Windows allerede beskyttet mot Wi-Fi-angrepet

[BaldEagle]

 

 

 

 

Vært kjent i månedsvis, fiksen kom "allerede" på tirsdag?

 

AtW

Kan være en del av dealen, sånn at det ikke er Microsoft som avdekker denne sårbarheten,

 

 

Hvordan hadde det blitt avdekket? Info fra MS angående updates er ekstremt vag, og kildekoden er ikke åpen.

 

AtW

Ok... en åpen kildekode fanatiker. MS fikset dette først av alle etter å ha bli varslet og før svakheten ble kjent... kanskje et bevis at åpen kildekode ikke er en hellig gral. Linux inkl. Android burde kanskje gå i seg selv og bli mindre selvhøytidelig mht hvor sikkert og bra det er.

 

 

Hva i alle dager er det du rører om nå? Det faktumet at det ikke er åpen kildekode betyr, som jeg sa, at informasjonen om teknikaliteten rundt bruddet er skjult. Hva med å forholde deg til det folk skriver og ikke fantasere fram andre meninger.

 

AtW

Det var skjult av forskerne og leverandørene i felleskap. Du blander inn anti-MS bias med vrøvl om åpen kildekode. Har ingenting med saken å gjøre. MS har vist seg å være best i klassen i motsetning til plattformer med åpen kildekode.

[ATWindsor]

Faktum er at MS kunne gitt en security update angående dette uten å avsløre noe nevneverdig, fordi de har vage beskrivelser, og lukket kildekode. Det har ingenting med "anti-MS" eller "pro åpen kildekode" å gjøre. Det er DU som blander inn dette her, ikke jeg. 

 

AtW

[Tore Rosander]

 

Hva med alle enheter som ikke får oppdatering (web-kamera, mobiler, nettbrett, TVer, forsterkere, spillkonsoller etc etc). Når man gikk fra WEP og WPA til WPA2 ble f.eks. ikke Sony PSP oppdatert. Så for å få den på nett må jeg "sette ned" sikkertheten til "WEP" på ruteren. Vil det samme kunne skje med TVer, web-kamera, mobiler?

 

Ettersom dette er eit problem på klienten, så er det ingenting på ruteren å oppgradera eller nedgradera. Enheter som ikkje blir oppgradert vil ha lavare sikkerhet.

Mange routere kan også fungere som klienter (aksesspunkter og repeatere) og er dermed sårbare for angrepet på lik linje som alle andre klienter.

[timeshift]

 

 

 

Vært kjent i månedsvis, fiksen kom "allerede" på tirsdag?

 

AtW

Kan være en del av dealen, sånn at det ikke er Microsoft som avdekker denne sårbarheten,

 

 

Hvordan hadde det blitt avdekket? Info fra MS angående updates er ekstremt vag, og kildekoden er ikke åpen.

 

AtW

Ok... en åpen kildekode fanatiker. MS fikset dette først av alle etter å ha bli varslet og før svakheten ble kjent... kanskje et bevis at åpen kildekode ikke er en hellig gral. Linux inkl. Android burde kanskje gå i seg selv og bli mindre selvhøytidelig mht hvor sikkert og bra det er.

 

For det første, det ATWindsor faktisk spurte om var om hvordan en tidlig sikkerhetsoppdatering av lukket kildekode eventuelt ville kunnet ha avslørt den faktiske sårbarheten som rettes og om hvorfor det tok så lang tid før sikkerhetsoppdateringen forelå.

Problemet med dette er at lukket kildekode er ikke så lukket at det utelukker risikoen for motiverte aktører fra å analysere og tilegne seg informasjon om hvordan en sikkerhetsfiks fungerer. Når vi i tillegg har å gjøre med sårbarheter som rammer et så stort antall produkter i fra en mengde forskjellige leverandører og med et slikt alvor som tydeligvis er tilfellet her, som således har en rimelig stor verdi for aktører med ondsinnede hensikter, så kan vinduet fra en fiks foreligger til sårbarheten aktivt utnyttes bli meget smalt. Det er en risiko som ikke er verdt å ta i de tilfeller der man har andre muligheter. Denne gang så ble sårbarhetene varslet på ansvarlig vis, de ble altså ikke bare frigitt uten å gi leverandørene tid på seg til å lage sikkerhetsfikser. Dette ga derfor rom for noenlunde koordinerte slipp, det er det som har tatt tid, men nå som rettelsene rulles ut fortløpende så er det kun et tidsspørsmål før sårbarhetene vet å utnyttes (om det ikke alt gjøres).

Det eneste som gjelder nå er å oppdatere det en kan. Dessverre så er utsikten dårlig for de fleste IoT-dingser som, i likhet med BlueBorne-sårbarheten tidligere i år, aldri vil få noen oppdatering som retter problemene.

 

For det andre BaldEagle, så tar du feil når du sier at Microsoft var først ute. Siterer i fra krackattacks.com:

Why did OpenBSD silently release a patch before the embargo?

 

OpenBSD announced an errata on 30 August 2017 that silently prevented our key reinstallation attacks. More specifically, patches were released for both OpenBSD 6.0 and OpenBSD 6.1.

 

We notified OpenBSD of the vulnerability on 15 July 2017, before CERT/CC was involved in the coordination. Quite quickly, Theo de Raadt replied and critiqued the tentative disclosure deadline: “In the open source world, if a person writes a diff and has to sit on it for a month, that is very discouraging”. Note that I wrote and included a suggested diff for OpenBSD already, and that at the time the tentative disclosure deadline was around the end of August. As a compromise, I allowed them to silently patch the vulnerability. In hindsight this was a bad decision, since others might rediscover the vulnerability by inspecting their silent patch. To avoid this problem in the future, OpenBSD will now receive vulnerability notifications closer to the end of an embargo.

[ATWindsor]

Man vet ikke at patchen har stor verdi, fordi den er lukket, og MS er vage, og det skjedde jo tydeligvis ikke med freeeBSD-patchen engang, enda den er helt åpen.  Virker som en større risiko å lansere det så sent.

 

AtW

[timeshift]

Men vi vet at sårbarheter med stort omfang naturligvis har en viss verdi. Hvorvidt en aktør med ondsinnede hensikter faktisk vil tilegne seg kunnskap om sårbarheter utfra en sikkerhetsfiks er jo noe en aldri vil kunne vite på forhånd, men lærer om først etter at en evt. skade alt har skjedd. Kan man unngå det så er det noe man bør forsøke å unngå så langt det er mulig.

Det å sitte på en sårbarhet utgjør utvilsomt også en viss risiko i seg selv, men når en har å gjøre med sårbarheter som vil kunne ramme veldig mange leverandører og det i tillegg ikke finnes noen antydning til aktiv utnyttelse så vil det være minst risikabelt å få til et så koordinert slipp som praktisk mulig.
Likevel, ser den at det kan jo være et poeng å spørre om andre leverandører fortsatt burde ha ventet når OpenBSD var ute med en fiks allerede i august. Som det fremgår av sitatet ovenfor så har varsleren gjort seg noen tanker om dette i etterkant og skriver at han ved en evt. annen anledning vil forhindre at rettelser utgis tidligere enn en avtalt koordinering for å unngå den risikoen det helt klart utgjør.

[nebrewfoz]

Vært kjent i månedsvis, fiksen kom "allerede" på tirsdag?

 

AtW

 

"Månedsvis?"  Hva slags kalender bruker du?

CERT/CC sendte ut et varsel til alle produsenter av WiFi-utstyr 28. august 2017.

 

Det er mye faktainformasjon å finne på Vanhoefs webside: https://www.krackattacks.com/

[ATWindsor]

 

Vært kjent i månedsvis, fiksen kom "allerede" på tirsdag?

 

AtW

 

"Månedsvis?"  Hva slags kalender bruker du?

CERT/CC sendte ut et varsel til alle produsenter av WiFi-utstyr 28. august 2017.

 

Det er mye faktainformasjon å finne på Vanhoefs webside: https://www.krackattacks.com/

 

 

Kalenderen "lese artikkelen jeg kommenterer på" der første setning er:

 

"Wi-Fi-sårbarheten KRACK, som ble offentlig kjent i går, har vært kjent for mange programvareleverandører i flere måneder. "

 

AtW

[nebrewfoz]

Så du tar det digi.no skriver for god fisk?

Du burde vel ha lært nå at man alltid skal sjekke kildene for å finne ut hva sakene egentlig handler om.

 

Men, ok, du uttalte deg på sviktende grunnlag.

[ATWindsor]

Så du tar det digi.no skriver for god fisk?

Du burde vel ha lært nå at man alltid skal sjekke kildene for å finne ut hva sakene egentlig handler om.

 

Men, ok, du uttalte deg på sviktende grunnlag.

 

Stort sett regner jeg med at de skriver riktige ting ja, ellers er det ikke noen vits og lese eller diskutere. 

 

Du får gjerne mene at det er så forferdelig å ikke sjekke alle mulig kilder til alle saker, som viser at det er hva da, 2 måneder, istedet for "flere måneder"? Personlig hadde jeg nok godt noe mindre hardt ut. Jeg tviler på at du sjekker bakgrunnen for alle saker du leser på nett heller.

 

AtW

[Harald Brombach (digi.no)]

Så du tar det digi.no skriver for god fisk?

Du burde vel ha lært nå at man alltid skal sjekke kildene for å finne ut hva sakene egentlig handler om.

 

Men, ok, du uttalte deg på sviktende grunnlag.

Når Vanhoef skriver "We sent out notifications to vendors whose products we tested ourselves around 14 July 2017", så har disse leverandørene kjent til dette i flere måneder.

[nebrewfoz]

Når Vanhoef skriver "We sent out notifications to vendors whose products we tested ourselves around 14 July 2017", så har disse leverandørene kjent til dette i flere måneder.

 

Men det står ingen steder at Microsoft var blant disse som ble varslet 14/7.

De kan ha fått det generelle varslet fra CERT 27/8, noen som antageligvis ikke ga dem nok tid  til å få klar en patch til 2. tirsdag i september. (Eller de har forholdt seg til planen til WiFi Alliance.)

 

Mitt poeng til AtW var at han burde sjekke kildene til artikkelen (og/eller supplerende materiale), ikke nødvendigvis fordi det som står i digi's artikkel er feil, men fordi det som regel står mer i kildematerialet. Og hvis man forholder seg til fakta (påstander?) i kildematerialet, så slipper man å gjette så mye.

Endret 18. oktober 2017 av nebrewfoz

[Harald Brombach (digi.no)]

Mitt poeng til AtW var at han burde sjekke kildene til artikkelen (og/eller supplerende materiale), ikke nødvendigvis fordi det som står i digi's artikkel er feil, men fordi det som regel står mer i kildematerialet. Og hvis man forholder seg til fakta (påstander?) i kildematerialet, så slipper man å gjette så mye.

 

Da er vi helt på linje. Vi er for øvrig ganske nøye med å lenke til kildene vi bruker (i den grad de er tilgjengelige på nett), slik at leserne kan etterprøve eller lese mer om det vi skriver. Feilfrie er vi selvfølgelig ikke. Vi kan oversette feil, misforstå sammenhenger eller overse viktige poenger. Vi retter selvfølgelig, dersom vi blir gjort oppmerksomme på dette.