Wi-Fi WPA3-sikkerhed har masser af fordele, men bevarer én stor sårbarhed

ASRock X10 IoT-router

Få mennesker er alt for bekymrede over Wi-Fi-sikkerhed, glade for at oprette forbindelse til offentlige trådløse netværk og gør lidt for selv at beskytte deres egne hjemmenetværk. Så længe den har en adgangskode, tror vi, at vi er sikre.

Indhold

  • Dræber drager
  • I ligner så meget...
  • Vær sikker ved at være sikker

Som sædvanligt er det aldrig så let at holde sig selv sikker, som det ser ud til. Adgangskodebeskyttelse er en del af et system kaldet Wi-Fi Protected Access, eller WPA, som er ved at blive mere sikkert i form af WPA3. På trods af de forbedringer, det medfører, vil WPA aldrig være en sølvkugle.

Anbefalede videoer

Der er nogle alvorlige fejl i det, der har været til stede siden den allerførste WPA blev indledt. Indtil vi står over for dem, vil vores trådløse netværk altid have et gabende hul i deres beskyttelsesvæg.

Relaterede

  • Wi-Fi 6 er endelig lanceret. Her er, hvad det betyder for dig

Dræber drager

Adgangskode- og krypteringsbeskyttelse var et vigtigt punkt i WPA2s oprettelse og spredning og har sikret, at de fleste af os forbliver sikre, når vi forbinder vores utal af moderne enheder til Wi-Fi netværk. Men WPA2 har alvorlige fejl, som WPA3 er designet til at rette.

Hvor WPA2 bruger en foruddelt nøgleudveksling og svagere kryptering opgraderer WPA3 til 128-bit kryptering og bruger et system kaldet Simultaneous Authentication of Equals (SAE), i daglig tale kendt som et Dragonfly-håndtryk. Det tvinger netværksinteraktion på et potentielt login og gør det derved sådan, at hackere ikke kan forsøge at hacke et login ved hjælp af ordbog. downloader dens kryptografiske hash og kører derefter cracking-software for at bryde den, lader dem derefter bruge andre værktøjer til at snoop på netværket aktivitet.

Trusted Wireless Environment Framework

Men selve Dragonfly og WPA3 er også sårbare over for nogle af deres egne farlige fejl, og nogle af de værste har været til stede i WPA-beskyttede netværk siden deres start. Disse bedrifter er blevet samlet under bannernavn på Dragonblood og medmindre de behandles, kan de betyde, at WPA3 ikke er så meget mere sikker end WPA2, fordi de metoder, der bruges til at omgå dens beskyttelse, ikke rigtig har ændret sig.

Der er seks problemer fremhævet af Mathy Vanhoef i hans Dragonblood-eksponering, men næsten alle er muliggjort af en ældgammel Wi-Fi-hackingteknik kaldet en ond tvilling.

I ligner så meget...

"Den største fejl, der har eksisteret i Wi-Fi i 20 år, er, at I, mig, min søster (som ikke er teknisk) alle kan starte et ondt tvillingangreb bare ved at bruge vores mobiltelefoner." WatchGuard Technologies' direktør for produktledelse, Ryan Orsi, fortalte Digital Trends. "[Lad os sige] du har en smartphone og tag den op af lommen, gå ind på dit kontor, og den har et WPA3-adgangskodebeskyttet Wi-Fi-netværk. Du ser på navnet på det Wi-Fi-netværk […], hvis du ændrer din telefons navn til [det samme navn], og du tænder for dit hotspot, har du lige lanceret et ondt tvillingangreb. Din telefon udsender præcis det samme Wi-Fi-netværk."

Ryan Orsi fra Watchgard
Ryan Orsi, direktør for produktledelse hos WatchGuard.WatchGard

Selvom brugere, der opretter forbindelse til dit forfalskede, onde tvillingenetværk, giver en masse af deres information væk ved at bruge det, svækker de potentielt deres sikkerhed endnu mere. Dette angreb kunne udføres med en smartphone, der kun understøtter WPA2. Selvom det potentielle offer kan understøtte WPA3 på deres enhed, har du effektivt nedgraderet dem til WPA2 takket være WPA3s bagudkompatibilitet.

Det er kendt som WPA3-overgangstilstand og giver et netværk mulighed for at betjene WPA3- og WPA2-beskyttelse med den samme adgangskode. Det er fantastisk til at opmuntre til optagelsen til WPA3 uden at tvinge folk til at gøre det med det samme, og passer til ældre klientenheder, men det er et svagt punkt i den nye sikkerhedsstandard, som efterlader alle sårbar.

"Du har nu lanceret begyndelsen på et Dragonblood-angreb," fortsatte Orsi. "Du bringer et ondt tvillingadgangspunkt ind, der udsender en WPA2-version af Wi-Fi-netværket, og ofrets enheder kender ikke forskellen. Det er det samme navn. Hvad er den legitime, og hvilken er den onde tvilling? Det er svært for en enhed eller et menneske at sige."

Men WPA3s overgangstilstand er ikke dets eneste svage punkt for potentielle nedgraderingsangreb. Dragonblood dækker også et sikkerhedsgruppenedgraderingsangreb, som gør det muligt for dem, der bruger et ondt tvillingangreb, at afvise indledende anmodninger om WPA3-sikkerhedsbeskyttelse. Klientenheden vil derefter forsøge at oprette forbindelse igen ved hjælp af en anden sikkerhedsgruppe. Det falske netværk kan ganske enkelt vente, indtil et forbindelsesforsøg er lavet med utilstrækkelig sikkerhed, og acceptere det, hvilket svækker ofrets trådløse beskyttelse betydeligt.

Som Orsi fremhævede, har onde tvillingeangreb været et problem med Wi-Fi-netværk i mere end et årti, især offentlige, hvor brugerne måske ikke er opmærksomme på navnet på det netværk, de planlægger at oprette forbindelse til Før tid. WPA3 beskytter ikke meget mod dette, fordi problemet ikke er teknisk set i selve teknologien, men i brugerens evne til at skelne mellem legitime og falske netværk. Der er intet i enhedens Wi-Fi-menuer, der foreslår, hvilke netværk der er sikre at oprette forbindelse til, og hvilke der ikke er.

"Der skulle stå, det er den, du kan stole på. Book dit hotel med et kreditkort på denne Wi-Fi, fordi det er det rigtige."

Ifølge Dragonblood forfatter, Mathy Vanhoef, Det kan koste så lidt som $125 af Amazon AWS-computerkraft – at køre et stykke kodeordsknækningssoftware – for at afkode otte-tegns kodeord med små bogstaver, og der er masser af tjenester, der endda kan vise sig at være mere konkurrencedygtige end at. Hvis en hacker derefter kan stjæle kreditkort- eller bankoplysninger, er den investering hurtigt tjent ind.

"Hvis den onde tvilling er der, og et offer forbinder sig til den, dukker splash-siden op. Splash-siden på en ond tvilling kommer faktisk fra angriberens bærbare computer,” sagde Orsi til Digital Trends. "Denne splash-side kan have ondsindet Javascript eller en knap og 'klik her for at acceptere, download venligst denne software for at oprette forbindelse til dette hotspot'."

Vær sikker ved at være sikker

"[WPA-sikkerhed] problemer vil ikke blive løst, før den generelle forbruger kan se på deres enhed i stedet for lidt hængelås betyder adgangskodebeskyttet, der er et andet symbol eller visuel indikator, der siger, at dette ikke er en ond tvilling," Orsi sagde. "[Vi burde] tilbyde folk et visuelt symbol, der har stærke tekniske rødder, men de behøver ikke at forstå det. Der skulle stå, det er den, du kan stole på. Book dit hotel med et kreditkort på denne Wi-Fi, fordi det er det rigtige."

Wi-Fi-trusselskategori: "Evil Twin"-adgangspunkt

Et sådant system vil kræve, at IEEE (Institute of Electrical and Electronics Engineers) ratificerer det som en del af en ny Wi-Fi-standard. Wi-Fi Alliance, som ejer ophavsretten til "Wi-Fi", ville derefter skulle beslutte sig for et emblem og skubbe opdateringen ud til producenter og softwareudbydere for at gøre brug af det. At foretage en sådan ændring af Wi-Fi, som vi kender det, ville kræve en stor indsats fra mange virksomheder og organisationer. Det er derfor Orsi og WatchGuard ønsker at tilmelde folk for at vise deres støtte til ideen om et nyt, pålideligt trådløst system, der giver en klar visuel indikator for at hjælpe folk med at forblive sikre på Wi-Fi-netværk.

Indtil sådan noget sker, er der stadig nogle skridt, du kan tage for at beskytte dig selv. Det første råd, som Orsi gav os, var at opdatere og lappe alt – især hvis det tilføjer WPA3-sikkerhed. Så meget som det er mangelfuldt, er det stadig langt bedre end WPA2 - det er derfor, så mange af Dragonblood-angrebene er fokuseret på at nedgradere sikkerheden, hvor det er muligt.

Mange af de taktikker, som Dragonblood udnytter, er ubrugelige, hvis dit kodeord er kompliceret, langt og unikt.

Det fortalte Malwarebytes' Jean-Philippe Taggart også til Digital Trends. Så mangelfuld som WPA3 kan være, er det stadig en opgradering. At sikre, at alle WPA3-enheder, du bruger, også kører den nyeste firmware, er enormt vigtigt. Det kunne hjælpe med at afbøde nogle af de sidekanalangreb, der var til stede i tidlige WPA3-udgivelser.

Hvis du er en almindelig bruger af offentlige Wi-Fi-netværk (eller selvom du ikke er det), anbefaler Orsi også at tage skridt til at bruge en VPN, eller virtuelt privat netværk (her er, hvordan du konfigurerer en). Disse tilføjer et ekstra lag af kryptering og sløring til din forbindelse ved at dirigere den gennem en tredjepartsserver. Det kan gøre det meget sværere for lokale angribere at se, hvad du laver online, selvom de formår at få adgang til dit netværk. Det skjuler også din trafik fra fjernangribere og muligvis alle tre bogstavsbureauer, der kan se.

Når det kommer til at sikre dit Wi-Fi derhjemme, vil vi også anbefale en stærk netværksadgangskode. Ordbogsangrebene og brute force hacks, der er muliggjort af mange af Dragonblood-udnyttelserne, er ubrugelige, hvis din adgangskode er kompliceret, lang og unik. Gem det i en adgangskodemanager, hvis du ikke er sikker på, du vil huske det (disse er de bedste). Skift det også sjældent. Du ved aldrig, om dine venner og familie har været så sikre med din Wi-Fi-adgangskode, som du har været.

Redaktørens anbefalinger

  • Denne Wi-Fi-sikkerhedsfejl kunne lade droner spore enheder gennem vægge