Vlákno názorů k článku
Zabezpečení Wi-Fi je zřejmě možné prolomit. Experti objevili chybu ve WPA2 [AKTUALIZOVÁNO] od PetrM - Jenomže pokud útočník detekuje OpenVPN a nemá prolomený...

Jenomže pokud útočník detekuje OpenVPN a nemá prolomený použitý šifrování, maximum škody je to shození spojení. Pokud spadne spojení s bankou, je škoda menší, než když odposlechne přihlašovací údaje, přesměruje komunikaci na svůj server nebo podvrhne při platbě číslo účtu.

Jinak VPN tunel někde končí. A tam, kde končí, teprve začíná dohledatelnost stroje...

jasně, ale s openVPN, které visí na defaultní routě a při odpojení si jí tam musí strčit znovu také zrovna není košér, pokud již jsem na dané wifi a pokud jsem byl schopný se přes tenhle útok podívat do komunikace, mohu dokázat cíleně přetížit router v době, kdy se pokoušíš spojit s openVPN serverem, tenhle protokol lze velice snadno detekovat, nemluvě o naprosto mizivém procentu instancí, které si ověřují vzdálený servery, mitm s openVPN je lahoda, viz spousty návodů, které tohle neřeší a lidé podle nich jedou.

Nemluvě třeba o ukecanosti Windows 10, které mají tendenci DNS dotaz poslat na všechny interfacy (vpn i připojenou wifi; už nesleduji, ještě na jaře to tak dělaly) a brát v potaz jen tu první odpověď, kdopak si dneska na svém provozuje dnssec?

Sice píšeš, že běží přes vpn, ale tady lupa zobrazuje u tvého příspěvku, že byl poslaný z cust.nbox.cz, což max. vypadá, že vpn máš doma a připojuješ se domů nebo že ne vždy vpn používáš.

Jestli chápu dobře princip, není to o vyzrazení hesla. Je to o tom, že pod Vaším provozem (který momentálně jedete uvnitř firmy) lze pomocí MITM dávat další pakety z jiného PC (z ulice). Takže útočník nezná heslo WiFi, ale díky aktivnímu spojení se může "přifařit" se svým provozem. Což RADIUS nevyřeší....

Nejsem si jistý, jestli ten problém je o hesle. Pochopil jsem to tak, že jde o chybu v generování jakéhosi 128bitového klíče.

"First we argue that the 802.11 random number generator is flawed by design, and provides an insufficient
amount of entropy. This is confirmed by predicting randomly generated group keys on several platforms. We
then examine whether group keys are securely transmitted to clients. Here we discover a downgrade attack that
forces usage of RC4 to encrypt the group key when transmitted in the 4-way handshake. The per-message RC4
key is the concatenation of a public 16-byte initialization
vector with a secret 16-byte key, and the first 256 keystream bytes are dropped. We study this peculiar usage
of RC4, and find that capturing 231 handshakes can be
sufficient to recover (i.e., decrypt) a 128-bit group key.
We also examine whether group traffic is properly isolated from unicast traffic. We find that this is not the case,
and show that the group key can be used to inject and decrypt unicast traffic. Finally, we propose and study a new
random number generator tailored for 802.11 platforms."

Používat kancelářskou wifi chráněnou jediným heslem (které je trochu veřejným tajemstvím, protože jej sdílí stovky lidí) na přístup do interní sítě mi přijde nebezpečné i bez této chyby.

Autentikace do vnitřní sítě přes wifi by měla vždy být stejná, jako autentikace do VPN. Tedy např. klasicky s VPN tokenem a osobním heslem. A třeba mít jednu "interní Wifi" s takovouto autentikací, a druhou "public wifi" pro návštěvy resp. bez přístupu do interní sítě, "chráněnou" jen WPA2.

Já ten průser vídím v tom, že kancelářská wifi bude tímto automaticky nezabezpečená. Takže když se lognu z ulice, tak budu uvnitř sítě a uvidím vše, co vidět nemám. Sdílenými soubory počínaje a vnitřními službami konče. Navíc je možné, že takovýto stroj bude považován za bezpečný, protože bude pocházet z vnitřní sítě. Bude to návrat ke kabelu. Uvidíme.

Tak nepoužívat VPN (a)nebo SSL/HTTPS je nebezpečné už nyní. Ta chyba mi přijde dost závažná, ale kdo dodržuje základy bezpečnosti už nyní (vše co nechci mít odposloucháváno, tak valím přes VPN a/nebo SSL), tak jej to snad netrápí.

Určitě si počkám na oficiální vyjádření a následné analýzy, i tato dedukce je trochu vařením z vody.