什么是KRACK攻击？

KRACK 攻击主要针对 WPA2 Wi-Fi 连接设置过程中使用的四步协议。 结果是，在 Wi-Fi 路由器范围内的攻击者可以破坏连接上的加密，从而允许使用中间人 (MITM) 攻击的二次攻击来访问从中发送的所有 HTTP 数据 客户端和从服务器接收的数据。 您使用 HTTPS 的服务和设备应该没问题，因为即使攻击者获得连接访问权限，您的数据也会由 HTTPS 层加密。

WPA2 利用这个四步协商过程来设置与 Wi-Fi 接入点通信的加密密钥，并且可以被诱骗使用不正确的密钥，从而使攻击者获得对通信的完全访问权限。

KRACK 利用的弱点是 Wi-Fi 中的协议级别，使所有客户端都容易受到攻击。 然而，Android 和 Linux 客户端库特别容易受到这种攻击的影响，这种攻击会将加密通信密钥重置为“空密钥”（全为零的密钥），从而使攻击在这些平台上更容易获得且更有效。 Android 和 Linux 只是有一个额外的错误，使得在这种情况下利用起来更容易一些。

此漏洞意味着当今使用的所有使用 Wi-Fi 的众多客户端设备都需要更新以防止发生此攻击。 Wi-Fi 路由器和企业级设备应该能快速获得新固件，但物联网设备，更新可能很难或不可能应用，将受到最严重的打击。

这对物联网设备意味着什么？

物联网设备有各种类型，包括（但不限于）用于工业、医疗保健、科学、娱乐、家庭控制和自动化以及个人健身目的的设备。这些设备的威胁级别差异很大，每个设备使用的实现安全级别也是如此。

衡量物联网设备传播的一个简单方法是环顾你的家。你可能有智能电视、智能家电、亚马逊达世币、家庭安全、洒水系统、智能电表、打印机和其他家庭自动化设备。当你审视企业环境时，这会以一个数量级的速度增长。

一些物联网设备可能只使用HTTPS进行身份验证，但随后的通信可以通过HTTP进行。一些物联网设备可能使用HTTPS进行身份验证和通信，但其他设备服务不使用HTTPS。其他人可能根本不使用HTTPS。这些设备将受到KRACK攻击的最大影响。

让我们来看看虚构的家用恒温器和设备服务提供商之间的简化通信结构。下图演示了设备发送认证请求并接收通知设备更新固件的响应（物联网设备可以做的两件普通事情）。该请求通过Wi-Fi接入点（AP）到达服务提供商。服务提供商再次通过Wi-Fi AP将数据发送回设备。

如果外部攻击者可以通过破坏加密并设置MITM来控制Wi-Fi AP，并且设备没有使用HTTPS进行通信，那么攻击者将完全有能力拦截身份验证凭据并将任何内容注入到固件更新的响应中。

现在，公平地说，许多设备可能会在使用的许多通信中使用HTTPS连接，因此不会受到这部分攻击的影响，但物联网安全并不止于此。假设服务器对固件更新请求的响应是通过HTTP（如上面的示例所示），并且攻击者将URL注入到受损的固件二进制映像中。该设备现在将安装固件，并引入攻击者试图使用的任何其他漏洞或特洛伊木马类型的服务。这会产生许多更大的问题，我们将在下面讨论如何管理这些情况。

我该如何修复针对 IoT 的这种攻击？

首先，如果您生产 IoT 设备，那么您需要更新您的 Wi-Fi 驱动程序，特别是如果您的设备上装有 Linux 或 Android (6+)。 在执行此操作时，您还应该禁用弱密码套件以避免未来围绕加密和 HTTPS 的漏洞。

这听起来很简单，但我们似乎在等待一些供应商修补此漏洞，因此在许多情况下，您可能会等待供应商提供补丁。除了 Wi-Fi 驱动程序本身，在创建 IoT 设备基础架构时还应注意其他三个一般安全注意事项：

● 使用HTTPS

● 使用客户端证书身份验证

● 使用代码签名

HTTPS协议

所有来自和去往物联网设备的通信都应该通过SSL/HTTPS。您应该确保您的设备上有一个正确配置的HTTPS堆栈，以便正确地验证证书并建立信任。

客户端证书身份验证

所有物联网设备都应该对与其交谈的服务进行身份验证。您可以在设备配置过程中无缝地包括客户端证书身份验证，从而为后端服务提供加密安全的身份验证机制。您还可以在这样的凭据上提供吊销服务，这在基于密码的身份验证中更难做到。

代码签名

应该对在设备本身上执行的代码进行签名。这将允许设备确保它只安装和执行来自可信来源（您）的代码。如果您使用代码签名，您将提供一层安全性，这将有助于减轻潜在的影响，如KRACK攻击，有人可能试图更改您的固件或设备上运行的应用程序。这是您可以做的三件通常很好的事情，为您的物联网设备部署提供更强大的分层安全解决方案。

我能为公司的设备做些什么？

如果您正在管理企业或SMB IT，您还需要与网络上的客户端设备供应商核实资产，以确保它们得到更新。

另一个需要考虑的内部攻击向量是内部员工系统、门户、仪表板或服务，它们可能没有通过HTTPS运行。现在是利用内部CA并为所有这些连接创建证书的好时机，或者找到一家提供解决方案并让他们帮助您的供应商。

通过为尚未拥有HTTPS的外部资源提供HTTPS来帮助他人。如果您的公司确实提供了一些其他人正在使用的外部服务，请确保您的公司通过HTTPS为这些资源提供所有流量，如果您控制分发的可执行文件，您也应该对这些可执行文件进行代码签名。这将大大有助于降低此类KRACK漏洞攻击的有效性。

结论

对于Wi-Fi身份验证来说，这是一个令人不安的发展方向，但你必须考虑威胁级别以及它如何应用于你的资源。此外，请记住，攻击者需要靠近Wi-Fi网络和试图连接到它的设备，因此这不是一个打开整个环境进行攻击的远程攻击。

您需要仔细观察您的供应商，并确保一旦供应商有了这些补丁，您的Wi-Fi驱动程序和接入点就会是最新的。同时，确保您可以控制的所有服务都使用HTTPS运行。这是你现在能做的最好的事情。

本文由 聚力诚信 根据 Digicert 博客 WI-FI IS HACKED AND SO ARE YOUR IOT DEVICES? 编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。