KRACK

De Wikipedia
Va a: navegá, truvá
Lumbard ucidental Quest articol chì l'è scrivuu in lombard, grafia milanesa.
Logo de la falla

KRACK (Key Reinstallation Attack) a l'è 'na vulnerabilità in del protocoll WPA, descoverta del 2016 in l'Università de Leuven del Mathy Vanhoef e Frank Piessens e nunziada in del pubblegh a ottober 2017 e che la permett de violà la crittografia de 'na red protegiuda cont WPA2.

A l'è 'n error a nivell de protocoll e minga de singol client, e hinn vulnerabej la pupart di software, inclus Windows, Linux, MacOS, iOS e Android, cont di different nivej de prigol.

El wpa_supplicant, implementazion open source del protocoll assee doperada del Linux OS, de l'OpenBSD e de l'Android a l'è inscì vulnerabil che l'è possibil mettègh 'na ciav de criptazion fada tutta de zeri, inscì de fà foeura la protezion contra di attacch Man in the middle.

Dettaj[Mudifega | mudìfica 'l sorgènt]

L'attacch el fonziona in sul four-way handshake del WPA2 doperaa per stabilì on nonce. El standard el preved la possibilità di desconnession de pocch temp per di interferenz e donca la possibilità de reconèettes cont i midemm impostazion. El fatt che 'l gh'è no 'na ciav differenta el permett donca on replay attack.

On attaccant el pò suttà mandà el terz handshake a on dispositiv e manipulà e resettà la soa ciav de criptografia, e cont el reset i dacc, criptaa cont la midemma ciav, a pòden vess analizzaa finna a capì el schemma de criptografia doperaa e donca sbusà la sicurezza intrega de la red.

Per via de la diffusion volta assee de WPA2 a l'è staa retegnuu on bug assee gram, anca se 'l traffich el podaria vess criptaa in on altra manera, cont ona connession SSL o cont ona VPN anca se, a bon cunt, bisogna vess vesin a la red de taccà e donca l'è minga on attacch fazilment replicabil a distanza, e l'è pussee on ris'c per i WiFi publegh.

I numer CVE ligaa a la falla a hinn CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Referiment[Mudifega | mudìfica 'l sorgènt]

Varda anca[Mudifega | mudìfica 'l sorgènt]