自宅でKRACKsの対策・周知を行いたかったので、自分用のメモとして簡素にまとめました。
攻撃方法
- WiFiの暗号化キーの乱数生成器(RNG)の脆弱性を突く
- WPA2-TKIP(RC4)にダウングレード(キーの再インストール)
- WPA2-TKIP(RC4)の脆弱なアルゴリズムからWiFiデータの解読をする
- WPA-TKIP、WPA-AESであれば偽造パケットを注入される
- AndroidやLinuxの場合は容易に通信の盗聴や操作ができる
攻撃されない条件
- 元々の通信がTLSやSSLで暗号化されている
- 物理的に攻撃者がWiFi端末の近くでデバイスを操作しないと、攻撃できない
- 現状ではインターネットを経由してリモートから攻撃できる脆弱性ではない
暫定対策
ファイルサーバ
- 「SMB3.0」で必ず接続しクライアント側で暗号化を有効にする、1.0と2.0は無効化/停止にしたい。
- nasuneやルータ内蔵のファイルサーバ製品がSMB3.0以降に対応しているか??
ブラウジング(Web、Http等)
- プライベートな通信(個人情報、クレジットカード情報を伴う通信)は「HTTPS」「TLS」「SSL」等、暗号化通信を積極的に使う
暫定対策で救えないもの
接続先のSSL証明書に検証不備や、HSTS無効
- HSTS(HTTP Strict Transport Security)が無効だと、HTTPSに通信が限定されない可能性がある
脆弱性のあるVPNアプリを利用している
- OpenVPN系はログを残している可能性があるので、信用できないかもしれない
- 自前VPNサーバが安心、ただし、定期的にパッチを当てる障害対応など保守運用が必要
各アプリケーションのネットワーク通信など
- プライベートな通信が「TLS」「SSL」で暗号化通信されてない場合に影響する
- そもそも外部に漏れてはいけない通信は暗号化してると思いたいが、ローカルLAN内のみ通信を考慮しているアプリならありえる。
恒久対策
Wifiクライアント/ルータのファームウェアアップデート
- 対象は我が家ではASUS/NECのWiFiルータ、Android、iOS、Windows、各ゲーム機(PS3、PS4、PSVita、VitaTV、PSP、DS、3DS、Switch等)、テレビ、AmazonTV、AppleTV、TinkerBoardなどと思われる
- サポートが切れたAndroid端末(2年以上前に発売?)でWPA2に対応しているもののパッチ対応は絶望的と思われる
各社対応状況
- Microsoftは10/10リリースのWindowsアップデートで対策済み
- Googleは「今後数週間以内に」影響を受けるデバイスの修正を約束している
- AppleはBeta版で対応済みらしい
- Linuxは修正パッチが出回っているらしい