1.1, Аноним (-), 23:34, 29/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
както странно, зачем вовращать правильность половины цифр? зачем паролю контрольная сумма?
ну и чего вы хотели, упрощенная же.
| |
|
2.3, Аноним (-), 23:37, 29/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> както странно, зачем вовращать правильность половины цифр?
For the lulz. Халява, сэр!
| |
|
1.2, Аноним (-), 23:35, 29/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
> При правильном выборе PSK-ключа, WPA и WPA2 обеспечивают достаточный уровень защиты.
Кто дописал сию глупость к моей новости, господа корректоры?!
Вообще-то WPA не является полностью безопасным: протокол TKIP содержит ряд известных проблем благодаря почти столь же кривому использованию RC4 как в обычном WEP. Подробнее на http://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol#Security
Более-менее безопасным можно считать WPA2 с его протоколом CCMP, использующим AES, в силу полной переделки протокола WEPовские проблемы там не присутствуют.
| |
|
2.4, Аноним (-), 23:54, 29/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> При правильном выборе PSK-ключа, WPA и WPA2 обеспечивают достаточный уровень защиты.
>Кто дописал сию глупость к моей новости, господа корректоры?!
По сравнению с потолком в 11 тысяч операций перебора, WPA можно считать супер защищённым :-)
| |
|
3.5, Аноним (-), 00:27, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> супер защищённым :-)
Да щаз. Там за вполне обозримое время можно начать инжектить пакеты даже не зная пароля. Возможны приколы типа ARP-poisoning например :)
| |
|
4.6, Аноним (-), 00:37, 30/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
Кстати, к замечанию вроде прислушались, WPA убрали - "При правильном выборе PSK-ключа, WPA2 обеспечивает достаточный уровень защиты". Хотя в описании утилиты http://www.tacnetsol.com/products/ "With a well-chosen PSK, the WPA and WPA2 security protocols are assumed to be secure by a majority of the 802.11 security community."
| |
|
5.8, Аноним (-), 07:17, 30/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Кстати, к замечанию вроде прислушались, WPA убрали - "При правильном выборе PSK-ключа,
> WPA2 обеспечивает достаточный уровень защиты".
И правильно сделали - английская вика не просто не согласна с этим утверждением но и приводит пример вполне себе осуществимых атак. Которые хоть и не являются полным вскрытием протокола из-за отличий от WEP, но позволяют несколько гадить в сеть осмысленными пакетами и частично угадывать некоторые данные.
> Хотя в описании утилиты http://www.tacnetsol.com/products/
> "With a well-chosen PSK, the WPA and WPA2 security protocols are
> assumed to be secure by a majority of the 802.11 security community."
А в английской вике зато есть примеры атак на TKIP (импользуемый WPA). Поэтому хотя считать его поломанным преждевременно, рекомендовать его к использованию не стоит.
| |
|
|
|
2.17, Аноним (-), 15:47, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Вообще-то WPA не является полностью безопасным
>> ...
>> Более-менее безопасным можно считать WPA2 с его протоколом CCMP
WPA и WPA2- суть одно и то же. Первое- драфт, а второе- окончательный вариант одного и того же стандарта. Основное отличие состоит лишь в том, что в WPA поддержка CCMP опциональна, а в WPA2- обязательна. TKIP может использоваться в WPA2 с таким же успехом, как и в WPA. Равно как и наоборот- CCMP можно использовать в WPA. Другими словами использование WPA2 и запрет использования WPA не является ни необходимым, ни достаточным условием для обеспечения высокой защищенности сети. Куда важнее запретить использование TKIP, если такая возможность вообще предусмотрена производителем ОС и/или оборудования.
| |
|
3.19, Аноним (-), 21:04, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> WPA2- обязательна.
Вот именно поэтому - WPA2 и CCMP, и только так. В случае первого WPA нет гарантий поддержки CCMP, поэтому в сад. Очень удобный критерий отсева.
| |
|
|
1.10, sluge (ok), 08:52, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
я бы еще добарил-добавьте в конец к имени точки доступа _nomap, чтобы ее координаты не засосал гугл
| |
|
2.20, Аноним (-), 21:05, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> я бы еще добарил-добавьте в конец к имени точки доступа _nomap, чтобы
> ее координаты не засосал гугл
А лучше просто по крону менять MAC и часть ESSID для доставления гуглю массы лулзов и засорения их досье заведомо невалидными данными.
| |
|
3.23, Гентушник (ok), 21:34, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А лучше просто по крону менять MAC и часть ESSID для доставления гуглю массы лулзов и засорения их досье заведомо невалидными данными.
Речь идёт про андроиды надеюсь?
| |
|
4.26, Аноним (-), 23:38, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Речь идёт про андроиды надеюсь?
Речь идет прежде всего о точках доступа и роутерах под управлением более-менее полноценного линуха (например openwrt).
Как вы там в вашем ведроиде выкрутитесь мне неинтересно: у меня его нет и никогда не будет. Хотя-бы потому что меня не устраивают гуглозонды и навязывание их сервисов + поддержка "фич" типа RRLP.
| |
|
5.30, Гентушник (ok), 10:06, 31/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Речь идет прежде всего о точках доступа и роутерах под управлением более-менее
> полноценного линуха (например openwrt).
Каким образом гугл узнает ESSID или MAC-адрес? Я чего-то не догоняю.
> Как вы там в вашем ведроиде выкрутитесь мне неинтересно: у меня его
> нет и никогда не будет. Хотя-бы потому что меня не устраивают
> гуглозонды и навязывание их сервисов + поддержка "фич" типа RRLP.
У меня ведроида нет, но я тоже упомянув его намекнул на гуглозонд.
| |
|
6.33, Аноним (-), 02:34, 03/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
Чпок, с добрым утром. Это одна из фич современной гео-локации. Гуглить по слову Skyhook.
| |
6.34, Аноним (-), 04:59, 03/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Каким образом гугл узнает ESSID или MAC-адрес? Я чего-то не догоняю.
Это же элементарно, Ватсон! Вы сами и шлете их в эфир вашей точкой доступа. Все что гуглу остается - приехать своим гугломобилем и узнать о том что вы - есть, при том вот тут :)
> У меня ведроида нет, но я тоже упомянув его намекнул на гуглозонд.
Есть еще гугломобили. Ездят по улицам, смотрят что ловится, а координаты свои они уж наверное знают. Ну вот как-то так и узнают примерно. Во всяком случае - узнавали.
| |
|
7.36, Гентушник (ok), 14:21, 03/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> Каким образом гугл узнает ESSID или MAC-адрес? Я чего-то не догоняю.
> Это же элементарно, Ватсон! Вы сами и шлете их в эфир вашей
> точкой доступа. Все что гуглу остается - приехать своим гугломобилем и
> узнать о том что вы - есть, при том вот тут
> :)
Прочитал про skyhook, теперь понял о чём речь. Как я понимаю в базу будет занесена пара (гео координаты, MAC-точки доступа). Но ассоциировать со мной (гугл-аккаунтом к примеру) эти координаты можно будет только если я _сам_ (прога,говнотулбар,троян) сообщу гуглу информацию о находящихся рядом точках доступа?
В чём тогда подвох?
| |
|
8.37, Аноним (-), 00:21, 04/01/2012 [^] [^^] [^^^] [ответить] | +/– | Ну вот например переехали вы А мак адрес вашей точки доступа не поменяли Вполн... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
2.21, Аноним (-), 21:06, 30/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А им кто-то пользуется? У всех давно WPA2-PSK
Попробуй выйти на улицу и запустить скан, удивишься... ;)
| |
|
1.12, DFX (ok), 10:36, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а вот почему в этом протоколе нет предписания на установку ограничения на количество запросов с mac-адреса в единицу времени и занесение адреса в список фильтрации после X попыток (с указанием каких-то разумных пределов для всех 3х переменных) ?
ну или производители, СПО-тырящие сволочи не подсуетились сами почто ? элементарная и древнючая вещь, но:
1) сделала бы время подбора непрактичным
2) при применении атакующим смены mac-адреса для обхода превращает потенциальное проникновение в потенциальный DoS, что есть меньшее зло.
или там mac-адреса до авторизации не указываются, или что-то ещё мешало ?
| |
|
2.13, LORanonymous (?), 10:56, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
из README:
Some APs will temporarily lock their WPS state, typically for five minutes or less, when "suspicious" activity is detected. By default when a locked state is detected, Reaver will check the state every 315 seconds (5 minutes and 15 seconds) and not continue brute forcing pins until the WPS state is unlocked.
This check can be increased or decreased to any non-negative integer value:
# reaver -i mon0 -b 00:01:02:03:04:05 --lock-delay=250
| |
2.14, LORanonymous (?), 11:18, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
на моём дир655 ситуация такая: 4 минуты брутит, 20 минут ждёт снятия блокировки(может ждёт и дольше, но я ждать устал раньше)
| |
|
3.27, Аноним (-), 00:16, 31/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> на моём дир655 ситуация такая: 4 минуты брутит, 20 минут ждёт снятия
> блокировки(может ждёт и дольше, но я ждать устал раньше)
А что мешает мак-адреса менять раз в 4 минуты? :)
| |
|
|
5.35, Аноним (-), 05:01, 03/01/2012 [^] [^^] [^^^] [ответить]
| +/– |
> вырубается весь WPS, а не блокируется определённый мак
О, нормально, +1 способ мстить соседу. Сосед сломает мозг почему у него вафля не хочет работать с новыми девайсами :)
| |
|
|
|
2.25, Аноним (-), 22:46, 30/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> а вот почему в этом протоколе нет предписания на установку ограничения на
> количество запросов с mac-адреса в единицу времени
Не вижу что помешает менять мак адаптера :)
> и занесение адреса в список фильтрации после X попыток
Не вижу что помешает менять мак адаптера, вплоть до подстановки под бан легитимного хомяка и его девайсов ака "возможна удаленная DoS атака" :)
> 1) сделала бы время подбора непрактичным
Мак поменять не проблема.
> в потенциальный DoS, что есть меньшее зло.
Ага, возможность выбить любого хомяка с публичной точки доступа по желанию левой пятки - совсем не зло :)
> или там mac-адреса до авторизации не указываются, или что-то ещё мешало ?
Декоративность и бесполезность этой меры.
| |
|
3.28, DFX (ok), 08:37, 31/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
ничто не мешает менять адреса и без этой меры, а с ней вместо проникновения получаем только DoS, точно так же как при segfault'е получаем потерю данных вместо исполнения левого кода.
> Не вижу что помешает менять мак адаптера, вплоть до подстановки под бан легитимного хомяка и его девайсов ака "возможна удаленная DoS атака" :)
ничто не мешает давать имунитет уже авторизованным mac'ам и игнорировать фальшивые попытки авторизации с них, даже nack не посылать.
> Ага, возможность выбить любого хомяка с публичной точки доступа по желанию левой пятки - совсем не зло :)
сам придумал ? в твоей же цитате написано "меньшее зло".
то есть, лучше чтобы можно было поиметь точку сразу двумя способами, а не одним ?
| |
|
|
1.15, Deam (ok), 11:30, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А у меня что-то не хочет брутить :(
[+] Associated with ##:##:##:##:##:AF (ESSID: #########)
[+] Trying pin 01736120
Ошибка сегментирования
| |
1.16, YetAnotherOnanym (?), 13:01, 30/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Конец немного предсказуем - когда индустрия начинает прогибаться под немощных разумом ягодичноруких хомячков, нуждающихся в разного рода упрощениях, начинаются проблемы.
| |
1.38, Аноним (38), 13:57, 12/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да уж не плохо ) Как так допёрли до этого ?
Какой то хакер анализировал отправленые пакеты от роутера по wps ? )
Вобще если поставить фильтрацию на mac после Х кол-во попыток,то тогда можно будет выбивать чувака который уже подключен ))
А если бан на всегда,то лечение сброс маршрутизатора,что не очень корректно на мой взгляд.
А если отключить WPS это не поможет,т.к wps в веб интерфейсе (включается и выключается) и пасивно он всё равно работает,но не для пользователя )
| |
|