Málokdo se přehnaně zabývá zabezpečením Wi-Fi, rád se připojuje k veřejným bezdrátovým sítím a dělá jen málo pro ochranu svých vlastních domácích sítí. Dokud má heslo, myslíme si, že jsme v bezpečí.
Obsah
- Zabíjení draků
- Vypadáte tak podobně…
- Zůstaňte v bezpečí tím, že budete v bezpečí
Jak už to tak bývá, udržet se v bezpečí není nikdy tak snadné, jak se zdá. Ochrana heslem je součástí systému nazvaného Wi-Fi Protected Access neboli WPA, který se brzy stane bezpečnějším v podobě WPA3. Navzdory vylepšením, která přináší, WPA nikdy nebude stříbrná kulka.
Doporučená videa
Je v něm několik vážných nedostatků, které byly přítomny od prvního spuštění WPA. Dokud jim nebudeme čelit, naše bezdrátové sítě budou mít ve své ochranné stěně vždy zející díru.
Příbuzný
- Wi-Fi 6 byla konečně spuštěna. Zde je to, co to pro vás znamená
Zabíjení draků
Ochrana heslem a šifrováním byla hlavním bodem při vytváření a šíření WPA2 zajistili, že většina z nás zůstane v bezpečí při připojování našich nesčetných současných zařízení k Wi-Fi sítí. WPA2 má ale vážné nedostatky, které měl WPA3 napravit.
Kde WPA2 používá a předsdílená výměna klíčů a slabší šifrování, WPA3 upgraduje na 128bitové šifrování a používá systém nazývaný Simultaneous Authentication of Equals (SAE), hovorově známý jako potřesení rukou vážky. Vynucuje si síťovou interakci na potenciálním přihlášení, čímž se hackeři nemohou pokusit hacknout přihlášení pomocí stažením jeho kryptografického hashe a následným spuštěním crackovacího softwaru, který jej prolomí, a nechá je pak používat další nástroje ke sledování sítě aktivita.
Trusted Wireless Environment Framework
Ale Dragonfly a WPA3 samotné jsou také zranitelné vůči některým svým vlastním nebezpečným chybám a některé z nejhorších se vyskytují v sítích chráněných WPA od jejich založení. Tyto exploity byly shromážděny pod banner název Dragonblood a pokud nebudou řešeny, mohly by znamenat, že WPA3 není o tolik bezpečnější než WPA2, protože metody používané k obcházení jeho ochrany se ve skutečnosti nezměnily.
Existuje šest problémů, na které upozornil Mathy Vanhoef ve své expozici Dragonblood, ale téměř všechny jsou možné díky prastaré hackovací technice Wi-Fi zvané zlé dvojče.
Vypadáte tak podobně…
"Největší chybou, která existuje na Wi-Fi již 20 let, je to, že vy, já, moje sestra (která není technicky zdatná) dokážete spustit zlý dvojitý útok jen pomocí našich mobilních telefonů." Technologie WatchGuard Ředitel produktového managementu Ryan Orsi řekl Digital Trends. „[Řekněme], že máte chytrý telefon a vyndejte ho z kapsy, jděte do kanceláře a má síť Wi-Fi chráněnou heslem WPA3. Podíváte se na název této sítě Wi-Fi […], pokud změníte název svého telefonu na [stejný název] a zapnete svůj hotspot, právě jste spustili zlý dvojitý útok. Váš telefon vysílá přesně stejnou síť Wi-Fi.“
Přestože uživatelé, kteří se připojují k vaší falešné, zlé dvojče síti, rozdávají spoustu svých informací tím, že ji používají, potenciálně ještě více oslabují svou bezpečnost. Tento útok lze provést pomocí smartphonu, který podporuje pouze WPA2. I když potenciální oběť může na svém zařízení podporovat WPA3, díky zpětné kompatibilitě WPA3 jste ji efektivně snížili na WPA2.
Je známý jako WPA3-Transition Mode a umožňuje síti provozovat ochranu WPA3 a WPA2 se stejným heslem. To je skvělé pro podporu přechodu na WPA3, aniž byste lidi nutili, aby tak učinili okamžitě, a pojme starší klientská zařízení, ale je to slabé místo v novém bezpečnostním standardu, který ponechává všechny zranitelný.
"Nyní jste zahájili začátek útoku Dračí krve," pokračoval Orsi. „Přivádíte zlý přístupový bod, který vysílá WPA2 verzi Wi-Fi sítě a oběťová zařízení neznají rozdíl. Je to stejné jméno. Co je legitimní a které je zlé dvojče? Pro zařízení nebo lidskou bytost je to těžké říct."
Přechodový režim WPA3 však není jeho jediným slabým místem pro potenciální útoky na nižší verzi. Dragonblood také pokrývá útok na downgrade bezpečnostní skupiny, který umožňuje těm, kteří používají zlý dvojitý útok, odmítnout počáteční požadavky na zabezpečení WPA3. Klientské zařízení se poté pokusí znovu připojit pomocí jiné skupiny zabezpečení. Falešná síť může jednoduše počkat, až se pokus o připojení provede s nedostatečným zabezpečením, a přijmout jej, což značně oslabí bezdrátovou ochranu oběti.
Jak Orsi zdůraznil, útoky zlých dvojčat jsou problémem sítí Wi-Fi již více než deset let, zejména ty veřejné, kde uživatelé nemusí znát název sítě, ke které se plánují připojit s předstihem. WPA3 proti tomu chrání jen málo, protože problém není technicky v samotné technologii, ale ve schopnosti uživatele rozlišovat mezi legitimními sítěmi a falešnými. V nabídkách Wi-Fi zařízení není nic, co by naznačovalo, ke kterým sítím je bezpečné se připojit a ke kterým ne.
"Mělo by se říct, že tohle je ten, kterému můžete věřit." Rezervujte si hotel kreditní kartou na této Wi-Fi, protože je to ta správná.“
Podle Autor Dračí krve, Mathy Vanhoef, může to stát pouhých 125 USD za výpočetní výkon Amazon AWS – provozování softwaru pro prolomení hesel – dekódovat osmiznaková hesla s malými písmeny a existuje spousta služeb, které se mohou ukázat jako konkurenceschopnější než že. Pokud pak hacker může ukrást informace o kreditní kartě nebo bankovním účtu, tato investice se rychle vrátí.
„Pokud je tam zlé dvojče a oběť se k němu připojí, objeví se úvodní stránka. Úvodní stránka na zlém dvojčeti ve skutečnosti pochází z útočníkova notebooku,“ řekl Orsi Digital Trends. „Tato úvodní stránka může obsahovat škodlivý Javascript nebo tlačítko a ‚kliknutím sem souhlasíte, stáhněte si prosím tento software pro připojení k tomuto hotspotu‘.“
Zůstaňte v bezpečí tím, že budete v bezpečí
„Problémy [zabezpečení WPA] se nevyřeší, dokud běžný spotřebitel neuvidí na svém zařízení místo mála visací zámek znamená chráněný heslem, existuje nějaký jiný symbol nebo vizuální indikátor, který říká, že to není zlé dvojče,“ Orsi řekl. „[Měli bychom] lidem nabídnout vizuální symbol, který má silné technické kořeny, ale nemusí mu rozumět. Mělo by se říct, že tohle je ten, kterému můžete věřit. Rezervujte si hotel kreditní kartou na této Wi-Fi, protože je to ta správná.“
Kategorie hrozby Wi-Fi: Přístupový bod „Evil Twin“.
Takový systém by vyžadoval, aby jej IEEE (Institut elektrických a elektronických inženýrů) ratifikoval jako součást nového standardu Wi-Fi. Wi-Fi Alliance, která vlastní autorská práva na „Wi-Fi“, by se pak musela rozhodnout o znaku a předložit aktualizaci výrobcům a poskytovatelům softwaru, aby ji mohli používat. Provedení takové změny Wi-Fi, jak ji známe, by vyžadovalo obrovské úsilí mnoha společností a organizací. Proto Orsi a WatchGuard chtějí přihlásit lidi ukázat svou podporu myšlence nového, důvěryhodného bezdrátového systému, který poskytuje jasný vizuální indikátor, který lidem pomůže zůstat v bezpečí na sítích Wi-Fi.
Dokud se něco takového nestane, stále existuje několik kroků, které můžete podniknout, abyste se ochránili. První rada, kterou nám Orsi dala, byla vše aktualizovat a opravovat – zvláště pokud to přidává zabezpečení WPA3. I když je to chybné, je to stále mnohem lepší než WPA2 – to je důvod, proč se tolik útoků Dragonblood zaměřuje na snížení zabezpečení, kde je to možné.
Mnoho taktik, které využívá dragonblood, je k ničemu, pokud je vaše heslo složité, dlouhé a jedinečné.
To je něco, co Jean-Philippe Taggart z Malwarebytes řekl Digital Trends. I když může být WPA3 chybný, stále se jedná o upgrade. Je nesmírně důležité zajistit, aby všechna zařízení WPA3, která používáte, používají nejnovější firmware. To by mohlo pomoci zmírnit některé útoky na postranní kanály, které byly přítomny v raných verzích WPA3.
Pokud jste pravidelným uživatelem veřejných Wi-Fi sítí (nebo i když nejste), Orsi také doporučuje podniknout kroky k použití VPNnebo virtuální privátní síť (zde je návod, jak jej nastavit). Ty dodávají vašemu připojení další vrstvu šifrování a zmatku tím, že jej směrují přes server třetí strany. To může místním útočníkům výrazně ztížit, aby viděli, co děláte online, i když se jim podaří získat přístup k vaší síti. Také skryje váš provoz před vzdálenými útočníky a možná před všemi třípísmennými agenturami, které by mohly sledovat.
Pokud jde o zabezpečení vaší Wi-Fi doma, doporučujeme také silné síťové heslo. Slovníkové útoky a hackování hrubou silou, které umožňují mnohé exploity Dragonblood, jsou k ničemu, pokud je vaše heslo složité, dlouhé a jedinečné. Uložte jej ve správci hesel, pokud si nejste jisti, zda si jej zapamatujete (tyhle jsou nejlepší). Měňte to také zřídka. Nikdy nevíte, zda vaši přátelé a rodina byli s vaším heslem Wi-Fi v bezpečí jako vy.
Doporučení redakce
- Tato bezpečnostní chyba Wi-Fi by mohla umožnit dronům sledovat zařízení skrz zdi
