Cómo mejorar la seguridad ante KRACK y las vulnerabilidades Wi-Fi (Actualizada con parches)

Cómo mejorar la seguridad ante KRACK y las vulnerabilidades Wi-Fi (Actualizada con parches)
16 de octubre, 2017

El anuncio del método de ataque KRACK para hackear el protocolo de seguridad WPA2 es la noticia del momento en términos de ciberseguridad. Los autores presentarán la investigación en la ACM Conference on Computer and Communications Security (CCS) y en el Black Hat Europe, pero ya han publicado las principales conclusiones e identificado las vulnerabilidades en la base de datos Common Vulnerabilities and Exposures (CVE)

Como decíamos esta mañana, los autores hablan de “deficiencias graves en WPA2”, un protocolo que asegura las redes inalámbricas Wi-Fi. Aprovechando las vulnerabilidades descritas han utilizado el método de ataque (KRACK – key reinstallation attack) como prueba de concepto. El ataque es exitoso sobre cualquier red Wi-Fi y ha sido probado en sistemas operativos como Android, Linux, Apple, Windows u OpenBSD, sobre chips de MediaTek o en productos de red de Linksys.

El ataque principal se realiza contra la secuencia de handshake WPA2, el proceso de intercambio de información privada entre un cliente y un router para elegir las claves de cifrado en una sesión de comunicaciones. Con ello, un atacante sería capaz de romper la clave de cifrado de WPA2, implementar otra no aleatoria y con ello acceder potencialmente a toda la red de comunicaciones inalámbrica y equipos que la utilicen y a la información que circule por ellos.

La capacidad de descifrar los paquetes se pueden utilizar para obtener los TCP SYN. Esto permite que un atacante obtenga los números de secuencia TCP de una conexión, y las secuestre. Como resultado, y a pesar de utilizar WPA2, el atacante puede llevar a cabo uno de los ataques más comunes contra las redes Wi-Fi: la inyección de datos maliciosos en las conexiones HTTP no cifradas, introduciendo ransomware u otro malware en sitios web, dependiendo de la configuración de la red.

A pesar que sitios web o aplicaciones pueden utilizar HTTPS como una capa adicional de protección, los autores advierten que esta protección adicional puede ser anulada en un “preocupante número de situaciones”. Y si la víctima utiliza protocolos más débiles como WPA-TKIP en lugar de AES-CCMP, “el impacto es especialmente catastrófico”. Aún así, el ataque se puede realizar sobre redes WPA1 y WPA2, tanto en las variantes personal como enterprise y en todos los tipos de cifrado: WPA-TKIP, AES-CCMP y GCMP.

¿Qué podemos hacer ante KRACK?

No demasiado porque la solución global debe llegar de la actualización de los proveedores de equipos. Una tarea hercúlea porque potencialmente cualquier dispositivo que utilice Wi-Fi es vulnerable.

El ataque principal bajo KRACK no ataca puntos de acceso o routers sino directamente a los dispositivos cliente que se conectan a ellos. Por ello, un cambio de contraseña de la red Wi-Fi no mitiga el ataque, aunque sigue siendo altamente recomendable utilizar una clave lo más robusta posible y el tipo de cifrado más fuerte que nos permita WPA2.

Aún así, se recomienda desactivar funcionalidades cliente de los routers y puntos de acceso, como el “modo repetidor” o el 802.11r “roaming rápido”. También actualizar el firmware del router aunque como decíamos no es la solución definitiva. Puedes revisar también algunos pasos para mejorar la seguridad de los routers y puntos de acceso, ocultar SSID, desactivar acceso remoto, activar filtros Mac, y por supuesto utilizar WPA2 porque las anteriores (WPA o WEP) son mucho más vulnerables.

Dicen en el informe que “para los usuarios domésticos ordinarios, su prioridad debe ser la actualización de los equipos cliente, tales como ordenadores portátiles y teléfonos inteligentes”.  También implicará la actualización de la norma Wi-Fi, algo en lo que ya está trabajando la Wi-Fi Alliance, probando las vulnerabilidades en laboratorio. Se espera una herramienta general de detección de las mismas que determinará qué dispositivos son vulnerables (potencialmente cualquier conectado a una Wi-Fi). El tema es gordísimo. Ya te iremos contando. Más información: KRACK – Key Reinstallation Attacks

Actualizaciones de seguridad contra KRACK y las vulnerabilidades WPA2

Buenas noticias. Múltiples proveedores han publicado actualizaciones el mismo día de la publicación de las vulnerabilidades. Los investigadores entregaron hace meses los resultados de la investigación y ello ha permitido un esfuerzo coordinado para su parcheo a nivel de sistemas principalmente. Entre otros:

  • Microsoft ya ha publicado una actualización de seguridad para hacer frente a las vulnerabilidades en Windows que se está desplegando en Windows Update. Aplicable desde Windows 7 y Windows Server 2008 en adelante.
  • Debian ha publicado una actualización de seguridad para su distribución GNU/Linux y para las múltiples que se basan en ellas, como Ubuntu.
  • Apple ha publicado versiones beta públicas de sus sistemas iOS, macOS, tvOS y watchOS, que parchean las vulnerabilidades de WPA2.
  • OpenBSD tiene un parche disponible.
  • Cisco tiene parches para usar, También IntelNetgearAruba, y Ubiquit.
  • Google ha anunciado un parche de seguridad “en las próximnas semanas” para comienzos de noviembre, pero se limitará a sus dispositivos Chrome OS y Android.
  • El resto de fabricantes de smartphones Android tendrán que aportar los suyos propios. Será la operación más delicada contra las vulnerabilidades de WPA2.
  • Wi-Fi Alliance está trabajando con otros proveedores para resolver las vulnerabilidades y seguramente para actualizar el protocolo.
  • Wi-Fi Standard ha facilitado un parche interno directamente a los vendedores de dispositivos.
  • US-Cert ha actualizado su base de datos con los dispositivos afectado. Recordemos, potencialmente, cualquiera que use una red inalámbrica Wi-Fi.
  • Share This