Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака AirSnitch, позволяющая обойти изоляцию между клиентами в Wi-Fi"	+/–
Сообщение от opennews (??), 26-Фев-26, 23:27
Исследователи из Калифорнийского университета в Риверсайде разработали (PDF) новый класс атак на беспроводные сети - AirSnitch. Атаки дают возможность обойти механизмы изоляции клиентов в Wi-Fi сети, не позволяющие клиентам напрямую обращаться друг к другу. При наихудшем сценарии атаки позволяют... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64881
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 26-Фев-26, 23:27	+/–
В WPA2/3 разве нельзя использовать разные пароли для подключения к одной SSID? Или общеканальный ключ из него генерится и это не обойти?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #9, #17, #48

2. Сообщение от Аноним (3), 26-Фев-26, 23:40	+8 +/–
Вафля всегда была дуршлагом. Если можно избегать её использования - её использования следует всеми возможными способами избегать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #11, #19, #27, #32, #36

3. Сообщение от Аноним (3), 26-Фев-26, 23:42	+/–
Представь себе хомячка, которому надо держать разные пароли для смартфончика, для планшетика, для ноутбука, для телевизора, для наса и ещё для всех устройств умного дома.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

4. Сообщение от Аноним (4), 27-Фев-26, 00:11	+4 +/–
Не пойми чем занимаются. Вот определение человека за стеной с промощью просто вафли - вот это круто. А так же пульса этого человека.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #43

5. Сообщение от Аноним (9), 27-Фев-26, 00:40	+1 +/–
> осуществляется через цикличную подмену и возвращение записи в таблице MAC-адресов и чего можно при этих качелях внятного насобирать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

6. Сообщение от Аноним (6), 27-Фев-26, 00:40	–1 +/–
В enterprise можно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от 12yoexpert (ok), 27-Фев-26, 00:41	+/–
что там? опять нужная чёрная курица в пятом доме молодого Юпитера?
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Аноним (9), 27-Фев-26, 00:43	+/–
> В WPA2/3 разве нельзя использовать разные пароли это как?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 27-Фев-26, 01:45	+1 +/–
Что предлагаете взамен? Не подключать же смартфон к роутеру витой парой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13, #14, #18, #33, #34

12. Сообщение от Аноним (13), 27-Фев-26, 02:05	+1 +/–
Как будто а) В публичных местах нельзя свою точку поднять (с таким же ссид) и через неё гонять трафик. б) Все проводные каналы всё равно не доступны злоумышленнику. в) Где-то ещё остался незашифрованный трафик, чтобы это кого-то волновало.
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 27-Фев-26, 02:11	–6 +/–
Была бы возможность, так бы и делал (а на ноуте и делаю). - Всё равно что телефон что ноут всегда на зарядке. - Скорость по проводу выше в разы, а задержки ниже. - С современными блокировками и замедлениями, а также отключениями сотовой связи из-за "беспилотной опасности", безальтернативный (а до этого - просто удобный) паттерн работы с мобильными устройствами - накачать в них контента (фильмов, книг, чатов, кода) и спокойно работать с этим оффлайн. - Не светить своё положение через сотовую связь нынче также дорогого стоит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15, #24, #30, #44, #56

14. Сообщение от пэпэ (?), 27-Фев-26, 02:11	+1 +/–
Предлагаем использовать шифрование везде и не цеплять к своей точке чужих (ie - использовать нормальные пароли). И пусть хоть обатакуются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #60

15. Сообщение от пэпэ (?), 27-Фев-26, 02:13	+3 +/–
а лучше - не использовать технику. В тайге нет ни беспилотников, ни блокировок. Нам тоже кайф - интернет вздохнет спокойней.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от Аноним83 (?), 27-Фев-26, 02:42	+/–
Подозреваю что нашли случайно: поставили один и тот же MAC на несколько адаптеров, потом подключились на 2,4 + 5ГГц и оно отвалилось у первого подключившегося. Сама атака не практичная: постоянно переключатся на получение то с одной стороны то с другой не удобно и палевно. Скорее всего конфиг когда один канал целиком отдан гостевой сети а другой целиком отдан рабочей/домашней, и они разнесены по разным VLAN не подвержен этой проблеме. В остальном же те кто ставил физически отдельную точку доступа для гостевой сети и подключал в коммутатор который сам тэгирует в гостевой VLAN могут не беспокоится. Те у кого точка доступа одно диапазонная вероятно тоже не подвержены проблеме. Отдельно про обход изоляции между клиентам в новости всего пол предложения, я лично никогда не доверял этой фиче в WiFi и не видел в ней особого смысла, возможно в нагруженных гостевых сетях чтобы на один косяк за 3 года было меньше оно и способно.
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним83 (?), 27-Фев-26, 02:46	+4 +/–
Вы похоже совсем новость не читали. 1. Там есть отдельный ключ или ещё какая то фича чтобы рассылать мультикаст/броадкаст - через это обходится изоляция между клиентами. 2. Если ты ставишь себе MAC как у цели, но подключаешься к той же точке доступа но на ругой диапазон то внутренний L2 свитч начнёт перенаправлять ВСЕ пакеты тебе вместо того кто первый подключился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #55

18. Сообщение от Аноним (4), 27-Фев-26, 02:49	+1 +/–
В замен, я предлагаю, как и ранее, просто исходить из того, что вафля, как собственно и другие локальные сети являются не доверенными, так же как и интернет. Т.е, настраивая фаерволы на роутере и своих устройствах, не делаем поблажек на локальность сетей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #20

19. Сообщение от Аноним83 (?), 27-Фев-26, 02:51	+2 +/–
Ну была, и что теперь? Кругом и так сплошной TLS, пароль на вафлю ставят разве что для того чтобы потом не писать объяснительную в ментовке на предмет того кто там картинку/лайк запостил, да чтобы халявщики канал не забивали. Если речь про кртичные системы - то там любое радио не подходит из за помех. Если же про домашнее развлечение - то пофик, риски в районе нуля. На предприятиях сложнее и сильно по разному: где то даже гостевой вафли нет и всех пускают в производственную, а пароль в ней не меняют десятилетиями. Гдето и гостевая есть и в производственную по wpa2/3-enterprise пускают, да ещё какой нить каптив портал с мультифактором заставляют по паре раз в день делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #23

20. Сообщение от Аноним83 (?), 27-Фев-26, 02:54	–3 +/–
А зачем нужен фаервол в наше то время?) Я вот знаю что у меня на компе запущено - ничего лишнего, фаер мне даром не сдался. На домашнем роутере фаер есть, но в основном для: 1. фильтровать мусор из локалки чтобы в инет не улетал 2. некоторые сервисы патчить лень и они слушают на 0.0.0.0/:: а они только для локалки предназначены.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #29, #39

22. Сообщение от Аноним (22), 27-Фев-26, 05:47	+/–
Да, ключ общий для клиентов подключающихся к одной SSID, причем, за исключением деталей (типа того, когда происходит перегенрация ключа), механизм не зависит от того PSK или Enterprise.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57

23. Сообщение от penetrator (?), 27-Фев-26, 06:10	+/–
т.е. тетю Дусю буха из отдельной конуры сидящей в локальке по SMB1 через вафлю не рассматриваем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #47

24. Сообщение от X512 (?), 27-Фев-26, 06:26	+2 +/–
Возможность и так уже есть. Берите USB Ethernet адаптер подключайте его к смартфону. Проверено, работает. Можно ещё взять USB хаб со встроенным Ethernet, так можно бужет одновременно заряжать смартфон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

27. Сообщение от Аноним (30), 27-Фев-26, 07:22	+4 +/–
И блютуза. И богомерзкой сотовой связи. На моём Кор 2 Дуо этой бесовщины нет и не будет. И диск чтобы крутился и стрекотал, а не эта чёрная магия недвижимая. И никакого системде с вялендом чтобы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

28. Сообщение от Анонимм (??), 27-Фев-26, 07:23	+/–
> злоумышленник, подключившийся к той же точке доступа А если он не подключится к ней, то - по логике - не будет и взлома. О чем новость?
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от нах.. (?), 27-Фев-26, 07:40	+2 +/–
А с этого начинается. А зачем файрвол? А зачем бить сеть на вланы? А зачем шифровать трафик? А зачем сложные различные пароли? А потом - уой, а чего это компьютер чего-то загружен постоянно? А чего это денег на счёте так мало стало. И ведь вы потом эти привычки на работу тащите.. Есть правила инфо гигиены - это как мыть руки. Не понимаешь - просто делай не понимая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #37, #40

30. Сообщение от Аноним (30), 27-Фев-26, 07:49	+4 +/–
>Всё равно что телефон что ноут всегда на зарядке. Скорость по проводу выше в разы, а задержки ниже. Оо.. Ну, понятно, что там за ноут с телефоном, которые постоянно на зарядке и с древним вайфаем. Типичная местная ситуация.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

32. Сообщение от Аноним (32), 27-Фев-26, 09:53	–1 +/–
https://opennet.ru/64181-turris
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

33. Сообщение от Аноним (33), 27-Фев-26, 10:19	+/–
Из альтернатив есть Bluetooth, но радиус меньше. Раньше как то приходилось через Bluetooth подключать ПК к мобильному интернету. Но сейчас такое вроде никто не практикует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

34. Сообщение от Анонисссм (?), 27-Фев-26, 10:49	+/–
>Не подключать же смартфон к роутеру витой парой. а на спайфоне ничего ценного не бывает у нормисов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

35. Сообщение от Аноним (35), 27-Фев-26, 11:05	+/–
Циске так и надо, остальных жалко.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Alex (??), 27-Фев-26, 11:06	+/–
В общем-то как и весь интернет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

37. Сообщение от Жироватт (ok), 27-Фев-26, 11:45	+2 +/–
Действительно, нууутуууупыыые. Зачем разделять домашнюю сеть на вланы и микросегментацию на уровне, допустим L2, если там только твой смарт, твой ноут и смарт жены - максимум устройств 6-10, причем по вафле - 2-3?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

39. Сообщение от Аноним (4), 27-Фев-26, 13:48	+/–
>А зачем нужен фаервол в наше то время?) Фаервол нужен хотябы за тем, чтоб по его логам узнать, что, когда, и куда у тебя пыталось утечь. А так же, кто приходил поинтересоваться уровнем твоей защиты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #41

40. Сообщение от Аноним83 (?), 27-Фев-26, 14:15	+/–
А зачем пароли, когда ссш ключи удобнее?) Вланы понятно зачем. А фаер не особо нужен когда ты сам можешь контролировать на уровне слушающих сервисов кто и откуда к ним может подключится. Мой поинт в том, что фаер ставится там где ты уже потерял контроль над локальными сервисами и они пускают всех подряд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

41. Сообщение от Аноним83 (?), 27-Фев-26, 14:17	+/–
Теоретег! На компе подключённом к инету эти твои атаки каждые каждые 5 секунд - сиди теперь читай целый день бесполезное. А что куда утечь - ну это опять наивность: ничего ты не узнаешь, кругом TLS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #46

42. Сообщение от Аноним (42), 27-Фев-26, 15:06	+1 +/–
А почему микротик не упомянут в статье, у них таких проблем нет !?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

43. Сообщение от Аноним (43), 27-Фев-26, 15:34	+2 +/–
> А так же пульса этого человека. Так уже на пипевайр заменили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

44. Сообщение от Ктото271 (?), 27-Фев-26, 19:17	+/–
А не пробовали ЮСБ сетевой адаптер к теефону подключать? Мыши же работают, да и Андроид - Линукс, вдруг повезет, и на какой распространенный адаптер и дрова окажутся...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

45. Сообщение от Тыщеглаз рулез (?), 27-Фев-26, 21:43	+2 +/–
Судя по таблице, самыми безопасными оказались OpenWrt и, следом, DD-WRT. При том, что только у них код открытый. Очередной секьюрити-cpу-обскьюрити обоcpамс. С чем и поздравляю любителей навернуть проприетарщины и тивоизации с lo-паты.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

46. Сообщение от Аноним (4), 27-Фев-26, 21:57	+/–
>Теоретег! Ну пожаааалуйста, ну включи фаервол, ну что тебе стоит то? ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

47. Сообщение от Аноним83 (?), 27-Фев-26, 23:23	+/–
1. В венде фаер по дефолту включён. 2. В венде легко снять привязку и смб клиента и смб сервера с нужных интерфейсов, так что даже фаер будет не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #52

48. Сообщение от benblossier (?), 28-Фев-26, 00:22	+1 +/–
Я видел это на маршрутизаторах Mikrotik. В версии RouterOS 6.xx была возможность задать уникальный пароль для каждого беспроводного клиента, внесенного в белый список по MAC-адресу. Не нужно было использовать Radius или даже добавлять пользователей. Предлагаемые ими настройки беспроводной сети просто великолепны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

49. Сообщение от benblossier (?), 28-Фев-26, 00:32	+/–
В Mikrotik есть возможность отключить packet forwarding для точек доступа или беспроводных клиентов. Это своего рода решение проблемы.
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от penetrator (?), 28-Фев-26, 08:06	+/–
> 1. В венде фаер по дефолту включён. > 2. В венде легко снять привязку и смб клиента и смб сервера > с нужных интерфейсов, так что даже фаер будет не нужен. а на сервер по SMB она как ходить будет? либо ты закрылся и у тебя ничего не работает, либо ты открыл, но работает не только у тебя ))))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

53. Сообщение от Yuozhik (?), 28-Фев-26, 10:33	+/–
Наверное, потому что у Микротов каждый диапазон на своем интерфейсе типа wifi0, wifi1 со своим ssid (если специально не ломать эту схему).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

54. Сообщение от Аноним (54), 28-Фев-26, 10:56	+/–
- И как меня по пейджеру отследят? ... Ой! ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

55. Сообщение от Аноним (1), 28-Фев-26, 14:00	+/–
Про общеканальный ключ понятно, такой мультикаст можно приструнить распихав каждого клиента в свой отдельный vlan, т.е. получится один интерфейс на одного юзера и никаких L2 броадкастов, только L3 который уже попроще настраивается. А вот подмену MAC как раз можно решить только добавив секрет каждому клиенту, который другие клиенты знать не будут. Например уникальный пароль на одну и ту же SSID. И тогда подмена мака ничего не даст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

56. Сообщение от Аноним (1), 28-Фев-26, 14:04	+/–
> Скорость по проводу выше в разы, а задержки ниже. Бедолаги всё ещё не разобрались, как на своей коробке включить 802.11n/ac only, без обратной совместимости с 20-летним железом знающим только b/g/a
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #59

57. Сообщение от Аноним (1), 28-Фев-26, 14:09	+/–
Для юникаста ключ у каждого клиента таки свой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

58. Сообщение от Ononim (?), 28-Фев-26, 20:54	+/–
Так ведь это, можно же настроить точку доступа как одну запароленную сеть (без гостевой) на одной фиксированной частоте (строго 2.4 или 5) и тогда эта уязвимость будет не страшна. А если нужна гостевая сеть, то поставить еще одну точку доступа, правда, это лишние затраты.
Ответить | Правка | Наверх | Cообщить модератору

59. Сообщение от Аноним (3), 01-Мрт-26, 02:44	+/–
>> Скорость по проводу выше в разы, задержки ниже. > Бедолаги всё ещё не разобрались Так ты, бедненький, не знаешь ни то, чем collision detection отличается от collision prevention, и как это сказывается на задержках, ни то, как твоя коробка с включённым n/ac делит полосу частот с соседями, и сколько ей остаётся от той скорости, про которую тебе напели в рекламе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

60. Сообщение от Аноним (3), 01-Мрт-26, 02:49	+/–
Хорошо бы, кабы так, если бы не уязвимости, например, в прошивках bt-чипов, которые позволяют хакнуть устройство при якобы выключенном bt (да, внезапно оказалось, что bt чип слушает эфир даже когда в интерфейсе настроек смартфона номинальный владелец нажал "выключить").
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

61. Сообщение от Аноним (61), 03-Мрт-26, 06:14	+/–
а что если WPA3-Personal
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от myster (ok), 05-Мрт-26, 18:16	+/–
Всё так, поэтому безопасность - кстати, одна из причин, почему правительство США поддерживает Open Source в госухе. А кое-кто зачем-то тащит закрытые продукты типа КриптоПро и ViPNet VPN в госучреждения и выдаёт им инфо-циганские сертификаты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема