Názory k článku Wi-Fi Alliance představila WPA3, odolá lépe útokům a ochrání i sítě bez hesel
-
Karel (neregistrovaný)
V zásadě ano. S tím, že prakticky nic nezmizelo, jen se přidávalo.
Možná jen nevíte, co je to "airworthiness directive": https://en.wikipedia.org/wiki/Airworthiness_Directive
V zásadě je to právě to, co píšete: při letu XY z A do B dne KLF mělo letadlo typu QRT na motoru 1 nastavenou klapku G do polohy H a klapku I do polohy J. Při přistávání dal pilot klapku R do polohy T a vysadil levý motor. S okamžitou platností nesmí piloti dávat klapku R do polohy T. Do jednoho týdne musí být na všech letadlech daného typu na motoru 1 přenastavena klapka G do polohy V, do měsíce musí být na motoru 1 klapka I nastavena do polohy K a do čtvrt roku musí být stejná změna nastavení provedena i na motoru 2.
Kdykoliv pak kdokoliv konstruoval nové letadlo, tak si na tohle musel dát pozor. Výrobci samozřejmě také ihned ověřovali další modely letadel, prověřovali proč při tomhle nastavení k poruše došlo atd. Ty závady byly občas až nepochopitelné, například při podchlazení ventilu posilovače řízení docházelo ve vzácných případech k tomu, že se otevřel ve špatném směru.
V drtivé většině případů se to obešlo bez obětí - vysadil motor, vysadil posilovač, upadlo kolo, letadlo ztratilo vzduch, prohořela izolace atd. Jen zřídka to končilo katastrofou, i když i těch jsou za ta léta stovky. Letadla jsou velmi komplexní věci a hlavně se pohybují v extrémních podmínkách - od drsného mrazu až po několika set stupňové výhně. Jsou prolezlá věcma jako jsou odmrazovače, chladiče, topení. Palivo se musí míchat a předehřívat. Stejně tak hydraulika. Na řadě komponent se pak stane, že jsou třebas v -50 stupních Celsia, ale jak se jde na přistání, tak se během sekund ohřejí nad bod varu. A pak je to o souhře náhod - část palivového vedení je již na provozní teplotě, ale některý z ventilů detekoval problém a ještě do oběhu nepustil palivo - a vy najednou máte přehřátou trubku (protože v té době v ní mělo být palivo těsně nad bodem mrazu), ve které jsou výpary zbytků paliva. Z dobrého nápadu "neotevřit ventil, dokud je v něm kus ledu" je najednou průser v jiné části letadla. Věci, co na papíře a při testech vypadají dobře, pak často nefungují tak, jak by měly. V lepším případě jen nevysunete kolo a musíte si dát otočku nad letištěm navíc, v tom horším vám zhasne motor, protože mu klesne tlak v nějakém přívodu.
Křídla až tak často nepadají. Ale denně přistávají desítky letadel nouzově (=nějaký důležitý systém hlásí poruchu).
-
654 (neregistrovaný)
Pomáhat zařízením IoT připojit se do sítě je pěkné, ale nejdřív by měli udělat menší krok zpět a nabídnou "jen" běžné a bezpečné bezdrátové připojení, před tím než začnou přidávat další doplňkové funkce, které mohou bezpečnost systému jen zhoršit. Rychlá náhrada WPA2 je tak nezbytná, že by se měli vyvarovat jakékoli možnosti chyby, i za cenu odepsání některých užitečných, ale ne nezbytných funkcí. Zapojovat zařízení do sítě bez zadání hesla na daném zařízení bude na 100% zneužitelné. Snad to nebude takový debakl jako s WPA2. Pro malware, který po připojení do sítě automaticky pomáhá připojivat další zařízení, se využití určitě najde.
-
Petr M (neregistrovaný)
Taky to vidím tak, že předání konfigurace do zařízení bude průšvih.
Buďto může nastavení změnit kdokoliv, protože neznáme zařízení, ze kterýho se to bude konfigurovat ->únos zařízení
Nebo se zařízení spáruje s konkrétním mobilem, ale potom při ztrátě/poškození mobilu bude potvora neřízená
Nebo se zase nevyhneme heslům atd. a budeme tam, kde jsme teď...Už se těším na nový bezpečnostní průšvihy.
-
Myslím, že existuje lepší cesta. Pokud si koupíte zařízení, tak k němu dostanete nějakou formou certifikát a privátní klíč. Ideální by bylo na zalepené/zaplombované SD kartě nebo v obálce zkrývající maskováním QR kódu v nějakém standardním formátu.
Spíš to ale bude tak, že dostanete jen kód k přihlášení se do cloudové služby výrobce, přes kterou Vám pak bude certifikát vydaný, v horším případě si budete muset stáhnout nějaký instalační program, který komunikaci obstará. Pokud bude v binární podobě pro právě jeden systém, tak to bude potíž. Ale vzhledem k rozšíření Androidu bude pravděpodobně alespoň i pro telefony a tablety, protože ty pro mnoho lidí zcela nahradí osobní počítače.
-
peci1Stříbrný podporovatelA to je ten kamen urazu... Jak se ukazuje, nejvetsi problem pro vetsinu vyrobcu je prave to, ze by meli do kazdeho zarizeni flashnout jinej firmware, pripadne napajet cip s natvrdo zadratovanym klicem a certifikatem (pro kazdy zarizeni jinym). To uz pak ta seriova produkce ztraci hodne na sve vyhodnosti...
-
Petr M (neregistrovaný)
Ono obecně to celý slavný IoT je, z pohledu bezpečnosti, nejenom nedovařený, ale i nedopečený.
- S*re se to na sítě přístupný odkudkoliv (WiFi, LAN)
- Úvodní konfigurace kulhá, nejenom že to funguje s výchozím heslem, ale dokonce někde nejde změnit
- Standardní konfigurace navíc jede nešifrovaně po http, takže nekompatibilní s prohlížečama
- Potřebuje servery v čmoudu, protože IPv4 a NAT. Se vším, co k tomu patří (násobně větší traffic, závislost na serverech výrobce, cena,...)
- Kašle se na údržbu SW ze strany výrobce -
654 (neregistrovaný)
Na bleepingcomputer (https://www.bleepingcomputer.com/news/technology/this-iot-dildo-has-an-embedded-wifi-streaming-camera-and-laughable-security/) testovali bezpečnost dilda s kamerou a připojením k wi-fi. No průser. Zjistili, že je tam děr jak nas..ných (hard-coded SSID i heslo) a že je bezpečnost nikdy nezajímala (stejně jako polovinu všech výrobců módních IoT). Dokonce neměli ani vlastní firmware, ten si půjčili z drona. Použili co potřebovali a zbytek funkcí nechali netknutě na místě. Nemám důvod věřit, že takový "profy inžeýring" je ojedinělá záležitost. Dokud bezpečnostní bublina kolem IoT nesplaskne a konečně se bezpečnost nezačne řešit, nesáhnu na ně ani klackem.
-
Přezdívka (neregistrovaný)
Takhle "profi engineering" se bohužel naprosto běžně dělá i u bezpečnostně kritických technologií (stačí prohledat zdejší články a zprávicky o katastrofálním "zabezpečení" lékařských přístrojů), takže ani několikametrovou izolovanou tyčí v rukavicích, atombordelu a gumovkách…
-
PetrM (neregistrovaný)
No ani ty s BT, co mají tydlifón jenom jako ovládání, nejsou to pravý ořechový... https://splinternews.com/this-sex-toy-tells-the-manufacturer-every-time-you-use-1793861000
-
Já bych to nebral tak tragicky. Čtu ten článek: For starters, the dildo comes with its own WiFi access point that uses the default "Siime Eye" network SSID and "88888888" password. This means an attacker in the device's WiFi range can install the mobile app and watch a live video stream and past video recordings and image snapshots. Podle mě je to feature pro zlepšení jůzr experience některých ajťáků.
A také čtu, že vibrátor obsahuje embedded outdoor game: Furthermore, because Siime Eye contains an embedded WiFi access point, an attacker could write a script that exploits these dildos automatically, and then war-drive through a city, hacking any nearby sex toys. To je vysoce trendy gamifikace, stejně jako kdysi geocaching. Zrovna čtenáři roota by to měli oslavovat i jako prosazování open data strategy, a mluvit o síle copyleftu. Kde je startup, který k tomu vypustí mapovou aplikaci? Navíc to aby se mladí ajťáci zvedli ze židlí a šli ven je přece veřejný zájem. Pokud se jim u toho podaří se spářit s uživatelkou nějakého video-vibrátoru, může to vést i k nárůstu průměrného IQ v populaci.
-
Ondra Satai NekolaZlatý podporovatelTaky by mne zajímalo, jaké jsou možnosti upgrade stávajících zařízení.
-
Osobně tipuji, že prakticky nulové. V alianci jsou výrobci hardwaru a bez pochyby v tom vidí i příliežitost, jak vyvolat na trhu kompletní obměnu hardwaru. Je klidně možné, že někteří výrobci umožní změnu jen firmwarem (pokud na to bude dostačovat hardware), ale nesázel bych na to, jako na hromadný jev. Možná v přechodném období, kdy standard bude na spadnutí, ale ještě nebude hotový, tak někteří budou garantovat přechod.
Ale je to jen můj čistě osobní tip, ničím víc nepodložený, než zkušeností s technologiemi.
-
Starous (neregistrovaný)
sorryjako ale opportunistic encryption je hodně blbej nápad. Šifování co funguje jen občas a půjde "vypnout" protistranou je prostě nebezpečný a blbý nápad a zadělává se na víc problémů - to už je lepší nešifrovat vůbec protože se to chová konzistentně a člověk ví co od toho čekat.
-
Starous (neregistrovaný)
Zjevně to toho jména chytili marketingáři a když ve WPA 2 spolu komunikují 2 zařízení tak ve WPA 3 to musí být 3. Myšleno trochu jako nadsázka ale už se bojím jak technicky bude vymyšleno to předávání konfigurace. Btw bude zo třeba podporovat změnu konfigurace na příkaz státního orgánu na dálku? Nebo kdo to zas vymyslel ?
-
Ono to ale dá práci a zabere čas. Zkuste si vypickovat třeba EVVA 3KS, pokud si umíte poradit s nejobyčejnější fabkou. A i ta obyčejná fabka je nepřekonatelný problém pro 99% kolemjdoucích. Zatímco v SW oblasti, jakmile je bezpečnostní díra známa, tak tu hrubou práci odbude software a není žádný rozdíl v "pracnosti".
-
C (neregistrovaný)
Ne, mám dojem, že NĚKTERÉ díry jsou buďto přidány záměrně, nebo jsou autoři norem naprosto nekompetentní. Proč je u WPA3 možnost, aby koncové zařízení šifrování vyplo? To zavání záplatováním jen poloviny způsobů útoků, místo záplatování všech.
Nebo se můžeš ptát, jak někdo může dospět k tomu, že vytvoří WPS, jehož děravost jsme řešili níže - killer feature ve stylu "necháme uživatele napsat místo jednoho hesla jiné"? To jako vážně?
A ještě se podívej na ty implementace, kde je občas odvozen WPS pin přímo z MAC adresy WiFi karty, kterou ta karta vesele oznamuje světu. A na stole se mi válí krabička, které to WPS ani nejde vypnout...Když se člověk podívá na WPS, tak se nabízí otázka, jak asi dopadne ten autokonfigurační protokol ve WPA3... ;-) Hádám, že stejně....
-
. . (neregistrovaný)
WPS je šílenost, ještě šílenější je ale jeho implementace, viz tvoje zmíňka s mac adresou.
Autoži norem hledají kompromis a neznám prostředí v jakém se rozhodují, rozhodně ale nechci nikoho obviňovat jen na základě domněnky nebo dedukce.
Zabezpečit wi-fi lze složitě, proto na drtivé většině míst se na to moc nespoléhá a VPN jede i na interní wi-fi. Pro domácí použití bohužel neexistuje jednoduše neprolomitelné řešení, specifikaci wpa3 jsem nečetl, počkám si se soudy až poté.
-
. . (neregistrovaný)
to bude tím, že sami automobilky nejsou autoři norem, stejně tak potravináři, připomínky dávají, to ano. Zatímco wi-fi alianci tvoří v jádru v podstatě jenom ti, kteří vytváří zařízení s wi-fi.
Nejsem spokojen se standardy kolem wifi ať už zabezpečení, tak i samotný protokol, ale o WPA3 nechci dělat závěry předčasně kdy ještě nejsou veřejně podrobnosti.
-
Filip JirsákStříbrný podporovatelBrzdy u letadla něco váží, a zákazníci o ně stejně nestojí
Zajímalo by mne, jak jste přišel na to, že zákazníci o ně nestojí. -
Ondra Satai NekolaZlatý podporovatel
Protoze to neni algoritmus, ale vyber doporucenych algoritmu a jejich variant pro komercni (ve smyslu nevladni, nevojenske) pouziti. Uvnitr jsou stari znami, jako je AES256 pro symetricke sifrovani atp.
https://cryptome.org/2016/01/CNSA-Suite-and-Quantum-Computing-FAQ.pdf
Z google se to da dostat jedna-dve.
-
C (neregistrovaný)
Chápu, že když někdo prostřelí AES, tak ve WIFI bude díra.
Nechápu ale, proč se tu šíří algoritmy, které jsou zcela očividně děravé.
Přečti si, jak funguje třeba takovej WPS PIN.
(Jde o způsob, jak se připojit k wifi bez znalosti toho běžného klíče. Prý má usnadňovat setup zařízení, či co... Stačí routeru poslat osm číslic WPS PINu, a pokud ho zadáš správně, on ti ten klč dá. Jenže složitost útoku není 10^8. Osmá číslice je jen kontrolní součet, a z odpovědi routeru lze poznat, jestli jsi udělal chybu v prvních čtyřech, nebo až ve druhých čtyřech číslicích... Takže je to najednou jen 11000 možností, což se na většině routerů dá vybruteforcovat tak za den.) -
C (neregistrovaný)
Zajímavé. Myslel jsem, že po zmáčknutí tlačítka to má fungovat úplně bez pinu, a ten pin je tam jako něco extra. Jak se to všem výrobcům povedlo implementovat špatně? To si pak můžeme standardizovat co chceme, ale výsledek bude stejně vždycky stát za hovno, i kdyby nedej bože jednou ten standard byl k použití...
Nicméně, stále je tam ta chyba, která prozrazuje, ve které polovině pinu je chyba....
-
Pavel (neregistrovaný)
Opravdu si myslíte, že ty specifikace jsou tak rozsáhlé kvůli hloupostem?
Tak vám dám příklad. Vemte si naprosto triviální strojovou instrukci MVC na kopírování paměti o délce 1<=L<=256 z adresy A na adresu B. Zní to jednoduše, jenže v okamžiku, kdy ji začnete přesně specifikovat, tak musíte řešit i případy, kdy
- oblasti paměti se překrývají
- do části jedné paměti není povolen přístup (jaké přerušení nastane, nastane ihned, nebo až se k té nedostupné adrese dokopíruje, atd.)
- část zdrojové nebo cílové paměti není dostupná (viz výše)
- zdrojová a cílová oblast jsou disjuktní ve virtálním adresním prostoru, ale jsou mapované tak,že se v reálné paměti překrývají
- během kopírování chce k té paměti přistoupit jiný procesor
- ...A rázem z instrukce na první pohled triviální máte instrukci, jejíž přesná specifikace zabere pět listů A4.
A toto nejsou nesmyslné požadavky, to je naprosto smysluplný požadavek na přesnou specifikaci chování strojové instrukce.
-
Filip JirsákStříbrný podporovatel
Jak byste řešil ty situace, které dnes řeší WPS nebo bude řešit vnější konfigurace?
-
Filip JirsákStříbrný podporovatel
Situace, kdy potřebujete do WiFi sítě připojit zařízení, které nemá žádný vstup, kterým byste mohl rozumně zadat heslo k WiFi síti.
-
Měli bychom do IT zavést odpovědnost za škodu.
Ale to by jaksi v první linii postihlo toho, kdo špatnou technologii vyber, nakoupí a (špatně) zapojí. Výrobce zbraně také není odpovědný za to, že z její hlavně vyletí smrtící střela. Odpovědný je v první řadě ten, kdo ji vystřelí, případně částečnou spoluvinu ponese ten, který se zbraní nelegálně obchoduje.
Pro vznik odpovědnosti není jediným předpokladem příčinná souvislost (ta existuje kde kdy), ale především zavinění.
-
Filip JirsákStříbrný podporovatel
To, že chce výrobce vyhodit ethernetovej port není argument pro to, aby se téměř všechny wifi routery staly zranitelnými.
Ptal jste se na příklad situace, které WPS řeší, odpověď jste dostal. To, že vy chcete na všech zařízeních ethernetový port, neznamená, že to tak musejí chtít všichni.Mimochodem, když už tu řešíte, co ostatní mají a nemají chtít – u náramkových hodinek máme chtít ten ethernetový port integrovaný, a nebo z nich má čouhat kablík se zástrčkou?
-
C (neregistrovaný)
Ne... Mně šlo především o to, zda daný usecase má opodstatnění...
Pokud nový standard bude opět znamenat, že v polovině wifi routerů závažná bezpečnostní chyba, tak halt budeme muset i tuhle implementaci bezdrátové sítě hodit z okna.
(Ono je k bezpečnosti podle mě potřeba přistupovat tak, že pokud polovina výrobců wifi zapomíná instalovat dveře, nelze doufat, že ten zbytek, který je tam má, nezapomněl zamknout okno.
Nemohu si každý kus HW auditovat sám. Proto musím někomu věřit. Pokud norma nepředepisuje ani základní zabezpečení, či není v lidských silách to ověřit, či pokud lze v masivní míře dostávat označení WiFi certified pro věc, která není v souladu s normou, řetezec garance bezpečnosti selhal, a tedy nelze výrobkům s danou technologií věřit.)Pokud daná technologie nezvládá garantovat minimální očekávatelnou´uroveň bezpečnosti, nelze ji používat.
Mělo by to být zakázáno v celém státním sektoru (od nemocnic přes hasiče po úředníky), stejně jako u významných firem s podílem státu. (ČEZ)Stejnětak by mělo být doporučováno nepoužívat WiFI ve firmách, a mělo by to být považováno za stejně samozřejmé, jako "nelepte si papírky s heslem na monitor".
Ono je hrozně hezký hrát si na kybernetickou bezpečnost, když pak někdo přijde, a připojí se na wifi bez hesla, kvůli tomu, že znovuobjevil díru, která je vlastně featurou popsanou v normě...
Hodinky? Což takhle usbčko? Stejně se nějak musej nabíjet....
-
Pokud nový standard bude opět znamenat, že v polovině wifi routerů závažná bezpečnostní chyba, tak halt budeme muset i tuhle implementaci bezdrátové sítě hodit z okna.
Většinou existují i jiné metody mitigace rizik.
Nemohu si každý kus HW auditovat sám. Proto musím někomu věřit.
To, co zde trochu neohrabaně popisujete se nazývá principem omezené důvěry. Ten se uplatňuje ve všech částech života. Např. v silniční dopravě: jedete autem na zelenou, přesto musíte u přechodu zpomalit, pokud vidíte chodce blízko hranice vozovky, nebo máte zakrytý výhled. Musíte totiž počítat, že i přes Váš signál "volno" a chodcův signál "stůj!", může nepozorný, nevidomý, nebo třeba i podnapilý chodec do vozovky vstoupit. Nebo zavrávorat.
V případě WiFi patrně budete muset posoudit případ použití a kategorii výrobku. Pokud kupujete spotřební třídu a potřebujete to do domácnosti, můžete tak nějak spoléhat, že zabezpečení odpovídá takovému použití a této době. Musíte počítat, že za dva roky to už nemusí platit (to dnes, bohužel, projektovaná životnost).
Mělo by to být zakázáno v celém státním sektoru (od nemocnic přes hasiče po úředníky), stejně jako u významných firem s podílem státu. (ČEZ)
Ale to je zcela běžný stav v těchto institucích a v nadnárodních firmách. Politika IT je velmi restriktivní, do sítě se přidávají zařízení co nejméně a otevírá se co nejméně děr. Pak sice najdete chytráky, kteří kritizují, že stát (či korporace) jsou zkostnatělé, ale ony přitom jen umí počítat s riziky. Např. mezinárodní firmy mají centrálně schválené dva-tři modely počítačů, pro ně mají nastavený síťový deploy, a jen pro ně udržují veškeré aktualizace. WiFi většinou ve velkých firmách a institucích nepotkáte, nebo pokud potkáte, tak jedině v odděleném segmentu, jako public wifi, rozhodně ne pro práci. Na práci se stále používá prakticky výhradně ethernet, a pokud ne ten, tak laptopy s VPN - aby bylo jedno, na jak nebezpečné síti se uživatel připojuje.
Myslím, že jste se upnul na jedno jediné řešení "bezpečnosti", ale metody na taková řešení jsou rozličné. Jen holt admin musí své práci rozumět a musí umět rizika ohodnocovat a řídit.
-
C (neregistrovaný)
Ten stav není tak běžný, jak by měl být.
https://www.zakazky.mvcr.cz/contract_display_11169.html
https://www.zakazky.mvcr.cz/contract_display_14000.htmlPomiňme, že specifikovat v zakázce, že router musí podporovat i 64bit WEP zavání předvýběrem jediného správného dodavatele. "konfigurovatelný WiFi modul 2,4 GHz / 5 GHz (802.11a/b/g/n; WEP 64/128, WPA, WPA2, 802.1X) + připravený externí výstup na anténu"
re: "Myslím, že jste se upnul na jedno jediné řešení "bezpečnosti", ale metody na taková řešení jsou rozličné. Jen holt admin musí své práci rozumět a musí umět rizika ohodnocovat a řídit."
No. Trvalo pět let, než někdo chybu ve WPS oznámil světu. A přitom je to naprosto očividná chyba v naprosto očividném slabém místě.... To jakože budeme po uvedení WPA3 čekat pět let, než si někdo s povědomím o bezpečnosti konečně přečte tu normu a vyzkouší nejnaivnější útoky na zřejmá slabá místa?
-
Takže ještě jednou zopakuji jinými slovy to co už jsem psal (a trochu extrémě, aby to doputovalo až do mozku):
Vy navrhujete aby firmy místo jednoho standardu, který si budou navzájem alespoň trochu oponovat, implementovali svoje požadavky po svém, tedy bez oponentury. Takže ve výsledku budete mít WiFi zařízení které budou mít navzájem nekompatibilní DamsungWPS, DlinkWPS, CiscoWPS, a tak dál, a k tomu všemu bude většina z těch WPS probouratelná ještě o řád rychleji než ta současná. -
- @Lol Phirae: v teoretické rovině s vámi souhlasím. V praxi bych ale chtěl, aby když už se různí výrobci dohondou na tom, že jejich zákazníci chtějí frikulínské pitchowiny, tak aby byly podle jednoho standardu a aby se alespoň tedy dala ověřit/vyvrátit správnost standardu a pak podle něj
- pokud je správný kontrolovat implementace
- pokud je chybný, tak vypnout celou feature
-
j (neregistrovaný)
Ve vysledku tu mame nejmin stovky nekompatibilnich wifi zarizeni, prave proto, ze vyrobci si vymejslej vsemozny svoje vyfikundace. A je to jeste mnohem horsi, protoze se to netyce zdaleka jen wifi, ale naprosto vseho, kdy ani to, ze neco ma stejnej konektor jeste neznamena, ze to v necem bude taky fungovat ...
Nekdy se divim, ze mi lednice nevynada, ze sem ji strcil do neschvaleny zasuvky.
-
Filip JirsákStříbrný podporovatel
Nechápu, jaký problém vlastně řešíte. Zařízení, které implementuje něco, co nechcete, si prostě nepořídíte, nemáte jej, nebudete se pokoušet ho zapojit do své sítě. Tak v čem je problém? Proč vám vadí, že někdo jiný chce a má něco, co vy nechcete? Nebudete pokračovat tím, že vlastně vůbec nechcete mít WiFi síť, tak začnete po výrobcích požadovat, aby žádná WiFi zařízení nevyráběli?
