Η ασφάλεια Wi-Fi WPA3 έχει πολλά πλεονεκτήματα, αλλά διατηρεί μια μεγάλη ευπάθεια

Λίγοι άνθρωποι ασχολούνται υπερβολικά με την ασφάλεια του Wi-Fi, είναι πρόθυμοι να συνδεθούν σε δημόσια ασύρματα δίκτυα και κάνουν ελάχιστα για να προστατεύσουν ακόμη και τα δικά τους οικιακά δίκτυα. Εφόσον έχει κωδικό πρόσβασης, πιστεύουμε ότι είμαστε ασφαλείς.

Ως συνήθως, το να κρατάς τον εαυτό σου ασφαλή δεν είναι ποτέ τόσο εύκολο όσο φαίνεται. Η προστασία με κωδικό πρόσβασης αποτελεί μέρος ενός συστήματος που ονομάζεται Wi-Fi Protected Access ή WPA, το οποίο πρόκειται να γίνει πιο ασφαλές με τη μορφή WPA3. Παρά τις βελτιώσεις που φέρνει, το WPA δεν θα είναι ποτέ μια ασημένια σφαίρα.

Υπάρχουν ορισμένα σοβαρά ελαττώματα σε αυτό που υπάρχουν από τότε που ξεκίνησε το πρώτο WPA. Μέχρι να τα αντιμετωπίσουμε, τα ασύρματα δίκτυά μας θα έχουν πάντα μια τρύπα στον τοίχο προστασίας τους.

Σκοτώνοντας δράκους

Η προστασία με κωδικό πρόσβασης και κρυπτογράφησης ήταν ένα σημαντικό σημείο της δημιουργίας και της διάδοσης του WPA2 εξασφάλισε ότι οι περισσότεροι από εμάς παραμένουμε ασφαλείς όταν συνδέουμε τις μυριάδες σύγχρονες συσκευές μας σε Wi-Fi δίκτυα. Αλλά το WPA2 έχει σοβαρά ελαττώματα που το WPA3 σχεδιάστηκε να διορθώνει.

Όπου το WPA2 χρησιμοποιεί α ανταλλαγή κλειδιών εκ των προτέρων και πιο αδύναμη κρυπτογράφηση, το WPA3 αναβαθμίζεται σε κρυπτογράφηση 128-bit και χρησιμοποιεί ένα σύστημα που ονομάζεται ταυτόχρονος έλεγχος ταυτότητας ίσων (SAE), γνωστό στην καθομιλουμένη ως χειραψία Dragonfly. Αναγκάζει την αλληλεπίδραση δικτύου σε μια πιθανή σύνδεση, καθιστώντας την έτσι ώστε οι χάκερ να μην μπορούν να δοκιμάσουν και να παραβιάσουν το λεξικό μια σύνδεση μέσω κατεβάζοντας το κρυπτογραφικό κατακερματισμό του και, στη συνέχεια, εκτελώντας λογισμικό διάρρηξης για να το σπάσει, αφήνοντάς τους στη συνέχεια να χρησιμοποιήσουν άλλα εργαλεία για να παρακολουθήσουν το δίκτυο δραστηριότητα.

Αλλά το Dragonfly και το ίδιο το WPA3 είναι επίσης ευάλωτα σε κάποια επικίνδυνα ελαττώματα από τα δικά τους και μερικά από τα χειρότερα ήταν παρόντα σε δίκτυα με προστασία WPA από την έναρξή τους. Αυτά τα κατορθώματα έχουν συγκεντρωθεί στο πλαίσιο του όνομα banner του Dragonblood και αν δεν αντιμετωπιστούν, θα μπορούσαν να σημαίνουν ότι το WPA3 δεν είναι και πολύ πιο ασφαλές από το WPA2, επειδή οι μέθοδοι που χρησιμοποιούνται για την παράκαμψη των προστασιών του δεν έχουν αλλάξει πραγματικά.

Υπάρχουν έξι προβλήματα που επισημαίνονται από τον Mathy Vanhoef στην έκθεση του Dragonblood, αλλά σχεδόν όλα γίνονται δυνατά από μια πανάρχαια τεχνική hacking Wi-Fi που ονομάζεται κακός δίδυμος.

Μοιάζετε τόσο…

«Το μεγαλύτερο ελάττωμα που υπάρχει στο Wi-Fi εδώ και 20 χρόνια είναι ότι εσύ, εγώ, η αδερφή μου (που δεν είναι τεχνικός) μπορούμε όλοι να εξαπολύσουμε μια κακή δίδυμη επίθεση χρησιμοποιώντας μόνο τα κινητά μας τηλέφωνα». WatchGuard Technologies» Ο διευθυντής διαχείρισης προϊόντων, Ryan Orsi, δήλωσε στο Digital Trends. «[Ας πούμε] έχετε ένα smartphone και βγάλτε το από την τσέπη σας, περπατήστε στο γραφείο σας και διαθέτει δίκτυο Wi-Fi με κωδικό πρόσβασης WPA3. Κοιτάτε το όνομα αυτού του δικτύου Wi-Fi […] εάν αλλάξετε το όνομα του τηλεφώνου σας σε [το ίδιο όνομα] και ενεργοποιήσετε το hotspot σας, μόλις εξαπολύσατε μια κακή δίδυμη επίθεση. Το τηλέφωνό σας εκπέμπει ακριβώς το ίδιο δίκτυο Wi-Fi."

Παρόλο που οι χρήστες που συνδέονται με το πλαστό, κακό δίδυμο δίκτυό σας δίνουν πολλές από τις πληροφορίες τους χρησιμοποιώντας το, δυνητικά αποδυναμώνουν την ασφάλειά τους ακόμη περισσότερο. Αυτή η επίθεση θα μπορούσε να πραγματοποιηθεί με ένα smartphone που υποστηρίζει μόνο WPA2. Ακόμα κι αν το πιθανό θύμα μπορεί να υποστηρίξει WPA3 στη συσκευή του, το έχετε υποβαθμίσει ουσιαστικά σε WPA2 χάρη στη συμβατότητα του WPA3 προς τα πίσω.

Είναι γνωστό ως WPA3-Transition Mode και επιτρέπει σε ένα δίκτυο να λειτουργεί τις προστασίες WPA3 και WPA2 με τον ίδιο κωδικό πρόσβασης. Αυτό είναι εξαιρετικό για την ενθάρρυνση της πρόσληψης στο WPA3 χωρίς να αναγκάζετε τους ανθρώπους να το κάνουν αμέσως, και φιλοξενεί παλαιότερες συσκευές πελατών, αλλά είναι ένα αδύναμο σημείο του νέου προτύπου ασφαλείας που αφήνει τους πάντες ευάλωτα.

«Έχετε ξεκινήσει τώρα την αρχή μιας επίθεσης Dragonblood», συνέχισε ο Orsi. «Φέρνετε ένα κακό δίδυμο σημείο πρόσβασης που εκπέμπει μια έκδοση WPA2 του δικτύου Wi-Fi και οι συσκευές θύματα δεν γνωρίζουν τη διαφορά. Είναι το ίδιο όνομα. Ποιο είναι το νόμιμο και ποιο το κακό δίδυμο; Είναι δύσκολο για μια συσκευή ή έναν άνθρωπο να το πει».

Αλλά η λειτουργία μετάβασης του WPA3 δεν είναι το μόνο αδύνατο σημείο για πιθανές επιθέσεις υποβάθμισης. Το Dragonblood καλύπτει επίσης μια επίθεση υποβάθμισης ομάδας ασφαλείας που επιτρέπει σε όσους χρησιμοποιούν μια κακή δίδυμη επίθεση να απορρίψουν τα αρχικά αιτήματα για προστασία ασφαλείας WPA3. Στη συνέχεια, η συσκευή-πελάτης θα προσπαθήσει να συνδεθεί ξανά χρησιμοποιώντας μια διαφορετική ομάδα ασφαλείας. Το ψεύτικο δίκτυο μπορεί απλώς να περιμένει μέχρι να γίνει μια προσπάθεια σύνδεσης χρησιμοποιώντας ανεπαρκή ασφάλεια και να το αποδεχτεί, αποδυναμώνοντας σημαντικά τις ασύρματες προστασίες του θύματος.

Όπως τόνισε ο Orsi, οι επιθέσεις του κακού δίδυμου αποτελούν πρόβλημα με τα δίκτυα Wi-Fi για πάνω από μια δεκαετία. ιδιαίτερα δημόσια όπου οι χρήστες ενδέχεται να μην γνωρίζουν το όνομα του δικτύου στο οποίο σκοπεύουν να συνδεθούν πριν την ώρα του. Το WPA3 προστατεύει ελάχιστα από αυτό, επειδή το πρόβλημα δεν οφείλεται τεχνικά στην ίδια την τεχνολογία, αλλά στην ικανότητα του χρήστη να διαφοροποιεί τα νόμιμα δίκτυα από τα ψεύτικα. Δεν υπάρχει τίποτα στα μενού Wi-Fi της συσκευής που να υποδεικνύει ποια δίκτυα είναι ασφαλή για σύνδεση και ποια όχι.

Σύμφωνα με Ο συγγραφέας του Dragonblood, Mathy Vanhoef, Μπορεί να κοστίσει μόλις 125 $ της υπολογιστικής ισχύος Amazon AWS – τρέχοντας ένα κομμάτι λογισμικού διάρρηξης κωδικού πρόσβασης – για να αποκωδικοποιήστε κωδικούς πρόσβασης οκτώ χαρακτήρων, πεζών γραμμάτων και υπάρχουν πολλές υπηρεσίες που μπορεί να αποδειχθούν πιο ανταγωνιστικές από ότι. Εάν ένας χάκερ μπορεί στη συνέχεια να κλέψει πληροφορίες πιστωτικών καρτών ή τραπεζικών στοιχείων, αυτή η επένδυση αποκαθίσταται γρήγορα.

«Αν το κακό δίδυμο είναι εκεί και ένα θύμα συνδεθεί μαζί του, εμφανίζεται η σελίδα splash. Η σελίδα πιτσιλίσματος σε ένα κακό δίδυμο προέρχεται στην πραγματικότητα από το φορητό υπολογιστή του εισβολέα», είπε ο Orsi στο Digital Trends. "Αυτή η σελίδα splash μπορεί να έχει κακόβουλο Javascript ή ένα κουμπί και "κάντε κλικ εδώ για να συμφωνήσετε, κάντε λήψη αυτού του λογισμικού για να συνδεθείτε σε αυτό το hotspot".

Μείνετε ασφαλείς με το να είστε ασφαλείς

«Τα προβλήματα [ασφάλεια WPA] δεν πρόκειται να λυθούν έως ότου ο γενικός καταναλωτής μπορεί να δει στη συσκευή του αντί για λίγο λουκέτο σημαίνει προστασία με κωδικό πρόσβασης, υπάρχει κάποιο άλλο σύμβολο ή οπτική ένδειξη που λέει ότι αυτό δεν είναι κακό δίδυμο», Orsi είπε. «[Θα πρέπει] να προσφέρουμε στους ανθρώπους ένα οπτικό σύμβολο που έχει ισχυρές τεχνικές ρίζες, αλλά δεν χρειάζεται να το καταλάβουν. Θα πρέπει να πει, αυτό είναι αυτό που μπορείτε να εμπιστευτείτε. Κάντε κράτηση στο ξενοδοχείο σας με μια πιστωτική κάρτα σε αυτό το Wi-Fi γιατί είναι το σωστό.»

Ένα τέτοιο σύστημα θα απαιτούσε από το IEEE (Institute of Electrical and Electronics Engineers) να το επικυρώσει ως μέρος ενός νέου προτύπου Wi-Fi. Η Wi-Fi Alliance, η οποία κατέχει τα πνευματικά δικαιώματα για το "Wi-Fi", θα πρέπει στη συνέχεια να αποφασίσει για ένα έμβλημα και να προωθήσει την ενημέρωση στους κατασκευαστές και τους παρόχους λογισμικού για να το χρησιμοποιήσουν. Η πραγματοποίηση μιας τέτοιας αλλαγής στο Wi-Fi, όπως γνωρίζουμε, θα απαιτούσε τεράστια δέσμευση πολλών εταιρειών και οργανισμών. Γι' αυτό το Orsi και το WatchGuard θέλουν να εγγραφούν άτομα για να δείξουν την υποστήριξή τους στην ιδέα ενός νέου, αξιόπιστου ασύρματου συστήματος που παρέχει μια σαφή οπτική ένδειξη για να βοηθήσει τους ανθρώπους να παραμείνουν ασφαλείς στα δίκτυα Wi-Fi.

Μέχρι να συμβεί κάτι τέτοιο, υπάρχουν ακόμα κάποια βήματα που μπορείτε να κάνετε για να προστατευτείτε. Η πρώτη συμβουλή που μας έδωσε η Orsi ήταν να ενημερώσουμε και να επιδιορθώσουμε τα πάντα – ειδικά αν προσθέτει ασφάλεια WPA3. Όσο και αν είναι ελαττωματικό, είναι ακόμα πολύ καλύτερο από το WPA2 – γι' αυτό τόσες πολλές από τις επιθέσεις Dragonblood επικεντρώνονται στην υποβάθμιση της ασφάλειας όπου είναι δυνατόν.

Αυτό είναι κάτι που είπε και ο Jean-Philippe Taggart του Malwarebytes στο Digital Trends. Όσο ελαττωματικό κι αν είναι το WPA3, εξακολουθεί να είναι μια αναβάθμιση. Είναι πολύ σημαντικό να βεβαιωθείτε ότι όλες οι συσκευές WPA3 που χρησιμοποιείτε έχουν επίσης το πιο πρόσφατο υλικολογισμικό. Αυτό θα μπορούσε να βοηθήσει στον μετριασμό ορισμένων από τις επιθέσεις πλευρικού καναλιού που υπήρχαν στις πρώτες εκδόσεις του WPA3.

Εάν είστε τακτικός χρήστης δημόσιων δικτύων Wi-Fi (ή ακόμα και αν δεν είστε), η Orsi συνιστά επίσης να λάβετε μέτρα για τη χρήση VPN, ή εικονικό ιδιωτικό δίκτυο (εδώ είναι πώς να ρυθμίσετε ένα). Αυτά προσθέτουν ένα επιπλέον επίπεδο κρυπτογράφησης και συσκότισης στη σύνδεσή σας δρομολογώντας τη μέσω διακομιστή τρίτου κατασκευαστή. Αυτό μπορεί να κάνει πολύ πιο δύσκολο για τους τοπικούς εισβολείς να δουν τι κάνετε στο διαδίκτυο, ακόμα κι αν καταφέρουν να αποκτήσουν πρόσβαση στο δίκτυό σας. Αποκρύπτει επίσης την επισκεψιμότητά σας από απομακρυσμένους επιτιθέμενους και πιθανώς οποιεσδήποτε τρεις εταιρείες επιστολών που μπορεί να παρακολουθούν.

Όσον αφορά την ασφάλεια του Wi-Fi στο σπίτι, θα συνιστούσαμε επίσης έναν ισχυρό κωδικό πρόσβασης δικτύου. Οι επιθέσεις στο λεξικό και οι εισβολές ωμής βίας που έγιναν δυνατές από πολλά από τα exploits του Dragonblood είναι άχρηστα εάν ο κωδικός πρόσβασής σας είναι περίπλοκος, μεγάλος και μοναδικός. Αποθηκεύστε το σε έναν διαχειριστή κωδικών πρόσβασης εάν δεν είστε σίγουροι ότι θα το θυμάστε (αυτά είναι τα καλύτερα). Αλλάξτε το επίσης σπάνια. Ποτέ δεν ξέρεις αν οι φίλοι και η οικογένειά σου ήταν τόσο ασφαλείς με τον κωδικό πρόσβασής σου στο Wi-Fi όσο εσύ.

Συστάσεις των συντακτών

• Αυτό το ελάττωμα ασφαλείας Wi-Fi θα μπορούσε να επιτρέψει στα drones να παρακολουθούν συσκευές μέσα από τοίχους