//kalinux.info
Безопасность 1020 просмотров

Kali Linux on KRACK

Kali Linux on KRACK

WPA2 Key Reinstallation Атака AttaCK или KRACK

Недавно, Mathy Vanhoef из imec-DistriNet, KU Leuven, обнаружила серьезную слабость в WPA2, известную как атака AttaCK (или KRACK) для переустановки ключей. Их обзор, атаки на переустановку ключей: разрыв WPA2 за счет принудительного повторного использования nonce и исследовательской статьи (атаки на переустановку ключей: принудительное повторное использование Unce в WPA2, в соавторстве с Frank Piessens) вызвали настоящий переполох в нашей отрасли, потому что пресса рекламирует, что это "нарушает Wi-Fi".

Об этой уязвимости было написано много статей, и мы не будем их перефразировать здесь. Однако мы хотим поговорить о том, как это относится к Kali Linux, с точки зрения защиты, тестирования и обнаружения.

Уязвим ли Kali Linux?

С оборонительной точки зрения, если вы не отстаете от своих обновлений Kali Linux (через простое обновление apt update && apt upgrade), вы уже исправлены против этой уязвимости благодаря исправлениям в wpasupplicant и hostapd. Чтобы быть совершенно ясным: обновленная версия Kali Linux не уязвима для этой атаки. Вы постоянно обновляете свою систему Kali Linux, не так ли?

Как проверить уязвимость?

С обновленной системой Kali также можно предпринять некоторые шаги для проверки этой уязвимости в ваших точках доступа. Недавно Мати Ванхоф выпустила сценарий, который можно запустить из Kali Linux, чтобы проверить, влияет ли ваша точка доступа (AP) на CVE-2017-13082 или, в частности, на переустановку ключа в уязвимости Handshake FT, обнаруженную на устройствах 802.11r. Сценарий требует, чтобы вы аутентифицировались в точке доступа, но помните, что он может неправильно помечать AP как уязвимый из-за «доброкачественных повторных передач кадров данных».

Как я могу обнаружить атаки?

Dragorn, автор удивительного Kismet, опубликовал в своем блоге большую информацию по этому вопросу, включая отличную информацию об обнаружении атак KRACK с использованием Kismet. Он объясняет, что git-master версия Kismet - «введение предупреждений о попытке обнаружить атаку типа Krack».

Эти оповещения отслеживают поддельные точки доступа, многоканальные точки доступа, ключи нулевой длины, нулевое бездействие в рукопожатии и повторную передачу без повторения, все факторы, которые могут указывать на атаку KRACK.

Dragorn предупреждает, что, поскольку Kismet перехватывает каналы, он может пропустить пакеты квитирования и, следовательно, пропустить атаку. Кроме того, он говорит, что ложные срабатывания по-прежнему возможны, несмотря на устранение дублирования пакета Kismet, и что после того, как для KRACK будет выпущен настоящий код доказательной концепции, может потребоваться корректировка логики этих предупреждений.

Dragorn также объясняет, что «похоже, что вы все еще можете отключить обнаружение kismet nonce с пакетом, помеченным в кадровом контроле, в качестве повторной передачи», но, несмотря на эти недостатки, Kismet по-прежнему является достойной системой для обнаружения этого и другого Wi-Fi протокольные атаки.

Чтобы установить git-master версию Kismet на Kali Linux, выполните следующие действия.

Во-первых, скажите сетевому менеджеру игнорировать устройство Wi-Fi, добавив следующие строки:

[keyfile]
unmanaged-devices=interface-name:wlan0

В

/etc/NetworkManager/NetworkManager.conf

Затем перезапустите NetworkManager:

root@kali:~# systemctl restart NetworkManager

Затем установите обновления и версию git-master Kismet:

root@kali:~# apt update
root@kali:~# apt upgrade
root@kali:~# git clone https://www.kismetwireless.net/git/kismet.git
root@kali:~# apt install build-essential libmicrohttpd-dev libnl-3-dev libnl-genl-3-dev libcap-dev libpcap-dev libncurses5-dev libnm-dev libdw-dev libsqlite3-dev
root@kali:~# cd kismet
root@kali:~# ./configure
root@kali:~# make
root@kali:~# make suidinstall
root@kali:~# /usr/local/bin/kismet_capture_tools/kismet_cap_linux_wifi --list
root@kali:~# kismet -c wlan0

Затем вы можете перейти на http://localhost:2501, чтобы просмотреть интерфейс Kismet и любые предупреждения. Обязательно войдите в систему с учетными данными, найденными в

~/.kismet/kismet_httpd.conf

чтобы получить полную функциональность. Вы также можете создавать и запускать инструменты захвата на отдельных машинах, позволяя отслеживать с нескольких конечных точек и просматривать предупреждения на одном централизованном сервере.

В целом эта уязвимость не конец света. Как поясняет @grifter801, эта уязвимость поощряет этот шокирующий подход: «Исправьте свой материал. Используйте 2FA. Используйте HTTPS».

Мы также рекомендуем вам рассмотреть перспективы защиты, тестирования и обнаружения любой новой уязвимости, чтобы помочь вам лучше узнать о более тонких деталях уязвимости, получить представление об этом и стать частью решения.