WPA2の脆弱性「KRACK」の対策が進む 85
致命的な感じには至らなそうでなにより 部門より
先日話題になったWPA2の脆弱性「KRACK」だが、Microsoftはサポート対象のすべてのWindowsについて、既に10月の月例更新で修正済みだったそうだ。LinuxやAppleのOSなどでも対応が進められている(The Verge、Softpedia、Mac Rumors、Neowin、BetaNews)。
KRACK(Key Reinstallation AttaCK)攻撃は偽のアクセスポイントを使用してクライアントにWPA/WPA 2の暗号鍵を再インストールさせることで、通信内容の復号が可能になるというもの。アクセスポイントではなくクライアントを対象にした攻撃であり、クライアント側のパッチで回避可能になる。
Windowsが影響を受けるのはCVE-2017-13080で、Windows 7~Windows 10、Windows Server 2008~2016のうち、10月10日時点でサポートされているバージョンにパッチが提供されている。なお、Windows 10は最初にリリースされたバージョン(RTM)からバージョン1703(Creators Update)まで、すべてのバージョンにパッチが提供されたようだ(セキュリティ更新プログラムガイド)。
Windows以外のOSではOpenBSDやDebian、Ubuntu、Fedora、Red Hat、Linux Mint、elementary OS、Arch Linux、Solusなどがパッチの提供を発表しており、LinageOSもパッチをマージしている。Appleはベータ版のiOS/tvOS/watchOS/macOSで修正済みだといい、Googleは数週間のうちにAndroidのパッチをリリースすると述べているそうだ。
デバイス関連ではIntelやCisco、NETGEAR、Aruba、Ubiquitiが修正版ファームウェア提供などの対策を発表している。
AppleとGoogleとBuffaloは対応が遅すぎ、まともなのはMicrosoftだけ (スコア:2, 参考になる)
2017年8月28日に約100組織の主要ベンダーに脆弱性情報の通知 [hatena.ne.jp]が行われたので、詳細情報が一般公開される2017年10月16日まで49日間もあったのです。なお、それより前の2017年7月14日頃に、脆弱性発見者の Vanhoef氏 が個人的に実験対象となったベンダに脆弱性報告したそうです。
で、脆弱性情報が一般公開されるまでに対応できたのは大手OS会社では Microsoft だけ
これは、Microsoft のOSが最も安全で、AppleとGoogleのOSが危険なことの証明です
Buffalo もWi-Fi Alliance Contributor で事前に情報を知っていたはず [wi-fi.org] なのに、報道で騒がれてから脆弱性がある製品を探し始める [buffalo.jp] というあまりにも遅すぎる糞対応で駄目ですね。都会のマンション暮らしの人は、Wi-Fi AP親機は脆弱性の影響受けないから問題ないのでたいしたことがないと思うかもしれませんけど、田舎ではWi-Fi APの中継機能を使うのが当たり前で、母屋、離れ、車庫、納屋などにリピーター機能有効のWi-Fi AP(バッファローのルーターの上位モデルには搭載されている機能)を設置するのが一般的で、脆弱性の影響は大きいのです。
脆弱性対応の早さというのは、どの会社の製品が安全かを判別するリトマス試験紙になります。脆弱性情報が一般公開されるまで49日間あったのにそれまで対応できなかったMicrosoft以外の大手全社は論外で、大手ベンダーの中で唯一まともに対応(脆弱性情報の一般公開に間に合う早さでパッチ提供)したのは Microsoft 社だけ でした。
脆弱性に対して素早くパッチを提供するのは、現在のセキュリティにおいて最重要事項です。それができているMicrosoftのWindowsが最も安全なOSです。
Re:AppleとGoogleとBuffaloは対応が遅すぎ、まともなのはMicrosoftだけ (スコア:1)
Re: (スコア:0)
報道で騒がれてから脆弱性がある製品を探し始める というあまりにも遅すぎる糞対応で駄目ですね。
NECェ
Re: (スコア:0)
漸くNECもページ公開
http://www.aterm.jp/product/atermstation/info/2017/info1018.html [aterm.jp]
# BlueBorne対策もついでにしてほしいLTE Aterm
Re: (スコア:0)
Googleェ
自分が見つけたMSの脆弱性には厳しいのに、自分の脆弱性には優しいのな...
Re: (スコア:0)
Googleのアレはネガティブキャンペーン用部隊だから……
というのは冗談ですが、普段の言動が言動なだけにもうちょっとなんとかならんのかねぇ。
# そういえば、XPが死ぬ理由が増えましたね。
# まぁ、無印XPとかSP1だとそもそもWPA2なにそれ?ですけど。
Re: (スコア:0)
おっ、そうだな(今月のFlash Player 0-dayのWindows Update配信遅かったですね)
Re: (スコア:0)
今月の定例で公開が遅れたFlash Playerの更新と0-dayは別のバージョンですよ?
定例後の1週間もしない間に新しい0-day対応のセキュリティ修正バージョンが配信されたのです。
手動管理しているなら再確認した方が良いですよ?
元々バグ修正だけの 27.0.0.159が10月10日に公開 [adobe.com]されてもWindowsUpdateに出なくて、
Re: (スコア:0)
Adobeがパッチ出した、その翌日にWindows Updateで配信開始とは流石Microsoft
Google Chromeも裏でFlashのバージョンアップするけど、パッチ出た直後にFlashバージョンテストしても更新されてないことが結構あって実際にパッチあたるまで数日かかってるから、IE/Edgeの方が早いね
Re: (スコア:0)
その1日遅かったことを言っているのですよ
Flash Player自体の自動更新が昔と違ってまともに動くようになって、Flash Playerに関してだけは7の方が安全になってしまった
Re: (スコア:0)
数時間でも影響が有ったりしますから、そういう意味では確かに今回は早さ的には宜しくなかったですね。
間に余計なもの(MS)が入る悪影響か。
個人的には公式アップデータはブラウザ開きっぱなし時の挙動が良くないので、それが改善されないと古いまま動かしつづけちゃうのがネックかなぁ
Re: (スコア:0)
もうBuffaloとか買うのやめて、MicrosoftのSurfaceをソフトAP化してリピーターもやってもらえばいいんじゃない?PCからAPからスマホまで全部Microsoftにすればきっと幸せになれると思うんだ。
Re: (スコア:0)
> 脆弱性に対して素早くパッチを提供するのは、現在のセキュリティにおいて最重要事項です。それができているMicrosoftのWindowsが最も安全なOSです。
その論理だと、脆弱性問題が出る度にOS安全度ランキングが変化しますね。次に何か問題があってWindows以外のOSが先に対応したなら、別のOSがもっとも安全になるでしょう。
また過去の実績を見た場合もWindowsがもっとも先に対策が出来てたんでしょうか?もしここ数年の単位でWindowsが先陣を切って対策が出来ていた割合が高いなら比較的安全なOSと言えると思いますが。
対策一件についてだけ見て安全って言い切るのは判断を見誤りそうな感じはしますけど、そのへんどうなんです?
Re: (スコア:0)
脆弱性を公開するまで対応しないように報告者から指示を受けていたのにMicrosoftはそれを無視したのですね。
OpenBSDも勝手に対応したみたいですが、セキュリティ業界の足並みを乱すような行為は謹んで欲しいものです。
NETGEAR はパッチ提供済み (スコア:0)
【重要】弊社無線製品のWPA2脆弱性対応状況について [netgear.jp]
昨日のプレスリリースで、NETGEAR(アメリカの大手ネットワーク機器会社でルーターも作ってる)は最新のファームウェアでは「KRACK」を修正済みと発表
一方、日本のバッファロー、I O DATA、NEC、エレコムは、パッチどころか該当製品の調査段階
ほんと、日本の会社のセキュリティ意識は終わってる
もう駄目だろこれ
Re: (スコア:0)
海外のネットワーク専門会社1社だけをサンプルとし、日本の非ネットワーク専門会社を非難する。
お前の意識は終わってる
もう駄目だろこれ
こうですか?
Re: (スコア:0)
日本の会社はただの商社だし仕方ないよ
Re: (スコア:0)
論文読んでないけど、そこが今回実験台にされた製品なんじゃないのか?
Re: (スコア:0)
タイミングが良かっただけじゃないの?
ちょうどRS3がRTM迎えるタイミングだったわけだし。
それがなかったら、Appleなんかと同じような扱いだったんじゃないかなぁ
Re: (スコア:0)
実際問題として、
今回の攻撃でわざわざ狙われる(ここまでやって狙う価値がある)のは
軍事、公共、大企業のしかも重要なWIFIくらいのものです
これは、攻撃を成功させるための事前準備の規模の大きさ、
実際の攻撃を成立させるための攻撃行為のシビアさ、
成功してもHTTPSやVPNの通信は見えない、などの兼ね合いの話となります
一般的な個人を狙った攻撃としては、まったく割に合わないので(いいか悪いかは別として)ほぼ無縁ですね
そもそも一般人を狙うなら、こんな手の込んだことをする必要はまったくありません
適当に暗号化なしAPや本物公衆WIFIと同じSSIDのAPを立てておけば
操作ミスしたりやタダ乗りしようとしてきたりでバンバン引っかかってくるうえ、
攻撃する側としての努力も何百分の一で済みます
Re:AppleとGoogleとBuffaloは対応が遅すぎ、まともなのはMicrosoftだけ (スコア:2, 興味深い)
どこの逸般人だよ。
元コメで一般とか逸般とかあるのは「母屋、離れ、車庫、納屋などにリピーター機能有効のWi-Fi AP(バッファローのルーターの上位モデルには搭載されている機能)を設置するのが一般的」の部分ですね。
都会暮らしの人には田舎の人の暮らしが分からないので、電波が届かない=特殊な無駄に広い豪邸 と誤解しているかもしれないので、実状を説明しますね
まず、典型的な田舎の家というのが
・夫婦が暮らす母屋
・子供が暮らしたり親戚が来たときに泊まる離れ
・車を泊める車庫
・荷物や農業器具などを入れる納屋
の4つの構築物が基本となっています。そのほかに犬小屋とか鶏小屋とかもあることがあります
親戚の農家、年収150万ぐらいですけど、この4セットあります。裕福でない一般的な農家でもこれぐらいの数の建物が敷地内にあるのです。
土地はただ同然で無駄に広いですし、建物が違うと壁を2つ挟むので、当然ながらWi-Fi AP1台では全域に電波は届きません
(雪国は壁が厚いということもあります)
逸般人は、無線LANリピーターを使うとレイテンシーが大きくなるとかいって有線を張り巡らせるでしょうけど、それは一般的ではありません
何故なら、離れなどは建築が古いとLANケーブルの配線を全く考慮しておらず、寒冷地だと機密性の高い二重窓だから窓枠とガラスの隙間からケーブルを通すのは困難、母屋と離れの両方の壁に穴をあけるのも業者を呼んで工事しなくてはならず大がかりです
だから、母屋の離れに一番近い部分にリピーターを設置、離れの母屋に近い部分にもリピーターを設置して、中継させるのです
リピーターを使っても1セットではpingが増えるのはせいぜい3~4ミリ秒ですので、FPSとかそういうリアルタイムゲームをやらずに、ブラウジングやYouTube・ソシャゲーをやる一般人は気にしません
スプラトゥーンなんかだと多少問題あるかもしれませんけど、都会のマンションの混線だらけの2.4Ghz帯利用者より、田舎のリピーター使用Wi-Fiの方が安定性が高かったりもします
田舎の親戚でネットやってる人いたら聞いてみると良いですよ
知識のない人たちも地元の電気屋さんなどに勧められてリピーター設置していることが多いです
古い知識で偉そうにする老害が集まるスラド (スコア:1)
2007年1月の省令改正によって無線タイプ「W56」 (5.47 - 5.725GHz) が免許不要で屋外での利用も可能になったんだけど、知らないの?
Re: (スコア:0)
加えて2.4GHz帯無線LANも屋外利用可能だしね
元の人はどの国の無線LANのことを言っているのだろう。
Re: (スコア:0)
別ACですが実家近辺の田舎だと、最近はコンセントに挿すだけタイプが有るので近く(比喩)のヤマダ電機みたいな量販店でおススメされて結構普及しております。
# 逸般人はLANケーブルを引いたり、c.LINKモデムでTV線に重畳したり、光ファイバーやったり、使わなくなった電話線を無理矢理100BASE-TXでリンクしたりしてる。
# PLCは建屋間だと屋外使用なので、違法になりますからやらないように。
Re: (スコア:0)
# PLCは建屋間だと屋外使用なので、違法になりますからやらないように。
ちなみに802.11aもW56以外は同じ理由でダメだからな。
Re: (スコア:0)
面倒臭いからエアコンの穴経由でケーブルを引いた。
Re: (スコア:0)
総務省令 電波法施行規則 第6条 第4項 第4号
主としてデータ伝送のために無線通信を行うもの(電気通信回線設備に接続するものを含む。)であつて、次に掲げる周波数の電波を使用し、かつ、空中線電力が〇・五八ワット以下であるもの(以下「小電力データ通信システムの無線局」という。)
(1) 二、四〇〇MHz以上二、四八三・五MHz以下の周波数
(2) 二、四七一MHz以上二、四九七MHz以下の周波数
(3) 五、一五〇MHzを超え五、三五〇MHz以下の周波数(屋内その他電波の遮蔽しやへい効果が屋内と同等の場所であつて、総務大臣が別に告示する場所において使用するものに限
Buffaloからのお知らせ (スコア:1)
無線LAN製品のWPA2の脆弱性について [buffalo.jp]
無線LANの暗号化技術であるWPA2において、「KRACKs」と呼ばれる脆弱性があるとの発表がございました。
本脆弱性はWPA2規格の「子機」機能の実装に依存する脆弱性であるため、WPA2をサポートする子機製品および中継機製品、また親機製品で中継機能(WB・WDS等)をご利用時に影響がございます。
現在、弊社製品の調査を進めており、対象製品、対策につきましては随時情報を公開させていただきます。
なお、親機製品で中継機能(WB・WDS等)をご利用でない場合は対象ではございませんので、安心してご利用くださいますようお願い申し上げます。
Re: (スコア:0)
> なお、親機製品で中継機能(WB・WDS等)をご利用でない場合は対象ではございませんので、安心してご利用くださいますようお願い申し上げます。
当然だけど、「親機としては」安心して利用していいのであって、
その親機につなぎに行っているスマホやノートPC等クライアントは、子機なので安心しちゃダメですよね。
ちょっと、考えれば分かるけど、ホッとしてしまう人が居る気がした。
Re:Buffaloからのお知らせ (スコア:2)
実際に攻撃対象となる層と(と、そうでない層) (スコア:1)
カスペルスキーの発表などを見ると分かりますが
今のところの攻撃方法は攻撃者側が非常に頑張らないといけない内容です
攻撃対象の限定
攻撃用機器の準備
本物SSIDやMACの把握
本物ルータ&クライアントの4ウェイハンドシェイクにぴったり重なるように攻撃パケットの送信
(=攻撃側はクライアントがパケットを出すタイミングを完璧に把握していないと無理。
また、足がつく可能性のある証拠をまき散らすことになるので、逆に攻撃者として検知される可能性も大)
などが必要で、そこまでやって仮に運よく攻撃が成功しても
「HTTPSやVPNなどで暗号化されている通信はまた別にセキュリティ突破が必要」です
実際に被害の対象になるのは、軍事、公共団体、大企業などの据え置きWIFI環境くらいでしょう
Re: (スコア:0)
なんか必死ですね
Re: (スコア:0)
>本物ルータ&クライアントの4ウェイハンドシェイクにぴったり重なるように攻撃パケットの送信
そんな制約ありましたか?
paperには"Our key reinstallation attack is now easy to spot: because the supplicant still accepts retransmissions of message 3, even when it is in the PTK-DONE state,"と記載されていますが
Re: (スコア:0)
easy to spotは「攻撃されていることを見つける、検知するのがより簡単である」という意味なんだけど?
はぁぁぁあんっ! キ、キンドルは? キンドルはどうなの? (スコア:0)
防水のOasisが出たとか言うから買おうかと思ったら未だに5Ghz未対応とかさ
Fire HDは5Ghz対応してるとかいうから買ったらW52オンリーで、古いチャネルに固定しとかなきゃエリア外判定されて接続もままならないとかさ
KRACK対策についてもそうだけど、Amazonさんはやる気あるの?
そろそろ5Ghz対応のみならず、ac対応のKindle出してよ
いつまで非マンガモデルのpaperwhite使わなきゃならんのよ…
Re: (スコア:0)
アプデがこない古いAndroidなんかはしんどいな…。BlueBorneもあるし、頑張って欲しいところ。
Re: (スコア:0)
なんかこの前発表されたUIのアップデートは古いPaperwhiteにも提供されるそうだが、
今回も初代Paperwhiteは対象外らしいのよね。
はたしてセキュリティパッチが初代Paperwhiteや、それ以前のTouchやKeyboardに
提供されるかどうか興味津々。
Re: (スコア:0)
Paperwhiteなんかは、もうAmazonとしか通信しないし、HTTPSになってるだろうから、たぶん今回の放置しても大丈夫だろうとは思う。
用途を絞ってる製品は、脆弱性見つかっても、それに触れる可能性も限定的な気がする。
直すに越したことはないけど。
Kindle Fireの方は、普通のタブレットで色々できるし、直すべき。
Re: (スコア:0)
アプデがこない古いAndroidなんかはしんどいな…。
一番攻撃が簡単なのは新し目の Android でアップデートが 6.0 ~で止まってる奴。
KRACK のサイトに書いてある通り、攻撃に成功すると単なるキーの再利用でなくキーの値が全 0 になるので、クラッカーが狙うならそっちだろう。
Re: (スコア:0)
> 一番攻撃が簡単なのは新し目の Android でアップデートが 6.0 ~で止まってる奴。
> KRACK のサイトに書いてある通り、攻撃に成功すると単なるキーの再利用でなくキーの値が全 0 になるので、
> クラッカーが狙うならそっちだろう。
実際の攻撃者側の都合でいえば、
今回の攻撃を成功させるための準備や実際の攻撃行為に費やす労力、逆に検知されてしまうリスクを踏んでまで
(そもそもこの攻撃が成功しているのと同等か、もしくはもっと危険な状況を想定しなければならない公衆WIFI上での利用が最初から想定されていて)
内部通信のHTTPS化が進んでいるAndroidを狙う意味はほとんどありません
そもそもとして個人向けに適用されるような攻撃でもありません
軍事や政府、大企業の、とくに半据え置き機器(WIFIリピーターや、WIFIプリンタなど)がまずはターゲットです
Re: (スコア:0)
KRACK のサイト読め。
キーの値が 0 になる実装は Linux/Android が使用している wpa_supplicant だけだ。
他の実装は元のキーを再利用するだけだが、wpa_supplicant はキーが全 0 になる。
Re: (スコア:0)
> KRACK のサイト読め。
> キーの値が 0 になる実装は Linux/Android が使用している wpa_supplicant だけだ。
> 他の実装は元のキーを再利用するだけだが、wpa_supplicant はキーが全 0 になる。
それも含めて #3297887 のような話になるわけですが?
公開されている情報はとりあえず理解してから話に参加してください
主戦場はスマホじゃないだろうか (スコア:0)
台数で言っても、公衆wifiの利用度から言っても、この脆弱性の主なターゲットはスマホでは。
そのスマホで対応スケジュールすら確定していない段階で、「対応が進む」という見出しを付けてしまうのはどうかね。
それほど利用しやすい脆弱性ではなさそうなのでそんなに心配はしていないが、そのうち高度な攻撃コードが生まれないとも限らない。
Re:主戦場はスマホじゃないだろうか (スコア:2)
ここにきて絶滅確定コースに乗ったWindowsPhoneが息を吹き返すのか?!
な~んてね
Re:主戦場はスマホじゃないだろうか (スコア:1)
ゲーム機もそれなりにありそう
特に生産終了したPS3と3DSは対応されるのか
Re: (スコア:0)
皆思ってると思うけど、WPA2も結構古びてきてるよね。WPA3とか作らなくていいの?4Gの次はどうとか、TLS1.3はどうするとかAESの次の暗号規格の話とかは時々聞くけど、WPA2の次の規格どうするって話進んでるのだろうか。WPA2に行き着くまでに紆余曲折ありすぎてもう規格を作るのがいやになったのだろうか。
Re: (スコア:0)
> 台数で言っても、公衆wifiの利用度から言っても、この脆弱性の主なターゲットはスマホでは。
今回の攻撃は
実際に攻撃を成立させるためには攻撃者側に相当な努力と運とリスクが必要で、
その上で成立してもHTTPSやVPNの通信はまた別という内容です
そこまでやって狙うものが一般的なスマホというのはさすがに割に合わなさすぎます
特に公衆WIFI利用などを想定して
ベースの実装そのものにおいてHTTPS化やVPN化が(100%ではないにせよ)進んでいるスマホは、
前述した理由からなおさら狙う意味が薄くなっています
実際に狙われるのは軍事や大企業、研究所などの、半据え置きのWIFI機器でしょう
この点で、(MSを除けば)
広いオフィスをカバーするためや公衆WIFI機器としてのWIFIリピータのベンダーが最初に対応しはじめたのは理にかなっています
そこが攻撃されやすいうえ、攻撃されるとリピータに収容されたクライアント全体に影響がおよぶからです
Re: (スコア:0)
公衆Wifiが脆弱性持ちのクライアントをREJECTできるならいいけど、区別つけることが不可能なら
脆弱な端末が存在する限り将来にわたって成りすまし接続されるリスクが残る
互換性のないよりセキュアなプロトコルを作って、10年ぐらいかけて移行しないと危険かもしれない
Re: (スコア:0)
> 公衆Wifiが脆弱性持ちのクライアントをREJECTできるならいいけど、区別つけることが不可能なら
> 脆弱な端末が存在する限り将来にわたって成りすまし接続されるリスクが残る
残りません
発見者のサイトでもさんざん明言されていますが、
HTTPSでもVPNでもその他セキュリティ用プロトコルでも、
WPA/WPA2とは別のレイヤーに存在するセキュリティ用プロトコルは今回の攻撃の影響の範囲外です
なのでWIFIパスワードなどは漏洩しませんし、公衆WIFIでよく行われているレイヤ7認証も
HTTPSなどが正しく適用されていれば破られません
偽APにつないでしまっているクライアントは、(
NEC Atermの対応 (スコア:0)
http://www.aterm.jp/product/atermstation/info/2017/info1018.html [aterm.jp]
つまり、これから調査とか
発表前にできることあっただろうに