Me parece que este tipo de ataques solo son posibles si el atacante ya está conectado a la red de la víctima
En su mayoría, se ven similares a ataques conocidos desde hace mucho tiempo en entornos de Wi-Fi compartido como aeropuertos o cafés
Lo nuevo es que explotan una vulnerabilidad de implementación donde algunos routers no separan correctamente el tráfico entre la red de invitados y la red normal
El atacante no necesita estar conectado a la red de la víctima; basta con que esté conectado al mismo hardware
Como en el caso de Eduroam, el atacante puede interceptar los paquetes de un usuario de Eduroam desde la red de invitados del mismo AP incluso sin credenciales de Eduroam
Si solo existe una única red autenticada, esta pérdida de aislamiento no tiene importancia, igual que escapar del sandbox del navegador no sirve de nada si solo visitas un único sitio confiable
Como coautor del artículo, creo que la expresión “romper el cifrado de Wi-Fi” es engañosa
En realidad, lo que permite es eludir el aislamiento de clientes
También hubo casos en redes Wi-Fi abiertas universitarias donde se interceptó tráfico de otras redes, incluyendo SSID Enterprise
No está “rompiendo” el cifrado, sino “eludiéndolo”
Un router doméstico con un solo SSID es seguro
Me pregunto qué pasa en casos como XFinity, donde el Wi-Fi pagado por los usuarios se comparte a escala de toda la ciudad
Yo también lo veo así. Es un problema para entornos que dependen del aislamiento de clientes, pero tiene poco impacto para el usuario común
La mayoría de las cookies de autenticación están protegidas por TLS, así que el riesgo real es limitado
Un AP tiene varios BSSID cuando transmite 2.4GHz y 5GHz al mismo tiempo, y si la comprobación de MAC duplicadas o el intercambio de GTK en WPA2-PSK es débil, el ataque se vuelve sencillo
El hardware antiguo, especialmente el anterior a 802.11w, probablemente será vulnerable para siempre
AirSnitch explota funciones clave de Layer 1~2 de Wi-Fi y aprovecha fallos de sincronización entre clientes
El atacante puede hacer MitM bidireccional no solo en el mismo SSID, sino también entre distintos SSID o segmentos de red
Como viví cosas así desde la era de WEP a inicios de los 2000, ahora ya no uso Wi-Fi en absoluto
Cinta en la cámara, antenas desconectadas, y también dejé el correo electrónico
Al final, creo que solo el cable de cobre o la fibra óptica son medios realmente seguros
Dicen que probablemente te gustaría la película de 1974 The Conversation
Yo hago algo parecido. Separo el Wi-Fi en una subred aparte, uso GrapheneOS y he quitado todos los micrófonos de hardware que he podido
El aislamiento de clientes en realidad es una función bastante incómoda
Los fabricantes asumen que todos los dispositivos van a comunicarse entre sí dentro de una gran red, pero cuando se aíslan, dispositivos como luces de Elgato o Chromecast dejan de funcionar
Aun así, me parece mejor que otra persona en un hotel pueda controlar mi Chromecast
Por eso siempre llevo un router de viaje basado en OpenWRT, para que mis equipos funcionen como en casa en cualquier red
Incluso sin usar aislamiento de clientes, hubo casos donde el broadcast entre cableado e inalámbrico no estaba puenteado, así que no funcionaba el descubrimiento de dispositivos
El propósito original del aislamiento de clientes es precisamente evitar este tipo de mal uso de IoT
En residencias estudiantiles o redes compartidas es incómodo, pero evita que otros controlen mis dispositivos o propaguen malware
Sería cómodo poner excepciones por protocolo o por rango de IP, pero eso también aumenta el riesgo de fuga de datos
El título del artículo se siente algo exagerado
No está rompiendo el cifrado de Wi-Fi, sino apenas anulando el aislamiento entre dispositivos dentro de la misma red
Pero muchas empresas, universidades y organismos gubernamentales dependen del aislamiento de clientes para separar redes, así que para ellos sí es un problema serio
Como coautor del artículo, insiste en que “bypass” es más preciso que “break”
Después de leer el artículo, parece que la mayoría de las redes Wi-Fi domésticas podrían ser vulnerables, porque comparten el mismo SSID entre 2.4GHz y 5GHz
La autenticación Radius también podría verse afectada en parte
La mitigación es usar AP con una sola MAC
Si usas EAP-TLS estás seguro, pero aun así sigue siendo necesaria la separación por VLAN
También hay quien opina que si no tienes una red de invitados en casa, estás a salvo
El atacante al menos necesita autenticarse en una red, así que no puede ser un externo total
EAP-TLS es fuerte, pero no evita ataques laterales desde otros dispositivos autenticados en el mismo AP
En Supernetworks.org proponemos VLAN y contraseña por dispositivo
Este sí es un problema grave
Cuando hay distintas redes Wi-Fi en un mismo AP, un cliente de una red puede hacer MITM al tráfico de otra red
La mayoría de las redes Wi-Fi corporativas dependen de ese aislamiento
O sea, si yo me conecto a la red de invitados, podría leer el tráfico de la red corporativa
El problema real es que muchos AP solo ofrecen múltiples SSID, pero las especificaciones no garantizan explícitamente el aislamiento L2/L3
Uno de los autores está participando directamente en la discusión en Hacker News thread
Al terminar de leer el artículo, la idea central es que “una sola red protegida con una contraseña fuerte” no hace que AirSnitch sea una amenaza importante
Pero si una red segura y una red de invitados comparten el mismo AP, desde la red de invitados se puede acceder a clientes de la red segura
Hay casos, como la red de invitados automática de Xfinity, donde es difícil desactivarla
Este ataque básicamente funciona solo dentro de un SSID
Se puede mitigar usando Private-PSK/Dynamic-PSK o atributos VLAN de EAP/Radius
En WPA3/SAE es más complejo, y la mayoría de los equipos todavía no lo soportan
Hostapd ahora ya soporta múltiples contraseñas en WPA3
En el proyecto spr-networks/super implementan y usan PSK+VLAN por dispositivo
Pero en la práctica es difícil desplegarlo por la sincronización de Keychain en dispositivos Apple y la aleatorización de MAC, y por la estructura de SAE no es fácil probar varias contraseñas al mismo tiempo
Estoy buscando una recomendación de firewall para macOS
El firewall integrado casi no sirve, y si se puede eludir el aislamiento de clientes, un firewall local se vuelve más importante
Suelo enlazar servidores de desarrollo a 0.0.0.0, y cuando me conecto a un Wi-Fi público quiero asegurarme de que los puertos estén cerrados
Little Snitch es el más conocido; lo hacen desarrolladores que entienden a fondo la arquitectura del firewall de macOS Sitio oficial
1 comentarios
Comentarios en Hacker News
Me parece que este tipo de ataques solo son posibles si el atacante ya está conectado a la red de la víctima
En su mayoría, se ven similares a ataques conocidos desde hace mucho tiempo en entornos de Wi-Fi compartido como aeropuertos o cafés
Lo nuevo es que explotan una vulnerabilidad de implementación donde algunos routers no separan correctamente el tráfico entre la red de invitados y la red normal
Como en el caso de Eduroam, el atacante puede interceptar los paquetes de un usuario de Eduroam desde la red de invitados del mismo AP incluso sin credenciales de Eduroam
Si solo existe una única red autenticada, esta pérdida de aislamiento no tiene importancia, igual que escapar del sandbox del navegador no sirve de nada si solo visitas un único sitio confiable
En realidad, lo que permite es eludir el aislamiento de clientes
También hubo casos en redes Wi-Fi abiertas universitarias donde se interceptó tráfico de otras redes, incluyendo SSID Enterprise
No está “rompiendo” el cifrado, sino “eludiéndolo”
Un router doméstico con un solo SSID es seguro
La mayoría de las cookies de autenticación están protegidas por TLS, así que el riesgo real es limitado
El hardware antiguo, especialmente el anterior a 802.11w, probablemente será vulnerable para siempre
AirSnitch explota funciones clave de Layer 1~2 de Wi-Fi y aprovecha fallos de sincronización entre clientes
El atacante puede hacer MitM bidireccional no solo en el mismo SSID, sino también entre distintos SSID o segmentos de red
Como viví cosas así desde la era de WEP a inicios de los 2000, ahora ya no uso Wi-Fi en absoluto
Cinta en la cámara, antenas desconectadas, y también dejé el correo electrónico
Al final, creo que solo el cable de cobre o la fibra óptica son medios realmente seguros
El aislamiento de clientes en realidad es una función bastante incómoda
Los fabricantes asumen que todos los dispositivos van a comunicarse entre sí dentro de una gran red, pero cuando se aíslan, dispositivos como luces de Elgato o Chromecast dejan de funcionar
Por eso siempre llevo un router de viaje basado en OpenWRT, para que mis equipos funcionen como en casa en cualquier red
En residencias estudiantiles o redes compartidas es incómodo, pero evita que otros controlen mis dispositivos o propaguen malware
El título del artículo se siente algo exagerado
No está rompiendo el cifrado de Wi-Fi, sino apenas anulando el aislamiento entre dispositivos dentro de la misma red
Después de leer el artículo, parece que la mayoría de las redes Wi-Fi domésticas podrían ser vulnerables, porque comparten el mismo SSID entre 2.4GHz y 5GHz
La autenticación Radius también podría verse afectada en parte
La mitigación es usar AP con una sola MAC
Si usas EAP-TLS estás seguro, pero aun así sigue siendo necesaria la separación por VLAN
En Supernetworks.org proponemos VLAN y contraseña por dispositivo
Este sí es un problema grave
Cuando hay distintas redes Wi-Fi en un mismo AP, un cliente de una red puede hacer MITM al tráfico de otra red
La mayoría de las redes Wi-Fi corporativas dependen de ese aislamiento
El artículo mencionado en la nota es AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks
Al terminar de leer el artículo, la idea central es que “una sola red protegida con una contraseña fuerte” no hace que AirSnitch sea una amenaza importante
Hay casos, como la red de invitados automática de Xfinity, donde es difícil desactivarla
Este ataque básicamente funciona solo dentro de un SSID
Se puede mitigar usando Private-PSK/Dynamic-PSK o atributos VLAN de EAP/Radius
En WPA3/SAE es más complejo, y la mayoría de los equipos todavía no lo soportan
En el proyecto spr-networks/super implementan y usan PSK+VLAN por dispositivo
Pero en la práctica es difícil desplegarlo por la sincronización de Keychain en dispositivos Apple y la aleatorización de MAC, y por la estructura de SAE no es fácil probar varias contraseñas al mismo tiempo
Estoy buscando una recomendación de firewall para macOS
El firewall integrado casi no sirve, y si se puede eludir el aislamiento de clientes, un firewall local se vuelve más importante
Suelo enlazar servidores de desarrollo a 0.0.0.0, y cuando me conecto a un Wi-Fi público quiero asegurarme de que los puertos estén cerrados
Sitio oficial