あんまり情報が出てないのですが、このツイートにぶら下がった情報が結構濃かったのでメモに ・ω・
Kenn White 氏はセキュリティ研究家でOpen Crypto Audit Project(OCAP)の共同ディレクター でOpenSSLの監査もしている人物
タイトル簡単にしたので、補足すると
WPA2は正式には 認証プロトコルで、ここにAES とか TKIPの暗号化方式、PSKとかEAPという暗号化したキーの処理方式がぶら下がってる ・ω・
Kenn White's tweet
Kenn Whiteさんのツイート: |
Q: WPA2 の脆弱性は、ベンダー / OSに依存する、プロトコル自体に関連するものではなく実装の問題ですか?
A:いいえ、WPA2の「ほとんどまたはすべての正しい実装」が影響を受ける。WPA2のWi-Fiの脆弱性では、不正利用に対する防御、特にノンセー・ディスソルテイング攻撃を見直すべき
https://eprint.iacr.org/2016/475.pdf
※ 追記、すみません質問形式なのに、Google翻訳にかけたら、疑問符が抜けていました
・この脆弱性の背景
https://www.blackhat.com/docs/webcast/08242017-securely-implementing-network2.pdf
・4-way handshake の欠陥でルーターのファームウェアの修正で直る
https://github.com/ICSec/airpwn-ng
・CCSの論文 「キー再インストール攻撃:WPA2でNonce Reuseを強制する」 が該当
・OSPF LSAの脆弱性をみるに、プロトコルが本当に安全なのか疑問が残る
・CVE-2017-13077・CVE-2017-13078・CVE-2017-13079・CVE-2017-13080・CVE-2017-13081・CVE-2017-13082・CVE-2017-13084・CVE-2017-13086・CVE-2017-13087・CVE-2017-13088 が脆弱性
https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_vanhoef.pdf
フォーティネットは既にCVE-2017-13080 にパッチを適用済みと主張
http://docs.fortinet.com/uploaded/files/3968/fortiap-s-fortiap-w2-v5.6.1-release-notes.pdf
https://lirias.kuleuven.be/bitstream/123456789/547640/1/usenix2016-wifi.pdf
・以前からGTKの生成に関する問題が提示されていた、悪いRNGを使用したものが実装例とされていて、人々はそれを実装しました
それまでどうすればいいかの問いに対して「VPN使うしかないんじゃね?」って書いてますね ・ω・
複数の脆弱性があって、一部はファームウェアで対応可能・一部は実装レベルの問題でやばいみたいですね
These ways are very simple and very much useful, as a beginner level these helped me a lot thanks fore sharing these kinds of useful and knowledgeable information.
返信削除Self Employment Tax
Tax Preparation Services
Tax Accountant
Tax Consultant
Tax Advisor