El último bug con nombre impresionante se llama KRACK y afecta a las redes wifi. De hecho, hay varios tipos de ataque del mismo tipo por lo que se ha denominado a esta nueva amenaza ataques KRACK.
Los ataques KRACK suponen que la mayoría de las redes wifi cifradas no son tan seguras como creíamos. Estos afectan a las redes que emplean el cifrado WPA y WPA2 que son actualmente la mayoría.
Un atacante que estuviera en el alcance de una red wifi, en teoría podría hacerse con algunos paquetes de información cifrada, con un resultado muy serio.
KRACK en pocas palabras
KRACK es la abreviatura de Key Reinstallation Attack (ataque de reinstalación de claves), que es un nombre curioso y posiblemente te deje tan confuso como la primera vez que lo escuchamos nosotros, por eso os dejamos nuestra extremadamente simplificada explicación del problema (por favor, téngase en cuenta que esta explicación es solo de un tipo de los distintos ataques similares KRACK).
En varias ocasiones durante una conexión cifrada inalámbrica, tú (el cliente) y el punto de acceso (el AP) deben comprobar las claves de seguridad.
Para realizar esto se utiliza el protocolo “four-way handshake”, que funciona de la siguiente manera:
- (AP al cliente) Acordemos una clave de sesión. Aquí tienes unos datos aleatorios para que te ayuden a computarla.
- (Cliente al AP) De acuerdo, aquí tienes también unos datos aleatorios míos para que también los uses.
En este punto, ambas partes pueden mezclar la contraseña wifi de la red (también llamada clave precompartida o PSK) y los dos bloques aleatorios de información para generar una clave de un solo uso para esa sesión.
Esto evita usar la PSK directamente en el cifrado y asegura una clave de un solo uso para cada sesión.
- (AP al cliente) Te confirmo que estamos de acuerdo en que tenemos suficientes datos para construir la clave de esta sesión.
- (Cliente al AP) Tienes razón, los tenemos.
Los ataques KRACK (con sus numerosas variantes) usan el hecho de que aunque este protocolo de cuatro pasos se ha probado que es matemáticamente seguro, se ha implementado de una forma no segura en muchos casos.
En particular, un atacante con un falso punto de acceso que pretendea tener la misma dirección MAC que el real, puede desviar el mensaje 4 y evitar que llegue al punto de acceso verdadero.
En ese vacío del protocolo, el cliente puede que ya hubiera comenzado la comunicación con el punto de acceso, porque ambas partes ya tenían una clave de sesión que estaban utilizando, aunque no hubieran finalizado el handshake.
Esto significa que el cliente ya estaría enviado material cifrado, conocido como keystream, para cifrar los datos que transmite.
Para asegurarse que el keystream es diferente cada vez, el cliente usa la clave de sesión más un nonce (un número de un único uso), para cifrar cada paquete, el nonce se incrementa con cada paquete de manera que el keystream es diferente siempre.
Según lo que podemos determinar, todos los ataques KRACK involucran keystream reusado al que se accede “rebobinando” la configuración del cifrado y en consecuencia cifrando datos distintos con el mismo keystream. Si conoces un paquete de datos puedes imaginarte el siguiente, ese es el mejor de los casos, ya que en otros puede hacerte con la conexión en ambos sentidos.
Volvemos al handshake
En algún punto, el punto de acceso verdadero volverá a emitir una copia del mensaje 3, posiblemente varias veces, hasta que el punto de acceso falso finalmente permita llegar el mensaje al cliente.
La certeza matemática del protocolo ahora se confronta con el descuido criptográfico de su implementación.
El cliente al fin termina con el handshake, resetea su keystream al “reinstalar” la clave de sesión (de ahí el nombre del ataque), y resetea el nonce al número siguiente después del paso dos del handshake.
Esto supone que el keystream se repite, lo cual es algo que nunca debería ocurrir para que fuera seguro criptográficamente hablando.
Si conoces el contenido de los paquetes de una conexión que estuvo cifrada una vez, puedes recuperar el keystream usado para cifrarlo. Si tienes el keystream del primer puñado de paquetes, lo puedes utilizar para descifrar los paquetes cifrados la segunda vez cuando se reuse el keystream.
Incluso si el atacante solo se hace con unos pocos paquetes de cualquier sesión, puede continuar con el ataque.
El oro en polvo suena menos valioso que un lingote, pero si recoges lo suficiente al final obtendrás el mismo valor.
¿Qué hacer?
Cambiar tu contraseña de wifi no ayudará, ya que este ataque no accede a la contraseña (PSK) en sí misma, pero permite a un atacante descifrar parte del contenido de las sesiones.
Cambiar de router tampoco servirá para nada, ya que hay muchas variantes de los ataques KRACK que afectan a prácticamente a todas las implementaciones de software wifi en todos los sistemas operativos.
Esto es lo que puedes hacer:
- Considera todas las conexiones wifi como si fueran las de una cafetería sin cifrar.
- Visita solo webs con HTTPS ya que al menos ese tráfico estará cifrado incluso si viaja por una conexión que no lo esté.
- Considera emplear una VPN, lo que significa que todo el tráfico (no solo el de Internet) estará cifrado, incluso si empleas una conexión que no lo esté.
- Aplica los parches KRACK tanto a los clientes como a los puntos de acceso tan pronto estén disponibles.
- Los usuarios de Sophos deberían leer el artículo 127658 de nuestra Knowledge Base.
Simplemente, si alguna vez has tomados las precauciones necesarias al usar una wifi pública sin seguridad, deberías tomar las mismas todo el tiempo. Si te preocupas por cifrar todo tu mismo, de una manera que tu escoges y controlas, nunca te tendrás que preocupar de lo que te puedes olvidar.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario