Dálkově ovládaný zámek FAB ENTR

Pokud se chcete vyhnout takovým katastrofám, jako že občas zapomenete doma klíče, nebo zapomínáte zamykat při odchodu z domu, či tu a tam ztratíte klíče, pak asi bude třeba se nad sebou zamyslet a nějak tuto situaci řešit.

maly 4A řešením pro vás může být inteligentní motorický zámek FAB ENTR, který vám umožní ovládat dveře přímo z vašeho Smartphonu či tabletu, pomocí PIN klávesnice, otiskem prstů nebo dálkovým ovládáním. Výhodou takového řešení je i to, že můžete přístupový kód zapůjčit třeba po dobu dovolené svým známým, aby se vám starali o kytičky a vaše domácí zvířectvo. Po vašem návratu pak zámek snadno přeprogramujete.

maly 2S pomocí tohoto motorického zámku získáváte chytré dveře. Jeho velkou předností je, že nemusíte nosit po kapsách nebo v aktovce klíče. Samozřejmě, můžete – v případě, že používáte dálkové ovládání – argumentovat tím, že si moc nepomůžete, protože místo klíče nyní nosíte elektronické dálkové ovládání. Ale ani to není nutné. Inteligentní motorický zámek FAB ENTR můžete totiž ovládat pomocí svého smartphonu, tabletu, PIN klávesnice nebo otiskem vašeho prstu.

Motorický zámek FAB ENTR je napájen výkonnou a ekologicky šetrnou baterií, které má výdrž až tři měsíce. V mobilní aplikaci můžete sledovat stav baterie a v případě nutnosti baterii dobít drátovou nebo bezdrátovou nabíječkou. Stejně jako cylindrická vložka FAB ENTR, tak také PIN klávesnice, dálkové ovládání a čtečka prstů nepotřebuje ke své instalaci a ovládání žádné kabely.

A i totální zapomětlivci mají šanci najít snadné řešení. Pokud často odcházejí z domu ve spěchu a nejsou si jisti, zda zamkli dveře, díky režimu automatického uzamčení dveří budou mít vždy jistotu, že se po jejich odchodu z domu dveře vždy uzamknou.

Díky kombinaci revolučních technologií a motorické cylindrické vložky FAB 2000 není k instalaci inteligentního zámku FAB ENTR nutný žádný zásah do dveří. Při instalaci můžete postupovat jako při standardní výměně vložky. Motorický zámek FAB ENTR vypadá z vnější strany dveří jen jako obyčejný zámek.

Motorická funkce zámku a automatická detekce zavření dveří zajistí, že dveře budou vždy uzamčeny a tedy bezpečné. Navíc kombinací s cylindrickou vložkou FAB 2000 ve 4. bezpečnostní třídě vytvoříte bezpečný přístupový systém k vašemu domu.

-LiM

KRACK: konec bezpečných Wi-Fi sítí?

KRACK značí zkratku Key Reinstallation AttaCK a dokáže zneužít čtyřcestné výměny informací, používané pro tvorbu šifrovacího klíče u WPA2. To se považovalo za bezpečnou metodu šifrování spojení u Wi-Fi mezi základnou a externím zařízením.

photographer 1927657 1920Tento klíč je pak používán během následné komunikace. Během třetího kroku navazování komunikace je však možné jej odeslat několikrát – a to je právě past, do které dokáže KRACK lapnout údaje – a pokud se mu to podaří, tím pádem dokáže úplně zbořit bezpečnost komunikace.

Výsledkem této činnosti je možnost odposlechu provozu mezi základnovou stanicí a připojeným zařízením. Odborníci tento stav nazývají jako únos spojení nebo situaci, kdy je možné do komunikace přidávat vlastní informace, které tam normálně nepatří. Zdá se tedy, že poklidné vody kolem WPA2 byly narušeny a že nastává doba, kdy může být doposud zabezpečená komunikace na sítích Wi-Fi s protokolem WPA2 narušena.

Informace o tomto stavu byly publikovány v pondělí 16. října v jedenáct hodin na webu KrackAttacks.com. Nicméně už několik týdnů před tím byla o této skutečnosti informována zhruba stovka organizací, mezi které patří především výrobci směrovačů a dalších komunikačních zařízení.

Aby tito měli šanci opravit formou aktualizací firmwaru funkčnost svých zařízení, nejsou další podrobnosti o této vzniknuvší chybě dosud známa a jsou pečlivě tajena.

Problém má být poprvé veřejnosti představen a diskutován na konferenci ACM Conference on Computer and Communications Security v Dallasu 1. listopadu 2017. Zde najdeme i jména přednášejících, kterými budou Mathy Vanhoef a Frank Piessens z KU Leuven a imec-DistriNet. Související přednáška už byla diskutována na Black Hat Security Conference v Las Vegas.

Podle toho, co je doposud známo, jsou zranitelná všechna zařízení od všech výrobců, dostupná na trhu a je jedno, pro jaký systém, zda pro Android či Linux, nebo Apple, Windows, OpenBSD, MediaTek i Linksys. Jak je známo, podle dostupných údajů, všechny zařízení jsou zranitelná „jednou z možných variant útoku“.

K dispozici jsou už i dokumenty, které detailně popisují tento útok, a dokonce existuje i video na YouTube, které demonstruje tento problém se zařízením s Androidem live: https://www.youtube.com/watch?time_continue=128&v=Oh4WURZoR98.

Co z toho plyne? Při vhodné konfiguraci klíče je možné sledovat provoz na síti směrem od klientského zařízení, ale v některých případech lze sledovat i směr opačný. Uživatel se může dodatečně (prozatím) chránit nasazením další vrstvy protokolu, například https, VPN a dalšími formami, ale odborníci tvrdí, že ani nasazení těchto protokolů nemusí zcela eliminovat únik informací!

Cíl útoku

Cílem útoku je čtyřcestný handshake, součást protokolu WPA2. Ten je aktivován klientem, který žádá o připojení k síti. Pak dochází k ověření údajů na obou stranách včetně hesla, a nakonec dojde k zaslání jednorázového šifrovacího klíče, který se stává základem následné komunikace obou stran. Důležité je vědět, že tento klíč je vždy pro každé uskutečněné spojení jedinečný a nesmí se opakovat. Při útoku Key Reinstallation AttaCK je vnucen obětem již jednou použitý klíč. Toho se dosahuje opětovným používáním již jednou odeslaných zpráv v rámci vzájemné komikace mezi jednotlivými uzly. Využívá se zde toho, že protokol umožňuje opakování zpráv při výměně jednorázového klíče, pokud protistrana nezareaguje správně. Normálně by v tomto přídě znamenalo přerušení komunikace a došlo k oznámení, že zpráva nedorazila, což způsobí, že přístupový bod bude tuto zprávu automaticky znovu opakovat. Klient tedy dostává opakovaně zprávu i s klíčem. Útok tak zneužije toho, že znovu tyto parametry resetuje, a přitom použije již dříve vysílané a zaznamenané zprávy. Tak klientovi podstrčí svou vlastní nonce (jedinečnou náhodnost) a tím oslabí či napadne podstatu šifrování.

Jsou-li známé parametry šifry, je možné odvodit použitý klíč, pokud známe otevřený obsah části komunikace. Pokud jej neznáme, je ale také možné, i když ne tak snadné. Není tedy tak složité najít rámce se známým obsahem a klíč ze šifrované podoby odvodit. Útok ovšem neumožní zjistit heslo Wi-Fi sítě ani odkrýt nový šifrovací klíč dohodnutý během handshake.

Výsledkem všeho je stav, kdy útočník může dešifrovat nebo zopakovat komunikaci. Pokud oběť navíc nepoužívá protokol AES-CCMP, ale spoléhá na WPA-TKIP nebo používá WiGig (a šifrování GCMP), je výsledek katastrofální. V takové situaci je možné nejen odposlouchávat, ale i vytvářet a padělat komunikaci, a díky tomu následně ovládnout klienta.

To, zda je možné sledovat a ovlivňovat oba směry, pak závisí na použitém handshake. Při běžném čtyřcestném handshake je možné číst rámce vysílané klientem. Pokud je ale ve hře Fast BSS Transition (FT) handshake, je možné sledovat a podvrhovat také rámce přístupového bodu. Podstatné také je, že většina útoků dovoluje manipulovat unicastovými, broadcastovými i multicastovými rámci.

Záplata existuje!

Je dobré vědět, že někteří výrobci už zareagovali použili záplatu, kterou lze použít na standard WPA2. Dokonce je dobré i to, že pokud některé zařízení už záplatu má, může směle komunikovat i se zařízením, které ji nemá. Podstatou záplaty totiž je, že při handshake je zařízení vnucen klíč, který již nelze poté změnit nebo přepsat.

Teď tedy bude na výrobcích, jak uvědomí uživatele svých produktů, aby provedli aktualizaci firmwaru svých zařízení – a tím pádem záplatovali možnost vniknutí cizího objektu do komunikace. Většina větších výrobců totiž už záplatu má, ale existuje reálná možnost, že spousta uživatelů si ji vůbec nikdy nenainstaluje, protože není tak technicky erudovaná, aby tuto operaci zvládli.

Podle dostupných informací mezi ty, kteří už zareagovali, společnosti Aruba a Ubiquiti, zaměřující se na velké korporátní sítě. Dále MikroTik, když sdělil, že jde o chybu v samotném protokolu, takže i správná implementace je napadnutelná. Součástí oznámení ale – prý – byla také doporučení k úpravě protokolu výměny klíčů, která by měla minimalizovat dopad problému. I Debian už oznámil vydání záplatovaných verzí WPA supplicantu pro podporované verze.

Podle zahraničních pramenů -LiM

Barracuda Academy se společností Comguard

Rádi bychom Vás pozvali na jedinečný workshop, který pořádá společnost COMGUARD ve spolupráci se společností Barracuda na téma: Real use of Barracuda product!

Na připravovaném workshopu se s Vámi podělíme o:

  • praktické zkušenosti s nasazením Web Application Firewall v praxi
  • odpovědi na otázky, v čem je Barracuda WAF lepší než F5? V čem je lepší Barracuda NG FW než jiná řešení?
  • naší pozornosti neuniknou ani Email Gateway, Message Archiver na use case České Televize, Office 365 a představíme Vám univerzitní program na Univerzitě sv. Cyrila a Metoděje v Trnavě 

Datum:               17. 10. 2017

Čas:                     9:00 – 13:00 (registrace od 8:30) 

Místo:                 Green Garden Hotel * Fügnerovo náměstí 1865/4 | 120 02 Praha

Registrace       

Více informací naleznete v pozvánce.

Nejčtenější