Я же хикка, зачем мне wi-fi?
Сделал себе дома Вайвай - не нужно тянуть кабель с интернетом к кампу, а еще можно двачевать с телефона лежа на диване
>Android 6.0 и выше содержит уязвимость
Лол, до сих пор 2.3 юзаю. Сосите, дауны
>Жертвами будут обычные люди, которые осуществляют подключение к Wi-Fi-точкам
А в чем новость-то?
Всегда было понятно что файфай опасен. Не будешь же ты пароли вводить подключаясь в метро например?
А в чем новость-то?
Всегда было понятно что файфай опасен. Не будешь же ты пароли вводить подключаясь в метро например?
У меня андроидит 5,1 так что похуй овбще
>2.3 юзаю
Некромант в треде
Винда вне опасности?
>до сих пор 2.3 юзаю
Здравствуй /b/рат!
>Кроме того уязвимости в Wi-Fi стандарте затрагивают macOS, Windows
ну чо там пацаны, на линуксе нет неуязвимостей?
вот что скажу, самая большая уязвимость линукса - сам линукс
вот что скажу, самая большая уязвимость линукса - сам линукс
ебаа, крипота, 7 лет проходил с xperia mini
Уязвимость не в линуксе, а в канале связи который посылает ровутер. Линух непричем, вроде как, если рассуждать логически.
>Google уже в курсе и будет выводить патчи в ближайшие недели.
Обладатели всяких Хямин и др китайцев соснули как обычно
мимо обладатель google-фона
ебать новость. Этот "эксплоит" Блядь был еще известен всем сетевикам с времен появления беспроводной передачи данных в среду, где любой другой может читать канал.
>Не будешь же ты пароли вводить подключаясь в метро например?
Там чтобы войти в метро уже требуется пароль
Годная трубка как по мне, уже и конторы сониэриксона нет уж сколько лет, а телефон жив, кумулятр не деградировал сильно, день-два спокойно держит. Планирую сменить на что-то кнопочное, а этот прицепить к кудахтеру на юзб, у меня тут стимовский и близардовский гварды крутятся.
>против всех Wi-Fi сетей, использующих WPA и WPA 2 шифрование
Есть ещё WEP, напримерю
Ты либо толстый троль, либо полный аутист.
У МЕНЯ МОДЕМ
Не модем, а модем.
Блять, после эксплойта на bluetooth придется и вай фай отключить.
Сам веп брутфорсом за полчаса вскрывается, вроде, там же как пинкод вариантов кот наплакал.
А что если это просто заговор, чтобы обновляли зонды?
Пиздят, потому что wpa во всех сука роутера вообще во всех без исключения. Получается все существующие устройства на планете уязвимы.
Посоны, где программки на свои некровёдра берёте? У меня хоть и 4.1.2, но понемногу некоторые проги начинают отваливаться.
Я живу в "избушке" рядом с городским кладбищем вдали от города.
Не думаю, что мертвым до меня есть какое-нибудь дело)
Не пользуюсь ничем, кроме звонков и смс, все вайберы - похуй. Даже музыку слушаю на отдельном Hi-Fi плеере.
> Подчеркиваю — данная уязвимость не относится к Wi-Fi точкам. Жертвами будут обычные люди, которые осуществляют подключение к Wi-Fi-точкам.
Я чет нихуя не понял че они тогда взламывают? Сами роутеры или что блять?
>веп брутфорсом за полчаса
5-10 минут, если есть подключенный клиент.
Посмотрел видяху: атака на клиента. Клиенту шлётся фейковый deauth beacon с BSSID фейковой точки доступа, после чего сессионный ключ выставляется в NULL
Что-то я не понял, как перехват трафика позволит "читать информацию, которую ранее считали защищенной"? Защищенной ещё считали не потому что она передаётся по беспроводной сети, а потому что она передается в зашифрованном виде по HTTPS, пусть хоть весь трафик сниффят, кроме рандомных битов ничего увидеть не получится. Обычный желтный заголовок не шарящей в технике журнашлюхи. Расходимся.
Но в точке то ключ остается по идее клиент просто отрубиться должен.
>чтобы войти в метро уже требуется пароль
В вас там в Москве уже в метро по паролю пускают?
>The ability to decrypt packets can be used to decrypt TCP SYN packets. This allows an adversary to obtain the TCP sequence numbers of a connection, and hijack TCP connections. As a result, even though WPA2 is used, the adversary can now perform one of the most common attacks against open Wi-Fi networks: injecting malicious data into unencrypted HTTP connections
Нуу, то есть теоретически ты прав.
Киберпанк, который мы заслужили.
Но у меня хуёми а1, я сосну? Отсос Шредингера?
Ебать, дебил.
Бля пока я приеду к своей ЕОТ это говно везде пофиксят. Ну пиздец.
Беспроводо-бляди соснули у проводо-богов.
Ебать, дебил.
>Сам веп брутфорсом за полчаса вскрывается, вроде, там же как пинкод вариантов кот наплакал.
Да.
Он отрубается, да, но на сколько я понял, клиент при переподключении может установить любой ключ. И тут получается как:
1) Шлём клиенту fake deauth beacon с нашим BSSID
2) Он подключается к нашей точке, форсим сессионный ключ
3) Магия
4) Клиент подключается к настоящей точке доступа с нулевым сессионным ключом
5) Mitm'им трафик
6) Профит
Надо подробнее доклад изучить.
Ебать, дебил. У него митм атака, а он на https надеяться.
>Что-то я не понял, как перехват трафика позволит "читать информацию, которую ранее считали защищенной"?
MITMf
S
S
L
S
T
R
I
P
Объясните гуманитарию, ведь SSL протокол как раз и существует, чтобы избежать МИТМ-атак. Так почему тот анон не прав?
Три причины:
1) рукожопие системных администраторов и безопасников разного рода ресурсов
2) гениальность господина мокси марлинспайка, автора стейт-оф-арт криптографии для мессенджеров под общим собирательным названием сигнал-протокол, запилившего тулзину для подмены доменов и дропа/даунгрейда ssl в плейнтекст под названием sslstrip
3) даунизм юзеров, не проверяющий адрес страниц в бравзере, где они вводят свои логин/пассы
Если интересно спрашивай пока я тут.
Т.е. трафик можно прочитать только если он передается по незашифрованному сообщению, так?
И так ли получается, что все роутеры с вай-вай тоже превращаются в тыкву?
> Использовать же уязвимость можно для похищения номеров пластиковых карт, сообщений в чате, фото, email и другие коммуникации.
Которые уже давно шифруются SSL или лучше. Так что мимо.
Совмещение у тебя не предусмотрено?
>Т.е. трафик можно прочитать только если он передается по незашифрованному сообщению, так?
Не совсем. Есть еще способы митма, когда жертву вынуждают устанавливать сертификаты атакующего в качестве рутовых доверенных. Но как правило это делается насильно, типа "хочешь тырент - ставь сертификат".
>И так ли получается, что все роутеры с вай-вай тоже превращаются в тыкву?
Нет, данный способ прост упрощает проведение митм-атаки. Дырявый WPS, rogue-ap и еще с десяток разных способов делают это вполне хорошо. Проблема в данном случае в том, что если ранее дополнительный уровень шифрования типа ВПН нужно было пользовать только в недоверенных/публичных вифи-сетях, то с ним даже к домашнему вифи подключаться должно быть ссыкотно слегка.
На самом деле если не быть ебаклаком и пользовать приложения от сайта для мобилы, то тебе почти ничего не грозит, там как правило запилен пинниг сертификатов. Та же байда с просмотром страниц в браузере - прост смотри на наличие сраного зеленого замочка и проверяй адрес ресурса, прежде чем вводить логин/пасс.
>Которые уже давно шифруются SSL или лучше. Так что мимо.
Щас бы думать что все ресурсы умеют в нативные приложения + пинниг, а средний тупоюзер не подумает что адрес ресурса уровня m.web.sber.bank.ru это просто официальная версия мобильного банкинга
>Проблема в данном случае в том, что если ранее дополнительный уровень шифрования типа ВПН нужно было пользовать только в недоверенных/публичных вифи-сетях, то с ним даже к домашнему вифи подключаться должно быть ссыкотно слегка
Пардон, не дошло.
Насколько мне понятно- это просто такой себе продвинутый фишинг. Подменить сертефикат, заранее перехватить сигнал подключения, вот это все.
TLS
Все кто хотя бы немного знает о интурнет безопасности, знает что взЛамывается нахуй вообще все, особенно вайфай роутеры. за Любые суммы, с Любыми прошивками. Эта новость маЛясь запаздаЛа, Лет эдак на стоЛько скоЛько существует файфай.
Это не фишинг, это митм.
>На самом деле если не быть ебаклаком и пользовать приложения от сайта для мобилы, то тебе почти ничего не грозит, там как правило запилен пинниг сертификатов. Та же байда с просмотром страниц в браузере - прост смотри на наличие сраного зеленого замочка и проверяй адрес ресурса, прежде чем вводить логин/пасс.
Ну блэт, это то о чём писал этот
анон.
>Все кто хотя бы немного знает о интурнет безопасности, знает что взЛамывается нахуй вообще все, особенно вайфай роутеры.
Если твой посыл "да нахуй мне безопасность захотят взломать взломают" в корне неверен.
Безопасность это процесс, у которого только три стадии - недостаточная, достаточная, избыточная. И зависит то, достаточная у тебя безопасность или нет от того, сколько ресурсов нужно затратить чтобы преодолеть защиту, а так же ценность того, что ты получаешь преодолевая это защиту.
Если для ограбления банка с миллионом долларов в сейфах тебе надо потратить десять миллионов долларов - ты грабить его не будешь. В случае с киберсеком так же. Для обеспечения достаточной безопасности хватит небольших, простых мер, которые необременительны для любого, но эти меры приведут к тому, что ты будешь уязвим только для трехбуквенных и подобного рода стейт-споносред.
Нет, не то. Большинство насрет на отсутствие этого замочка. Если для митма мобильного клиента, который через сеть опсоса ходит тебе надо изъебываться невероятным образом или работать в ФСБ, то с вифи все доступно любому школьнику, который оказался с тобой рядом.
А как я уже сказал выше - замочек всем побоку.
Гугл вроде собирался в хроме поменять, чтобы http вообще тупо красным рисовалось.
>Большинство насрет на отсутствие этого замочка.
Ну не обобщай. Я, например, из тех, кто даже на дваче воевал, когда ссылки особенно перекатные пилили через http. Пилить перекаты не номером поста вообще моветон. А в плагине NoScript давно указаны адреса сайтов с принудительным защищенным соединением.
Пока только предупреждают когда логи и пасс вводишь без ssl. Ну и предупреждение там такое себе. Не знаю как в мобильном хроме обстоят с этим дела, мобильный фурифокс ничего не предупреждает.
open system
>большинство
>ну не обобщай
Очевидно что ты меньшинство.
Shared Key, очевидно же)))
Лично мне много не надо. Kate mobile + opera mini + winamp + foobar2000 +fbreader + x-plore + 2ch browser хватает с головой.
Что за браузер?
Зачем тебе
1. Аудио плеер
2. Второй аудиоплеер
В стандартном не удобно в плейлисты добавлять треки. В основном юзаю винамп, он удобнее. А фубар умеет по локалке проигрывать папки
Опера 12
у тебя дыра в безопасности намного шире, чем ты думаешь
Ха, ну попробуй хакни меня, мой айпи на скринште выше!
Безопасность это не процесс, это хуйня.От мимо мошенников защищает уход от онЛайна, даже есЛи взЛомают пиздить нечего. никаких кЛиентов на смартфон от банка. да и на компьютере тоже на сайт зайти пароЛи не сохранять. Я сначаЛа тоже думаЛ что защита есть, потом начаЛ угЛубЛяться в тему и узнаЛ что ее просто нету, а самое Гавное что все в отккрытом доступе, так что Любой мимо сижу в метро может поЛучить доступ к смартфону. А как по домену рандомные компы заражаются вирусняком это вообще кайф.
Ты при деньгах или нищеброд? Можешь череп достать?
Зухель омни 56к?
В 2017 году была опубликована атака переустановки ключа на WPA2, которая позволяет сбросить nonce, при использовании AES-CCMP воспроизводить ранее отправленные пакеты и расшифровывать их, при использовании WPA TKIP и GCMP - расшифровывать и внедрять пакеты в соединение.
Есть же расширение HTTPS Everywhere
Так объясните дауну, соседи меня уже взломали и знают что я дрочу на трапов? В последние пару дней что-то часто вайфай стал сбрасываться.
Сижу через адсл по такому модему. Вай фаем ни разу не пользовался
Дебил, там митм на канал, а не на протокол.
>И тут получается как:
Ты прав. Так оно и работает.
Правда непонятно, почему чухнулись только сейчас, это же было известно и ранее, я уже год назад где-то про это читал.
>Проблема в данном случае в том, что если ранее дополнительный уровень шифрования типа ВПН нужно было пользовать только в недоверенных/публичных вифи-сетях, то с ним даже к домашнему вифи подключаться должно быть ссыкотно слегка.
Что это за бред???
И хули ты сделаешь, заплатку на роутер блять поставишь? Нового шифрования не придумали еще вместо wpa.
Он наверняка имел ввиду, что теперь даже дома надо с впн полключаться, а то соседи могут оказаться хакерами.
>И хули ты сделаешь, заплатку на роутер блять поставишь?
this
Микротик уже обновился, с 6.39-6.40.4 все закрыто. Остальные говнороутеры бытового класса будут еще долго обновляться.
патчи для wpa_supplicant тоже есть, линуксоиды спокойны.
Андроидопользователи кто как - кто-то получит свое обновление, кто-то так и останется с дырой.
Да hostapd на номальных роутерах обновять, но останется дохуя ведроид устройств на которые забил через год производитель.
> но останется дохуя ведроид устройств на которые забил через год производитель.
Именно. И не то, что дохуя, а просто дохуллиард.
Так что в скором времени будет достаточно интересно.
TКIP позволяет инжектировать пакеты, АЕS только дешифровать, но этого достаточно. Еще много ходящих без сслl, да и он не панацея, как уже выше написали.
Но нет худа без добра - будет расти популярность впн, будут стараться всех форсированно переводить на хттпс.
ЛЮНИКС ЭТО ВАМ НЕ ДЫРЯВАЯ ШИНДОШС!!!!
ПОРА ПЕРЕУСТАНАВЛИВАТЬ АНУС!!!!
>Так оно и работает.
О чём ты? Он сам не знает как оно работает судя по...
>форсим сессионный ключ
>3) Магия
хуйня, лучше б нормальное ПО сделали для взлома любого WiFi. Учитывая что открытый WiFi уже хуй встретишь а скоро он вообще будет официально запрещен, есть большая потребность в быстром и эффективном взломе с любого девайса.
защеку тебя хакнул, глотай!
>Я сначаЛа тоже думаЛ что защита есть, потом начаЛ угЛубЛяться в тему и узнаЛ что ее просто нету
Ясно. Понятно.
>Он наверняка имел ввиду, что теперь даже дома надо с впн полключаться, а то соседи могут оказаться хакерами.
Хакир гораздо быстрее похекает тебя через дыры в WPS
>Но нет худа без добра - будет расти популярность впн, будут стараться всех форсированно переводить на хттпс.
Не будет нихуя. Можете скринить. На дыры WPS все кладут болт уже 6 лет.
>Не будет нихуя. Можете скринить.
Не-не, корпсектор охуеет и начнет движение.
дыры в wps закрывались wps2 с aes и длинными паролями, это до недавнего времени считалось достаточно секьюрно.
А тут суть в том, что проникновения в систему нет, просто слушают пассивно трафик внутри сети в лучшем случае, в худшем - инжектируют свои пакеты. На такую дыру будет реакция однозначно.
Исследователи опубликовали отчет(https://www.krackattacks.com/), согласно которому девайсы на Android и Linux находятся в худших условиях, имея несколько уязвимостей. Согласно записям, некоторые атаки работают против всех Wi-Fi сетей, использующих WPA и WPA 2 шифрование. Кроме того уязвимости в Wi-Fi стандарте затрагивают macOS, Windows, iOS, Android и Linux.
https://youtu.be/Oh4WURZoR98
Перехват трафика позволяет читать информацию, которую ранее считали защищенной. Более того, хакерам даже не требуется взламывать Wi-Fi пароль для достижения этого. Уязвимость требует лишь местонахождения хакера в радиусе действия Wi-Fi атакуемого гаджета. Использовать же уязвимость можно для похищения номеров пластиковых карт, сообщений в чате, фото, email и другие коммуникации.
Android 6.0 и выше содержит уязвимость, которая делает перехват и манипуляцию трафиком вовсе простой. Всего около 41 процента девайсов на Android имеют самую слабую защиту. Атаки могут встраивать вирусы-вымогатели и вредоносный контент, отправляя их сайтам, благодаря атаке. Данные девайсы потребуют установки обновлений для решения проблемы. Google уже в курсе и будет выводить патчи в ближайшие недели.
Подчеркиваю — данная уязвимость не относится к Wi-Fi точкам. Жертвами будут обычные люди, которые осуществляют подключение к Wi-Fi-точкам.