有關無線網路 KRACK 攻擊的問題,感謝我們的夥伴, Ruckus 代理商 - 鉅立資訊 迅速地提供以下說明,以及目前可採取的步驟給我們參考,在此也立刻將此一資訊與大家分享:
由於無線網路所使用的資料加密協定 WPA2 (IEEE 802.11i)可能存在著多項管理漏洞,可能導致弱點並遭遇KRACK(Key Reinstallation Attacks)攻擊.該弱點可能將傳輸資料解密、封包重送、TCP連結綁架、HTTP內容注入攻擊等等不過目前Cert.org 機構及KU Leuven研究人員尚未對KRACK說明詳細的風險為何.詳細資訊可能要等到111號才會有比較明確的資料
另外由於WPA2 2004年就已經被IEEE所定義,因此該協定早已廣為各品牌無線產品標準.因此如果確定風險,將是所有支援IEEE 802.11i協定的無線產品都會受到影響.而目前已知影響範圍可能在啟動802.11r (Fast BSS Transition)802.11z(Extensions to Direct-Link Setup)802.11v(Wireless Network Management)這幾個協定,這些協定可能會允許重新安裝(Reinstallation)配對金鑰(Pairwise Key)、群組金鑰(Group Key)及完整群組金鑰(Integrity Group Key).如果安裝了遭受損害的金鑰(透過重新安裝程序),攻擊者理論上可以解密客戶端和基地台間的傳輸,但是請注意,每個無線終端設備都會與基地台建立臨時且不同的加密金鑰,所以即便遭受攻擊將不會是全域攻擊,而是攻擊特定的目標設備.
這對您意味著什麼?
1. 不用太驚慌,也不要關掉您的無線網路,因為網路並沒有遭受到相當於電磁脈衝(EMP)的攻擊
四向交握(4-Way handshake)關係雙方本來就存在著需要修補的漏洞,像是MicrosoftAppleGoogleIntel 等主要廠商一直在努力修補這些漏洞,在終端設備提供更新之前,禁用802.11r可以消除一個漏洞(Fast BSS Transitions漫遊機制)來緩解攻擊,另外某些終端設備(Ex:Android 6)可能更容易受到攻擊,因為iOSWindows不容易受到一組漏洞攻擊,因為不接受交握訊息3(Handshake message 3)的重試
2. 天空不會掉下來
原因一:攻擊必須在內部進行
原因二:即便攻擊者可以解密傳輸資料,但是仍然無法插入資訊到您的傳輸中,因為這必須要取得更多的身份驗證及加密金鑰,為此攻擊者必須準備更複雜的設備跟軟體.
必須再次強調,目前沒有任何的公開程式可以完成這樣的攻擊,任何的憑證跟密碼都還是安全的,因為此攻擊不會洩漏密碼,另外就是AES本身就不允許傳輸插入,所以如果要執行這樣的攻擊,還必須要進行中間人攻擊(Man-in-the-Middle;MitM),並且試圖攔截/阻止第四個EAPOL的封包,以便嘗試進行交握訊息3的重試,這意味著還需要偽冒基地台地址(Spoof the MAC of the AP).只是在MeshPoint-to-Point架構可能會更容易受到攻擊.
您現在可以採取的步驟
1. 降低MitM攻擊造成的風險,預設Ruckus控制器可以將偽冒Mac分類為惡意威脅,並產生警報,讓管理者可以對非法基地台進行防堵攻擊,以降低中間人攻擊的影響.
2. 禁用802.11r漏洞,預設Ruckus是禁用802.11r的功能,如果您已經啟用了,建議先暫時禁用直到修復漏洞
3. Ruckus的基地台再啟動Mesh連結時對於中間人攻擊有額外的保護機制,但可能導致攻擊,因此建議先進行Mesh架構的禁用,
4. Ruckus 的安全性補強修復即將發佈,發布後請務必進行安裝,加強防護.
當然您對此風險仍有所疑慮,亦可以考慮提高無線資訊安全等級,搭配Ruckus Cloudpath 的憑證式加密及認證,可以完美的強化無線網路安全等級.同時大幅簡化過去安裝憑證的複雜及對各種設備的適用性,讓管理者可以輕鬆地提供多樣化無線網路認證並強化傳輸加密服務,讓無線網路提高到黃金等級安全.

#KRACK攻擊
 
回上層