KRACK značí zkratku Key Reinstallation AttaCK a dokáže zneužít čtyřcestné výměny informací, používané pro tvorbu šifrovacího klíče u WPA2. To se považovalo za bezpečnou metodu šifrování spojení u Wi-Fi mezi základnou a externím zařízením.

Tento klíč je pak používán během následné komunikace. Během třetího kroku navazování komunikace je však možné jej odeslat několikrát – a to je právě past, do které dokáže KRACK lapnout údaje – a pokud se mu to podaří, tím pádem dokáže úplně zbořit bezpečnost komunikace.

Výsledkem této činnosti je možnost odposlechu provozu mezi základnovou stanicí a připojeným zařízením. Odborníci tento stav nazývají jako únos spojení nebo situaci, kdy je možné do komunikace přidávat vlastní informace, které tam normálně nepatří. Zdá se tedy, že poklidné vody kolem WPA2 byly narušeny a že nastává doba, kdy může být doposud zabezpečená komunikace na sítích Wi-Fi s protokolem WPA2 narušena.

Informace o tomto stavu byly publikovány v pondělí 16. října v jedenáct hodin na webu KrackAttacks.com. Nicméně už několik týdnů před tím byla o této skutečnosti informována zhruba stovka organizací, mezi které patří především výrobci směrovačů a dalších komunikačních zařízení.

Aby tito měli šanci opravit formou aktualizací firmwaru funkčnost svých zařízení, nejsou další podrobnosti o této vzniknuvší chybě dosud známa a jsou pečlivě tajena.

Problém má být poprvé veřejnosti představen a diskutován na konferenci ACM Conference on Computer and Communications Security v Dallasu 1. listopadu 2017. Zde najdeme i jména přednášejících, kterými budou Mathy Vanhoef a Frank Piessens z KU Leuven a imec-DistriNet. Související přednáška už byla diskutována na Black Hat Security Conference v Las Vegas.

Podle toho, co je doposud známo, jsou zranitelná všechna zařízení od všech výrobců, dostupná na trhu a je jedno, pro jaký systém, zda pro Android či Linux, nebo Apple, Windows, OpenBSD, MediaTek i Linksys. Jak je známo, podle dostupných údajů, všechny zařízení jsou zranitelná „jednou z možných variant útoku“.

K dispozici jsou už i dokumenty, které detailně popisují tento útok, a dokonce existuje i video na YouTube, které demonstruje tento problém se zařízením s Androidem live:

Co z toho plyne? Při vhodné konfiguraci klíče je možné sledovat provoz na síti směrem od klientského zařízení, ale v některých případech lze sledovat i směr opačný. Uživatel se může dodatečně (prozatím) chránit nasazením další vrstvy protokolu, například https, VPN a dalšími formami, ale odborníci tvrdí, že ani nasazení těchto protokolů nemusí zcela eliminovat únik informací!

Cíl útoku

Cílem útoku je čtyřcestný handshake, součást protokolu WPA2. Ten je aktivován klientem, který žádá o připojení k síti. Pak dochází k ověření údajů na obou stranách včetně hesla, a nakonec dojde k zaslání jednorázového šifrovacího klíče, který se stává základem následné komunikace obou stran. Důležité je vědět, že tento klíč je vždy pro každé uskutečněné spojení jedinečný a nesmí se opakovat. Při útoku Key Reinstallation AttaCK je vnucen obětem již jednou použitý klíč. Toho se dosahuje opětovným používáním již jednou odeslaných zpráv v rámci vzájemné komikace mezi jednotlivými uzly. Využívá se zde toho, že protokol umožňuje opakování zpráv při výměně jednorázového klíče, pokud protistrana nezareaguje správně. Normálně by v tomto přídě znamenalo přerušení komunikace a došlo k oznámení, že zpráva nedorazila, což způsobí, že přístupový bod bude tuto zprávu automaticky znovu opakovat. Klient tedy dostává opakovaně zprávu i s klíčem. Útok tak zneužije toho, že znovu tyto parametry resetuje, a přitom použije již dříve vysílané a zaznamenané zprávy. Tak klientovi podstrčí svou vlastní nonce (jedinečnou náhodnost) a tím oslabí či napadne podstatu šifrování.

Jsou-li známé parametry šifry, je možné odvodit použitý klíč, pokud známe otevřený obsah části komunikace. Pokud jej neznáme, je ale také možné, i když ne tak snadné. Není tedy tak složité najít rámce se známým obsahem a klíč ze šifrované podoby odvodit. Útok ovšem neumožní zjistit heslo Wi-Fi sítě ani odkrýt nový šifrovací klíč dohodnutý během handshake.

Výsledkem všeho je stav, kdy útočník může dešifrovat nebo zopakovat komunikaci. Pokud oběť navíc nepoužívá protokol AES-CCMP, ale spoléhá na WPA-TKIP nebo používá WiGig (a šifrování GCMP), je výsledek katastrofální. V takové situaci je možné nejen odposlouchávat, ale i vytvářet a padělat komunikaci, a díky tomu následně ovládnout klienta.

To, zda je možné sledovat a ovlivňovat oba směry, pak závisí na použitém handshake. Při běžném čtyřcestném handshake je možné číst rámce vysílané klientem. Pokud je ale ve hře Fast BSS Transition (FT) handshake, je možné sledovat a podvrhovat také rámce přístupového bodu. Podstatné také je, že většina útoků dovoluje manipulovat unicastovými, broadcastovými i multicastovými rámci.

Záplata existuje!

Je dobré vědět, že někteří výrobci už zareagovali použili záplatu, kterou lze použít na standard WPA2. Dokonce je dobré i to, že pokud některé zařízení už záplatu má, může směle komunikovat i se zařízením, které ji nemá. Podstatou záplaty totiž je, že při handshake je zařízení vnucen klíč, který již nelze poté změnit nebo přepsat.

Teď tedy bude na výrobcích, jak uvědomí uživatele svých produktů, aby provedli aktualizaci firmwaru svých zařízení – a tím pádem záplatovali možnost vniknutí cizího objektu do komunikace. Většina větších výrobců totiž už záplatu má, ale existuje reálná možnost, že spousta uživatelů si ji vůbec nikdy nenainstaluje, protože není tak technicky erudovaná, aby tuto operaci zvládli.

Podle dostupných informací mezi ty, kteří už zareagovali, společnosti Aruba a Ubiquiti, zaměřující se na velké korporátní sítě. Dále MikroTik, když sdělil, že jde o chybu v samotném protokolu, takže i správná implementace je napadnutelná. Součástí oznámení ale – prý – byla také doporučení k úpravě protokolu výměny klíčů, která by měla minimalizovat dopad problému. I Debian už oznámil vydání záplatovaných verzí WPA supplicantu pro podporované verze.

Podle zahraničních pramenů -LiM