Hace unas horas ha salido la noticia: WPA2 ya no es un protocolo seguro para Wifi y con WEP defenestrado hace años, las conexiones domésticas se quedan sin opciones fáciles de configurar.
Todavía quedan cosas como RADIUS o una red VPN, pero son protocolos y sistemas inaccesibles al común de los mortales. Lo peor no es que no haya una alternativa inmediata ni que ahí fuera haya innumerables dispositivos ofreciendo servicio cuya seguridad ya no está garantizada, sino que la mayoría de esos dispositivos no van a recibir una actualización para solventar el problema.
Al ataque se le ha denominado KRACK (Key Reinstallation Attack) y permite a un intruso escuchar el tráfico cifrado entre el punto de acceso y el cliente sin que este pueda saberlo. Este fallo de seguridad se conoce desde hace tiempo, pero los investigadores que lo encontraron decidieron publicarlo con cierto orden.
Según parece, la vulnerabilidad consiste en atacar la negociación de 4 pasos que se usa para establecer una clave de cifrado. En el tercer paso, la clave se puede reenviar varias veces y en ese momento usando una técnica criptográfica, se puede comprometer la privacidad del enlace.
Existe información sobre este fallo de seguridad en esta página de Github. Además dos investigadores de la universidad belga de Lovaina han publicado un artículo de investigación donde se trata el tema.
Vía Arstechnica.