מעטים האנשים שמודאגים יתר על המידה מאבטחת Wi-Fi, שמחים להתחבר לרשתות אלחוטיות ציבוריות ועושים מעט אפילו להגן על הרשתות הביתיות שלהם. כל עוד יש לו סיסמה, אנחנו חושבים שאנחנו בטוחים.
תוכן
- הורגים דרקונים
- אתם כל כך דומים…
- הישאר בטוח בכך שתהיה בטוח
כרגיל, לשמור על עצמכם בטוח זה אף פעם לא קל כמו שזה נראה. הגנת סיסמה מהווה חלק ממערכת הנקראת Wi-Fi Protected Access, או WPA, שעומדת להיות מאובטחת יותר בצורה של WPA3. למרות השיפורים שהוא מביא, WPA לעולם לא יהיה כדור כסף.
סרטונים מומלצים
יש בו כמה פגמים חמורים שהיו נוכחים מאז תחילת ה-WPA הראשון. עד שנתמודד עם אלה, לרשתות האלחוטיות שלנו תמיד יהיה חור פעור בחומת ההגנה שלהן.
קָשׁוּר
- Wi-Fi 6 סוף סוף הושק. הנה מה שזה אומר עבורך
הורגים דרקונים
הגנת סיסמאות והצפנה היו נקודה מרכזית ביצירה והפצה של WPA2 הבטיח שרובנו נשאר בטוחים בעת חיבור שלל המכשירים העכשוויים שלנו ל-Wi-Fi רשתות. אבל ל-WPA2 יש פגמים חמורים ש-WPA3 תוכנן לתקן.
כאשר WPA2 משתמש ב-a החלפת מפתחות משותפת מראש והצפנה חלשה יותר, WPA3 משדרג להצפנה של 128 סיביות ומשתמש במערכת הנקראת Simultaneous Authentication of Equals (SAE), הידועה בשפת העם בשם לחיצת יד Dragonfly. זה כופה אינטראקציה ברשת על כניסה פוטנציאלית, ובכך הופך אותה כך שהאקרים לא יוכלו לנסות ולפרוץ במילון כניסה על ידי מוריד את ה-hash ההצפנה שלו ואז מפעיל תוכנת פיצוח כדי לשבור אותו, ומאפשר להם להשתמש בכלים אחרים כדי לחטט ברשת פעילות.
מסגרת סביבה אלחוטית מהימנה
אבל Dragonfly ו-WPA3 עצמם פגיעים גם לכמה פגמים מסוכנים משלהם וכמה מהגרועות שבהם היו נוכחים ברשתות מוגנות WPA מאז הקמתן. מעללים אלה נאספו תחת שם הבאנר של Dragonblood ואם לא יטופלו, הם יכולים לומר ש-WPA3 אינו בטוח בהרבה מ-WPA2, מכיוון שהשיטות המשמשות לעקוף את ההגנות שלו לא ממש השתנו.
יש שש בעיות שהדגיש מת'י ואנהוף בחשיפת Dragonblood שלו, אבל כמעט כולן מתאפשרות על ידי טכניקת פריצה עתיקת יומין ל-Wi-Fi הנקראת תאום מרושע.
אתם כל כך דומים…
"הפגם הגדול ביותר שקיים ב-Wi-Fi כבר 20 שנה הוא שאתה, אני, אחותי (שלא טכנית) כולכם יכולים לפתוח בהתקפת תאומים מרושעים רק על ידי שימוש בטלפונים הסלולריים שלנו." WatchGuard Technologies' מנהל ניהול המוצר, ריאן אורסי, אמר ל-Digital Trends. "[נניח] יש לך א סמארטפון והוציאו אותו מהכיס, היכנסו למשרד ויש לו רשת Wi-Fi מוגנת בסיסמה של WPA3. אתה מסתכל על השם של רשת ה-Wi-Fi […] אם אתה משנה את שם הטלפון שלך ל[אותו שם] ואתה מפעיל את הנקודה החמה שלך, זה עתה פתחת במתקפת תאומים מרושעים. הטלפון שלך משדר את אותה רשת Wi-Fi בדיוק."
למרות שמשתמשים שמתחברים לרשת התאומים המזויפים והמרושעים שלך מוסרים הרבה מהמידע שלהם על ידי שימוש בו, הם עלולים להחליש את האבטחה שלהם אפילו יותר. התקפה זו יכולה להתבצע באמצעות סמארטפון התומך רק ב-WPA2. גם אם הקורבן הפוטנציאלי יכול לתמוך ב-WPA3 במכשיר שלו, שדרגת אותם למעשה לאחור ל-WPA2 הודות לתאימות לאחור של WPA3.
זה ידוע בשם WPA3-Transition Mode, ומאפשר לרשת להפעיל הגנות WPA3 ו-WPA2 עם אותה סיסמה. זה נהדר לעידוד הקליטה ל-WPA3 מבלי להכריח אנשים לעשות זאת מיד, וכן מתאים למכשירי לקוח ישנים יותר, אבל זו נקודת תורפה בתקן האבטחה החדש שמשאיר את כולם פָּגִיעַ.
"עכשיו פתחת את ההתחלה של מתקפת Dragonblood," המשיך אורסי. "אתה מביא נקודת גישה תאומה רעה שמשדרת גרסת WPA2 של רשת ה-Wi-Fi ומכשירי הקורבן לא יודעים את ההבדל. זה אותו שם. מה הלגיטימי ומי הוא התאום הרשע? למכשיר או לאדם קשה לדעת".
אבל מצב המעבר של WPA3 הוא לא נקודת התורפה היחידה שלו להתקפות פוטנציאליות של שדרוג לאחור. Dragonblood מכסה גם התקפת שדרוג לאחור של קבוצת אבטחה המאפשרת לאלה המשתמשים במתקפת תאומים מרושעים לדחות בקשות ראשוניות להגנות אבטחה WPA3. לאחר מכן, התקן הלקוח ינסה להתחבר שוב באמצעות קבוצת אבטחה אחרת. הרשת המזויפת יכולה פשוט להמתין עד לניסיון חיבור תוך שימוש באבטחה לא מספקת ולקבל אותה, ולהחליש באופן ניכר את ההגנות האלחוטיות של הקורבן.
כפי שאורסי הדגישה, התקפות תאומים מרושעות היו בעיה ברשתות Wi-Fi כבר יותר מעשור, במיוחד ציבוריים שבהם המשתמשים עשויים שלא להיות מודעים לשם הרשת שאליה הם מתכננים להתחבר מראש. WPA3 עושה מעט כדי להגן מפני זה, מכיוון שהבעיה אינה טכנית בטכנולוגיה עצמה, אלא ביכולת של המשתמש להבדיל בין רשתות לגיטימיות לרשתות מזויפות. אין שום דבר בתפריטי ה-Wi-Fi של המכשיר שמציע לאילו רשתות בטוח להתחבר ולאילו לא.
"צריך לומר, זה האחד שאתה יכול לסמוך עליו. הזמינו את המלון שלכם עם כרטיס אשראי ב-Wi-Fi הזה כי זה המתאים."
לפי מחבר דרגון דם, מת'י ואנהוף, זה יכול לעלות רק 125 דולר של כוח מחשוב של אמזון AWS - הפעלת תוכנה לפיצוח סיסמאות - כדי פענוח סיסמאות בנות שמונה תווים באותיות קטנות, ויש הרבה שירותים שאולי אפילו יתבררו תחרותיים יותר מאשר זֶה. אם האקר יכול לגנוב כרטיס אשראי או מידע בנקאי, ההשקעה הזו מוחזרת במהירות.
"אם התאום המרושע נמצא שם, וקורבן מתחבר אליו, דף ההתזה צץ. דף הפתיחה של תאום מרושע מגיע למעשה מהמחשב הנייד של התוקף", אמר אורסי ל-Digital Trends. "לדף הפתיחה הזה יכול להיות Javascript זדוני או כפתור ו'לחץ כאן כדי להסכים, הורד את התוכנה הזו כדי להתחבר לנקודה חמה זו'."
הישאר בטוח בכך שתהיה בטוח
"בעיות [אבטחת WPA] לא ייפתרו עד שהצרכן הכללי יוכל לראות במכשיר שלו במקום קצת מנעול פירושו מוגן בסיסמה, יש איזה סמל או אינדיקטור חזותי אחר שאומר שזה לא תאום מרושע", אורסי אמר. "[אנחנו צריכים] להציע לאנשים סמל ויזואלי שיש לו שורשים טכניים חזקים אבל הם לא צריכים להבין אותו. זה צריך לומר, זה אחד שאתה יכול לסמוך עליו. הזמינו את המלון שלכם עם כרטיס אשראי ב-Wi-Fi הזה כי זה המתאים."
קטגוריית איום Wi-Fi: נקודת גישה "התאום הרשע".
מערכת כזו תחייב את IEEE (המכון למהנדסי חשמל ואלקטרוניקה) לאשר אותה כחלק מתקן Wi-Fi חדש. ברית ה-Wi-Fi, שבבעלותה זכויות היוצרים על "Wi-Fi", תצטרך להחליט על סמל ולדחוף את העדכון ליצרנים וספקי תוכנה כדי לעשות בו שימוש. ביצוע שינוי כזה ב-Wi-Fi כפי שאנו מכירים אותו ידרוש התחייבות ענקית של חברות וארגונים רבים. זו הסיבה Orsi ו-WatchGuard רוצה לרשום אנשים להראות את תמיכתם ברעיון של מערכת אלחוטית חדשה ומהימנה שנותנת אינדיקטור חזותי ברור שיעזור לאנשים להישאר בטוחים ברשתות Wi-Fi.
עד שדבר כזה יקרה, עדיין יש כמה צעדים שאתה יכול לנקוט כדי להגן על עצמך. העצה הראשונה שאורסי נתנה לנו הייתה לעדכן ולתקן הכל - במיוחד אם זה מוסיף אבטחת WPA3. עד כמה שהוא פגום, זה עדיין הרבה יותר טוב מ-WPA2 - זו הסיבה שכל כך הרבה מהתקפות Dragonblood מתמקדות בשדרוג לאחור של האבטחה במידת האפשר.
רבות מהטקטיקות שמנצלות ניצול דם דרקון הן חסרות תועלת אם הסיסמה שלך מסובכת, ארוכה וייחודית.
זה משהו ש-Jean-Philippe Taggart של Malwarebytes אמר גם ל-Digital Trends. עד כמה ש-WPA3 פגום, זה עדיין שדרוג. חשוב מאוד לוודא שכל מכשירי WPA3 שאתה משתמש בהם מריצים את הקושחה העדכנית ביותר. זה יכול לעזור למתן חלק מהתקפות ערוץ צד שהיו נוכחות במהדורות מוקדמות של WPA3.
אם אתה משתמש קבוע ברשתות Wi-Fi ציבוריות (או אפילו אם אינך), אורסי ממליצה גם לנקוט בצעדים לשימוש ב- VPN, או רשת פרטית וירטואלית (הנה איך להגדיר אחד). אלה מוסיפים שכבה נוספת של הצפנה וערפול לחיבור שלך על ידי ניתובו דרך שרת של צד שלישי. זה יכול להקשות בהרבה על תוקפים מקומיים לראות מה אתה עושה באינטרנט, גם אם הם מצליחים לקבל גישה לרשת שלך. זה גם מסתיר את התנועה שלך מתוקפים מרוחקים ואולי כל סוכנויות שלוש אותיות שעשויות לצפות.
כשמדובר באבטחת ה-Wi-Fi שלך בבית, אנו ממליצים גם על סיסמת רשת חזקה. התקפות המילון ופריצות הכוח הגס המתאפשרות על ידי רבים ממעללי Dragonblood הם חסרי תועלת אם הסיסמה שלך מסובכת, ארוכה וייחודית. אחסן את זה במנהל סיסמאות אם אתה לא בטוח שתזכור את זה (אלה הטובים ביותר). שנה אותו לעיתים רחוקות מדי. אתה אף פעם לא יודע אם החברים והמשפחה שלך היו מאובטחים עם סיסמת ה-Wi-Fi שלך כפי שהיית.
המלצות עורכים
- פגם האבטחה של ה-Wi-Fi הזה עלול לאפשר לרחפנים לעקוב אחר מכשירים דרך קירות