Få mennesker er altfor opptatt av Wi-Fi-sikkerhet, glade i å koble til offentlige trådløse nettverk og gjør lite for å beskytte sine egne hjemmenettverk. Så lenge den har et passord, tror vi at vi er trygge.
Innhold
- Å drepe drager
- Dere er så like...
- Hold deg trygg ved å være trygg
Som vanlig er det aldri så enkelt å holde deg selv trygg som det ser ut til. Passordbeskyttelse er en del av et system kalt Wi-Fi Protected Access, eller WPA, som er i ferd med å bli sikrere i form av WPA3. Til tross for forbedringene det gir, vil WPA aldri være en sølvkule.
Anbefalte videoer
Det er noen alvorlige feil i den som har vært tilstede siden den aller første WPA ble igangsatt. Inntil vi møter dem, vil våre trådløse nettverk alltid ha et gapende hull i beskyttelsesveggen.
I slekt
- Wi-Fi 6 har endelig lansert. Her er hva det betyr for deg
Å drepe drager
Passord- og krypteringsbeskyttelse var et viktig punkt i WPA2s opprettelse og spredning og har sørget for at de fleste av oss forblir trygge når vi kobler vårt mylder av moderne enheter til Wi-Fi nettverk. Men WPA2 har alvorlige feil som WPA3 ble designet for å fikse.
Der WPA2 bruker en forhåndsdelt nøkkelutveksling og svakere kryptering, oppgraderer WPA3 til 128-bits kryptering og bruker et system kalt Simultaneous Authentication of Equals (SAE), i daglig tale kjent som et Dragonfly-håndtrykk. Det tvinger nettverksinteraksjon på en potensiell pålogging, og gjør det dermed slik at hackere ikke kan prøve å hacke en pålogging med ordbok ved å laste ned dens kryptografiske hash og deretter kjøre cracking-programvare for å bryte den, og la dem deretter bruke andre verktøy for å snoke på nettverket aktivitet.
Trusted Wireless Environment Framework
Men selve Dragonfly og WPA3 er også sårbare for sine egne farlige feil, og noen av de verste har vært tilstede i WPA-beskyttede nettverk siden oppstarten. Disse utnyttelsene er samlet under bannernavnet til Dragonblood og med mindre de blir adressert, kan de bety at WPA3 ikke er så mye sikrere enn WPA2, fordi metodene som brukes for å omgå beskyttelsen ikke har endret seg.
Det er seks problemer fremhevet av Mathy Vanhoef i hans Dragonblood-eksponering, men nesten alle av dem er muliggjort av en eldgammel Wi-Fi-hackingsteknikk kalt en ond tvilling.
Dere er så like...
"Den største feilen som har eksistert i Wi-Fi i 20 år er at dere, jeg, søsteren min (som ikke er teknisk) alle kan starte et ondt tvillingangrep bare ved å bruke mobiltelefonene våre." WatchGuard Technologies' direktør for produktledelse, Ryan Orsi, fortalte Digital Trends. "[La oss si] du har en smarttelefon og ta den opp av lommen, gå på kontoret og den har et WPA3 passordbeskyttet Wi-Fi-nettverk. Du ser på navnet på det Wi-Fi-nettverket […] hvis du endrer telefonens navn til [samme navn] og du slår på hotspoten din, har du nettopp startet et ondskapsfullt tvillingangrep. Telefonen din kringkaster nøyaktig samme Wi-Fi-nettverk.»
Selv om brukere som kobler til det forfalskede, onde tvillingnettverket gir bort mye av informasjonen deres ved å bruke den, svekker de potensielt sikkerheten enda mer. Dette angrepet kan utføres med en smarttelefon som kun støtter WPA2. Selv om det potensielle offeret kan støtte WPA3 på enheten sin, har du effektivt nedgradert dem til WPA2 takket være WPA3s bakoverkompatibilitet.
Det er kjent som WPA3-overgangsmodus, og lar et nettverk betjene WPA3- og WPA2-beskyttelse med samme passord. Det er flott for å oppmuntre opptaket til WPA3 uten å tvinge folk til å gjøre det umiddelbart, og har plass til eldre klientenheter, men det er et svakt punkt i den nye sikkerhetsstandarden som forlater alle sårbar.
"Du har nå startet begynnelsen på et Dragonblood-angrep," fortsatte Orsi. "Du henter inn et ondskapsfullt tvillingtilgangspunkt som kringkaster en WPA2-versjon av Wi-Fi-nettverket, og ofrets enheter vet ikke forskjellen. Det er samme navn. Hva er den legitime og hvilken er den onde tvillingen? Det er vanskelig for en enhet eller et menneske å si."
Men WPA3s overgangsmodus er ikke det eneste svake punktet for potensielle nedgraderingsangrep. Dragonblood dekker også et sikkerhetsgruppenedgraderingsangrep som lar de som bruker et ondt tvillingangrep avslå innledende forespørsler om WPA3-sikkerhetsbeskyttelse. Klientenheten vil da forsøke å koble til igjen ved hjelp av en annen sikkerhetsgruppe. Det falske nettverket kan ganske enkelt vente til et tilkoblingsforsøk er gjort med utilstrekkelig sikkerhet og godta det, noe som svekker offerets trådløse beskyttelse betraktelig.
Som Orsi fremhevet, har onde tvillingangrep vært et problem med Wi-Fi-nettverk i godt over et tiår, spesielt offentlige der brukere kanskje ikke er klar over navnet på nettverket de planlegger å koble til på forhånd. WPA3 beskytter lite mot dette, fordi problemet ikke er teknisk sett med selve teknologien, men i brukerens evne til å skille mellom legitime og falske nettverk. Det er ingenting i enhetens Wi-Fi-menyer som antyder hvilke nettverk som er trygge å koble til og hvilke som ikke er det.
"Det skal stå at dette er den du kan stole på. Bestill hotellet ditt med et kredittkort på dette Wi-Fi-nettverket fordi det er det rette."
I følge Dragonblood forfatter, Mathy Vanhoef, Det kan koste så lite som $125 med Amazon AWS-datakraft – å kjøre et stykke passordknekkingsprogramvare – for å dekode åtte-tegns passord med små bokstaver, og det er mange tjenester som til og med kan vise seg å være mer konkurransedyktige enn at. Hvis en hacker deretter kan stjele kredittkort- eller bankinformasjon, er investeringen raskt tjent inn.
"Hvis den onde tvillingen er der, og et offer kobler seg til den, dukker splash-siden opp. Splash-siden på en ond tvilling kommer faktisk fra angriperens bærbare datamaskin, sier Orsi til Digital Trends. "Denne splash-siden kan ha ondsinnet Javascript eller en knapp og 'klikk-her for å godta, last ned denne programvaren for å koble til denne hotspot'en."
Hold deg trygg ved å være trygg
"[WPA-sikkerhet]-problemer vil ikke bli løst før den generelle forbrukeren kan se på enheten sin i stedet for litt hengelås betyr passordbeskyttet, det er et annet symbol eller visuell indikator som sier at dette ikke er en ond tvilling," Orsi sa. "[Vi burde] tilby folk et visuelt symbol som har sterke tekniske røtter, men de trenger ikke å forstå det. Det skal stå at dette er den du kan stole på. Bestill hotellet ditt med et kredittkort på dette Wi-Fi-nettverket fordi det er det rette."
Wi-Fi-trusselkategori: «Evil Twin»-tilgangspunkt
Et slikt system vil kreve at IEEE (Institute of Electrical and Electronics Engineers) ratifiserer det som en del av en ny Wi-Fi-standard. Wi-Fi Alliance, som eier opphavsretten til "Wi-Fi", må da bestemme seg for et emblem og sende ut oppdateringen til produsenter og programvareleverandører for å bruke den. Å gjøre en slik endring av Wi-Fi som vi kjenner det, vil kreve et stort engasjement fra mange selskaper og organisasjoner. Det er derfor Orsi og WatchGuard ønsker å registrere folk for å vise sin støtte til ideen om et nytt, pålitelig trådløst system som gir en klar visuell indikator for å hjelpe folk med å holde seg trygge på Wi-Fi-nettverk.
Inntil noe slikt skjer, er det fortsatt noen skritt du kan ta for å beskytte deg selv. Det første rådet som Orsi ga oss var å oppdatere og lappe alt – spesielt hvis det legger til WPA3-sikkerhet. Så mye som det er feil, er det fortsatt langt bedre enn WPA2 - det er derfor så mange av Dragonblood-angrepene er fokusert på å nedgradere sikkerheten der det er mulig.
Mange av taktikkene som dragonblood utnytter er ubrukelige hvis passordet ditt er komplisert, langt og unikt.
Det er noe Malwarebytes’ Jean-Philippe Taggart også fortalte Digital Trends. Så feil som WPA3 kan være, er det fortsatt en oppgradering. Å sørge for at alle WPA3-enheter du bruker kjører den nyeste fastvaren også, er enormt viktig. Det kan bidra til å dempe noen av sidekanalangrepene som var til stede i tidlige WPA3-utgivelser.
Hvis du er en vanlig bruker av offentlige Wi-Fi-nettverk (eller selv om du ikke er det), anbefaler Orsi også å ta skritt for å bruke en VPN, eller virtuelt privat nettverk (her er hvordan du setter opp en). Disse legger til et ekstra lag med kryptering og tilsløring til tilkoblingen din ved å dirigere den gjennom en tredjepartsserver. Det kan gjøre det mye vanskeligere for lokale angripere å se hva du gjør på nettet, selv om de klarer å få tilgang til nettverket ditt. Den skjuler også trafikken din for eksterne angripere og muligens alle tre bokstavsbyråer som kan se på.
Når det gjelder å sikre Wi-Fi hjemme, anbefaler vi også et sterkt nettverkspassord. Ordbokangrepene og brute force hackene som er muliggjort av mange av Dragonblood-utnyttelsene er ubrukelige hvis passordet ditt er komplisert, langt og unikt. Lagre det i en passordbehandling hvis du ikke er sikker på at du vil huske det (disse er de beste). Bytt det også sjelden. Du vet aldri om venner og familie har vært like sikre med Wi-Fi-passordet som du har vært.
Redaktørenes anbefalinger
- Denne Wi-Fi-sikkerhetsfeilen kan la droner spore enheter gjennom vegger
