Wi-Fi WPA3 sigurnost ima puno prednosti, ali zadržava jednu veliku ranjivost

ASRock X10 IoT ruter

Malo je ljudi pretjerano zabrinuto za Wi-Fi sigurnost, rado se spajaju na javne bežične mreže i ne čine malo čak ni da zaštite vlastite kućne mreže. Sve dok ima lozinku, mislimo da smo sigurni.

Sadržaj

  • Ubijanje zmajeva
  • Izgledate tako slično…
  • Budite sigurni tako što ćete biti sigurni

Kao i obično, zaštititi se nikad nije tako lako kao što se čini. Zaštita lozinkom dio je sustava koji se zove Wi-Fi zaštićeni pristup ili WPA, koji će uskoro postati sigurniji u obliku WPA3. Unatoč poboljšanjima koja donosi, WPA nikada neće biti srebrni metak.

Preporučeni videozapisi

Postoje neki ozbiljni nedostaci u njemu koji su prisutni od samog pokretanja prvog WPA-a. Dok se ne suočimo s tim, naše bežične mreže uvijek će imati zjapeću rupu u svom zidu zaštite.

Povezano

  • Wi-Fi 6 je konačno lansiran. Evo što to znači za vas

Ubijanje zmajeva

Zaštita lozinkom i enkripcijom bila je glavna točka stvaranja i širenja WPA2 i ima ih osigurao da većina nas ostane sigurna pri povezivanju bezbrojnih suvremenih uređaja na Wi-Fi mreže. Ali WPA2 ima ozbiljne nedostatke za koje je WPA3 dizajniran da ih popravi.

Gdje WPA2 koristi a unaprijed podijeljena razmjena ključeva i slabiju enkripciju, WPA3 nadograđuje na 128-bitnu enkripciju i koristi sustav koji se zove Simultaneous Authentication of Equals (SAE), kolokvijalno poznat kao Dragonfly rukovanje. Forsira mrežnu interakciju na potencijalnu prijavu, čime hakeri ne mogu pokušati hakirati prijavu pomoću rječnika preuzimanje njegovog kriptografskog hash-a i zatim pokretanje softvera za krekiranje kako bi se razbio, dopuštajući im da zatim koriste druge alate za njuškanje mreže aktivnost.

Trusted Wireless Environment Framework

Ali Dragonfly i sam WPA3 također su osjetljivi na neke vlastite opasne nedostatke, a neki od najgorih prisutni su u WPA zaštićenim mrežama od njihovog početka. Ovi podvigi su prikupljeni pod naziv zastave Dragonblood i osim ako se ne riješe, mogli bi značiti da WPA3 nije mnogo sigurniji od WPA2, jer se metode koje se koriste za zaobilaženje njegove zaštite zapravo nisu promijenile.

Šest je problema koje je istaknuo Mathy Vanhoef u svom izlaganju Dragonblooda, no gotovo sve ih je omogućila prastara tehnika hakiranja Wi-Fi-ja nazvana zli blizanac.

Izgledate tako slično…

"Najveća mana koja postoji u Wi-Fi-ju već 20 godina je ta što ti, ja, moja sestra (koja nije tehnički) svi možemo pokrenuti zli dvostruki napad samo korištenjem naših mobitela," WatchGuard Technologies' direktor upravljanja proizvodima, Ryan Orsi, rekao je za Digital Trends. “[Recimo] da imate pametni telefon i izvadite ga iz džepa, uđite u svoj ured i ima Wi-Fi mrežu zaštićenu WPA3 lozinkom. Pogledate naziv te Wi-Fi mreže […] ako promijenite ime svog telefona u [isto ime] i uključite svoju pristupnu točku, upravo ste pokrenuli zli dvostruki napad. Vaš telefon emitira potpuno istu Wi-Fi mrežu.”

Ryan Orsi iz Watchgarda
Ryan Orsi, direktor upravljanja proizvodima u WatchGuardu.WatchGard

Iako korisnici koji se spajaju na vašu lažnu, zlu mrežu blizanaca odaju mnogo svojih informacija korištenjem nje, oni potencijalno još više slabe svoju sigurnost. Ovaj napad mogao bi se izvesti pametnim telefonom koji podržava samo WPA2. Čak i ako potencijalna žrtva može podržati WPA3 na svom uređaju, učinkovito ste je vratili na WPA2 zahvaljujući kompatibilnosti WPA3 unazad.

Poznat je kao WPA3-Transition Mode i omogućuje mreži da upravlja WPA3 i WPA2 zaštitama s istom lozinkom. To je sjajno za poticanje prihvaćanja WPA3 bez prisiljavanja ljudi da to učine odmah, i prilagođava starije klijentske uređaje, ali to je slaba točka u novom sigurnosnom standardu koji ostavlja sve ranjiva.

"Sada ste pokrenuli početak napada Zmajeve krvi", nastavi Orsi. “Donosite zlu pristupnu točku blizanaca koja emitira WPA2 verziju Wi-Fi mreže, a uređaji žrtve ne znaju razliku. To je isto ime. Što je onaj legitimni, a koji zli blizanac? Uređaju ili ljudskom biću je to teško reći."

Ali prijelazni način rada WPA3 nije njegova jedina slaba točka za potencijalne napade na stariju verziju. Dragonblood također pokriva napad na stariju verziju sigurnosne grupe koji omogućuje onima koji koriste napad zlih blizanaca da odbiju početne zahtjeve za sigurnosnu zaštitu WPA3. Klijentski uređaj će se tada ponovno pokušati povezati koristeći drugu sigurnosnu grupu. Lažna mreža može jednostavno pričekati pokušaj povezivanja koristeći neadekvatnu sigurnost i prihvatiti ga, značajno slabeći bežičnu zaštitu žrtve.

Kao što je Orsi istaknuo, zli napadi blizanci problem su s Wi-Fi mrežama više od desetljeća, osobito one javne gdje korisnici možda ne znaju naziv mreže na koju se planiraju spojiti ispred vremena. WPA3 malo štiti od toga jer tehnički problem nije u samoj tehnologiji, već u mogućnosti korisnika da razlikuje legitimne mreže od lažnih. Ne postoji ništa unutar Wi-Fi izbornika uređaja što bi sugeriralo na koje su mreže sigurne za povezivanje, a koje nisu.

“Trebalo bi reći, ovo je onaj kome možeš vjerovati. Rezervirajte svoj hotel kreditnom karticom na ovom Wi-Fi-ju jer je pravi.”

Prema Autor Dragonblooda, Mathy Vanhoef, Može koštati samo 125 USD računalne snage Amazon AWS – pokretanje softvera za probijanje lozinki – za dekodirati zaporke od osam znakova, malim slovima, a postoji mnogo usluga koje bi se čak mogle pokazati konkurentnijima od da. Ako haker tada uspije ukrasti podatke o kreditnoj kartici ili bankovnim podacima, ta se investicija brzo vraća.

“Ako je zli blizanac tu i žrtva se poveže s njim, iskoči početna stranica. Početna stranica o zlom blizancu zapravo dolazi s napadačevog prijenosnog računala,” rekao je Orsi za Digital Trends. "Ta početna stranica može sadržavati zlonamjerni Javascript ili gumb i 'kliknite ovdje da biste se složili, preuzmite ovaj softver da biste se povezali s ovom pristupnom točkom.'"

Budite sigurni tako što ćete biti sigurni

“[WPA sigurnosni problemi] neće biti riješeni sve dok općeniti potrošač ne bude mogao vidjeti na svom uređaju umjesto malo lokot što znači zaštićeno lozinkom, postoji neki drugi simbol ili vizualni indikator koji govori da ovo nije zli blizanac,” Orsi rekao je. “[Trebali bismo] ponuditi ljudima vizualni simbol koji ima jake tehničke korijene, ali ga oni ne moraju razumjeti. Trebalo bi reći, ovo je onaj kojem možete vjerovati. Rezervirajte svoj hotel kreditnom karticom na ovom Wi-Fi-ju jer je pravi.”

Kategorija Wi-Fi prijetnje: pristupna točka "Evil Twin".

Takav bi sustav zahtijevao da ga IEEE (Institut inženjera elektrotehnike i elektronike) ratificira kao dio novog Wi-Fi standarda. Wi-Fi Alliance, koji posjeduje autorska prava za "Wi-Fi", tada bi trebao odlučiti o amblemu i proslijediti ažuriranje proizvođačima i dobavljačima softvera da ga mogu koristiti. Uvođenje takve promjene u Wi-Fi kakav poznajemo zahtijevalo bi veliki angažman mnogih tvrtki i organizacija. Zato su Orsi i WatchGuard želite prijaviti ljude da pokažu svoju podršku ideji novog, pouzdanog bežičnog sustava koji daje jasan vizualni indikator koji pomaže ljudima da ostanu sigurni na Wi-Fi mrežama.

Dok se takvo što ne dogodi, još uvijek postoje neki koraci koje možete poduzeti kako biste se zaštitili. Prvi savjet koji nam je Orsi dao bio je da sve ažuriramo i zakrpamo – pogotovo ako dodaje WPA3 sigurnost. Koliko god da je manjkav, još uvijek je daleko bolji od WPA2 - to je razlog zašto je toliko Dragonblood napada usmjereno na smanjenje sigurnosti gdje je to moguće.

Mnoge taktike Dragonblood eksploatisa su beskorisne ako je vaša lozinka komplicirana, dugačka i jedinstvena.

To je nešto što je Jean-Philippe Taggart iz Malwarebytesa također rekao za Digital Trends. Koliko god WPA3 bio manjkav, ipak je nadogradnja. Pobrinite se da svi WPA3 uređaji koje koristite također imaju najnoviji firmware, vrlo je važno. To bi moglo pomoći u ublažavanju nekih napada sporednih kanala koji su bili prisutni u ranim izdanjima WPA3.

Ako ste redoviti korisnik javnih Wi-Fi mreža (ili čak i ako niste), Orsi također preporučuje poduzimanje koraka za korištenje VPNili virtualna privatna mreža (evo kako ga postaviti). Oni vašoj vezi dodaju dodatni sloj enkripcije i maskiranja usmjeravanjem preko poslužitelja treće strane. To može znatno otežati lokalnim napadačima da vide što radite na mreži, čak i ako uspiju dobiti pristup vašoj mreži. Također skriva vaš promet od udaljenih napadača i eventualno bilo koje tri agencije za pisma koje bi mogle promatrati.

Kada je riječ o zaštiti vašeg Wi-Fi-ja kod kuće, također preporučujemo jaku mrežnu lozinku. Napadi rječnikom i brutalna hakiranja koja su omogućila mnoga od Dragonblood eksploatacija beskorisni su ako je vaša lozinka komplicirana, dugačka i jedinstvena. Pohranite ga u upravitelju lozinkama ako niste sigurni da ćete ga se sjetiti (ovi su najbolji). Također ga mijenjajte rijetko. Nikad ne znate jesu li vaši prijatelji i obitelj bili jednako sigurni s vašom Wi-Fi lozinkom kao vi.

Preporuke urednika

  • Ovaj Wi-Fi sigurnosni propust mogao bi dronovima omogućiti praćenje uređaja kroz zidove