Logran romper la seguridad de todas las redes Wi-Fi
ChimoC:
Buenas:
Y los parches https://w1.fi/security/2017-1/
Un saludo
ChimoC
engel lex:
Cita de: warcry. en 16 Octubre 2017, 10:21 am
amaizing !!! :o :o :o
osti me toca montar un radius con certificados en casa :P
aparentemente ni radius se salva XD
Citar
the attack works against personal and enterprise Wi-Fi networks,
aunque probablemente el certificado fijo si logre que tu dispositivo no se tire al agua XD
Carloswaldo:
Cita de: dltmborja en 16 Octubre 2017, 10:24 am
No deberían publicar esa información :silbar:
A mi lo que me llama la atención es esto:
https://www.kb.cert.org/vuls/id/228519
Parece que varios proveedores han sido notificados hace casi 2 meses y casi NINGUNO ha hecho nada por parchar, y solo MikroTik se ha manifestado sobre el asunto. Creo que está perfecto que se lo publique dado que se ha tratado el asunto con cautela, ya es hora de poner presión o nadie hará nada.
warcry.:
Cita de: engel lex en 16 Octubre 2017, 16:20 pm
aparentemente ni radius se salva XD
aunque probablemente el certificado fijo si logre que tu dispositivo no se tire al agua XD
Por lo que he leido muy por encima del link que ha dejado simorg, es que la vulnerabilidad actua contra el cliente, y que linux con wpa_supplicant y por tanto android son muy vulnerables.
Citar
I'm using WPA2 with only AES. That's also vulnerable?
Yes, that network configuration is also vulnerable. The attack works against both WPA1 and WPA2, against personal and enterprise networks, and against any cipher suite being used (WPA-TKIP, AES-CCMP, and GCMP). So everyone should update their devices to prevent the attack!
aqui lo que entiendo yo con mi ingles tan malo es que las redes "domesticas" y "empresariales" que utilicen WPA entiendo que PSK son vulnerables.
las redes con WPE, lo que montan son un servidor EAP, con los distintos protocolos definidos en el RFC para gestionar la conexion
Citar
los definidos por RFC de la IETF incluyen EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, y EAP-AKA.
por lo que entiendo que en las redes WPE no hay handshake de 4 pasos
pero ya todo este tema me hace dudar, ya que en algun momento verificada la identidad del usuario el router le tendrá que dar la key de cifrado al cliente ...
_TTFH_3500:
Cita de: Carloswaldo en 16 Octubre 2017, 16:48 pm
A mi lo que me llama la atención es esto:
https://www.kb.cert.org/vuls/id/228519
Parece que varios proveedores han sido notificados hace casi 2 meses y casi NINGUNO ha hecho nada por parchar, y solo MikroTik se ha manifestado sobre el asunto. Creo que está perfecto que se lo publique dado que se ha tratado el asunto con cautela, ya es hora de poner presión o nadie hará nada.
We sent out notifications to vendors whose products we tested ourselves around 14 July 2017.
Primero se creia que era un bug en la implementación, luego se dieron cuenta de que era una vulnerabilidad del protocolo. OpenBSD lanzo un parche en silencio en Agosto, es posible que alguien lo descubriese y haya explotado la vulnerabilidad.
Navegación
[#] Página Siguiente
[*] Página Anterior