मुझे लगता है कि ऐसे हमले तभी संभव हैं जब हमलावर पहले से ही पीड़ित के नेटवर्क से जुड़ा हो
ज़्यादातर मामलों में यह एयरपोर्ट या कैफ़े जैसे shared Wi‑Fi माहौल में लंबे समय से ज्ञात हमलों जैसा लगता है
नई बात यह है कि यह कुछ routers में guest network और सामान्य network के बीच traffic को ठीक से अलग न कर पाने वाली implementation vulnerability का फायदा उठाता है
हमलावर को पीड़ित के network से जुड़ने की ज़रूरत नहीं है; उसी hardware से जुड़ा होना काफ़ी है
Eduroam वाले मामले की तरह, हमलावर के पास Eduroam credentials न हों तब भी वह उसी AP पर guest network के ज़रिए Eduroam user के packets intercept कर सकता है
अगर केवल एक authenticated network हो, तो ऐसी isolation loss का कोई मतलब नहीं रहता; यह वैसा ही है जैसे browser sandbox escape तब बेकार हो जब आप सिर्फ़ एक trusted site ही visit कर रहे हों
पेपर के सह-लेखक के रूप में, मुझे लगता है कि “Wi‑Fi encryption को तोड़ देता है” कहना भ्रामक है
असल में यह client isolation bypass को संभव बनाता है
ऐसे मामले भी थे जहाँ विश्वविद्यालय के open Wi‑Fi पर दूसरे networks (Enterprise SSID सहित) का traffic intercept किया गया
यह encryption को ‘तोड़ना’ नहीं बल्कि ‘bypass’ करना है
अगर यह single SSID वाला personal router है, तो वह सुरक्षित है
मैं सोच रहा हूँ कि XFinity जैसे मामलों में क्या होगा, जहाँ user के पैसे से बने Wi‑Fi को पूरे शहर में share किया जाता है
मैं भी इसे लगभग ऐसे ही देखता हूँ। client isolation पर निर्भर environments के लिए यह समस्या है, लेकिन आम users पर असर कम है
ज़्यादातर authentication cookies TLS से सुरक्षित रहती हैं, इसलिए वास्तविक जोखिम सीमित है
AP जब 2.4GHz और 5GHz को साथ broadcast करता है, तो उसके पास कई BSSID होते हैं; MAC duplicate check या WPA2-PSK के GTK sharing कमज़ोर हों तो हमला आसान हो जाता है
पुराना hardware, खासकर 802.11w से पहले का equipment, शायद हमेशा vulnerable रहेगा
AirSnitch Wi‑Fi की Layer 1~2 core functionality का दुरुपयोग करके clients के बीच synchronization failure का फायदा उठाता है
हमलावर सिर्फ़ उसी SSID पर नहीं, बल्कि दूसरे SSID या network segment पर भी bidirectional MitM कर सकता है
मैंने 2000s की शुरुआत के WEP दौर से ऐसी चीज़ें देखी हैं, इसलिए अब मैं Wi‑Fi का इस्तेमाल ही नहीं करता
कैमरे पर tape, antenna अलग, email भी बंद
आख़िर में मुझे लगता है कि सिर्फ़ copper wire या fiber cable ही असली सुरक्षा साधन हैं
किसी ने कहा कि आपको 1974 की फ़िल्म The Conversation पसंद आएगी
मैं भी कुछ ऐसा ही करता हूँ। Wi‑Fi को अलग subnet में रखता हूँ, GrapheneOS इस्तेमाल करता हूँ, और जहाँ तक संभव हो सभी hardware microphones हटा दिए हैं
client isolation असल में काफ़ी असुविधाजनक feature है
manufacturers मानकर चलते हैं कि सभी devices एक बड़े network में एक-दूसरे से बात करेंगे, लेकिन isolation होने पर Elgato lights या Chromecast जैसे devices काम नहीं करते
फिर भी मुझे लगता है कि होटल में किसी और के मेरे Chromecast को control करने से तो यह बेहतर है
इसलिए मैं हमेशा OpenWRT-based travel router साथ रखता हूँ, ताकि किसी भी network पर मेरे devices घर की तरह काम करें
client isolation न होने पर भी ऐसे मामले रहे हैं जहाँ wired और wireless के बीच broadcast bridge नहीं होता, इसलिए device discovery काम नहीं करती
client isolation का मूल उद्देश्य ही ऐसे IoT misuse prevention के लिए है
dormitory या shared network में यह असुविधाजनक है, लेकिन यह किसी और को मेरे devices control करने या malware फैलाने से रोकता है
अगर कुछ protocol या IP range exceptions हों तो सुविधा बढ़ेगी, लेकिन उतना ही data leakage risk भी बढ़ेगा
article का title कुछ overhyped लगता है
यह Wi‑Fi encryption को नहीं तोड़ता, बल्कि उसी network के भीतर सिर्फ़ device isolation को निष्प्रभावी करता है
लेकिन कई companies, universities और government agencies network separation के लिए client isolation पर निर्भर करती हैं, इसलिए उनके लिए यह गंभीर समस्या है
पेपर के सह-लेखक ने ज़ोर देकर कहा कि “break” की जगह “bypass” ज़्यादा सही शब्द है
पेपर पढ़ने पर लगा कि ज़्यादातर home Wi‑Fi, क्योंकि वे 2.4GHz और 5GHz पर SSID share करते हैं, vulnerable हो सकते हैं
Radius authentication भी कुछ हद तक प्रभावित हो सकता है
mitigation यह है कि सिर्फ़ single MAC वाले AP इस्तेमाल किए जाएँ
EAP-TLS इस्तेमाल करने पर सुरक्षा बेहतर रहती है, लेकिन फिर भी VLAN separation चाहिए
कुछ लोगों का मानना है कि अगर घर में guest network नहीं है तो आप सुरक्षित हैं
हमलावर को कम से कम एक network पर authenticate होना पड़ेगा, इसलिए पूरी तरह बाहरी outsider यह नहीं कर सकता
EAP-TLS मज़बूत है, लेकिन उसी AP के भीतर दूसरे authenticated devices से होने वाले lateral attacks नहीं रोकता
जहाँ मैं काम करता हूँ, Supernetworks.org में per-device VLAN और password का सुझाव दिया जाता है
यह सच में बड़ी समस्या है
जब एक AP पर अलग-अलग Wi‑Fi networks हों, तो एक network का client दूसरे network के traffic पर MITM कर सकता है
ज़्यादातर enterprise Wi‑Fi इसी isolation पर निर्भर करते हैं
यानी guest network से जुड़ा मैं enterprise network का traffic पढ़ सकता हूँ
असली समस्या यह है कि कई APs में कई SSID तो होते हैं, लेकिन L2/L3 isolation guarantee का कोई स्पष्ट specification नहीं होता
पेपर पूरा पढ़ने पर मुख्य बात यह लगी कि “मज़बूत password से सुरक्षित single network” हो तो AirSnitch बड़ा ख़तरा नहीं है
लेकिन अगर secure network और guest network एक ही AP share करते हैं, तो guest side से secure network के clients तक पहुँचा जा सकता है
Xfinity के automatic guest network जैसे मामले भी हैं, जिन्हें disable करना मुश्किल होता है
यह हमला मूल रूप से एक ही SSID में काम करता है Private-PSK/Dynamic-PSK या EAP/Radius VLAN attributes इस्तेमाल करने पर mitigation संभव है
WPA3/SAE में यह और जटिल है, और ज़्यादातर equipment अभी इसे support नहीं करते
Hostapd अब WPA3 multi-password support करता है spr-networks/super project में per-device PSK+VLAN लागू करके इस्तेमाल किया जा रहा है
लेकिन Apple devices की Keychain sync और MAC randomization के कारण असली deployment मुश्किल है, और SAE की संरचना के कारण एक साथ कई passwords आज़माना कठिन है
मैं macOS के लिए firewall recommendation ढूँढ रहा हूँ
built-in firewall लगभग बेकार है, और अगर client isolation bypass हो सकती है, तो local firewall और भी महत्वपूर्ण हो जाती है
मैं development server को 0.0.0.0 पर bind करके रखता हूँ, इसलिए public Wi‑Fi से जुड़ते समय यह पक्का करना चाहता हूँ कि ports बंद हों
macOS firewall architecture को गहराई से समझने वाले developers द्वारा बनाया गया Little Snitch सबसे प्रसिद्ध है official site
1 टिप्पणियां
Hacker News की राय
मुझे लगता है कि ऐसे हमले तभी संभव हैं जब हमलावर पहले से ही पीड़ित के नेटवर्क से जुड़ा हो
ज़्यादातर मामलों में यह एयरपोर्ट या कैफ़े जैसे shared Wi‑Fi माहौल में लंबे समय से ज्ञात हमलों जैसा लगता है
नई बात यह है कि यह कुछ routers में guest network और सामान्य network के बीच traffic को ठीक से अलग न कर पाने वाली implementation vulnerability का फायदा उठाता है
Eduroam वाले मामले की तरह, हमलावर के पास Eduroam credentials न हों तब भी वह उसी AP पर guest network के ज़रिए Eduroam user के packets intercept कर सकता है
अगर केवल एक authenticated network हो, तो ऐसी isolation loss का कोई मतलब नहीं रहता; यह वैसा ही है जैसे browser sandbox escape तब बेकार हो जब आप सिर्फ़ एक trusted site ही visit कर रहे हों
असल में यह client isolation bypass को संभव बनाता है
ऐसे मामले भी थे जहाँ विश्वविद्यालय के open Wi‑Fi पर दूसरे networks (Enterprise SSID सहित) का traffic intercept किया गया
यह encryption को ‘तोड़ना’ नहीं बल्कि ‘bypass’ करना है
अगर यह single SSID वाला personal router है, तो वह सुरक्षित है
ज़्यादातर authentication cookies TLS से सुरक्षित रहती हैं, इसलिए वास्तविक जोखिम सीमित है
पुराना hardware, खासकर 802.11w से पहले का equipment, शायद हमेशा vulnerable रहेगा
AirSnitch Wi‑Fi की Layer 1~2 core functionality का दुरुपयोग करके clients के बीच synchronization failure का फायदा उठाता है
हमलावर सिर्फ़ उसी SSID पर नहीं, बल्कि दूसरे SSID या network segment पर भी bidirectional MitM कर सकता है
मैंने 2000s की शुरुआत के WEP दौर से ऐसी चीज़ें देखी हैं, इसलिए अब मैं Wi‑Fi का इस्तेमाल ही नहीं करता
कैमरे पर tape, antenna अलग, email भी बंद
आख़िर में मुझे लगता है कि सिर्फ़ copper wire या fiber cable ही असली सुरक्षा साधन हैं
client isolation असल में काफ़ी असुविधाजनक feature है
manufacturers मानकर चलते हैं कि सभी devices एक बड़े network में एक-दूसरे से बात करेंगे, लेकिन isolation होने पर Elgato lights या Chromecast जैसे devices काम नहीं करते
इसलिए मैं हमेशा OpenWRT-based travel router साथ रखता हूँ, ताकि किसी भी network पर मेरे devices घर की तरह काम करें
dormitory या shared network में यह असुविधाजनक है, लेकिन यह किसी और को मेरे devices control करने या malware फैलाने से रोकता है
article का title कुछ overhyped लगता है
यह Wi‑Fi encryption को नहीं तोड़ता, बल्कि उसी network के भीतर सिर्फ़ device isolation को निष्प्रभावी करता है
पेपर पढ़ने पर लगा कि ज़्यादातर home Wi‑Fi, क्योंकि वे 2.4GHz और 5GHz पर SSID share करते हैं, vulnerable हो सकते हैं
Radius authentication भी कुछ हद तक प्रभावित हो सकता है
mitigation यह है कि सिर्फ़ single MAC वाले AP इस्तेमाल किए जाएँ
EAP-TLS इस्तेमाल करने पर सुरक्षा बेहतर रहती है, लेकिन फिर भी VLAN separation चाहिए
जहाँ मैं काम करता हूँ, Supernetworks.org में per-device VLAN और password का सुझाव दिया जाता है
यह सच में बड़ी समस्या है
जब एक AP पर अलग-अलग Wi‑Fi networks हों, तो एक network का client दूसरे network के traffic पर MITM कर सकता है
ज़्यादातर enterprise Wi‑Fi इसी isolation पर निर्भर करते हैं
article में जिस पेपर का ज़िक्र है, वह है AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks
पेपर पूरा पढ़ने पर मुख्य बात यह लगी कि “मज़बूत password से सुरक्षित single network” हो तो AirSnitch बड़ा ख़तरा नहीं है
Xfinity के automatic guest network जैसे मामले भी हैं, जिन्हें disable करना मुश्किल होता है
यह हमला मूल रूप से एक ही SSID में काम करता है
Private-PSK/Dynamic-PSK या EAP/Radius VLAN attributes इस्तेमाल करने पर mitigation संभव है
WPA3/SAE में यह और जटिल है, और ज़्यादातर equipment अभी इसे support नहीं करते
spr-networks/super project में per-device PSK+VLAN लागू करके इस्तेमाल किया जा रहा है
लेकिन Apple devices की Keychain sync और MAC randomization के कारण असली deployment मुश्किल है, और SAE की संरचना के कारण एक साथ कई passwords आज़माना कठिन है
मैं macOS के लिए firewall recommendation ढूँढ रहा हूँ
built-in firewall लगभग बेकार है, और अगर client isolation bypass हो सकती है, तो local firewall और भी महत्वपूर्ण हो जाती है
मैं development server को 0.0.0.0 पर bind करके रखता हूँ, इसलिए public Wi‑Fi से जुड़ते समय यह पक्का करना चाहता हूँ कि ports बंद हों
official site