Niewiele osób przywiązuje zbyt dużą wagę do bezpieczeństwa Wi-Fi, chętnie łączy się z publicznymi sieciami bezprzewodowymi i nie robi nic, nawet aby chronić własne sieci domowe. Dopóki ma hasło, uważamy, że jesteśmy bezpieczni.
Zawartość
- Zabijanie smoków
- Jesteście tak podobni…
- Bądź bezpieczny, będąc bezpiecznym
Jak zwykle zapewnienie sobie bezpieczeństwa nigdy nie jest tak proste, jak się wydaje. Ochrona hasłem stanowi część systemu zwanego Wi-Fi Protected Access (WPA), który wkrótce stanie się bezpieczniejszy w postaci WPA3. Pomimo ulepszeń, jakie ze sobą niesie, WPA nigdy nie będzie złotym rozwiązaniem.
Polecane filmy
Jest w nim kilka poważnych błędów, które występują od czasu zainicjowania pierwszego protokołu WPA. Dopóki nie stawimy czoła tym problemom, nasze sieci bezprzewodowe zawsze będą miały dziurę w ścianie ochrony.
Powiązany
- Wreszcie wystartowało Wi-Fi 6. Oto, co to oznacza dla Ciebie
Zabijanie smoków
Ochrona hasłem i szyfrowaniem była głównym czynnikiem powstania i rozprzestrzeniania się protokołu WPA2 zapewnił, że większość z nas pozostanie bezpieczna, podłączając niezliczone współczesne urządzenia do Wi-Fi sieci. Jednak WPA2 ma poważne wady, które WPA3 ma naprawić.
Gdzie WPA2 używa a wymiana kluczy wstępnych i słabsze szyfrowanie, WPA3 uaktualnia się do szyfrowania 128-bitowego i wykorzystuje system zwany równoczesnym uwierzytelnianiem równych (SAE), potocznie nazywany uściskiem dłoni Dragonfly. Wymusza interakcję sieciową przy potencjalnym logowaniu, dzięki czemu hakerzy nie mogą próbować włamać się do słownika przy użyciu loginu pobieranie jego kryptograficznego skrótu, a następnie uruchamianie oprogramowania do łamania zabezpieczeń w celu jego złamania, co pozwala im następnie korzystać z innych narzędzi do szpiegowania sieci działalność.
Zaufana struktura środowiska bezprzewodowego
Jednak Dragonfly i sam WPA3 są również podatne na pewne niebezpieczne wady, a niektóre z najgorszych występują w sieciach chronionych WPA od ich powstania. Exploity te zostały zebrane w ramach sztandarowa nazwa Smoczej Krwi i jeśli nie zostaną rozwiązane, mogą oznaczać, że WPA3 nie jest dużo bezpieczniejszy niż WPA2, ponieważ metody stosowane w celu obejścia jego zabezpieczeń tak naprawdę nie uległy zmianie.
Mathy Vanhoef w swoim exposé Dragonblood podkreślił sześć problemów, ale prawie wszystkie z nich są możliwe dzięki odwiecznej technice hakowania Wi-Fi zwanej złym bliźniakiem.
Jesteście tak podobni…
„Największą wadą Wi-Fi występującą od 20 lat jest to, że ty, ja i moja siostra (która nie jest specjalistką) możemy przeprowadzić atak złych bliźniaków, używając tylko naszych telefonów komórkowych” Technologie WatchGuard dyrektor ds. zarządzania produktami, Ryan Orsi, powiedział Digital Trends. „[Powiedzmy], że masz smartfon i wyjmij go z kieszeni, wejdź do biura, a tam znajdziesz sieć Wi-Fi zabezpieczoną hasłem WPA3. Patrzysz na nazwę tej sieci Wi-Fi […], jeśli zmienisz nazwę swojego telefonu na [ta sama nazwa] i włączysz hotspot, właśnie uruchomiłeś atak złego bliźniaka. Twój telefon nadaje dokładnie tę samą sieć Wi-Fi.”
Chociaż użytkownicy łączący się z Twoją fałszywą, złą siecią bliźniaczą, wykorzystując ją, oddają wiele swoich informacji, potencjalnie jeszcze bardziej osłabiają swoje bezpieczeństwo. Atak ten można przeprowadzić za pomocą smartfona obsługującego wyłącznie WPA2. Nawet jeśli potencjalna ofiara może obsługiwać WPA3 na swoim urządzeniu, skutecznie obniżyłeś jej wersję do WPA2 dzięki wstecznej kompatybilności WPA3.
Nazywa się to trybem przejściowym WPA3 i umożliwia sieci obsługę zabezpieczeń WPA3 i WPA2 przy użyciu tego samego hasła. Świetnie nadaje się do zachęcania do korzystania z WPA3 bez zmuszania ludzi do natychmiastowego robienia tego obsługuje starsze urządzenia klienckie, ale jest to słaby punkt nowego standardu bezpieczeństwa, który pozostawia wszystkich wrażliwy.
„Rozpocząłeś teraz atak Smoczej Krwi” – kontynuował Orsi. „Wprowadzasz zły bliźniaczy punkt dostępu, który nadaje wersję sieci Wi-Fi WPA2, a urządzenia ofiary nie dostrzegają różnicy. To to samo imię. Jaki jest ten prawowity, a który zły bliźniak? Urządzenie lub człowiek nie jest w stanie tego stwierdzić.”
Jednak tryb przejściowy WPA3 nie jest jego jedynym słabym punktem w przypadku potencjalnych ataków na niższą wersję. Dragonblood obejmuje również atak na obniżenie poziomu grupy zabezpieczeń, który umożliwia osobom stosującym atak złego bliźniaka odrzucenie początkowych żądań zabezpieczeń WPA3. Urządzenie klienckie podejmie następnie próbę ponownego połączenia przy użyciu innej grupy zabezpieczeń. Fałszywa sieć może po prostu poczekać, aż zostanie podjęta próba połączenia przy nieodpowiednich zabezpieczeniach i zaakceptować ją, co znacznie osłabia zabezpieczenia sieci bezprzewodowej ofiary.
Jak podkreślił Orsi, ataki typu „złe bliźniaki” stanowią problem w sieciach Wi-Fi od ponad dekady, szczególnie te publiczne, w których użytkownicy mogą nie znać nazwy sieci, z którą planują się połączyć przed czasem. WPA3 niewiele robi, aby przed tym chronić, ponieważ problem nie leży w samej technologii, ale w zdolności użytkownika do odróżnienia sieci legalnych od fałszywych. W menu Wi-Fi urządzenia nie ma niczego, co mogłoby sugerować, z którymi sieciami można się bezpiecznie połączyć, a z którymi nie.
„Należy powiedzieć: to ten, któremu możesz zaufać. Zarezerwuj hotel za pomocą karty kredytowej w tym Wi-Fi, ponieważ jest to właściwe.”
Według Autor Smoczej Krwi, Mathy Vanhoef, Może kosztować zaledwie 125 dolarów mocy obliczeniowej Amazon AWS – uruchomienie oprogramowania do łamania haseł – aby dekoduj hasła składające się z ośmiu znaków i małych liter, a istnieje wiele usług, które mogą okazać się nawet bardziej konkurencyjne niż To. Jeśli hakerowi uda się następnie ukraść dane karty kredytowej lub dane bankowe, inwestycja szybko się zwróci.
„Jeśli zły bliźniak tam jest i ofiara się z nim łączy, pojawia się strona powitalna. Strona powitalna dotycząca złego bliźniaka w rzeczywistości pochodzi z laptopa atakującego” – Orsi powiedziała Digital Trends. „Ta strona powitalna może zawierać złośliwy JavaScript lub przycisk i„ kliknij tutaj, aby wyrazić zgodę, pobierz to oprogramowanie, aby połączyć się z tym hotspotem”.
Bądź bezpieczny, będąc bezpiecznym
„Problemy [z bezpieczeństwem WPA] nie zostaną rozwiązane, dopóki przeciętny konsument nie będzie mógł ich zobaczyć na swoim urządzeniu, a nie tylko trochę kłódka oznacza ochronę hasłem, istnieje inny symbol lub wskaźnik wizualny, który mówi, że to nie jest zły bliźniak” – Orsi powiedział. „[Powinniśmy] oferować ludziom symbol wizualny, który ma silne korzenie techniczne, ale nie muszą go rozumieć. Należy powiedzieć, że to ten, któremu można zaufać. Zarezerwuj hotel za pomocą karty kredytowej w tym Wi-Fi, ponieważ jest to właściwe.”
Kategoria zagrożeń Wi-Fi: Punkt dostępowy „Evil Twin”.
Taki system wymagałby ratyfikacji przez IEEE (Instytut Inżynierów Elektryków i Elektroników) w ramach nowego standardu Wi-Fi. Stowarzyszenie Wi-Fi Alliance, które jest właścicielem praw autorskich do „Wi-Fi”, musiałoby wówczas wybrać emblemat i udostępnić aktualizację producentom i dostawcom oprogramowania, aby mogli z niej skorzystać. Dokonanie takiej zmiany w Wi-Fi, jakie znamy, wymagałoby ogromnego przedsięwzięcia wielu firm i organizacji. Dlatego Orsi i WatchGuard chcę rejestrować ludzi aby pokazać swoje poparcie dla idei nowego, zaufanego systemu bezprzewodowego, który zapewnia wyraźny wizualny wskaźnik pomagający ludziom zachować bezpieczeństwo w sieciach Wi-Fi.
Dopóki coś takiego się nie stanie, możesz podjąć pewne kroki, aby się zabezpieczyć. Pierwszą radą, jaką dał nam Orsi, była aktualizacja i załatanie wszystkiego – zwłaszcza jeśli dodaje się zabezpieczenia WPA3. Choć ma wady, jest znacznie lepszy od WPA2 – dlatego tak wiele ataków Dragonblood koncentruje się na obniżeniu poziomu bezpieczeństwa, tam gdzie to możliwe.
Wiele taktyk stosowanych przez smoczą krew jest bezużytecznych, jeśli hasło jest skomplikowane, długie i unikalne.
To coś, co powiedział także Jean-Philippe Taggart z Malwarebytes Digital Trends. Choć WPA3 może być wadliwy, wciąż jest to aktualizacja. Niezwykle ważne jest upewnienie się, że na wszystkich używanych urządzeniach WPA3 jest zainstalowane najnowsze oprogramowanie sprzętowe. Może to pomóc w ograniczeniu niektórych ataków z kanałem bocznym, które występowały we wczesnych wersjach WPA3.
Jeśli regularnie korzystasz z publicznych sieci Wi-Fi (lub nawet jeśli nimi nie jesteś), Orsi zaleca również podjęcie kroków w celu korzystania z VPNlub wirtualna sieć prywatna (oto jak to skonfigurować). Dodają one dodatkową warstwę szyfrowania i zaciemniania połączenia, kierując je przez serwer strony trzeciej. Może to znacznie utrudnić lokalnym atakującym zobaczenie, co robisz online, nawet jeśli uda im się uzyskać dostęp do Twojej sieci. Ukrywa także Twój ruch przed zdalnymi atakującymi i ewentualnie dowolnymi agencjami trzyliterowymi, które mogą obserwować.
Jeśli chodzi o zabezpieczenie Wi-Fi w domu, zalecamy również silne hasło sieciowe. Ataki słownikowe i hacki wykorzystujące brutalną siłę możliwe dzięki wielu exploitom Dragonblood są bezużyteczne, jeśli Twoje hasło jest skomplikowane, długie i unikalne. Zapisz go w menedżerze haseł, jeśli nie masz pewności, że go zapamiętasz (to są najlepsi). Zmieniaj go również rzadko. Nigdy nie wiesz, czy Twoi przyjaciele i rodzina zabezpieczyli Twoje hasło Wi-Fi tak samo jak Ty.
Zalecenia redaktorów
- Ta luka w zabezpieczeniach Wi-Fi może pozwolić dronom na śledzenie urządzeń przez ściany
