В WPA3 найдены новые уязвимости Dragonblood, раскрывающие пароль Wi-Fi

В WPA3 найдены новые уязвимости Dragonblood, раскрывающие пароль Wi-Fi

В WPA3 найдены новые уязвимости Dragonblood, раскрывающие пароль Wi-Fi

Исследователи в области безопасности Мати Ванхоф и Эяль Ронен сообщили о двух новых уязвимостях класса Dragonblood, которые были найдены в стандарте Wi-Fi WPA3. Напомним, что изначально вид уязвимостей Dragonblood был открыт в апреле.

Согласно отчёту специалистов, новые проблемы безопасности похожи на апрельские тем, что допускают утечку информации из криптографических операций WPA3. Благодаря этому можно успешно провести брутфорс пароля сети Wi-Fi.

Первый баг отслеживается под идентификатором CVE-2019-13377 и затрагивает хендшейк WPA3 Dragonfly. Dragonfly представляет собой механизм обмена ключами в процессе аутентификации пользователей в системе WPA3-роутера.

В апреле Ванхоф и Ронен обнаружили, что Dragonfly, полагающийся на эллиптические кривые P-521, можно понизить до менее защищённых — P-256. В ответ на это Wi-Fi Alliance рекомендовал вендорам использовать более защищённые кривые Brainpool как часть алгоритмов Dragonfly.

«Однако мы обнаружили, что кривые Brainpool приводят к другому классу утечек по сторонним каналам. В ходе тестов наша теория подтвердилась — атака прошла успешно против последней версии Hostapd. В результате нам удалось сбрутфорсить пароль, используя утёкшую информацию», — объясняют эксперты.

Вторая брешь — CVE-2019-13456 — затрагивает имплементацию EAP-pwd во фреймворке FreeRADIUS. Такая связка используется многими вендорами для поддержки связи Wi-Fi.

EAP-pwd (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации) — система аутентификации, используемая в прошлых стандартах WPA и WPA2. В WPA3 она также задействована из соображений поддержки устаревшей технологии.

Как и первая уязвимость, CVE-2019-13456 приводит к утечке информации, которая раскроет атакующему пароль сети.

Эксперты заявили, что уже уведомили Wi-Fi Alliance о проблемах безопасности, что может привести к выпуску версии WPA3.1.

Переход школ на отечественный офис тормозят учебники и старые компьютеры

Российские школы постепенно переходят на отечественное офисное ПО, но тормозит процесс вовсе не качество программ. Главным препятствием неожиданно оказались учебники. Эту тему обсудили 29 июня на рабочем совещании в Госдуме, посвященном импортозамещению офисного ПО в образовании.

Во встрече приняли участие представители федеральных ведомств, регионов, АРПП «Отечественный софт» и российских разработчиков.

По данным ежегодного исследования АРПП, уже около 30% регионов используют российские офисные пакеты при проведении ОГЭ и ЕГЭ по информатике. Одновременно доля Microsoft Office в школах за год сократилась почти на 40%, его заменяют отечественные решения или LibreOffice.

Однако, как отметила глава комитета по цифровизации образования АРПП Анастасия Горелова, переход остается скорее техническим, чем методическим.

«Сегодня все учебники и пособия по информатике по-прежнему ориентированы на Microsoft Office. Чтобы переход стал реальным, необходимо обновить учебные программы и методические материалы», — подчеркнула она.

О своих разработках рассказали представители «МойОфис» и Р7, заявившие о высокой совместимости с форматами DOCX, XLSX и PPTX, а также о поддержке российских операционных систем и бесплатной помощи регионам.

Но на местах хватает и практических проблем. В Псковской области до 25% компьютеров не способны нормально работать с новым ПО, а также возникают сложности с электронной подписью в Linux. В Удмуртии к 1 сентября рассчитывают перевести на российский софт около 30% учебных классов, однако главным препятствием остается устаревшая техника. В Калининградской области российское ПО все чаще используют на экзаменах, но образовательные стандарты пока по-прежнему ориентированы на зарубежные продукты.

Еще одна неожиданная проблема — рынок труда. Участники встречи обратили внимание, что в вакансиях крупных госкомпаний до сих пор почти всегда требуют знание Microsoft Office, тогда как владение российскими аналогами зачастую вообще не учитывается.

По итогам совещания участники предложили Минпросвещения синхронизировать выпуск новых учебников с внедрением отечественного ПО, а Минцифры — создать рабочую группу по вопросам совместимости российских операционных систем и офисных пакетов, а также проработать облегченные версии программ для старых компьютеров.

RSS: Новости на портале Anti-Malware.ru