Малко хора са прекалено загрижени за сигурността на Wi-Fi, щастливи са да се свързват с обществени безжични мрежи и правят малко дори за защита на собствените си домашни мрежи. Докато има парола, смятаме, че сме в безопасност.
Съдържание
- Убиване на дракони
- Толкова си приличате…
- Бъдете в безопасност, като сте в безопасност
Както обикновено, да се защитите никога не е толкова лесно, колкото изглежда. Защитата с парола е част от система, наречена Wi-Fi Protected Access или WPA, която е на път да стане по-сигурна под формата на WPA3. Въпреки подобренията, които носи, WPA никога няма да бъде сребърен куршум.
Препоръчани видеоклипове
Има някои сериозни недостатъци в него, които са налице от първото стартиране на WPA. Докато не се сблъскаме с тях, нашите безжични мрежи винаги ще имат зейнала дупка в защитната си стена.
Свързани
- Wi-Fi 6 най-накрая стартира. Ето какво означава това за вас
Убиване на дракони
Защитата с парола и криптиране бяха основен момент при създаването и разпространението на WPA2 и има гарантира, че повечето от нас остават в безопасност, когато свързват нашите безброй съвременни устройства към Wi-Fi мрежи. Но WPA2 има сериозни недостатъци, които WPA3 е проектиран да коригира.
Когато WPA2 използва a обмен на предварително споделен ключ и по-слабо криптиране, WPA3 надгражда до 128-битово криптиране и използва система, наречена Едновременно удостоверяване на равни (SAE), разговорно известна като ръкостискане на Dragonfly. Той принуждава мрежово взаимодействие при потенциално влизане, като по този начин прави така, че хакерите да не могат да се опитат да хакнат в речника влизане чрез изтегляне на неговия криптографски хеш и след това стартиране на софтуер за кракване, за да го разбие, позволявайки им след това да използват други инструменти за наблюдение на мрежата дейност.
Доверена рамка за безжична среда
Но Dragonfly и самият WPA3 също са уязвими към някои собствени опасни недостатъци и някои от най-лошите присъстват в защитените с WPA мрежи от самото им създаване. Тези подвизи са събрани под банерно име на Dragonblood и освен ако не бъдат адресирани, те биха могли да означават, че WPA3 не е много по-сигурен от WPA2, тъй като методите, използвани за заобикаляне на неговите защити, всъщност не са се променили.
Има шест проблема, подчертани от Mathy Vanhoef в неговото разкритие на Dragonblood, но почти всички от тях са възможни благодарение на вековна техника за хакване на Wi-Fi, наречена зъл близнак.
Толкова си приличате…
„Най-големият недостатък, който съществува в Wi-Fi от 20 години, е, че вие, аз и сестра ми (която не е технически) можем всички да стартираме зла двойна атака само с помощта на нашите мобилни телефони,“ WatchGuard Technologies“ директорът по управление на продуктите Райън Орси каза пред Digital Trends. „[Да кажем], че имате смартфон и го извадете от джоба си, влезте в офиса си и той има WPA3 защитена с парола Wi-Fi мрежа. Поглеждате името на тази Wi-Fi мрежа […], ако промените името на телефона си на [същото име] и включите вашата гореща точка, току-що сте стартирали зла двойна атака. Телефонът ви излъчва точно същата Wi-Fi мрежа.
Въпреки че потребителите, които се свързват с вашата фалшива, зла двойна мрежа, раздават много от информацията си, като я използват, те потенциално отслабват още повече сигурността си. Тази атака може да бъде извършена със смартфон, който поддържа само WPA2. Дори ако потенциалната жертва може да поддържа WPA3 на устройството си, вие ефективно сте я понижили до WPA2 благодарение на обратната съвместимост на WPA3.
Той е известен като WPA3-Transition Mode и позволява на мрежата да работи с WPA3 и WPA2 защити с една и съща парола. Това е чудесно за насърчаване на приемането на WPA3, без да принуждава хората да го направят незабавно, и побира по-стари клиентски устройства, но това е слабо място в новия стандарт за сигурност, което оставя всички уязвими.
„Вече поставихте началото на атака на Dragonblood“, продължи Орси. „Въвеждате зла двойна точка за достъп, която излъчва WPA2 версия на Wi-Fi мрежата и устройствата жертва не знаят разликата. Това е същото име. Кой е легитимният и кой е злият близнак? Трудно е за устройство или човешко същество да се каже.
Но режимът на преход на WPA3 не е единствената му слаба точка за потенциални атаки за понижаване. Dragonblood също покрива атака за понижаване на групата за сигурност, която позволява на тези, които използват зла двойна атака, да отхвърлят първоначални заявки за защита на сигурността WPA3. След това клиентското устройство ще се опита да се свърже отново, като използва различна група за защита. Фалшивата мрежа може просто да изчака, докато се направи опит за свързване с неадекватна защита и да го приеме, отслабвайки значително безжичните защити на жертвата.
Както Орси подчерта, злите атаки близнаци са проблем с Wi-Fi мрежите от повече от десетилетие, особено публични, където потребителите може да не знаят името на мрежата, към която планират да се свържат напред във времето. WPA3 не прави много за защита срещу това, защото проблемът не е технически в самата технология, а в способността на потребителя да прави разлика между легитимни мрежи и фалшиви. Няма нищо в Wi-Fi менютата на устройството, което да подсказва към кои мрежи е безопасно да се свързвате и кои не.
„Трябва да пише, че това е този, на когото можете да се доверите. Резервирайте хотела си с кредитна карта на този Wi-Fi, защото е правилният.”
Според Авторът на Dragonblood, Mathy Vanhoef, Може да струва само $125 изчислителна мощност на Amazon AWS – стартиране на част от софтуер за разбиване на пароли – за декодиране на осемзнакови пароли с малки букви и има много услуги, които може дори да се окажат по-конкурентни от че. Ако след това хакер може да открадне кредитна карта или банкова информация, тази инвестиция бързо се възстановява.
„Ако злият близнак е там и жертва се свърже с него, началната страница изскача. Заглавната страница на зъл близнак всъщност идва от лаптопа на нападателя“, каза Орси пред Digital Trends. „Тази начална страница може да има злонамерен Javascript или бутон и „щракнете тук, за да се съгласите, моля, изтеглете този софтуер, за да се свържете с тази гореща точка.“
Бъдете в безопасност, като сте в безопасност
„Проблемите с [WPA сигурността] няма да бъдат решени, докато обикновеният потребител не може да види на устройството си вместо малко катинар означава защитен с парола, има някакъв друг символ или визуален индикатор, който казва, че това не е зъл близнак,” Орси казах. „[Трябва] да предложим на хората визуален символ, който има силни технически корени, но те не трябва да го разбират. Трябва да пише, че това е този, на когото можете да се доверите. Резервирайте хотела си с кредитна карта на този Wi-Fi, защото е правилният.”
Категория на Wi-Fi заплаха: Точка за достъп „Evil Twin“.
Такава система ще изисква IEEE (Институт на инженерите по електротехника и електроника) да я ратифицира като част от нов Wi-Fi стандарт. Wi-Fi Alliance, който притежава авторските права за „Wi-Fi“, тогава ще трябва да вземе решение за емблема и да изпрати актуализацията на производителите и доставчиците на софтуер, за да я използват. Извършването на такава промяна в Wi-Fi, както го познаваме, ще изисква огромно начинание на много компании и организации. Ето защо Orsi и WatchGuard искате да регистрирате хора за да покажат подкрепата си за идеята за нова, надеждна безжична система, която дава ясен визуален индикатор, за да помогне на хората да останат в безопасност в Wi-Fi мрежите.
Докато подобно нещо не се случи, все още има някои стъпки, които можете да предприемете, за да се защитите. Първият съвет, който Orsi ни даде, беше да актуализираме и закърпим всичко – особено ако добавя WPA3 защита. Колкото и да е недостатъчен, той все още е далеч по-добър от WPA2 – ето защо толкова много от атаките на Dragonblood са фокусирани върху понижаване на сигурността, където е възможно.
Много от тактиките, които Dragonblood използва, са безполезни, ако паролата ви е сложна, дълга и уникална.
Това е нещо, което Жан-Филип Тагарт от Malwarebytes също каза на Digital Trends. Колкото и дефектен да е WPA3, той все още е надстройка. Уверете се, че всички WPA3 устройства, които използвате, също работят с най-новия фърмуер, е изключително важно. Това може да помогне за смекчаване на някои от страничните атаки, които присъстваха в ранните версии на WPA3.
Ако сте редовен потребител на обществени Wi-Fi мрежи (или дори ако не сте), Orsi също препоръчва да предприемете стъпки за използване на VPN, или виртуална частна мрежа (ето как да настроите такъв). Те добавят допълнителен слой на криптиране и обфускация към вашата връзка, като я насочват през сървър на трета страна. Това може да направи много по-трудно за местните нападатели да видят какво правите онлайн, дори ако успеят да получат достъп до вашата мрежа. Той също така скрива вашия трафик от отдалечени нападатели и евентуално от три агенции за писма, които може да наблюдават.
Когато става въпрос за защита на вашия Wi-Fi у дома, бихме препоръчали и силна мрежова парола. Речниковите атаки и грубите хакове, станали възможни благодарение на много от експлойтите на Dragonblood, са безполезни, ако паролата ви е сложна, дълга и уникална. Запазете го в мениджър на пароли, ако не сте сигурни, че ще го запомните (това са най-добрите). Сменяйте го и рядко. Никога не знаете дали приятелите и семейството ви са били толкова сигурни с паролата ви за Wi-Fi, колкото вие.
Препоръки на редакторите
- Този пропуск в сигурността на Wi-Fi може да позволи на дронове да проследяват устройства през стените
