Seguridad WPA2 rota. Redes domesticas vulnerables. ¿Ahora qué?. ¿Actualización de software para corregir la vulnerabilidad o reemplazo de los routers?

B/D
El WIFI me llevó al sofá
El WIFI me llevó al sofá
Seguridad WPA2 rota. Redes domesticas vulnerables. ¿Ahora qué?. ¿Actualización de software para corregir la vulnerabilidad o reemplazo de los routers?

Extremadamente grave, somos todos vulnerables. La noticia saltó ayer en diversos medios especializados. 

 

Espero que Movistar consiga lanzar una actualización de software que corrija la vulnerabilidad -si es que es siquiera posible-

Mensaje 1 de 40
13.887 Visitas
39 RESPUESTAS 39
Theliel
Yo probé el VDSL

Señores, no afecta a los AP, sólo a los dispositivos que actuúan en modo cliente.

 

Dado que los Routers de Movistar no pueden usarse como equipos clientes WIFI ni repetidores, no les afecta, no hay nada que resolver.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 26 de 40
5.418 Visitas
JuanJoséCerezoMata
Mi vida cambió con el ADSL

Falso, la lista blanca de macs (ademas que se puede saber la mac de una maquina conectada sin que el atacante se conecte capturando paquetes de la red, sacas la mac del router y de todos los clientes conectados luego solo tendrias que coger una mac de las que estan conectadas incluirla como tuya con un determinado software y echar de la red al dueño de la mac legitima) nada tiene que ver pues es una vulnerabilidad que se explota sin necesidad de estar conectado al wifi, solo con estar cerca de lo que trata es de capturar paquetes cifrados por wpa2 y reventar tu privacidad y datos personales es decir pueden descrifrar lo que envias, numeros de cuentas etc etc etc, requiere estar cerca al igual que cuando saben tu clave y permite acceder a tus recursos compartidos como si estuviese dentro de tu red, mucho me temo que movistar no se molestara en actualizar el firmware de los antiguos homestation  ASL-26555 ya que desde su pagina la ultima version disponible en la web de movistar  v2.0.0.51B_ESv6 este firmware ya tiene su tiempo y me da que tendre que sustituirlo por el que me entregaron el pequeño feo sin antenas con menos cobertura que el mando de la tele, aunque en principio bastaria con securizar uno de los puntos de conexion, es decir el securizar el router es por si conectas un dispositivo inseguro con la vulnerabilidad pero si en lugar del router actualizas todos los dispositivos entonces dejaria de ser vulnerable ya que al parecer es una vulnerabilidad en el lado cliente en el proceso de negociacion 

 

El proceso de hackeo busca atacar directamente el handshake de 4 vías del protocolo WPA2 que tan seguro lo hace. Este handshake se produce cuando un usuario se va a conectar a la red, y en él se verifica que tanto el cliente como el punto de acceso tengan en su posesión las credenciales correctas (en este caso, una contraseña). Una vez se realiza la conexión, se genera una nueva clave de cifrado que se usa para cifrar todo el tráfico que se transmitirá. Lo que busca el ataque es engañar a la víctima para que reinstale una clave ya en uso mediante la manipulación de los mensajes cifrados del handshake. 

 

que yo me explico muy mal XD

Mensaje 27 de 40
5.373 Visitas
JuanJoséCerezoMata
Mi vida cambió con el ADSL

¿Estas seguro de eso? una cosa es que basta con solucionar uno de los dos extremos de la comunicacion y otra muy distinta afirmar eso, se puede resolver por las dos partes, la diferencia es que los moviles casi no los actualizan con lo que la actualizacion del firmware del router se hace necesaria, ademas que el router participa en la negociacion de la conexion y tambien debe verificar que no se ha sustituido la clave de cifrado ya utilizada la generada en el primer paso de la negociacion dicho de otro modo y lo pongo en negrita.

 

El proceso de hackeo busca atacar directamente el handshake de 4 vías del protocolo WPA2 que tan seguro lo hace. Este handshake se produce cuando un usuario se va a conectar a la red, y en él se verifica que tanto el cliente como el punto de acceso tengan en su posesión las credenciales correctas (en este caso, una contraseña). Una vez se realiza la conexión, se genera una nueva clave de cifrado que se usa para cifrar todo el tráfico que se transmitirá. Lo que busca el ataque es engañar a la víctima para que reinstale una clave ya en uso mediante la manipulación de los mensajes cifrados del handshake. 

Etiquetas (1)
Mensaje 28 de 40
5.371 Visitas
JuanJoséCerezoMata
Mi vida cambió con el ADSL

Patez escribió:

Buenas,

 

Como han dicho parece que son los equipos que se conectan al router a los que les afecta:

 

https://www.genbeta.com/seguridad

 

  • Microsoft: lanzaron actualizaciones de seguridad el 10 de octubre para todos aquellos con Windows Update activo.
  • Apple: tienen un parche en beta para iOS, macOS, watchOS y tvOS que estará liberando en una actualización de software durante las próximas semanas.
  • Google: están al tanto del problema y estarán actualizando los dispositivos afectados en las próximas semanas.
  • Amazon: están revisando cuáles dispositivos sin vulnerables y estarán liberando parches cuando sean necesarios.
  • Samsung: están al tanto y estarán liberando parches a sus dispositivos en las próximas semanas.
  • Cisco: la compañía está investigando que productos son vulnerables a KRACK. Hasta ahora han lanzado parches para algunos pero otros siguen esperando que termine la investigación.
  • Linksys/Belkin: están al tanto y dicen estar verificando detalles y publicarán instrucciones en su página de seguridad para decir a los clientes cómo y si necesitan actualizar sus productos.
  • Netgear: han lanzado parches para algunos de sus routers, la lista completa aquí.
  • Arris: están evaluando su portafolio pero no han dicho cuando liberarán parches.
  • Intel: han publicado una lista de controladores WiFi actualizados y parches para las placas afectadas.
  • Nest: están al tanto del asunto y estarán liberando parches para sus productos en las próximas semanas.
  • Linux: un parche está disponible y Debian y derivados pueden aplicarlo ya.
  • OpenBSD fue parcheado en julio.
  • FreeBSD: se está trabajando en un parche para el sistema base.
  • HostAP, el proveedor de drivers para Linux ha liberado varios parches.


No quiero parecer poco cortes ni meterme contigo ni nada pero te lees lo que publicas?, dices que parece que no pero en una de las marcas que indicas pone actualizacion de router, si es actualizacion de router le afecta. el problema es de ambos lados, solo que con actualizar uno de ellos securizas esa conexion con ese dispositivo pero si al router se conecta otro dispositivo vulnerable siguen pudiendo acceder a tu red, hasta que no solventes o bien el router o bien todos los dispositivos que se conecten a el

Mensaje 29 de 40
5.370 Visitas
Theliel
Yo probé el VDSL

Buenas de nuevo,

 

Como dice @JuanJoséCerezoMata el uso de filtrados MAC no sirve absolutamente de nada, creo que sería bueno ir suprimiendo dicha función de los equipos, que al final lo que dan es la falsa creencia de seguridad. Con lo que no estoy de acuerdo contigo es sobre actualizar Routers, tu mismo dices efectivamente que afecta al cliente. Añadir una "lógica" para denegar la conexión de equipos inseguros no tiene ningún tipo de sentido por dos motivos: El primero porque para hacerlo tendría que atacar prácticamente el mismo al cliente, y el segundo porque no le darías opción al usuario.

 

Por otro lado, sobre que pueden robarte contraseñas, cuentas bancarias y otros... a ver, que potencialmente se puede desencriptar el tráfico entre Router-Cliente es cierto, pero eso no significa ni mucho menos que lo que hagas en inet está a la vista. Si a día de hoy hay alguien que sea capaz de meter contraseñas o cuentas bancarias o tarjetas de crédito... en webs o aplicaciones que no usan TLS/SSL, sinceramente esas personas tienen un serio problema. Es más sencillo que todo ello. En el peor de los casos, aquellos dispositivos que no se actualicen y sean vulnerables por el tiempo que sea, que tomen cualquier red WIFI como si fuese una red WIFI pública. Y ojo, todo el mundo usa redes WIFI públicas constantemente y no pasa nada... bueno, no pasa nada la mayoría de las veces.

 

Sí, es importante actualizar los dispositivos y la inmensa mayoría de los fabricantes y los grandes desarrolladores ya están en ello, y conociendo al personal dudo mucho que tarden más de 1-2 semanas. Obviamente esos cambios deberán llegar a TODOS antes o después, o seguirá expuestos. No es posible parchear los Router, a menos que sean repetidores o puedan usarse como clientes. Pero no se puede actualizar un Router para impedir que un cliente se vea afectado, como se ha dicho se fuerza al cliente a negociar una key con el router que el atacante quiera, y eso no lo puede evitar el Router. Por eso la mayoría de fabricantes de Hardware de Red están haciendo inventario de cuales son vulnerables (o podrían) y cuales no.

No hay que ser alarmistas, hay que entender el problema, y actuar en la medida de lo posible.

 

Lo único QUE SI TENDRIA que actualizar Movistar, serían sus repetidores, y sus decos WIFI, no los Router, ya que ninguno de ellos puede usarse como repetidor ni como cliente.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 30 de 40
5.330 Visitas
ÁngelR.Guijarro
Más integrado que la RDSI

Buenas, yo también tengo el Mitrastar y he puesto filtro para las MAC, no he leído en ningún sitio que ayude para el tema de KRACK de la WPA, pero supongo que si con el krack consiguen la contraseña y usuario de entrada, con esta medida no podrán acceder a la red por no estar autorizados desde el router.

Te indico cómo:

Entras a la ip donde tengas el router  poniendo la dirección y contraseña que viene en la parte de atrás ("Datos de acceso al Router"), pones estos datos en el navegador (en mi caso uso Chrome).

Tienes que ir a la tercera opción "Configuración Avanzada" (aplicar en el diálogo que te avisa de que tengas cuidadito) y ahora al segundo icono, "Configuración de la red"->"Wireless 2.4Ghz". La tercera opción que aparece en la cabecera de la página es "MAC Authentication" ahí aparece el nombre de tu red "SSID" y tes opciones "disable, Permitir, Denegar" eliges Permitir y vas añadiendo MACs dando al botón "Add new MAC address".

En principio, haciendo esto, sólo podrán conectar por wifi a tu red, dispositivos con estas MAC.

Espero que te haya servido y pueda servir a otros que busquen una solución a este asunto del KRACK. 

Un saludo.

Mensaje 31 de 40
4.984 Visitas
ranger
Yo probé el VDSL

Hola,

Estoy interesado en saber si Movistar ya tiene actualizaciones de firmware para los routers que proporciona para solucionar el reciente problema de vulnerabilidad en WPA2 (KRACK).

https://www.cnet.com/news/krack-wi-fi-security-flaw-puts-all-wireless-devices-at-risk-of-hijack/ 

 

Estoy interesado en actualizacion de firmware de Huawei B315s-22 . Si aun no esta disponible, cual es el tiempo estimado que Huawei os esta dando para obtener dicho firmware/parche ?

 

  Un Saludo,

  Ranger

Mensaje 32 de 40
5.024 Visitas
Emilio-Movistar
Community Manager

Hola a tod@s

 

En relación a la noticia publicada en diversos medios respecto al ataque al protocolo WPA2 (KRACKs) , señalar que dicho ataque está dirigido principalmente a los dispositivos privados de los clientes (Ordenadores, Tablets, Smarphones, etc.) y no directamente contra los EDC’s (routers en domicilio del cliente.)

 

En tanto en cuanto los fabricantes de dispositivos de gran consumo, no actualicen el software de dispositivos y se actualicen los mismos, se recomienda seguir utilizando navegación en sitios seguros (https) principalmente cuando se manejen datos sensibles o confidenciales (medios de pago, datos personales) o la utilización de redes privadas virtuales (VPN’s) para una mayor nivel de protección bajo cualquier circunstancia.
 
En cuanto a la posible afección en routers en el domicilio de nuestros clientes, indicar que la configuración dispuesta por Movistar (protocolo 802.11r deshabilitado y configuración de cifrado AES-CCMP) hace que no sea posible implementar un ataque contra estos equipos, por lo que un hipotético ataque iría dirigido a los dispositivos del cliente como se ha indicado anteriormente (si no se encuentra debidamente actualizado).
 
Por ultimo indicar que algunos fabricantes como Microsoft, ya han publicado actualizaciones en sus sistemas operativos para corregir este problema. En cuanto a los terminales móviles, dependerá de Sistema Operativo (Android, Windows, iOS) y el fabricante (Samsung, Huawei, etc.) por lo que recomendamos actualizar el software de smartphones y tablets a la última versión disponible por cada uno de los fabricantes.
 
Un saludo 



Consulta nuestras ofertas y servicios sobre miMovistarTarifas Móvil, ADSL y Fibra, Móviles, Televisión Ofertas  Movistar.


No te pierdas los últimos estrenos de Movistar+ en Cine, Series, Motor, Deportes, Toros y el mejor Fútbol

Ser usuario registrado de Movistar.es tiene sus ventajas. Si aún no lo eres, regístrate, ¡¡es gratis!!: mi movistar


Una de las ventajas es poder ver tu factura en Consulta Factura online.


También te invitamos a seguirnos en TwitterFacebook , Telegram e Instagram




Solución aceptada.png
Mensaje 33 de 40
4.902 Visitas
joakinbv
Yo probé el VDSL

Y los móviles que vende, sacaran actualización par ellos?

mi s8 ahora mismo, es vulnerable, pues la última actualización es de antes de que sacaran la noticia.

tiene previsto actualizar los móviles? 

Mensaje 34 de 40
4.771 Visitas
F650
Yo probé el VDSL

Helo.

 

Samsung tendrá que sacar una actualización de su versión de Android con los cambios

en la parte del interfaz WIFI que se requieren.

 

Salu2.

Mensaje 35 de 40
4.533 Visitas
FJGH
El WIFI me llevó al sofá

Xiaomi por ejemplo ya ha sacado una actualización para sus terminales,

Mensaje 36 de 40
4.514 Visitas
JuanJoséCerezoMata
Mi vida cambió con el ADSL

Nunca he dicho que no afecte a los routers, afecta solo que no se le puede atacar directamente o eso quieren dejar a entender, pero los routers se pueden conectar a otros en modo cliente (funcionando como repetidor de la señal) y es entonces en ese punto cuando son ellos los vulnerables, lo que yo estoy diciendo es que si quieres realmente securizar correctamente una red, el punto de acceso es el que deberia comprobar que la clave de cifrado es la misma que espera y no se corresponde con una anterior con lo que en lugar de estar parcheando 20 dispositivos conectados a tu red solo tienes que securizar uno, si securizas tu movil y no tu portatil la comunicacion entre tu portatil y tu movil por mucho que actualices seguira estando rota porque uno de los canales no esta securizado, es decir que la comunicacion entre portatil y router no es segura y por tanto entre movil y portatil a traves del router tampoco

 

¿Me he explicado mejor ahora?

Mensaje 37 de 40
4.438 Visitas
JuanJoséCerezoMata
Mi vida cambió con el ADSL

Solo digo una cosa, te sorprenderia hasta que punto puede llegar la estupidez humana si ya ves que se quejan en soporte tecnico hasta de que no funciona el posa vasos integrado en el ordenador ya puedes esperarte de todo.

 

XD

Mensaje 38 de 40
4.435 Visitas
JuanJoséCerezoMata
Mi vida cambió con el ADSL

del wds dependiendo de como este implementado es una conexion bridge dicho de otro modo en algunos routers funciona como si fuese un equipo cliente con lo que ya estariamos con la vulnerabilidad, te pongo un ejemplo las radio antenas Ubiquiti NanoStation tienen el modo de funcionamiento modo estacion, en el que se conectan a un punto de acceso en modo cliente y mandan la señal a otro equipo por cable o bien a otro router neutro a la entrada internet, la antena como tal funciona como router monopuerto, el modo bridge en realidad lo que hace son 2 redes separadas y el funciona de puente entre ellas, si conectas con un router igualmente se conecta en modo cliente con lo que estamos en las mismas, el wds funciona del mismo modo, aunque a dia de hoy poca gente usa wds, yo cuando dije lo de securizar el router no me referia a que fuese el problema sino que forma parte del problema, y que si parcheas el router evitas el problema completo, mientras que si solo se parchea el sistema operativo solo solucionas parte de el, ya que la vulnerabilidad seguirá existiendo en alguno de los dispositivos vulnerables que conectes, de nada sirve, es decir la fuerza de la red es la del dispositivo mas débil, vamos que con que exista un dispositivo en la red que sea vulnerable toda la red lo será, por eso digo que deberia parchearse el router ya que si a nivel cliente la vulnerabilidad permite sustituir el mensaje el error tambien esta en el otro punto que no verifica la no manipulacion del mensaje.

Mensaje 39 de 40
4.428 Visitas
Folgo
El WIFI me llevó al sofá

Tratándose de Movistar, no debe de sorprendernos que a día de hoy aún no haya publicado el parche que corrija la vulnerabilidad aquí tratada en sus distintos router. En efecto, el que no nos sorprenda no es óbice para que esta operadora deba exigir a los distintos fabricantes de los router que comercializa la publicación de los parches.

En mi caso, el router de Movistar sólo recibe la fibra óptica y gestiona VoIP. Y está conectado al WAN del (auténtico) router que gestiona la red por cable y Wifi. Claro, el fabricante del router, como no es de Movistar, actualizó su firmware al segundo día de conocerse la vulnerabilidad tratada en este hilo. ¡Menos mal que se trata de la mayor operadora de origen español! 

Mensaje 40 de 40
4.316 Visitas