En este artículo voy a tratar de explicar que podemos esperar de este nuevo sistema de seguridad.


La Wi-Fi Alliance, que es un conjunto de empresas, ha informado recientemente de un nuevo sistema de seguridad, que podría entrar en funcionamiento este mismo año. No han especificado las nuevas características de este sistema WPA3, por lo que vamos a ciegas.

Analicemos pues lo poco que sabemos, han dicho que aumentarán el cifrado que pasará a 192 bits, ya que el actual cifrado, por métodos de ataque distribuido se vio que podía ser crackeado en un tiempo relativamente viable.

Pero a parte de este aumento en la seguridad de cifrado, que podemos esperar, en principio prometen un sistema de negociación de clave que haga inútil los sistemas actuales de ataque por diccionario contra un handshake, lo que haría que claves poco seguras, bien por su longitud, bien por ser de las más comunes, fueran robustas al no poder probarlas contra un handshake. Pero y ¿los “releavers”? uno de mis script “Airlin” prueba claves contenidas en un diccionario contra el router directamente, luego seguirían siendo eficaces. Luego que nadie se confíe, las claves poco seguras, seguirán siendo poco seguras.

Ahora vienen donde la matan, no han entrado en detalle pero dicen que implantarán un sistema de privacidad de redes abiertas mediante el cifrado de datos individual. Luego hasta el Punto de Acceso tengo un cifrado de datos individual, con eso que evito, pues solamente que quien este escuchando en esa red coja los datos que puedan viajar en claro, que a día de hoy son pocos ya que casi todas las conexiones utilizan el protocolo https, luego es poner una capa de cifrado mas, ¿pero entonces esto realmente vale para algo? Pues no, ya que no previene los ataques MITM ya que se seguirá pudiendo envenenar la red y hacer que todo el tráfico pase por donde queramos.

Y por último anuncian un nuevo proceso simplificado para configurar la seguridad, especialmente accesible para dispositivos con una interface con una visualización limitada o incluso nula. Aquí es cuando me cago de miedo, la última implementación de un sistema simplificado para el usuario fue el WPS, con la cagada en mayúsculas que hicieron, así que preveo que los futuros fallos que se encuentren al WPA3 vendrán de la explotación de este “sistema simplificado”.

¿Qué pasará con nuestro hardware? Ordenadores, routers, repetidores, etc. Sin conocer las especificaciones en concreto, con una actualización en los firmwares debería ser suficiente, pero no se por que tengo la sensación, que la Wi-Fi Alliance, intentará implementar algo, aunque no valga para nada, para forzar al usuario a un cambio de equipos, que es con lo que ganan dinero las empresas fabricantes, ya que con la actualización de firmwares no.

Por todo lo expuesto anteriormente, yo no recomendaría el volverse loco con el tema de WPA3 y hacer una inversión ingente de dinero en actualizarse, ya que puede ser peor el remedio que la enfermedad, y todavía podemos aguantar con un sistema WPA2 que ya tiene unos 14 años y que en principio la vulnerabilidad de la negociación del handshake de 4 vías ha sido parcheada sin mayores consecuencias.

fuente yo 

porque la intel sera compatible con el modo N y la alfa H no  

Mod: Editadas partes del mensaje que sobran.

Bueno, hoy he estado haciendo mis pruebas.

he creado una sandbox y he ejecutado el archivo malicioso "server.exe" desde la ubicación teórica de descarga
teniendo en cuenta que no soy ningun experto en analisis de malware, mis impresiones generales son:

1. El archivo al ejecutarse permanece en el directorio, en este caso C: luego no se esconde.

2. El proceso se para facilmente desde el administrador de tareas luego no es pegajoso

3. Abre una conexion a la ip 202.124.205.33


4. Los datos de esa ip son:


El ataque provenía de una ip china, luego ese servidor de una universidad indonesia, podría ser un server comprometido y manejado por los chinos, para que directamente el troyano no les apunte a ellos.

En definitiva, a priori el ataque no ha tenido éxito, lo que no he conseguido reproducir es el log en mi servidor, lo que me tiene un poco mosca pero bueno. Creo que es un ataque que explota malas configuraciones de apache sobre windows server.

si algún experto se digna a analizar el bicho y aporta mas detalles se lo agradecería, parece un troyano en toda regla, pero como digo no soy conocedor del mundo del malware

en principio no tengo habilitada la opcion de ejecucion de scripts en el servidor, luego en teoria no deberia poder ejecutarse el "Wscript.Shell"

a parte he baneado todo el rango de ips del atacante 117.60.0.0 - 117.63.255.255

pero siempre te quedas con la mosca detrás de la oreja, por eso quería saber que hace exactamente el server.exe.

a ver si mañana por la mañana me pongo un rato y creo una sandbox.

esta noche si recibís desde mi ip ataques, recordad que igual soy un zombie, no soy yo 

bueno he tenido dos intentonas de ejecucion de codigo en el log del servidor


esa de las 6:12 de la mañana y otra a las 7:17

en principio creo que no estoy infectado porque el antivirus cuando he hecho la descarga desde la web http://yamanbeisi.com/server.exe me lo detecta, por lo que no creo que se haya ejecutado.

también la segunda intentona supongo que seria porque la primera no ha cuajado.

desde el navegador no he conseguido repetir la secuencia de comandos, ya que lo mas que he conseguido me la muestra el log asi


el log me lo muestra en una sola linea y en negro, mientras que las intentonas de china me las muestra en azul y con intros, con lo cual no se ahora mismo si mi servidor es vulnerable a que se pueda abrir una shell y ejecutar código.

en principio creo que no, pero estoy con la mosca.

cuando tenga un poco de tiempo intento una conexión desde una shell de linux

en definitiva, hasta que tenga tiempo de crear una sandbox y e intente ver que es lo que hace el "server.exe" que te descargas en la web china, a ver si hay un alma caritativa que analice el malware y si me pone exactamente que es lo que hace se lo agradecería, para ver si hay alguna conexión rara o proceso suplantado o lo que sea que haga y mirar que no se esta ejecutando en mi servidor

thanx

lee sobre "envenenar" la red

Si cambiaste el router hace 1 semana ¿que casualidad no te parece?

mira los valores de la MTU

https://www.adslayuda.com/generico-mtu.html

por regla general un buen valor es 1400

mira también en que modo esta, b,g,n, only n etc

y el ancho de banda de canal, si tiene mucho ancho de banda es probable que tambien te de problemas por eso, bajaselo a 20 Mhz

http://www.cablex.es/noticia/la-importancia-de-elegir-20mhz-o-40mhz-de-ancho-de-canal-wifi

Que tengas en modo monitor o promiscuo la tarjeta  no es suficiente para capturar trafico que no sea broadcast con wireshark.

hay que hacer mas cosas si quieres ver el trafico http de un dispositivo en concreto.

si en otro sitio no te pasa, entonces el problema lo tienes en el router, bien porque ya sea viejecete y este dando problemas o tenga una mala configuracion, o bien porque te están haciendo la puñeta.

lo mas seguro es que sea la primera opción.

pufff, sobre explotación de la saga.

y que todavía haya gente que juege a estos fakes