Tomu se upřímně řečeno hodně těžko věří — spíš to je signál, že to v O2 řešil někdo naprosto nekompetentní. Vzhledem k tomu, že O2 používá levné krámy jako všichni ostatní a všechny tyhle levné modely (ZyXel apod.) běží na Linuxu, který zasažený je, tak je v podstatě jistota, že se chyba týká i většiny, ne-li všech, modemů, které O2 používá či používalo.
Asi tak. Jsou tři možnosti, jak nemít zařízení zasažený chybou, která vychází ze specifikace standardu:
1) Implementovali standard špatně -> zařízení je nekompatibilní -> zařízení je nepoužitelný
2) Používají něco jinýho, než WPA2 (třeba WPA1) -> slabší šífrování -> bezpečnostní díra bez ohledu na stav WPA2
3) Záměrně nebo z neznalosti lžou -> ztráta důvěry ohledně bezpečnosti -> jako dodavatel se zdiskreditovali
Když tohle může být v projektu Fenix, můžou se přidat i blackhati?
Máte pro své tvrzení nějaký důkaz? Na stránce www.krackattacks.com se píše:
What if there are no security updates for my router?
Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.
Is it sufficient to patch only the access point? Or to patch only clients?
Currently, all vulnerable devices should be patched. In other words, patching the AP will not prevent attacks against vulnerable clients. Similarly, patching all clients will not prevent attacks against vulnerable access points. Note that only access points that support the Fast BSS Transition handshake (802.11r) can be vulnerable.
Co tedy přesně tvrdíte? Že všechny modemy O2 používají 802.11r Fast BSS Transition handshake, nebo že sami objevitelé té chyby vlastně nevědí, v čem ta chyba spočívá a která zařízení jsou napadnutelná?
Pokud komunikují šifrovaně dvě zařízení a ani jedno si MiTM nevšimne (bez ohledu na to, čí paket byl při navázání komunikace podvržen), je problém na obou stranách.
Jenomže ono je jednodušší říct v BFU, že se jich ta chyba netýká, než shánět neexistující update na výrobcem dávno nepodporovaný krámy a řešit vzdálený update tolika krabiček. O tom to asi celý je.
Aha. Takže když vy si neověříte serverový certifikát ve webovém prohlížeči, je to chyba serveru a je potřeba ten server záplatovat. To jste vymyslel opravdu dobře.
Ty tři nejdůležitější věty jsem vám v tom textu dokonce zvýraznil. Slova „umět“ nebo „používat“ ani jejich anglické ekvivalenty v nich opravdu nevidím. Zato v nich vidím odpověď na otázku, kterou tu řešíme, tedy zda jsou napadnutelná všechna zařízení (klienti i AP) a zda je nutné je záplatovat. Já se svou angličtinou, která samozřejmě nemůže dosahovat vaší úrovně, tam vidím, že hlavní popsaný útok cílí na klienty, a je tudíž možné, že router není nutné záplatovat. A v druhé odpovědi čtu, že napadnutelné mohou být pouze routery, které podporují výměnu Fast BSS Transition (802.11r).
Ale ten citovaný text samozřejmě pochází jen od objevitelů té chyby, kteří tomu pravděpodobně vůbec nerozumí, protože se vás zapomněli zeptat.
Mr JIrsak, ze Vy necemu (a z toho co jsem zatim mel tu pochybou cest videt, klidne mohu konstatovati ze nicemu) nerozumite, jeste neznamena, ze tomu nerozumi nikdo. Pokud dochazi k navazani sifrovaneho spojeni, a libovolne ze stran nevadi, ze ve finale komunikuje s nekym jinym, je chyba zcela vzdy na obou stranach.
A ze neumite anglicky za to vskutu nemohu, protoze Vy zjevne netusite, jaky je rozdil mezi umet a pouzivat.