Le malo ljudi se pretirano ukvarja z varnostjo Wi-Fi, se z veseljem povezujejo z javnimi brezžičnimi omrežji in naredijo malo za zaščito lastnih domačih omrežij. Dokler ima geslo, mislimo, da smo varni.
Vsebina
- Ubijanje zmajev
- Tako sta si podobna …
- Ostanite varni tako, da ste varni
Kot običajno, zagotavljanje varnosti nikoli ni tako enostavno, kot se zdi. Zaščita z geslom je del sistema, imenovanega Wi-Fi Protected Access ali WPA, ki bo kmalu postal varnejši v obliki WPA3. Kljub izboljšavam, ki jih prinaša, WPA nikoli ne bo srebrna paša.
Priporočeni videoposnetki
V njem je nekaj resnih pomanjkljivosti, ki so prisotne že od začetka prvega WPA. Dokler se s tem ne soočimo, bodo naša brezžična omrežja vedno imela zevajočo luknjo v zaščitnem zidu.
Povezano
- Wi-Fi 6 je končno predstavljen. Evo, kaj to pomeni za vas
Ubijanje zmajev
Zaščita z geslom in šifriranjem sta bila glavna točka ustvarjanja in širjenja WPA2 ter sta zagotovilo, da večina od nas ostane varna, ko povežemo svoje nešteto sodobnih naprav z Wi-Fi omrežja. Toda WPA2 ima resne pomanjkljivosti, za odpravo katerih je bil zasnovan WPA3.
Kjer WPA2 uporablja a vnaprej deljena izmenjava ključev in šibkejše šifriranje, WPA3 nadgradi na 128-bitno šifriranje in uporablja sistem, imenovan Simultaneous Authentication of Equals (SAE), pogovorno znan kot rokovanje Dragonfly. Pri morebitni prijavi vsili omrežno interakcijo, s čimer hekerjem prepreči, da bi poskusili vdreti v prijavo s slovarjem prenesejo svoj kriptografski hash in nato zaženejo programsko opremo za vdiranje, da ga zlomijo, nato pa jim omogočijo uporabo drugih orodij za vohljanje v omrežju dejavnost.
Trusted Wireless Environment Framework
Toda Dragonfly in WPA3 sta prav tako ranljiva za nekatere lastne nevarne napake in nekatere najhujše so prisotne v omrežjih, zaščitenih z WPA, od njihovega začetka. Ti podvigi so bili zbrani pod ime pasice Dragonblood in če jih ne obravnavamo, lahko pomenijo, da WPA3 ni toliko bolj varen kot WPA2, ker se metode, ki se uporabljajo za izogibanje njegovi zaščiti, v resnici niso spremenile.
Mathy Vanhoef je izpostavil šest problemov v svojem razkritju Dragonblood, a skoraj vse jih je omogočila stara tehnika vdiranja v Wi-Fi, imenovana zlobni dvojček.
Tako sta si podobna …
"Največja napaka, ki je pri Wi-Fi prisotna že 20 let, je, da lahko ti, jaz in moja sestra (ki ni tehnična) vsi sprožimo zlobni dvojni napad samo z uporabo naših mobilnih telefonov," WatchGuard Technologies je za Digital Trends povedal direktor produktnega upravljanja Ryan Orsi. »[Recimo], da imate pametni telefon in ga vzemite iz žepa, stopite v svojo pisarno in ima omrežje Wi-Fi, zaščiteno z geslom WPA3. Če pogledate ime tega omrežja Wi-Fi […], če spremenite ime svojega telefona v [isto ime] in vklopite dostopno točko, ste pravkar izvedli zlobni dvojni napad. Vaš telefon oddaja popolnoma isto omrežje Wi-Fi.«
Čeprav uporabniki, ki se povezujejo z vašim ponarejenim omrežjem zlobnih dvojčkov, z njegovo uporabo razkrijejo veliko svojih informacij, potencialno še bolj oslabijo svojo varnost. Ta napad je mogoče izvesti s pametnim telefonom, ki podpira samo WPA2. Tudi če morebitna žrtev lahko podpira WPA3 v svoji napravi, ste jo zaradi združljivosti WPA3 za nazaj dejansko znižali na WPA2.
Znan je kot način prehoda WPA3 in omogoča omrežju, da deluje z zaščitama WPA3 in WPA2 z istim geslom. To je odlično za spodbujanje prevzema WPA3, ne da bi ljudi prisilili, da to storijo takoj, in prilagaja starejše odjemalske naprave, vendar je to šibka točka v novem varnostnem standardu, ki pušča vsakogar ranljiv.
"Zdaj ste sprožili začetek napada Dragonblooda," je nadaljeval Orsi. »Vnašate zlobno dvojno dostopno točko, ki oddaja različico WPA2 omrežja Wi-Fi, naprave žrtve pa ne poznajo razlike. To je isto ime. Kaj je zakoniti in kateri zlobni dvojček? Naprava ali človek to težko pove."
Toda prehodni način WPA3 ni njegova edina šibka točka za morebitne napade na nižjo različico. Dragonblood pokriva tudi napad na znižanje varnostne skupine, ki omogoča tistim, ki uporabljajo zlobni dvojni napad, da zavrnejo začetne zahteve za varnostno zaščito WPA3. Odjemalska naprava se bo nato poskusila znova povezati z uporabo druge varnostne skupine. Lažno omrežje lahko preprosto počaka do poskusa povezave z neustrezno varnostjo in ga sprejme, kar znatno oslabi brezžično zaščito žrtve.
Kot je poudaril Orsi, so zlobni dvojni napadi težava z omrežji Wi-Fi že več kot desetletje, zlasti javnih, kjer uporabniki morda ne vedo imena omrežja, s katerim se nameravajo povezati vnaprej. WPA3 premalo ščiti pred tem, ker tehnično težava ni v sami tehnologiji, temveč v uporabnikovi zmožnosti, da razlikuje med zakonitimi omrežji in lažnimi. V menijih naprave Wi-Fi ni ničesar, kar bi predlagalo, s katerimi omrežji se je varno povezati in s katerimi ne.
»Moralo bi reči, da je to tisti, ki mu lahko zaupaš. Rezervirajte hotel s kreditno kartico na tem Wi-Fi-ju, ker je pravi.«
Po navedbah Avtor Dragonblooda, Mathy Vanhoef, lahko stane le 125 USD računalniške moči Amazon AWS – zagon programske opreme za razbijanje gesel – dekodirati osemmestna gesla z malimi črkami in obstaja veliko storitev, ki se lahko celo izkažejo za konkurenčnejše od to. Če lahko heker nato ukrade podatke o kreditni kartici ali banki, se ta naložba hitro povrne.
»Če je zlobni dvojček tam in se žrtev poveže z njim, se pojavi uvodna stran. Začetna stran o zlobnem dvojčku dejansko prihaja iz napadalčevega prenosnika,« je Orsi povedal za Digital Trends. »Ta uvodna stran ima lahko zlonamerni Javascript ali gumb in »kliknite tukaj, da se strinjate, prenesite to programsko opremo za povezavo s to dostopno točko.««
Ostanite varni tako, da ste varni
»Težave z [varnostjo WPA] ne bodo rešene, dokler splošen potrošnik ne bo videl na svoji napravi namesto malo ključavnica, kar pomeni zaščiteno z geslom, obstaja drug simbol ali vizualni indikator, ki pravi, da to ni zlobni dvojček,« Orsi rekel. »[Morali bi] ljudem ponuditi vizualni simbol, ki ima močne tehnične korenine, vendar jim ga ni treba razumeti. Moralo bi reči, da je to tisti, ki mu lahko zaupate. Rezervirajte hotel s kreditno kartico na tem Wi-Fi-ju, ker je pravi.«
Kategorija grožnje Wi-Fi: dostopna točka "Evil Twin".
Takšen sistem bi zahteval, da ga IEEE (Inštitut inženirjev elektrotehnike in elektronike) ratificira kot del novega standarda Wi-Fi. Wi-Fi Alliance, ki ima v lasti avtorske pravice za "Wi-Fi", bi se nato moral odločiti za emblem in izdati posodobitev proizvajalcem in ponudnikom programske opreme, da jo lahko uporabijo. Takšna sprememba Wi-Fi-ja, kot ga poznamo, bi zahtevala veliko truda številnih podjetij in organizacij. Zato Orsi in WatchGuard želite prijaviti ljudi da pokažejo svojo podporo zamisli o novem, zaupanja vrednem brezžičnem sistemu, ki daje jasen vizualni indikator, ki ljudem pomaga ostati varen v omrežjih Wi-Fi.
Dokler se kaj takega ne zgodi, lahko še vedno sprejmete nekaj korakov, da se zaščitite. Prvi nasvet, ki nam ga je dal Orsi, je bil, da vse posodobimo in popravimo – še posebej, če dodaja varnost WPA3. Ne glede na to, da je pomanjkljiv, je še vedno veliko boljši od WPA2 – zato je toliko napadov Dragonblood osredotočenih na znižanje varnosti, kjer je to mogoče.
Številne taktike, ki jih uporablja Dragonblood exploits, so neuporabne, če je vaše geslo zapleteno, dolgo in edinstveno.
To je za Digital Trends povedal tudi Jean-Philippe Taggart iz Malwarebytes. Čeprav je WPA3 pomanjkljiv, je še vedno nadgradnja. Prepričanje, da vse naprave WPA3, ki jih uporabljate, uporabljajo tudi najnovejšo vdelano programsko opremo, je zelo pomembno. To bi lahko pomagalo ublažiti nekatere stranske kanalske napade, ki so bili prisotni v zgodnjih izdajah WPA3.
Če ste redni uporabnik javnih omrežij Wi-Fi (ali tudi če niste), Orsi priporoča tudi, da uporabite VPNali navidezno zasebno omrežje (tukaj je opisano, kako ga nastavite). Ti vaši povezavi dodajo dodatno plast šifriranja in zakrivanja, tako da jo usmerijo prek strežnika tretje osebe. Zaradi tega lahko lokalni napadalci veliko težje vidijo, kaj počnete na spletu, tudi če jim uspe pridobiti dostop do vašega omrežja. Prav tako skrije vaš promet pred oddaljenimi napadalci in morebitnimi tremi pisemskimi agencijami, ki morda opazujejo.
Ko gre za zaščito vašega Wi-Fi-ja doma, priporočamo tudi močno omrežno geslo. Napadi s slovarjem in vdori s surovo silo, ki jih omogočajo številni podvigi Dragonblood, so neuporabni, če je vaše geslo zapleteno, dolgo in edinstveno. Shranite ga v upravitelju gesel, če niste prepričani, da si ga boste zapomnili (te so najboljše). Tudi redko ga menjajte. Nikoli ne veste, ali so bili vaši prijatelji in družina tako varni z vašim geslom za Wi-Fi, kot ste bili vi.
Priporočila urednikov
- Ta varnostna napaka Wi-Fi bi lahko dronom omogočila sledenje napravam skozi stene
