Musí WPA2 zranitelnost opravit AP i klient?

[nn]

Tak jak je to? Stačí update klienta nebo aj AP?

[Reklama]

[Petr Krčmář]

Aby se zamezilo všem souvisejícím útokům, musí být záplatovány obě strany.

Je to ale zpětně kompatibilní, takže nezáplatovaný klient může normálně komunikovat se záplatovaným AP a obráceně. Jen stále ta nezáplatovaná strana bude náchylná na podvržení klíčů.

[Milfaus]

Nesmíme zapomínat na všechny WIFInáře, kteří jsou připojeni ze střechy, kde je WIFI klient (5GHz) a druhou WIFI to mají stažené do domu.

Mimochodem, zdaleka ne všichni záplatují, především místní WIFInáři používají hodně letité firmwary.
Příklad, nedávno jsem viděl výměnu mikrotiku s firmwarem ~3.4 za ten s firmwarem ~5.x 
Dost pochybuji, že se někdo bude namáhat to zazáplatovat.

[herrman]

Sice nerozporujem co hovorite kedze o tzv. lokalnych wifinaroch si v globale myslim tiez svoje, ale v casoch GDPR by ich to mohlo velmi rychlo stat krk.

[Milfaus]

v casoch GDPR

Pokuta pro firmu nesmí být likvidační.
To je zakořeněné v našem právním systému.

Mimo to, Češi jsou mistři v kličkování, pokud firma půjde do (_._) zadekle, udělá se to "jako obvykle".

• Napíše se antidatovaná smlouva, aby firma měla jen dluhy proti jinému subjektu
• Je to postavené tak, aby koza zůstala celá a úředník se nažral
• Ztráta pro firmu bude tak 100 000,- Kč, což je pořád citelné, ale daleko méně, než platit miliony

Mimo to, tohle vyprání firmy má i své výhody.
Pokud firma sosá dotace a je takhle zlikvidována, nemusí je jednatel vracet.
Jednatel totiž ručí celým svým majetkem jen v případě, kdy by se u soudu prokázal jako špatný hospodář.
Mohou ho začít popotahovat, že se měl lépe připravit na GDPR, on vykáže nějakou činnost no a nakonec to vyšumí.

Bohužel, GDPR a podobné ojeby způsobí to, že švindlování a podvádění se stane nutností.
Jestliže mi tohle podvádění připadalo jako hnusné a nemorální, budu muset přijmout fakt, že je to věc nutná a proto společensky akceptovatelná.

Zpět k WIFI:
Právě u běžných WIFInářů to bude velká bolest!

Vytuhnutí zařízení po update znamená, že tam někdo musí vlézt, navíc ten update po WANu má zatraceně dost háčků, obzvlášť když linka není zrovna stabilní, pak si musíme uvědomit široké spektrum různých klientů a často i různých firmwarů. Když se cokoliv po-ooooo, je potřeba volat klientovi, vysvětlit mu, jak se to má restartovat, nebo hůř, dojet tam, to jsou mimořádné náklady.

[Reklama]

[daemon]

v casoch GDPR by ich to mohlo velmi rychlo stat krk.

Proč? Oni na základě souhlasu zpracovávají nějaké osobní údaje?

[daemon]

Právě u běžných WIFInářů to bude velká bolest!

Vytuhnutí zařízení po update znamená, že tam někdo musí vlézt, navíc ten update po WANu má zatraceně dost háčků, obzvlášť když linka není zrovna stabilní, pak si musíme uvědomit široké spektrum různých klientů a často i různých firmwarů. Když se cokoliv po-ooooo, je potřeba volat klientovi, vysvětlit mu, jak se to má restartovat, nebo hůř, dojet tam, to jsou mimořádné náklady.

Není to nic, co už by se v minulosti nestalo. Třeba jaky byly ty zranitelnosti v UBNT AirOS a virus/červ, který se skrz ně šířil. To se taky hromadně záplatovalo a pokud si dobře pamatuji, několik sítí (a to už byly dohromady desítky tisíc klientů) tehdy kompletně lehlo a ješte po víc jak týdnu technici kmitali a zařízení oživovali.

[Milfaus]

Proč? Oni na základě souhlasu zpracovávají nějaké osobní údaje?

Nechápeš GDPR!

WIFInář má povinnost zajistit ochranu osobních dat svých klientů.
Jinými slovy, když podepisuješ s WIFInářem smlouvu o Internetu, očekáváš, že se ti nikdo nebude hrabat v přenosu.
Pokud se na to WIFInář vykašle a nezabezpečí přenosy, může dojít ke krádeži osobních údajů.
Upozorňuji, že osobní údaj je kombinace jména a příjmení.

Je to podobné, jako kdyby O2 hodili jen tak do popelnice faktury (vytiskli by je třeba dvakrát).
Nebo kdyby krám prodávající ADIDASky zveřejnil na nástěnce seznam nejlepších zákazníků.

Podle GDPR máš právo na přiměřenou ochranu osobních údajů, pokud se WIFInář vykašle na svou povinnost, skutečně mu může hrozit postih. Ve chvíli, kdy se takový crack stane veřejně snadno dostupným, třeba přes KALI linux, je to problém. Pokud by úřad prokázal, že se jedná o veřejně známou chybu (rozhodně, byla uveřejněna i na novinky.cz) a od jejích zveřejnění uplynula rozumná doba, tj. například rok, pak je to sakra problém.

[Milfaus]

ješte po víc jak týdnu technici kmitali a zařízení oživovali

To je pravda, ale UBNT nejsou tak široce používané jako Mikrotik.
Tak se ten problém se týkal tísícovek domácností.

Mikrotik je větší problém, protože ještě pro obvyklý RB133C prostě není 6.x firmware.
A přitom se pořád běžně používá u hromady klientů pro spoj střecha zákoše - centrální AP.

[ZAJDAN]

nemalo ISP ty klientske stresní jednotky k AP spojuje pres VPN/IPsec/etc

[Jenda]

Tak jak je to? Stačí update klienta nebo aj AP?

Já to pochopil tak, že záplatovat klienta stačí (protože ten útok probíhá tak, že replayneš zprávu o nastavení klíče klientovi a ten si vyresetuje IV). Nicméně doporučuje se updatnout i APčko, protože updatnuté APčko útok pozná, a když se k němu připojí děravý klient a někdo se pokusí útok provést, tak APčko klienta vykopne.

[er]

Proč? Oni na základě souhlasu zpracovávají nějaké osobní údaje?

Nechápeš GDPR!

WIFInář má povinnost zajistit ochranu osobních dat svých klientů.
Jinými slovy, když podepisuješ s WIFInářem smlouvu o Internetu, očekáváš, že se ti nikdo nebude hrabat v přenosu.
Pokud se na to WIFInář vykašle a nezabezpečí přenosy, může dojít ke krádeži osobních údajů.
Upozorňuji, že osobní údaj je kombinace jména a příjmení.

Je to podobné, jako kdyby O2 hodili jen tak do popelnice faktury (vytiskli by je třeba dvakrát).
Nebo kdyby krám prodávající ADIDASky zveřejnil na nástěnce seznam nejlepších zákazníků.

Podle GDPR máš právo na přiměřenou ochranu osobních údajů, pokud se WIFInář vykašle na svou povinnost, skutečně mu může hrozit postih. Ve chvíli, kdy se takový crack stane veřejně snadno dostupným, třeba přes KALI linux, je to problém. Pokud by úřad prokázal, že se jedná o veřejně známou chybu (rozhodně, byla uveřejněna i na novinky.cz) a od jejích zveřejnění uplynula rozumná doba, tj. například rok, pak je to sakra problém.

Takze kdyz reknu verejne na ulici sve osobni udaje, podle GDPR muze jit o krk komu? Tomu kdo ostatnim nezacpal usi? Tem co to slysi? Mam preci pravo na primerenou ochranu svych osobnich udaju. Do vzduchu vysilam data. Na ulici rikam slova. To je ale uplne tentyz princip. Nikdo neni uplne povinen na ulici zabezpecit to co na ulici rikam stejne jako neni asi mozne uplne zabezpecit co odeslu elektronicky do vzduchu.

Mam pocit ze lidem uz uplne totalne z tech zakonu a narizeni hrabe a snazi se je jakkoliv aplikovat na cokoliv. To neni mozny toto.

[Caerl]

Proč? Oni na základě souhlasu zpracovávají nějaké osobní údaje?

Nechápeš GDPR!
Upozorňuji, že osobní údaj je kombinace jména a příjmení.

Samotná kombinace jména a příjmení není osobní údaj. Janů Nováků jsou tisíce. Jméno a příjmení se stane osobním údajem pouze v kombinaci s něčím, co by mohlo vést k identifikaci konkrétního Jana Nováka (IP adresa, MAC adresa atd).

[Milfaus]

Samotná kombinace jména a příjmení není osobní údaj.

Tvůj vlhký sen?
U Jan Novák to je sporné, podle nařízení EU to má být považováno za osobní údaj, ale UOOU v tom má zmatek.
Nicméně Arnošt Nekola už osobním údajem je, protože to je dostatečně identifikující.
No a pokud to bude Jan.Novák@novatek.cz nebo Jan Novák z Plzně, zase to je osobní údaj.

Další osobní údaje jsou třeba IP ADRESA, MAC ADRESA...
https://www.gdpr.cz/gdpr/heslo/ip-adresa/

Takže, pokud nějak zpřístupním tyto osobní údaje, pak se na mě vztahuje riziko postihu GDPR.

[SB]

...Mikrotik je větší problém, protože ještě pro obvyklý RB133C prostě není 6.x firmware...

Mimochodem dá se RB133(neC) aktualizovat na vyšší verzi než 6.32.4?