Len málo ľudí sa príliš zaoberá bezpečnosťou Wi-Fi, je šťastný, že sa pripája k verejným bezdrôtovým sieťam a robí len málo pre ochranu svojich vlastných domácich sietí. Pokiaľ má heslo, myslíme si, že sme v bezpečí.
Obsah
- Zabíjanie drakov
- Vyzeráte tak podobne…
- Zostaňte v bezpečí tým, že budete v bezpečí
Ako obvykle, udržať sa v bezpečí nie je nikdy také jednoduché, ako sa zdá. Ochrana heslom je súčasťou systému nazývaného Wi-Fi Protected Access alebo WPA, ktorý sa čoskoro stane bezpečnejším vo forme WPA3. Napriek vylepšeniam, ktoré prináša, WPA nikdy nebude strieborná guľka.
Odporúčané videá
Je v ňom niekoľko vážnych nedostatkov, ktoré boli prítomné už od spustenia úplne prvého WPA. Kým sa s tým nestretneme, naše bezdrôtové siete budú mať vždy dieru v ochrannej stene.
Súvisiace
- Wi-Fi 6 bola konečne spustená. Čo to pre vás znamená
Zabíjanie drakov
Ochrana heslom a šifrovaním bola hlavným bodom vytvorenia a šírenia WPA2 zabezpečili, že väčšina z nás zostane v bezpečí pri pripájaní našich nespočetných súčasných zariadení k Wi-Fi siete. WPA2 má však vážne nedostatky, na ktoré bol navrhnutý WPA3.
Kde WPA2 používa a výmena predzdieľaných kľúčov a slabšie šifrovanie, WPA3 upgraduje na 128-bitové šifrovanie a používa systém nazývaný Simultaneous Authentication of Equals (SAE), hovorovo známy ako podanie ruky Dragonfly. Vynucuje si sieťovú interakciu pri potenciálnom prihlásení, vďaka čomu sa hackeri nemôžu pokúsiť hacknúť prihlásenie pomocou slovníka stiahnuť si jeho kryptografický hash a potom spustiť crackovací softvér na jeho prelomenie, nechať ich potom použiť iné nástroje na sledovanie siete činnosť.
Trusted Wireless Environment Framework
Dragonfly a samotný WPA3 sú však tiež zraniteľné voči niektorým vlastným nebezpečným chybám a niektoré z najhorších sa vyskytujú v sieťach chránených WPA od ich vzniku. Tieto exploity boli zhromaždené v rámci banner s názvom Dragonblood a pokiaľ nebudú adresované, mohli by znamenať, že WPA3 nie je o toľko bezpečnejší ako WPA2, pretože metódy používané na obchádzanie jeho ochrany sa v skutočnosti nezmenili.
Existuje šesť problémov, na ktoré poukázal Mathy Vanhoef vo svojom odhalení Dragonblood, ale takmer všetky sú možné vďaka starodávnej technike hackovania Wi-Fi nazývanej zlé dvojča.
Vyzeráte tak podobne…
"Najväčšou chybou, ktorá existuje vo Wi-Fi už 20 rokov, je to, že vy, ja, moja sestra (ktorá nie je technická) dokážete spustiť zlý útok dvojičiek len pomocou našich mobilných telefónov." WatchGuard Technologies Riaditeľ produktového manažmentu Ryan Orsi povedal pre Digital Trends. „[Povedzme], že máte smartfón a vyberte ho z vrecka, choďte do kancelárie a má sieť Wi-Fi chránenú heslom WPA3. Pozeráte sa na názov tejto siete Wi-Fi […], ak zmeníte názov svojho telefónu na [rovnaký názov] a zapnete svoj hotspot, práve ste spustili zlý dvojitý útok. Váš telefón vysiela presne tú istú sieť Wi-Fi.“
Aj keď používatelia, ktorí sa pripájajú k vašej falošnej, zlej sieti dvojčiat, rozdávajú množstvo svojich informácií tým, že ju používajú, potenciálne ešte viac oslabujú svoju bezpečnosť. Tento útok je možné vykonať pomocou smartfónu, ktorý podporuje iba WPA2. Aj keď potenciálna obeť môže na svojom zariadení podporovať WPA3, vďaka spätnej kompatibilite WPA3 ste ju efektívne znížili na WPA2.
Je známy ako WPA3-Transition Mode a umožňuje sieti prevádzkovať ochranu WPA3 a WPA2 s rovnakým heslom. To je skvelé na podporu prijatia na WPA3 bez toho, aby ste ľudí nútili, aby tak urobili okamžite, a vyhovuje starším klientskym zariadeniam, ale je to slabé miesto v novom bezpečnostnom štandarde, ktorý ponecháva každého zraniteľný.
"Teraz ste spustili začiatok útoku Dragonblood," pokračoval Orsi. „Prinášate zlý dvojitý prístupový bod, ktorý vysiela verziu WPA2 siete Wi-Fi a zariadenia obetí nepoznajú rozdiel. Je to rovnaký názov. Čo je legitímne a ktoré je zlé dvojča? Pre zariadenie alebo ľudskú bytosť je to ťažké povedať."
Prechodový režim WPA3 však nie je jeho jediným slabým miestom pre potenciálne útoky na zníženie verzie. Dragonblood tiež pokrýva útok na zníženie úrovne bezpečnostnej skupiny, ktorý umožňuje tým, ktorí používajú zlý dvojitý útok, odmietnuť počiatočné požiadavky na bezpečnostnú ochranu WPA3. Klientske zariadenie sa potom pokúsi znova pripojiť pomocou inej bezpečnostnej skupiny. Falošná sieť môže jednoducho počkať, kým sa nevykoná pokus o pripojenie pomocou nedostatočného zabezpečenia, a akceptovať ho, čím sa značne oslabí bezdrôtová ochrana obete.
Ako zdôraznil Orsi, zlé dvojité útoky sú problémom s Wi-Fi sieťami už viac ako desať rokov, najmä tie verejné, kde používatelia nemusia poznať názov siete, ku ktorej sa plánujú pripojiť v predstihu. WPA3 proti tomu chráni len málo, pretože problém nie je technicky v samotnej technológii, ale v schopnosti používateľa rozlíšiť medzi legitímnymi sieťami a falošnými sieťami. V ponukách Wi-Fi zariadenia nie je nič, čo by naznačovalo, ku ktorým sieťam je bezpečné sa pripojiť a ku ktorým nie.
„Malo by sa povedať, že toto je ten, ktorému môžete dôverovať. Rezervujte si hotel kreditnou kartou na tejto Wi-Fi, pretože je to tá správna.“
Podľa Autor Dračej krvi, Mathy Vanhoef, môže to stáť len 125 dolárov za výpočtový výkon Amazon AWS – spustenie softvéru na prelomenie hesiel – dekódovať osemmiestne heslá s malými písmenami a existuje množstvo služieb, ktoré sa môžu ukázať ako konkurencieschopnejšie ako že. Ak potom hacker dokáže ukradnúť informácie o kreditnej karte alebo bankovom účte, táto investícia sa rýchlo vráti.
„Ak je tam zlé dvojča a obeť sa k nemu pripojí, objaví sa úvodná stránka. Úvodná stránka na zlom dvojčati v skutočnosti pochádza z útočníkovho notebooku,“ povedal Orsi pre Digital Trends. „Táto úvodná stránka môže obsahovať škodlivý Javascript alebo tlačidlo a ‚kliknutím sem súhlasíte, stiahnite si tento softvér, aby ste sa mohli pripojiť k tomuto hotspotu.‘“
Zostaňte v bezpečí tým, že budete v bezpečí
„Problémy s [zabezpečením WPA] sa nevyriešia, kým ich bežný spotrebiteľ neuvidí na svojom zariadení visiaci zámok znamená chránený heslom, je tu nejaký iný symbol alebo vizuálny indikátor, ktorý hovorí, že toto nie je zlé dvojča,“ Orsi povedal. „[Mali by sme] ľuďom ponúknuť vizuálny symbol, ktorý má silné technické korene, ale nemusia mu rozumieť. Malo by sa povedať, že toto je ten, ktorému môžete dôverovať. Rezervujte si hotel kreditnou kartou na tejto Wi-Fi, pretože je to tá správna.“
Kategória hrozby Wi-Fi: Prístupový bod „Evil Twin“.
Takýto systém by si vyžadoval, aby ho IEEE (Inštitút elektrických a elektronických inžinierov) ratifikoval ako súčasť nového štandardu Wi-Fi. Wi-Fi Alliance, ktorá vlastní autorské práva na „Wi-Fi“, by sa potom musela rozhodnúť pre emblém a poskytnúť aktualizáciu výrobcom a poskytovateľom softvéru, aby ju mohli využívať. Uskutočnenie takejto zmeny na Wi-Fi, ako ho poznáme, by si vyžadovalo obrovské úsilie mnohých spoločností a organizácií. Preto Orsi a WatchGuard chcú prihlásiť ľudí ukázať svoju podporu myšlienke nového, dôveryhodného bezdrôtového systému, ktorý poskytuje jasný vizuálny indikátor, ktorý pomáha ľuďom zostať v bezpečí v sieťach Wi-Fi.
Kým sa niečo také nestane, stále existuje niekoľko krokov, ktorými sa môžete chrániť. Prvou radou, ktorú nám Orsi dal, bola aktualizácia a oprava všetkého – najmä ak pridáva zabezpečenie WPA3. Aj keď je to chybné, je to stále oveľa lepšie ako WPA2 – to je dôvod, prečo sa toľko útokov Dragonblood zameriava na zníženie bezpečnosti tam, kde je to možné.
Mnohé z taktík, ktoré využíva dragonblood, sú zbytočné, ak je vaše heslo komplikované, dlhé a jedinečné.
To je niečo, čo Jean-Philippe Taggart z Malwarebytes povedal pre Digital Trends. Akokoľvek chybný môže byť WPA3, stále ide o inováciu. Je nesmierne dôležité, aby všetky zariadenia WPA3, ktoré používate, používali najnovší firmvér. To by mohlo pomôcť zmierniť niektoré útoky na bočné kanály, ktoré boli prítomné v skorých vydaniach WPA3.
Ak ste pravidelným používateľom verejných sietí Wi-Fi (alebo aj keď ním nie ste), Orsi tiež odporúča podniknúť kroky na používanie VPNalebo virtuálna súkromná sieť (tu je návod, ako ho nastaviť). Tieto pridávajú do vášho pripojenia ďalšiu vrstvu šifrovania a zahmlievania tým, že ho smerujú cez server tretej strany. To môže pre miestnych útočníkov oveľa ťažšie vidieť, čo robíte online, aj keď sa im podarí získať prístup k vašej sieti. Tiež skryje vašu návštevnosť pred vzdialenými útočníkmi a možno pred akýmikoľvek trojpísmenovými agentúrami, ktoré by mohli sledovať.
Pokiaľ ide o zabezpečenie vašej siete Wi-Fi doma, odporúčame vám tiež silné heslo siete. Slovníkové útoky a hacky hrubou silou, ktoré umožňujú mnohé exploity Dragonblood, sú zbytočné, ak je vaše heslo komplikované, dlhé a jedinečné. Uložte si ho v správcovi hesiel, ak si nie ste istí, či si ho zapamätáte (toto sú tie najlepšie). Zmeňte ho tiež zriedkavo. Nikdy neviete, či vaši priatelia a rodina boli s vaším heslom Wi-Fi tak v bezpečí ako vy.
Odporúčania redaktorov
- Táto bezpečnostná chyba Wi-Fi by mohla umožniť dronom sledovať zariadenia cez steny
