11:10.200,0:11:13.280
na wysoki poziom, czyli jednocześnie
0:11:13.460,0:11:15.940
osoba wykonująca ten atak musi mieć wyższą wiedzę,
0:11:15.940,0:11:18.540
musi mieć więcej narzędzi, które potrafią
0:11:18.540,0:11:20.560
tego typu atak wykonać.
0:11:20.960,0:11:25.100
Więc timing-based side-channel atack jest tego typu atakiem
0:11:25.100,0:11:27.900
częściowym, pozyskującym część informacji
0:11:27.900,0:11:30.660
dotyczących parametrów szyfrowania.
0:11:30.660,0:11:32.500
Jakie jest zalecenie
0:11:32.500,0:11:34.780
ze strony Wi-Fi Alliance, dotyczące
0:11:35.060,0:11:37.920
niwelowania tego typu zagrożenia.
0:11:38.320,0:11:40.780
Odpowiedzią ze strony Wi-Fi Alliance jest
0:11:40.780,0:11:43.400
wyeliminowanie pewnych grup Diffiego-Hellmana
0:11:43.400,0:11:46.560
które są wykorzystywane w  pewnych zestawach SA
0:11:46.660,0:11:49.180
do skorelowania
0:11:49.320,0:11:51.680
czasu odpowiedzi punktu dostępowego
0:11:51.740,0:11:54.360
z hasłem i jego trudnością.
0:11:54.540,0:11:57.920
Chodzi o to paradoksalnie, że zbyt wysokie poziomy
0:11:57.920,0:12:01.900
szyfrownia, czyli tworzenia funkcji hashowych Diffiego-Hellmana
0:12:01.940,0:12:05.200
powodują większe obciążenie procesora na stacji końcowej,
0:12:05.200,0:12:09.920
co zwiększa szansę na stworzenie tej korelacji pomiędzy silnym hasłem
0:12:09.920,0:12:14.320
a tym naszym badaniem, jakie hasło jest,
0:12:14.320,0:12:16.820
jakiej trudności hasło jest zastosowane.
0:12:16.820,0:12:19.740
W związku z tym Diffi-Hellman
0:12:19.860,0:12:24.240
w wersji 22,23 i 24 jest niezalecany.
0:12:24.760,0:12:26.560
Jak zobaczycie tutaj w tą tabelę,
0:12:26.640,0:12:30.500
to jest lista Diffi-Hellmanów, grup, które są zalecane.
0:12:32.100,0:12:35.160
I oczywiście nie są zalecane grupy poniżej 15.
0:12:35.160,0:12:37.960
Czyli te są uznawane po prostu za słabsze
0:12:37.960,0:12:42.220
i nie warto stosować tych grup poniżej 15.
0:12:42.580,0:12:44.960
Natomiast powyżej 21,
0:12:45.100,0:12:47.480
tutaj już mamy też kryptografię
0:12:47.480,0:12:48.900
krzywych eliptycznych.
0:12:48.900,0:12:51.560
Czyli bardziej wymagającą, jeżeli chodzi o
0:12:51.560,0:12:56.720
obliczenia i tu powyżej 512 bitów tego hasha,
0:12:56.980,0:13:01.360
po prostu obciążenie tych urządzeń może być na tyle wysokie, że
0:13:01.360,0:13:02.780
stanowi to problem.
0:13:02.780,0:13:05.500
I też stwierdzono, że pewne
0:13:05.500,0:13:10.060
podgrupy w tych Diffi-Helmannach 22,23 i 24,
0:13:10.200,0:13:13.140
są wyjątkowo podatne właśnie na tą korelację
0:13:13.140,0:13:17.060
badania jaki typ hasła jest wykorzystywany
0:13:17.120,0:13:21.560
do przesyłu danych, wynikający z hasha.
0:13:21.820,0:13:26.220
W związku z tym, stosując zalecane grupy Diffi-Hellmanów,
0:13:26.520,0:13:31.460
możemy ograniczyć ryzyko związane z tym timing-based side-channel attack
0:13:31.460,0:13:34.980
Co ciekawe, ten typ ataku i podatności został
0:13:34.980,0:13:37.760
zgłoszony w granicach kwietnia.
0:13:37.980,0:13:41.940
Na ten typ podatności Wi-Fi Alliance odpowiedziało
0:13:41.940,0:13:46.400
i kolejne testy, już po poprawkach, tych dobrych rekomendacjach
0:13:46.400,0:13:49.260
( to było na poziomie sierpnia 2019 roku)
0:13:49.260,0:13:53.660
pokazują, że ten problem z tym typem podatności
0:13:53.660,0:13:55.660
nie został całkowicie rozwiązany.
0:13:55.660,0:14:01.100
I nadal czekamy na wyższy poziom zabezpieczenia w tym zakresie.
0:14:01.800,0:14:05.840
Oczywiście, jak wspomniałem, ten typ
 podatności sam w sobie nie jest
0:14:05.840,0:14:09.360
wystarczająco trudną podatnością czy taką ważną,
0:14:09.360,0:14:12.380
żeby można było na jej podstawie odzyskać
0:14:12.380,0:14:14.380
hasło współdzielone.
0:14:14.380,0:14:17.000
Przypominam, że cały czas rozmawamy o protokole SAE.
0:14:17.120,0:14:20.480
czyli o protokole w trybie WPA 3 personal
0:14:20.480,0:14:21.840
współdzielonego hasła.
0:14:21.840,0:14:23.840
Te tematy nie dotyczą
0:14:23.840,0:14:25.740
połączeń korporacyjnych,
0:14:25.740,0:14:29.260
czyli tam gdzie mamy IPa i gdzie mamy RADIUSa.
0:14:29.260,0:14:32.800
Wprawdzie w tych zgłoszeniach pojawia się też
0:14:32.800,0:14:36.680
część tych podatności, związanych z ip pwd,
0:14:36.680,0:14:39.980
ale odpowiedź ze strony Wi-Fi Alliance
0:14:39.980,0:14:43.060
była taka, że ten ip pwd
0:14:43.320,0:14:44.720
nie jest częśćią WPA 3
0:14:44.720,0:14:46.720
i nie jest  w ogóle zalecany do wykorzystywania
0:14:46.720,0:14:48.720
w dzisiejszych sieciach i zastosowaniach.
0:14:48.720,0:14:52.720
W związku z tym nie należy stosować ip pwd.
0:14:52.720,0:14:54.720
Jeżeli się trzymamy tej rekomendacji,
0:14:54.720,0:14:57.760
czyli nie stosujemy tego typu mechanizmów,
0:14:58.080,0:15:00.200
no to, to połączenie
0:15:00.200,0:15:02.480
w trybie enterprise, czyli korporacyjnym
0:15:02.480,0:15:05.880
jest dużo bezpieczniejsze niż w trybie personal.
0:15:05.880,0:15:08.140
Co jeszcze mamy tutaj wymienione, w ramach tych
0:15:08.140,0:15:10.960
podatności, dotyczących WPA 3.
0:15:10.960,0:15:13.800
Przede wszystkim silne hasła, to jest
0:15:13.800,0:15:15.800
element, który jest kluczowy.
0:15:15.800,0:15:19.400
Jeżeli mówimy o schematach brute-force,
0:15:19.400,0:15:22.040
czyli takich ataków słownikowych
0:15:22.040,0:15:24.040
po prostu zgadywania haseł,
0:15:24.040,0:15:26.040
no to, to jak hasło jest silne
0:15:26.040,0:15:28.040
jest kluczowym elementem,
0:15:28.040,0:15:31.040
który zdecyduje o silności lub słabości
0:15:31.040,0:15:33.500
zabezpieczenia tej transmisji.
0:15:33.500,0:15:35.640
Jeżeli sobie popatrzymy na to, że
0:15:35.640,0:15:38.740
silne hasło po prostu będzie zwyczajnie
0:15:38.740,0:15:41.220
trudniejsze do zgadnięcia, a zgadujemy
0:15:41.220,0:15:44.580
od tej strony, czyli od atakującego, który jest niżej,
0:15:44.580,0:15:47.520
do punktu dostępowego, Jak tutaj zgadniemy hasło,
0:15:47.520,0:15:48.900
no to się połączymy.
0:15:48.900,0:15:51.540
Tak, czyli tego typu ataki słownikowe
0:15:51.540,0:15:53.420
są wykorzystywane w WPA 3.
0:15:53.420,0:15:56.620
Jeżeli nie mamy połączenia z tym punktem dostępowym,
0:15:56.620,0:15:59.480
no to nie mamy możliwości wykonania tego ataku.
0:15:59.480,0:16:01.440
Więc, przede wszystkim
0:16:01.440,0:16:03.060
stosowanie silnych haseł
0:16:03.060,0:16:06.640
no ale to jest to samo zalecenie, które było w przypadku WPA 2.
0:16:06.640,0:16:10.560
Czyli po prostu używamy dłuższych haseł, bardziej złożonych.
0:16:10.560,0:16:14.700
Tu jest kwestia zawsze, jak to zaimplementować, żeby użytkownicy końcowi
0:16:14.700,0:16:17.780
też mogli w miarę łatwo  wpisać to hasło
0:16:17.780,0:16:19.780
z klawiatury telefonu, laptopa.
0:16:19.780,0:16:23.160
No ale to jest temat, który jest zawsze
0:16:23.160,0:16:26.080
jakimś kompromisem pomiędzy użytecznością a bezpieczeństwem.
0:16:26.080,0:16:29.060
Drugi element, który tutaj jest zalecany
0:16:29.060,0:16:32.140
apropo siły hasła to jest pytanie
0:16:32.200,0:16:34.460
ile razy ten atakujący, który byłby na dole
0:16:34.460,0:16:36.940
może wykonać próbę ataku
0:16:36.940,0:16:38.620
związaną ze słownikiem,
0:16:38.620,0:16:40.380
na ten punkt dostępowy.
0:16:40.380,0:16:42.100
Czyli krótko mówiąc
0:16:42.100,0:16:46.420
po której próbie ten punkt dostępowy mógłby zablokować taki atak słownikowy.
0:16:46.560,0:16:49.120
Czyli, jeżeli punkt dostępowy.
0:16:49.120,0:16:51.120
i to jest kwestia zaleceń
0:16:51.120,0:16:54.960
Wi-Fi Alliance, która dotyczy implementacji na punkcie dostępowym.
0:16:54.960,0:16:57.640
Czyli, jeżeli taki punkt dostępowy po prostu wykryje,
0:16:57.640,0:16:59.360
że to jest atak słownikowy.
0:16:59.440,0:17:03.680
No to powinien zablokować, na jakiś czas przynajmniej
0:17:03.880,0:17:07.940
tą komunikację z urządzeniem atakującym.
0:17:08.200,0:17:11.560
To jest typowy schemat, który jest od lat stosowany
0:17:11.560,0:17:14.140
w różnych rozwiązaniach innych systemów.
0:17:14.140,0:17:16.660
Na przykład systemów zdalnych,
0:17:16.660,0:17:18.900
linuxów, windowsów,
0:17:18.900,0:17:21.140
routerów różnego typu.
0:17:21.220,0:17:24.940
Jeżeli po prostu ilość odpytań jest przekraczająca dany próg,
0:17:24.940,0:17:28.660
no to jest blokowana możliwość odpytywania
0:17:28.660,0:17:30.660
przez jakiś czas przez
0:17:30.660,0:17:33.400
tego hosta, to urządzenie końcowe.
0:17:33.400,0:17:36.340
No i tutaj zabezpieczenie tego typu
0:17:36.340,0:17:38.820
dla WPA 3 jest oczywiście też
0:17:38.820,0:17:41.420
bardzo dobrym rozwiązaniem.
0:17:41.480,0:17:43.780
No bo, wracam do tego, że
0:17:43.780,0:17:45.780
żeby wykonywać tego typu ataki,
0:17:45.780,0:17:47.540
no to trzeba być po prostu w zasięgu
0:17:47.540,0:17:51.260
a to znaczy, że ten punkt dostępowy, na bieżąco jest w stanie
0:17:51.440,0:17:54.720
zliczać, wykrywać i blokować ilość odpytań, która jest
0:17:54.720,0:17:57.500
generowana przez atakującego.
0:17:57.500,0:18:00.320
Więc takie drugie zalecenie jest stosowane
0:18:00.480,0:18:03.140
czy przedstawione przez Wi-Fi Alliance
0:18:03.140,0:18:06.820
i wydaje się to jak najbardziej słusznym rozwiązaniem w tym zakresie.
0:18:06.820,0:18:08.800
No i na koniec, czy warto
0:18:08.800,0:18:10.480
stosować WPA 3.
0:18:10.480,0:18:15.460
Czy WPA 3 jest już standardem, który jest wystarczająco dojrzały,
0:18:15.460,0:18:18.420
żeby można było go stosować produkcyjnie.
0:18:18.420,0:18:20.420
Odpowiedź jest taka, że
0:18:20.420,0:18:23.380
WPA 3 nie jest jeszcze standardem ratyfikowanym.
0:18:23.380,0:18:25.380
W związku z tym, jeżeli
0:18:25.380,0:18:27.700
akceptujesz ryzyko, związane z tym, że
0:18:27.700,0:18:31.320
dane urządzenia, jego implementacja może się zmienić,
0:18:31.320,0:18:33.960
no to oczywiście możesz tego typu
0:18:33.960,0:18:35.740
infrastrukturę kupować.
0:18:35.740,0:18:39.720
Jeżeli popatrzymy sobie na to, że urządzenia klasy korporacyjnej
0:18:39.720,0:18:42.820
czyli te punkty dostępowe, które mają WPA 3 wspierać,
0:18:42.820,0:18:46.360
one mają to implementowane praktycznie przez firmware
0:18:46.360,0:18:48.900
to tutaj bym się specjalnie nie obawiał,
0:18:48.900,0:18:51.160
dlatego że jeżeli zajdą nawet jakieś dalsze
0:18:51.160,0:18:54.200
zmiany w tym standardzie WPA 3
0:18:54.200,0:18:57.780
a przypominam, że powinien być ratyfikowany do końca tego roku.
0:18:57.780,0:19:01.980
Mimo, że spodziewaliśmy się, że będzie w 2019 roku ratyfikowany.
0:19:01.980,0:19:04.360
No to, będziemy mogli
0:19:04.360,0:19:06.360
zaktualizować sposób działania tego
0:19:06.360,0:19:11.160
punktu dostępowego, po prostu implementując jakiegoś patcha-łatkę.
0:19:11.160,0:19:14.240
Natomiast, jeżeli mówimy o zakresie domowym,
0:19:14.240,0:19:16.780
czyli WPA 3 w trybie
0:19:16.780,0:19:18.320
routerka domowego,
0:19:18.320,0:19:22.200
w którym najczęściej jego funkcje są zaszyte na stałe
0:19:22.200,0:19:25.860
i nie za bardzo jest możliwość potem modyfikowania sposobu działania.
0:19:25.860,0:19:29.480
No to tutaj jest już ryzyko, że po prostu to urządzenie
0:19:29.480,0:19:33.280
nie spełni swojego oczekiwania, jeżeli coś w standardzie się zmieni.
0:19:33.280,0:19:36.720
No a my będziemy musieli kupić nowe urządzenie.
0:19:36.720,0:19:38.720
Więc w trybie personal
0:19:38.720,0:19:42.000
w tym zakresie domowym bym się jeszcze wstrzymał.
0:19:42.000,0:19:44.000
Jeżeli jesteś w stanie
0:19:44.000,0:19:47.300
skonfigurować sobie urządzenie w trybie korporacyjnym
0:19:47.380,0:19:51.100
nawet WPA 2, to jest to bez wątpienia bezpieczniejsza metoda
0:19:51.440,0:19:53.660
niż współdzielone hasło.
0:19:53.660,0:19:56.500
Trudna do zastosowania w domu, wiadomo.
0:19:56.500,0:19:59.340
Więc w zależności od tego, kto ma po pierwsze jaką wiedzę
0:19:59.340,0:20:01.960
i jaką infrastrukturę u siebie w domu,
0:20:01.960,0:20:04.340
no to może sobie to zastosować lub nie.
0:20:04.340,0:20:06.880
Natomiast jeżeli chodzi o
0:20:06.880,0:20:09.840
urządzenia końcowe, no to nadal jest ich niewiele.
0:20:09.840,0:20:11.840
Są pierwsze implementacje, ale
0:20:11.840,0:20:13.840
to też jest związane z tym, że
0:20:13.840,0:20:15.600
standard nie jest jeszcze ratyfikowany.
0:20:15.600,0:20:18.420
Więc producenci urządzeń końcowych też
0:20:18.420,0:20:20.420
na razie przypatrują się
0:20:20.420,0:20:22.420
i implementują ewentualnie w takim zakresie,
0:20:22.420,0:20:24.420
w którym uważają, że jest to bezpieczne,
0:20:24.420,0:20:26.080
że w tym zakresie się to nie zmieni.
0:20:26.080,0:20:30.640
No bo jeżeli mówimy o urządzeniach końcowy ch, czyli o telefonach, no to
0:20:30.640,0:20:35.000
niestety tutaj dużo z tych funkcji jest implementowanych
0:20:35.000,0:20:36.980
w hardwarze, czyli w sprzęcie i tego
0:20:36.980,0:20:39.780
nie da się już potem łatwo zaktualizować.
0:20:39.780,0:20:41.780
Więc w zależności od urządzenia
0:20:41.840,0:20:45.940
i implementacji tego protokołu WPA 3
0:20:45.940,0:20:49.480
warto w to wchodzić dzisiaj lub jeszcze nie.
0:20:49.480,0:20:53.020
Jeżeli chodzi o koniec, to chciałem jeszcze
0:20:53.020,0:20:55.020
zachęcić do subskrypcji
0:20:55.020,0:20:57.220
jeżeli jeszcze tego nie zrobiłeś.
0:20:57.220,0:21:01.000
Co ciekawe, jeżeli chodzi o samo zasubskrybowanie
0:21:01.140,0:21:03.420
to mimo tego nie zawsze Ci się wyświetli odcinek,
0:21:03.420,0:21:05.000
to zauważyłem ostatnio,
0:21:05.000,0:21:07.640
Więc jeżeli chcesz nie pomijać odcinków to
0:21:07.640,0:21:12.260
możesz jeszcze kliknąć sobie taki dzwoneczek – czyli przypominanie.
0:21:12.720,0:21:15.900
Natomiast jeżeli chodzi o ten odcinek, chciałem jeszcze podziękować
0:21:15.900,0:21:21.000
Mirkowi, który zasugerował ten temat po poprzednim odcinku na temat WPA 3.
0:21:21.000,0:21:23.000
Uznałem, że to jest ciekawy temat.
0:21:23.000,0:21:25.000
W związku z tym zrobiłęm
0:21:25.000,0:21:27.320
tą kontynuację, dotyczącą bezpieczeństwa
0:21:27.320,0:21:30.600
WPA 3, bo też mnie ten temat zaciekawił.
0:21:30.600,0:21:33.960
Jeżeli masz jakieś inne pytania to oczywiście pisz w komentarzu,
0:21:33.960,0:21:36.540
chętnie odpowiem na to pytanie.
0:21:36.540,0:21:38.540
Jeżeli masz sugestie co do innych zagadnień,
0:21:38.540,0:21:40.420
które Cię ciekawią, są dla Ciebie ważne
0:21:40.420,0:21:43.580
to oczywiście też możesz napisać w komentarzu.
0:21:43.580,0:21:45.400
Na dzisiaj to wszystko.
0:21:45.400,0:21:47.400
Dziękuję CI za uwagę i do usłyszenia.

%MCEPASTEBIN%


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.