Menurut saya, serangan seperti ini tampaknya hanya mungkin jika penyerang sudah terhubung ke jaringan korban
Sebagian besar terlihat mirip dengan serangan yang sudah lama dikenal di lingkungan Wi-Fi bersama seperti bandara atau kafe
Hal yang baru adalah eksploitasi terhadap kerentanan implementasi di mana sebagian router gagal memisahkan trafik antara jaringan tamu dan jaringan biasa dengan benar
Penyerang tidak perlu terhubung ke jaringan korban; cukup terhubung ke perangkat keras yang sama
Seperti pada kasus Eduroam, penyerang dapat mencegat paket pengguna Eduroam melalui jaringan tamu pada AP yang sama tanpa memiliki kredensial Eduroam
Jika hanya ada satu jaringan terautentikasi, hilangnya isolasi seperti ini tidak berarti banyak, sama seperti kaburnya sandbox browser tidak berarti jika Anda hanya mengunjungi satu situs tepercaya
Sebagai salah satu penulis makalah, saya rasa ungkapan “memecahkan enkripsi Wi-Fi” menyesatkan
Yang sebenarnya terjadi adalah memungkinkan bypass isolasi klien
Ada juga kasus di Wi-Fi terbuka kampus di mana trafik jaringan lain, termasuk Enterprise SSID, bisa dicegat
Ini bukan “memecahkan” enkripsi, melainkan “membypass”-nya
Jika router rumahan pribadi memakai satu SSID saja, maka aman
Saya penasaran bagaimana dampaknya pada kasus seperti XFinity, yang membagikan Wi-Fi ke seluruh kota dari akses yang dibayar pengguna
Saya melihatnya dengan cara serupa. Ini masalah bagi lingkungan yang bergantung pada isolasi klien, tetapi dampaknya kecil bagi pengguna umum
Sebagian besar cookie autentikasi dilindungi oleh TLS, jadi risiko nyatanya terbatas
AP memiliki beberapa BSSID saat menyiarkan 2.4GHz dan 5GHz secara bersamaan, dan jika pemeriksaan duplikasi MAC atau pembagian GTK pada WPA2-PSK lemah, serangan jadi lebih mudah
Perangkat keras lama, terutama yang sebelum 802.11w, tampaknya akan tetap rentan selamanya
AirSnitch mengeksploitasi fungsi inti Layer 1~2 pada Wi-Fi dan memanfaatkan kegagalan sinkronisasi antar klien
Penyerang bisa melakukan MitM dua arah bukan hanya pada SSID yang sama, tetapi juga di SSID atau segmen jaringan lain
Saya sudah mengalami hal seperti ini sejak era WEP awal 2000-an, jadi sekarang saya sama sekali tidak memakai Wi-Fi
Kamera ditutup dengan selotip, antena dilepas, email juga diputus
Pada akhirnya saya menganggap hanya kabel tembaga atau serat optik yang benar-benar aman
Katanya Anda mungkin akan menyukai film tahun 1974 The Conversation
Saya juga mengambil pendekatan serupa. Wi-Fi saya pisahkan ke subnet tersendiri, memakai GrapheneOS, dan melepas semua mikrofon perangkat keras yang bisa dilepas
Isolasi klien sebenarnya adalah fitur yang cukup merepotkan
Pabrikan mengasumsikan semua perangkat akan saling berkomunikasi di satu jaringan besar, tetapi saat diisolasi, perangkat seperti lampu Elgato atau Chromecast tidak berfungsi
Meski begitu, menurut saya tetap lebih baik daripada membiarkan orang lain di hotel mengendalikan Chromecast saya
Karena itu saya selalu membawa router travel berbasis OpenWRT, agar perangkat saya bisa bekerja seperti di rumah pada jaringan apa pun
Bahkan tanpa isolasi klien, ada kasus di mana penemuan perangkat tidak berjalan karena broadcast antara kabel dan nirkabel tidak di-bridge
Tujuan asli isolasi klien memang untuk mencegah penyalahgunaan IoT seperti ini
Di asrama atau jaringan bersama memang tidak nyaman, tetapi ini mencegah orang lain mengendalikan perangkat saya atau menyebarkan malware
Akan lebih nyaman jika ada pengecualian untuk protokol tertentu atau rentang IP tertentu, tetapi itu juga memperbesar risiko kebocoran data
Judul artikelnya terasa agak berlebihan
Ini bukan memecahkan enkripsi Wi-Fi, melainkan hanya menonaktifkan isolasi perangkat dalam jaringan yang sama
Tetapi banyak perusahaan, universitas, dan lembaga pemerintah bergantung pada isolasi klien untuk pemisahan jaringan, jadi bagi mereka ini masalah serius
Sebagai salah satu penulis makalah, saya menegaskan bahwa “bypass” lebih akurat daripada “break”
Setelah membaca makalahnya, tampaknya sebagian besar Wi-Fi rumahan rentan karena SSID yang sama dipakai di 2.4GHz dan 5GHz
Autentikasi Radius juga bisa terdampak sebagian
Mitigasinya adalah memakai AP dengan satu MAC saja
Jika menggunakan EAP-TLS maka aman, tetapi pemisahan VLAN tetap diperlukan
Ada juga pendapat bahwa rumah yang tidak punya jaringan tamu akan aman
Penyerang setidaknya harus terautentikasi ke salah satu jaringan, jadi orang luar sepenuhnya tidak bisa melakukannya
EAP-TLS memang kuat, tetapi tidak mencegah serangan lateral dari perangkat terautentikasi lain dalam AP yang sama
Di Supernetworks.org, tempat saya bekerja, kami menyarankan VLAN dan kata sandi per perangkat
Ini benar-benar masalah besar
Jika ada beberapa jaringan Wi-Fi berbeda pada satu AP, klien di satu jaringan bisa melakukan MITM terhadap trafik jaringan lain
Sebagian besar Wi-Fi perusahaan mengandalkan isolasi seperti ini
Artinya, jika saya masuk ke jaringan tamu, saya bisa membaca trafik jaringan perusahaan
Masalahnya, banyak AP sebenarnya hanya punya beberapa SSID, tanpa spesifikasi yang secara eksplisit menjamin isolasi L2/L3
Salah satu penulis makalah sedang ikut berdiskusi langsung di thread Hacker News
Setelah membaca sampai akhir, intinya adalah bahwa “satu jaringan yang dilindungi kata sandi kuat tidak terlalu terancam oleh AirSnitch”
Namun, jika jaringan aman dan jaringan tamu berbagi AP yang sama, sisi tamu bisa mengakses klien di jaringan aman
Ada juga kasus seperti jaringan tamu otomatis Xfinity yang sulit dinonaktifkan
Serangan ini pada dasarnya hanya bekerja dalam satu SSID Private-PSK/Dynamic-PSK atau atribut VLAN EAP/Radius bisa menjadi mitigasi
Pada WPA3/SAE lebih rumit, dan sebagian besar perangkat masih belum mendukungnya
Hostapd sekarang mendukung multi-password WPA3
Proyek spr-networks/super sedang digunakan untuk mengimplementasikan PSK+VLAN per perangkat
Namun implementasi nyata sulit karena sinkronisasi Keychain pada perangkat Apple dan randomisasi MAC, dan karena struktur SAE membuat sulit mencoba banyak kata sandi sekaligus
Saya sedang mencari rekomendasi firewall untuk macOS
Firewall bawaan nyaris tidak berguna, dan jika isolasi klien bisa dibypass, firewall lokal menjadi lebih penting
Saya mengikat server pengembangan ke 0.0.0.0, jadi saat terhubung ke Wi-Fi publik saya ingin yakin port-nya benar-benar tertutup
Little Snitch adalah yang paling terkenal, dibuat oleh pengembang yang sangat memahami arsitektur firewall macOS Situs resmi
1 komentar
Komentar Hacker News
Menurut saya, serangan seperti ini tampaknya hanya mungkin jika penyerang sudah terhubung ke jaringan korban
Sebagian besar terlihat mirip dengan serangan yang sudah lama dikenal di lingkungan Wi-Fi bersama seperti bandara atau kafe
Hal yang baru adalah eksploitasi terhadap kerentanan implementasi di mana sebagian router gagal memisahkan trafik antara jaringan tamu dan jaringan biasa dengan benar
Seperti pada kasus Eduroam, penyerang dapat mencegat paket pengguna Eduroam melalui jaringan tamu pada AP yang sama tanpa memiliki kredensial Eduroam
Jika hanya ada satu jaringan terautentikasi, hilangnya isolasi seperti ini tidak berarti banyak, sama seperti kaburnya sandbox browser tidak berarti jika Anda hanya mengunjungi satu situs tepercaya
Yang sebenarnya terjadi adalah memungkinkan bypass isolasi klien
Ada juga kasus di Wi-Fi terbuka kampus di mana trafik jaringan lain, termasuk Enterprise SSID, bisa dicegat
Ini bukan “memecahkan” enkripsi, melainkan “membypass”-nya
Jika router rumahan pribadi memakai satu SSID saja, maka aman
Sebagian besar cookie autentikasi dilindungi oleh TLS, jadi risiko nyatanya terbatas
Perangkat keras lama, terutama yang sebelum 802.11w, tampaknya akan tetap rentan selamanya
AirSnitch mengeksploitasi fungsi inti Layer 1~2 pada Wi-Fi dan memanfaatkan kegagalan sinkronisasi antar klien
Penyerang bisa melakukan MitM dua arah bukan hanya pada SSID yang sama, tetapi juga di SSID atau segmen jaringan lain
Saya sudah mengalami hal seperti ini sejak era WEP awal 2000-an, jadi sekarang saya sama sekali tidak memakai Wi-Fi
Kamera ditutup dengan selotip, antena dilepas, email juga diputus
Pada akhirnya saya menganggap hanya kabel tembaga atau serat optik yang benar-benar aman
Isolasi klien sebenarnya adalah fitur yang cukup merepotkan
Pabrikan mengasumsikan semua perangkat akan saling berkomunikasi di satu jaringan besar, tetapi saat diisolasi, perangkat seperti lampu Elgato atau Chromecast tidak berfungsi
Karena itu saya selalu membawa router travel berbasis OpenWRT, agar perangkat saya bisa bekerja seperti di rumah pada jaringan apa pun
Di asrama atau jaringan bersama memang tidak nyaman, tetapi ini mencegah orang lain mengendalikan perangkat saya atau menyebarkan malware
Judul artikelnya terasa agak berlebihan
Ini bukan memecahkan enkripsi Wi-Fi, melainkan hanya menonaktifkan isolasi perangkat dalam jaringan yang sama
Setelah membaca makalahnya, tampaknya sebagian besar Wi-Fi rumahan rentan karena SSID yang sama dipakai di 2.4GHz dan 5GHz
Autentikasi Radius juga bisa terdampak sebagian
Mitigasinya adalah memakai AP dengan satu MAC saja
Jika menggunakan EAP-TLS maka aman, tetapi pemisahan VLAN tetap diperlukan
Di Supernetworks.org, tempat saya bekerja, kami menyarankan VLAN dan kata sandi per perangkat
Ini benar-benar masalah besar
Jika ada beberapa jaringan Wi-Fi berbeda pada satu AP, klien di satu jaringan bisa melakukan MITM terhadap trafik jaringan lain
Sebagian besar Wi-Fi perusahaan mengandalkan isolasi seperti ini
Makalah yang disebut di artikel adalah AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks
Setelah membaca sampai akhir, intinya adalah bahwa “satu jaringan yang dilindungi kata sandi kuat tidak terlalu terancam oleh AirSnitch”
Ada juga kasus seperti jaringan tamu otomatis Xfinity yang sulit dinonaktifkan
Serangan ini pada dasarnya hanya bekerja dalam satu SSID
Private-PSK/Dynamic-PSK atau atribut VLAN EAP/Radius bisa menjadi mitigasi
Pada WPA3/SAE lebih rumit, dan sebagian besar perangkat masih belum mendukungnya
Proyek spr-networks/super sedang digunakan untuk mengimplementasikan PSK+VLAN per perangkat
Namun implementasi nyata sulit karena sinkronisasi Keychain pada perangkat Apple dan randomisasi MAC, dan karena struktur SAE membuat sulit mencoba banyak kata sandi sekaligus
Saya sedang mencari rekomendasi firewall untuk macOS
Firewall bawaan nyaris tidak berguna, dan jika isolasi klien bisa dibypass, firewall lokal menjadi lebih penting
Saya mengikat server pengembangan ke 0.0.0.0, jadi saat terhubung ke Wi-Fi publik saya ingin yakin port-nya benar-benar tertutup
Situs resmi