如何更好地防范TP补丁攻击

近日，外媒报道国外 2 位安全技术专家发现了用于保全现代 WiFi 设备的 WPA2 协议中的严重弱点。攻击者可利用密钥重安装攻击（KRACKs）窃取诸如信用卡、密码、聊天信息、电子邮件、照片等敏感信息。
除了 WPA2，WPA 和仅用 AES 的 WiFi 网络，都能通过 KRACK 手段攻破。

如果你不想看细节，想先看如何应对，请跳过直接看末尾的 Q&A 部分。
什么是 WPA/WPA2 ？
WPA 全名为 Wi-Fi Protected Access，有 WPA1 和 WPA2 两个标准，是一种保护无线网络（Wi-Fi）安全的系统。它是应研究者在前一代的有线等效加密（WEP）系统中找到的几个严重的弱点而产生的。
WPA1 加密方式尚有一漏洞，攻击者可利用 spoonwpa 等工具，搜索到合法用户的网卡地址，并伪装该地址对路由器进行攻击，迫使合法用户掉线重新连接，在此过程中获得一个有效的握手包，并对握手包批量猜密码，如果猜密的字典中有合法用户设置的密码，即可被破解。
目前，大多数企业和许多新的 Wi-Fi 产品/设备都支持 WPA2 协议。截止到 2006 年 03 月，WPA2 已经成为一种强制性的标准。
这次谁发现了 WPA2 的漏洞？
Mathy Vanhoef 和 Frank Piessens。他们做一个网站（https://www.krackattacks.com/ ），相关信息已披露在该站。详细研究论文在这里《Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2》。研究成果将会在「计算机与通信安全（CCS）大会」和「欧洲黑帽大会」上展示。
这 2 位安全专家称（大意）：
在受害 WiFi 设备覆盖范围内，攻击者可利用密钥重安装攻击（key reinstallation attacks，简称：KRACKs）手段来攻破 WPA2 的这些弱点。具体点说就是，攻击者可利用 KRACK 这种新奇的攻击技术，读取先前被假定会安全加密的信息。该攻击技术可能会被滥用，用于窃取诸如信用卡、密码、聊天信息、电子邮件、照片等敏感信息。
这种攻击对现代所有受保护的 WiFi 网络均有效。如果你的网络配置弱，还有可能被攻击者注入和操作数据。比如说，攻击者或许给网站注入勒索软件或其他恶意软件。
这些弱点是 WiFi 标准自身就有的，并不是某个独立产品或某种实现。因此，任意 WPA2 协议的实现都可能受影响。为了防止攻击，一旦有安全更新，用户必须更新受影响的产品。请注意，如果您的设备支持 Wi-Fi，它很可能受到影响。在我们最初的研究中，发现 Android、Linux、Apple、Windows、OpenBSD、MediaTek、Linksys 等都有可能受某些变种攻击的影响。
攻击示例
漏洞技术细节这里不表。有兴趣的，请移步 www.krackattacks.com 查看。
攻击演示视频：https://www.youtube.com/watch?v=Oh4WURZoR98 或 https://v.qq.com/x/page/j0561xi85bl.html
Mathy Vanhoef 在一部 Android 智能手机上执行了 KRACKs 攻击。在演示中，攻击者轻松解密了受害设备传送中的所有数据。所有数据！所有数据！
Q&A 部分
问：我的 WiFi 网络/设备会有危险么？
可能。理论上任何使用 WIFi 的设备都易受攻击。随时关注设备厂商的最新安全通告。如有新补丁，请及时更新。
国内安全人员表示，
@杨卿-Ir0nSmith：用户不必过度恐慌，1，该漏洞Poc利用代码及未公布，2，该漏洞属于范围性影响，需处在合法wifi附近的百米左右的信号范围，3，该漏洞仍属于高级攻击利用，一般人员短时间不具备使用其发动攻击的能力。
@sunwear：我的意见是不必恐慌，至少大部分人不必害怕，你有多大几率会有个黑客邻居？这个现在也没有傻瓜自动化利用工具搞得遍地都是，即使有中间人攻击，信用卡银行卡就这么容易被盗？这里面涉及到很多种技术。还是多担心走路的时候少玩手机别被车撞了吧，这个概率更大。
问：这次发现的 WPA2 漏洞有多严重？
理论上所有 WiFi 网络都有危险。这些弱点是 WiFi 标准自身就有的，并不是某个独立产品或某种实现（implementations）。因此，任意 WPA2 协议的实现都可能受影响。Android、Linux、Apple、Windows、OpenBSD、MediaTek、Linksys 等平台/设备都有可能受某些变种攻击的影响。
这个漏洞是昨天在网上开始传播开来的，让人比较意外的是，苹果得知信息后，就在今天发布的 iOS 11.1、watchOS 4.1 和 tvOS 11.1的新测试版中，修复了 WPA2 漏洞。
问：需要更改 WiFi 密码么？
更改 Wi-Fi 网络的密码并不会阻止（或减轻）攻击。所以没必要。相反，你应该确保你的所有设备都更新了，也应该更新你的路由器的固件。不过，在更新了客户端设备和路由器之后，修改 Wi-Fi 密码永远不是一个坏主意。
问：需要临时切换改用 WEP 协议么？
不需要！WEP 更弱，继续用 WPA2。
问：WiFi 标准会更新来解决这些弱点么？
WiFi 标准应当更新来明确防止这种攻击。这些更新应当向后兼容，支持 WPA2 的旧实现。拭目以待吧。
厂商的回应
微软
微软于10月10日发布安全补丁，使用Windows Update的客户可以使用补丁，自动防卫。我们及时更新，保护客户，作为一个负责任的合作伙伴，我们没有披露信息，直到厂商开发并发布补丁。
苹果iOS和Mac
苹果证实iOS、MacOS、WatchOS、TVOS有一个修复补丁，在未来几周内就会通过软件升级的形式提供给客户。
谷歌移动/谷歌Chromecast/ Home/ WiFi
我们已经知道问题的存在，未来几周会给任何受影响的设备打上补丁。
谷歌Chromebook
暂时没有发表评论。
亚马逊Echo、FireTV和Kindle
我们的设备是否存在这样的漏洞？公司正在评估，如果有必要就会发布补丁。
三星移动、三星电视、三星家电
暂时没有发表评论。
思科
暂时没有发表评论。
Linksys/Belkin
Linksys/Belkin和Wemo已经知道WAP漏洞的存在。安全团队正在核查细节信息，会根据情况提供指导意义。我们一直将客户放在第一位，会在安全咨询页面发布指导意见，告诉客户如何升级产品，如果需要就能升级。
Netgear
最近安全漏洞KRACK曝光，Netgear已经知道，KRACK可以利用WPA2安全漏洞发起攻击。Netgear已经为多款产品发布修复程序，正在为其它产品开发补丁。你可以访问我们的安全咨询页面进行升级。
Netgear高度重视安全问题，不断监控自己的产品，及时了解最新威胁。对于紧急安全问题，我们会防预而不是事后采取行动，这是Netgear的基本信念。
为了保护用户，Netgear公开发布修复程序之后才披露漏洞的存在，没有提到漏洞的具体信息。一旦有了修复程序，Netgear会通过“Netgear产品安全”页面披露漏洞。
Eero
我们已经知道WAP2安全协议存在KRACK漏洞。安全团队正在寻找解决方案，今天晚些时候就会公布更多信息。我们打造了云系统，针对此种情况可以发布远程更新程序，确保所有客户及时获得更新软件，自己不需要采取任何动作。
D-Link/TP-Link/Verizon/T-Mobile/Sprint/Ecobee/Nvidia
暂时没有发表评论。
英特尔
ICASI和CERT CC已经通知英特尔，说WPA2标准协议存在漏洞。英特尔是ICASI的成员，为“协调的漏洞披露（Coordinated Vulnerability Disclosure，CVD）”贡献了自己的力量。
英特尔正在与客户、设备制造商合作，通过固件和软件更新的方式应对漏洞。如果想获得更多信息，可以访问英特尔安全咨询页面。
AMD/August/Honeywell/ADT/Comcast/AT&T/Spectrum/Vivint/Lutron/联想/戴尔/Roku/LG电子/LG移动/LG家电/通用电气
暂时没有发表评论。
Nest
我们已经知道漏洞的存在，未来几周将会为Nest产品推出补丁。
飞利浦Hue
KRACK攻击利用了WiFi协议。我们建议客户使用安全WiFi密码，在手机、计算机及其它WiFi设备上最新补丁，防范此类攻击。飞利浦Hue本身并不直接支持WiFi，因此不需要防范补丁。还有，我们的云帐户API可以用HTTPS进行保护，增强安全，这是一个额外的安全层，不会受到KRACK攻击的影响。
Kwikset/Yale/Schlage/Rachio/iHome/伊莱克斯/Frigidaire/Netatmo/Control4
暂时没有发表评论。
Roost
Roost接收或者发送的数据流都用最新的SSL/TLS加密技术进行端到端加密。我们认为自己的设备没有风险。建议用户听从WiFi Alliance的建议，在Access点使用WiFi加密，安装最新的软件补丁