پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > WPA3 وائرلیس نیٹ ورک سیکیورٹی ٹیکنالوجی اور EAP-pwd میں نئے خطرات

WPA3 وائرلیس نیٹ ورک سیکیورٹی ٹیکنالوجی اور EAP-pwd میں نئے خطرات

میتھی وینہوف اور ایال روننایئل رونن۔) شناخت WPA2019 سیکیورٹی ٹیکنالوجی کا استعمال کرتے ہوئے وائرلیس نیٹ ورکس پر حملہ کرنے کا ایک نیا طریقہ (CVE-13377-3)، جو پاس ورڈ کی خصوصیات کے بارے میں معلومات حاصل کرنے کی اجازت دیتا ہے جن کا استعمال آف لائن اندازہ لگانے کے لیے کیا جا سکتا ہے۔ مسئلہ موجودہ ورژن میں ظاہر ہوتا ہے۔ ہوسٹاپ ڈی.

یاد رہے کہ اپریل میں بھی یہی مصنفین تھے۔ شناخت کیا WPA3 میں چھ خطرات، جن کا مقابلہ کرنے کے لیے Wi-Fi الائنس، جو وائرلیس نیٹ ورکس کے لیے معیارات تیار کرتا ہے، نے WPA3 کے محفوظ نفاذ کو یقینی بنانے کے لیے سفارشات میں تبدیلیاں کیں، جن کے لیے محفوظ بیضوی منحنی خطوط کے استعمال کی ضرورت تھی۔ برین پول، پہلے درست بیضوی منحنی خطوط P-521 اور P-256 کی بجائے۔

تاہم، تجزیہ سے پتہ چلتا ہے کہ برین پول کا استعمال WPA3 میں استعمال ہونے والے کنکشن گفت و شنید کے الگورتھم میں سائیڈ چینل لیکس کی ایک نئی کلاس کا باعث بنتا ہے۔ Dragonfly میں, فراہم کرنا آف لائن موڈ میں پاس ورڈ کا اندازہ لگانے سے تحفظ۔ شناخت شدہ مسئلہ یہ ظاہر کرتا ہے کہ تھرڈ پارٹی ڈیٹا لیکس سے پاک Dragonfly اور WPA3 کو نافذ کرنا انتہائی مشکل ہے، اور یہ بھی ظاہر کرتا ہے کہ مجوزہ طریقوں اور کمیونٹی کی طرف سے آڈٹ کی عوامی بحث کے بغیر بند دروازوں کے پیچھے معیارات کو تیار کرنے کے ماڈل کی ناکامی ہے۔

Brainpool کے بیضوی وکر کا استعمال کرتے وقت، Dragonfly بیضوی وکر کو لاگو کرنے سے پہلے ایک مختصر ہیش کی تیزی سے گنتی کرنے کے لیے پاس ورڈ کے کئی ابتدائی تکرار کو انجام دے کر پاس ورڈ کو انکوڈ کرتا ہے۔ جب تک ایک مختصر ہیش نہیں مل جاتی، کی گئی کارروائیاں براہ راست کلائنٹ کے پاس ورڈ اور میک ایڈریس پر منحصر ہوتی ہیں۔ عمل درآمد کا وقت (اعادہ کی تعداد کے ساتھ منسلک) اور ابتدائی تکرار کے دوران کارروائیوں کے درمیان تاخیر کی پیمائش کی جا سکتی ہے اور پاس ورڈ کی خصوصیات کا تعین کرنے کے لیے استعمال کیا جا سکتا ہے جو پاس ورڈ کا اندازہ لگانے کے عمل میں پاس ورڈ کے حصوں کے انتخاب کو بہتر بنانے کے لیے آف لائن استعمال کیا جا سکتا ہے۔ حملہ کرنے کے لیے، وائرلیس نیٹ ورک سے جڑنے والے صارف کے پاس سسٹم تک رسائی ہونی چاہیے۔

مزید برآں، محققین نے پروٹوکول کے نفاذ میں معلومات کے رساو سے منسلک ایک دوسرے خطرے (CVE-2019-13456) کی نشاندہی کی۔ EAP-pwd، ڈریگن فلائی الگورتھم کا استعمال کرتے ہوئے۔ مسئلہ FreeRADIUS RADIUS سرور کے لیے مخصوص ہے اور، تیسرے فریق کے چینلز کے ذریعے معلومات کے رساو کی بنیاد پر، بالکل پہلے خطرے کی طرح، یہ پاس ورڈ کا اندازہ لگانے کو نمایاں طور پر آسان بنا سکتا ہے۔

تاخیر کی پیمائش کے عمل میں شور کو فلٹر کرنے کے لیے ایک بہتر طریقہ کے ساتھ مل کر، فی MAC ایڈریس 75 پیمائشیں تکرار کی تعداد کا تعین کرنے کے لیے کافی ہیں۔ GPU استعمال کرتے وقت، ایک لغت کے پاس ورڈ کا اندازہ لگانے کے لیے وسائل کی لاگت کا تخمینہ $1 ہے۔ شناخت شدہ مسائل کو روکنے کے لیے پروٹوکول سیکیورٹی کو بہتر بنانے کے طریقے پہلے سے ہی مستقبل کے وائی فائی معیارات کے مسودے میں شامل ہیں (ڈبلیو پی اے 3.1) اور EAP-pwd. بدقسمتی سے، موجودہ پروٹوکول ورژنز میں پسماندہ مطابقت کو توڑے بغیر تھرڈ پارٹی چینلز کے ذریعے لیک کو ختم کرنا ممکن نہیں ہوگا۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں