Еще в апреле этого года два независимых эксперта в области информационных технологий открыли ряд уязвимостей. Более того. которые назвали DragonBlood. Названы они так были из-за уязвимого механизма Dragonfly. Он позволял клиентам проходить на устройствах аутентификацию с поддержкой стандарта, который считается новым, WPA3. В ходе исследования специалист по защите информации средняя зарплата СПб выяснил, что эти наборы уязвимостей можно использовать во вред пользователям.
Из чего состоит новая атака, специалист по защите информации средняя зарплата СПб
Прежде всего, DragonBlood представляет собой целых пять уязвимостей, а именно:
- DDoS;
- side-channel утечки;
- проблемы с даунгрейдом соединений.
В совокупности эти уязвимости позволяют хакеру выяснить пароль и подключиться к нему Однако надо находиться в пределах доступа Wi-Fi, но именно его применяет жертва. Важно понимать, что как только хакер попадает в защищенную сеть, он может подключиться ко всем компьютерам этой сети и вытащить конфиденциальные данные. В результате тогда уже ни один специалист по информационной безопасности в банке СПб не сможет помочь.
Также независимые эксперты рассказали о еще двух уязвимостях, после того, как была подготовлена защита для DragonBlood. Усовершенствованные уязвимости позволяют злоумышленникам красть информацию об операциях WPA3 и собирать пароли от Wi-Fi.
Как называются баги
Тем не менее, самую первую уязвимость назвали CVE-2019-13377. К тому же, она непосредственно влияет на Dragonfly-механизм, управляющий WPA3. Дело в том, что разработчики использовали сложные инструменты. А потому решили проблему с предыдущей уязвимостью. Но в итоге получить пароль от Wi-Fi стало еще проще. Хакеры без труда используют эту утечку для проникновения в безопасную сеть. Как утверждает специалист по информационной безопасности где учиться СПб, не помогают даже сложные пароли.
Вторая уязвимость стала называться CVE-2019-13456. С ее помощью может произойти существенная утечка конфиденциальной информации. Хакеры могут воспользоваться этим багом и восстановить историю изменения паролей. Поэтому специалист по информационной безопасности должностная инструкция СПб настоятельно советует не использовать оборудование. которое поддерживает эти баги.
