Theo tôi thấy thì kiểu tấn công này dường như chỉ khả thi khi kẻ tấn công đã kết nối vào mạng của nạn nhân
Phần lớn trông giống các kiểu tấn công trong môi trường Wi-Fi dùng chung như sân bay hay quán cà phê, vốn đã được biết đến từ lâu
Điểm mới là nó khai thác lỗ hổng triển khai khiến một số router không tách biệt đúng cách lưu lượng giữa mạng khách và mạng thường
Kẻ tấn công không cần kết nối vào mạng của nạn nhân, chỉ cần kết nối vào cùng phần cứng là được
Như trong trường hợp Eduroam, kẻ tấn công dù không có thông tin xác thực Eduroam vẫn có thể chặn gói tin của người dùng Eduroam qua mạng khách trên cùng AP
Nếu chỉ có một mạng đã xác thực duy nhất thì việc mất cách ly này không có nhiều ý nghĩa, giống như việc thoát sandbox của trình duyệt là vô nghĩa nếu chỉ truy cập một trang đáng tin cậy
Với tư cách đồng tác giả bài báo, tôi cho rằng cách diễn đạt “phá vỡ mã hóa Wi-Fi” là dễ gây hiểu nhầm
Thực tế là nó cho phép vượt qua cơ chế cách ly máy khách
Đã có trường hợp trên Wi-Fi mở của trường đại học chặn được lưu lượng của các mạng khác, bao gồm cả Enterprise SSID
Đây không phải là “phá” mã hóa mà là “vượt qua” nó
Router cá nhân dùng một SSID duy nhất thì an toàn
Tôi tự hỏi các trường hợp như XFinity, nơi Wi-Fi do người dùng trả tiền được chia sẻ cho cả thành phố, thì sẽ ra sao
Tôi cũng nhìn nhận tương tự. Đây là vấn đề với những môi trường dựa vào cách ly máy khách, nhưng ảnh hưởng đến người dùng phổ thông thì không nhiều
Hầu hết cookie xác thực đều được bảo vệ bằng TLS, nên rủi ro thực tế là có giới hạn
AP khi phát đồng thời 2.4GHz và 5GHz sẽ có nhiều BSSID, và nếu việc kiểm tra trùng MAC hoặc chia sẻ GTK của WPA2-PSK yếu thì việc tấn công sẽ dễ hơn
Phần cứng cũ, đặc biệt là thiết bị trước 802.11w, có lẽ sẽ mãi mãi dễ bị ảnh hưởng
AirSnitch lạm dụng các chức năng cốt lõi tầng 1~2 của Wi-Fi để khai thác lỗi mất đồng bộ giữa các máy khách
Kẻ tấn công có thể thực hiện MitM hai chiều không chỉ trên cùng SSID mà còn từ SSID khác hay phân đoạn mạng khác
Tôi đã gặp kiểu này từ thời WEP đầu những năm 2000 nên giờ hoàn toàn không dùng Wi-Fi nữa
Camera thì dán băng keo, tháo ăng-ten, cả email cũng bỏ luôn
Cuối cùng tôi nghĩ chỉ có dây đồng hoặc cáp quang mới là phương tiện bảo mật thật sự
Có người nói bạn chắc sẽ thích bộ phim The Conversation năm 1974
Tôi cũng có cách tiếp cận tương tự. Wi-Fi được tách sang subnet riêng, dùng GrapheneOS, và tháo bỏ mọi micro phần cứng có thể tháo được
Cách ly máy khách thực ra là một tính năng khá bất tiện
Các hãng sản xuất thường giả định mọi thiết bị sẽ giao tiếp với nhau trong cùng một mạng lớn, nhưng khi bị cách ly thì các thiết bị như đèn Elgato hay Chromecast sẽ không hoạt động
Dù vậy, tôi vẫn nghĩ còn tốt hơn việc người khác trong khách sạn điều khiển Chromecast của tôi
Vì thế tôi luôn mang theo router du lịch chạy OpenWRT, để thiết bị của mình hoạt động như ở nhà trên bất kỳ mạng nào
Ngay cả khi không bật cách ly máy khách thì cũng từng có trường hợp broadcast giữa mạng có dây và không dây không được bridge, làm thiết bị không dò ra nhau
Mục đích ban đầu của cách ly máy khách chính là ngăn kiểu lạm dụng IoT như vậy
Trong ký túc xá hay mạng dùng chung thì nó bất tiện, nhưng giúp ngăn người khác điều khiển thiết bị của tôi hoặc phát tán mã độc
Sẽ tiện hơn nếu có ngoại lệ cho một số giao thức hay dải IP nhất định, nhưng khi đó rủi ro rò rỉ dữ liệu cũng tăng lên
Tiêu đề bài viết có cảm giác hơi cường điệu
Đây không phải là phá mã hóa Wi-Fi, mà chỉ là vô hiệu hóa cách ly thiết bị trong cùng một mạng
Tuy nhiên, nhiều doanh nghiệp, trường đại học và cơ quan chính phủ dựa vào cách ly máy khách để phân tách mạng, nên với họ đây là vấn đề nghiêm trọng
Với tư cách đồng tác giả bài báo, tôi nhấn mạnh rằng “bypass” chính xác hơn “break”
Đọc bài báo thì có vẻ phần lớn Wi-Fi gia đình có thể dễ bị ảnh hưởng vì dùng chung SSID cho 2.4GHz và 5GHz
Xác thực Radius cũng có thể bị tác động phần nào
Biện pháp giảm thiểu là chỉ dùng AP có một MAC duy nhất
Dùng EAP-TLS thì an toàn, nhưng vẫn cần tách VLAN
Cũng có ý kiến cho rằng nếu ở nhà không có mạng khách thì sẽ an toàn
Kẻ tấn công ít nhất vẫn phải xác thực vào được một mạng, nên người ngoài hoàn toàn thì không thể
EAP-TLS rất mạnh, nhưng không ngăn được tấn công ngang hàng từ thiết bị đã xác thực khác trong cùng AP
Ở Supernetworks.org, nơi tôi làm việc, chúng tôi đề xuất VLAN và mật khẩu riêng cho từng thiết bị
Đây thực sự là vấn đề lớn
Khi một AP có nhiều mạng Wi-Fi khác nhau, máy khách ở một mạng có thể MITM lưu lượng của mạng kia
Phần lớn Wi-Fi doanh nghiệp đều dựa vào kiểu cách ly này
Tức là nếu tôi kết nối vào mạng khách thì tôi có thể đọc lưu lượng của mạng doanh nghiệp
Vấn đề thực tế là nhiều AP chỉ đơn giản có nhiều SSID, chứ không có đặc tả nào đảm bảo cách ly L2/L3
Một trong các tác giả của bài báo đang trực tiếp thảo luận trong chuỗi Hacker News
Đọc hết bài báo thì điểm mấu chốt là: nếu là một mạng duy nhất được bảo vệ bằng mật khẩu mạnh thì AirSnitch không phải mối đe dọa lớn
Nhưng nếu mạng bảo mật và mạng khách dùng chung một AP, thì phía mạng khách có thể truy cập các máy khách của mạng bảo mật
Có những trường hợp như mạng khách tự động của Xfinity rất khó tắt
Về cơ bản, tấn công này chỉ hoạt động trong một SSID
Có thể giảm thiểu bằng Private-PSK/Dynamic-PSK hoặc thuộc tính VLAN của EAP/Radius
Trên WPA3/SAE thì phức tạp hơn, và phần lớn thiết bị vẫn chưa hỗ trợ
Hostapd giờ đã hỗ trợ nhiều mật khẩu WPA3
Trong dự án spr-networks/super, chúng tôi đã triển khai PSK+VLAN theo từng thiết bị để sử dụng
Tuy vậy, do đồng bộ Keychain của thiết bị Apple và việc ngẫu nhiên hóa MAC nên triển khai thực tế vẫn khó, còn cấu trúc của SAE khiến việc thử nhiều mật khẩu cùng lúc không đơn giản
Tôi đang tìm gợi ý tường lửa cho macOS
Tường lửa tích hợp gần như không dùng được, và nếu cách ly máy khách bị vượt qua thì tường lửa cục bộ lại càng quan trọng hơn
Tôi thường bind server phục vụ phát triển vào 0.0.0.0, nên khi kết nối Wi-Fi công cộng tôi muốn chắc chắn rằng các cổng đó đang đóng
Little Snitch là cái tên nổi tiếng nhất, do các nhà phát triển hiểu rất sâu kiến trúc tường lửa của macOS tạo ra Trang chính thức
1 bình luận
Ý kiến trên Hacker News
Theo tôi thấy thì kiểu tấn công này dường như chỉ khả thi khi kẻ tấn công đã kết nối vào mạng của nạn nhân
Phần lớn trông giống các kiểu tấn công trong môi trường Wi-Fi dùng chung như sân bay hay quán cà phê, vốn đã được biết đến từ lâu
Điểm mới là nó khai thác lỗ hổng triển khai khiến một số router không tách biệt đúng cách lưu lượng giữa mạng khách và mạng thường
Như trong trường hợp Eduroam, kẻ tấn công dù không có thông tin xác thực Eduroam vẫn có thể chặn gói tin của người dùng Eduroam qua mạng khách trên cùng AP
Nếu chỉ có một mạng đã xác thực duy nhất thì việc mất cách ly này không có nhiều ý nghĩa, giống như việc thoát sandbox của trình duyệt là vô nghĩa nếu chỉ truy cập một trang đáng tin cậy
Thực tế là nó cho phép vượt qua cơ chế cách ly máy khách
Đã có trường hợp trên Wi-Fi mở của trường đại học chặn được lưu lượng của các mạng khác, bao gồm cả Enterprise SSID
Đây không phải là “phá” mã hóa mà là “vượt qua” nó
Router cá nhân dùng một SSID duy nhất thì an toàn
Hầu hết cookie xác thực đều được bảo vệ bằng TLS, nên rủi ro thực tế là có giới hạn
Phần cứng cũ, đặc biệt là thiết bị trước 802.11w, có lẽ sẽ mãi mãi dễ bị ảnh hưởng
AirSnitch lạm dụng các chức năng cốt lõi tầng 1~2 của Wi-Fi để khai thác lỗi mất đồng bộ giữa các máy khách
Kẻ tấn công có thể thực hiện MitM hai chiều không chỉ trên cùng SSID mà còn từ SSID khác hay phân đoạn mạng khác
Tôi đã gặp kiểu này từ thời WEP đầu những năm 2000 nên giờ hoàn toàn không dùng Wi-Fi nữa
Camera thì dán băng keo, tháo ăng-ten, cả email cũng bỏ luôn
Cuối cùng tôi nghĩ chỉ có dây đồng hoặc cáp quang mới là phương tiện bảo mật thật sự
Cách ly máy khách thực ra là một tính năng khá bất tiện
Các hãng sản xuất thường giả định mọi thiết bị sẽ giao tiếp với nhau trong cùng một mạng lớn, nhưng khi bị cách ly thì các thiết bị như đèn Elgato hay Chromecast sẽ không hoạt động
Vì thế tôi luôn mang theo router du lịch chạy OpenWRT, để thiết bị của mình hoạt động như ở nhà trên bất kỳ mạng nào
Trong ký túc xá hay mạng dùng chung thì nó bất tiện, nhưng giúp ngăn người khác điều khiển thiết bị của tôi hoặc phát tán mã độc
Tiêu đề bài viết có cảm giác hơi cường điệu
Đây không phải là phá mã hóa Wi-Fi, mà chỉ là vô hiệu hóa cách ly thiết bị trong cùng một mạng
Đọc bài báo thì có vẻ phần lớn Wi-Fi gia đình có thể dễ bị ảnh hưởng vì dùng chung SSID cho 2.4GHz và 5GHz
Xác thực Radius cũng có thể bị tác động phần nào
Biện pháp giảm thiểu là chỉ dùng AP có một MAC duy nhất
Dùng EAP-TLS thì an toàn, nhưng vẫn cần tách VLAN
Ở Supernetworks.org, nơi tôi làm việc, chúng tôi đề xuất VLAN và mật khẩu riêng cho từng thiết bị
Đây thực sự là vấn đề lớn
Khi một AP có nhiều mạng Wi-Fi khác nhau, máy khách ở một mạng có thể MITM lưu lượng của mạng kia
Phần lớn Wi-Fi doanh nghiệp đều dựa vào kiểu cách ly này
Bài báo được nhắc tới trong bài viết là AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks
Đọc hết bài báo thì điểm mấu chốt là: nếu là một mạng duy nhất được bảo vệ bằng mật khẩu mạnh thì AirSnitch không phải mối đe dọa lớn
Có những trường hợp như mạng khách tự động của Xfinity rất khó tắt
Về cơ bản, tấn công này chỉ hoạt động trong một SSID
Có thể giảm thiểu bằng Private-PSK/Dynamic-PSK hoặc thuộc tính VLAN của EAP/Radius
Trên WPA3/SAE thì phức tạp hơn, và phần lớn thiết bị vẫn chưa hỗ trợ
Trong dự án spr-networks/super, chúng tôi đã triển khai PSK+VLAN theo từng thiết bị để sử dụng
Tuy vậy, do đồng bộ Keychain của thiết bị Apple và việc ngẫu nhiên hóa MAC nên triển khai thực tế vẫn khó, còn cấu trúc của SAE khiến việc thử nhiều mật khẩu cùng lúc không đơn giản
Tôi đang tìm gợi ý tường lửa cho macOS
Tường lửa tích hợp gần như không dùng được, và nếu cách ly máy khách bị vượt qua thì tường lửa cục bộ lại càng quan trọng hơn
Tôi thường bind server phục vụ phát triển vào 0.0.0.0, nên khi kết nối Wi-Fi công cộng tôi muốn chắc chắn rằng các cổng đó đang đóng
Trang chính thức