Dnes se objevila zpráva o odhalené zranitelnosti dosud nejbezpečnějšího šifrovacího mechanismu WPA2-AES pro WiFi sítě viz třeba zde. Ve skutečnosti dneškem končí 50-ti denní informační embargo, kdy byla tato odhalená zranitelnost přednostně sdělena výrobcům wifi komponent a operačních systémů, aby měli dost času nachystat potřebné záplaty. Chtěli bychom tedy sdělit všem našim uživatelům, že není třeba propadat histerii (která jistě po “kvalifikované” (des)interpretaci reportérů v TV může nastat). Celá naše síť se všemi venkovními přístupovými body, včetně všech klientských antén a všech našich páteřních spojů má již více než měsíc instalovanou aktualizaci, která zahrnuje i záplatu na dnes veřejně oznámenou zranitelnost KRACK (Key Reinstallation Attacks). Další aktualizaci budeme aplikovat po vydání výrobcem Ubiquiti ještě do konce tohoto týdne*. Dne 15.10.2017 došlo k aktualizaci všech domácích wifi AP Ubiquiti UniFi u všech našich klientů, kde byla tato zařízení použita (námi dodána nebo námi nastavena a spravována).
Řešení zranitelnosti v rámci domácí wifi sítě ale zůstává na uživatelích samotných, a to především v nutnosti aktualizace jejich klientských zařízení (telefony, tablety, notebooky, počítače s wifi), to je mimo možnost naší kontroly. Pro operační systém Windows již vydal Microsoft aktualizaci systému, Android by měl následovat, Apple zatím mlčí. K úplné bezpečnosti pak bude třeba ještě aktualizace domácích wifi routerů. Jakmile výrobci námi dodaných domácích wifi routerů (ASUS, ZyXEL, NETIS, CISCO) uvolní potřebné aktualizace, implementujeme je všem našim klientům vzdáleně a bezplatně.
Na druhou stranu ale opravdu není třeba propadat histerii. Samotný šifrovací algoritmus WPA2-AES nebyl prolomen. Zranitelnost se týká mechanismu automatické výměny šifrovacích klíčů, kde útočník ve finále bez znalosti hesla může vidět nešifrovaný obsah datového toku na zabezpečené síti. Útočník by ale musel fyzicky přijít k Vám domů, nebo alespoň stát u Vás pod oknem. Tam by musel rozbalit veškeré potřebné hardwarové vybavení a dále mít k dispozici softwarový nástroj, který však žádný veřejně neexistuje a musel by si ho sám naprogramovat. Ani v takovém případě se není třeba obávat ničeho, pokud vaše komunikace probíhá na zabezpečeném kanále https:// (což jsou dnes všechny webové emailové služby i webové bankovnictví bank) nebo prostřednictvím VPN tunelu.
- Aktualizace 17.10.2017: Definitivní opravný firmware pro KRACK, zahrnující i další upřesněné zranitelnosti, byl výrobcem Ubiquiti vydán dnes a aplikován do celé naší sítě. Aktualizace probíhala raději ihned (v době 20-21hod), tedy mimo obvyklou dobu pro aktualizace (04-05 hod) a bylo provázeno výpadkem cca 3 min.