Взлом WPA2 с помощью уязвимости KRACK: в опасности все WiFi сети!

От программ-вымогателей до атак на цепочки поставок – в этом году классические хакерские атаки смешались с необычными случаями взломов и краж данных.

А нужно ли проверять?

Немного фактов и мнений:

Accenture: Лишь 17% компаний готовы эффективно сопротивляться кибератакам

«Ростелеком-Solar»: объем киберинцидентов вырос на 30%

Dell Technologies: 82% компаний пострадали от кибератак и происшествий

Факт доказанный практикой и личным опытом: даже если у вас небольшой интернет-магазин, в 2020 вы уже будете подвергаться кибератакам по несколько раз в день.

С момента попадания в индекс Google\Yandex ваш сайт становится мишенью десятка (а если сайт крупный, то сотни) специализированных ботов, которые круглосуточно мониторят даже небольшие сайты и серверы для поиска уязвимостей и дальнейшего взлома.

У вас может быть грамотная архитектура, красивый дизайн, быстрая скорость загрузки, но всего лишь небольшая ошибка или невнимательность разработчика может серьезно навредить вашему бизнесу. Поэтому необходимо регулярно проверять свой сайт или веб-приложение на наличие уязвимостей.

Хорошая новость — сейчас можно самостоятельно просканировать свое веб-приложение различными бесплатными сканерами безопасности и найти уязвимые места заранее.

Внимание, использование подобных сканеров уязвимостей на чужих сайтах без разрешения владельцев является нарушением закона почти во всех странах.

Теперь я наглядно и пошагово покажу как с помощью таких инструментов самостоятельно проверить свой сайт, а также как разобраться в сгенерированных отчетах .

Что будем проверять:

  • Доступ к серверу и исходным кодам
  • Уязвимости веб-серверов (Apache или NGINX)
  • SQL инъекции
  • Межсайтовый скриптинг (XSS).
  • Устойчивость приложения и сервера к перебору паролей
  • Получение доступа к системным каталогам

Если вы пока еще не знаете, что означают все эти страшные слова и сокращения на английском, то не переживайте, по ходу статьи я обязательно объясню их значения.

В качестве подопытного сайта я написал и развернул небольшой самописный блог с возможностью оставлять комментарии к статьям и добавил в него весь джентльменский набор:

  • Многочисленные SQL инъекции
  • XSS уязвимости
  • Простой пароль для ssh доступа
  • Открытый ftp
  • Отсутствие защиты от перебора паролей
  • База данных, доступная из интернета с простым паролем
  • Слишком широкие права доступа к папкам и файлам
Читайте также:  Активатор Windows 8.1 (32 и 64 bit) скачать бесплатно

В общем все так, как делать не надо.

Пример, которым не пользуются

Точки выхода: хакеры всё чаще взламывают IТ-системы бизнеса За год продажи доступов к внутренним сетям крупных компаний выросли почти в 30 раз

— Баг-баунти — это как диагностика здоровья. Чем больше тестов и обследований провел человек, тем больше он о себе знает. Если кто-то регулярно обследуется, это не значит, что он самый больной. Это значит, что он самый информированный, — отметили в пресс-службе HackerOne.

— На практике количество уязвимостей на сайте не имеет значения. Достаточно одной, чтобы спровоцировать крупную утечку ценной информации и поставить бизнес на колени, — сказал специалист.

Александр Гостев привел в пример историю с British Airways. В 2018 году уязвимость на сайте авиакомпании привела к утечке платежных данных 380 тыс. клиентов. В результате British Airways получила рекордный штраф в размере £183 млн.

Не его война: кибервойска США получили право на атаку без санкции президента Полномочия американских военных для операций в цифровом пространстве максимально расширили

В случае с минобороны США количество обнаруженных ошибок может говорить о проблемах с ИБ в других американских правительственных организациях, полагает независимый исследователь даркнета Олег Бахтадзе-Карнаухов.

— Считаю, уязвимостей и проблем в других ведомствах не меньше, чем в министерстве обороны США. Просто о них еще не говорят, — полагает эксперт.

В любом ведомстве можно найти ошибки, но вопрос в том, кто их ищет и исправляет, добавил Олег Бахтадзе-Карнаухов. Практику минобороны США можно назвать образцовой, считает он.

— Ввиду последних скандалов программы баг-баунти будут запускаться всё большим числом ведомств. Поскольку к ним приходит понимание, что это необходимо при работе в современном киберпространстве, — заключил эксперт.

Читайте также:  Windows Server: версии, редакции, лицензирование

«Известия» направили запрос в министерство обороны США. На момент публикации ведомство не ответило.

Как защитится от уязвимости KRACK?

Собственно, так как проблема может быть решена с помощью обратно совместимого обновления (то есть обновленный, а значит уже защищенный клиент будет корректно, полноценно и безопасно для себя взаимодействовать с точкой доступа без установленного на ней обновления, как и наоборот), то речь о необходимости забыть о безопасном Wi-Fi до появления нового стандарта WPA3, к счастью, не идет.

Для полной защищенности от атаки KRACK достаточно установить обновления на все устройства, входящие в Wi-Fi-сеть (как точки доступа, так и клиентов).

Для полной защищенности от атаки KRACK достаточно установить обновления на все устройства, входящие в Wi-Fi-сеть (как точки доступа, так и клиентов) по мере появления соответствующих обновлений у производителей для конкретных решений. Обратите внимание, что обновление прошивки точки доступа не всегда может гарантировать безопасность подключенных к ней клиентских устройств без соответствующего патча, если об этом прямо не сказано в описании к обновлению прошивки точки доступа. Другими словами, внимательно читайте, от каких атак вас защитит свежее обновление прошивки, а от каких нет. И, конечно же, старайтесь устанавливать соответствующее обновление сразу, как только оно появится у вашего производителя.

Замена пароля никак не повлияет на эффективность атаки KRACK. Использование VPN и HTTPS, отказ от использования стандарта IEEE усложнит задачу атакующему, но полностью обезопасить вас не сможет. Поэтому подобные шаги ни в коем случае не должны восприниматься как решение проблемы, а могут быть лишь временной мерой, пока вы полностью не обеспечите безопасность своей Wi-Fi-сети.

Уже очевидно, что обновить операционные системы устройств и встроенное программное обеспечение точек доступа в вашей беспроводной сети удастся далеко не всегда. В этом, скорее всего, заключается основная проблема от обнаруженной уязвимости. И под угрозой не только устаревшие устройства и решения, которые уже не поддерживаются производителями, но и ставшие внезапно уязвимыми миллионы IoT-устройств, чье общение по защищенной Wi-Fi-сети часто происходит без какого-либо дополнительного шифрования, и которые могут так и никогда не получить своего обновления безопасности.

Читайте также:  Как загрузить и установить в Windows 8 новый язык

Что делать с этой проблемой, у специалистов по безопасности пока нет четкого ответа. Следите за нашими публикациями, мы будем держать вас в курсе событий.

Всегда на связи, Игорь Панов.

Комментарии Тут пока ничего нет, но Вы можете быть первым! Авторизуйтесь для этого См. также: Что такое AIOps: необходимость или маркетинг? Как проанализировать производительность DNS сервера с помощью WireShark? 7 бесплатных программ для мониторинга сети и серверов

Бонус. Хакеры, спонсируемые правительством Китая

В этом году Китай продолжил свой глобальный хакерский кутеж. Хакеры, спонсируемые Пекином, проникли в промышленные компании Тайваня, чтобы украсть огромное количество интеллектуальной собственности — от исходного кода и наборов для разработки программного обеспечения до дизайна микросхем.

Премьер-министр Австралии Скотт Моррисон заявил в июне, что правительство страны и другие организации неоднократно подвергались шквалу нападений со стороны хакеров. Австралия обязалась инвестировать почти 1 миллиард долларов в течение следующих 10 лет для расширения своих оборонительных и наступательных возможностей в области кибербезопасности. Хотя Моррисон не уточнял, какая именно страна напала на Австралию, бытует мнение, что он имел в виду Китай.

Австралия и Китай оказались втянутыми в интенсивную торговую войну, которая заставила переосмыслить отношения двух стран. Отчет Reuters также сообщает о продолжающихся китайских хакерских операциях по всей Африке после того, как Африканский Союз в городе Аддис-Абебе (Эфиопия) заметил китайских злоумышленников, крадущих записи с камер видеонаблюдения, хранящихся на серверах.

Соединенные Штаты также столкнулись с цифровым шпионажем и кражей интеллектуальной собственности, которые приписываются Китаю, в этом году – в основном в области здравоохранения и разработки вакцин для борьбы с Covid-19.

По материалам Wired.

Изображение на обложке: Benedikt Luft

Подписывайся на Эксплойт в Telegram, чтобы не пропустить новые компьютерные трюки, хитрости смартфонов и секреты безопасности в интернете.

#Истории