Vlákno názorů k článku Wi-Fi Alliance představila WPA3, odolá lépe útokům a ochrání i sítě bez hesel od JohnDoe - WPA3 samozřejmě bude plné chyb, o tom žádná....
-
C (neregistrovaný)
Chápu, že když někdo prostřelí AES, tak ve WIFI bude díra.
Nechápu ale, proč se tu šíří algoritmy, které jsou zcela očividně děravé.
Přečti si, jak funguje třeba takovej WPS PIN.
(Jde o způsob, jak se připojit k wifi bez znalosti toho běžného klíče. Prý má usnadňovat setup zařízení, či co... Stačí routeru poslat osm číslic WPS PINu, a pokud ho zadáš správně, on ti ten klč dá. Jenže složitost útoku není 10^8. Osmá číslice je jen kontrolní součet, a z odpovědi routeru lze poznat, jestli jsi udělal chybu v prvních čtyřech, nebo až ve druhých čtyřech číslicích... Takže je to najednou jen 11000 možností, což se na většině routerů dá vybruteforcovat tak za den.) -
C (neregistrovaný)
Zajímavé. Myslel jsem, že po zmáčknutí tlačítka to má fungovat úplně bez pinu, a ten pin je tam jako něco extra. Jak se to všem výrobcům povedlo implementovat špatně? To si pak můžeme standardizovat co chceme, ale výsledek bude stejně vždycky stát za hovno, i kdyby nedej bože jednou ten standard byl k použití...
Nicméně, stále je tam ta chyba, která prozrazuje, ve které polovině pinu je chyba....
-
Pavel (neregistrovaný)
Opravdu si myslíte, že ty specifikace jsou tak rozsáhlé kvůli hloupostem?
Tak vám dám příklad. Vemte si naprosto triviální strojovou instrukci MVC na kopírování paměti o délce 1<=L<=256 z adresy A na adresu B. Zní to jednoduše, jenže v okamžiku, kdy ji začnete přesně specifikovat, tak musíte řešit i případy, kdy
- oblasti paměti se překrývají
- do části jedné paměti není povolen přístup (jaké přerušení nastane, nastane ihned, nebo až se k té nedostupné adrese dokopíruje, atd.)
- část zdrojové nebo cílové paměti není dostupná (viz výše)
- zdrojová a cílová oblast jsou disjuktní ve virtálním adresním prostoru, ale jsou mapované tak,že se v reálné paměti překrývají
- během kopírování chce k té paměti přistoupit jiný procesor
- ...A rázem z instrukce na první pohled triviální máte instrukci, jejíž přesná specifikace zabere pět listů A4.
A toto nejsou nesmyslné požadavky, to je naprosto smysluplný požadavek na přesnou specifikaci chování strojové instrukce.
-
Filip JirsákStříbrný podporovatelJak byste řešil ty situace, které dnes řeší WPS nebo bude řešit vnější konfigurace?
-
Filip JirsákStříbrný podporovatel
Situace, kdy potřebujete do WiFi sítě připojit zařízení, které nemá žádný vstup, kterým byste mohl rozumně zadat heslo k WiFi síti.
-
Měli bychom do IT zavést odpovědnost za škodu.
Ale to by jaksi v první linii postihlo toho, kdo špatnou technologii vyber, nakoupí a (špatně) zapojí. Výrobce zbraně také není odpovědný za to, že z její hlavně vyletí smrtící střela. Odpovědný je v první řadě ten, kdo ji vystřelí, případně částečnou spoluvinu ponese ten, který se zbraní nelegálně obchoduje.
Pro vznik odpovědnosti není jediným předpokladem příčinná souvislost (ta existuje kde kdy), ale především zavinění.
-
Filip JirsákStříbrný podporovatel
To, že chce výrobce vyhodit ethernetovej port není argument pro to, aby se téměř všechny wifi routery staly zranitelnými.
Ptal jste se na příklad situace, které WPS řeší, odpověď jste dostal. To, že vy chcete na všech zařízeních ethernetový port, neznamená, že to tak musejí chtít všichni.Mimochodem, když už tu řešíte, co ostatní mají a nemají chtít – u náramkových hodinek máme chtít ten ethernetový port integrovaný, a nebo z nich má čouhat kablík se zástrčkou?
-
C (neregistrovaný)
Ne... Mně šlo především o to, zda daný usecase má opodstatnění...
Pokud nový standard bude opět znamenat, že v polovině wifi routerů závažná bezpečnostní chyba, tak halt budeme muset i tuhle implementaci bezdrátové sítě hodit z okna.
(Ono je k bezpečnosti podle mě potřeba přistupovat tak, že pokud polovina výrobců wifi zapomíná instalovat dveře, nelze doufat, že ten zbytek, který je tam má, nezapomněl zamknout okno.
Nemohu si každý kus HW auditovat sám. Proto musím někomu věřit. Pokud norma nepředepisuje ani základní zabezpečení, či není v lidských silách to ověřit, či pokud lze v masivní míře dostávat označení WiFi certified pro věc, která není v souladu s normou, řetezec garance bezpečnosti selhal, a tedy nelze výrobkům s danou technologií věřit.)Pokud daná technologie nezvládá garantovat minimální očekávatelnou´uroveň bezpečnosti, nelze ji používat.
Mělo by to být zakázáno v celém státním sektoru (od nemocnic přes hasiče po úředníky), stejně jako u významných firem s podílem státu. (ČEZ)Stejnětak by mělo být doporučováno nepoužívat WiFI ve firmách, a mělo by to být považováno za stejně samozřejmé, jako "nelepte si papírky s heslem na monitor".
Ono je hrozně hezký hrát si na kybernetickou bezpečnost, když pak někdo přijde, a připojí se na wifi bez hesla, kvůli tomu, že znovuobjevil díru, která je vlastně featurou popsanou v normě...
Hodinky? Což takhle usbčko? Stejně se nějak musej nabíjet....
-
Pokud nový standard bude opět znamenat, že v polovině wifi routerů závažná bezpečnostní chyba, tak halt budeme muset i tuhle implementaci bezdrátové sítě hodit z okna.
Většinou existují i jiné metody mitigace rizik.
Nemohu si každý kus HW auditovat sám. Proto musím někomu věřit.
To, co zde trochu neohrabaně popisujete se nazývá principem omezené důvěry. Ten se uplatňuje ve všech částech života. Např. v silniční dopravě: jedete autem na zelenou, přesto musíte u přechodu zpomalit, pokud vidíte chodce blízko hranice vozovky, nebo máte zakrytý výhled. Musíte totiž počítat, že i přes Váš signál "volno" a chodcův signál "stůj!", může nepozorný, nevidomý, nebo třeba i podnapilý chodec do vozovky vstoupit. Nebo zavrávorat.
V případě WiFi patrně budete muset posoudit případ použití a kategorii výrobku. Pokud kupujete spotřební třídu a potřebujete to do domácnosti, můžete tak nějak spoléhat, že zabezpečení odpovídá takovému použití a této době. Musíte počítat, že za dva roky to už nemusí platit (to dnes, bohužel, projektovaná životnost).
Mělo by to být zakázáno v celém státním sektoru (od nemocnic přes hasiče po úředníky), stejně jako u významných firem s podílem státu. (ČEZ)
Ale to je zcela běžný stav v těchto institucích a v nadnárodních firmách. Politika IT je velmi restriktivní, do sítě se přidávají zařízení co nejméně a otevírá se co nejméně děr. Pak sice najdete chytráky, kteří kritizují, že stát (či korporace) jsou zkostnatělé, ale ony přitom jen umí počítat s riziky. Např. mezinárodní firmy mají centrálně schválené dva-tři modely počítačů, pro ně mají nastavený síťový deploy, a jen pro ně udržují veškeré aktualizace. WiFi většinou ve velkých firmách a institucích nepotkáte, nebo pokud potkáte, tak jedině v odděleném segmentu, jako public wifi, rozhodně ne pro práci. Na práci se stále používá prakticky výhradně ethernet, a pokud ne ten, tak laptopy s VPN - aby bylo jedno, na jak nebezpečné síti se uživatel připojuje.
Myslím, že jste se upnul na jedno jediné řešení "bezpečnosti", ale metody na taková řešení jsou rozličné. Jen holt admin musí své práci rozumět a musí umět rizika ohodnocovat a řídit.
-
C (neregistrovaný)
Ten stav není tak běžný, jak by měl být.
https://www.zakazky.mvcr.cz/contract_display_11169.html
https://www.zakazky.mvcr.cz/contract_display_14000.htmlPomiňme, že specifikovat v zakázce, že router musí podporovat i 64bit WEP zavání předvýběrem jediného správného dodavatele. "konfigurovatelný WiFi modul 2,4 GHz / 5 GHz (802.11a/b/g/n; WEP 64/128, WPA, WPA2, 802.1X) + připravený externí výstup na anténu"
re: "Myslím, že jste se upnul na jedno jediné řešení "bezpečnosti", ale metody na taková řešení jsou rozličné. Jen holt admin musí své práci rozumět a musí umět rizika ohodnocovat a řídit."
No. Trvalo pět let, než někdo chybu ve WPS oznámil světu. A přitom je to naprosto očividná chyba v naprosto očividném slabém místě.... To jakože budeme po uvedení WPA3 čekat pět let, než si někdo s povědomím o bezpečnosti konečně přečte tu normu a vyzkouší nejnaivnější útoky na zřejmá slabá místa?
-
Takže ještě jednou zopakuji jinými slovy to co už jsem psal (a trochu extrémě, aby to doputovalo až do mozku):
Vy navrhujete aby firmy místo jednoho standardu, který si budou navzájem alespoň trochu oponovat, implementovali svoje požadavky po svém, tedy bez oponentury. Takže ve výsledku budete mít WiFi zařízení které budou mít navzájem nekompatibilní DamsungWPS, DlinkWPS, CiscoWPS, a tak dál, a k tomu všemu bude většina z těch WPS probouratelná ještě o řád rychleji než ta současná. -
- @Lol Phirae: v teoretické rovině s vámi souhlasím. V praxi bych ale chtěl, aby když už se různí výrobci dohondou na tom, že jejich zákazníci chtějí frikulínské pitchowiny, tak aby byly podle jednoho standardu a aby se alespoň tedy dala ověřit/vyvrátit správnost standardu a pak podle něj
- pokud je správný kontrolovat implementace
- pokud je chybný, tak vypnout celou feature
-
j (neregistrovaný)
Ve vysledku tu mame nejmin stovky nekompatibilnich wifi zarizeni, prave proto, ze vyrobci si vymejslej vsemozny svoje vyfikundace. A je to jeste mnohem horsi, protoze se to netyce zdaleka jen wifi, ale naprosto vseho, kdy ani to, ze neco ma stejnej konektor jeste neznamena, ze to v necem bude taky fungovat ...
Nekdy se divim, ze mi lednice nevynada, ze sem ji strcil do neschvaleny zasuvky.
-
Filip JirsákStříbrný podporovatel
Nechápu, jaký problém vlastně řešíte. Zařízení, které implementuje něco, co nechcete, si prostě nepořídíte, nemáte jej, nebudete se pokoušet ho zapojit do své sítě. Tak v čem je problém? Proč vám vadí, že někdo jiný chce a má něco, co vy nechcete? Nebudete pokračovat tím, že vlastně vůbec nechcete mít WiFi síť, tak začnete po výrobcích požadovat, aby žádná WiFi zařízení nevyráběli?
