Kelemahan Keamanan WPA2 Menempatkan Hampir Semua Perangkat Wi-Fi Beresiko Dibajak Dan Menguping

Protokol keamanan di jantung perangkat Wi-Fi modern termasuk komputer, telepon, dan router telah rusak sehingga hampir setiap perangkat berkemampuan nirkabel berisiko serangan.

Bug, yang dikenal sebagai "KRACK" untuk Key Reinstallation Attack, memperlihatkan kelemahan mendasar pada WPA2, sebuah protokol umum yang digunakan untuk mengamankan sebagian besar jaringan nirkabel modern. Mathy Vanhoef, seorang akademisi keamanan komputer yang menemukan kekurangannya mengatakan kelemahannya terletak pada jabat tangan 4 arah protokol tersebut yang dengan aman mengizinkan perangkat baru dengan kata kunci yang telah dia gunakan untuk bergabung ke jaringan.

Kelemahan itu bisa yang terburuk memungkinkan penyerang untuk mendekripsi lalu lintas jaringan dari perangkat berkemampuan WPA2, membajak koneksi, dan menyuntikkan konten ke arus lalu lintas.

Dengan kata lain: hacker dapat menguping lalu lintas jaringan Anda.

Bug tersebut merupakan rincian protokol WPA2 yang lengkap, baik untuk perangkat pribadi maupun perusahaan yang membahayakan setiap perangkat yang didukung.

"Jika perangkat Anda mendukung Wi-Fi, kemungkinan besar akan terpengaruh," kata Vanhoef di situsnya.

Berita tentang kerentanan tersebut kemudian dikonfirmasikan pada hari Senin oleh unit darurat maya AS Homeland Security US-CERT yang sekitar 2 bulan yang lalu telah secara rahasia memperingatkan vendor dan pakar bug tersebut, ZDNet telah belajar.

Peringatan tersebut datang sekitar saat konferensi keamanan Black Hat, saat Vanhoef mempresentasikan sebuah ceramah mengenai protokol jaringan, dengan fokus pada jabat tangan Wi-Fi yang mengotentikasi pengguna yang bergabung dalam jaringan.

Unit darurat cyber telah menyiapkan 10 kerentanan dan eksposur umum (CVE) untuk berbagai kerentanan.

Cisco, Intel, Juniper, Samsung, dan Toshiba termasuk di antara perusahaan yang terpengaruh.

Pada intinya, cacat ditemukan di nonce kriptografis, nomor yang dihasilkan secara acak yang digunakan hanya sekali untuk mencegah serangan replay, di mana seorang hacker meniru identitas pengguna yang disahkan secara sah. Dalam kasus ini, penyerang bisa menipu korban untuk menginstal ulang kunci yang sudah digunakan. Menggunakan kembali nonce dapat memungkinkan musuh menyerang enkripsi dengan mengulang, mendekripsi, atau menempa paket.



















































1 - 2 of 25

BERIKUTNYA 

Cacatnya "sangat dahsyat" untuk Android 6.0 Marshmallow dan yang lebih tinggi, kata Vanhoef. Sebuah patch diharapkan dalam beberapa minggu ke depan.

"Inti dari serangan tersebut, maka namanya, adalah bahwa penyerang menipu pihak yang terhubung untuk menginstal ulang kunci yang telah digunakan," Alan Woodward, seorang profesor di Universitas Surrey, mengatakan kepada ZDNet .

Meskipun banyak kemacetan dengan kerentanan bermerek, atau dipopulerkan - Heartbleed , Shellshock , dan Poodle untuk memberi nama beberapa - banyak pakar keamanan dan kriptografi terkenal memperingatkan untuk tidak meremehkan tingkat keparahan cacatnya.

"Ini bukan serangan sepele," kata Woodward. Dia memperingatkan bahwa skala serangan itu "besar."

Ini bukan serangan pertama yang menimpa WPA2. WPA2 dikembangkan, ironisnya, sebagai cara untuk mengganti protokol serupa, WEP, yang sempat retak beberapa tahun setelah debutnya pada 1997.

Beberapa peneliti, termasuk Vanhoef, telah menunjukkan serangan yang valid terhadap protokol tersebut. Sejauh ini yang paling menonjol adalah di tahun 2011 ketika seorang peneliti keamanan menunjukkan bahwapenyerang dapat memulihkan kode yang digunakan dalam Wi-Fi Protected Setup, sebuah fitur yang memungkinkan pengguna melakukan otentikasi dengan satu tombol push di router, yang dapat dengan mudah retak.

Seperti serangan serupa terhadap WPA2, penyerang harus berada dalam jarak dekat yang dekat dengan perangkat yang rentan, seperti router atau bahkan mesin kasir atau perangkat penjualan.

Itu tidak untuk meremehkan keseriusan serangan, namun.

Kelemahannya adalah bahwa saat ini, seorang hacker dapat meluncurkan serangan dari ratusan kaki dari perangkat yang rentan, Kenneth White, seorang peneliti keamanan, mengatakan kepada ZDNet .



Meja perangkat lunak yang rentan. (Gambar: Mathy Vanhoef )

Matthew Green, seorang guru kriptografi di Johns Hopkins University, mengatakandalam sebuah tweet bahwa ini "mungkin akan berubah menjadi pembunuhan TJ Maxxes," mengacu padaserangan cyber di toserba , di mana hacker memecahkan sandi Wi-Fi yang terhubung cash register ke jaringan.

White menjelaskan, bagaimanapun, bahwa situs dan layanan yang menyediakan konten melalui HTTPS yang ketat ( dikenal sebagai HSTS ) akan mengenkripsi lalu lintas dari browser ke server.

Dengan kata lain, masih aman untuk mengakses situs yang mengenkripsi data Anda melalui jaringan yang tidak aman.

Meski Vanhoef mengatakan tidak jelas apakah ada serangan yang terjadi di alam bebas.

Beberapa pembuat peralatan router dan jaringan diberi pengarahan sebelum pengumuman hari Senin, termasuk Cisco, HPE, dan Arris. Kami mengulurkan tangan untuk ketiganya tapi tidak mendengarnya saat menulis.

Aruba , Ubiquiti , dan Eerodikatakan memiliki tambalan yang tersedia, menurut sumber yang kami ajak bicara pada saat penulisan. Tidak diketahui apakah ada orang lain - tapi kami akan update seperti yang kami ketahui.

Tapi banyak produk dan pembuat perangkat kemungkinan tidak akan menerima patch - segera, atau pernah. Katie Moussouris, pendiri Luta Security, mengatakan dalam sebuah tweet bahwa perangkat Internet of Things akan menjadi "hit yang paling sulit."

Sampai tambalan tersedia, Wi-Fi harus dianggap sebagai zona larangan untuk misi apa pun yang penting, sebuah prestasi yang hampir tidak mungkin dilakukan pada usia sekarang di mana-mana dan akses jaringan nirkabel tanpa kabel.

Hubungi saya dengan aman

Zack Whittaker dapat dijangkau dengan aman di Signal dan WhatsApp di 646-755-8849, dan sidik jari PGP-nya untuk email adalah: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

Baca lebih banyak

INVESTIGASI ZDNET

Dokumen TSA yang bocor mengungkapkan gelombang keamanan bandara New YorkPemerintah AS mendorong perusahaan teknologi untuk menyerahkan kode sumberDi perbatasan AS: Diskriminasi, ditahan, dicari, diinterogasiJutaan catatan pelanggan Verizon terpampang dalam selang keamananTemui broker teknologi bayangan yang mengirimkan data Anda ke NSADi dalam daftar pengawasan teror global yang diam-diam membayangi jutaan orangKetua FCC memilih untuk menjual riwayat penjelajahan Anda - jadi kami meminta untuk melihatnyaDengan satu perintah penyadapan tunggal, otoritas AS mendengarkan 3,3 juta panggilan telepon198 juta orang Amerika dilanda rekaman suara 'terbesar yang pernah ada' bocorInggris telah melewati 'undang-undang pengawasan paling ekstrem yang pernah disahkan dalam demokrasi'Microsoft mengatakan 'tidak dikenal ransomware' berjalan pada Windows 10 S - jadi kami mencoba untuk hack ituDokumen bocor mengungkapkan rencana Inggris untuk surveilans internet yang lebih luas

2573

Link sponsor 

Direkomendasikan untukmu

Mad Hotel harga.Simpan70.com

Cara Ultimate Mendapatkan Kamar Hotel Murahtripsinsider.com

1 tahun Sertifikat PG Manajemen Bisnis dari MICA - Apply NowMICA

Sertifikasi Manajemen Strategis dari IIM Rohtak - Mengapa anda harus mendaftar?Talentedge | IIM Rohtak



oleh Taboola 

LOG IN TO KOMENTAR

| Pedoman Komunitas

Bergabunglah dengan Diskusi

TAMBAHKAN KOMENTAR ANDA

CERITA TERKAIT



Keamanan

Review meminta kontrol privasi kartu Medicare yang lebih ketat dari Human Services



Keamanan

Bug ini membiarkan seorang peneliti melewati alat keamanan situs GoDaddy



Keamanan

Ransomware Android baru yang jahat ini mengenkripsi ponsel Anda - dan mengubah PIN Anda



Keamanan

Hotel Hyatt terkena malware data kartu kredit - lagi-lagi

NAWALA

ZDNet MengumumkanbuletinPengumuman AsiaZDNet menawarkan perpaduan antara cerita, penawaran khusus dan keuntungan khusus bagi anggota.BERLANGGANAN

LIHATSEMUA

SUMBER DAYA LAINNYA

IDG Tech Dossier: Platform Pengiriman Keamanan Bermanfaat bagi Seluruh Organisasi

White Papers dari Gigamon

BACA SEKARANG

Tidak semua awan diciptakan sama: perbandingan Google Docs dan Microsoft Word Online - Report

Makalah Putih dari Google Cloud

BACA SEKARANG

Jadilah pemimpin keamanan superstar yang dibutuhkan oleh sesama eksekutif Anda

Makalah Putih dari Google Cloud

BACA SEKARANG

ZDNet

TERHUBUNG DENGAN KAMI



© 2017 CBS Interactive. Seluruh hak cipta. Kebijakan Privasi | Cookie |Pilihan iklan | Beriklan | Ketentuan Penggunaan | Perjanjian Pengguna Ponsel

Kunjungi situs Interaktif CBS lainnya:Pilih Situs

CBS PeduliCBS FilmsRadio CBSCBS.comCBSInteraktifCBSNews.comCBSSports.comChowhoundCNETJaringan Perguruan TinggiGameSpotLast.fmMaxPrepsMetacritic.comMoneywatchmySimonRadio.comSearch.comShopper.comWaktu pertunjukanTechRepublikOrang dalamTV.comUrbanBaby.comZDNet

TOPIKSEMUA PENULISGALERIVIDEOSPONSORED NARATIF

MASUK KE ZDNET |BERGABUNGLAH DENGAN ZDNETKEANGGOTAANNAWALABANTUAN SITUSAKADEMI ZDNET