La vulnerabilidad Krack WPA2

SOBRE LA VULNERABILIDAD KRACK WPA2

Actualmente WPA2 es el protocolo que aporta una mayor seguridad en redes WiFi y recientemente se hizo pública información referente a ciertas debilidades en este protocolo.

Estas debilidades se han bautizado con el nombre de KRACK (key reinstallation attacks).

El alcance de dichas debilidades depende de la propia configuración de la red WiFi y de la implementación de los distintos fabricantes. Prácticamente todo dispositivo WiFi que implemente de manera correcta el protocolo está afectado.

CONSECUENCIAS DE KRACK

El alcance de esta vulnerabilidad puede permitir:

  • Descifrar tráfico de la red WiFi (permitiendo secuestrar conexiones TCP, capturar información sensible si los protocolos de transporte no usan cifrado, por ejemplo, HTTP en lugar de HTTPS, etc.)
  • Reproducir tramas de broadcast/multicast
  • Inyectar tráfico en la red WiFi (sólo TKIP o GCMP)
  • Forzar a utilizar una clave de cifrado predecible (sólo Android 6.0+ y Linux)

LO BUENO

  • Los fabricantes deberían asumir responsabilidad del problema y corregirlo mediante las actualizaciones pertinentes

LO MALO

  • Muchos dispositivos no dispondrán de una forma sencilla de aplicar actualizaciones
  • Mucha variedad de dispositivos, puede no ser sencillo encontrar actualización para todos los dispositivos
  • El ataque afecta a puntos de acceso y clientes, es importante actualizar ambas partes. Actualizar solo una de las partes no evita el problema

LO MÁS MALO

  • Ataques a plataformas Android 6.0+ son muy fáciles de realizar
  • Dispositivos IoT pueden no recibir actualización nunca

RECOMENDACIONES

  • Aplicar actualizaciones en el firmware de los puntos de acceso que solucionen el problema
  • Utilizar únicamente como protocolo/cifrado WPA2/AES-CCMP, lo cual minimiza el impacto del problema
  • Aislar las redes WiFi y evitar el uso de protocolos en claro en dichas redes, al menos, para acceso a recursos internos de la compañía. Generalmente se recomienda que los usuarios que trabajen por WiFi, lo hagan mediante VPN
  • Aplicar actualizaciones en los sistemas operativos (especialmente importante en plataformas Linux y Android 6.0+)
  • En dispositivos Android 6.0+, deshabilitar la WiFi hasta disponer de un parche que solucione el problema

LO QUE NO SE PUEDE HACER

  • Obtener la clave WPA
  • Inyectar paquetes (si se utiliza AES-CCMP)

Fuente: https://github.com/kristate/krackinfo

Para más información puedes contactar con nosotros en info@open3s.com.